Kategorie-Archiv: Auslagerungen

Unter Auslagerungen sind nach Maßgabe der § 25 b i.V.m. § 25 a des Kreditwesengesetzes (KWG) i.V.m. den Mindestanforderungen an das Risikomanagement (MaRisk) solche ausgelagerten Aktivitäten, Prozesse und Funktionen zu verstehen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen relevant sind. Darunter fallen Aktivitäten und Leistungen, die sowohl Kern- als auch Unterstützungsprozessen einer Bank zuzuordnen sind.

Auslagerungsmanagement mit LEGANTA 360 (Teil 2)

In Teil 1 hatten wir die Aufgabe des Auslagerungsmanagements beschrieben. In Teil 2 beschreiben wir die regulatorischen Grundlagen.

2     Regulatorische Grundlagen

In das Auslagerungsregister gehen Anforderungen aus den folgenden regulatorischen Vorgaben ein:

  • KWG §25 a, b
  • MaRisk
  • Finanzberichterstattung BaFin (FISG, WpIG, WpHG, KAGB, ZAG)
  • EBA Leitlinien

2.1     Auslagerungen (KWG und MaRisk)

Die Auslagerung umfasst Maßnahmen, mit denen zur Stärkung der Wettbewerbsfähigkeit die Unternehmensfunktionen und -prozesse dadurch optimiert werden sollen, dass einzelne wesentliche Unternehmensbereiche durch Vertrag auf dritte (externe) Unternehmen (Auslagerungsunternehmen) verlagert werden.

In Umsetzung der allgemeinen Grundsätze ordnungsgemäßer Geschäftsführung und zur Konkretisierung organisatorischer Grundanforderungen formuliert § 25b KWG für Kredit- und Finanzdienstleistungsinstitute i.S. des KWG allgemeine Qualitätsstandards für eine Auslagerung, die durch das Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vom 27.10.2017 konkretisiert werden.

Grundsätzlich können sämtliche Aktivitäten und Prozesse eines Instituts ausgelagert werden; allerdings darf durch die Auslagerung die Ordnungsmäßigkeit der Geschäftsorganisation nach § 25a I KWG nicht beeinträchtigt werden (AT 9.4 MaRisk).

Nicht zulässig ist eine Auslagerung, wenn sie zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führt. Leitungsaufgaben der Geschäftsleitung dürfen nicht ausgelagert werden.

Bei Auslagerungen, die unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen), sind die spezifischen Anforderungen der MaRisk zu beachten.

  • Danach ist das Institut verpflichtet, die mit einer wesentlichen Auslagerung verbundenen Risiken angemessen zu steuern sowie die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen.
  • In diesem Zusammenhang ist die Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien regelmäßig zu beurteilen (AT 9.9 MaRisk).
  • Die wesentlichen Auslagerungen sind von dem Institut auf Basis einer Risikoanalyse eigenverantwortlich festzulegen (AT 9.2 MaRisk).
  • Darüber hinaus werden in AT 9.7 MaRisk detaillierte Vorgaben zu den Inhalten des Auslagerungsvertrags gemacht, wie z.B. die Verpflichtung zur Vereinbarung von Regelungen, mit denen die Beachtung der Bestimmungen des Datenschutzes sichergestellt wird.
  • Bei nicht wesentlichen Auslagerungen müssen lediglich die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a I KWG beachtet werden (AT 9.3 MaRisk).

2.2     AT 9.7. MaRisk

Bei wesentlichen Auslagerungen ist im Auslagerungsvertrag insbesondere Folgendes zu vereinbaren:

  1. Spezifizierung und ggf. Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistung,
  2. Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer,
  3. Sicherstellung der uneingeschränkten Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der gemäß § 25b Absatz 3 KWG zuständigen Behörden bezüglich der ausgelagerten Aktivitäten und Prozesse,
  4. soweit erforderlich Weisungsrechte,
  5. Regelungen, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen beachtet werden,
  6. Kündigungsrechte und angemessene Kündigungsfristen,
  7. Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält,
  8. Verpflichtung des Auslagerungsunternehmens, das Institut über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen können.

Weisungsrechte des Instituts/Prüfungen der Internen Revision

Auf eine explizite Vereinbarung von Weisungsrechten zugunsten des Instituts kann verzichtet werden, wenn die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Ferner kann die Interne Revision des auslagernden Instituts unter den Voraussetzungen von BT 2.1 Tz. 3 auf eigene Prüfungshandlungen verzichten. Diese Erleichterungen können auch bei Auslagerungen auf so genannte Mehrmandantendienstleister in Anspruch genommen werden.

Eskalation bei Schlechtleistung

Bereits bei der Vertragsanbahnung hat das Institut intern festzulegen, welchen Grad einer Schlechtleistung es akzeptieren möchte.

