FinTech: Outsourcing in Zeiten der Digitalisierung

Während das Outsourcing von Dienstleistungen seit jeher gängige Praxis im Finanzsektor ist, hat der Umfang und die Bedeutung dieses Bereiches mit der Digitalisierung der Branche nochmals deutlich zugenommen.

Die Gründe für die Auslagerung von Dienstleistungen sind vielfältig. Das früher dominierende Motiv der Kostenersparnis durch Auslagerung tritt zunehmend in den Hintergrund und wurde abgelöst durch die Absicht, mittels externer Dienstleistungen wie Cloudcomputing oder Prozessautomatisierung Wettbewerbsvorteile zu erlangen oder „den Anschluss nicht zu verlieren“.

1. Europäische Vorgaben zum Outsourcing per Cloudcomputing

1.1 „Guidelines on outsourcing“

Die Vorgaben zu Auslagerungen im Finanzsektor, die für Kreditinstitute, Wertpapierfirmen und Zahlungs- als auch E-Geld-Instituten gelten, sind derzeit im Fluss: Bis heute sind die Vorgaben fragmentiert. Auf europäischer Ebene gelten derzeit noch die „Guidelines on outsourcing“ des Committee of European Banking Supervisors (CEBS) vom Dezember 2006, einer Vorgängerbehörde der Europäischen Bankenaufsichtsbehörde (EBA). Seitdem hat sich das regulatorische Level Playing Field allerdings grundlegend gewandelt. Seitdem erlassene Richtlinien und Verordnungen, wie MiFID II, PSD2 und die vierte Geldwäscherichtlinie, enthalten zum Teil abweichende Vorgaben zu Auslagerungen. Daher konsultiert die EBA aktuell neue Vorgaben („Guidelines on outsourcing arrangements“), welche die CEBS Guidelines ersetzen sollen. Die EBA Guidelines zum Outsourcing sollen erstmals sowohl für Kredit- als auch für Zahlungsinstitute einheitliche Vorgaben zu Auslagerungen schaffen.

1.2 EBA Empfehlungen zur Auslagerungen an Cloud-Anbieter

Aufgrund der stark gestiegenen Nutzung von Cloud-Dienstleistungen veröffentlichte die EBA im Dezember 2017 „Empfehlungen zur Auslagerung an Cloud-Anbieter“. Auch wenn es sich dem Wortlaut nach lediglich um Empfehlungen handelt, so sind die darin formulierten Vorgaben für Institute und Aufsichtsbehörden faktisch bindend. Die Empfehlungen beschäftigen sich insbesondere

  • mit der Beurteilung der Wesentlichkeit der Auslagerung,
  • den Informationspflichten gegenüber der Aufsicht und Prüfungsrechte für Banken und Aufsicht,
  • der geographischen Lage der Daten bzw. Datenverarbeitung und
  • der Weiterverlagerung sowie Ausstiegsklauseln.

Die EBA-Empfehlungen definieren Cloud-Dienste als solche, die mithilfe von Cloudcomputing erbracht werden, d.h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.

Vergleichbar mit der Wesentlichkeitsprüfung nach den sogenannten „Mindestanforderungen an das Risikomanagement“ (MaRisk) haben die Institute auch im Rahmen der EBA-Empfehlungen vor Durchführung der Auslagerung zu prüfen, ob es sich bei der beabsichtigten Nutzung der Cloud-Dienste um eine unter Risikogesichtspunkten wesentliche Auslagerung handelt. Dabei hat das Institut die in den Empfehlungen aufgeführten Aspekte zu berücksichtigen, u.a. Kritikalität der auszulagernden Tätigkeiten und Profil des ihnen inhärenten Risiko, direkte operative Auswirkungen von Ausfällen, die Folgen, die eine Unterbrechung der Geschäftstätigkeit für die Ertragsentwicklung des Instituts und mögliche Konsequenzen einer Verletzung der Vertraulichkeitspflicht oder eines Versagens der Datenintegrität für das Institut und seine Kunden.

Die EBA beabsichtigt, die Empfehlungen in die konsultierten Guidelines zum Outsourcing aufzunehmen und damit ein einheitliches Regelwerk zu schaffen.

2. Vorgaben in Deutschland zum Outsourcing per Cloudcomputing

Auf nationaler Ebene haben die Institute für das Outsourcing von Dienstleistungen die Regelungen des Kreditwesengesetzes, die MaRisk, sowie die „bankaufsichtlichen Anforderungen an die IT“ zu beachten.

2.1 „Die Mindestanforderungen an das Risikomanagement“

Von besonderer Bedeutung für nach dem Kreditwesengesetz (KWG) lizenzierte Institute (Kredit- und Finanzdienstleistungsinstitute) sind die „Mindestanforderungen an das Risikomanagement“, mit denen die für die Aufsicht über Institute zuständige Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre ständige Verwaltungspraxis veröffentlicht. Entsprechende Anforderungen gelten zum Teil gleichermaßen auch für Zahlungs- und E-Geld-Institute, die der Aufsicht nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) unterliegen.

