News

Neue EBA-Leitlinien zum Outsourcing veröffentlicht - Anpassungen des Auslagerungsmanagements erforderlich

21.03.2019

Die Europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) hat am 25. Februar 2019 die finale Version ihrer Guidelines on Outsourcing (EBA/GL/2019/02) veröffentlicht (EBA-Guidelines oder EBA-Leitlinien). Mit den EBA-Guidelines soll ein harmonisierter Regelungsrahmen für sämtliche Institute geschaffen werden, für welche die EBA mit einem Aufsichtsmandat ausgestattet ist. Dies bedeutet, dass die EBA-Guidelines – anders als noch die alten CEBS-Leitlinien zu Auslagerungen – auch für Zahlungsinstitute und E-Geld-Institute gelten. Die EBA-Guidelines werden am 30. September 2019 wirksam, sehen jedoch gewisse Übergangsregelungen vor, die den Instituten für die Umsetzung bestimmter Anforderungen Zeit verschaffen, um sich auf die durchaus erheblichen Änderungen der Anforderungen bei Auslagerungen einzustellen.

Anwendungsbereich

Bislang werden die relevanten aufsichtsrechtlichen Anforderungen an die Auslagerung institutstypischer Leistungen bekanntlich in den Mindestanforderungen an das Risikomanagement (MaRisk) sowie den bankaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert. Diese die Verwaltungspraxis zusammenfassenden, aber faktisch wie Rechtsnormen wirkenden Anforderungen gelten grundsätzlich nur für Kreditinstitute und Finanzdienstleistungsinstitute, obgleich die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zunehmend auch von Zahlungsinstituten und E-Geld-Instituten die Beachtung von AT 9 der MaRisk erwartet. Mit der ausdrücklichen Erstreckung des Anwendungsbereichs der EBA-Leitlinien auf solche Institute wird es künftig somit keine Zweifel mehr über die erhöhten aufsichtsrechtlichen Anforderungen bei Auslagerungen durch ZAG-Institute geben und insoweit Flexibilität lediglich im Rahmen von Proportionalitätserwägungen bestehen.

Anwendbar sollen die EBA-Guidelines nicht nur auf Solo-Ebene, sondern auch auf konsolidierter bzw. sub-konsolidierter Ebene sein, wobei der aufsichtsrechtliche Konsolidierungskreis maßgeblich ist. Insoweit ist der Kreis etwas enger gezogen als in AT 4.5 Tz. 1 MaRisk, wonach wesentliche, in das Gruppenrisikomanagement einzubeziehende Risiken auch außerhalb der konsolidierungspflichtigen Unternehmen begründet werden können. Freilich wird klargestellt, dass die Einbeziehung in eine Gruppe, für die kein sog. Gruppen-Waiver nach Art. 7 Verordnung (EU) Nr. 575/2013 (CRR) erteilt wurde, nichts an der Verantwortlichkeit der gruppenangehörigen Institute für die Erfüllung der Anforderungen der EBA-Guidelines auf Institutsebene ändert.

Um einen harmonisierten Rahmen für Auslagerungen zu schaffen, wurden spezifische Vorgaben für Auslagerungen wie bspw. in der Zweiten Zahlungsdiensterichtlinie (EU) Nr. 2015/2366 in dem MiFID II-Regelungspaket ebenso für die EBA-Leitlinien berücksichtigt wie die EBA-Empfehlungen für Auslagerungen in die Cloud (EBA/Rec/2017/03), die in die EBA-Leitlinien integriert und damit mit deren Wirksamkeit hinfällig werden.

Begriff der Auslagerung

Inhaltlich gelten die EBA-Leitlinien grundsätzlich für sämtliche Auslagerungen von Instituten. Der zentrale Begriff „Auslagerung“ wird definiert als eine Gestaltung zwischen einem der erfassten Institute und einem Dienstleister, mittels derer der Dienstleister eine Tätigkeit erbringt, die andernfalls das Institut erbringen würde. Damit setzt eine Auslagerung freilich ebenso wenig wie bisher voraus, dass das Institut die betreffende Leistung bislang selbst erbracht hat. Vielmehr kann auch dann eine Auslagerung vorliegen, wenn ein Institut die Leistung noch nicht selbst erbracht hat, aber sie zu den Funktionen zählt, von denen zu erwarten ist, dass sie von einem solchen Institut erbracht werden. Anders als noch im Konsultationspapier für die EBA-Leitlinien vom Juni 2018 enthalten die EBA-Leitlinien Beispiele dafür, was nach diesem Maßstab nicht als Auslagerung anzusehen sein sollte. Dazu gehören u.a. all jene Funktionen, die nach geltendem Recht durch bestimmte Dritte zu erbringen sind (z.B. Jahresabschlussprüfung), globale Netzwerkinfrastrukturen (hier wird beispielhaft auf Visa und MasterCard verwiesen) und Vereinbarungen zu Clearing und Settlement mit den betreffenden Instituten. Zudem werden illustrativ Leistungen wie Architektendienste, rechtliche Stellungnahmen, Putz- und Hausmeisterdienste oder Verpflegungsdienste als Leistungen aufgeführt, die ansonsten nicht von dem Institut erbracht werden würden und damit nicht als Auslagerung anzusehen seien. Diese Negativliste ist zu begrüßen, da sie dabei helfen dürfte, künftig Diskussionen mit internen sowie externen Prüfern über die Einordnung bestimmter Dienstleistungen als Auslagerung zu vermeiden.

