© BaFin / www.freepik.com
Erscheinung:28.02.2019 | Thema Fintech Wenn Banken IT-Dienstleistungen auslagern
Inhalt
- Einleitung
- Standardisierung von IT-Dienstleistungen
- Auslagerung in die Cloud
- Risiken der Auslagerung
- Anforderungen an Auslagerungen an Cloud-Anbieter
- Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
- Diskussion über Weisungsrechte aufgegriffen
- Wie weit kann das Prüfrecht gehen?
- Grenzen der Auslagerung
- Ausblick
Die Auslagerung von Aktivitäten und Prozessen ermöglicht es Banken, sich auf ihre Kernkompetenzen zu konzentrieren und ihre Dienstleistungen zu verbessern. Funktionieren kann Auslagerung aber nur, wenn die Institute die Risiken weiterhin unter Kontrolle behalten. Im Zeitalter der Digitalisierung stellt dies Banken und Aufsicht vor neue Herausforderungen.
Einleitung
Für Unternehmen ist die Auslagerung von Aktivitäten und Prozessen seit jeher ein effizienter Weg der Arbeitsteilung. Bereits im Jahr 1776 hat Adam Smith festgestellt, dass Arbeitsteilung die produktiven Kräfte der Arbeit mehr als alles andere fördern und verbessern dürfte.1 Auch Banken nutzen die Vorteile von Auslagerungen – und zwar aus vielfältigen Gründen: Bei einem Quervergleich der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Jahr 2013 nannten alle Institute Kostenersparnis, Prozessoptimierung und – vor allem bei der Informationstechnologie (IT) – Qualitätssteigerung, Zugang zu Spezialwissen, Nutzen von Synergien und Schonen von Ressourcen. Hauptmotiv für Auslagerungen war für sämtliche Banken die Kostenersparnis.2
In den vergangenen Jahrzehnten wurden die Prozesse und Aktivitäten in den Instituten zunehmend von IT-Systemen unterstützt. Die Digitalisierung ist daher für die Institute nicht neu, vollzog sich jedoch bislang im Wesentlichen in deren Innern.3 Mit zunehmender Vernetzung der IT-Infrastruktur haben die Möglichkeiten der Arbeitsteilung in der Informationsverarbeitung zwischen Marktakteuren zugenommen. Banken ist es auf diese Weise möglich geworden, IT-Dienstleistungen auszulagern, was dazu führte, dass sie auch Teile des Wertschöpfungsprozesses nicht mehr vollständig selbst erbringen, sondern als IT-Dienstleistungen von Dritten beziehen. Wertschöpfungsketten werden also zunehmend aufgespalten und dezentralisiert.4
Standardisierung von IT-Dienstleistungen
Standardisierte IT-Dienstleistungen ermöglichen den Unternehmen, Skaleneffekte und damit die oben angesprochenen Kosteneinsparungen zu realisieren. Die Nachfrage nach solchen standardisierten Leistungen wird bereits seit einigen Jahren von IT-Dienstleistern, etwa von Rechenzentrenbetreibern, bedient, die solche Dienstleistungen für eine Vielzahl von Kunden bzw. Mandanten anbieten (Mehrmandantendienstleister). Der bereits 2013 von der BaFin analysierte Trend, dass ein Schwerpunkt der Auslagerungen der Banken in der IT liegt,5 setzt sich weiter fort. Angesichts der fortschreitenden Digitalisierung und der zunehmenden Bedeutung von Informationstechnologien, insbesondere Finanztechnologien (Fintech), passen die Institutionen ihre Geschäftsmodelle, Prozesse und Systeme an, um solche Technologien zu nutzen. IT zählt daher mittlerweile zu den Aktivitäten, die am häufigsten ausgelagert werden.6 Damit einher geht die Beobachtung, dass Auslagerungen – neben dem Streben nach reiner Kostenersparnis – zunehmend eine strategische Dimension zukommt, dass sich Kreditinstitute also durch das Auslagern von Aktivitäten und Prozessen auf ihre Kernkompetenzen konzentrieren und somit ihre Dienstleistungen verbessern wollen.7
Auslagerung in die Cloud
Ein aktuelles Beispiel für Auslagerungen, bei denen die beiden Dimensionen Kosten und Strategie eine wesentliche Rolle spielen, ist die auffallend zunehmende Nutzung von Cloud-Dienstleistungen.8 Die Dienstleistungen von Cloud-Anbietern reichen von der Bereitstellung von Speicherplatz oder Rechnerleistung (Infrastructure as a Service – IaaS) über die Bereitstellung von Entwicklerplattformen (Plattform as a Service – PaaS) etwa zur Einrichtung einer Internetpräsenz, bis hin zur Bereitstellung von Softwareapplikationen bzw. Webanwendungen (Software as a Service – SaaS)9, die auf den Systemen des Cloud-Anbieters laufen. Die Nutzung solcher Cloud-Dienstleistungen bietet Instituten neue Möglichkeiten, Teile ihrer Geschäftsprozesse informationstechnologisch effizienter abzubilden, sich, wie oben beschrieben, auf ihre Kernkompetenzen zu fokussieren oder zum Beispiel neue datengetriebene Big-Data-Geschäftsstrategien zu verfolgen.
