Es gilt das gesprochene Wort!

Sehr geehrte Damen und Herren,

ich freue mich sehr, heute mit Ihnen sprechen zu können. Dies ist ja immerhin schon die vierte BaFinTech und damit – wie man im Rheinland sagt – schon eine echte Brauchtumsveranstaltung.

Persönliche Treffen waren ja lange Zeit nicht möglich. Irgendwie fast ein Widerspruch, dass die erste Veranstaltung der BaFin, die seit langer Zeit wieder im traditionellen Rahmen stattfindet, ausgerechnet diese BaFinTech ist, bei der es um digitale Innovationen in der Finanzbranche geht. Und bei der wir sozusagen die „Digital Natives“ zu Gast haben.

Aber ich finde: Der persönliche Austausch ist auch bei digitalen Hottopics wichtig.

Von einem dieser Hottopics handelt auch mein Vortrag: „Aufsicht über fragmentierte Wertschöpfungsketten im Finanzsektor“.

Als Aufseher will ich vorab einen Punkt ausdrücklich betonen: Wir haben Interesse an ertragsstarken Banken. Und Outsourcing ist sicher ein wirkungsvolles Instrument, um Banken effizienter und damit ertragsstärker zu machen.

Aber spätestens die COVID-19-Pandemie und der Krieg in der Ukraine haben gezeigt: Durch immer stärker in der Tiefe und in der Breite ausdifferenzierte Wertschöpfungsketten wird die Finanzbranche nicht nur effizienter, sondern auch vulnerabler. Auf diese Entwicklung muss und wird die Aufsicht reagieren.

Outsourcing ist im Bankensektor längst zu einem unumkehrbaren Trend geworden. Auslagerungen –etwa auf dem Gebiet der Bargeldlogistik oder von Sicherheitsdienstleistungen – gibt es seit über einem halben Jahrhundert. Heute machen IT-Dienste wohl den größten Anteil der ausgelagerten Aktivitäten aus.

Vor allem die Digitalisierung treibt die Fragmentierung der Wertschöpfungsketten voran – und zwar sowohl in Front- als auch in Back-Office-Prozessen. Im Finanzsektor bedeutet dies konkret: Unternehmen nutzen verstärkt Dienstleister und deren innovative Technologien, um den Verbrauchern den Zugang zu Finanzprodukten und -diensten zu vereinfachen oder um ihre eigenen Prozesse zu digitalisieren und effizienter zu machen.
 
Eine besondere Rolle spielen dabei FinTechs. Sie besetzen oft die Schnittstelle zwischen Unternehmen und Kunden – beispielsweise, indem sie den Kunden über eigene Smartphone-Apps einen Zugang zu Finanzdienstleistungen bieten. Es gibt aber auch zahlreiche Fintechs, die sich auf die Optimierung bankinterner Prozesse spezialisiert haben.

Wir als Aufsicht sehen Aus- und Weiterverlagerungen nicht grundsätzlich kritisch – im Gegenteil: Die Profitabilität deutscher Banken war in den vergangenen Jahren unzureichend.

Mit Sorge haben wir jahrelang auf die Ertragslage der Institute geschaut – und auf die unzureichenden Bemühungen von Banken, ihre Kosten signifikant zu reduzieren.
 
Wenn ich die Kostenentwicklung deutscher Kreditinstitute mit der aus anderen Ländern vergleiche, z.B. aus Skandinavien, dann ist auf der Kostenseite unserer Institute seit der Finanzkrise sicherlich nicht genügend passiert. In diesem Kontext waren Auslagerungen den Banken sehr willkommen:

Gerade standardisierte IT-Dienstleistungen ermöglichen es, Skaleneffekte und Kosteneinsparungen zu realisieren und die Ertragskraft zu steigern. Darüber hinaus kaufen sich die Unternehmen per Outsourcing hohe Expertise ein, können sich auf ihre Kernkompetenzen konzentrieren und ihre Dienstleistungen verbessern.

Den Vorteilen des Outsourcings stehen aber auch Risiken gegenüber.

So kann gerade die Fragmentierung von Wertschöpfungsketten zu Konzentrationsrisiken führen. Diese Gefahr besteht immer dann, wenn eine Vielzahl beaufsichtigter Unternehmen Leistungen auf einige wenige Dienstleister auslagert. Der Ausfall eines solchen Mehrmandantendienstleisters kann eine Gefahr für die Stabilität des Finanzmarkts sein.

Besonders spannend wird es dadurch, dass es sich bei den besonders großen Mehrmandantendienstleistern, bei den Hyperscalern und Cloud-Anbietern, um wirklich globale Riesen handelt, auf die deutsche oder europäische Behörden nur eingeschränkten Zugriff haben.
 
Zudem erhöht das Zwischenschalten eines oder mehrerer Dienstleister zwischen Bank und Kunden die Komplexität und die Intransparenz der Geschäftsbeziehung: für die Aufsicht, für die Verbraucher und für die auslagernden Unternehmen selbst.

