News

Outsourcing im Finanzsektor

25.08.2021

Am 16. August hat die BaFin das novellierte Rundschreiben 10/2021 (BA) – Mindestanforderungen an das Risikomanagement (kurz: MaRisk) und darauf aufbauend eine neue Fassung der Bankaufsichtlichen Anforderungen an die IT (kurz: BAIT) veröffentlicht. Zugleich hat die BaFin ein neues Rundschreiben 11/2021 (BA) – Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (kurz: ZAIT) veröffentlicht. Die Novellierungen dienen im Wesentlichen der Umsetzung von Anforderungen, die auf EU-Ebene aufgestellt wurden. Sie enthalten insofern sowohl Konkretisierungen bestehender Vorgaben als auch Neuregelungen für Institute des Finanzdienstleistungssektors, ohne allerdings auf die besonders praxisrelevanten Auslagerungen in die Cloud speziell einzugehen.

Novellierung der MaRisk

Die MaRisk richtet sich an Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland. Für die seit Juni 2021 mit Wirksamwerden des Wertpapierinstitutsgesetz (WpIG) neugeschaffene Kategorie kleiner und mittlerer Wertpapierinstitute gelten die MaRisk damit eigentlich nicht; allerdings sollen die MaRisk nach den von der BaFin veröffentlichten Q&A zum WpIG sinngemäß unter besonderer Beachtung des Proportionalitätsgrundsatzes auch für diese Institute gelten bis speziell für diese Institute bestimmte Verlautbarungen veröffentlicht werden. Mit der 6. Novelle der MaRisk setzt die BaFin insbesondere verschiedene Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) in ihre veröffentlichte Verwaltungspraxis um, nämlich die EBA-Leitlinien über das Management notleidender und gestundeter Risikopositionen (EBA/GL/2018/06), die EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) sowie die Vorgaben der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04).

Im Wesentlichen gehen mit den novellierten MaRisk folgende zentrale Änderungen einher:

    • Vorgaben für Institute mit einem hohen Bestand an Non-Performing Loans (NPL) – wobei die Schwelle grundsätzlich bei 5 % festgelegt ist – zur Entwicklung von Strategien für notleidende Risikopositionen zur Reduzierung auf ein bestimmtes Ziel an Non-Performing Exposures (NPE) (Nr. 3 AT 4.2).

    • Neufassung und Konkretisierung der Anforderungen an das Notfallmanagement (u.a. Durchführung von Risikoanalysen, Vorhalten von Ersatzlösungen, Plan für Rückkehr zum Normalbetrieb) (AT 7.3).

    • Ergänzung der Vorgaben für den gesamten Prozess von Auslagerungen (AT 9, s.u.).

    • Überarbeitete Regelungen für die Prozesse im Kreditgeschäft (BTO 1.2).

    • Ergänzte Anforderungen an die Behandlung von Problemkrediten (BTO 1.2.5) und zur Risikovorsoge (BTO 1.2.6).

    • Neue Vorgaben zum Vorgehen bei Maßnahmen, mit denen Institute Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten Zugeständnisse machen (sog. Forbearance) (BTO 1.3.2).

Auslagerungen bei Kredit- und Finanzdienstleistungsinstituten nach den MaRisk – keine Klarstellungen für Outsourcings in die Cloud

Für den besonders praxisrelevanten Bereich der Auslagerungen (z. B. Nutzung von Cloud-Anwendungen sowie IT-Outsourcings) sieht AT 9 der neuen MaRisk zahlreiche Änderungen für den gesamten Auslagerungsprozess vor. Diesen Änderungen ging ein intensiver Konsultationsprozess mit Marktteilnehmern voraus, in dem über die sachgemäße Umsetzung der EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) gerungen wurde. Den Änderungen vorausgegangen waren bereits einige Anpassungen der gesetzlichen Vorgaben für Auslagerungen durch das Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz, FISG), mit dem die Aufsichtsbehörden insbesondere mit zusätzlichen Befugnissen unmittelbar gegenüber Auslagerungsunternehmen ausgestattet wurden. Im Vergleich zu der zuletzt am 26.10.2020 konsultierten Entwurfsfassung der MaRisk hat es für den Bereich Auslagerungen keine wesentlichen Fortentwicklungen gegeben. Ergänzungen speziell für die in der Praxis immer bedeutsameren Auslagerungen in die Cloud – bspw. im Hinblick auf Prüfungsrechte bei Mehrmandantendienstleistern – sind damit nicht vorgenommen worden. Die Änderungen der bislang geltenden Fassung der MaRisk betreffen insbesondere die Risikoanalyse, die Ausgestaltung des Auslagerungsvertrags, gruppen- bzw. verbundinterne Auslagerungen sowie die Steuerung und Überwachung der Risiken der Auslagerung:

