Die EBA, die oberste Europäische Aufsichtsbehörde der Finanzwirtschaft, veröffentlichte am 25. Februar ihre neuen Outsourcing-Richtlinien, die zum 30. September 2019 in Kraft treten werden.1) Damit wird erstmals nicht nur für Kreditinstitute und Finanzdienstleistungsinstitute, sondern auch für Zahlungsinstitute und E-Geldinstitute das weite Feld der Auslagerungen europaweit einheitlich geregelt und zum Teil auf neue Füße gestellt.
Sehr detaillierte und verschärfte Anforderungen an Auslagerungen
Auslagerungen sind für Unternehmen der Finanzindustrie von erheblicher Bedeutung, vor allem im Bereich der IT und beim Zahlungsverkehr. Damit lassen sich nicht nur in beträchtlichem Umfang Kosten sparen, sondern auch an technischen Entwicklungen und Innovationen partizipieren, die selbst zu entwickeln kaum möglich sind oder kostspielig wären. Im Rahmen der rasanten Entwicklung der Financial Technologies und der damit verbundenen Digitalisierung von Geschäftsabläufen und Prozessen dürfte die Bedeutung von Auslagerungen weiter an Bedeutung zunehmen.
Die EBA-Outsourcing-Richtlinien erweitern die bestehenden Regelungen in erheblichem Umfang und stellen sehr detaillierte und verschärfte Anforderungen an Auslagerungen, die zu einem deutlich erhöhten Mehraufwand aufseiten der Finanzindustrie führen dürften. Dies gilt nicht nur für neu ab dem 30. September aufgesetzte Auslagerungen, sondern auch für bereits bestehende. Nur zum Vergleich: Was die deutsche Finanzaufsicht BaFin derzeit auf rund 3 Seiten regelt, regeln die EBA-Richtlinien künftig auf rund 30 Seiten.
Die EBA-Outsourcing-Richtlinien werden nicht nur den früheren Erlass der Vorgängerbehörde aus dem Jahre 2006 ablösen, sondern insoweit wohl auch die von der BaFin erlassenen MaRisk, AT 9 der "Mindestanforderungen an das Risikomanagement von Kreditinstituten".2)
Erweiterte Anwendbarkeit der EBA-Outsourcing-Richtlinien
Ein wesentlicher Unterschied der EBA-Outsourcing-Richtlinien zu den Vorgängerregelungen aber auch zu den MaRisk ist, dass sie nicht nur für Kredit- und Finanzdienstleistungsinstitute gelten, sondern auch für Zahlungsinstitute und E-Geld-Institute nach dem Zahlungsdiensteaufsichtsgesetz (ZAG).
Dies stellt einerseits eine erhebliche Ausweitung des Anwendungsbereichs dar, führt jedoch andererseits auch zu einer Vereinheitlichung der anwendbaren Regelungen. So sehen derzeit etwa die Ma-Risk detaillierte Anforderungen an den Inhalt von Auslagerungsverträgen für Kreditinstitute und Finanzdienstleistungsinstitute vor.3)
Dagegen formuliert das ZAG für Zahlungsinstitute und E-Geld-Institute die Anforderungen an Auslagerungsverträge nur in allgemeiner Form (vergleiche § 26 Abs. 1 Satz 6 ZAG). Nachdem allerdings auch für Zahlungsinstitute gilt, dass eine Auslagerung weder die Ordnungsgemäßheit der Geschäfte und Dienstleistungen noch der Geschäftsorganisation beeinträchtigen darf,4) stellt sich die Frage, ob und inwieweit die die detaillierten Anforderungen der MaRisk an den Inhalt von Auslagerungsverträgen mangels detaillierter Regelungen des ZAG nicht doch entsprechend gelten oder angewendet werden sollten.
Hier schaffen die neuen EBA-Outsourcing-Richtlinien nunmehr Klarheit, indem im Grundsatz dieselben Anforderungen für alle Auslagerungsverträge gelten. Insoweit führen die EBA-Outsourcing-Richtlinien zu einer Vereinheitlichung der Anforderungen für Auslagerungen der Unternehmen der Finanzindustrie.
