In Teil 1 hatten wir die Aufgabe des Auslagerungsmanagements beschrieben. In Teil 2 beschreiben wir die regulatorischen Grundlagen.
2 Regulatorische Grundlagen
In das Auslagerungsregister gehen Anforderungen aus den folgenden regulatorischen Vorgaben ein:
- KWG §25 a, b
- MaRisk
- Finanzberichterstattung BaFin (FISG, WpIG, WpHG, KAGB, ZAG)
- EBA Leitlinien
2.1 Auslagerungen (KWG und MaRisk)
Die Auslagerung umfasst Maßnahmen, mit denen zur Stärkung der Wettbewerbsfähigkeit die Unternehmensfunktionen und -prozesse dadurch optimiert werden sollen, dass einzelne wesentliche Unternehmensbereiche durch Vertrag auf dritte (externe) Unternehmen (Auslagerungsunternehmen) verlagert werden.
In Umsetzung der allgemeinen Grundsätze ordnungsgemäßer Geschäftsführung und zur Konkretisierung organisatorischer Grundanforderungen formuliert § 25b KWG für Kredit- und Finanzdienstleistungsinstitute i.S. des KWG allgemeine Qualitätsstandards für eine Auslagerung, die durch das Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) vom 27.10.2017 konkretisiert werden.
Grundsätzlich können sämtliche Aktivitäten und Prozesse eines Instituts ausgelagert werden; allerdings darf durch die Auslagerung die Ordnungsmäßigkeit der Geschäftsorganisation nach § 25a I KWG nicht beeinträchtigt werden (AT 9.4 MaRisk).
Nicht zulässig ist eine Auslagerung, wenn sie zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führt. Leitungsaufgaben der Geschäftsleitung dürfen nicht ausgelagert werden.
Bei Auslagerungen, die unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen), sind die spezifischen Anforderungen der MaRisk zu beachten.
- Danach ist das Institut verpflichtet, die mit einer wesentlichen Auslagerung verbundenen Risiken angemessen zu steuern sowie die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen.
- In diesem Zusammenhang ist die Leistung des Auslagerungsunternehmens anhand vorzuhaltender Kriterien regelmäßig zu beurteilen (AT 9.9 MaRisk).
- Die wesentlichen Auslagerungen sind von dem Institut auf Basis einer Risikoanalyse eigenverantwortlich festzulegen (AT 9.2 MaRisk).
- Darüber hinaus werden in AT 9.7 MaRisk detaillierte Vorgaben zu den Inhalten des Auslagerungsvertrags gemacht, wie z.B. die Verpflichtung zur Vereinbarung von Regelungen, mit denen die Beachtung der Bestimmungen des Datenschutzes sichergestellt wird.
- Bei nicht wesentlichen Auslagerungen müssen lediglich die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a I KWG beachtet werden (AT 9.3 MaRisk).
2.2 AT 9.7. MaRisk
Bei wesentlichen Auslagerungen ist im Auslagerungsvertrag insbesondere Folgendes zu vereinbaren:
- Spezifizierung und ggf. Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistung,
- Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer,
- Sicherstellung der uneingeschränkten Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der gemäß § 25b Absatz 3 KWG zuständigen Behörden bezüglich der ausgelagerten Aktivitäten und Prozesse,
- soweit erforderlich Weisungsrechte,
- Regelungen, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen beachtet werden,
- Kündigungsrechte und angemessene Kündigungsfristen,
- Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält,
- Verpflichtung des Auslagerungsunternehmens, das Institut über Entwicklungen zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Aktivitäten und Prozesse beeinträchtigen können.
Weisungsrechte des Instituts/Prüfungen der Internen Revision
Auf eine explizite Vereinbarung von Weisungsrechten zugunsten des Instituts kann verzichtet werden, wenn die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Ferner kann die Interne Revision des auslagernden Instituts unter den Voraussetzungen von BT 2.1 Tz. 3 auf eigene Prüfungshandlungen verzichten. Diese Erleichterungen können auch bei Auslagerungen auf so genannte Mehrmandantendienstleister in Anspruch genommen werden.
Eskalation bei Schlechtleistung
Bereits bei der Vertragsanbahnung hat das Institut intern festzulegen, welchen Grad einer Schlechtleistung es akzeptieren möchte.
Sonstige Sicherheitsanforderungen
Zu den sonstigen Sicherheitsanforderungen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z. B. bei Rechenzentren) sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen.
2.3 BAFIN: Finanzberichterstattung
Informationen zum Meldeverfahren für wesentliche Auslagerungen
2.3.1 Meldepflicht von wesentlichen Auslagerungen
Durch das Finanzmarktintegritätsstärkungsgesetz – FISG sowie das Wertpapierinstitutsgesetz – WpIG sind die Unternehmen des Finanzsektors ab dem 01.01.2022 verpflichtet, wesentliche Auslagerungen, im Falle von Kapitalverwaltungsgesellschaften alle Auslagerungen bzw. wichtige Ausgliederungen gemäß VAG, der BaFin anzuzeigen.
