17.12.2018: Eine klare Orientierung zur Auslagerung in die Cloud gewünscht

Auslagerung Spielfiguren

Cloud-Dienste nehmen im Finanzsektor zunehmend eine bedeutende Rolle ein. Während FinTechs und internationale Institute bereits durch den Einsatz von Cloud-Lösungen profitieren, sind die deutschen Banken in dieser Hinsicht noch vorsichtig und probieren nach und nach Cloud-Lösungen aus.

Wer als Bank den Schritt in die Cloud wagen möchte, muss jedoch umfassende aufsichtsrechtliche Anforderungen beachten. Hierbei sind der § 25b Kreditwesengesetz (KWG), AT 9 Mindestanforderungen an das Risikomanagement (MaRisk) und die Bankaufsichtlichen Anforderungen an die IT (BAIT) anzuführen. Überdies geben die Empfehlungen der Europäischen Bankenaufsichtsbehörde (EBA) zum Thema Auslagerung vor, was Kreditinstitute zu beachten haben.

Vor diesem Hintergrund veröffentlichten die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Bundesbank Anfang November 2018 ein Merkblatt als Orientierungshilfe zur Auslagerung an Cloud-Anbieter. Als Gründe zur Notwendigkeit dieser Orientierungshilfe gaben sie an, dass bei den beaufsichtigten Instituten der Wunsch geäußert wurde, die bestehenden aufsichtlichen Anforderungen zur Auslagerung an Cloud-Anbieter zu konkretisieren, um mehr Klarheit für die Umsetzung in der Praxis zu schaffen. Ferner veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) im Dezember 2017 ihre Empfehlungen für Auslagerungsvereinbarungen mit Cloud-Dienstleistern, die zurzeit in den neuen EBA-Leitlinien zum Outsourcing mit aufgenommen werden sollen (siehe unsere Beiträge: EBA-Leitlinienentwurf Outsourcing und Anforderungen bei Auslagerungen). Die Empfehlungen der EBA sind zwar rechtlich nicht verbindlich, jedoch unterliegen die nationalen Aufsichtsbehörden – so auch die BaFin und Bundesbank – der sogenannten „comply or explain“-Pflicht. Vor diesem Hintergrund kündigte die BaFin bereits im Januar 2018 an, dass sie die EBA-Empfehlungen für Auslagerungsvereinbarungen mit Cloud-Dienstleistern umsetzen wird, indem sie eine Orientierungshilfe für Auslagerung an Cloud-Anbieter ihren beaufsichtigten Unternehmen zur Verfügung stellt.

Grundlegend beinhaltet die neue Orientierungshilfe keine neuen Anforderungen bezüglich der Auslagerung an Cloud-Anbieter. Sie spiegelt lediglich die derzeitige aufsichtliche Praxis in solchen speziellen Auslagerungsfällen wider. Mit der Orientierungshilfe wollen BaFin und Bundesbank gemeinsam ihre Einschätzung zur Auslagerung an Cloud-Anbieter vorstellen. Die Orientierungshilfe richtet sich an die im Finanzsektor beaufsichtigten Unternehmen (u.a. Kreditinstitute, Finanzdienstleister, Versicherer, Wertpapierdienstleistungsunternehmen, Zahlungsinstitute) und soll ihnen die wesentlichen Aspekte aufzeigen, die sie bei der Auslagerung an Cloud-Anbieter beachten sollen. Sie betonen zudem, dass das Merkblatt zwar Orientierung bietet, jedoch nicht vollumfassend ist.

Die neue Orientierungshilfe enthält vier Schwerpunkte:

  • Erläuterungen der Begrifflichkeiten: Hier werden die relevanten Begriffe wie „Auslagerung“, „wesentlich“, „Sachverhalte“ und „Cloud-Dienste“ im Zusammenhang mit den bestehenden Verordnungen erklärt.
  • Strategische Überlegungen: Die beaufsichtigten Institute sollen ihre Überlegungen zur Nutzung von Cloud-Diensten in ihre IT-Strategie einfließen lassen. Darüber hinaus sollen sie den Prozess mit den wesentlichen Schritten von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie dokumentieren. Neben den Sachverhalten zur Auslagerung sollen auch die Risikomanagement- und -steuerungsprozesse betrachtet werden.
  • Analyse und Wesentlichkeitsbewertung: Wenn Sachverhalte an einen Cloud-Anbieter übertragen werden sollen, muss vorab geprüft werden, ob eine Auslagerung vorliegt und ob diese wesentlich ist. In diesem Abschnitt gibt die BaFin konkrete Hinweise, wie eine Risikoanalyse zur Feststellung der Wesentlichkeit zu erfolgen hat.
  • Vertragsgestaltung: Besonders am Herzen liegt der BaFin, dass die Auslagerung an Cloud-Anbieter angemessen vertraglich geregelt ist und dass Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht vertraglich nicht eingeschränkt werden dürfen. Hier gibt die BaFin konkrete Vorgaben zur Vertragsgestaltung vor.

Insgesamt ist die Orientierungshilfe zur Auslagerung an Cloud-Anbieter zu begrüßen, da erstmalig konkret vorgegeben wurde, welche Schritte Banken bei solchen speziellen Auslagerungsfällen zu beachten haben. Mit Blick auf die Zukunft werden Banken nicht umhinkönnen, Cloud-Lösungen in Anspruch zu nehmen, um Kundenwünsche hinsichtlich digitalisierter Angebote zu erfüllen und wettbewerbsfähig zu bleiben.

Mithilfe unseres Analyse-Tools unterstützen wir Sie im Rahmen der Risikoanalyse bei der Bewertung der Auslagerung und Auswahl geeigneter Cloud-Anbieter, die sich an den Kriterien der BaFin entlanghangelt.

 

Quelle: BaFin


 

Zurück