Auslagerung kritischer Funktionen

Zwar gelten die EBA-Leitlinien für sämtliche Auslagerungen, doch wird innerhalb der durch die EBA-Leitlinien aufgestellten Anforderungen unterschieden zwischen der Auslagerung kritischer bzw. wichtiger Funktionen, für die bestimmte höhere Standards gelten, und sonstigen Funktionen, bei denen die erhöhten Anforderungen nicht zu beachten sind. Die Institute müssen dementsprechend prüfen, ob eine Funktion als kritisch oder wichtig einzustufen ist. Dazu machen die EBA-Leitlinien Vorgaben durch diverse Faktoren, deren Vorliegen teilweise eine entsprechende Einstufung erfordert und die teilweise jedenfalls bei der Einstufung zu berücksichtigen sind. So ist bspw. von einer kritischen bzw. wesentlichen Funktion dann auszugehen, wenn ihre fehlerhafte Wahrnehmung die Einhaltung der Erlaubnisvoraussetzungen, der finanziellen Leistungsfähigkeit oder Zuverlässigkeit und Kontinuität der erlaubnispflichtigen Geschäfte des Instituts wesentlich beeinträchtigen würde.

Auslagerungssperren

Auslagerungssperren werden in den EBA-Leitlinien nur insoweit angesprochen, als bestimmt wird, dass Auslagerungen nicht zu einer Delegation der Verantwortung der Geschäftsleitung führen können und dass ein Institut nicht zu einer leeren Hülle ohne ausreichend Substanz werden darf. Was dies im Einzelnen bedeutet, wird von den Gesamtumständen des jeweiligen Instituts dabhängen. Dies bedeutet jedoch nicht per se, dass ein Institut bestimmte Funktionen nicht auslagern dürfte. Vielmehr wird Instituten, die Teil einer bankaufsichtsrechtlichen Gruppe oder Mitglied in einem Institutssicherungssystem sind, die Auslagerung der Risikokontrollfunktion auf einen Dienstleister innerhalb der Gruppe bzw. des Institutssicherungssystems zugestanden, sofern die ordnungsgemäße Erbringung der ausgelagerten Aktivitäten u.a. durch ein angemessenes Berichtswesen nachgehalten wird. Ähnliche Anforderungen gelten auch für die Auslagerung des Auslagerungsmanagements (siehe dazu sogleich), die ebenfalls innerhalb der Gruppe bzw. eines Institutssicherungssystems möglich ist. Darüber hinaus können sich Auslagerungsrestriktionen dadurch ergeben, dass ansonsten die Anforderungen an eine ordnungsgemäße Auslagerung nicht erfüllt werden können (bspw. weil bei der erforderlichen Risikobewertung einer geplanten Auslagerung zu große Risiken festgestellt werden).

Rein praktisch sollte nach den EBA-Leitlinien die zuständige Aufsicht vor einer zu weitgehenden Auslagerung eingreifen können, weil vorgesehen ist, dass sich Institute im Falle der Absicht, eine kritische bzw. wichtige Funktion auszulagern, vorab ebenso mit der Aufsichtsbehörde in Verbindung setzen sollen wie bei wesentlichen Änderungen solcher Auslagerungen. Das ist durchaus bemerkenswert und wirft Fragen nach der Vereinbarkeit mit deutschem Recht auf, weil nach derzeitigem Gesetzesstand lediglich Zahlungsinstitute und E-Geld-Institute die Absicht wesentlicher Auslagerungen anzeigen müssen und andere Institute nur in Sonderfällen, insbesondere bei der Absicht der Auslagerung interner Sicherungsmaßnahmen nach dem GwG, zur Anzeige verpflichtet sind.