Die Anzeigepflicht umfasst entsprechend der bereits bestehenden gesetzlichen Regelungen sowie der neuen gesetzlichen Regelung in Folge des FISG und des WpIG in nahezu allen Geschäftsbereichen der BaFin die Anzeige
im Rahmen von bestehenden oder beabsichtigten (wesentlichen) Auslagerungen.
2.3.2 Inhalte der Anzeigepflicht
Die im Rahmen der Anzeigepflicht geschäftsbereichsübergreifend weitestgehend einheitlich anzugebenden Informationen basieren auf den Anzeigenverordnungen der jeweiligen Aufsichtsgesetze.
Für die Erfüllung der Anzeigepflicht für die Absicht, den Vollzug und wesentliche Änderungen im Rahmen von Auslagerungen wird die BaFin ein elektronisches Meldeverfahren zur Verfügung stellen, das auf der Melde- und Veröffentlichungsplattform (MVP) der BaFin beruht. Anzeigen sind ausschließlich über diese Plattform einzureichen. Anzeigen von schwerwiegenden Vorfällen werden über den üblichen Weg der Aufsicht gemeldet. Nach den derzeitigen Planungen soll das neue Verfahren mit Inkrafttreten der gesetzlichen Pflicht zur Anzeige von Auslagerungen sowie der Konkretisierung dieser Pflicht in den jeweiligen Anzeigenverordnungen zu den Aufsichtsgesetzen zum 01.01.2022 in Betrieb gehen. Die Meldungen werden nach der Entgegennahme an die Deutsche Bundesbank weitergeleitet, sofern die Meldungen für die Deutsche Bundesbank im Rahmen ihrer Aufsichtstätigkeit relevant sind.
2.3.2.1 Registrierung Melder
Die Anzeige ist von der anzeigeberechtigten Person (Melder) durchzuführen, die zunächst ein Registrierungsverfahren zu durchlaufen hat, das sich in drei Schritten vollzieht:
- Selbstregistrierung am MVP-Portal
Der Melder muss sich als Nutzer am MVP-Portal registrieren, soweit er dort nicht bereits registriert ist. Diese Registrierung kann bereits jetzt durchgeführt werden.
- Freischaltung für das Meldeverfahren „Anzeige von Auslagerungen“ beantragen
Innerhalb des MVP-Portals kann der Melder über einen Antrag die Freischaltung für das Meldeverfahren „Anzeige von Auslagerungen“ beantragen. Der Melder muss den Freischaltungsantrag ausfüllen und unterschrieben an folgende Adresse senden:
Bundesanstalt für Finanzdienstleistungsaufsicht
GIT 2 – Anzeige von Auslagerungen
Graurheindorfer Str. 108
53117 Bonn
Alternativ kann die Meldung auch elektronisch übermittelt werden. Hierzu senden Sie bitte eine Mail mit den qualifizier elektronisch signierten Dokumenten unter Nutzung folgender Struktur.
An: qes-posteingang@bafin.de
Betreff: Fachverfahrensfreischaltung „Anzeige von Auslagerungen“ z.Hd. von GIT 2
Weiterführende Informationen hierzu finden Sie hier.
Ein Melder, der für mehrere Unternehmen melden möchte, muss für jedes Unternehmen einen separaten Freischaltungsauftrag ausfüllen.
- Benachrichtigung der BaFin
Der Melder wird über die erfolgreiche/nicht erfolgreiche Freischaltung für das Meldeverfahren „Anzeige von Auslagerungen“ informiert Die Benachrichtigung erfolgt per E-Mail, über die im MVP-Portal hinterlegte E-Mail Adresse.
Sobald die Benachrichtigung über die erfolgreiche Freischaltung erfolgt ist, kann der Melder, ab dem 01.01.2022, die entsprechenden Anzeigen einreichen.
2.3.2.2 Meldeverfahren
Zur Einreichung der Anzeigen über das MVP-Portal im Rahmen des vorgenannten Meldeverfahrens werden drei verschiedene Möglichkeiten zur Verfügung gestellt. Unternehmen sind jederzeit frei, zwischen diesen Methoden zu wählen:
Im MVP-Portal wird ein Web-Formular zur Verfügung gestellt. Dieses kann von dem Melder online ausgefüllt werden kann.
Der Melder hat die Möglichkeit, innerhalb des MVP-Portals eine Meldung manuell als XML-Datei hochzuladen. (Die Definition der XML-Datei wird noch bereitgestellt)
Durch die Nutzung einer SOAP-Webservice-Schnittstelle kann eine Meldung automatisch hochgeladen werden. (Die Definition der Schnittstelle wird noch bereitgestellt)
In allen drei Fällen werden die Anzeigen auf Konsistenz überprüft und anschließend an eine Meldedatenbank weitergeleitet. Der Melder erhält eine Benachrichtigung, in der ihm mitgeteilt wird, ob die Meldung erfolgreich übermittelt worden ist. In dieser Bestätigung wird eine ID mitgesendet. Diese ID ist bei späteren Anzeigen zu derselben Auslagerung zu nutzen, um die Meldungszuordnung gewährleisten zu können. Falls bei der Überprüfung ein Fehler festgestellt wird, wird die Anzeige nicht an die Datenbank weitergeleitet: Der Fehler wird direkt im Response
2.3.3 Besondere Berücksichtigung des Drittstaatenbezugs
Im Rahmen von Auslagerungen an Unternehmen mit Sitz in einem Drittstaat haben Institute nach Maßgabe des FISG vertraglich sicherzustellen, dass für diese ein inländischer Zustellungsbevollmächtigter benannt wird, an den Bekanntgaben und Zustellungen durch die BaFin vorgenommen werden können. Hier lässt sich sicher erwägen, den Zustellungsbevollmächtigen beim auslagernden Unternehmen anzusiedeln.
2.3.4 Unmittelbare Anordnungs-, Prüfungs- und Auskunftsrechte
Darüber hinaus wird der BaFin die Befugnis erteilt, Anordnungen auch unmittelbar gegenüber Auslagerungsunternehmen treffen zu dürfen. Ferner kann die Behörde Eingriffe gegenüber Unternehmen im Inland und Ausland vornehmen. Aufsichtsrechtlicher Anknüpfungspunkt für diese Eingriffsbefugnisse ist, dass Aktivitäten und Prozesse betroffen sind, die gegenüber einem beaufsichtigten Unternehmen erbracht werden. Eingriffsbefugnisse im Ausland, insbesondere gegenüber Unternehmen, die nicht dem Konzern des auslagernden Unternehmens angehören, dürften unter Aspekten des Verwaltungskollisionsrechts und des Völkerrechts im Einzelfall zu diskutieren sein. Es steht nicht zu erwarten, dass Drittstaaten ohne weiteres fremdes Verwaltungshandeln im eigenen Land zulassen.
Die Befugnisse gegenüber Auslagerungsunternehmen gehen weit und sollen der Sicherstellung der aufsichtsrechtlichen Vorgaben entlang einer immer stärker aufgespaltenen Wertschöpfungskette dienen. So könnte die BaFin das Auslagerungsunternehmen zur Behebung konkreter Verstöße zu bestimmten Maßnahmen anweisen, aber auch – unabhängig von einem konkreten Verstoß – bspw. den Aufbau hinreichender Sachkompetenz in der Geschäftsleitung oder Änderungen der Geschäftsorganisation im Auslagerungsunternehmen anordnen. Auch hier sind jedoch die Beschränkungen durch den Verhältnismäßigkeitsgrundsatz zu beachten, der bei jedem staatlichen Eingriffshandeln Beachtung finden muss.
Darüber hinaus werden der BaFin weitgehende Prüfungs- und Auskunftsrechte gegenüber Auslagerungsunternehmen an die Hand gegeben werden, soweit ein Institut oder übergeordnetes Unternehmen wesentliche Aktivitäten und Prozesse im Sinne des § 25b KWG ausgelagert hat oder es sich um eine Auslagerung interner Sicherungsmaßnahmen nach § 25h Abs. 4 KWG oder § 6 Abs. 7 GwG handelt.
2.4 EBA Guidelines
2.4.1 Ziele der EBA Guidelines
Die neuen Regelungen betreffen v. a. den Governance-Rahmen (z. B. das Risikomanagement, die Organisation und die Dokumentationspflichten) sowie den Auslagerungsprozess (z. B. die Auslagerungsvoranalyse). Darüber hinaus müssen Institute ein einheitliches und vollständiges Auslagerungsregister aller Outsourcing-Beziehungen führen, unterteilt nach kritischen/unkritischen oder wichtigen/unwichtigen Auslagerungsverträgen. Dieses muss der jeweiligen Aufsichtsbehörde mindestens alle drei Jahre zur Verfügung gestellt werden.
2.4.2 Maßnahmen zur Erfüllung der Anforderungen
2.4.3 Weiterführende Informationen
- Zertifizierung nach PCI-DSS
- ISO 27001 Zertifizierung für den IT-Betrieb/inkl. 27002 ff.
- Zertifizierung durch den TÜV „Trusted Site Infrastructure“ Level 3 zur Bestätigung einer zuverlässigen IT-Infrastruktur
- Anwendungsentwicklung: Orientierung an ISO/EIC 15504-5 (SPICE Level 3)
- RZ-Betrieb: Orientierung an ISO27001/ITIL
LEGANTA 360 (managed services / cloud) und COMAC 7 (on premise) sind professionelle Softwarelösungen für das Auslagerungsmanagement.