Risiken der Auslagerung
Auslagerungen bieten aber nicht nur Vorteile, sondern auch Risiken für die auslagernden Institute. Denn gerade wenn Risiken nicht mehr innerhalb der Organisationsstruktur der Institute liegen, besteht die Gefahr, dass sie nicht mehr vollständig identifiziert und gesteuert werden können.10 Deshalb haben der deutsche Gesetzgeber und die deutsche Aufsicht besondere Vorgaben für das Risikomanagement von Auslagerungen entwickelt. Diese Vorgaben sind grundsätzlich technologieneutral und lassen sich damit auch auf Auslagerungen an Cloud-Anbieter übertragen.
Anforderungen an Auslagerungen an Cloud-Anbieter
Zunächst gelten für alle Formen der Auslagerungen die Vorgaben der §§ 25a, 25b Kreditwesengesetz (KWG) in Verbindung mit AT 9 der Mindestanforderungen an das Risikomanagement (MaRisk).11 Für wesentliche Auslagerungen, die vom Institut selbst im Rahmen der Risikoanalyse identifiziert werden, gelten unter anderem besondere Anforderungen an die Vertragsgestaltung und die Beendigung des Auslagerungsverhältnisses. Gefordert wird auch, wesentlichen Auslagerungen zu steuern und zu überwachen und klare Verantwortlichkeiten einzurichten. Diese Vorgaben – § 25a, 25b KWG in Verbindung mit AT 9 MaRisk – wurden jedoch vor allem mit Blick auf individuelle Auslagerungsverhältnisse entwickelt, bei denen Verträge mit entsprechenden Weisungs- und Prüfrechten individuell ausgestaltet werden können.
Wegen der herausragenden Wichtigkeit der IT hat die BaFin im November 2017 die Bankaufsichtlichen Anforderungen an die IT (BAIT)12 veröffentlicht, die unter anderem im Modul 8 besondere Anforderungen an die Auslagerung und den sonstigen Fremdbezug von IT-Dienstleistungen stellen. Ein zentrales Ziel der BAIT ist es, das Bewusstsein für IT-Risiken in den Instituten und insbesondere auf den Führungsebenen zu schärfen.
Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
Die Auslagerung an Cloud-Anbieter bringt neue Herausforderungen für die Institute und die Aufsicht mit sich. Die BaFin hat daher im November 2018 das Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ veröffentlicht.13
Mit ihrer Orientierungshilfe wollen BaFin und Deutsche Bundesbank transparent machen, wie sie diese Form der Arbeitsteilung und insbesondere verschiedene Vertragsklauseln einschätzen. Darüber hinaus geht es auch darum, bei den beaufsichtigten Unternehmen ein Problembewusstsein zu schaffen, und zwar im Umgang mit Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen. Dazu weist die Orientierungshilfe auf wesentliche Aspekte hin, die beaufsichtigte Unternehmen bei einer Auslagerung an Cloud-Anbieter zum Beispiel bei der Risikoanalyse und der vertraglichen Gestaltung beachten sollten. Die Aufsicht stellt in der Orientierungshilfe allerdings keine neuen Anforderungen, sondern ausschließlich die derzeitige aufsichtliche Praxis dar.
Diskussion über Weisungsrechte aufgegriffen
Die BaFin hat in der Orientierungshilfe die aktuelle Diskussion darüber aufgegriffen, inwieweit die Vorgaben des AT 9 MaRisk auch bei der Ausgestaltung von Verträgen für die Auslagerung standardisierter IT-Dienstleistungen einzuhalten sind, etwa was die Vereinbarung von Weisungsrechten angeht: Bei einer Auslagerung muss es einem Institut möglich sein, dem Dienstleister im Hinblick auf die ausgelagerten Aktivitäten und Prozesse und die zugrundeliegenden Kontrollen entsprechend individuelle Weisungen zu erteilen. Bei der Nutzung standardisierter Dienstleistungen kann es aber schwierig werden, individuelle Weisungen zu erteilen, da diese auch Auswirkungen auf die Leistungen haben könnten, die der Cloud-Anbieter für andere Kunden erbringt. In solchen Fällen können daher die Institute von der Möglichkeit Gebrauch machen, die sich in der Erläuterung zu AT 9 Tz. 7 MaRisk findet. Demnach kann auf eine explizite Vereinbarung von Weisungsrechten verzichtet werden, wenn die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Diese Erleichterungen gelten auch für Auslagerungen an Cloud-Anbieter.
