Auslagerungsmanagement mit LEGANTA 360 (Teil 1)

Mit diesem Bericht beginnen wir unsere Reihe zum Auslagerungsmanagement. Insbesondere zeigen wir, wie die Anforderungen durch LEGANTA 360 abgedeckt werden kann.

  1. Die Aufgaben des Auslagerungsmanagements

Neue EU-Bestimmungen verschärfen die Compliance- und Governance-Anforderungen für Banken und andere Finanzinstitutionen im Umgang mit der Auslagerung von Finanztechnologie (Fintech). Diese beinhalten Anforderungen an ein zentrales Register für Verträge und Leistungen mit Subdienstleistern.

Ausgangspunkt sind die von der Europäischen Bankenaufsichtsbehörde (EBA) herausgegebenen Leitlinien zum Umgang mit Outsourcing („Guidelines on outsourcing arrangements“ (EBA/GL/2019/02)), welche die Grundlage für nationale Regelungen bilden, die im Folgenden ebenfalls berücksichtigt werden (KWG, MaRisk, FISG u.a.). Die Vorschriften gelten in der EU und im gesamten EWR.

Die Vorschriften sollen dem Umstand Rechnung tragen, dass Finanzinstitutionen zunehmend Tätigkeiten auslagern, um Kosten zu reduzieren und Flexibilität und Effizienz zu steigern.

Die neuen Vorschriften richten sich an Banken, Kreditinstitute, Investitionsgesellschaften sowie Zahlungs- und E-Geld-Institutionen. Sie enthalten Anforderungen, die sicherstellen sollen, dass Unternehmen, die Tätigkeiten auslagern, eine angemessene Steuerung und Kontrolle über Auslagerungsverträge haben.

Eine der Anforderungen ist die Dokumentation von Auslagerungen in einem zentralen Auslagerungsregister. Dieses Register soll laut EBA folgende Mindest-Informationen enthalten:

  • Auslagerungsunternehmen:
    • Bei einer Auslagerung an einen Cloud-Dienstleister: Angabe des Clouddienstes und der Implementierungsmodelle sowie der Orte, an denen die Daten gespeichert werden
    • Ein Ergebnis der Bewertung der Ersetzbarkeit des Dienstleisters sowie ob die betreffende Finanzinstitution die Aufgaben selbst ausüben kann oder nicht
  • Auslagerungsvertrag:
    • Auslagerungsverträge sind solche Verträge, in denen Auslagerungen geregelt sind.
    • Es sind in der Regel Dauerschuldverhältnisse.
    • Vertragliche Mindestinformationen sind:
      • Anfangsdatum,
      • nächstes Datum zur Vertragsverlängerung,
      • Ablaufdatum und/oder
      • Kündigungsfristen
  • Auslagerungen
    • Prozesse:
      • Eine Beschreibung der ausgelagerten Leistung mit Kategoriezuweisung
      • Angabe, ob die ausgelagerte Funktion als unternehmenskritisch oder wichtig betrachtet wird oder nicht
      • Das Datum der letzten Bewertung der Kritikalität oder Wichtigkeit der ausgelagerten Funktion
    • Daten: Eine Beschreibung dazu, welche Daten ausgelagert werden, ob personenbezogene Daten übertragen wurden oder nicht und ob diese an einen Dienstleister ausgelagert werden (DSGVO)
    • Ort der Leistungserbringung: Land oder Länder, in dem/denen die Leistung erbracht wird, mit Angabe der geltenden Gesetze.

Soweit der 1. Teil. Im 2. Teil zeigen wir die wichtigsten regulatorischen Grundlagen des Auslagerungsmanagements.