AUFSICHT

EBA Guidelines on Outsourcing Arrangements

Seit September gelten neue Anforderungen der EU-Bankenaufsicht

Dr. Bodo Chrubasik, Foto: bm consult

Die Steuerung von Auslagerungen und sonstiger Fremdbezüge rückt immer stärker in den Fokus externer sowie interner Prüfungen. Die zum 30. September 2019 in Kraft getretenen EBA Outsourcing Guidelines der Europäischen Bankenaufsichtsbehörde (European Banking Authority, EBA) gehen vom Umfang und Detaillierungsgrad durch eine ganze Reihe von Präzisierungen weit über die MaRisk hinaus. Die Autoren geben einen fundierten Überblick zu den neuen und verschärften Anforderungen und beschreiben, welche Pflichten die Institute in Bezug auf die Auswahl, Vertragsgestaltung und Management von Dienstleistern sowie für die notwendige Dokumentation haben. (Red.)

Die Europäische Bankenaufsichtsbehörde (EBA) veröffentlichte am 25. Februar 2019 die finale Version der neuen Leitlinien zu Auslagerungssachverhalten - die "EBA Guidelines on Outsourcing Arrangements" (EBA/GL/2019/02). Mit diesen Leitlinien wurde ein europaweit harmonisierter Regelungsrahmen über die gesamte Prozesskette für alle Institute geschaffen, für die die EBA mit einem Aufsichtsmandat ausgestattet ist. Auf 125 Seiten, davon rund 40 Seiten mit teilweise neuen oder verschärften Anforderungen, wird in den EBA-Leitlinien in 119 Textziffern eine im Vergleich zu den Anforderungen der MaRisk an Auslagerungen erheblich erweiterte Detailtiefe dokumentiert. Damit gehen die EBA-Leitlinien in Teilen deutlich über die aktuellen Anforderungen der MaRisk (und der BAIT) an Auslagerungen hinaus.1) Grundsätzlich sind die Anforderungen der EBA-Leitlinien an von Auslagerungen nicht gänzlich neu, weil diese teilweise bereits Bestandteil eines funktionierenden Auslagerungsmanagements nach MaRisk AT 9 sein sollten.

Die EBA-Leitlinien orientieren sich am Grundsatz der Proportionalität, sind auf Einzel- und Gruppenebene anzuwenden, umfassen Vorgaben zur Outsourcing Governance, zum Auslagerungsprozess und zur Anwend an die Aufsicht selbst. Institutsgruppen müssen die Anforderungen im aufsichtsrechtlichen Konsolidierungskreis umsetzen. Damit entfalten sie mittelbar auch Wirkung bei Finanzinstituten, die selbst nicht erlaubnispflichtige Tätigkeiten ausführen.

Regulatorischer Rahmen

Die bislang geltenden Leitlinien für Auslagerungen entsprechen nicht mehr den aktuellen Anforderungen der Bankpraxis. Die EBA ist der Ansicht, dass sie weder den EU-rechtlichen Vorgaben noch dem starken Anstieg an (IT-)Auslagerungen gerecht werden. Mit den neuen EBA-Leitlinien konkretisiert die europäische Aufsicht ihre aktuelle Erwartungshaltung an Aus lagerungsvorhaben. Demnach haben Institute sicherzustellen, dass auch bei Auslagerungen jederzeit eine angemessene Geschäftsorganisation vorgehalten wird und damit leere Hüllen ("empty shells") sowie Briefkastenfirmen ("letter-box-entities") vermieden werden.

Die Aufsicht fordert in den EBA-Leitlinien eine umfassende risikoorientierte Governance für alle Aus la ge rungen und Fremdbezüge mit dem Ziel, die Transparenz und das Risikobewusstsein zu steigern und die jederzeitige tatsächliche Beherrschung des Auslagerungsrisikos sicherzustellen. Dabei haben auch Anforderungen aus der DSGVO ihren Weg in die EBA-Leitlinien gefunden.

Inhaltlich stärkt die neue Richtlinie die Verantwortung des Leistungsorgans auch für ausgelagerte Funktionen. Allerdings stellt dies keine Überraschung dar, sondern ist vielmehr eine konsequente Weiterverfolgung eines Weges, der bei aller Einsicht in die Notwendigkeit eines technischen Fortschritts auch immer Wert auf Verantwortung und aktives Management von Risiken legt.

Die EBA-Leitlinien lösen die Vorgängerleitlinie des CEBS (Committee of European Banking Supervisors) zum Outsourcing aus 14/2006 ab, die nur rudimentär einige Grundprinzipien für Auslagerungen geregelt hat. Diese wurden für den deutschen Finanzsektor vor allem im "Allgemeinen Teil 9" (AT 9) der "Mindestanforderungen an das Risikomanagement" (MaRisk) konkretisiert. Die neuen EBA-Leitlinien setzen auf den bestehenden Grundprinzipien des CEBS auf, erweitern diese jedoch in einem erheblichen Umfang. Dabei werden zum Teil sehr detaillierte und auch neue beziehungsweise verschärfte Anforderungen an Auslagerungen gestellt.2) Die Empfehlungen der EBA für den Bezug von Cloud-Dienstleistungen aus Dezember 2017, die "EBA Recommendations on Outsourcing to Cloud Services" (EBA/ RC/2017/03), sind in den EBA-Leitlinien aufgegangen und wurden mit Wirkung zum 30. September 2019, dem Inkrafttreten der EBA-Leitlinien, aufgehoben.3)

Eine Adaption der EBA-Leitlinien auf nationaler Ebene für nicht signifikante Institute (LSIs) und damit auch die Entscheidung, ob und welche Regelungen gegebenenfalls mit Anpassungen in die nationale Aufsichtspraxis übernommen werden, erfolgt über den "comply or explain"-Prozess durch die BaFin.4) Die BaFin hat zwischenzeitlich gegenüber der EBA die Complinace mit der Guideline erklärt.

