Finanzunternehmen drängt es in die Cloud. Aber sicher.

Orientierungshilfe der BaFin konkretisiert Vorgaben für auslagernde Institute

Keyfacts

  • Auslagerungen von IT-Infrastrukturen im Finanzsektor ziehen an
  • Regelgeber etablieren klare Vorgaben für Cloud-Nutzung durch Institute
  • Problembewusstsein im Umgang mit Cloud-Diensten oft noch mangelhaft
Andreas Reuß
  • Partner, Financial Services
Mehr über meine Themen Nachricht schreiben

Es ist ein Megatrend. Immer mehr Unternehmen drängt es in die Cloud. Die Unternehmen der Finanzbranche zögerten lange, ihre IT-Infrastrukturen virtuellen Rechenzentren anzuvertrauen – aus Sicherheitsüberlegungen. Doch nun zieht es auch sie mit Macht in diese, denn auch sie wollen von den vielfältigen Vorteilen der Cloud-Nutzung profitieren.

Dabei können sie auf die Regelgeber bauen, die diesem Trend Rechnung tragen. Nachdem die European Banking Authority (EBA) Mitte dieses Jahres ihre „Outsourcing to Cloud Service Providers“- Empfehlungen veröffentlicht hat, konkretisierte auch die BaFin und die Deutsche Bundesbank mit ihrer Orientierungshilfe zu Auslagerungen an Cloud-Anbieter die Vorgaben für auslagernde Institute.

In der Orientierungshilfe werden keine neuen Anforderungen gestellt. Vielmehr geht es darum, den derzeitigen Stand der Praxis wiederzugeben. Dabei erheben die Autoren keinen Anspruch auf Vollständigkeit, sondern wollen vielmehr das Problembewusstsein im Umgang mit Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen schärfen.

Drei wesentliche Aspekte spricht die BaFin in ihrer Orientierungshilfe dabei an:

Strategische Überlegungen

Ist das Institut bereit für IT-Auslagerungen in die Cloud? Sind Cloud-Überlegungen in die IT-Strategie eingebettet? Sind alle relevanten Punkte von der Implementierung bis zum Exit einer Cloud-Auslagerung etabliert? Wichtig ist: Stets eine risikoorientierte Denkweise beizubehalten.

Risikoanalyse und Wesentlichkeitsbewertungen

Auch sollten Cloud-Auslagerungen wie alle anderen Auslagerungen in einer Einzelfallbetrachtung einer Risikoanalyse unterzogen werden, in der ihre Wesentlichkeit bestimmt wird. Die wichtigsten Faktoren hierbei sind: Der Standort der Datenspeicherung und -verarbeitung, die Eignung des Cloud-Anbieters anhand seiner Fähigkeiten, Infrastruktur, wirtschaftlicher Situation etc. sowie die Bewertung von Weiterverlagerungen.

Vertragsgestaltung

Die Ausgestaltung der Vertragsmodalitäten ist essenziell. Konkret festzulegen sind hier: Leistungsgegenstand, Informationspflichten, Informations- und Prüfrechte der Aufsicht, Weisungsrechte, Datenschutz und -sicherheit sowie Weiterverlagerungen und Kündigungsmodalitäten.

Die gemeinsame Orientierungshilfe der BaFin und der Deutschen Bundesbank zeigt keine neuen Anforderungen oder Änderungen am bestehenden Regelwerk auf. Sie dient dazu zu verdeutlichen, wie eine Cloud-Auslagerung im Finanzsektor sinnvoll ausgestaltet werden kann. Vor dem Hintergrund der zunehmenden Auslagerungsbemühungen im Finanzsektor eine sinnvolle und zu begrüßende Initiative.

Andreas Reuß
  • Partner, Financial Services
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.