News

ESMA-Leit­linien­entwurf zum Cloud-Outsourcing

17.06.2020

Am 3. Juni 2020 hat die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) einen Entwurf für „Guidelines on Outsourcing to Cloud Service Providers“ (ESMA50-164-3342) veröffentlicht (nachfolgend „Leitlinienentwurf“). Mit dem Leitlinienentwurf richtet sich die ESMA an die nationalen Aufsichtsbehörden und verschiedene Finanzmarktteilnehmer, nämlich insbesondere Asset Manager und Wertpapierdienstleister, jedoch darüber hinaus bspw. auch an Central Counterparties (CCPs), Zentralverwahrer sowie Ratingagenturen, um EU-weit einen ebenso einheitlichen wie wirksamen aufsichtsrechtlichen Rahmen für Auslagerungen an Anbieter von Cloud-Lösungen zu entwickeln.

Mit ihrem Leitlinienentwurf knüpft die ESMA an Initiativen anderer Aufsichtsbehörden an, die bereits auf die zu beobachtenden Entwicklungen hin zu einer verstärkten Nutzung von technischen Dienstleistern und insbesondere Cloud-Anbietern durch diverse Publikationen reagiert haben. Zu nennen sind insoweit bspw. die wegweisenden Leitlinien der Europäischen Bankaufsichtsbehörde (EBA) zu Auslagerungen vom 25. Februar 2019 (EBA/GL/2019/02), in der die bereits zuvor von der EBA veröffentlichten „recommendations on outsourcing to cloud service providers“ vom 20. Dezember 2017 (EBA/REC/2017/03) aufgegangen sind, sowie die erst am 6. Februar 2020 von der Europäischen Versicherungsaufsichtsbehörde (EIOPA) veröffentlichten „Guidelines on outsourcing to cloud service providers“ (EIOPA-BoS-20-002). Auf nationaler Ebene hat auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zusammen mit der Deutschen Bundesbank bereits im November 2018 eine Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Diese Entwicklungen zeigen, dass Auslagerungen an Cloud-Provider im Fokus der Aufsichtsbehörden stehen.

Anwendungsbereich

Der Leitlinienentwurf richtet sich praktisch an sämtliche Marktteilnehmer des Finanzsektors, für welche die ESMA mit einem Aufsichtsmandat ausgestattet ist. Dies schließt Asset Manager bzw. Kapitalverwaltungsgesellschaften im Sinne des KAGB und Wertpapierdienstleistungsunternehmen genauso ein wie CCPs, Zentralverwahrer, Verwahrstellen für Investmentfonds, Anbieter von Datenübermittlungsdiensten, Marktbetreiber von Handelsplätzen, Rating-Agenturen, Administratoren von Referenzwerten sowie Verbriefungsregister nach der Verordnung (EU) 2017/2402. Diese Auflistung zeigt zum einen, dass der Leitlinienentwurf Überschneidungen zum Anwendungsbereich der EBA-Leitlinien zu Auslagerungen aufweist, weil bspw. Wertpapierdienstleistungsunternehmen oder Verwahrstellen wegen ihres weiter gefassten Leistungsspektrums oftmals auch als Kreditinstitute qualifizieren. Zum anderen wird deutlich, dass sich viele Marktteilnehmer auf zusätzliche Anforderungen einstellen müssen, da zwar bereits aufsichtsrechtliche Rahmenbedingungen für Auslagerungen vorhanden sind, diese jedoch gegenwärtig Auslagerungen an Cloud-Provider nicht speziell adressieren und bislang die Anforderungen an Auslagerungen generell nicht derart umfangreich geregelt werden. Dies gilt auch für die erwähnte Orientierungshilfe der BaFin, da die Anforderungsdichte des Leitlinienentwurfs über die in der Orientierungshilfe hinausgeht.