Geltungsbereich

Auslagerungen werden in Zeiten von innovativen digitalen Finanztechnologien immer wichtiger. Durch Übertragung von bestimmten Tätigkeiten auf (externe) Dienstleister haben etablierte Finanzinstitute zum einen ein großes Potenzial für eine Kostenreduzierung, vor allem im IT-Bereich, und zum anderen die Möglichkeit, an innovativen Technologien zu partizipieren, ohne sie selbst entwickeln zu müssen. Aber auch innerhalb von Gruppen von Finanzunternehmen sind Auslagerungen von erheblicher Bedeutung. Hier werden oftmals im Rahmen der arbeitsteiligen Zusammenarbeit Konzernfunktionen von einzelnen Gesellschaften zentral für die gesamte Gruppe ausgeübt. Damit sind Auslagerungen für Unternehmen der Finanzbranche von erheblicher Bedeutung im anstehenden Transformationsprozess.5) Die Megatrends Digitalisierung und Cloud Computing führen dazu, dass Auslagerungen auch weiter an Bedeutung gewinnen werden.6)

Mit solchen Auslagerungen werden aber auch Auslagerungsrisiken virulent, die eine Neuadjustierung des institutsinternen Risikomanagements erfordern.7) Die EBA trägt der zunehmenden Bedeutung von Auslagerungen und Auslagerungsrisiken mit der Ausgestaltung der EBA-Leitlinien Rechnung und formuliert einheitliche europaweit gültige Standards und Vorgaben für Auslagerungen als Bestanteil eines ganzheitlichen Risikomanagements und angemessener Kontrollverfahren. Gefordert wird in diesen Vorgaben die vollständige Erfassung und Steuerung aller mit der Auslagerung verbundenen Risiken für das gesamte Geschäftsmodell unter Beachtung aller "Lebenszyklus-Phasen" des Auslagerungsvertrages (Outsourcing Lifecycle).8)

Die EBA-Leitlinien erwarten ein umfassendes Risikomanagement. Dies gilt nicht nur für Auslagerungen, sondern ebenso für alle sonstige Vereinbarungen mit Dritten ("third party risk"). Damit ist auch alles was man unter sonstigem Fremdbezug subsumieren kann, einer Risikoanalyse zu unterziehen. Allerdings erscheint in diesem Zusammenhang vertretbar, sonstige Fremdbezüge zu Clustern mit gleichen/ ähnlichen Charakteristika zusammenzufassen und eine Risikoanalyse auf Clusterebene durchzuführen. Auch ein Clusterung nach Hersteller beziehungsweise Lieferanten wäre angemessen.

In den EBA-Leitlinien ist der Geltungsbereich über die (direkt) von der EZB beaufsichtigten CRR-Institute (Kreditinstitut und Wertpapierfirmen) hinaus erweitert worden auf Zahlungsinstitute nach der Zweiten Zahlungsrichtlinie (RL/2015/2366/EU) sowie E-Geld-Institute nach der E-Geld-Richtlinie (RL/2009/110/EG). Insoweit führen die EBA-Leitlinien zu einem einheitlichen "level playing field" für alle von der EZB beaufsichtigten Institute der Finanzindustrie.

Dem Umstand einer unterschiedlichen Komplexität der Unternehmen in der Finanzbranche wird in den EBA-Leitlinien, wie in den MaRisk auch, über das Proportionalitätsprinzip Rechnung getragen. Danach sind die Regelungen so anzuwenden, wie sie mit dem Risikoprofil, dem Geschäftsmodell und der Komplexität des Instituts korrelieren. Zur Anwendung des Proportionalitätsprinzips kann auf die von der EBA im Rahmen der Leitlinien zur internen Governance entwickelten Kriterien zurückgegriffen werden (EBA/GL/2017/11).

Begrifflichkeiten

Die EBA-Leitlinien definieren eine Auslagerung im aufsichtsrechtlichen Sinne weiter als derzeit die MaRisk. So liegt eine Auslagerung dann vor, wenn zwischen dem auslagernden Institut und dem Auslagerungsunternehmen eine vertragliche Vereinbarung jeglicher Form vorliegt, in der das Institut das Auslagerungsunternehmen damit beauftragt, eine(n) wiederkehrende(n) oder laufend durchzuführende(n) Dienstleistung, Tätigkeit oder Prozess auszuführen, die es ansonsten selbst übernähme. Damit fehlt in dieser Definition, im Vergleich zu den MaRisk, der direkte Bezug zu Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen. Eine Auslagerung gemäß EBA-Leitlinien-Definition setzt aber ebenso wenig wie in den MaRisk voraus, dass das Institut die betreffende Leistung bislang selbst erstellt hat. Vielmehr kann auch dann eine Auslagerung vorliegen, wenn ein Institut die Leistung noch nicht selbst erbracht hat, aber sie zu den Funktionen zählt, von denen zu erwarten ist, dass sie von einem solchen Institut erbracht werden.

Die EBA äußert sich auch zu Abgrenzungsfragen im Outsourcing Bereich, indem sie eine Negativliste in den EBA-Leitlinien formuliert, die angibt, welche bestimmten Dienstleistungen von vorneherein von der Definition einer Auslagerung ausgenommen sind. Beispielhaft unter anderem Funktionen, die nach geltendem Recht durch bestimmte Dritte zu erbringen sind (wie etwa die Jahresabschlussprüfung), die Bereitstellung von Marktinformationen von Ratingagenturen oder die Zurverfügungstellung von globalen Netzwerkinfrastrukturen. Diese Negativliste ist zu begrüßen, da sie dabei helfen dürfte, künftig Diskussionen mit internen sowie externen Prüfern über die Einordnung bestimmter Funktionen als Auslagerung zu reduzieren.

Die MaRisk haben Auslagerungssachverhalte bisher in "wesentliche" und "nicht-wesentliche" Auslagerungen differenziert. Beide Begriffe stellen auf den Risikogehalt einer Auslagerung ab. Die neuen EBA-Leitlinien lösen diese Qualifizierung ab und führen den Begriff der Auslagerung von "kritischen/ wichtigen" Funktionen ein, in Abgrenzung zu den "sonstigen Auslagerungen". Die neue Unterscheidung ist verknüpft mit klaren Kriterien, was eine kritische/wichtige Funktion ausmacht (zum Beispiel sind jene Funktionen, welche die finanzielle Performance, die Kontinuität des Zahlungsverkehrs oder die internen Kontrollfunktionen des Instituts beeinflussen, als kritisch definiert). Wenn diese Kriterien nicht zutreffen, erfolgt die Einstufung gemäß einer, der Risikoanalyse nach MaRisk vergleichbaren, Bewertung anhand bestimmter Mindestprüfkriterien.

