Merkblatt zu Auslagerungen an Cloud-Anbieter
Beitrag aus dem Jahresbericht 2018 der BaFin
Die Auslagerung von Tätigkeiten an Cloud-Anbieter1 ist in den vergangenen Monaten im Finanzsektor zunehmend in den Fokus gerückt – und zwar nicht nur in Deutschland, sondern europaweit. Daher findet mittlerweile zwischen der EBA und der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung EIOPA (European Insurance and Occupational Pensions Authority) sowie innerhalb des Einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism – SSM), aber auch bilateral zwischen den nationalen Aufsichtsbehörden ein stetiger Austausch dazu statt, wie Auslagerungen an Cloud-Anbieter zu behandeln sind. Ein wichtiges Ergebnis dieses Austauschs sind die „Recommendations on outsourcing to cloud service providers“ der EBA vom Dezember 20172. Diese Empfehlungen soll die EBA wiederum in die „Guidelines on Outsourcing“ überführen, die aktuell bearbeitet werden und Mitte 2019 veröffentlicht werden sollen.
Immer mehr Unternehmen haben in den vergangenen Jahren Tätigkeiten an Cloud-Anbieter ausgelagert oder beabsichtigen, dies künftig zu tun. Damit einher geht auch die Prüfung, unter welchen Voraussetzungen solche Auslagerungen aufsichtsrechtlich zulässig sind. Hierüber haben die BaFin und die Deutsche Bundesbank im Jahr 2018 sowohl mit beaufsichtigten Unternehmen als auch mit Cloud-Anbietern Gespräche geführt. Ein wesentlicher Aspekt war dabei, wie (Standard-)Verträge bzw. vertragliche Zusatzvereinbarungen auszugestalten sind, die auch die aufsichtsrechtlich relevanten Vorgaben erfüllen und regeln sollten. Dazu gehören Informations- und Prüfungsrechte der beaufsichtigten Unternehmen bzw. der Aufsicht.
Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
Um die Gesprächsergebnisse transparent zu machen, veröffentlichte die BaFin am 8. November 2018 das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“3. Darin legt sie gemeinsam mit der Deutschen Bundesbank dar, wie sie die Auslagerung an Cloud-Anbieter einschätzt. Die Orientierungshilfe richtet sich an Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Pensionsfonds, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute.
In dem Merkblatt erläutert die BaFin ihre derzeitige aufsichtliche Praxis in solchen Auslagerungsfällen. Sie macht außerdem transparent, wie sie verschiedene Formulierungen in Vertragsklauseln einschätzt. Darüber hinaus will sie bei den beaufsichtigten Unternehmen ein Bewusstsein für Probleme schaffen, die bei der Nutzung von Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen auftreten können. Die BaFin formuliert in dem Cloud-Merkblatt allerdings keine neuen Vorgaben; die bestehenden Anforderungen an Auslagerungen bleiben daher unberührt. Dementsprechend gilt auch bei Auslagerungen an Cloud-Anbieter der Grundsatz, dass die Verantwortung der Geschäftsleiter bei einer Auslagerung von Daten nicht an den Cloud-Dienstleister übertragen werden darf. Das beaufsichtigte Unternehmen bleibt bei einer Auslagerung also weiterhin dafür verantwortlich, dass es die gesetzlichen Bestimmungen, die es beachten muss, auch wirklich einhält.
Fußnoten:
- 1 Vgl. Kapitel Entwicklungen auf europäischer Ebene/EBA-Leitlinien zu Auslagerungen.
- 2 EBA/REC 2017/03.
- 3 Vgl. Kapitel IT-Aufsicht bei Banken und Versicherern.