Auslagerungen: Vorbereitung auf weitere aufsichtsrechtliche Anforderungen

Checkliste-haken-papier

Am 22. Juni 2018 hat die Europäische Bankenaufsichtsbehörde (EBA) einen Konsultationsentwurf für Leitlinien zu Auslagerungen veröffentlicht. Damit sollen die im Jahr 2006 veröffentlichten Leitlinien für Outsourcing des Committee of European Banking Supervisors (CEBS) überprüft und die Aufsichtsregeln zu Auslagerungen europaweit vereinheitlicht und harmonisiert werden. Die Konsultation endete bereits am 24. September 2018. Anzuwenden wären die Leitlinien für alle nach dem 30. Juni 2019 abgeschlossenen Auslagerungsverträge. Anpassungen bereits bestehender Auslagerungen sollten mit einer Umsetzungsfrist bis spätestens zum 31. Dezember 2020 erfolgen.
Allerdings muss zunächst beobachtet und abgewartet werden, welche Leitlinien die EBA final umsetzen wird und ob die BaFin diese anschließend für die nationale Verwaltungspraxis übernimmt. Da die BaFin die Leitlinien der EBA regelmäßig in deutsches Recht umsetzt, ist jedoch mit einer Übernahme zu rechnen.

Der Konsultationsentwurf sieht Regelungen vor, die zum Teil deutlich über die Vorgaben aus den „Mindestanforderungen an das Risikomanagement“ (MaRisk) und den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) hinausgehen. Daher empfehlen wir den Instituten, sich frühzeitig mit den neuen Anforderungen auseinanderzusetzen und zumindest eine GAP-Analyse durchzuführen, um auf die rechtzeitige Anpassung gemäß neuer Vorgaben vorbereitet zu sein.

Darüber hinaus enthält der Leitlinienentwurf eine einheitliche Definition für „Outsourcing“ und legt die Kriterien fest, anhand derer „kritische oder wichtige Funktionen“ zu identifizieren sind. Außerdem wird klargestellt, dass nicht mehr nur Kreditinstitute, die unter die europäische Aufsicht fallen, zum Anwendungsbereich der EBA-Leitlinien gehören, sondern auch Wertpapierfirmen sowie Zahlungs- und E-Geldinstitute.

Vor allem aber sind die Anforderungen aus dem EBA-Leitlinienentwurf umfassender und zum Teil deutlich detaillierter als die Vorgaben der MaRisk. Über die MaRisk hinaus gehen beispielsweise die vorgeschriebenen Mindestinhalte für die Auslagerungsverträge und das Auslagerungsregister, bei den Regelungen zur Pre-Outsourcing-Phase (-Analyse) oder der Outsourcing Policy.

Außerdem sieht der EBA-Leitlinienentwurf Regelungen vor, nach denen die Institute eine klar definierte Exit-Strategie für alle kritischen und wichtigen Funktionen einrichten und die festgelegten Exit-Pläne auch ausreichend testen und dokumentieren müssen. Auch in Bezug auf das Auslagerungsmanagement innerhalb einer Gruppe enthalten die neuen Leitlinien umfangreiche Anforderungen und gehen dabei auf mögliche Interessenkonflikte und Kontrollmechanismen ein.

Des Weiteren werden in dem konsultierten Entwurf die von der EBA im Dezember 2017 veröffentlichten Empfehlungen zur Auslagerung an Cloud-Anbieter integriert. Diese sind bereits seit dem 1. Juli 2018 einzuhalten. Für weitere Informationen zu diesem Thema verweisen wir auf unseren Newsletter-Beitrag „Auslagerungen an Cloud-Anbieter: Welche aufsichtsrechtlichen Anforderungen sind zu beachten?“ in der aktuellen Ausgabe 3/2018.

Eine der größten Herausforderungen für die Institute könnte die Anforderung darstellen, dass geplante Auslagerungen von kritischen oder wichtigen Funktionen bereits im Vorfeld der zuständigen Aufsichtsbehörde zu melden sind. Eine zeitnahe Benachrichtigung der Aufsicht sollte zudem auch bei wesentlichen Änderungen dieser Auslagerungsverhältnisse erfolgen.

Insgesamt wird die aktuelle Aufsichtspraxis bei Auslagerungen durch den EBA-Leitlinienentwurf nicht wesentlich verändert. Jedoch kann es zu verschiedenen Anpassungserfordernissen bei der internen Steuerung, den Auslagerungsprozessen oder den künftigen bzw. bestehenden Auslagerungsverträgen kommen. Wir unterstützen Sie gern dabei, Umsetzungslücken zu identifizieren und Handlungsempfehlungen für Ihr Unternehmen abzuleiten.