Viele der neuen Vorgaben gelten ausschließlich für Auslagerungen von kritischen/wichtigen Funktionen. Die Institute müssen dementsprechend prüfen, ob eine Funktion als kritisch/ wichtig einzustufen ist. Die Grundlage dafür bildet eine (Vor-)Risikoanalyse. Zu dieser Analyse formulieren die EBA-Leitlinien Vorgaben durch diverse Faktoren, deren Vorliegen eine entsprechende Einstufung erfordert und/oder die bei der Einstufung zu bewerten sind. So ist von der Auslagerung einer kritischen/wichtigen Funktion auszugehen, wenn die Nicht- oder Schlechterfüllung durch das Auslagerungsunternehmen wesentlich die Fähigkeit des auslagernden Instituts beeinträchtigen würde, die Anforderungen und Pflichten zu erfüllen, die mit seiner aufsichtsrechtlichen Erlaubnis verbunden sind oder wenn die finanzielle Leistungsfähigkeit oder die Zuverlässigkeit und Kontinuität der erlaubnispflichtigen Geschäfte des Instituts wesentlich negativ beeinflusst werden.

Anhand der Kriterien in den EBA-Leitlinien wird die in den MaRisk geforderte Risikoanalyse zur Wesentlichkeitseinstufung einer Auslagerung konkretisiert.

Die Begrifflichkeit "kritisch/wichtig" ist mit ihrer Festlegung weiter gefasst als die Definition wesentlicher Auslagerungen nach den MaRisk. So ist eine Auslagerung der Erstellung des Risiko-Reportings auf ein übergeordnetes gruppeninternes Unternehmen nach EBA-Leitlinien eindeutig eine kritische/wichtige Funktion. Nach der MaRisk Definition könnte die Auslagerung auch als nicht wesentlich eingestuft werden.

Auf den Fremdbezug von IT-Dienstleistungen wird in den EBA-Leitlinien nicht gesondert eingegangen. Die für die Auslagerung kritischer/wichtiger Funktionen vorgegebenen Mindestanforderungen sind sowohl in der schriftlich fixierten Ordnung zu verankern als auch im gesamten "Outsourcing Lifecycle" zu berücksichtigen. Auslagerungssperren werden in den EBA-Leitlinien nur insoweit angesprochen, als vorgegeben wird, dass Auslagerungen nicht zu einer Delegation der Verantwortung der Geschäftsleitung führen dürfen und ein Institut nicht zu einer "leeren Hülle" ohne ausreichende Substanz mutieren darf. Dies bedeutet jedoch per se nicht, dass ein Institut bestimmte Funktionen nicht auslagern darf. Auslagerungsrestriktionen können sich dadurch ergeben, dass ansonsten die Anforderungen an eine ordnungsgemäße Auslagerung nicht erfüllt werden können, zum Beispiel weil in der Risikoanalyse einer geplanten Auslagerung zu große Risiken festgestellt werden.

Leitlinien - was ist neu: ein Überblick

Die wesentlichen Neuerungen betreffen zwölf ganz unterschiedliche Bereiche und werden im Folgenden strukturiert dargestellt. Die Veränderungen fangen an bei internen Auslagerungsaspekten und erstrecken sich über Kriterien für die Risikoanalyse sowie die genaue Ausgestaltung des Auslagerungsvertrags bis hin zu gewissen Informations- und Dokumentationspflichten.

- Gruppeninterne Auslagerungen beziehungsweise Auslagerungen innerhalb desselben Instituts-Sicherungssystems (Haftungsverbundes): Die EBA-Leitlinien sehen - im Gegensatz zu den MaRisk - bei gruppeninternen Auslagerungen keinen risikomindernden Sachverhalt. Die aufsichtsrechtlichen Vorgaben müssen im Grundsatz auch bei gruppeninternen Auslagerungen und bei Auslagerungen innerhalb desselben Instituts-Sicherungssystems erfüllt werden. Dabei wird die besondere Verantwortung der Mutterunternehmen zur Sicherstellung der Umsetzung und Einhaltung der Auslagerungsanforderungen auf Gruppen ebene betont. So hat das EU-Mutterunternehmen dafür Sorge zu tragen, dass interne Regelungen, Prozesse und Mechanismen in ihren Tochtergesellschaften kohärent, gut integriert und für die wirksame Anwendung dieser Leitlinie auf allen relevanten Ebenen geeignet sind. Damit gewinnt in den EBA-Leitlinien die Gruppenbetrachtung im Auslagerungsmanagement eine zunehmende Bedeutung (gruppenweite Überwachung und Steuerung der Auslagerungen, Auslagerungsregister auf Gruppen ebene et cetera).

Explizit wird in den EBA-Leitlinien aber betont, dass auch bei einheitlicher gruppeninterner Steuerung die Letztverantwortung für eine regelgerechte Umsetzung der regulatorischen Anforderungen bei dem Leitungsorgan des einzelnen Instituts liegt. Dieses kann sich nicht darauf zurückziehen, dass es auf gruppeninterne Dienstleister keinen Einfluss hat oder dass Auslagerungen im Vorfeld als nicht kritisch/wichtig klassifiziert worden sind. Um der jederzeitigen Verantwortlichkeit gerecht werden zu können, sind entsprechende Auskunfts- und Informationsrechte sowie Berichtspflichten in der Gruppe beziehungsweise im Instituts-Sicherungssystem zu etablieren.

Für Institute mit einer aufsichtsrechtlichen "Gruppen-Waiver"-Freistellung9), wenn also Tochterunternehmen von beaufsichtigen EU-Mutterunternehmen von der Anwendung bestimmter aufsichtsrechtlicher Regelungen ausgenommen sind, erstreckt sich der Anwendungsbereich auf das Mutterunternehmen, das die Anforderungen auf konsolidierter Basis umsetzen muss. Auf Institutsebene bleibt aber wieder die Verantwortung für die ordnungsmäßige Abwicklung der Geschäfte unter Berücksichtigung der aufsichtsrechtlichen Anforderungen.

Im Kontext von konzerninternen Auslagerungen beziehungsweise Auslagerungen innerhalb desselben Instituts-Sicherungssystems formulieren die EBA-Leitlinien ein "neues" spezifische Risiko, nämlich Interessenskonflikte, die im Zusammenhang mit Auslagerungen auftreten können.10) Gefordert wird die Festlegung von Prozessen zum adäquaten Umgang mit diesen Konflikten (Identifizierung, Bewertung und Steuerung). Das Management von Interessenskonflikten soll bei konzerninternen Auslagerungen beziehungsweise Auslagerungen innerhalb desselben Instituts-Sicherungssystems auch die Vereinbarung von kommerziellen Bedingungen für die ausgelagerten Leistungen wie bei Dritten beachten. Die EBA-Leitlinien erwarten die Ausgestaltung der Leistungsbeziehungen der Auslagerung auf Basis marktüblicher Konditionen ("at arm's length").11)

Eine Zentralisierung bestimmter Aufgaben des Auslagerungsmanagements (Monitoring oder Auditing, die Pre-Outsourcing-Analyse, Auslagerungsregister und Erstellung von Exit-Plänen) innerhalb konsolidierungspflichtiger Gruppen oder innerhalb desselben In stituts-Sicherungssystems ist unter bestimmten Voraussetzungen möglich. Allerdings ist bei gruppeninterner Auslagerung, zum Beispiel der Kontrollfunktion (Monitoring oder Auditing), das Institut weiterhin für die Sicherstellung der Wirksamkeit dieser Kontrollfunktion verantwortlich. Dies erfordert ins besondere die Sicherstellung einer angemessenen Berichterstattung zur Beurteilung der Wirksamkeit der ausgelagerten Kontrollfunktion.

- Auslagerung an Drittstaaten (Nicht-EU-Raum): Deutlich verschärfte Anforderungen sehen die EBA-Leitlinien vor für Auslagerungen an Auslagerungsunternehmen außerhalb der EU. Bei Auslagerungen an Drittstaaten gilt künftig eine Art Äquivalenzprinzip, das sicherstellen soll, dass die nationalen europäischen Finanzaufsichtsbehörden ihre Aufsicht auch auf das außerhalb der EU ansässige Auslagerungsunternehmen erstrecken können. Insbesondere muss die Kooperation zwischen den Aufsichtsbehörden in Form einer Art Kooperationsvereinbarung beziehungsweise eines "Memorandum of Understanding" (MoU) sichergestellt sein.

Das MoU soll etwa vorsehen, dass die nationale europäische Aufsichtsbehörde über die Finanzaufsichtsbehörde des Drittstaates alle für eine effiziente Aufsicht erforderlichen Informationen erhält und von ihr über die Verletzung aufsichtsrechtlicher Vorschriften durch das Auslagerungsunternehmen informiert wird. Ferner muss eine solche Vereinbarung zwischen den Aufsichtsbehörden vorsehen, dass sie im Falle der Vollstreckung bei aufsichtsrechtlichen Verletzungen durch das Auslagerungsunternehmen zusammenarbeiten können. Sofern die aufsichtsrechtliche Zusammenarbeit mit Behörden in Drittländern nicht möglich ist und auch keine ausreichenden Prüfrechte bestehen, kann in das betreffende Land nicht ausgelagert werden kann.

Explizit hingewiesen wird schließlich darauf, dass die geltenden Datenschutzregelungen auch dann eingehalten werden müssen, wenn der Dienstleister seinen Sitz im Ausland hat.

- Risikoanalyse inklusive Überprüfung der Dienstleister: Das zentrale Thema der EBA-Leitlinien ist die Einschätzung des mit der Auslagerung verbundenen Risikos. Dazu wird zuerst entschieden, ob es sich überhaupt um eine Auslagerung handelt. Anschließend wird festgestellt ob eine Auslagerung kritisch/wichtig ist und schließlich eine Risikoanalyse über alle Risiken, im speziellen der operationellen Risiken, durchgeführt. Das Ergebnis in die Ausgestaltung des Risikomanagements für diese Auslagerung einfließen soll.

Eine Risikoanalyse ist zwar bereits unter den MaRisk vorzunehmen, jedoch ohne detaillierten Kriterienkatalog. In den EBA-Leitlinien wird diese, im Vorfeld der Auslagerung durchzuführende Risikoanalyse ("Pre-Outsourcing-Analysis") zur Klassifizierung der ausgelagerten Tätigkeiten, Prozesse oder Dienstleistungen als kritische/wichtige Funktion elaborierter ausfallen müssen, da ein detaillierter Katalog von teilweise völlig neuartigen Beurteilungskriterien vorgegeben wird, die mindestens zu berücksichtigen sind. So sind neben den klassischen Auslagerungsrisiken und dem Gesamtrisiko durch Auslagerung verschiedener Tätigkeiten des Instituts unter anderem auch explizit Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT), Finanztechnologien (Fintech), Konzentrationsrisiken und - im Einzelfall - das Risiko, dass der Dienstleister in einer Krisensituation vom Institut finanzielle Unterstützung benötigt, um die Dienstleistungserbringung aufrecht erhalten zu können ("Step-in-Risiko") zu betrachten. Bei der Risikobewertung ist eine Kosten-Nutzen-Analyse der vorgeschlagenen Auslagerungsvereinbarung zu berücksichtigen.

Bislang nicht in den MaRisk ausdrücklich angesprochen, aber gegebenenfalls durchaus Element einer ordnungsgemäßen Geschäftsorganisation ist das Erfordernis, Dienstleister vor einer Beauftragung in angemessener Weise zu überprüfen ("Service Provider Due Diligence"). Diese Prüfungspflicht zur Risikobewertung des Dienstleisters - die implizit im Rahmen der Risikoanalyse in den MaRisk in abgeschwächter Form enthalten ist - wird unter den EBA-Leitlinien zu einer expliziten Anforderung erhoben, wobei verschiedene Untersuchungsfelder aufgeführt werden, die bei der Due Diligence zu berücksichtigen sind.

So hat in der Risikoanalyse, zumindest im Falle der Auslagerung kritischer, wichtiger Funktionen, eine Überprüfung von Dienstleistern und auch etwaiger Subdienstleister anhand umfangreicher diverser Kriterien zu erfolgen. Dies soll sicherstellen, dass der (Sub-) Dienstleister die vom Institut ausgelagerten Funktionen zuverlässig und nachhaltig erfüllt und seinen vertraglichen Verpflichtungen während der Laufzeit des Vertrages nachkommen kann.

Zu den Kriterien zählen unter anderem angemessene und ausreichende Fähigkeiten, Kapazitäten und Ressourcen, das Fachwissen, die geschäftliche Reputation, die finanzielle Leistungsfähigkeit, die Organisationsund Eigentümerstruktur, ein Geschäftsmodell und der Umstand, ob der Dienstleister von zuständigen Behörden beaufsichtigt wird sowie gegebenenfalls der Nachweis der erforderlichen Genehmigung zur Ausübung der Dienstleistung. Zudem gehen die EBA-Leitlinien sogar so weit, dass die Übereinstimmung der Werte und des Verhaltenskodex des Dienstleisters und von jedem seiner Subdienstleister mit den eigenen Werten und dem eigenen Verhaltenskodex zu überprüfen ist. Dabei muss auch gewährleistet sein, dass vom Dienstleister beziehungsweise von jedem seiner Subdienstleister die Europäische Menschenrechtskonvention, der Umweltschutz und angemessene Arbeitsbedingungen sowie vor allem auch das Verbot von Kinderarbeit eingehalten werden.

Die Erfassung und Bewertung der wirtschaftlichen und gesellschaftlichen Verhältnisse entspricht de facto einem Rating für das Auslagerungsunternehmen und geht damit deutlich über die Anforderungen der MaRisk hinaus.

In der Praxis werden die verschärften Anforderungen an die Due Diligence eines potenziellen Dienstleisters wohl eine zunehmende Zusammenarbeit zwischen der Einkaufsabteilung und dem Auslagerungsmanagement bewirken - zumal typischerweise eine Dienstleistereignungsprüfung durch den Einkauf erfolgt. Die erweiterten Anforderungen an die Risikoanalyse dürften insgesamt zu einem erhöhten Analysebedarf und damit einhergehend zu einem ansteigenden Dokumentationsaufwand führen.

- Auslagerungsregister: Eine der wichtigsten Neuerungen in den EBA-Leitlinien ist die verpflichtende Einführung eines zentralen und einheitlichen Auslagerungsregisters. Diese Vorgabe schreibt den betroffenen Instituten vor, für bestehende und über einen angemessene Zeitraum auch für bereits beendete Auslagerungen des Instituts und der Institutsgruppe eine detaillierte Liste mit entsprechenden Basisinformationen vorzuhalten. Dabei ist vor allem die Klassifizierung der ausgelagerten Dienstleistung von Bedeutung. Die Bestandteile dieses Registers werden vorgegeben. Im Falle der Auslagerung kritischer, wichtiger Funktionen sind zusätzliche Informationen zu erfassen. So verlangen die EBA-Leitlinien für diese Auslagerungen zum Beispiel Angaben zur Substituierbarkeit der Dienstleister, zu Weiterverlagerungen, zum Auslagerungsunternehmen (ob Gruppe beziehungsweise Instituts-Sicherungssystem oder an externe Dritte) oder zum Ort der Leistungserbringung. Bei Cloud-Auslagerungen werden weitere Information zum Cloud-Dienstleistungs- und zum Bereitstellungsmodell abgefordert.

Das Auslagerungsregister ist auf Verlangen den Aufsichtsbehörden zugänglich zu machen. Die praktische Umsetzung dieser Vorgaben wird viele betroffene Institute vermutlich vor eine Herausforderung stellen.

- Mindestinhalte des Auslagerungsvertrags: Auslagerungen müssen auf Basis einer schriftlichen Vereinbarung mit bestimmten Mindestinhalten für alle Auslagerungsverhältnisse zwischen Institut und Auslagerungsunternehmen erfolgen. Zu den Mindestinhalten gehören Vorgaben für Weiterverlagerungen, Datenschutzanforderungen, eine Kooperationsverpflichtung mit der Aufsicht, die Vereinbarung uneingeschränkter Informations- sowie Prüfungsrechte und eine Festlegung von Beendigungsrechten. Die EBA-Leitlinien beschreiben besonders konkret und detailliert Mindestbestandteile und -regelungen für Verträge von Auslagerungen kritischer/ wichtiger Funktionen. Diese Mindestinhalte gehen zum Teil über die vertraglichen Mindestinhalte für (wesentliche) Auslagerungen hinaus, so wie sie in den MaRisk gefordert werden. Zum Beispiel hinsichtlich der Spezifizierung der Gründe für eine Kündigung gemäß dem geltenden Gesetz. Auch die Forderung vertraglich festzuhalten, dass Unterstützungsleistungen des Dienstleiters nach Kündigung der Auslagerungsvereinbarung zur Verfügung zu stellen sind, gehört dazu. In den Ma-Risk gelten Vertragsanforderungen nur für wesentliche Auslagerungen.

- Governance-Rahmen: Ein zentraler Baustein der EBA-Leitlinien ist die Einrichtung, Umsetzung und Überwachung einer stabilen und geeigneten internen Governance bezüglich Auslagerungen. Dabei werden gruppeninterne Auslagerungen Auslagerungsvereinbarungen mit Dritten gleichgestellt.