Wie weit kann das Prüfrecht gehen?
Über eine weitere zentrale Frage wird diskutiert: Wie weit kann das geforderte uneingeschränkte Prüfungsrecht gegenüber einem Cloud-Anbieter gehen? Die Orientierungshilfe stellt zunächst klar, dass sicherzustellen ist, dass Institute, die Informationen erhalten, die sie für die angemessene Steuerung und Überwachung der mit der Auslagerung verbundenen Risiken benötigen.14 Um diese Risiken angemessen steuern und überwachen zu können, müssen die Institute in der Lage sein, nicht nur die ausgelagerten Aktivitäten und Prozesse zu prüfen, sondern auch die zugrundeliegenden Kontrollprozesse. Die Cloud-Anbieter müssen ihnen hierfür ein uneingeschränktes Prüfrecht einräumen.
Cloud-Anbieter sehen in der Ausübung der Prüfrechte durch die Institute Risiken für den operativen Betrieb, zum Beispiel für Rechenzentren, wenn eine Vielzahl von Prüfungen zeitgleich durchgeführt werden. Die Orientierungshilfe weist daher auf verschiedene Erleichterungen hin, welche die Institute nutzen können. So kann die Interne Revision einer Bank bei einer wesentlichen Auslagerung gemäß BT 2.1 Tz. 3 MaRisk unter bestimmten Voraussetzungen auf eigene Prüfungen verzichten. Die Revisionstätigkeit ausführen können dann die Interne Revision des Cloud-Anbieters, die Interne Revision eines oder mehrerer der auslagernden beaufsichtigten Unternehmen im Auftrag der auslagernden Bank (Sammelprüfungen – Pooled Audits), ein vom Cloud-Anbieter beauftragter Dritter oder ein von den auslagernden Instituten beauftragter Dritter.15
Eine weitere Erleichterung: Ein Institut darf grundsätzlich Nachweise bzw. Zertifikate auf Basis gängiger Standards16, Prüfberichte anerkannter Dritter oder interne Prüfberichte des Cloud-Anbieters heranziehen, sollte aber Umfang, Detailtiefe, Aktualität und Eignung des Zertifizierers oder Prüfers dieser Nachweise, Zertifikate und Prüfberichte berücksichtigen. Soweit die Interne Revision bei ihrer Tätigkeit solche Nachweise, Zertifikate oder Prüfberichte heranzieht, sollte sie die Nachweise und Belege (Evidenzen) prüfen können, die diesen zugrunde liegen.17
Grenzen der Auslagerung
Institute können die beschriebenen Erleichterungen nutzen, um Auslagerungen an Cloud-Anbieter möglichst effizient zu gestalten und auf diese Weise Skaleneffekte möglichst gut zu realisieren. Dennoch hat auch die Auslagerung an Cloud-Anbieter ihre Grenzen. So hat BaFin-Präsident Felix Hufeld schon wiederholt darauf hingewiesen, dass die Letztverantwortung bei der Geschäftsleitung des auslagernden Unternehmens bleibt.18 Auch die Europäische Bankenaufsichtsbehörde EBA (European Banking Authority) stellt klar, dass die Geschäftsleitung eines auslagernden Instituts ihre Verantwortung niemals auslagern kann. Auslagerung dürfe nicht dazu führen, dass ein Institut zu einer leeren Hülle wird, der es an Substanz fehlt. Das Management müsse daher sicherstellen, dass ausreichende Ressourcen zur Verfügung stehen, welche die Erfüllung dieser Verantwortung angemessen unterstützen und gewährleisten – einschließlich der Überwachung der Risiken und der Verwaltung der Outsourcing-Vereinbarungen.19
Ausblick
Unabhängig von der Orientierungshilfe, die den Status Quo der aufsichtlichen Vorgaben und der aktuellen Verwaltungspraxis wiedergibt, stellt sich die Frage, ob es künftig anderer oder dezidierterer Vorgaben für das Management von Risiken bei der Auslagerung von IT-Dienstleistungen bedarf. Internationale Standardsetzer wie die G7, der Basler Ausschuss für Bankenaufsicht (Basel Committee on Banking Supervision – BCBS) und die EBA beschäftigen sich mit Third-Party-Risks bzw. Auslagerungsrisiken. Die deutsche Aufsicht wird laufend prüfen, ob die aufsichtlichen Vorgaben und ihre Verwaltungspraxis angemessen sind, und sie anpassen, wenn notwendig. Die Ausarbeitungen der im Oktober 2018 veröffentlichten „G-7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector“ und die am 25. Februar 2019 veröffentlichten Guidelines on outsourcing arrangements der EBA werden hierbei eine wichtige Rolle spielen.
