Die European Banking Authority (EBA) hat am 25. Februar 2019 die „EBA Guidelines on outsourcing arrangements“ veröffentlicht. Die Guidelines liegen derzeit nur in englischer Sprache vor und sind adressiert an die nationalen Aufsichtsbehörden, die anschließend bekannt geben, inwieweit sie diese im Rahmen ihrer Aufsichtspraxis anwenden werden.
Aktuell ist davon auszugehen, dass die Inhalte der neuen EBA-Leitlinien Eingang in die MaRisk finden werden. Damit sind sie relevant für Mitarbeiter im Auslagerungsmanagement, Geschäftsleiter und Vorstände sowie für Mitarbeiter der Internen Revision.
Was ändert sich durch die EBA-Guidelines im Vergleich zu den heutigen Anforderungen?
Die EBA-Guidelines knüpfen an die bestehenden Richtlinien aus 2006 an und erweitern diese. Die Anforderungen gelten nicht nur für neue Auslagerungen ab dem 30. September 2019, sondern müssen mit einer Übergangsfrist bis zum 31. Dezember 2021 für alle Auslagerungen umgesetzt werden. Zudem wird der Anwenderkreis über Kredit- und Finanzdienstleistungsinstitute hinaus künftig auch auf Zahlungsdienstleister wie Zahlungsinstitute und E-Geld-Institute ausgedehnt. Der Proportionalitätsgrundsatz gilt weiterhin.
Wesentliche Neuerungen sind:
- Die Anforderungen der neuen Guidelines unterscheiden grundsätzlich nicht mehr zwischen Auslagerungen an Dritte und Auslagerungen innerhalb einer Gruppe. Insbesondere die Auslagerung von besonderen Funktionen wird im Hinblick auf Interessenkonflikte eingehend zu betrachten sein. Hier besteht fortan die Anforderung, dass die Konditionen marktüblich ausgestaltet sein müssen.
- Im Zusammenhang mit der Auslagerung von besonderen Funktionen müssen sich die Institute damit auseinandersetzen, inwieweit sich die Interne Revision auf Berichte und Zertifikate Dritter verlassen kann. Für alle Auslagerungen werden konkrete Voraussetzungen für die Nutzung von Berichten Dritter definiert. Eine detaillierte Auseinandersetzung mit den Auslagerungsunternehmen ist gefordert.
- In Bezug auf ein Auslagerungsregister werden konkrete Vorgaben definiert, insbesondere auch für die Auslagerung besonderer Funktionen.
- Die Anforderungen an eine Risikoanalyse im Vorfeld einer Auslagerung sind im Vergleich zu den MaRisk weitaus detaillierter. Beispielsweise wird eine Due Diligence gefordert. Zudem gehen die EBA-Leitlinien sogar so weit, dass die Kompatibilität des Dienstleisters und von jedem seiner Subunternehmer mit den eigenen Werten und dem eigenen Verhaltenskodex zu überprüfen ist. Dabei muss auch gewährleistet sein, dass die Europäische Menschenrechtskonvention, der Umweltschutz und angemessene Arbeitsbedingungen eingehalten werden.
- Bei Auslagerungen an Unternehmen in Drittstaaten außerhalb der EU muss sichergestellt werden, dass die nationale Aufsicht ihre Aufsichtspflichten auch auf dieses Auslagerungsunternehmen ausdehnen kann.
Handlungsbedarf:
- Schätzen Sie frühzeitig ein, an welchen Punkten Sie Ihr Auslagerungsmanagement erweitern müssen. Dies gilt insbeson dere für die Anforderungen an ein Auslagerungsregister und die Risikoanalysen.
- Prüfen Sie bestehende Auslagerungsverträge dahingehend, ob Ergänzungen oder Anpassungen erforderlich sind.
- Sensibilisieren Sie die Interne Revision auf gestiegene Anforderungen an die Prüfung von Auslagerungsunternehmen.