Und je komplexer die Auslagerungsbeziehungen sind, desto eher besteht die Gefahr, dass Institute Risiken nicht mehr vollständig identifizieren und steuern können.

Ein Beispiel für besonders stark fragmentierte Wertschöpfungsketten ist das White-Label-Banking. Bei diesem Geschäftsmodell erbringt im Hintergrund ein erlaubnispflichtiges Institut Finanzdienstleistungen für einen – oft nicht beaufsichtigten – Kooperationspartner, etwa eine Kreditvergabeplattform.
 
Diese reichert die Dienstleistungen oft durch weitere Services an und bietet Verbrauchern dann ein Gesamtpaket. Von außen lässt sich oft nicht mehr erkennen, dass ein beaufsichtigtes Institut involviert ist.

Für uns stellt sich deshalb die Frage: Sind Finanzinstitute überhaupt noch in der Lage, ausgelagerte Risiken entlang einer extrem fragmentierten Wertschöpfungskette zu steuern?

Bereits Auslagerungen im eigenen Land bergen Risiken. Wie lebensfähig ist der Dienstleister? Wie zuverlässig kann er seine Dienste erbringen? Und was passiert, wenn er Opfer eines Cyber-Angriffs wird? Welche Ausweichmöglichkeiten gibt es dann? Diese und weitere Fragen stellen sich hier. Und je globaler die Wertschöpfungsketten werden, desto mehr fallen solche Risiken ins Gewicht.

Ein Beispiel: Als in Indien die Corona-Pandemie massiv ausbrach und gleichzeitig die Monsunzeit begann, kam es schnell zu Engpässen in Rechenzentren, auf die deutsche Banken Daten ausgelagert hatten. Da war in Deutschland die erste Welle der Pandemie gerade abgeebbt.

Und wie ein Brennglas macht der Krieg in der Ukraine erneut deutlich, wie vulnerabel globale Aus- und Weiterverlagerungsketten sein können:

Erstens ist seit Kriegsbeginn die Zusammenarbeit mit ukrainischen, belarussischen und russischen Dienstleistern, die auch für manche deutschen Finanzinstitute wichtig waren, kaum noch möglich. Entweder, weil deren Beschäftigte auf der Flucht oder im Krieg sind, deren Infrastruktur von Kampfjets und Raketen zerbombt wurde oder wegen der Sanktionen gegen Russland und Belarus.

Der Krieg in der Ukraine hat die Karten neu gemischt. Deshalb führt aus meiner Sicht kein Weg daran vorbei, unsere bisherige Haltung zum Outsourcing grundsätzlich zu überdenken. Was bedeutet das für die Aufsichtspraxis? Natürlich haben wir uns auch bisher schon Gedanken über die Risiken von Outsourcingbeziehungen gemacht – erst recht bei Auslagerung in Drittstaaten.

Wie verlässlich ist der jeweilige Partner? Ist er in der Lage, europäische Rechtsnormen zu erfüllen? Denken Sie nur an die Anforderungen aus dem Datenschutz. Was passiert, wenn der Dienstleiter nicht mehr leistungsfähig ist?

Solche Fragen stellen sich insbesondere vor dem aktuellen geopolitischen Hintergrund – und das nicht nur im Bankensektor. Überall steht die Gestaltung von Wertschöpfungsketten auf dem Prüfstand.

Wir haben noch keine abschließenden Antworten auf diese Fragen gefunden. Klar ist aber schon jetzt: Dort, wo Auslagerungen in Drittstaaten derzeit unumgänglich sind – etwa bei Cloud Dienstleistungen –, da werden wir als Aufsicht noch genauer hinsehen.

Die BaFin wird die Fragmentierung der Wertschöpfungsketten insbesondere in Drittstaaten sehr genau im Blick behalten und hier notfalls – im wahren Sinne des Wortes – Grenzen setzen. Darin sehe ich übrigens auch eine Chance für deutsche und europäische Fintechs.

Sehr geehrte Damen und Herren,

Konzentrationsrisiken, Intransparenz, Abhängigkeit: Je stärker die Fragmentierung, desto mehr potenzielle Einfallstore bieten Wertschöpfungsketten für Risiken.

Was bedeutet dies für das Handeln der Aufsicht – und was heißt das für Sie als beaufsichtigte Institute und Marktteilnehmer?

Bei der BaFin haben wir zum einen den Blick nach innen gerichtet und auch unsere Strukturen angepasst.

Im vergangenen Jahr haben wir die Gruppe IT-Aufsicht der BaFin um ein Referat erweitert, das unter anderem IT-Mehrmandantendienstleister überwacht und Krisenprävention betreibt. Neu hinzugekommen ist auch eine Gruppe zur Überwachung von Zahlungsdienstleistern.

Diese neue Struktur versetzt uns in die Lage, IT-Risiken – auch in fragmentierten Wertschöpfungsketten – noch gezielter zu identifizieren und schneller auf Missstände zu reagieren.