Eine Auslagerung liegt nach AT 9 MaRisk vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.

AT 9 der MaRisk definiert die besonderen Anforderungen, die für das Outsourcing von Instituten gelten. Die BaFin differenziert dabei zunächst zwischen drei Formen:

  1. wesentlichen Auslagerungen,
  2. „sonstigen“ Auslagerungen sowie
  3. dem sonstigen Fremdbezug von Dienstleistungen.

Nur im Falle von Auslagerungen sind die weiteren Vorgaben der MaRisk zu beachten. Beim sonstigen Fremdbezug gelten „lediglich“ die allgemeinen Anforderungen aus § 25a KWG.

Die Entscheidung, ob eine Auslagerung als wesentlich oder nicht zu qualifizieren ist, hat das Institut in seiner eigenen Verantwortung auf Grundlage einer eigenen Risikoanalyse zu treffen. Dabei definiert die Aufsicht in AT 9 Tz. 2 MaRisk einige Faktoren, die in eine solche Risikoanalyse mit einzubeziehen sind, u.a. die wesentlichen Risiken der Auslagerung einschließlich möglicher Risikokonzentrationen und Risiken aus Weiterverlagerungen sowie die Eignung des Auslagerungsunternehmens.

Ist die jeweilige Auslagerung als wesentlich qualifiziert, so hat das auslagernde Institut eine Fülle weiterer Pflichten zu beachten, die AT 9 MaRisk und § 25b KWG definiert. Diese umfassen u.a. die Gewährleistung eines angemessenen und wirksamen Risikomanagements unter Einbeziehung der ausgelagerten Aktivitäten und Prozesse und Vermeidung übermäßiger zusätzlicher Risiken, die Sicherstellung der Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten und den Abschluss eines schriftlichen Auslagerungsvertrages zur Sicherstellung der erforderlichen Rechte.

Daneben stellt die MaRisk unter AT 9 Tz. 5 besondere Anforderungen an die Auslagerung von Aktivitäten und Prozessen aus Kontrollbereichen. Im Falle der Auslagerung solcher Funktionen hat das Institut jederzeit zu gewährleisten, dass der ordnungsmäßige Betrieb in diesen Bereichen im Falle der Beendigung des Auslagerungsverhältnisses fortgesetzt werden kann. Danach hat das Institut weiterhin über Kenntnisse und Erfahrungen hinsichtlich der entsprechenden Funktionen zu verfügen, um eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen zu gewährleisten. Das Institut hat die eigene Kontrolle sicherzustellen und muss jederzeit imstande sein, die ausgelagerten Funktionen wieder rückzuführen.

2.2 Die „bankaufsichtlichen Anforderungen an die IT“ (BAIT)

Aufgrund steigender Bedeutung von IT-Dienstleistungen für die Funktion des Finanzsektors können Störungen oder Ausfälle entsprechender Systeme zu weitreichenden Folgen für Kunden und die Institute führen. Anlässlich der Zunahme an Auslagerungen in diesem Bereich hat die BaFin in ihrem Rundschreiben BAIT unter Ziffer II 8 Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen zusätzlich geregelt.

Nach den BAIT sind IT-Dienstleistungen alle Ausprägungen des Bezugs von IT, insbesondere die Bereitstellung von IT-Systemen. Das umfasst auch Auslagerungen, „die dem Institut über ein Netz bereitgestellt werden (z.B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen)“.

Grundsätzlich verweisen die BAIT hinsichtlich der Auslagerung von IT-Dienstleistungen auf die allgemeinen Anforderungen von AT 9 MaRisk sowie § 25a Abs. 1 KWG, die die BAIT lediglich konkretisieren. Abweichend zur MaRisk verlangt Ziffer II 8 Tz. 53 BAIT jedoch wegen der grundlegenden Bedeutung der IT für das Institut, dass auch für den sonstigen Fremdbezug von IT-Dienstleistungen vorab eine Risikobewertung durchzuführen ist. Dabei stellt auch der isolierte Bezug von Software in der Regel einen sonstigen Fremdbezug dar. Wobei dabei auch Unterstützungsdienstleistungen, die über die reine Beratung hinausgehen (z.B. Anpassung der Software an die konkreten Bedürfnisse des Kunden, Testen, Implementieren usw.) erfasst werden. Danach ist (anders als nach der MaRisk) bei praktisch jeder externen IT-Dienstleistung eine interne Risikobewertung vorzunehmen.

Auslagerungen werden zunehmen und sollen es auch. Gerade deswegen werden die Aufsichtsbehörden in zunehmenden Maße den Bezug von Leistungen von Dritten regeln.