    • Neu ist beispielsweise die wohl mit einigem Anpassungsaufwand für die Institute verbundene Vorgabe, ein aktuelles Auslagerungsregister mit Informationen über alle (also nicht nur die wesentlichen) Auslagerungsvereinbarungen vorzuhalten (AT 9 Ziffer 14). Dazu zählen auch die Auslagerungsvereinbarungen mit Auslagerungsunternehmen innerhalb einer Institutsgruppe oder eines Finanzverbundes. Ferner ist bei der Weiterverlagerung von wesentlichen Auslagerungen von dem auslagernden Institut nunmehr festzulegen, ob der weiter zu verlagernde Teil wesentlich ist und dieser wesentliche Teil im Auslagerungsregister zu erfassen ist (AT 9 Nr. 14). Da im Hinblick auf die inhaltlichen Mindestanforderungen in den MaRisk auf die betreffenden Passagen in den EBA-Leitlinien zu Auslagerungen verwiesen wird, bedeutet dies, dass bspw. auch die Kosten der Auslagerung im Auslagerungsregister aufzunehmen sind.

    • Zudem gelten erhöhte Anforderungen bei der initialen Risikoanalyse inkl. einer Szenarioanalyse, wobei letztere nur erforderlich sein soll, soweit dies sinnvoll und verhältnismäßig ist. Die Ergebnisse der Risikoanalyse sind nunmehr ausdrücklich in der Auslagerungs- und Risikosteuerung zu beachten (AT 9 Nr. 2).

    • Die Regelungen sehen zudem erhöhte Pflichten an eine laufende Überwachung der Leistung des Auslagerungsunternehmens bei wesentlichen Auslagerungen anhand bestimmter Kriterien (z. B. Key Performance Indicators, Key Risk Indicators) und vertraglich vereinbarter Informationen des Auslagerungsunternehmens vor; die Qualität der erbrachten Leistungen sind hierbei künftig regelmäßig zu beurteilen (AT 9 Nr. 9).

    • Jedes Institut, das Auslagerungen vornimmt, hat nunmehr im Rahmen des Ausgliederungsmanagements einen zentralen Auslagerungsbeauftragten im Institut selbst einzurichten (AT 9 Nr. 12). Der Auslagerungsbeauftragte bzw. das zentrale Auslagerungsmanagement haben mindestens jährlich einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Zudem sieht AT 9 Nr. 12 vor, dass anlassbezogen zu berichten ist.

Im Falle von wesentlichen Auslagerungen sind künftig insbesondere folgende Mindestinhalte hinzugekommen, die im Auslagerungsvertrag in Textform zu vereinbaren sind:

    • Datum des Beginns und ggf. des Endes der Auslagerungsvereinbarung,

    • sofern von deutschem Recht abweichend, das geltende Recht für die Auslagerungsvereinbarung,

    • Standorte (d. h. Regionen oder Länder), in denen die Durchführung der Dienstleistung erfolgt und / oder maßgebliche Daten gespeichert und verarbeitet werden, sowie die Regelung, dass das Institut benachrichtigt wird, wenn das Auslagerungsunternehmen den Standort wechselt,

    • vereinbarte Dienstleistungsgüte mit eindeutig festgelegten Leistungszielen,

    • soweit zutreffend, dass das Auslagerungsunternehmen für bestimmte Risiken einen Versicherungsnachweis vorzulegen hat,

    • Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten.

Bei gruppen- und verbundinternen Auslagerungen sieht AT 9 Nr. 15 der neuen MaRisk gewisse Erleichterungen vor:

    • So können im Rahmen der Risikoanalyse wirksame Vorkehrungen auf Gruppen- bzw. Verbundebene, insbesondere ein einheitliches und umfassendes Risikomanagement sowie Durchgriffsrechte, bei der Erstellung und Anpassung der Risikoanalyse risikomindernd berücksichtigt werden.

    • Für Auslagerungen mehrerer Institute einer Gruppe bzw. eines Verbundes an ein bzw. mehrere gemeinsame Auslagerungsunternehmen besteht nunmehr die Möglichkeit, unter bestimmten Umständen ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten.