Auslagerungsmanagement

Die EBA-Leitlinien sehen die Pflicht von Instituten vor, eine Auslagerungsfunktion einzurichten oder zumindest einen Mitarbeiter auf Leitungsebene aus einer der Kontrollfunktionen als Verantwortlichen für das Management der mit Auslagerungen verbundenen Risiken zu bestellen. Für kleine und weniger komplexe Institute ist insoweit eine Erleichterung vorgesehen, als diese zumindest eine klare Verteilung der Aufgaben und Verantwortlichkeiten im Hinblick auf das Auslagerungsmanagement sicherstellen müssen und die Wahrnehmung der Auslagerungsfunktion durch ein Mitglied des Leitungsorgans erfolgen kann. Das ist für deutsche Institute zwar nichts grundsätzlich Neues, weil AT 9 Tz. 12 MaRisk seit der Neufassung in 2017 bereits, abhängig von Art, Umfang und Komplexität der Auslagerungsaktivitäten, ein zentrales Auslagerungsmanagement verlangt, doch werden sich Institute gleichwohl anschauen müssen, ob ihr Auslagerungsmanagement den neuen Anforderungen entspricht. Spannend wird dabei bspw. werden, wie in der Praxis mit der Anforderung umgegangen wird, in der Lage zu sein, die Auslagerung kritischer bzw. wesentlicher Funktionen innerhalb eines angemessenen Zeitrahmens rückgängig zu machen, die Aufgabenwahrnehmung auf alternative Dienstleister zu übertragen oder die betreffenden Funktionen selbst einzustellen. So wird nicht deutlich, ob diese Forderung auch für Auslagerungen innerhalb der Gruppe bzw. des Sicherungssystems gelten soll und damit über die derzeitigen Vorgaben für Handlungsoptionen und Ausstiegsprozesse in den MaRisk hinausgeht. Zumindest denkbar wäre es, die in Title 1 der EBA-Leitlinien enthaltenen Vorgaben für solche Auslagerungen als speziell einzustufen.

Für viele Institute wird auch die Forderung nach einer schriftlichen „Outsourcing Policy“ keine grundsätzlich neue Herausforderung darstellen, da ein festgelegter Prozess für Auslagerungen regelmäßig zu einer ordnungsgemäßen Geschäftsorganisation gehört. Freilich werden Anpassungen an ggf. bereits bestehende Auslagerungsstrategien angesichts der teilweise sehr dezidierten Forderungen erforderlich sein. Eine sorgfältig erstellte Outsourcing Policy sollte allerdings nicht nur als Aufwand, sondern auch als Hilfsinstrument bei der Erfüllung der zahlreichen Pflichten begriffen werden. Dies deshalb, weil in der Policy die inhaltlichen Anforderungen an Auslagerungen zu reflektieren sind (bspw. durch Festlegung von Verantwortlichkeiten für die Vornahme bestimmter Handlungen) und damit die laufende Beachtung jener Anforderungen durch entsprechende Verfahren gut unterstützt werden kann.

Inhaltliche Anforderungen

Die angesprochenen inhaltlichen Anforderungen, die bei Auslagerungen nach den EBA-Leitlinien zu erfüllen sind, betreffen insbesondere den Umgang mit Interessenkonflikten, die Risikoanalyse, Dokumentationserfordernisse, Auswahlprozesse für Dienstleister, Vertragsinhalte sowie die Kontrolle der ausgelagerten Funktionen und mögliche Exit-Strategien.

Ausdrücklich gefordert sind nach den EBA-Leitlinien die Identifizierung und der adäquate Umgang mit Interessenkonflikten, die im Zusammenhang mit Auslagerungen auftreten. Dies soll bei Auslagerungen innerhalb der Gruppe bzw. eines Institutssicherungssystems auch die Vereinbarung von kommerziellen Bedingungen für die ausgelagerten Leistungen wie unter Dritten beinhalten. Ferner kommt der praktischen Wirksamkeit der Notfallplanung für die ausgelagerten Bereiche ebenso größere Bedeutung zu wie der Risikoanalyse. Diese ist zwar bereits unter den MaRisk vorzunehmen, doch wird diese künftig elaborierter ausfallen müssen, da eine Vielzahl von Faktoren vorgegeben wird, die bei der Risikoanalyse zu berücksichtigen sind.

Zwar sollten für die meisten Institute die Anforderungen der EBA-Leitlinien an die ordnungsgemäße Dokumentation von Auslagerungen nicht gänzlich neu sein, weil diese letztlich Teil eines funktionierenden Auslagerungsmanagements nach AT 9 Tz. 12 MaRisk sind. Jedoch werden die betreffenden Anforderungen sowohl sehr viel detaillierter als auch umfangreicher, wenn ein institutseigenes Register verlangt wird, in das diverse Einzelheiten zu bestehenden und bereits beendeten Auslagerungen einzutragen sind.