Daneben stellt sich die Frage, ob und inwieweit es sinnvoll und zielführend ist, konkrete Anforderungen an Mehrmandantendienstleister im Allgemeinen und Cloud-Anbieter im Besonderen zu stellen, um insbesondere deren potentiell systemischer Bedeutung für den Finanzsektor Rechnung tragen zu können. Ein erster Ansatzpunkt für künftige regulatorische Überlegungen könnten Wohlverhaltensregeln bzw. ein Verhaltenskodex sein, wie er zum Beispiel bereits auf dem Gebiet des Datenschutzes für Cloud-Anbieter vorgesehen ist.20
Um die Frage nach der weiteren Entwicklung der aufsichtsrechtlichen Vorgaben beantworten zu können, wird man vor allem die Erfahrungen mit der Anwendung der bestehenden Vorgaben im Blick haben müssen: So dürften die erlaubten Sammelprüfungen für die einzelnen teilnehmenden Institute einen höheren Koordinationsaufwand bedeuten, was letztendlich auch Einfluss darauf hat, wie viele Institute gemeinsam prüfen können. Verschiedene Institute haben in den vergangenen Monaten bereits erste Erfahrungen mit derartigen Sammelprüfungen gemacht.
Die deutsche Aufsicht beobachtet daher die Nutzung des Instruments Sammelprüfungen auch mit Blick auf die Durchführbarkeit und mögliche Konsequenzen für Verwaltungspraxis und Regulierung. Gleiches gilt für die Frage, inwieweit das Heranziehen von Prüfberichten und Zertifikaten auf Basis gängiger Standards ausreicht, um Risiken effektiv zu managen.
Aus aufsichtlicher und regulatorischer Sicht besonders interessant sind die Risiken, die mit der Auslagerung auf Mehrmandantendienstleister verbunden sein können. Diese Art der Auslagerung führt zu einer stärkeren Vernetzung des Finanzsektors mit IT-Dienstleistungsunternehmen und zu einer zunehmenden Komplexität des Marktgeschehens. Dadurch können neue Risiken entstehen, zum Beispiel an den Schnittstellen zwischen den Marktteilnehmern. Da diese Risiken nicht in der eigenen Organisationsstruktur der beaufsichtigten Banken entstehen, besteht die Gefahr, dass diese sie nur unvollkommen identifizieren und steuern können. Aufsichtlich und regulatorisch gilt es daher, die Struktur dieses dynamischen Marktes und die daraus resultierenden Risiken zu bewerten und, wenn nötig, aufsichtlich zu mitigieren.21
Risiken können auch entstehen, wenn eine Vielzahl von Instituten an eine begrenzte Zahl von Mehrmandantendienstleistern auslagert. Die EBA hat darauf hingewiesen, dass Konzentrationen von Auslagerungen auf wenige Dienstleister im Extremfall dazu führen können, dass gleich mehrere Institute nicht mehr oder nicht mehr störungsfrei Finanzdienstleistungen erbringen können. Wenn Dienstleister, zum Beispiel auf dem Gebiet der Informationstechnologie und der Finanztechnologie, ihre Leistungen nicht mehr erbringen können, kann dies sogar systemische Auswirkungen haben.22 Mit anderen Worten: Der gesamte Finanzmarkt kann darunter leiden. Die Überwachung und das Management solcher Konzentrationsrisiken sind besonders relevant für IT-Dienstleistungen, die auf nur wenige Anbieter ausgelagert werden können.23
Die BaFin denkt derzeit intensiv darüber nach, wie die beschriebenen Risiken bei Auslagerungen an Mehrmandantendienstleister angemessen überwacht werden können. Grundsätzlich beaufsichtigt sie Dienstleister – also auch Mehrmandanten- bzw. IT-Dienstleister – nicht. Um sich ein besseres Bild von solchen Mehrmandantendienstleistern machen zu können, müsste sie von diesen direkt Informationen anfordern und ihnen gegenüber unmittelbar Prüfungen anordnen können. Nach derzeitiger Praxis macht die Aufsicht diese Rechte lediglich über die beaufsichtigten Institute geltend. Zu prüfen ist, ob dieser Ansatz dauerhaft tragfähig ist.
