Die Corona-Pandemie bestimmt den derzeitigen täglichen Arbeitsablauf aller Banken in engen Leitplanken. Zahlreiche Regelsetzer und Bankenaufseher haben Erleichterungen gewährt, dennoch treten viele neue Regelungen in Kraft beziehungsweise werden aktuell konsultiert oder stehen zur Verabschiedung an.
Digitalisierung im Aufwind
Gleichzeitig haben viele Digitalisierungsvorhaben deutlichen Aufwind durch die Corona-Pandemie erfahren. Insbesondere Banken greifen im Rahmen der digitalen Transformation verstärkt auf Partner - wie Fintechs - zurück, um Vorhaben rasch und mit der nötigen innovativen Stärke umzusetzen. Der Erfolg hängt unter anderem von den regulatorischen Rahmenbedingungen ab.
Mit konkretem Bezug zur Thematik Outsourcing liegen aktuell vier Regelungen vor, die der Bundesverband deutscher Banken (BdB) zum Anlass nimmt, um auf die BdB-Leitlinie zu Outsourcing1) zu verweisen. Die Leitlinie hatte der BdB im November 2019 veröffentlicht und öffnet sie jetzt für weitere Nutzergruppen. Sie nimmt speziell die Zusammenarbeit von Banken mit jungen Fintechs in den Blickpunkt, da sie zahlreich beidseitig Chancen einräumen. Die aktuellen Regelungen zum Outsourcing bewirken, dass Banken und Fintechs zwar ein technisches Onboarding in zirka sechs Wochen realisieren können, aber die bankseitige Umsetzung der aufsichtlichen Anforderungen zeitlich bis zu eineinhalb Jahren verschlingen können. Um dem zu begegnen und die Chancen besser zu nutzen, ist unter anderem ein risikoadäquates Onboarding von Drittdienstleistern durch Banken von Vorteil. Die Leitlinie des BdB zielt daher darauf ab, die Zeit des Onboardings zu verkürzen. Der Bankenverband hat mit der Leitlinie ein Vorgehen entwickelt (basierend auf einem Risiko-Reifegrad-Modell), welches die BaFin als zweckmäßig bewertet hat.
Der aktuelle Anlass bezieht sich auf nachfolgende Regelungen, die jeweils direkte Bezüge zum Outsourcing herstellen.
1. Der Vorschlag der EU-Kommission zu einer EU-Verordnung vom 24. September 2020, um die digitale operative Widerstandskraft im Finanzsektor zu verbessern (DORA)2)
2. Die BaFin-Konsultation zu den MaRisk vom 26. Oktober 20203)
3. Die BaFin-Konsultation zu den BAIT vom 26. Oktober 20204)
4. Der Entwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität (FISG) vom 26. Oktober 2020 durch das BMJV und das BMF5)
Verträge mit Technologieunternehmen
Die zu (1) genannte Regulierung, DORA, bezieht sich auf Vertragsbeziehungen von Finanzunternehmen zu Technologieunternehmen in Bezug auf IKT-Risiken. Die Definition von Finanzunternehmen umfasst unter anderem auf EU-Ebene regulierte Kreditinstitute, Zahlungsdienstleister, Ratingagenturen, Wirtschaftsprüfer, Daten-Provider, Versicherungsunternehmen, Crowdfunding-Provider und Investment-Firmen, aber auch IKT-Drittdienstleister.
Die neue Regulierung gilt für alle Drittunternehmen, die digitale und Datendienste anbieten - einschließlich Cloud-Computing-Dienste, Software, Datenanalysedienste und Datenzentren - die vom gemeinsamen Ausschuss der Europäischen Aufsichtsbehörden (ESA)6) als kritisch eingestuft werden. Eine der ESAs soll als federführende Aufsichtsbehörde für jeden kritischen IKT-Drittdienstleister ernannt werden, um die Aufsicht durch zuführen. IKT-Drittdienstleister mit Sitz in einem Drittland (welche keine Geschäfte/Präsenz in der Union aufgebaut haben), deren Betriebsausfall systemische Auswirkungen auf die Erbringung von Finanzdienstleistungen hätte, dürfen von Finanzunternehmen in der EU nicht in Anspruch genommen werden.
Die MaRisk und BAIT werden zurzeit konsultiert und beabsichtigen, Regelungen der EBA von 2019 umzusetzen. Die MaRisk könnten ab dem ersten Quartal 2021 gelten und bis spätestens Ende 2021 aufsichtliche Wirkung entfalten. Die BAIT sollen zeitlich mit den MaRisk veröffentlicht werden. Als weiteres Gesetz steht das FISG an, welches als Antwort auf die Causa Wirecard angesehen werden kann. In diesem Artikelgesetz wird mit Bezug unter anderem zum KWG beabsichtigt, eine Vollzugsanzeige bei Auslagerungen einzuführen, was die EBA-Leitlinie zu Outsourcing von 2019 und der Entwurf zur 6. MaRisk-Novelle nicht vorsehen. Neu ist auch, dass die BaFin direkte aufsichtliche Eingriffsbefugnisse in Bezug auf Auslagerungsunternehmen im In- und Ausland erhalten soll.
Auch für Nichtmitglieder
In Summe fällt auf, dass die Regelungen zum Outsourcing erneut vielschichtiger werden könnten und dies ungeachtet der Tatsache, dass die EBA-Leitlinie zu Outsourcing in den EU-Ländern bereits unterschiedlich umgesetzt wird.
Auch wenn die vom Bankenverband 2019 veröffentlichte Leitlinie zu Outsourcing vorgenannte Entwicklungen nicht antizipieren konnte, so ist der BdB der Meinung, dass die Inhalte allen Banken und Sparkassen helfen können, ein schnelleres Onboarding von jungen Fintechs zu ermöglichen. Den methodischen Ansatz des BdB, Anforderungen an Fintechs nach dem Risikogehalt der Geschäftsaktivitäten gestaffelt abzubilden, hält die BaFin für zweckmäßig. Erste Rückmeldungen zu den Erfahrungen von Banken bestätigen die Praktikabilität der Leitlinie in der operativen Umsetzung.
Der Bankenverband plant, die Leitlinie weiterzuentwickeln und lädt alle interessierten Personen ein, ein Feedback zu geben. Zu diesem Zweck stellt der BdB die Leitlinien ab sofort auch Nichtmitgliedern des BdB zur Verfügung.
Fußnoten
1) https://bankenverband.de/themen/outsourcing-leitlinie-risko-reifegradmodell/
2) https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0595&from=DE
6) https://www.europarl.europa.eu/factsheets/de/sheet/84/europaisches-finanzaufsichtssystem-esfs-