Sonstige Sicherheitsanforderungen

Zu den sonstigen Sicherheitsanforderungen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z. B. bei Rechenzentren) sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen.

2.3     BAFIN: Finanzberichterstattung

Informationen zum Meldeverfahren für wesentliche Auslagerungen

2.3.1 Meldepflicht von wesentlichen Auslagerungen

Durch das Finanzmarktintegritätsstärkungsgesetz – FISG sowie das Wertpapierinstitutsgesetz – WpIG sind die Unternehmen des Finanzsektors ab dem 01.01.2022 verpflichtet, wesentliche Auslagerungen, im Falle von Kapitalverwaltungsgesellschaften alle Auslagerungen bzw. wichtige Ausgliederungen gemäß VAG, der BaFin anzuzeigen.

Die Anzeigepflicht umfasst entsprechend der bereits bestehenden gesetzlichen Regelungen sowie der neuen gesetzlichen Regelung in Folge des FISG und des WpIG in nahezu allen Geschäftsbereichen der BaFin die Anzeige

im Rahmen von bestehenden oder beabsichtigten (wesentlichen) Auslagerungen.

2.3.2 Inhalte der Anzeigepflicht

Die im Rahmen der Anzeigepflicht geschäftsbereichsübergreifend weitestgehend einheitlich anzugebenden Informationen basieren auf den Anzeigenverordnungen der jeweiligen Aufsichtsgesetze.

Für die Erfüllung der Anzeigepflicht für die Absicht, den Vollzug und wesentliche Änderungen im Rahmen von Auslagerungen wird die BaFin ein elektronisches Meldeverfahren zur Verfügung stellen, das auf der Melde- und Veröffentlichungsplattform (MVP) der BaFin beruht. Anzeigen sind ausschließlich über diese Plattform einzureichen. Anzeigen von schwerwiegenden Vorfällen werden über den üblichen Weg der Aufsicht gemeldet. Nach den derzeitigen Planungen soll das neue Verfahren mit Inkrafttreten der gesetzlichen Pflicht zur Anzeige von Auslagerungen sowie der Konkretisierung dieser Pflicht in den jeweiligen Anzeigenverordnungen zu den Aufsichtsgesetzen zum 01.01.2022 in Betrieb gehen. Die Meldungen werden nach der Entgegennahme an die Deutsche Bundesbank weitergeleitet, sofern die Meldungen für die Deutsche Bundesbank im Rahmen ihrer Aufsichtstätigkeit relevant sind.

2.3.2.1      Registrierung Melder

Die Anzeige ist von der anzeigeberechtigten Person (Melder) durchzuführen, die zunächst ein Registrierungsverfahren zu durchlaufen hat, das sich in drei Schritten vollzieht:

  • Selbstregistrierung am MVP-Portal

Der Melder muss sich als Nutzer am MVP-Portal registrieren, soweit er dort nicht bereits registriert ist. Diese Registrierung kann bereits jetzt durchgeführt werden.

  • Freischaltung für das Meldeverfahren „Anzeige von Auslagerungen“ beantragen

Innerhalb des MVP-Portals kann der Melder über einen Antrag die Freischaltung für das Meldeverfahren „Anzeige von Auslagerungen“ beantragen. Der Melder muss den Freischaltungsantrag ausfüllen und unterschrieben an folgende Adresse senden:

Bundesanstalt für Finanzdienstleistungsaufsicht

GIT 2 – Anzeige von Auslagerungen

Graurheindorfer Str. 108

53117 Bonn

Alternativ kann die Meldung auch elektronisch übermittelt werden. Hierzu senden Sie bitte eine Mail mit den qualifizier elektronisch signierten Dokumenten unter Nutzung folgender Struktur.

An: qes-posteingang@bafin.de

Betreff: Fachverfahrensfreischaltung „Anzeige von Auslagerungen“ z.Hd. von GIT 2

Weiterführende Informationen hierzu finden Sie hier.

Ein Melder, der für mehrere Unternehmen melden möchte, muss für jedes Unternehmen einen separaten Freischaltungsauftrag ausfüllen.

  • Benachrichtigung der BaFin

Der Melder wird über die erfolgreiche/nicht erfolgreiche Freischaltung für das Meldeverfahren „Anzeige von Auslagerungen“ informiert Die Benachrichtigung erfolgt per E-Mail, über die im MVP-Portal hinterlegte E-Mail Adresse.

Sobald die Benachrichtigung über die erfolgreiche Freischaltung erfolgt ist, kann der Melder, ab dem 01.01.2022, die entsprechenden Anzeigen einreichen.