Grundsätzlicher Ansatz und Regelungsziele

Mit dem Leitlinienentwurf wird dem Umstand Rechnung getragen, dass die Digitalisierung im Finanzsektor aus verschiedenen Gründen zunehmend an Bedeutung gewinnt und die auf dem Markt angebotenen Cloud-Lösungen insoweit kosteneffiziente Instrumente darstellen, die mit der Digitalisierung verbundenen Chancen zu nutzen. Freilich gehen mit diesen Chancen auch Risiken einher, denen mit dem Leitlinienentwurf entgegengewirkt werden soll. Die typischen Outsourcing-Risiken liegen dabei insbesondere im Bereich der IT-Sicherheit und des Datenschutzes. Entsprechend enthält der Leitlinienentwurf bspw. Vorgaben zur Authentizität (Überprüfbarkeit), Integrität (Schutz vor Manipulation), Vertraulichkeit (Schutz vor unautorisierten Zugriffen) und Verfügbarkeit der ausgelagerten Daten. Er geht jedoch weit darüber hinaus, indem er auch Anforderungen an die Auswahl eines Cloud-Providers, konkrete vertragliche Inhalte bei dessen Beauftragung und an das Auslagerungsmanagement stellt.

Regelungsbereiche des Leitlinienentwurfs

Der Leitlinienentwurf schlägt neun Leitlinien vor, die bei Auslagerungen an Cloud-Provider zu beachten sind:

  • Leitlinie 1 befasst sich mit den Kontroll-, Dokumentations-, Aufsichts- und Überwachungsmechanismen, über die Firmen im Rahmen von Outsourcing-Vorhaben verfügen sollen.
  • Leitlinie 2 gibt Kriterien für die Bewertung und Due Diligence von potentiellen Cloud-Anbietern vor.
  • Leitlinie 3 führt die Mindestelemente auf, die Outsourcing-Verträge enthalten sollten. Damit sind jedoch die inhaltlichen Vorgaben nicht abschließend erfasst, da Leitlinie 7 ergänzende Vorgaben für Konstellationen enthält, bei denen ein Cloud-Provider Leistungen weiterverlagert. Damit ähnelt der Regelungsansatz dem, was in den Mindestanforderungen für das Risikomanagement (MaRisk) und in den Mindestanforderungen für das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) nach der Verwaltungspraxis der BaFin für Institute bzw. Kapitalverwaltungsgesellschaften gefordert wird, geht darüber indes teilweise noch hinaus.
  • Leitlinie 4 macht Vorgaben zur Informationssicherheit, während sich Leitlinie 5 mit Ausstiegsstrategien und -rechten befasst.
  • Leitlinie 6 stellt dezidierte Anforderungen an Zugangs- und Prüfungsrechte, die gegenüber einem Cloud-Provider bestehen müssen. Dies ist ein Punkt, bei dessen Durchsetzung kleinere Auftraggeber in Verhandlungen mit großen Cloud-Providern typischerweise Schwierigkeiten haben.
  • In Leitlinie 8 ist vorgesehen, dass die zuständige nationale Aufsichtsbehörde bei Planung eines Outsourcing-Vorhabens rechtzeitig informiert werden soll. Dies geht über aufsichtsrechtliche Vorgaben des deutschen Rechts teilweise hinaus, da Auslagerungen insoweit bislang zumindest grundsätzlich nicht im Vorhinein anzuzeigen sind.
  • Leitlinie 9 richtet sich an die nationalen Aufsichtsbehörden und gibt vor, wie Aufsichtsbehörden die mit Auslagerungen an Cloud-Provider verbundenen Risiken beaufsichtigen sollen.