    • Bei der Risikoberichterstattung von Auslagerungsunternehmen, die innerhalb einer Gruppe/eines Verbundes genutzt werden, besteht die Möglichkeit einer zentralen Vorauswertung, die den auslagernden Instituten die weitere Verwendung erleichtert.

    • Neu ist zudem die Möglichkeit, die Risikocontrolling-Funktion vollständig nicht nur auf ein übergeordnetes Institut, sondern innerhalb der Institutsgruppe auszulagern, sofern das auslagernde Institut nicht als wesentlich einzustufen ist.

    • Jedoch sind auch für Auslagerungen innerhalb einer Institutsgruppe oder eines Finanzverbundes an ein zentrales Auslagerungsunternehmen innerhalb der Gruppe bzw. des Verbundes die Bedingungen, einschließlich der finanziellen Bedingungen, z. B. durch gruppeninterne SLA-Vereinbarungen vertraglich festzulegen.

Aktualisierung der BAIT

Parallel zur Überarbeitung der MaRisk hat die BaFin auch die Bankaufsichtlichen Anforderungen an die IT (BAIT) aktualisiert, die ebenfalls für Kreditinstitute und Finanzdienstleistungsinstitute gelten. Die Aktualisierung dient der Umsetzung der EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04). Inhaltlich weisen die novellierten BAIT zwar keine grundlegenden Änderungen auf, sind allerdings an bestimmten Stellen erweitert, angepasst sowie detailreicher worden. Somit werden die Institute nicht umhinkommen, sich eingehend mit den neuen BAIT zu befassen und den daraus resultierenden Anpassungsbedarf ihrer internen Verfahren zu prüfen. Im Hinblick auf diese Praxisrelevanz ist die Ergänzung der BAIT um die folgenden drei neuen Kapitel hervorzuheben:

    • Operative Informationssicherheit (II.5.): Anforderungen an die technische Umsetzung des Informationssicherheitsmanagements und Benennung von Instrumenten zur Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen.

    • IT-Notfallmanagement (II.10.): Vorgaben für zeitkritische Prozesse und Aktivitäten bezüglich der Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen.

    • Management der Beziehungen mit Zahlungsdienstnutzern (II.11.): Konkretisierung der Anforderungen an das Management der Beziehungen mit Kunden.

Darüber hinaus hat die BaFin bei der Novellierung besonderes Augenmerk auf die Förderung von Informationssicherheit gelegt – also dem Schutz von relevanten Informationen, unabhängig von ihrer Form. Der Begriff der „Informationssicherheit“ geht dabei über den Bereich herkömmlicher „IT-Sicherheit“ hinaus. Die BaFin macht damit deutlich, dass die relevanten Prozesse den gesamten Bereich unternehmerischer Tätigkeit erfassen und nicht nur den IT-Betrieb. So sehen die BAIT etwa vor, dass die Institute auch Schulungen zum Thema Informationssicherheit durchführen müssen.

Die neuen ZAIT – Konkretisierungen des ZAG

Gänzlich neu sind die von der BaFin veröffentlichten Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT), mit denen die BaFin Anforderungen aus den EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) sowie den EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) für Zahlungs- und E-Geld-Institute umsetzt. Mit den ZAIT werden die IT-Vorgaben einschließlich der IT-Auslagerung erstmals für diese Institute konkretisiert.

Die ZAIT sollen einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der betroffenen Institute vorgeben, insbesondere für das Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement (§ 27 Abs. 1 ZAG). Die ZAIT präzisieren darüber hinaus die Vorgaben für die Auslagerung von Aktivitäten und Prozessen (§ 26 ZAG) und die Regelungen für die Beherrschung operationeller und sicherheitsrelevanter Risiken bei der Erbringung von Zahlungsdiensten (§ 53 Abs. 1 ZAG). Konzeptionell stellen die ZAIT eine Kombination der BAIT, die sowohl im Aufbau als auch inhaltlich den ZAIT äußerst ähnlich sind, mit bestimmten Vorgaben der MaRisk dar, so dass sich inhaltlich in den ZAIT kaum regulatorische Neuigkeiten finden. Da für Zahlungs- und E-Geld-Institute jedoch weder die MaRisk noch die BAIT unmittelbar anwendbar sind (auch wenn in der Verwaltungspraxis oftmals deren sinngemäße Anwendung verlangt wurde), kommt den ZAIT für die Praxis sicherlich eine besondere Bedeutung zu. Die zentralen Bestimmungen der ZAIT betreffen:

