matrix technology AG

25.03.2019

BaFin Perspektiven „Wenn Banken IT-Dienstleistungen auslagern“

In der Schriftenreihe „BaFin Perspektiven“ beschäftigt sich die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin) mit Fragen rund um die Themen Aufsicht und Regulierung. In der aktuellen Ausgabe beleuchten Raimund Rösler und Ira Steinbrecher das Thema „Wenn Banken IT-Dienstleistungen auslagern“.

IT-Services gehören zu den Unternehmensaktivitäten, die am häufigsten an externe Dienstleister ausgelagert werden. Die Digitalisierung zwingt auch Kreditinstitute ihre Geschäftsmodelle und Prozesse dem Wandel anzupassen, um die neusten Technologien und damit verbundene Skaleneffekte nutzen zu können. Konkret gibt eine IT-Auslagerung den Instituten die Möglichkeit, sich auf ihre Kernkompetenzen zu konzentrieren und ihre Services kontinuierlich zu verbessern. Die immer stärker zunehmende Nutzung von Cloud-Angeboten trägt laut den o.g. Autoren in besonderem Maße dazu bei. Einzelne Geschäftsprozesse können so effizienter abgebildet und datengetriebene Big Data-Geschäftsstrategien verfolgt werden. Jedoch müssen die damit verbundenen Risiken durch das entsprechende Institut stetig im Auge behalten werden. Die hierfür vom Gesetzgeber und der BaFin aufgestellten Vorgaben für das Risikomanagement sind technologieneutral und lassen sich deshalb auch auf die Auslagerung an Cloud-Anbieter übertragen.

Beim IT-Outsourcing im finanzregulierten Umfeld sollten folgende, bereits bekannte Punkte beachtet werden:

  • Es gelten die allgemeinen Vorgaben der §§ 25a, 25b Kreditwesengesetz (KWG) sowie AT 9 der Mindestanforderungen an das Risikomanagement (MaRisk).
  • Bei wesentlichen Auslagerungen gelten besondere Anforderungen an die Vertragsgestaltung, die Beendigung des Auslagerungsverhältnisses sowie die Steuerung und Überwachung.
  • Seit November 2017 gibt es zudem die Bankenaufsichtlichen Anforderungen an die IT (BAIT), deren Ziel es ist, das Bewusstsein von IT-Risiken in den Kreditinstituten zu stärken.

Prüfrechte und Grenzen der Auslagerung

Da die Auslagerung an Cloud-Anbieter neue Herausforderungen mit sich bringt, gab die BaFin im November 2018 eine „Orientierungshilfe zur Auslagerung an Cloud-Anbieter“ heraus. Eine zentrale Frage, die in der Vergangenheit immer wieder zur Diskussion gestellt wurde, ist, inwieweit das geforderte uneingeschränkte Prüfrecht gegenüber Cloud-Anbietern durchgesetzt werden kann. Die großen Cloud-Anbieter fürchten Risiken für den operativen Betrieb, wenn beispielsweise mehrere Prüfungen in Rechenzentren parallel durchgeführt werden. Die veröffentlichte Orientierungshilfe leistet hier Abhilfe durch die Benennung diverser Erleichterungen, die von den Instituten genutzt werden können. So kann die Bank unter Erfüllung bestimmter Voraussetzungen auf eigene Prüfungen verzichten und der Revisionstätigkeit stattdessen durch

  • die interne Revision des Cloud-Anbieters
  • einer Sammelprüfung
  • einen vom Cloud-Anbieter oder vom auslagernden Institut beauftragten Dritten

Folge leisten.

Hinzu kommt, dass ein Institut auf Nachweise bzw. Zertifikate gängiger Standards oder auf Prüfberichte Dritter bzw. des Cloud-Anbieters mit entsprechender Detailtiefe zurückgreifen darf.

>>> Lesen Sie dazu auch unseren News-Beitrag zum Thema Cloud Computing bei Finanzdienstleistern

Risiken bei der Beauftragung von Mehrmandantenanbietern im Auge behalten

Die Autoren gehen in ihrem Ausblick auch auf das Thema Mehrmandantenanbieter ein und sprechen insbesondere die Fragestellung an, welche Anforderungen im Allgemeinen und speziell auch an Cloud-Anbieter gestellt werden sollten. Künftige regulatorische Anforderungen könnten demnach Wohlverhaltensregeln sein. Ein Verhaltenskodex im Bereich „Datenschutz für Cloud-Anbieter“ ist bereits vorgesehen. Generell wird die Auslagerung an Mehrmandantendienstleister zukünftig stärker unter Beobachtung stehen, um die Entstehung neuer Risiken schnellstmöglich identifizieren und diesen zeitnah entgegenwirken zu können. So wird aktuell beispielsweise die Auslagerung vieler Institute an eine begrenzte Anzahl von Mehrmandantendienstleistern als Risikoquelle bewertet. In diesem Zusammenhang wies die European Banking Authority (kurz: EBA) auf das Risiko hin, dass mehrere Institute gleichzeitig ihre Finanzdienstleitungen nicht mehr störungsfrei anbieten können, wenn diese Dienstleister ihren Service nicht erbringen können. Bisher werden Mehrmandantendienstleister nicht von der BaFin beaufsichtigt. Das bedeutet, dass sie von den Dienstleistern nicht direkt Informationen anfordern bzw. Prüfungen anordnen können. Dies geschieht aktuell eher indirekt über die beaufsichtigten Institute, die sicherstellen müssen, dass der ausgewählte Dienstleister den BaFin-Ansprüchen genügt.     

Im Großen und Ganzen bringt der Beitrag, insbesondere für Regulatorik-Experten, keine neuen Erkenntnisse hervor. Dennoch gibt er einen guten Einblick und vor allem Einstieg in die Thematik „IT-Auslagerung“ für Finanzdienstleister. Einzig zum Thema Mehrmandantendienstleister gab es einige neue Denkanstöße, die so in dieser Form vorher noch nicht konkret veröffentlicht wurden. Bei all den Änderungen und Vorgaben, welche durch die BaFin herausgegeben werden, wird sich eine Sache jedoch auch zukünftig nicht ändern: Die Verantwortung für das IT-Outsourcing selbst kann von einem Institut bzw. seiner Geschäftsleitung nicht ausgelagert werden!

Den vollständigen Beitrag können Sie in der aktuellen Ausgabe „BaFin Perspektiven“ ab Seite 43 nachlesen: https://www.bafin.de/SharedDocs/Downloads/DE/BaFinPerspektiven/2019/bp_19-1_digitalisierung.pdf?__blob­publicationFile&v=8