Vertragliche Mindestanforderungen für Cloud-Verträge

Sofern die Leitlinien im Wesentlichen wie im Leitlinienentwurf erlassen werden, woran trotz der laufenden Konsultation wohl nicht ernsthaft zu zweifeln ist, wird in der Praxis besonderes Augenmerk auf die Gestaltung von Cloud-Verträgen zu legen sein. Dabei ist zu berücksichtigen, dass Leitlinie 3 zwar den Mindestinhalt vorgibt, dieser jedoch auch durch andere Leitlinien substantiiert wird. Dies ist besonders offensichtlich bei den Vorgaben zur Weiterverlagerungen in Leitlinie 7, aber auch bei den Regelungen zu Zugangs- und Prüfungsrechten in Leitlinie 8. Im Falle der Auslagerung kritischer oder wichtiger Funktionen soll der Auslagerungsvertrag für Cloud-Dienstleistungen nach dem Leitlinienentwurf insbesondere folgende Themen ausreichend adressieren:

  • Leistungsgegenstand: Der Leitlinienentwurf fordert eine klare vertragliche Beschreibung der ausgelagerten Funktion und der finanziellen Verpflichtungen der Parteien. Darüber hinaus sollen die vereinbarten Service Levels genau definiert werden. Konkret sollen die zu erbringenden Leistungen des Cloud-Providers (bspw. Support-Leistungen, Kennzahlen der Datenverfügbarkeit) quantitativ und qualitativ spezifiziert angegeben werden. Dies soll zur Überwachung der zu erreichenden Leistungsziele dienen, sodass rechtzeitig angemessene Korrekturmaßnahmen ergriffen werden können, wenn die vereinbarten Service Levels nicht erfüllt werden.
  • Leistungsort: Der oder die Orte bzw. Länder, an dem/denen relevante Daten gespeichert und verarbeitet werden (Standort der Datenzentren) muss eine eigenständige Regelung erfahren. Zudem sollten Vorkehrungen für den Fall getroffen werden, dass der Cloud-Provider sich nicht an diese Vereinbarung hält, flankiert durch entsprechende Benachrichtigungspflichten.
  • Geschäftskontinuität: Der Leitlinienentwurf fordert, vertragliche Vorkehrungen zur Sicherstellung der Geschäftskontinuität zu treffen. Dies umfasst beispielsweise die Erstellung von Notfallplänen bzgl. der Unternehmensdaten und bzgl. des gesamten Cloud-Systems bei dessen Ausfall. In diesem Sinne soll auch geregelt werden, ob und unter welchen Voraussetzungen ein Sub-Outsourcing – insbesondere kritischer oder wichtiger Funktionen – zulässig ist.
  • Leistungszeit und Exit-Rechte: Zur Disposition der Parteien stellt der Leitlinienentwurf, ob der Vertrag ein Anfangs- und Enddatum enthalten soll. Die Regelung von Exit- und Kündigungsrechten schreibt der Leitlinienentwurf für alle ausgelagerten Funktionen und nicht nur für kritische oder wichtige Funktionen vor.
  • Finanzielle und rechtliche Leistungsabsicherung: Zu regeln sind das für den Outsourcing-Vertrag geltende Recht und der Gerichtsstand. Zudem kann der Abschluss einer entsprechenden Pflichtversicherung z.B. gegen IT-Risiken erwogen werden.
  • Datensicherheit: Ebenfalls in den Auslagerungsvertrag aufzunehmen sind Vorgaben zur IT-Sicherheit sowie zum Schutz personenbezogener Daten. Hier bieten sich u.a. entsprechende Vertraulichkeits-, Verschlüsselungs- und Anonymisierungspflichten an. Zu erwägen ist auch, den Kreis der autorisierten Datennutzer vertraglich einzugrenzen. Darüber hinaus verlangt der Leitlinienentwurf vertragliche Regelungen zum sog. Incident-Management des Cloud-Providers, z.B. im Falle von Datenleaks oder Systemausfällen.
  • Überwachungs- und Auditrechte: Der Leitlinienentwurf verlangt zudem umfassende kunden- und behördenseitige Kontroll- und Auditrechte, mit denen die Leistungen des Cloud-Providers ordnungsgemäß überwacht werden können.

