News

BaFin schafft detail­lierte Anforderungen für Cloud-Bezug

16.02.2024

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat im Februar 2024 gemeinsam mit der Deutschen Bundesbank die „Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter“ veröffentlicht. Die Aufsichtsmitteilung ist der Nachfolger der Orientierungshilfe zu Auslagerungen an Cloud-Anbieter aus 2018. Sie verschriftlicht die derzeitige aufsichtliche Meinung und ergänzt daher die bekannten Verwaltungsverlautbarungen wie MaRisk und die „xAIT“-Anforderungen.

Die Aufsichtsmitteilung überzeugt inhaltlich und belegt ein fundiertes Verständnis der Behörde von den Druckpunkten des gesamten Auslagerungsprozesses und gibt wertvolle Hinweise für die Vertragsgestaltung aus Sicht der Aufsicht. Man kann mit Fug und Recht sagen, dass die ehemalige Orientierungshilfe mit dieser Veröffentlichung erwachsen geworden ist. Die Aufsichtsmitteilung geht checklistenartig auf die relevantesten Aspekte einer ausgeglichenen Vertragsgestaltung ein.

Daneben zeigt die BaFin bereits jetzt an den relevanten Stellen auf, welche Auswirkungen der Digital Operational Resilience Act (DORA) haben wird, der ab dem 17. Januar 2025 auf Unternehmen des Finanzsektors in der Europäischen Union direkt anzuwenden sein wird. Die Aufsicht stellt bereits in Aussicht, dass der DORA keine Differenzierung zwischen Auslagerungen und sonstigem Fremdbezug von IT-Dienstleistungen mehr enthalten wird. Dies macht bei bisherigem sonstigen Fremdbezug klar, dass die Finanzunternehmen die Verträge mit Blick auf DORA nachverhandeln müssen.

Umfassender Anwendungsbereich

Die BaFin richtet ihre Aufsichtsmitteilung an alle Unternehmen, die ihrer Aufsicht unterliegen, also insbesondere Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Einrichtungen der betrieblichen Altersversorgung, Pensionsfonds, Wertpapierinstitute, sonstige Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute.

Inhaltlich werden alle Arten des Cloud-Computings adressiert: Von Infrastructure-as-a-Service bis hin zu Software-as-a-Service. Nach dem Wortlaut der Verlautbarung ist sie nicht auf „klassisches“ Outsourcing anwendbar. Da jedoch einerseits die Grenzen eines solchen Outsourcings zum Cloud-Outsourcing oft verschwimmen und andererseits in der Verlautbarung viele Aspekte adressiert werden, die ohnehin in einer Auslagerungsvereinbarung (etwa gemäß AT 9 der MaRisk) vereinbart werden müssen, dürfte die Mitteilung der BaFin jedenfalls mittelbar ihren Eingang in IT-Auslagerungsvereinbarungen finden.

Die Aufsichtsmitteilung umfasst Auslagerungen bzw. Ausgliederungen im aufsichtsrechtlichen Sinne, wobei an geeigneten Stellen auf Besonderheiten bei wesentlichen Auslagerungen hingewiesen wird.

Wesentliche Inhalte der Aufsichtsmitteilung

Die Aufsichtsmitteilung ist eine Goldgrube für die Gestaltung des kompletten Auslagerungsprozesses einschließlich der Vertragsgestaltung. Im Rahmen dieses Newsbeitrags fassen wir die wichtigsten Inhalte zusammen und fokussieren dabei auf solche Aspekte, die uns besonders praxisrelevant erscheinen.

Vorbereitung einer Auslagerung

Die Aufsichtsmitteilung beginnt die Darstellung mit den organisatorischen Anforderungen an eine Auslagerung. Nach unserer Beobachtung ist Umfang und Qualität der strategischen Vorüberlegungen und der Wesentlichkeitsbewertung bei auslagernden Unternehmen höchst unterschiedlich. Häufig besteht zwar der klare Wunsch, „in die Cloud zu gehen“. Es fehlt jedoch oft an einer klaren Festlegung, welche Dienste für welche Zwecke eingesetzt werden sollen.

Die BaFin stellt einen umfassenden Katalog mit Faktoren auf, die Finanzunternehmen bei der Analyse und Wesentlichkeitsbewertung berücksichtigen müssen. Dieser Katalog umfasst sehr detaillierte Punkte, wie etwa die Auswirkungen einer Insolvenz nach dem auf den Cloud-Provider anwendbaren Recht oder auch die Bewertung von Risiken für Daten, sofern Zugriffsmöglichkeiten auf Daten durch andere Jurisdiktionen bestehen. Das oft gehörte Argument, dass die Daten nur in bestimmten Rechenzentren verarbeitet werden, greift insofern nicht durch. Dies macht deutlich, dass auslagernde Unternehmen sich sehr genau mit den konkret bezogenen Diensten auseinandersetzen und diese analysieren müssen.

Ausgehend von den Feststellungen der Analysephase – so erläutert es die BaFin – sollen die Finanzunternehmen risikomitigierende Maßnahmen ableiten, die in interne Vorgaben für die Nutzung der Dienste münden.

Anforderungen an die Vertragsgestaltung

Sodann führt die BaFin umfangreich dazu aus, welche Anforderungen an den Outsourcing-Vertrag gestellt werden. Zunächst wird klargestellt, dass der Leistungsgegenstand klar festgeschrieben sein muss. Was wie eine Selbstverständlichkeit klingt, ist in der Praxis oft alles andere als das. Gerade Leistungsscheine sind häufig sehr unklar verfasst und allenfalls für die Autorinnen und Autoren verständlich. Käme es hier (Jahre) später zu einem Streit, wäre häufig für beide Parteien nicht mehr nachvollziehbar, was eigentlich geschuldet war.