    • IT-Strategie (II.1.) und IT-Governance (II.2.),

    • Informationsrisiko- (II.3.) und Informationssicherheitsmanagement (II.4.),

    • Operative Informationssicherheit (II.5.) und Identitäts- und Rechtemanagement (II.6.),

    • IT-Projekte und Anwendungsentwicklung (II.7.) und IT-Betrieb (II.8.),

    • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen (II.9.) – insoweit gelten im Wesentlichen die Vorgaben zu Auslagerungen nach den MaRisk entsprechend,

    • Notfallmanagement (II.10.) und Management der Beziehungen mit Zahlungsdienstnutzern (II.11.) sowie

    • Kritische Infrastrukturen (II.12.).

Mit den neuen Anforderungen möchte die BaFin insbesondere der wachsenden Bedrohung von Cyberangriffen entgegentreten und die Auslagerung von IT-Prozessen weiter regulatorisch begleiten.

Zeitplan und Umsetzung

Die novellierten MaRisk sind mit Veröffentlichung am 16. August 2021 in Kraft getreten. Die Konkretisierungen müssen unmittelbar umgesetzt werden. Für die Umsetzung der neuen Anforderungen gilt eine Übergangsfrist bis zum 31.12.2021. Bereits bestehende oder in Verhandlung befindliche Auslagerungsverträge müssen bis zum 31.12.2022 angepasst werden.

Für die BAIT sind keine Übergangsfristen vorgesehen, da die BaFin der Auffassung ist, dass keine neuen Anforderungen gestellt werden, sondern lediglich Konkretisierungen vorgenommen würden.

Die ZAIT gelten ebenfalls seit ihrer Veröffentlichung am 16. August 2021. Auch hier hält die BaFin Übergangsfristen grundsätzlich nicht für erforderlich, weil bestehende aufsichtliche Anforderungen lediglich interpretiert bzw. konkretisiert würden. Gleichwohl wird im Anschreiben der BaFin zu den ZAIT auf die Übergangsfristen aus den EBA-Leitlinien verwiesen, wobei im Dunkeln bleibt, was dies für die betroffenen Institute bedeuten soll. Dies gilt umso mehr, als die BaFin angekündigt hat, aufsichtsrechtliche Prüfungen bei Zahlungs- und E-Geld-Instituten durchzuführen, um die Umsetzung der ZAIT zu überwachen.

Fazit

Mit den neuen Regelungen präzisiert die BaFin die für Institute des Finanzsektors geltenden regulatorischen Anforderungen an eine ordnungsgemäße Geschäftsorganisation. Die neu eingeführten Vorgaben beziehen sich insbesondere auf die Bereiche Informationssicherheit und Auslagerungen, wobei inhaltlich im Wesentlichen an die entsprechenden Leitlinien der EBA angeknüpft wird. Wie so oft bei Verlautbarungen von Aufsichtsbehörden, mit denen gesetzliche Regelungen konkretisiert werden, haben auch die die Novellierungen der MaRisk und der BAIT sowie die Veröffentlichung der ZAIT zwei Seiten. Einerseits mag man begrüßen, dass die Institute etwas größere Rechtssicherheit im Hinblick auf die aufsichtlichen Erwartungen erhalten. Andererseits sind die neuen Vorgaben teilweise sehr detailliert, so dass sich die Frage stellt, ob und wie der Proportionalitätsgrundsatz insoweit künftig Anwendung finden soll. Zudem wird mit den Neuerungen dem Bedarf der Institute an Rechtssicherheit nur eingeschränkt Rechnung getragen, wenn auf die für die Praxis besonders bedeutsamen Auslagerungen in die Cloud – die auf EU-Ebene durchaus speziell adressiert werden – nicht gesondert eingegangen wird. Kreditinstitute, Finanzdienstleistungsinstitute sowie Zahlungs- und E-Geld-Institute sind jedenfalls angehalten, ihre technischen und rechtlichen Abläufe zeitnah zu prüfen und die erforderlichen organisatorischen und vertraglichen Anpassungen vorzunehmen. Auch für die Cloud-Provider und sonstige IT-Anbieter ist eine Auseinandersetzung mit den neuen Regelungsinhalten empfehlenswert, da sie künftig in Vertragsverhandlungen mit zusätzlichen Forderungen seitens der BaFin-regulierten Auftraggeber werden rechnen müssen.