2.3.2.2      Meldeverfahren

Zur Einreichung der Anzeigen über das MVP-Portal im Rahmen des vorgenannten Meldeverfahrens werden drei verschiedene Möglichkeiten zur Verfügung gestellt. Unternehmen sind jederzeit frei, zwischen diesen Methoden zu wählen:

Im MVP-Portal wird ein Web-Formular zur Verfügung gestellt. Dieses kann von dem Melder online ausgefüllt werden kann.

Der Melder hat die Möglichkeit, innerhalb des MVP-Portals eine Meldung manuell als XML-Datei hochzuladen. (Die Definition der XML-Datei wird noch bereitgestellt)

Durch die Nutzung einer SOAP-Webservice-Schnittstelle kann eine Meldung automatisch hochgeladen werden. (Die Definition der Schnittstelle wird noch bereitgestellt)

In allen drei Fällen werden die Anzeigen auf Konsistenz überprüft und anschließend an eine Meldedatenbank weitergeleitet. Der Melder erhält eine Benachrichtigung, in der ihm mitgeteilt wird, ob die Meldung erfolgreich übermittelt worden ist. In dieser Bestätigung wird eine ID mitgesendet. Diese ID ist bei späteren Anzeigen zu derselben Auslagerung zu nutzen, um die Meldungszuordnung gewährleisten zu können. Falls bei der Überprüfung ein Fehler festgestellt wird, wird die Anzeige nicht an die Datenbank weitergeleitet: Der Fehler wird direkt im Response

2.3.3 Besondere Berücksichtigung des Drittstaatenbezugs

Im Rahmen von Auslagerungen an Unternehmen mit Sitz in einem Drittstaat haben Institute nach Maßgabe des FISG vertraglich sicherzustellen, dass für diese ein inländischer Zustellungsbevollmächtigter benannt wird, an den Bekanntgaben und Zustellungen durch die BaFin vorgenommen werden können. Hier lässt sich sicher erwägen, den Zustellungsbevollmächtigen beim auslagernden Unternehmen anzusiedeln.

2.3.4 Unmittelbare Anordnungs-, Prüfungs- und Auskunftsrechte

Darüber hinaus wird der BaFin die Befugnis erteilt, Anordnungen auch unmittelbar gegenüber Auslagerungsunternehmen treffen zu dürfen. Ferner kann die Behörde Eingriffe gegenüber Unternehmen im Inland und Ausland vornehmen. Aufsichtsrechtlicher Anknüpfungspunkt für diese Eingriffsbefugnisse ist, dass Aktivitäten und Prozesse betroffen sind, die gegenüber einem beaufsichtigten Unternehmen erbracht werden. Eingriffsbefugnisse im Ausland, insbesondere gegenüber Unternehmen, die nicht dem Konzern des auslagernden Unternehmens angehören, dürften unter Aspekten des Verwaltungskollisionsrechts und des Völkerrechts im Einzelfall zu diskutieren sein. Es steht nicht zu erwarten, dass Drittstaaten ohne weiteres fremdes Verwaltungshandeln im eigenen Land zulassen.

Die Befugnisse gegenüber Auslagerungsunternehmen gehen weit und sollen der Sicherstellung der aufsichtsrechtlichen Vorgaben entlang einer immer stärker aufgespaltenen Wertschöpfungskette dienen. So könnte die BaFin das Auslagerungsunternehmen zur Behebung konkreter Verstöße zu bestimmten Maßnahmen anweisen, aber auch – unabhängig von einem konkreten Verstoß – bspw. den Aufbau hinreichender Sachkompetenz in der Geschäftsleitung oder Änderungen der Geschäftsorganisation im Auslagerungsunternehmen anordnen. Auch hier sind jedoch die Beschränkungen durch den Verhältnismäßigkeitsgrundsatz zu beachten, der bei jedem staatlichen Eingriffshandeln Beachtung finden muss.

Darüber hinaus werden der BaFin weitgehende Prüfungs- und Auskunftsrechte gegenüber Auslagerungsunternehmen an die Hand gegeben werden, soweit ein Institut oder übergeordnetes Unternehmen wesentliche Aktivitäten und Prozesse im Sinne des § 25b KWG ausgelagert hat oder es sich um eine Auslagerung interner Sicherungsmaßnahmen nach § 25h Abs. 4 KWG oder § 6 Abs. 7 GwG handelt.

2.4     EBA Guidelines

2.4.1 Ziele der EBA Guidelines

Die „Guidelines on outsourcing arrangements“ der EBA (European Banking Authority) umfassen neue Regelungen für die aufsichtsrechtliche Behandlung von Auslagerungen. Sie verlangen von Instituten eine umfassende Bestandsaufnahme sowie die Überprüfung, Bewertung und Dokumentation ihrer Provider-Beziehungen (Due Diligence).

