Notfall-Management beim (IT-)Outsourcing
„Dieser Dienst steht ihnen aktuell leider nicht zur Verfügung. Wir arbeiten mit Hochdruck an einer Lösung.“ „Aufgrund technischer Probleme bei unserem Dienstleister ist die Nutzung unseres Systems eingeschränkt.“ Meldungen wie diese häufen sich auf den Service-Seiten von Banken und Versicherungen. Der Grund dafür: Immer mehr Finanzdienstleister und Versicherer lagern Aktivitäten und Prozesse aus, die nicht zu ihren Kernkompetenzen gehören. Dazu zählen vor allem IT-Dienstleistungen wie etwa das Betreuen von Anwendungen, das Betreiben von Bankensystemen oder auch das komplette Bereitstellen von Software as a Service- (SaaS)-Lösungen in einer Cloud.
Risiken werden oft erst im Notfall erkannt
Die Risiken solcher Auslagerungen geraten oft erst dann in den Blick, wenn es zu spät ist und ein System ausgefallen oder, noch schlimmer, vertrauliche Informationen oder Kundendaten in die Hände von Hackern geraten sind. Auch die Corona-Krise ist auch ein Testfall für die IT-Notfall-Szenarien von Banken und Finanzdienstleistern. Wie ist im Falle einer Pandemie sichergestellt, dass kritische Systeme weiter gewartet oder aktualisiert werden?
Die aktuelle Lage ist daher ein guter Anlass, Planungen zur Gewährleistung des Geschäftsbetriebs anzustellen. Aus Sicht der Aufsichtsbehörden ist das IT-Notfallmanagement ein integraler Bestandteil eines gesamten Notfallmanagements. Um die Risiken adäquat zu managen, müssen die möglichen Auswirkungen auch für ein worst case scenario betrachtet werden. Dies gilt insbesondere für wesentliche Auslagerungen im Sinne des § 25b KWG. Kreditinstitute sind angehalten zu prüfen, ob ein Auslagerungsunternehmen seine Leistungen ordnungsgemäß erbringen kann und auch im Notfall leistungsfähig bleibt. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert seit langem entsprechende Regelungen in den Mindestanforderungen für das Risikomanagement (MaRisk). Auch in den „Bankaufsichtlichen Anforderungen an die Informationstechnologie“ (BAIT) werden diese Risiken benannt, aber nicht beschrieben, wie das IT-Notfallmanagement konkret umgesetzt werden soll.
Kritische Geschäftsprozesse brauchen klare Regeln
Gerade mit Blick auf die kritischen Geschäftsprozesse ist eine klare vertragliche Regelung wichtig. Es braucht ein gemeinsames Verständnis von Finanzdienstleister und IT-Dienstleister über Inhalt und Umfang, Rollen und Rechte beider Parteien. Dafür sollten auch die Notfallkonzepte des IT-Dienstleisters mit denen des auslagernden Finanzdienstleisters abgeglichen werden. Nur so kann ein abgestimmtes Vorgehen sichergestellt werden für den Fall, dass wichtige IT-Anwendungen, Komponenten oder Prozesse beeinträchtigt oder ausgefallen sind. Insbesondere geht es darum,
Vorkehrungen für den Ausfall von Systemen zu treffen,
die Kontinuität beim Ausstiegsprozess zu wahren,
die Notfallkonzepte von Dienstleister mit dem Auslagernden zu verzahnen und
die Inhalte der Weiterverlagerung im Vertrag zu fixieren.
Wir beraten IT-Dienstleister bei der Vertragsgestaltung und helfen ihnen dabei, die relevanten Pflichten zu regeln.
Außerdem unterstützen wir Sie bei konkreten Fragen zum Umsetzen der Notfallplanung.
Gerne stehen wir Ihnen mit unseren Erfahrungen und unserer Expertise zur Seite:
Michaela Witzel, LL.M. Fordham University, School of Law, NYC, Fachanwältin für IT-Recht witzel@web-partner.de
Danielle Hertneck, Fachanwältin für IT-Recht, Fachanwältin für Gewerblichen Rechtsschutz hertneck@web-partner.de