Einigkeit bestand bei Vertragsverhandlungen bislang allenfalls, dass auslagernde Unternehmen umfassende Informations- und Prüfungsrechte haben müssen. Die Details der konkreten Ausgestaltung fallen hingegen unter die Top 3 der meistumstrittenen Klauseln in Verträgen. Die Aufsicht erteilt einigen äußerst praxisrelevanten Einschränkungen eine klare Absage. Zu diesen „verbotenen“ Einschränkungen von Informations- und Prüfungsrechten gehören etwa (i) gestufte Verfahren, bei denen das Finanzunternehmen vorrangig Dokumente prüfen muss, (ii) eine Beschränkung auf die Vorlage von Berichten oder Zertifikaten sowie (iii) ein Verweis auf die Nutzung der Managementkonsole.

Ein weiterer Dauerbrenner in Vertragsverhandlungen sind die Weisungsrechte. Auch hier sorgt die BaFin für erfrischende Klarheit. Zum einen stellt sie klar, dass Weisungsrechte sich auch etwa darauf beziehen müssen, dass die auslagernden Unternehmen Einfluss auf Nachweise/Zertifizierungen nehmen können müssen. Dies ist ein schönes Beispiel für eine Weisung, die gerade nicht über eine Verwaltungskonsole ausgeübt werden kann, wie häufig in Verhandlungen argumentiert wird. Jedoch macht die BaFin auch klar, dass Vereinbarungen über Weisungsrechte entbehrlich wären, wenn Leistungen hinreichend klar im Auslagerungsvertrag geregelt sind.

Auch auf die Weiterverlagerung geht die BaFin ein. Hierbei stellt die BaFin klar, dass die aufsichtsrechtlichen Anforderungen in der Kette eingehalten werden müssen – und zwar nicht nur „weitestgehend“. Dabei muss der Cloud-Provider vor allem die Informations- und Prüfungsrechte in der gesamten Auslagerungskette „gleichwertig“ weitergeben. Weiterhin müssen auslagernde Unternehmen ihre Risikoanalysen überprüfen, sobald neue oder Weiterverlagerungen angezeigt wurden.

Interessanterweise führt die Aufsichtsmitteilung aus, dass möglichst eine Rechtswahl zu Gunsten des Rechts eines Staates des Europäischen Wirtschaftsraums vereinbart werden solle. Wenn – ausnahmsweise – das Recht eines Drittstaates gelten solle, müsste das Finanzunternehmen die Rechtsdurchsetzbarkeit prüfen. Dies dürfte die Attraktivität solcher Drittstaats-Gerichtstandsvereinbarungen für Finanzunternehmen extrem schmälern, da die Durchsetzbarkeit der Verträge aufwändig zu prüfen ist.

In einem weiteren Abschnitt geht die BaFin umfassend auf die Anwendungsentwicklung und den IT-Betrieb ein. Dieser – eher technisch geprägte – Abschnitt zeugt abermals davon, dass sich die Aufsicht mit den tatsächlichen Gegebenheiten der Praxis auseinandergesetzt hat. Besonders detailliert sind die Anforderungen an die Cyber- und Informationssicherheit. Die Aufsicht macht hier sehr genaue Vorgaben, etwa hinsichtlich DDoS-Prävention, Threat-Intelligence und Integration von Logfiles.

Ebenso überzeugend ist das Kapitel zur Überwachung und Kontrolle des Cloud-Anbieters. Dabei betont die BaFin die gesteigerten Anforderungen des Modells verteilter Verantwortlichkeiten (shared responsibility). Interessanterweise ist dieses Modell in vielen Standardverträgen nicht hinreichend vertraglich geregelt. Die BaFin fordert von den Finanzunternehmen eine vollständige Abbildung der Schichten, für die sie verantwortlich sind, etwa in einer Konfigurationsdatenbank (CMDB). Damit die Finanzunternehmen die Verantwortlichkeit sinnvoll erfassen können, ist jedenfalls vertragliche Klarheit erforderlich. Von diesem Coup der BaFin erwarten wir, dass Finanzunternehmen und Cloud-Provider künftig klarere Vereinbarungen über den Leistungsschnitt treffen müssen.

Die abschließende Klammer der Aufsichtsmitteilung ist ein Kapitel zu Kontrollen. Hier gibt die BaFin den Finanzunternehmen umfassende Kataloge mit, wie sie Cloud-Provider überwachen müssen. Dies kann als Checkliste für das Provider- bzw. Auslagerungsmanagement der Finanzunternehmen dienen, damit diese ihre betreffenden Aktivitäten entsprechend ausrichten können. Spiegelbildlich müssen natürlich die vertraglichen Rechte diesen Anforderungen Rechnung tragen.

Zusammenfassung und Ausblick

Die Aufsichtsmitteilung enthält einen sehr detaillierten und belastbaren Standard, den vor allem Finanzinstitute für Vertragsverhandlungen nutzen können. Auch Cloud-Providern kann die Veröffentlichung helfen, die Grenzen der Vertragsgestaltung nach deutschem Aufsichtsrecht zu identifizieren.

Finanzinstitute sind gut beraten, den „neuen“ Katalog der BaFin neben ihre bestehenden Auslagerungsverträge zu legen und bei Bedarf unter Verweis auf die Behörde eine Vertragsanpassung zu fordern. Zugleich sollten die Unternehmen dabei auch den Anforderungskatalog des DORA an IKT-Verträge berücksichtigen. Selbstverständlich sind diese Regelwerke auch bei allen Neuabschlüssen zu berücksichtigen.