Die neuen Regelungen betreffen v. a. den Governance-Rahmen (z. B. das Risikomanagement, die Organisation und die Dokumentationspflichten) sowie den Auslagerungsprozess (z. B. die Auslagerungsvoranalyse). Darüber hinaus müssen Institute ein einheitliches und vollständiges Auslagerungsregister aller Outsourcing-Beziehungen führen, unterteilt nach kritischen/unkritischen oder wichtigen/unwichtigen Auslagerungsverträgen. Dieses muss der jeweiligen Aufsichtsbehörde mindestens alle drei Jahre zur Verfügung gestellt werden.

2.4.2 Maßnahmen zur Erfüllung der Anforderungen

2.4.3 Weiterführende Informationen

  • Zertifizierung nach PCI-DSS
  • ISO 27001 Zertifizierung für den IT-Betrieb/inkl. 27002 ff.
  • Zertifizierung durch den TÜV „Trusted Site Infrastructure“ Level 3 zur Bestätigung einer zuverlässigen IT-Infrastruktur
  • Anwendungsentwicklung: Orientierung an ISO/EIC 15504-5 (SPICE Level 3)
  • RZ-Betrieb: Orientierung an ISO27001/ITIL

LEGANTA 360 (managed services / cloud) und COMAC 7 (on premise) sind professionelle Softwarelösungen für das Auslagerungsmanagement.

Auslagerungsmanagement mit LEGANTA 360 (Teil 1)

Mit diesem Bericht beginnen wir unsere Reihe zum Auslagerungsmanagement. Insbesondere zeigen wir, wie die Anforderungen durch LEGANTA 360 abgedeckt werden kann.

  1. Die Aufgaben des Auslagerungsmanagements

Neue EU-Bestimmungen verschärfen die Compliance- und Governance-Anforderungen für Banken und andere Finanzinstitutionen im Umgang mit der Auslagerung von Finanztechnologie (Fintech). Diese beinhalten Anforderungen an ein zentrales Register für Verträge und Leistungen mit Subdienstleistern.

Ausgangspunkt sind die von der Europäischen Bankenaufsichtsbehörde (EBA) herausgegebenen Leitlinien zum Umgang mit Outsourcing („Guidelines on outsourcing arrangements“ (EBA/GL/2019/02)), welche die Grundlage für nationale Regelungen bilden, die im Folgenden ebenfalls berücksichtigt werden (KWG, MaRisk, FISG u.a.). Die Vorschriften gelten in der EU und im gesamten EWR.

Die Vorschriften sollen dem Umstand Rechnung tragen, dass Finanzinstitutionen zunehmend Tätigkeiten auslagern, um Kosten zu reduzieren und Flexibilität und Effizienz zu steigern.

Die neuen Vorschriften richten sich an Banken, Kreditinstitute, Investitionsgesellschaften sowie Zahlungs- und E-Geld-Institutionen. Sie enthalten Anforderungen, die sicherstellen sollen, dass Unternehmen, die Tätigkeiten auslagern, eine angemessene Steuerung und Kontrolle über Auslagerungsverträge haben.

Eine der Anforderungen ist die Dokumentation von Auslagerungen in einem zentralen Auslagerungsregister. Dieses Register soll laut EBA folgende Mindest-Informationen enthalten:

  • Auslagerungsunternehmen:
    • Bei einer Auslagerung an einen Cloud-Dienstleister: Angabe des Clouddienstes und der Implementierungsmodelle sowie der Orte, an denen die Daten gespeichert werden
    • Ein Ergebnis der Bewertung der Ersetzbarkeit des Dienstleisters sowie ob die betreffende Finanzinstitution die Aufgaben selbst ausüben kann oder nicht
  • Auslagerungsvertrag:
    • Auslagerungsverträge sind solche Verträge, in denen Auslagerungen geregelt sind.
    • Es sind in der Regel Dauerschuldverhältnisse.
    • Vertragliche Mindestinformationen sind:
      • Anfangsdatum,
      • nächstes Datum zur Vertragsverlängerung,
      • Ablaufdatum und/oder
      • Kündigungsfristen
  • Auslagerungen
    • Prozesse:
      • Eine Beschreibung der ausgelagerten Leistung mit Kategoriezuweisung
      • Angabe, ob die ausgelagerte Funktion als unternehmenskritisch oder wichtig betrachtet wird oder nicht
      • Das Datum der letzten Bewertung der Kritikalität oder Wichtigkeit der ausgelagerten Funktion
    • Daten: Eine Beschreibung dazu, welche Daten ausgelagert werden, ob personenbezogene Daten übertragen wurden oder nicht und ob diese an einen Dienstleister ausgelagert werden (DSGVO)
    • Ort der Leistungserbringung: Land oder Länder, in dem/denen die Leistung erbracht wird, mit Angabe der geltenden Gesetze.

Soweit der 1. Teil. Im 2. Teil zeigen wir die wichtigsten regulatorischen Grundlagen des Auslagerungsmanagements.