Zum anderen ist seit dem vergangenen Jahr die Prüfung grenzüberschreitender Aus- und Weiterverlagerungen ein wichtiger Bestandteil der Aufsichtspraxis:

• So hat der Gesetzgeber besondere Vorgaben für das Risikomanagement von Auslagerungen entwickelt und ins Kreditwesengesetz integriert. Die BaFin hat diese Regelungen in den MaRisk konkretisiert, den Mindestanforderungen an das Risikomanagement. Die Vorgaben sind technologieneutral und lassen sich beispielsweise auch auf Auslagerungen an Cloud-Anbieter übertragen.
• Und schon seit einiger Zeit beobachten wir intensiv die Outsourcing-Aktivitäten deutscher Finanzinstitute. Dabei haben wir erkannt: Wir brauchen mehr und andere Daten, um die Verflechtungen und gegenseitigen Abhängigkeiten zu verfolgen. In einer globalisierten Welt benötigen wir einen geschäftsbereichsübergreifenden Überblick über die Auslagerungsketten, die rund um den Globus reichen.
• Solche flächendeckenden Informationen über Weiterverlagerungen und eventuelle Risiken bzw. Konzentrationsrisiken erhalten wir inzwischen. Das haben wir dem FISG zu verdanken, dem Gesetz zur Stärkung der Finanzmarktintegrität. Es sieht eine Anzeigepflicht für wesentliche Auslagerungen und ein Auslagerungsregister vor.
• Wir werden die Daten genau analysieren, um damit beispielsweise eine Auslagerungslandkarte zu erstellen. Das könnte uns dabei helfen, die bereits angesprochenen Konzentrationsrisiken zu prüfen.
• Erst ein aussagekräftiger Überblick über die Auslagerungsketten versetzt uns in die Lage, gezielt zu handeln. Mit dem gerade genannten FISG stellen die Aufsichtsgesetze klar, dass wir auch direkt gegenüber nicht beaufsichtigten Auslagerungsunternehmen handeln dürfen –unter anderem durch erweiterte Anordnungsbefugnisse.
• Bislang mussten wir den Umweg über die Banken nehmen, wenn wir Missstände bei deren Dienstleistern adressieren wollten. Wir richteten uns also mit unseren Forderungen an die Bank, und die gab sie dann weiter an den Dienstleister. Sie können sich vorstellen: Wenn eine mittelgroße Bank die Wünsche ihrer Aufsicht an einen der großen globalen Dienstleister richtet, dann macht das dort mächtig Eindruck.
• Jetzt können wir unmittelbar auf Auslagerungsunternehmen zugreifen, wenn wir einen Missstand bei einer Auslagerung vermeiden oder beheben wollen. Und wenn der Missstand nicht behoben wird, dann können und werden wir dies auch sanktionieren.
• Und noch ein Punkt: Risiken kennen bekanntlich keine Staatsgrenzen. Wenn Institute ihre Prozesse in Staaten außerhalb des Europäischen Währungsraums verlagern, müssen sie daher seit diesem Jahr mit ihren Dienstleistern einen Zustellungsbevollmächtigten vereinbaren, an den wir zum Beispiel Prüfungsanordnungen kurzfristig zustellen können.
• Darüber hinaus arbeiten wir auf europäischer Ebene an Maßnahmen zur Überwachung kritischer IT-Dienstleister – Stichwort DORA¹. Die Aufsicht muss über Grenzen hinaus aktiv werden können. Das FISG und in Zukunft auch DORA versetzen uns dazu in die Lage.

Sehr geehrte Damen und Herren,

Bedeutet dies alles, dass wir eine Trendumkehr beim Outsourcing erwarten? Dass Banken doch wieder mehr selber machen und das Outsourcing zurückführen? Ganz klar: nein! Die meisten Institute haben erkannt, dass es Aufgaben gibt, die andere Unternehmen besser erledigen können als sie selbst. Und um im Wettbewerb bestehen zu können, wird es unausweichlich sein, solche Potentiale zu nutzen.

Der Trend der weiteren Fragmentierung von Wertschöpfungsketten wird sich daher kaum umkehren. Was sich ändern wird, ist das Bewusstsein für die damit verbundenen Risiken. Outsourcing bedeutet immer auch Abhängigkeit. In fragmentierten Wertschöpfungsketten ist diese Abhängigkeit potenziert.

Die jüngeren Entwicklungen dürften dieses Bewusstsein geschärft haben. In Zeiten, in denen in Europa wieder Krieg herrscht und zunehmend geopolitische Spannungen um sich greifen, lohnt es sich, mindestens zweimal darüber nachzudenken, in wessen Abhängigkeit man sich begibt.

Wir erleben ja gerade, was eine zu große Abhängigkeit von einzelnen Gaslieferanten für die deutsche Wirtschaft bedeuten kann.

Und wir sollten vermeiden, dass wir im Bereich IT-Dienstleistungen sehenden Auges in eine ähnliche Abhängigkeit von einzelnen Dienstleistern geraten. Auch wenn man diese Dienstleister nutzt, wogegen wir gar nichts haben, sollte man sich immer Gedanken über Backup-Lösungen machen.

Fußnote: