Die BaFin hat die bestehenden Outsour-cing-Regelungen modernisiert und in die Mindestanforderungen an das Risikomanagement (MaRisk) integriert.1) Die neuen Regelungen knüpfen nunmehr nahtlos an den prinzipienorientierten Ansatz der MaRisk an.
Chancen und Risiken von Auslagerungslösungen
Institute sind aufgrund des wachsenden Wettbewerbs mehr und mehr darauf angewiesen, sich gegenüber der Konkurrenz Kostenvorteile zu erarbeiten. Die Steigerung der Produktivität ist ein Weg dieses Ziel zu erreichen. Bereits im 18. Jahrhundert fand der Philosoph Adam Smith heraus, dass sich der Wohlstand der Gesellschaften dadurch steigern lässt, dass Arbeitsprozesse aufgeteilt werden. In seinem Hauptwerk "Über den Reichtum der Nationen"2) verdeutlicht er die Vorteile der Arbeitsteilung anhand des berühmten Stecknadel-Beispiels: Demnach kann ein einzelner Arbeiter an einem Tag nur eine geringe Anzahl von Stecknadeln herstellen. Ein Vielfaches an Stecknadeln kann aber dann produziert werden, wenn die Arbeit in einzelne Prozesse aufgeteilt wird und jeder Arbeiter nur noch spezialisierte Arbeitsprozesse durchführt.
Auch die Produktivitätsfortschritte der neueren Zeit sind insbesondere auf wachsende Arbeitsteilung zurückzuführen. Eine besondere Form der Arbeitsteilung ist Outsourcing. Im Unterschied zu Industrieunternehmen erstellen aber Banken noch immer einen Großteil ihrer Leistungen in Eigenregie. Die Schlussfolgerung liegt also nahe, dass sich Banken Kostenvorteile erarbeiten können, indem sie das bestehende Optimierungspotenzial heben. Bei Auslagerungen geht es aber nicht nur um Kostenvorteile. Durch den Rückgriff auf die spezielle Expertise externer Dienstleister kann die Qualität der eigenen Leistungen auch zum Vorteil der eigenen Kunden verbessert werden.
Den Chancen stehen aber auch Risiken gegenüber: Leistungsstörungen, mangelhaft vorbereitete Auslagerungen, irreversible Abhängigkeiten zum Dienstleister, Kontrollverlust, aber auch unterschiedliche Unternehmenskulturen, Störungen an der Schnittstelle zum Dienstleister sowie der Verlust an eigenem Know-how und vieles mehr sind unter Umständen dazu geeignet, bei den Instituten nicht beherrschbare Risiken zu begründen. Diese Risiken können sogar systemische Ausmaße annehmen.
Beweggründe für die Überarbeitung der Outsourcing-Regelungen
Aus diesem Grund haben der Gesetzgeber und die Bankenaufsicht bereits in den neunziger Jahren des letzten Jahrhunderts einen ersten regulatorischen Rahmen für Auslagerungen geschaffen.3) Die Altregelungen zeichneten sich jedoch durch einen hohen Detaillierungs- und Komplexitätsgrad aus und trugen den outsourcingtypischen Risiken nicht immer ausreichend Rechnung, sodass die Anwendung sowohl in der Praxis der Institute als auch bei der Aufsicht immer schwieriger wurde. Deshalb kündigte die BaFin bei der Veröffentlichung der MaRisk im Dezember 2005 die Modernisierung der Outsourcing-Regelungen und deren Integration in das Rundschreiben an.
Die BaFin hat bereits zu diesem Zeitpunkt klargestellt, dass es um die Entwicklung eines flexiblen und praxisnahen Rahmens geht, der nahtlos an die prinzipienorientierte Grundausrichtung der MaRisk anknüpft. Nicht nur das Ziel, den Fokus der neuen Regelungen auf das Management von outsourcing-spezifischen Risiken zu lenken hat die Aufsicht bewegt, sondern auch die Diskussionen und die Regulierung auf internationaler und europäischer Ebene.4) So wurde die Finanzmarktrichtlinie (MiFID) und die dazu erlassene Durchführungsrichtlinie5) unter anderem durch das Finanzmarkt richtlinie-Umsetzungsgesetz (FRUG) zum 1. November 2007 in deutsches Recht umgesetzt. Zeitgleich traten auch die neuen MaRisk in Kraft.
Rechtlicher Rahmen
Sowohl das Kreditwesengesetz (KWG) als auch die MaRisk bilden den rechtlichen Rahmen der Anforderungen an Auslagerungen. Die Umsetzung der Finanzmarktrichtlinie wirkte sich sowohl auf Gesetzesebene als auch auf Ebene der Verwaltungsvorschriften und damit auf die MaRisk aus. Die Kernelemente des § 25a Abs. 2 KWG, der gesetzlicher Anknüpfungspunkt für Auslagerungstatbestände ist, wurden durch das FRUG im Wesentlichen nicht verändert. So darf eine Auslagerung nicht die Ordnungsmäßigkeit der Geschäftsorganisation beeinträchtigen. Ferner bleibt die Geschäftsleitung auch für die ausgelagerten Aktivitäten und Prozesse verantwortlich.
Der grundsätzliche Unterschied zur alten Regelung besteht allerdings darin, dass die Absicht und der Vollzug einer Auslagerung gegenüber der Aufsicht nicht mehr angezeigt werden müssen. Das an die Anzeigepflicht geknüpfte, sogenannte Vertragsprüfungsverfahren entfällt ebenso. Auch die MaRisk, die als norminterpretierende Verwaltungsvorschriften der Auslegung der unbestimmten Rechtsbegriffe des § 25a KWG dienen, sind in mehrerer Hinsicht durch die MiFID und die Durchführungsrichtlinie betroffen. Modul AT 9 der MaRisk,6) das bislang lediglich eine Platz-halter-Funktion innehatte, wurde ausgebaut.7) In einigen weiteren Modulen finden sich punktuelle Ergänzungen, wie zum Beispiel bei den Regelungen zu der Geschäftsleiterverantwortung,8) der Strategie,9) den Risikosteuerungs- und -controllingprozessen10) und dem Notfallkonzept11).
Schwerpunkte
Die MaRisk stellen Anforderungen sowohl an unter Risikogesichtspunkten wesentliche Auslagerungen als auch an nicht-wesentliche Auslagerungen. In einem ersten Schritt muss also festgestellt werden, ob überhaupt der sachliche Anwendungsbereich eröffnet ist. Im zweiten Schritt legt das Institut fest, ob es sich dabei um eine wesentliche Auslagerung handelt. Denn nur daran knüpfen die MaRisk outsour-cing-spezifische Anforderungen, die im Wesentlichen in AT 9 adressiert sind. Gleichwohl verbleibt aber kein regulatorisch freier Raum. Die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation nach § 25 a Abs. 1 KWG sind grundsätzlich immer zu beachten.
Definition von Auslagerung
Eine Auslagerung liegt nach der Definition der MaRisk vor: "..., wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden".12) Im Vergleich zur alten Regelung ist der sachliche Anwendungsbereich tendenziell erweitert worden.
Zum einen umfasst er nunmehr neben den erlaubnispflichtigen Geschäften - Bankgeschäfte und Finanzdienstleistungen - auch den Tatbestand der institutstypischen Dienstleistungen. In Anlehnung an die Finanzmarktrichtlinie werden darunter betriebliche Aufgaben verstanden, die für die kontinuierliche und ordnungsgemäße Erbringung und Ausübung von Dienstleistungen für Kunden und Anlagetätigkeiten wichtig sind. Hierzu zählen beispielsweise auch die in der Finanzmarktrichtlinie genannten Nebendienstleistungen, wie bestimmte Beratungsleistungen, Wertpapier- und Finanzanalyse oder sonstige Formen allgemeiner Empfehlungen, die Geschäfte mit Finanzinstrumenten betreffen sowie Dienstleistungen im Zusammenhang mit der Übernahme von Emissionen.13)
Zum anderen wird auf das Merkmal "Dauerhaftigkeit", das nach den Anforderungen des alten Rundschreibens 11/2001 vom 6. Dezember 2001 ein Kriterium für eine Auslagerung war, verzichtet. Denn die Anknüpfung an die Laufzeit einer Auslagerung ist mit dem risikoorientierten Ansatz der neuen Regelungen nicht vereinbar. Auch die Definition von Outsourcing der MiFID, Durchführungsrichtlinie und in den Guidelines von CEBS nehmen keinen Bezug auf die Dauer der Auslagerungsvereinbarung.
Ausnahme
Keine Auslagerungen im Sinne der MaRisk sind Tätigkeiten, die ansonsten nicht vom Institut selbst erbracht würden. Die MaRisk sprechen vom "sonstigen Fremdbezug von Leistungen". Dazu gehört zunächst der einmalige oder gelegentliche Fremdbezug von Gütern oder Dienstleistungen, wie beispielsweise der Kauf, Kantinenbetrieb und Beratungsleistungen.
Ebenso wenig um eine Auslagerung handelt es sich bei Sachverhalten, bei denen die Anwendung der speziellen Anforderungen angesichts der besonderen, mit solchen Konstellationen einhergehenden Risiken, regelmäßig nicht angemessen ist. Hiervon werden Leistungen erfasst, die typischerweise von einem beaufsichtigten Unternehmen bezogen und aufgrund tatsächlicher Gegebenheiten oder rechtlicher Vorgaben regelmäßig weder zum Zeitpunkt des Fremdbezugs noch in der Zukunft vom Institut selbst erbracht werden können.
Die Nutzung von Zentralbankfunktionen durch Primärinstitute innerhalb von Finanzverbünden, die Nutzung von Clearingstellen im Rahmen des Zahlungsverkehrs und der Wertpapierabwicklung, die Einschaltung von Korrespondenzbanken oder die Verwahrung von Vermögensgegenständen von Kunden nach dem Depotgesetz sind Beispiele dafür.
Risikoanalyse
Outsourcing-spezifische Anforderungen, wie beispielsweise die Vereinbarung von Prüfungsrechten werden nur an wesentliche Auslagerungen gestellt. Anders als nach den Altregelungen bestimmt nicht die Verwaltungspraxis, ob eine Auslagerung "wesentlich" ist, sondern das Institut selbst. So hat also das Institut eigenverantwortlich auf der Grundlage einer Risikoanalyse die "Wesentlichkeit" der Auslagerung festzustellen.14) Durch diesen Ansatz - in dem wesentliche Prinzipien der MaRisk zum Tragen kommen - übernimmt das Institut die Verantwortung sowohl für die Einstufung der Auslagerung als auch für deren Einbindung in das eigene Risikomanagement. Die Aufsicht stellt keine Anforderungen an die Ausgestaltung der Risikoanalyse. Bei der Erstellung sind jedoch die maßgeblichen Organisationseinheiten und die Interne Revision im Rahmen ihrer Aufgaben einzubeziehen. Inhaltlich muss die Analyse alle Aspekte umfassen, die für eine angemessene Einbindung der Auslagerungen in
das Risikomanagement maßgeblich sind. Insbesondere sind die Risiken der Auslagerung und die Eignung des Dienstleisters zu berücksichtigen. Bei gruppeninternen Auslagerungen kann das Institut wirksame Vorkehrungen, wie beispielsweise die eines Risikomanagements auf Gruppenebene oder in Form von Durchgriffsrechten, auch risikomindernd berücksichtigen. Sollten sich im Zeitablauf wesentliche Änderungen ergeben, so ist die Risikoanalyse anzupassen.
Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Aktivitäten und Prozesse ab. Besonders sorgfältiger Vorkehrungen bedarf es bei Auslagerungen von erheblicher Tragweite, wie zum Beispiel der Vollauslagerung der Internen Revision bei einem größeren Institut. In solchen Fällen ist entsprechend intensiv zu prüfen, ob und wie eine Einbeziehung der Auslagerungen in das Risikomanagement sichergestellt werden kann.15)
Grenzen der Auslagerungsmöglichkeiten
Durch die neuen Regelungen werden den Instituten tendenziell mehr Freiräume für Auslagerungsmaßnahmen eingeräumt. Nach AT 9 Tz. 4 sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigt wird. Hieraus ergeben sich auch die Grenzen, die beispielsweise im Gesellschaftsrecht, im KWG, in den spezialgesetzlichen Regelungen und in den MaRisk normiert sind. So darf die Auslagerung nicht zu einer Delegation der Verantwortung der Geschäftsleiter an das Auslagerungsunternehmen führen. Auch sind die Leitungsaufgaben der Geschäftsleitung weder an eigene Mitarbeiter noch an externe Dritte delegierbar. Ebenso wenig auslagerbar sind Aufgaben, die der Geschäftsleitung aufgrund gesetzlicher Vorgaben oder sonstiger Regelungen explizit vorbehalten sind, wie zum Beispiel die Entscheidungen über Großkredite nach dem KWG oder die Festlegung der Strategien.
Darüber hinausgehende Einschränkungen können sich aufgrund spezialgesetzlicher Regelungen ergeben, wie beispielsweise bei Bausparkassen im Hinblick auf die Steuerung des Bausparkassenkollektivs. Auch bei der Vollauslagerung der Internen Revision sind Einschränkungen vorgesehen. So ist ein Revisionsbeauftragter zu benennen, dessen Aufgaben16) abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten entweder von einer Organisationseinheit, einem Mitarbeiter oder einem Geschäftsleiter wahrgenommen werden.
