IT-Outsourcing bei Finanzdienstleistern: mehr Vorgaben durch die 6. MaRisk-Novelle zu erwarten
Die Mindestanforderungen an das Risikomanagement (MaRisk) der Banken werden bald weiter konkretisiert. Die BaFin hat Ende Oktober 2020 ihren Konsultationsentwurf zur Neufassung der MaRisk vorgestellt und die Konsultationsphase beendet (BaFin Konsultation 14/2020). Es ist zu erwarten, dass die Neufassung in Kürze verabschiedet wird.
Die 6. MaRisk-Novelle bringt eine Vielzahl neuer Regelungen und Konkretisierungen beim Risikomanagement für Kredit- und Finanzdienstleistungsinstitute. Die meisten Änderungen resultieren daraus, dass die Leitlinien der EBA zu Auslagerungen in die nationale Regulatorik überführt werden. Die detaillierten und sehr konkret formulierten EBA-Leitlinien lassen auch den Konsultationsentwurf an einigen Stellen umfassender ausfallen.
Die Leitlinien der EBA führen zahlreiche neue Anforderungen und Konkretisierungen an die Auslagerung ein. Sie betreffen den gesamten Auslagerungsprozess: die Risikoanalyse, die Auslagerungsvereinbarungen und die Überwachung und Kontrolle von Auslagerungsrisiken durch die Institute. Zudem werden die Institute verpflichtet, die mit der Auslagerung verbundenen Risiken und die Qualität der Leistungserbringung anhand eindeutiger Kriterien wie Key Performance und Key Risk Indikatoren zu überprüfen.
Für Gruppen- und Finanzverbünde ergeben sich Erleichterungen. Möglichkeiten der Zentralisierung, Vereinheitlichung und Vereinfachung werden gefördert. Zudem sieht das Konsultationspapier vor, dass ein zentraler Auslagerungsbeauftragter etabliert wird, der der Geschäftsführung direkt unterstellt ist und damit die Verantwortung für Auslagerungen im Institut möglichst hoch ansiedelt.
Im Folgenden stelle ich die wichtigsten Neuerungen beim Outsourcing vor:
Sonstiger Fremdbezug von Leistungen wird erweitert
Es gibt künftig mehr Prozesse, die nicht als Auslagerung verstanden werden. Dazu zählt künftig auch die Nutzung von globalen Zahlungsverkehrsinfrastrukturen (z.B. Kartenzahlungsverfahren). Auf den Bezug solcher Dienstleistungen und Güter sind die Regelungen zu § 25b KWG nicht anwendbar. Banken sind aber nach wie vor in der Pflicht, die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation zu beachten (§ 25a Abs. 1 KWG).
Risikoanalyse mit neuen Vorgaben
Die BaFin hat in ihrem Konsultationsentwurf ihre Bewertungskriterien, die bei der Risikoanalyse zu berücksichtigen sind, erweitert. Zudem hat sie vorhandene Kriterien konkretisiert. Ausdrücklich werden nun Datenschutz und politische Risiken erwähnt.
Soweit sinnvoll soll die Risikoanalyse durch eine Szenarioanalyse ergänzt werden. Dabei sollen die Auswirkungen von Risiken durch das Auslagerungsunternehmen durchgespielt werden. Gerade die mit langen und komplexen Auslagerungsketten verbundenen Risken sollen bewertet werden.
Einheitliches Risikomanagement bei Gruppen
Institute können die Risikobewertung durch ein einheitliches und umfassendes Risikomanagement bei gruppen- und verbundinternen Auslagerungen positiv beeinflussen. Wenn mehrere Institute einer Gruppe oder eines Verbundes an ein gemeinsame Auslagerungsunternehmen auslagern, können sie ein zentrales Auslagerungsmanagement einrichten. Damit schafft der Konsultationsentwurf für Finanzkonglomerate und Institutsgruppen einige Erleichterungen bei Risikoanalyse und -management.
Kritische Bereiche einfacher auslagern
Die BaFin hält am Verbot der Auslagerung von Leitungsaufgaben der Geschäftsleitung fest. Konkret fordert die BaFin nun, dass Auslagerungen nicht dazu führen dürfen, dass das Institut nur noch als leere Hülle (empty shell) existiert.
Risikocontrolling, Compliance oder Interne Revision dürfen nach wie vor nur gruppenintern ausgelagert werden, wenn das auslagernde Institut in Bezug auf Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor und hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. Innerhalb der Institutsgruppe sind nun auch Auslagerungen an Schwesterunternehmen zulässig.
Erlaubnispflichten von Auslagerungsunternehmen
Die MaRisk-Novelle lässt offen, welche Kriterien für die Erlaubnispflicht des Auslagerungsunternehmens gelten sollen. Dabei fordert der Entwurf, dass das auslagernde Institut die Lizenzsituation des Auslagerungsunternehmens klären muss, sofern Bankgeschäfte in einem Umfang ausgelagert würden, der innerhalb des EWR eine Zulassung oder Registrierung durch die zuständigen Aufsichtsbehörden erfordern würde.
Wenn das Auslagerungsunternehmen seinen Sitz im Europäischen Wirtschaftsraum (EWR) hat, so richtet sich die Befugnis nach dem Recht dieses Staates. Wenn das Unternehmen hingegen seinen Sitz in einem Drittstaat hat, so gilt nach den EBA-Leitlinien und den neuen MaRisk folgendes:
• Bei der Frage, ob die materielle Schwelle zur Erlaubnispflicht des Auslagerungsunternehmens überschritten ist, gelten die Maßstäbe des EWR.
• Eine Lizenz des Auslagerungsunternehmens aus dem Drittstaat nur dann akzeptabel, wenn zwischen der BaFin und den Aufsichtsbehörden des Drittstaates eine Kooperationsvereinbarung besteht. Bei einer Auslagerung etwa nach UK ist dies nur für einzelne Finanzdienstleistungssparten der Fall.
Mehr Prüfungsrechte für nicht wesentliche Auslagerungen
Informations- und Prüfungsrechte sollten möglichst auch für nicht wesentliche Auslagerungen vereinbart werden, falls abzusehen ist, dass sie in naher oder mittlerer Zukunft als wesentlich eingestuft werden könnten. Die Vereinbarungen müssen auch Zugangsrechte zu relevanten Gebäuden des Auslagerungsunternehmens gewähren.
Kündigungsrechte präzisiert
Die Auslagerungsvereinbarung muss Kündigungsrechte und angemessene Kündigungsfristen enthalten. Die BaFin ergänzt, dass das Auslagerungsunternehmen verpflichtet werden sollte, das Institut bei der Übertragung der ausgelagerten Prozesse an ein anderes Unternehmen zu unterstützten.
Datenschutz gestärkt
Auch in Vereinbarungen für nicht wesentliche Auslagerungen sollen nun datenschutzrechtliche Regelungen getroffen werden. Das stärkt den Datenschutz.
Handlungsbedarf bei Banken und IT-Dienstleistern
Wir unterstützen Banken und IT-Dienstleister dabei, sich einen Überblick zum Handlungsbedarf durch die MaRisk Novelle zu verschaffen und zu prüfen, inwieweit sie die neuen Vorgaben erfüllen. Darüber hinaus beraten wir zu Risiken und Chancen, die sich durch die neuen Anforderungen ergeben, gerade im Hinblick auf die Möglichkeit eines zentralen Auslagerungsmanagements auf Gruppen- bzw. Verbundebene.
Michaela Witzel, LL.M. (Fordham University School of Law), Fachanwältin für IT-Recht
witzel@web-partner.de