Konsultationsentwurf 6. MaRisk-Novelle erweitert Vorgaben an Auslagerungen

Im AT 9 der Mindestanforderungen an das Risikomanagement (MaRisk 09/2017) definiert die BaFin Mindestanforderungen in Bezug auf Auslagerungen. Mit dem neuesten Konsultationsentwurf zur MaRisk AT 9 überführt die Aufsicht nun auch die europäischen EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) in die nationale Regulatorik und konkretisiert bereits bestehende Anforderungen.

Doch was bedeutet dies für Banken?

Welche Anforderungen bringt der neue Konsultationsentwurf mit?

Die meisten Änderungen resultieren aus der Überführung der Anforderungen aus den EBA-Leitlinien zu Auslagerungen in die nationale Regulatorik. Vor dem Hintergrund der detaillierten und sehr konkret formulierten EBA-Leitlinien liegt es auf der Hand, dass der Konsultationsentwurf im AT9 an einigen Stellen umfassender ausfällt.

Dies betrifft unter anderem die Regelungen hinsichtlich einer die Risikoanalyse ergänzenden Szenarioanalyse, neue / erweiterte Vertragsanforderungen für wesentliche sowie auch nicht wesentliche Auslagerungen (u.U. Informations- und Prüfungsrechte), erweiterte Anforderungen an die Risikoanalyse von Weiterverlagerungen sowie Anforderungen an ein zentrales Auslagerungsregister. Auch die inhaltlichen Anforderungen an die zentralen Vorgaben, also die Outsourcing Policy im Unternehmen, sind konkretisiert (z.B. Vorgaben sind entlang des Auslagerungszyklus zu definieren). Hinzu kommt die Verpflichtung der Institute zur Steuerung der mit der Auslagerung verbundenen Risiken und der Qualität der Leistungserbringung anhand vorzuhaltender Kriterien (Key Performance und Key Risk Indicators).

Eine zentrale Neuerung sind Erleichterungen, die für Gruppen- und Finanzverbünde angewendet werden können. Dies bietet und fördert Möglichkeiten der Zentralisierung, Vereinheitlichung und Vereinfachung. Als Beispiele sind hier die bereits bekannten Handlungsoptionen / Ausstiegsprozesse sowie die neu hinzugekommene Berichterstattung oder ein zentrales Auslagerungsregister zu nennen.

Eine ebenfalls wesentliche Neuerung, die jedoch nicht direkt aus den EBA-Leitlinien zu Auslagerungen abzuleiten ist, ist die Etablierung eines zentralen Auslagerungsbeauftragten im Institut, welcher der Geschäftsführung direkt unterstellt ist. Dieser wird bei Bedarf von einem zentralen Auslagerungsmanagement unterstützt. Damit wird das Ziel verfolgt, die Verantwortung und das Bewusstsein für Auslagerungen im Institut hoch aufzuhängen.

Umsetzung in der Praxis herausfordernd – insbesondere mit Blick auf Cloud-Lösungen

Auch wenn der Konsultationsentwurf keine umfassend neuen Anforderungen aufwirft, werden sich in der praktischen Umsetzung zu einigen Themen Herausforderungen ergeben. Im Fokus stehen hier insbesondere die nun noch umfassenderen Anforderungen an den Auslagerungsvertrag, beispielweise Festlegung von Datenspeicher- und -verarbeitungsort, Umgang mit Weiterverlagerungen und Weisungsrechten oder aber die Vereinbarung von datenschutzrechtlichen und sonstigen Sicherheitsanforderungen – teilweise sogar anzuwenden für nicht wesentliche Auslagerungen. Dies mag in einer klassischen Auslagerungsbeziehung noch in Teilen umsetzbar sein, wohingegen die Vertragsverhandlungen zur Anpassung eines Standardvertrags der großen und international agierenden Cloud-Anbieter womöglich in der Praxis oft nicht erfolgreich sein werden.

Anpassungsbedarf analysieren und Auslagerungen für sich nutzbar machen

In einem ersten Schritt liegt es nun an den Banken, sich einen Überblick zum resultierenden Handlungsbedarf zu verschaffen und zu prüfen, inwieweit sie die neuen Vorgaben bereits erfüllen. Im nächsten Schritt sollten die Finanzinstitute darüber nachdenken, wie sie mit möglichen Abweichungen von den neuen Anforderungen umgehen und auch welche Chancen sich aus den aktualisierten Anforderungen ergeben (z.B. Möglichkeit eines zentralen Auslagerungsmanagements auf Gruppen- bzw. Verbundebene).

Zusammenfassend richtet die BaFin ihre Vorgaben nun mit den aktuellen Änderungsvorschlägen auch an den europäischen Leitlinien zu Auslagerungen der EBA aus. Zusätzlich nutzt die Aufsicht die Gelegenheit, um bestehende Anforderungen zu konkretisieren und neue aufbauorganisatorische Anforderungen an das Auslagerungsmanagement von einzelnen Instituten sowie auf Ebene der Gruppen und Finanzverbände schriftlich zu fixieren.