Bislang nicht in den MaRisk ausdrücklich angesprochen, aber ggf. durchaus Element einer ordnungsgemäßen Geschäftsorganisation ist das Erfordernis, Dienstleiter vor einer Beauftragung in angemessener Weise zu überprüfen. Diese Prüfungspflicht wird unter den EBA-Leitlinien zu einer expliziten Anforderung erhoben, wobei wiederum verschiedene Faktoren aufgeführt werden, die bei der Prüfung zu berücksichtigen sind.

Anpassungsbedarf bei Instituten wird es auch im Hinblick auf den Mindestinhalt von Auslagerungsvereinbarungen geben. Dies betrifft vornehmlich Verträge über die Auslagerung von kritischen bzw. wichtigen Funktionen, für die ein Katalog mit notwendigen Inhalten vorgesehen ist, der über den derzeitigen Standard in AT 9 Tz. 7 MaRisk hinausgeht.

Schließlich sehen die EBA-Leitlinien eine Reihe von Anforderungen an die laufende Überwachung und Steuerung der Auslagerungen sowie den möglichen Ausstieg aus Outsourcings vor, die inhaltlich indes nicht neu sind, sondern wohl dem entsprechen, was viele Institute bereits heute umsetzen.

Wirksamkeit und Umsetzungsfristen

Die neuen EBA-Leitlinien treten am 30. September 2019 in Kraft. Für bereits bestehende Auslagerungen wird den Instituten allerdings eine Übergangsfrist gesetzt, um die Auslagerungen in Einklang mit den Anforderungen der EBA-Leitlinien zu bringen. Sofern es sich nicht um Auslagerungen an Anbieter von Cloud-Lösungen handelt, sollen diese Anforderungen bei der nächsten Vertragsanpassung, jedoch nicht später als bis 31. Dezember 2021, umgesetzt werden.

Das bedeutet allerdings nicht, dass die erfassten Institute erst einmal untätig bleiben können. Vielmehr sollten rasch die erforderlichen Maßnahmen ergriffen werden, um bspw. die Outsourcing Policy, die Risikoanalysen und die übrigen internen Prozesse so anzupassen, dass sie mit den neuen Anforderungen im Einklang stehen. Dies ist schon deshalb ratsam, weil sich die Übergangsregelungen expressis verbis lediglich auf die Dokumentation bestehender Auslagerungen bezieht. Insoweit dürfte es sich für Institute empfehlen, nicht auf die deutsche Übersetzung der EBA-Leitlinien oder die Bestätigung der BaFin zu warten, die EBA-Guidelines anwenden zu wollen. Stattdessen gilt es, die Zeit bis dahin zu nutzen, auch wenn nicht ausgeschlossen werden kann, dass die BaFin noch den einen oder anderen Akzent setzt, der möglicherweise später noch einmal eine Adjustierung der Prozesse verlangt.

Kontakt

Jens H. Kunz
Jens H. Kunz+49 69 971477218
Klaudyna Lichnowska
Klaudyna Lichnowska+49 69 971477420

Finanzdienstleistungsaufsicht

Share

Alle anzeigen

Insights

zwei Geschäftsleute spazieren
Podcast

Noerr_podcast: Update zur Recht­sprechung im Arbeits­recht – der etwas andere Jahres­rückblick

19.04.2024
blurred motion on railway
News

Neu seit 15.03.2024: Streit­verkündungen in DIS-Schiedsverfahren – ­Die Ergänzenden Regeln für Streitverkündungen (DIS-ERS)

18.04.2024
LED Lichter Fensterfassade Cyber Risks
News

Masterplan Geothermie NRW vorgestellt – Vergabe- und subventions­rechtliche Rahmen­bedingungen der klima­neutralen Wärme­versorgung der Zukunft

18.04.2024
people shopping sun with pulse
News

Regulatory & Governmental Affairs – Europanews 2024

18.04.2024
mother board details with pulse
Briefing

KI und M&A: Chancen nutzen – Risiken managen

16.04.2024
balloon sky
News

EGMR entscheidet über drei „Klimaklagen“ – wegweisender Erfolg für zukünftige Klimaschutzklagen?

16.04.2024
car trails lights
News

Ein neuer verbindlicher Rechts­rahmen für die Lade­infrastruktur in Europa – EU-weites Inkrafttreten der AFIR und Veröffentlichung der Q&A durch die EU-Kommission

16.04.2024
binoculars sun with pulse
News

Russland-Sanktionen:­ Reporting­pflichten für EU-Banken konkretisiert

16.04.2024
Hand berührt LED-Wandbildschirm
News

Data Compliance Governance

16.04.2024