Zeitplan: Vom Entwurf zur verbindlichen Leitlinie

Bis zum 1. September 2020 können interessierte Marktteilnehmer ihre Antworten zu den in dem Leitlinienentwurf aufgeworfenen Fragen an die ESMA senden. Der Leitlinienentwurf sieht sodann vor, dass die im Anschluss – laut ESMA spätestens im ersten Quartal 2021 – zu erlassenden ESMA-Leitlinien für alle Cloud-Verträge gelten, die ab dem 30. Juni 2021 geschlossen, erneuert oder geändert wurden. Bestehende Cloud-Verträge sollen bis zum 31. Dezember 2022 an die neuen Vorgaben angepasst werden. Wie bereits für die EBA-Leitlinien zu Auslagerungen geschehen, ist damit zu rechnen, dass die BaFin ihre Absicht bekunden wird, den ESMA-Leitlinien zu entsprechen und sie in ihre nationale Aufsichtspraxis zu übernehmen.

Fazit

Der Leitlinienentwurf setzt die aktuelle Entwicklung hin zu höheren aufsichtsrechtlichen Anforderungen für die Auslagerung an Cloud-Provider konsequent fort. Inhaltliche Überraschungen bleiben somit aus. Dies ist zu begrüßen, da es auch kaum zu vermitteln wäre, warum bspw. bei der Nutzung von Cloud-Services durch Wertpapierdienstleister andere Standards gelten sollten als bei der Nutzung durch Kreditinstitute. Freilich kann man die Frage aufwerfen, ob die Risiken bei Cloud-Auslagerungen im Vergleich zu anderen Auslagerungen so stark erhöht sind, dass eine gesonderte aufsichtsrechtliche Behandlung gerechtfertigt ist. Vorstellbar wäre wohl ebenso eine umfassendere Lösung wie bei den EBA-Leitlinien zu Auslagerungen gewesen. Die betroffenen Unternehmen dürften diese Beschränkung allerdings nicht bedauern, weil damit der zusätzliche Aufwand – jedenfalls vorerst – beschränkt bleibt. Da die Umsetzung des Leitlinienentwurfs wohl nur eine Frage der Zeit ist, sollten sich Asset Manager, Wertpapierdienstleistungsunternehmen sowie auch die übrigen Finanzmarktteilnehmer, die in den Zuständigkeitsbereich der ESMA fallen, bereits jetzt mit den künftigen Anforderungen vertraut machen und überlegen, ob bzw. wie sie damit bei der fachlichen Planung und vertraglichen Gestaltung von Cloud-Projekten umgehen. Auch für die Cloud-Provider lohnt eine Auseinandersetzung mit den Inhalten des Leitlinienentwurfs, da sie sich darauf einstellen müssen, künftig in Vertragsverhandlungen mit zusätzlichen Forderungen konfrontiert zu werden, auf deren Umsetzung die Auftraggeber nolens volens drängen werden.

 

Kontakt

Jens H. Kunz
Jens H. Kunz+49 69 971477218

Finanzdienstleistungsaufsicht
Banking & Finance

Share

Alle anzeigen

Insights

glowing light spiral
News

Lieferketten-Compliance: CSDDD und EU-Zwangs­arbeits­ver­ordnung kommen

26.04.2024
two liquids
News

EU-Verpackungs­verordnung: Einheitlicher Rechts­rahmen für Verpackungen – neue Herausforderungen für Marktteilnehmer

25.04.2024
Fels am Meer
News

Update Foreign Subsidies Regulation („FSR“): Erste Durchsuchung der Europäischen Kommission bei einem chinesischen Hersteller von Sicherheitstechnik

25.04.2024
mirror cube structure with pulse
News

Plattformarbeit: Richtlinie zur Verbesserung der Arbeitsbedingungen heute verabschiedet

24.04.2024
Sports car in curve wP300
News

„In-Car-Entertainment­systeme“ als regulierte Benutzer­oberflächen? - Automobil­hersteller im Fokus der Landes­medienanstalten

22.04.2024
Cubes structure
News

EU Listing Act ante portas

22.04.2024
River bridge
News

Europäische Richtlinie zur Entgelt­transparenz zwischen Männern und Frauen

22.04.2024
zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024