IT-Compliance und Cyber Security

Anzeige von Auslagerungssachverhalten: So sollen die Meldungen erfolgen

Eine neue Verordnung bringt Klarheit – einige Details für das Verfahren bleiben aber vage

Keyfacts:

  • Mit der Konkretisierung zum Meldeverfahren erhalten Finanzinstitute in vielerlei Hinsicht die ersehnte Klarheit.
  • Ein Vergleich zeigt aber asynchrone Meldeverfahren von BaFin und EZB auf.
  • Wir beantworten einige Fragen, die sich aus der Verordnung ergeben.

Durch das Finanzmarktintegritätsstärkungsgesetz (FISG) wurden Finanzinstitute im Sommer 2021 einheitlich dazu verpflichtet, Auslagerungen von wesentlichen Dienstleistungen bei der Aufsicht anzuzeigen. Das soll helfen, Risiken durch die Auslagerung transparent zu machen und es der BaFin ermöglichen, Konzentrationsrisiken zu identifizieren.

Nun ist die lange erwartete Verordnung zur Änderung der Anzeigenverordnung in Kraft getreten. Einige Inhalte bringen Klarheit für die Unternehmen mit Blick auf die Meldevorgänge für wesentliche Auslagerungssachverhalte bei der nationalen Aufsicht (BaFin) im Kreditwesengesetz (KWG), im Versicherungsaufsichtsgesetz (VAG) und im Zahlungsdiensteaufsichtsgesetz (ZAG). Und die Kreditinstitute haben nun Schwarz auf Weiß, dass sie in Zukunft keine Meldungen an beide Aufsichtsbehörden abgeben müssen. Sie können also parallele Meldeverfahren mit unterschiedlicher praktischer Ausgestaltung vermeiden.

Und doch räumt die Verordnung nicht mit allen Fragen zur Synchronisierung von nationaler und europäischer Aufsicht für Kreditinstitute auf. Denn die geforderten Meldungen für Banken an BaFin und Europäische Zentralbank (EZB) sind immer noch asynchron im Hinblick auf das Meldeportal, die erforderlichen Datenfelder und die Art der Eingabemöglichkeiten.

Wir beantworten Fragen, die sich aus der Verordnung ergeben.

Welche Pflichten bestehen für Versicherungen, Zahlungsverkehrsdienstleister und Banken (Less significant institutions – LSIs), die unter nationaler Aufsicht stehen?

Diese Finanzdienstleister melden wesentliche Ausgliederungen / Auslagerungen direkt an die BaFin. Hier schafft die neue Verordnung Tatsachen hinsichtlich der nationalen Regelung.

Das neue Fachverfahren für die Anzeige von Auslagerungssachverhalten steht ab dem 01.01.2023 laut BaFin auf der Melde- und Veröffentlichungsplattform (MVP-Portal) zur Verfügung. Zu beachten ist, dass die Meldung nur von MVP-Nutzer:innn erfolgen kann, die dazu im Voraus in einem dreistufigen Registrierungsprozess autorisiert wurden. Durch das MVP-Fachverfahren ist es nun möglich und erforderlich, Absichtsanzeigen, (Nicht-)Vollzugsanzeigen sowie wesentliche Änderungen und Aktualisierungen im Zusammenhang mit wesentlichen Auslagerungen zu melden.

Die Meldungen können direkt über das im MVP-Portal verfügbare Webformular eingereicht werden. Darüber hinaus wird es auch möglich sein, Meldungen über einen XML-Upload oder eine SOAP-Webservice-Schnittstelle zu übermitteln. Für die letzten beiden Optionen wird die BaFin noch weitere Definitionen und Vorlagen veröffentlichen.

Im Gegensatz zu den Meldungen über Absicht, Vollzug und wesentliche Änderungen im MVP-Portal wird die Meldung von schwerwiegenden Vorfällen, die wesentliche Auswirkungen auf die Geschäftstätigkeit des Instituts haben können, künftig per E-Mail erfolgen. Den inhaltlichen Rahmen für die Meldung bildet das von der BaFin zur Verfügung gestellte Template mit der Bezeichnung „Template zur Meldung über schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen“. Dieses muss entsprechend der markierten Pflichtfelder ausgefüllt und sowohl an die BaFin als auch an die Bundesbank geschickt werden.