Allerdings wird der zumeist deutlich unterschiedlichen Komplexität etwa von großen Kreditinstituten einerseits und einem möglicherweise lediglich einen einzigen Zahlungsdienst anbietenden Zahlungsinstitut (beispielsweise Online-Banking-Funktion einer online angebotenen Buchhaltungssoftware) lediglich über den sogenannten "Proportionalitätsgrundsatz" Rechnung getragen.5)
Dieser soll sicherstellen, dass die Regelungen nach Art, Umfang und Intensität jeweils so anwendbar sein sollen, wie sie mit dem Risikoprofil, dem Geschäftsmodell und Komplexität des Instituts/Zahlungsinstituts korrelieren.
Man kann sich vorstellen, dass dieser Proportionalitätsgrundsatz nicht in allen Fällen dazu führen wird, dass damit stets klarer würde, welche Regelungen nun im Einzelfall einer Auslagerung wie anzuwenden sind. Hier ist zu befürchten, dass dies tendenziell in der Praxis dazu führen könnte, dass sowohl die Institute/Zahlungsinstitute aber wohl auch die Aufsichtsbehörden eher "mehr" der Anforderungen anwenden als weniger.
Definition nicht wesentlich anders als die MaRisk
Die EBA-Outsourcing-Richtlinien definieren eine Auslagerung im aufsichtsrechtlichen Sinne nicht wesentlich anders als derzeit die MaRisk. Danach liegt eine Auslagerung vor, wenn das auslagernde Unternehmen ein Auslagerungsunternehmen damit beauftragt, Prozesse, (institutstypische) Dienstleistungen oder Aktivitäten auszuführen, die es ansonsten selbst ausführen würde.6)
Die MaRisk unterscheiden allerdings "wesentliche" von nicht wesentlichen Auslagerungen. So soll etwa die Auslagerung von Rechtsberatung nicht wesentlich sein. Die aufsichtsrechtlichen Anforderungen der MaRisk AT 9 gelten im Grundsatz nur für wesentliche Auslagerungen. Für nicht wesentliche Auslagerungen sind dagegen nur die allgemeinen Anforderungen an die Ordnungsgemäßheit der Geschäftsorganisation zu beachten. Letztlich muss ein Institut nach den MaRisk selbst und eigenverantwortlich die Einschätzung vornehmen, ob eine Auslagerung als wesentlich einzustufen ist.7)
Die EBA-Richtlinien verfolgen insoweit einen anderen Ansatz: Hier werden einerseits bestimmte Dienstleistungen von vornherein von der Definition der Auslagerung ausgenommen, wie etwa die Bereitstellung von Marktinformationen, die Instituten von Ratingagenturen zur Verfügung gestellt werden oder "globale Netzwerkinfrastrukturen, wie etwa Visa und Mastercard.8)
Andererseits sehen die EBA-Outsourcing-Richtlinien das Konzept der Auslagerung von "kritischen und wichtigen" Funktionen vor.9)
Klarere Ausrichtung auf objektiv messbare Risiken
Der Begriff ist ausdrücklich MiFID II10) entnommen und scheint klarer auf objektiv messbare Risiken einer Auslagerung ausgerichtet zu sein: So soll es sich um die Auslagerung von kritischen/wichtigen Funktionen handeln, wenn die Nichtoder Schlechterfüllung durch das Auslagerungsunternehmen wesentlich die Fähigkeit des auslagernden Unternehmens beeinträchtigen würde, die Anforderungen und Pflichten zu erfüllen, die mit seiner aufsichtsrechtlichen Erlaubnis verbunden sind, oder es würde dessen finanzielle Leistungsfähigkeit beeinträchtigt oder die Zuverlässigkeit oder Fortsetzung seiner Dienstleistungen und Aktivitäten.11)
Mit anderen Worten muss nach den EBA-Richtlinien die Aktivität oder der Prozess, welcher von dem Institut/Zahlungsinstitut ausgelagert wird so wesentlich für seine Geschäftstätigkeit sein, dass diese ernsthaft gefährdet oder beeinträchtigt werden könnte, würde der Dienstleister/das Auslagerungsunternehmen nicht mehr oder nur noch reduziert beziehungsweise mangelhaft seine Leistungen erbringen.