Die Verantwortung für die Governance trägt das Leitungsorgan. Sie darf nicht ausgelagert werden (Delegationsverbot). Das Leitungsorgan ist jederzeit für die Einhaltung der regulatorischen Verpflichtungen des Finanzinstituts verantwortlich und rechenschaftspflichtig. Dazu sollte das Leitungsorgan sicherstellen, dass ausreichende Ressourcen zur Verfügung stehen, die die Wahrnehmung der Verantwortlichkeiten angemessen unterstützen und sicherstellen.

Als wesentlicher Inhalt der internen Governance wird die Implementierung einer Outsourcing-Policy (Outsourcing Grundsätze) - auch für Auslagerungen von nicht kritischen/nicht wichtigen Funktionen - mit konkreten und umfangreichen Inhaltsvorgaben in Bezug auf Prinzipien, Verantwortlichkeiten und Verfahren unter Beachtung der "Lebenszyklus-Phasen" der Auslagerungsvereinbarung aufgeführt. An die Outsourcing Policy stellen die EBA-Leitlinien weitreichende und dezidierte Forderungen, welche von einer Beschreibung der Zuständigkeiten der Geschäftsleitung, von Fachabteilungen und der Internen Revision über eine Darstellung der Geschäftsanforderungen an die Auslagerung und der Verfahren zum Management potenzieller Interessenkonflikte bis hin zu Notfallplänen und der Dokumentation von Ausstiegsszenarien reichen. Die Outsourcing-Grundätze sollten abgestuft werden nach der Bedeutung der Auslagerung (kritisch/wichtig versus sonstige Auslagerung) und nach drei weiteren Auslagerungskriterien ((k)ein aufsichtsrechtlich überwachtes Unternehmen, gruppeninterne/-externe Auslagerung, Auslagerung innerhalb/ außerhalb der EU). Zudem wird die Kernkompetenz der Internen Revision als 3-LoD hervorgehoben.

Schließlich wird auch die Verpflichtung betont, eine "retained organisation" vorzuhalten, die eine angemessene Dokumentation, Steuerung und Überwachung der Auslagerungsvereinbarungen gewährleistet und die Einrichtung einer Outsourcing-Funktion (zentrales Auslagerungsmanagement) oder alternativ die Benennung eines leitenden Mitarbeiters mit unmittelbarer Anbindung an die Geschäftsleitung verlangt und das, unabhängig von dem Umfang und der Komplexität der Auslagerungen. Die EBA-Leitlinien stellen aber klar, dass sich kleine und nicht komplexe Institute darauf beschränken können, eine klare Aufteilung der Aufgaben und Verantwortlichkeiten für die Verwaltung und Kontrolle von Auslagerungsvereinbarungen zu gewährleisten und im Übrigen die Auslagerungsfunktion durch einen Geschäftsleiter erfüllen zu lassen.

Im Vergleich zu den EBA-Leitlinien fordern die MaRisk in der Governance zu Auslagerungen nur allgemein die Formulierung von Organisationsrichtlinien, als Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen, ohne diese aber inhaltlich zu spezifizieren.

- Auslagerungssteuerung: In den EBA-Leitlinien gelten die Vorgaben für die Überwachung und Steuerung grundsätzlich für alle Auslagerungen. Ein spezieller Fokus liegt bei Auslagerungen von kritischen, wichtigen Funktionen im Hinblick auf eine Outsourcing-Früherkennung sowie einer angemessenen Reaktion auf identifizierte Ereignisse und Entwicklungen. Gefordert wird eine regelmäßige Risikoanalyse mit expliziten Anforderungen und eine regelmäßige Berichterstattung über die festgestellten Risiken an das Management.

Daneben ist die Überwachung von Leistung (Performance) und Qualität ein weiterer Schwerpunkt. Hierzu wird ergänzend die Implementierung angemessener Tools und Verfahren genannt. In den MaRisk wird eine Auslagerungssteuerung und -überwachung nur für wesentliche Auslagerungen gefordert.

- Informationspflicht gegenüber der Aufsicht: Eine neue Anforderung der EBA-Leitlinien ist die Informationspflicht an die Aufsicht.12) Die EBA-Leitlinien verpflichten die Institute zu künftig geplante Auslagerungsvor haben von kritischen/wichtigen Funktionen (einschließlich Cloud-Dienstleistungen) oder Veränderungen der Risikoeinschätzung rechtzeitig vorab der zuständigen Aufsichtsbehörde anzuzeigen oder diesbezüglich mit ihr in einen Dialog zu treten. Eine solche Notifikationspflicht für Auslagerungen besteht in den MaRisk nicht.

Durch diese ex-ante Informationspflicht der Institute kann die zuständige Aufsicht vor/bei einer zu weitgehenden Auslagerung eingreifen und diese im Extremfall sogar verbieten. Die für die Informationspflicht erforderlichen Kommunikationswege und -prozesse sind im Institut neu aufzusetzen.

- Weiterverlagerungen: Einen weiteren besonderen Fokus legen die neuen EBA-Leitlinien auf die Steuerung und Überwachung von Weiterverlagerungen an Sub-Dienstleister. Weiterverlagerungen werden von der Aufsicht generell kritisch ge sehen und sind eigentlich nicht gewünscht, zumindest nicht in Länder außerhalb der EU.

Weiterverlagerungen sind grundsätzlich vertraglich zu regeln, im Auslagerungsregister zu verwalten und einer Risikoanalyse zu unterziehen. Wenn eine kritische/wichtige Funktion weiterverlagert wird, ist eine effektive Steuerung und Überwachung sicherzustellen. Die Anforderungen müssen auch beim Subdienstleister eingehalten werden. Der Dienstleister muss das Institut über geplante Weiterverlagerungen im Vorfeld informieren. In besonderen Fällen muss sogar ein Widerspruchs- oder Zustimmungsrecht festgeschrieben werden (dies wird insbesondere bei Mehrmandantendienstleistern oder Cloud-Anbietern Diskussionsbedarf bedeuten). In diesem Kontext müssen sich die Dienstleister auf eine deutliche Einschränkung ihrer Flexibilität einstellen.