Quelle: Bundesanstalt für Finanzdienstleistungsaufsicht, 2022.

Welche Pflichten bestehen für Banken, die unter europäischer Aufsicht der EZB stehen?

Significant institutions (SIs) melden künftig Absicht, Vollzug, wesentliche Änderungen und schwerwiegende Vorfälle im Rahmen von Auslagerungen über das Information Management System (IMAS-Portal) der EZB. Bezüglich der genauen Ausgestaltung der Meldevorgänge hat die EZB noch keine Informationen zur Verfügung gestellt. Sie werden aber mit Spannung erwartet und sollen in Kürze folgen.

Geforderte Meldungen für Banken nicht einheitlich

Es ist zu beobachten, dass der Umfang und die geforderten Angaben zur Auslagerungsanzeige im Vergleich zur derzeit geforderten Struktur eines Auslagerungsregisters in manchen Punkten nicht synchronisiert sind. Schauen wir auf einzelne Felder der Meldevorlage.

Derzeit wird zum Beispiel bei der Meldung einer Anbahnung von einer wesentlichen Auslagerung im MVP-Portal nach konkreten Ansprechpartnern des zentralen (Pflichtfeld) und dezentralen (kein Pflichtfeld) Auslagerungsbeauftragten im Institut gefragt. Darüber hinaus müssen der Grund für die Auslagerung sowie das Datum der Genehmigung angegeben werden. Diese Daten werden derzeit nicht im Auslagerungs-/Bestandsregister gefordert.

Des Weiteren führt die Meldevorlage im MVP-Portal weitere nicht verpflichtende Felder auf – beispielweise „Bestehen Interessenkonflikte?“, „Inländischer Zustellungsbevollmächtigter“, „Erläuterung zur Ersetzbarkeit des Auslagerungsnehmers“, „Ersetzung des Auslagerungsnehmers (Dauer in Monaten)“ oder „Handelsregisternummer bzw. andere eindeutige ID (Subunternehmen)“ – die derzeit ebenfalls nicht durch die Aufsicht in einem Auslagerungsregister gefordert werden.

Vorhalten der notwendigen Datenbasis ist unerlässlich

Aus Sicht der großen Banken (SIs) ist festzustellen, dass sich die Meldeverfahren inhaltlich weiterhin unterscheiden, wenngleich die Ausrichtung der Meldedaten von BaFin und EZB bereits in den meisten Punkten vergleichbar ist. Es bleibt abzuwarten, ob das jetzt im IMAS-Portal angekündigte Meldeverfahren der EZB zu einer endgültigen Harmonisierung der Datenfelder führen wird oder ob die Meldungen an die verschiedenen Aufsichtsbehörden weiter asynchron verlaufen.

Es liegt auf der Hand, dass es für die Institute essenziell ist, die in den Meldungen geforderten Daten und Informationen bereits erhoben zu haben und in einem Regelprozess aktuell zu halten. Nur mit einer aktuellen und vollständigen Datenbasis lassen sich korrekte Anzeigen fristgerecht an die Aufsicht absetzen. Deshalb ist vorausschauendes Handeln und das weitere Verfolgen der Entwicklung zu den Meldeverfahren unerlässlich.

 

Cyber-Sicherheitslücken aufdecken

Wie gut sind die Daten Ihres Unternehmens geschützt?

Nutzen Sie diese Business Analytics, um eine fähigkeitsgradbezogene Bewertung Ihrer Sicherungsmaßnahmen durchzuführen.

Jetzt Bewertung durchführen
Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Doch die Risiken nehmen nicht nur durch äußere Faktoren zu. Unternehmen sehen sich durch den erhöhten Wettbewerb gezwungen, neue Technologien und Dienstleistungen einzuführen. Und das, bevor die damit verbundenen Cyber-Risiken vollständig erfasst und entsprechende Sicherheitsvorkehrungen implementiert werden können.

Thema vertiefen