Keine Privilegierung mehr von konzerninternen Auslagerungen
Die MaRisk sehen - zumindest bei der Auslagerung von aus Risikogesichtspunkten als kritisch definierten Bereichen, wie etwa Risikocontrolling, Compliance oder Interne Revision - bestimmte Erleichterungen bei gruppeninternen Auslagerungen vor.12) Auch in der Verwaltungspraxis werden Auslagerungen innerhalb einer Unternehmensgruppe von der BaFin regelmäßig als im Grundsatz unkritischer und weniger risikoreich angesehen. Von diesem Grundsatz scheinen die EBA-Outsourcing-Richtlinien abzurücken, wenn sie einerseits feststellen, dass "Intragroup outsourcing is not necessarily less risky than an outsourcing to an entity outside the group".13) Zum anderen definieren die EBA-Richtlinien spezifische Risiken, die sie wohl vor allem bei gruppeninternen Auslagerungen sehen, nämlich etwa Interessenkonflikte. 14)
Dieses besondere Risiko, das nach Ansicht der EBA mit gruppeninternen Auslagerungen verbunden ist, soll nach der Vorstellung der EBA unter anderem dadurch beseitigt werden, dass die Leistungsbeziehungen der Auslagerung zu marktüblichen Konditionen ausgestaltet werden ("at arm's length"). Dieser eigentlich aus dem Steuerrecht stammende Begriff, der auch eine gewisse gesellschaftsrechtliche Bedeutung hat, soll nunmehr auch für Beziehungen von Gruppengesellschaften in aufsichtsrechtlicher Sicht von Bedeutung sein.
Ferner soll die Auswahl des Auslagerungsunternehmens anhand von "objektiv nachvollziehbaren Kriterien" erfolgen. Für die Risiken sollen klare Kontrollen implementiert und Maßnahmen zu ihrer Beseitigung vorgesehen werden.
Betrachtet man die Praxis von gruppeninternen Auslagerungen und dass diese wohl regelmäßig durch die arbeitsteilige Zusammenarbeit von Gruppengesellschaften motiviert sind, könnte die EBA-Richtlinien hier Folgendes bewirken: Der Dokumentationsaufwand im Vorfeld einer gruppeninternen Auslagerung könnte künftig erheblich ansteigen, um bei einer späteren Prüfung den Nachweis erbringen zu können, dass und welche objektiven Kriterien dafür sprechen, dass etwa die Muttergesellschaft, in der die Stabsfunktionen des Konzerns gebündelt sind, diese aus Sicht der auslagernden Tochtergesellschaft am besten ausführt. Es bleibt abzuwarten, wie die BaFin in ihrer Verwaltungspraxis das Thema der konzerninternen Auslagerungen künftig handhaben wird.
Auslagerungen an Unternehmen in Drittstaaten
Deutlich verschärfte Anforderungen sehen die EBA-Outsourcing-Richtlinien vor für Auslagerungen von Unternehmen der Finanzindustrie, die ihren Sitz in der EU haben, an Auslagerungsunternehmen außerhalb der EU. Bei Auslagerungen in Drittstaaten gilt künftig eine Art Äquivalenzprinzip, das sicherstellen soll, dass die nationalen europäischen Finanzaufsichtsbehörden ihre Aufsicht auch auf das außerhalb der EU ansässige Auslagerungsunternehmen erstrecken können. Insbesondere muss die Kooperation zwischen den Aufsichtsbehörden in Form einer Art Kooperationsvereinbarung beziehungsweise eines "Memorandum of Understanding" sichergestellt sein.
Diese soll etwa vorsehen, dass die nationalen europäischen Aufsichtsbehörden über die Finanzaufsichtsbehörde des Drittstaates alle für eine effiziente Aufsicht erforderlichen Informationen erhält und von ihr über die Verletzung aufsichtsrechtlicher Vorschriften durch das Auslagerungsunternehmen informiert wird. Ferner muss eine solche Vereinbarung zwischen den Aufsichtsbehörden vorsehen, dass sie im Falle der Vollstreckung bei aufsichtsrechtlichen Verletzungen durch das Auslagerungsunternehmen zusammenarbeiten.15)
Erhöhter Analyse- und Dokumentationsaufwand
Weitgreifende Vorfeld-Risikoanalyse: Anders als die MaRisk sehen die EBA-Outsourcing-Richtlinen nunmehr ausdrücklich vor, dass das auslagernde Unternehmen vor der Auslagerung nicht nur eine tiefgehende Risikoanalyse vorzunehmen hat.16) Indem insoweit detaillierte Anforderungen gestellt werden, wie etwa die Analyse und Bewertung der damit verbundenen operationellen Risiken, Konzentrationsrisiken, Risiken der Weiterauslagerung und diese auch bewertet und ins Verhältnis zum Nutzen und den Kosten der Auslagerung gesetzt werden müssen, wird dem auslagernden Unternehmen im Ergebnis wohl nichts anderes übrig bleiben, als dieses komplexe Verfahren schriftlich zu dokumentieren.
Diese Risikoanalyse hat zudem eine eingehende Überprüfung/Due Diligence von Auslagerungsunternehmen/Dienstleistern und auch ihrer Subunternehmer zu beinhalten, welche - zumindest im Falle der Auslagerung kritischer/wichtiger Funktionen - unter anderem auch deren Reputation, fachliche Qualifikation, finanzielle Leistungsfähigkeit, aber auch ihr ethisches und soziales Verhalten umfasst.
So sind Dienstleister und ihre Subunternehmer im Rahmen dieser Due Diligence daraufhin zu überprüfen, ob sie etwa die Europäische Menschenrechtskonvention beachten, den Umweltschutz, angemessene Arbeitsbedingungen vorhalten und vor allem auch das Verbot von Kinderarbeit beachten.17) Diese zuletzt genannten Anforderungen an eine Due Diligence dürften vor allem für solche Auslagerungsunternehmen erheblich sein, die außerhalb der EU gelegen sind.
Schriftliche Auslagerungsordnung: Die EBA-Richtlinien sehen weiter vor, dass die Geschäftsleitung des auslagernden Unternehmens dafür zu sorgen hat, dass eine schriftliche Auslagerungsordnung/Outsourcing Policy erstellt wird, die regelmäßig geprüft und aktualisiert wird.
An diese Outsourcing Policy stellt die European Bank Authority weitreichende Anforderungen, welche etwa von einer Beschreibung der Zuständigkeiten der Geschäftsleitung, von Fachabteilungen und der Internen Revision über eine Darstellung zu den Geschäftsanforderungen an die Auslagerung bis hin zu Notfallplänen und der Darstellung von Ausstiegsszenarien reichen.18)
Zeitliche Anwendbarkeit/Übergangsregelung
Die EBA-Richtlinien gelten für alle Auslagerungen, die ab dem 30. September2019 vereinbart, geändert oder überprüft werden, spätestens jedoch ab dem 31. Dezember2021.19) Diese scheinbar großzügige Übergangsregelung für bestehende Auslagerungen wirft eine Reihe von Zweifelsfragen auf: Nach den MaRisk sind Auslagerungen nämlich regelmäßig zu überprüfen und es ist mindestens jährlich von dem zentralen Auslagerungsmanagement ein Bericht an die Geschäftsleitung zu erstellen.20) Der Wortlaut der Übergangsregelung21) spricht lediglich davon, dass eine "Überprüfung der Auslagerung" die Anwendbarkeit der neuen EBA-Outsourcing-Richtlinien auslöst und lässt damit offen, ob etwa auch derartige Regelüberprüfungen darunter fallen.
Andererseits erfasst der Wortlaut der Übergangsregelung auch "Änderungen der Auslagerung" und bewirkt für diesen Fall die sofortige Anwendbarkeit der EBA-Outsourcing-Richtlinien. Nachdem die Übergangsregelung nicht zwischen der Wesentlichkeit einer Änderung differenziert, ist nicht sicher, ob etwa auch kleinere, formale Änderungen des Auslagerungsvertrags davon umfasst sind.
Dies könnte etwa zur Folge haben, dass eine Anpassung des Auslagerungsvertrags oder auch nur eines Leistungsscheins/Service Level Agreements die sofortige Anwendbarkeit des neuen Rechts nach dem 30. September 2019 bewirkt.
Einheitliche europäische Regeln
Die neuen EBA Guidelines on Outsourcing Arrangements sind künftig nicht nur für Kreditinstitute und Finanzdienstleister sondern auch für Zahlungsinstitute und E-Geldinstitute anwendbar. Es ist zu begrüßen, dass es künftig einheitliche europäischen Regeln für Auslagerungen von Unternehmen der Finanzindustrie geben wird. Zum einen machen Auslagerungen nicht an Grenzen halt. Andererseits sollten unterschiedliche nationale aufsichtsrechtliche Anforderungen an Auslagerungen innerhalb der Europäischen Union für Unternehmen der Finanzindustrie keine Wettbewerbsvorteile oder -nachteile bewirken. Auch der Umstand, dass die EBA-Outsourcing-Richtlinien Risikogesichtspunkte noch stärker berücksichtigen, ist angesichts der teilweise mit Auslagerungen verbundenen erheblichen Risiken im Grundsatz angemessen.
Letztlich dürften jedoch die stark ins Detail gehenden Anforderungen, welche die EBA-Outsourcing-Richtlinien an eine Risikobewertung stellen, nicht nur zu einem erheblich erhöhten Analyse- und Prüfungs- sondern auch Dokumentationsaufwand bei den Unternehmen der Finanzindustrie führen. Denn anders ist kaum vorstellbar, wie das auslagernde Unternehmen im Falle einer aufsichtsrechtlichen Prüfung später nachweisen können soll, dass es die detaillierten Anforderungen tatsächlich eingehalten hat.
Starke Formalisierung von Prozessen
Es ist zu befürchten, dass dies zu einer starken Formalisierung von Prozessen führen, die nicht zwingend einhergehen mit einer Risikominimierung. Auch wenn einheitliche Regelungen für Unternehmen der Finanzindustrie zu begrüßen sind, wäre eine uneingeschränkte einheitliche Anwendung der EBA-Outsourcing-Richtlinien etwa auf kleinere Zahlungsdienstleister einerseits und Großbanken andererseits nicht angemessen. Es ist schwer vorherzusehen, ob und inwieweit sich das sogenannte Proportionalitätsprinzip, das eine entsprechend reduzierte Anwendbarkeit für Unternehmen mit entsprechend geringerem Risikoprofil vorsieht, in der Praxis der Auslagerungen tatsächlich auswirkt: Nachdem das Proportionalitätsprinzip nicht klar bestimmt, welche Regelungen im Falle reduzierter Risiken anwendbar oder eben nicht anwendbar sind, dürften insoweit in der Praxis Unsicherheiten und Unklarheiten kaum vermeidbar sein. Es ist zu befürchten, dass Prüfer im Zweifel letztlich doch darauf bestehen werden, "zur Sicherheit" eher die erhöhten Anforderungen zu erfüllen.
Schließlich könnte auch der Umstand, dass gruppeninterne Auslagerungen nicht mehr im Grundsatz privilegiert sind, sondern von den EBA-Outsourcing-Richtlinien zum Teil sogar als risikoreicher eingestuft werden, dazu führen, dass auch in diesen Fällen künftig ein erheblicher und nicht zu unterschätzender Mehraufwand entsteht.
Fußnoten
1) EBA Guidelines on outsourcing arrangements - EBA/GL/2019/02.
2) Rundschreiben der BaFin 09/2017 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk.
3) MaRisk, AT 9 Nr. 7.
4) § 26 Abs. 1 Satz 2 ZAG.
5) EBA-Outsourcing-Richtlinien Title I "Proportionality", S. 23, Rn. 18 ff.
6) EBA-Outsourcing-Richtlinien "Definitionen", S. 19, Rn. 12; MaRisk AT 9, Nr. 1.
7) MaRisk, AT 9 Nr. 2.
8) EBA-Outsourcing-Richtlinien Abschnitt 3 "Outsourcing", S. 26, Rn. 28.
9) EBA-Outsourcing-Richtlinien Abschnitt 3 "Outsourcing", S. 26 ff., Rn. 29 ff.
10) Commission Delegated Regulation (EU) 2017/ 565, Art. 30.
11) EBA-Outsourcing-Richtlinien Title II.4, S. 26 ff., Rn. 29.
12) MaRisk, AT 9 Nr. 5.
13) EBA-Outsourcing-Richtlinien "Background", S. 11, Rn. 27.
14) EBA-Outsourcing-Richtlinien "Background", S. 11, Rn. 27, 28.
15) EBA-Outsourcing-Richtlinien Abschnitt 12, S. 40, Rn. 63.
16) EBA-Outsourcing-Richtlinien Abschnitt 12, S. 39, Rn. 61 ff.
17) EBA-Outsourcing-Richtlinien Abschnitt 12, S. 43, Rn. 73.
18) EBA-Outsourcing-Richtlinien Abschnitt 7, S. 33, Rn. 42 ff.
19) EBA-Outsourcing-Richtlinien Abschnitt 3, S. 22, Rn. 13 ff.
20) MaRisk, AT 9 Nr. 13
21) "(...) these guidelines apply from 30 September 2019 to all outsourcing arrangements entered in - to, reviewed or amended on or after this date." (EBA-Outsourcing-Richtlinien Abschnitt 3, S. 22, Rn. 13.)