Was aber tun, wenn sich Mehrmandantendienstleister nicht nur auf die von der BaFin beaufsichtigten Unternehmen spezialisieren? In solchen Fällen geht es nicht mehr nur um Risiken für den deutschen Finanzdienstleistungssektor. Dann können Risiken für die gesamte Wirtschaft entstehen – und zwar über die nationalen Grenzen hinaus. Eine Kontrolle solcher Dienstleister sollte daher nicht auf die nationalen Finanzaufsichtsbehörden beschränkt sein. Regulierung und Aufsicht müssen mehr denn je auf multilateraler Ebene stattfinden – auch, um ein echtes Level-Playing-Field zu schaffen.24
Autoren
Raimund Röseler
Exekutivdirektor Bankenaufsicht, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
Ira Steinbrecher
Referat Grundsatz IT-Aufsicht und Prüfungswesen
Fußnoten
- 1 Smith, Der Wohlstand der Nationen, 5. Aufl. 2018, Seite 35.
- 2 Vgl. BaFinJournal August 2013, Seite 24.
- 3 Gampe, Digitalisierung und Informationssicherheit im Fokus aufsichtsrechtlicher Anforderungen, in: BaFinPerspektiven, Ausgabe 1/2018, Seite 70.
- 4 Vgl. hierzu auch Felix Hufeld, Rede vom 28.5.2018, „Digitalisierung – Chancen und Risiken in der Kredit- und Versicherungswirtschaft“, www.bafin.de/dok/10976554, abgerufen am 4.1.2019.
- 5 Vgl. a.a.O. (Fn. 2).
- 6 EBA/GL/2019/02 Seite 6.
- 7 Vgl. auch PricewaterhouseCoopers (PwC), Fit für die Zukunft – Wie sich bankfachliche Dienstleister erfolgreich für den Business Process Outsourcing Markt 2020 aufstellen, Business Process Outsourcing Studie, Frankfurt am Main, Seite 27.
- 8 Vgl. EBA/GL/2019/02, Seite 6.
- 9 BaFin Merkblatt, Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, Seite 4, www.bafin.de/dok/11681598, abgerufen am 4.1.2019.
- 10 Hufeld, Aufsicht und Regulierung in Zeiten von Big Data und künstlicher Intelligenz, in: BaFinPerspektiven, Ausgabe 1/2018, Seite 16.
- 11 Rundschreiben 9/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk).
- 12 Vgl. u.a. Gampe, Digitalisierung und Informationssicherheit im Fokus aufsichtlicher Anforderungen, in: BaFinPerspektiven 1/2018, Seite 68ff.
- 13 Die Orientierungshilfe richtet sich an die im Finanzsektor beaufsichtigten Unternehmen (Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Pensionsfonds, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute). In diesem Artikel wird der Fokus auf Institute gerichtet, wie sie in § 1 Absatz 1b Kreditwesengesetz genannt sind (Kreditinstitute und Finanzdienstleistungsinstitute).
- 14 BaFin Merkblatt, Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, Seite 8, www.bafin.de/dok/11681598, abgerufen am 4.1.2019.
- 15 BaFin Merkblatt, Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, Seite 9, www.bafin.de/dok/11681598, abgerufen am 4.1.2019.
- 16 Zum Beispiel des Internationalen Sicherheitsstandards ISO/IEC 2700X der International Organization for Standardization und des C-5-Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik.
- 17 BaFin Merkblatt, Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, Seite 9 f., www.bafin.de/dok/11681598, abgerufen am 4.1.2019.
- 18 Vgl. zum Beispiel auch Felix Hufeld, Rede vom 28.5.2018, a.a.O. (Fn. 3); Mußler, FAZ, 8.12.2018, Seite 26.
- 19 EBA/GL/2019/02 Seite 7.
- 20 Data Protection Code of Conduct for Cloud Service Providers Revised v1.0 vom 22.06.2016; Der Code wurde von der Cloud Select Industry (C-SIG) entwickelt, der von der Europäischen Kommission (DG Connect und DG JUST) einberufen wurde. Der Kodex besteht aus einer Reihe von Anforderungen für Cloud-Anbieter.
- 21 BaFin, Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen, Seite 14 ff., www.bafin.de/dok/10985478, abgerufen am 4.1.2019.
- 22 EBA/GL/2019/02, Seite 14 f.
- 23 a.a.O. (Fn. 21).
- 24 a.a.O. (Fn. 3).