Steuerung, Überwachung, Auslagerungsvertrag
Auch die verantwortlichen Stellen für die Überwachung und Steuerung der ausgelagerten Aktivitäten und Prozesse können nicht ausgelagert werden. Anders als die Altregelungen sind die MaRisk im Hinblick auf die Organisation dieser Stellen offen. So können sie beispielsweise in einer "Retained Organisation" gebündelt oder dezentral in der Aufbauorganisation eingebunden werden. Es sind aber auch andere organisatorische Lösungen denkbar. Jedenfalls sind diese Stellen proportional zu Art, Umfang, Komplexität und Risikogehalt der Auslagerungen auszugestalten.
Mit den neuen Freiräumen geht auch ein Mehr an Verantwortung einher. Die Geschäftsleiter müssen in der Lage sein, die mit wesentlichen Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen.17) Dies umfasst beispielsweise auch die regelmäßige Beurteilung der Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien. Auch hier greift der den MaRisk-immanente Grundsatz der Proportionalität, sodass sich der damit verbundene Aufwand an Art, Umfang, Komplexität und Risikogehalt der wesentlichen Auslagerungen zu richten hat.
Die MaRisk nennen verschiedene Regelungsgegenstände, die das auslagernde Institut mit dem Auslagerungsunternehmen im Auslagerungsvertrag vereinbaren muss.18) Diese Aufzählung deckt lediglich die regulatorisch notwendigen Bereiche ab. Daher ist es nicht verwunderlich, dass der tatsächliche Umfang eines Auslagerungsvertrages wesentlich umfassender ist. Die Anforderungen der MaRisk an den Vertragsinhalt sind lediglich bei wesentlichen Auslagerungen zu beachten. Festzuhalten ist, dass keine wesentlichen Neuerungen gegenüber den alten Regelungen enthalten sind. Für besondere Auslagerungskonstellationen konnten aber sachgerechte Lösungen gefunden werden:
Bei Auslagerungen auf Mehrmandantendienstleister zum Beispiel hat die Umsetzung bestimmter Anforderungen in der Praxis häufig zu Schwierigkeiten geführt. Das betrifft im Besonderen die Durchführung von Prüfungen der Internen Revision des auslagernden Instituts. Grundsätzlich müsste die Interne Revision beim Auslagerungsunternehmen die ausgelagerten Aktivitäten und Prozesse prüfen. Bei einer Vielzahl von Mandanten stoßen diese Anforderungen jedoch an ihre Grenzen. Beim Mehrmandantendienstleister würde der betriebliche Ablauf allein schon wegen der schieren Masse an zu erwartenden Revisionsprüfungen erheblich beeinträchtigt werden. Unter solchen Bedingungen könnte der Mehrmandantendienstleister wohl kaum noch seine Verpflichtungen gegenüber den Mandanten erfüllen.
Ähnliche Probleme ergeben sich bei der Vereinbarung von Zustimmungsvorbehalten bei Weiterverlagerungen und Weisungsrechten.19) Die in AT 9 Tz. 6 eingefügten Flexibilisierungen sollen dazu beitragen, diese Probleme abzuschwächen. So kann die Interne Revision des auslagernden Instituts zum Beispiel auf eigene Prüfungshandlungen beim Auslagerungsunternehmen verzichten, sofern die Revisionstätigkeit anderweitig20) ausgeführt wird und diese den aufsichtlichen Anforderungen an die Interne Revision genügt.21) Auch für die beiden anderen Bereiche konnten sachgerechte Lösungen gefunden werden.22)
Neue Gestaltungsspielräume
Mit den neuen Outsourcing-Regelungen wird das zentrale Regelwerk der qualitativen Bankenaufsicht um ein wichtiges Element ergänzt, sodass die MaRisk noch mehr als bisher ihrem ganzheitlichen Anspruch Rechnung tragen. Der an Prinzipien ausgerichtete Ansatz der BaFin wird jedoch nur dann erfolgreich sein, wenn alle Beteiligten ihrer neuen Rolle gerecht werden. Prinzipienorientierte Regulierung schafft neue Gestaltungsspielräume für die Institute und stärkt somit deren Eigenverantwortung. Die BaFin erwartet von den Instituten, dass sie dieser Verantwortung Rechnung tragen und die Spielräume auf sachgerechte Weise mit Leben füllen. Durch die Modernisierung der Outsour-cing-Regelungen wird zugleich die Grundlage für eine risikoorientierte Aufsichts- und Prüfungspraxis geschaffen. Es hängt vom Zusammenspiel zwischen Instituten, Prüfern und Aufsicht ab, ob sich der prinzipienorientierte Ansatz der BaFin für alle Beteiligten positiv auswirkt.
Der Beitrag gibt die persönliche Auffassung des Autors wieder.