- Exit: Nach den MaRisk sind Ausstiegsprozesse "soweit sinnvoll und möglich" festzulegen. Für gruppen- und verbundinterne Auslagerungen kann auf eine Erstellung sogar verzichtet werden. Die EBA-Leitlinien erwarten nun, dass für alle Auslagerungen von kritischen/wichtigen Funktionen eine Exit-Strategie festzulegen ist und dass die festgelegten Exit-Pläne ausreichend getestet und dokumentiert sind. Die Bestandteile der Exit-Strategien sind vorgegeben. Insbesondere sind im Zuge der durch eine Beendigung resultierenden Neuausrichtung, die Alternativen eines potenziellen Back-Sourcings alternativer Dienstleister oder einer Einstellung der ausgelagerten Funktion vorzuhalten. Unklar ist, ob diese Vorgaben auch für Auslagerungen innerhalb der Gruppe oder innerhalb eines Instituts-Sicherungssystems gelten sollen und damit deutlich über die derzeitigen Vorgaben für Handlungsoptionen und Ausstiegsprozesse in den MaRisk hinausgehen. Als Auslöser für einen Exit gilt auch eine unakzeptable Verschlechterung der Leistungsqualität des Auslagerungsunternehmens.

Die MaRisk erlauben im Hinblick auf Ausstiegsprozesse Ausnahmen für verbund- und gruppeninterne Auslagerungen und differenzieren im Handlungsbedarf zwischen geplanten beziehungsweise erwarteten und ungeplanten beziehungsweise unerwarteten Beendigungen.

- Interne Revision: Die Rolle der Internen Revision (IR) als "3rd Line of Defence" wird stärker hervorgehoben und die Prüfungsnotwendigkeiten werden detailliert. Der Prüfungsplan soll unter anderem die Angemessenheit der Datenschutzmaßnahmen, des Risikomanagements und des Business Continuity Managements (BCM) sowie der durchgeführten Kontrollhandlungen beinhalten. Im Rahmen der Prüfungshandlungen durch die Interne Revision soll diese auch beurteilen, ob die mit der Auslagerung einhergehenden Risiken sich innerhalb des definierten Risikoappetits bewegen. Eine Erleichterung in den EBA-Leitlinien ist, dass auf "Pooled Audits" für Mehrmandanten-Dienstleister zurückgegriffen werden kann. Zudem können die von der Internen Revision des Dienstleisters beziehungsweise die von einem vom Dienstleister beauftragten Dritten bereitgestellten Berichte und Zertifikate herangezogen werden. Ein vollständiges und dauerhaftes "Verlassen" auf diese Dokumente bei kritischen/wichtigen Auslagerungen ist aber nicht zulässig. Im Vergleich dazu bietet die MaRisk die Möglichkeit der vollständigen Übertragung der Revisionsfunktion auf den Dienstleister unter Beachtung der vertraglichen Verankerung eigener Prüfungsrechte.

- Dokumentation: Insgesamt weisen die EBA-Leitlinien einen weiten Regelungsumfang und hohen Detaillierungsgrad mit erheblichem Dokumentationsaufwand auf. Der erweiterte Analyseaufwand (für zum Beispiel die "Pre-Outsourcing-Analysis") ist schriftlich zu dokumentieren. Ebenso führt die verpflichtende Einführung eines zentralen und einheitlichen Auslagerungsregisters, in das umfangreiche und vielfältige Einzelinformationen zu bestehenden und bereits beendeten Auslagerungen einzutragen sind, zu zusätzlichem Dokumentationsaufwand. Die EBA-Leitlinien verlangen daneben weitere Dokumentationen seitens der Institute, wie die Beurteilungen des Instituts zur Risikosituation, zur Due Diligence bezüglich des Dienstleisters, zur Überwachung und zur Leistungsmessung nebst der Einhaltung von Service Levels sowie zu weiteren rechtlichen und sonstigen Vorgaben.

Ein deutlicher Mehraufwand für die Dokumentation folgt auch aus der Notwendigkeit gemäß EBA-Leitlinien eine Outsourcing Policy zu formulieren, die regelmäßig geprüft und aktualisiert wird. Letztlich ist auch die Meldeverpflichtung gegenüber den Aufsichtsbehörden auf Anforderung unter dem Aspekt einer Aufwandserhöhung zu subsumieren. Nach Beendigung einer Auslagerung sind die Dokumentationen für einen angemessenen Zeitraum aufzubewahren.

Umsetzungsfrist und Übergangslösungen

Bei der Umsetzung ist ein gestaffeltes Vorgehen möglich. Die EBA-Leitlinien gelten für alle Auslagerungen, die nach dem 30. September 2019 vereinbart, geändert oder überprüft werden (neue Auslagerungen und Bestandsfälle mit Anpassungen). Alle anderen Auslagerungen (ohne Anpassungen) können sukzessive im Hinblick auf die Konformität mit den EBA-Leitlinien überprüft werden. Erforderliche Anpassungen sollen aber grundsätzlich bis zum 31. Dezember 2021 abgeschlossen sein. Damit muss die vollständige Umsetzung der neuen Anforderungen bis dahin beendet sein. Für den Fall eines Verzugs ist bei kritischen/wichtigen Auslagerungen die Aufsichtsbehörde zu informieren und ihr zu erklären, welche Maßnahmen das Institut zur weiteren Anpassung ergreifen wird. Die Dokumentationsanforderungen sind bis Ende 2021 zu erfüllen.

Die Übergangsregelung bis 31. Dezember 2021 wirft allerdings Fragen zu bestehenden Auslagerungsverträgen auf. So ist unklar, ob jede Änderung eines Auslagerungsvertrags bereits die neuen EBA-Leitlinien zur Anwendung bringt. In der Praxis werden Leistungsscheine/Service-Level-Agreements von Auslagerungsverträgen stetig angepasst und würden damit - im Wortlaut der Übergangslösung - die unverzügliche Anwendbarkeit der EBA-Leitlinien bewirken. Weiter ist unklar, ob die gemäß MaRisk regelmäßig aus Risikoperspektive durchzuführenden, Überprüfungen ebenfalls die sofortige Anwendbarkeit der neuen EBA-Leitlinien nach dem 30. September auslösen.13)

Auswirkungen und Konsequenzen

Es ist zu begrüßen, dass es künftig mit den EBA-Leitlinien ein einheitliches europäisches Rahmenregelwerk für Auslagerungen von Unternehmen der Finanzindustrie gibt und diese stärker als die CEBS Richtlinie Risikogesichtspunkte berücksichtigen. Die grundsätzlichen Entwicklungen auf nationaler und europäischer Ebene zeigen, dass der Leistungsbezug von Dritten zunehmend in ein "Third-Party- Risk-Management" steuert. Im Mittelpunkt der neuen EBA-Leitlinien steht eine solide und wirksame Outsourcing Governance, die der Geschäftsleitung eine Risikobeurteilung und -steuerung aller Auslagerungen ermöglichen soll. Im Fokus sind dabei Auslagerungen von kritischen/wichtigen Funktionen.

Für die Auslagerungsunternehmen können die EBA-Leitlinien ebenfalls weitreichende Auswirkungen haben.14) Die in Einzelfällen stark ins Detail gehenden Anforderungen, zum Beispiel im Rahmen der Risikoanalyse oder im Kontext von gruppeninternen Auslagerungen, bedeuten darüber hinaus zusätzlich einen erhöhten Analyse- und Dokumentationsaufwand. Unklar ist, ob und wie vor dem Hintergrund des Proportionalitätsprinzips der angesprochene erhöhte Aufwand grundsätzlich reduziert werden kann.

Die BaFin hat zwischenzeitlich das "comply" zu den EBA-Leitlinien formuliert, sodass davon auszugehen ist, dass die Vorgaben in entsprechenden Novellen der MaRisk (und auch der BAIT) im Jahr 2020 berücksichtigt werden. Darauf sollten sich die, der nationalen Aufsicht unterworfenen, LSI's (less significant institutions) einstellen und die Zeit bis dahin zur Evaluierung und gegebenenfalls Anpassung bestehender Prozesse, Policies, Strukturen, Verträge und Dokumente (SFO) nutzen, auch wenn nicht ausgeschlossen werden kann, dass die BaFin noch den einen oder anderen Akzent setzt, der möglicherweise später noch einmal eine Adjustierung verlangt.

Fußnoten

1) Die MaRisk behandeln Auslagerungen im AT 9 auf rund 5 Seiten in 13 Textziffern.

2) Zu weiteren europäischen Regelungen mit Bezug zu Auslagerungen siehe Chrubasik, B. (2019): EBA Guidelines on Outsourcing Arrangements - Alter Wein in neuen Schläuchen oder eine neue Herausforderung?, Vortragsunterlagen, Outsourcing Symposium 2019, Frankfurt/ Main; auch Buchmüller, P./Rambock, O. (2018): Outsourcing - Überblick über die neuen EBA-Vorgaben, in: Risiko Manager 08/2018, S. 34-39.

3) Die EBA-Leitlinien zu Auslagerungen nehmen auch Bezug zu den EBA-Leitlinien zur internen Governance (EBA/GL/2017/11). Letztgenannte wurden allerdings nicht von der BaFin übernommen.

4) Zumindest für nicht signifikante Institute in Deutschland bleiben weiterhin die Anforderungen zu Auslagerungen aus den MaRisk AT 9 relevant, da die Leitlinien der EBA nicht unmittelbar gültig sind.

5) Chrubasik, B./Schütz, A. (2018): Auslagerungen in der Kreditwirtschaft - Aufsichtsrechtliche Anforderungen, Institutsspezifische Herausforderungen, Praxisbezogene Umsetzungshilfen, Göttingen, S. 35 ff.

6) Chrubasik, B./Schütz, A. (2019): Auslagerungen im Fokus von Aufsicht und Abschlussprüfern, in: FLF 2/2019, S. 38-43.

7) Chrubasik, B./Schütz, A. (2018): ebenda

8) Zum Outsourcing Lifecycle siehe Weiss, K./ Ebenführer, B./Moser, S. (2018): Neue Outsourcing Regeln für Banken - der EBA Leitlinienentwurf, Wien 07-08/2018.

9) Nach § 2 a KWG i. V. m. Art. 7 Verordnung (EU) Nr. 575/2013 (CRR).

10) Interessenskonflikte werden in den EBA-Leitlinien grundsätzlich thematisiert, über den speziellen Tatbestand gruppeninterner Auslagerungen beziehungsweise Auslagerungen in Instituts-Sicherungssystemen hinaus.

11) In der Praxis wird zum Beispiel häufig Treasury an die Konzernmutter ausgelagert.

12) Die Informationspflicht wirft Fragen nach der Vereinbarkeit mit deutschem Recht auf, siehe hierzu Kunz, J. H./Lichnowska, K. (2019): Neue EBA Leitlinien zum Outsourcing veröffentlicht - Anpassungen des Auslagerungsmanagements erforderlich, 03/2019; für die Umsetzung der Informations-/Anzeigepflicht müsste § 24 KWG wahrscheinlich geändert werden.

13) Schad, P. (2019): EBA - neuer rechtlicher Rahmen für Auslagerungsvorhaben der Finanzwirtschaft, in: ZfK 7/2019, S. 348-351

14) Drewes, G. (2019): Neue EBA-Outsourcing-Guidelines stellen Bank und Dienstleister am 30.9.2019 vor Herausforderungen, in: IT-Magazin 4/2019.

DR. BODO CHRUBASIK ist Experte für das Thema Auslagerungsmanagement bei der Bank Management Consult GmbH & Co. KG, Göttingen.
E-Mail: b.chrubasik[at]bm-consult[dot]de
 
ACHIM SCHÜTZ ist geschäftsführender Partner der Bank Management Consult GmbH & Co. KG, Göttingen.
E-Mail: a.schuetz[at]bm-consult[dot]de
Dr. Bodo Chrubasik , Experte für das Thema Auslagerungsmanagement, Bank Management Consult GmbH & Co. KG
Achim Schütz , geschäftsführender Partner, Bank Management Consult GmbH & Co. KG

Weitere Artikelbilder

Noch keine Bewertungen vorhanden


X