Ein Update zur Auslagerung – Teil 1: Wirecard-Gesetz, MaRisk und WpFG

Das Jahr 2020 war und ist reich an Ereignissen; eines davon ist sicherlich auch der Fall Wirecard. Dieser hat den Gesetzgeber dazu veranlasst, einige Verbesserungen im Finanzaufsichtsrecht vorzunehmen und die Integrität des Finanzmarktes weiter zu stärken. Dazu wurde Ende Oktober der Entwurf das Gesetzes zur Stärkung der Finanzmarktintegrität (FISG), auch bekannt als Wirecard-Gesetz, veröffentlicht. Zukünftig soll die Bilanzkontrolle und die Abschlussprüfung weiter reguliert werden, um die Richtigkeit der Rechnungslegungsunterlagen von am Kapitalmarkt tätigen Unternehmen sicherzustellen. Daneben sollen die Aufsichtsstrukturen und die Befugnisse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gestärkt werden. Verbesserungsbedarf wird u.a. bei den BaFin-Befugnissen im Bereich der Prüfung von Auslagerungen gesehen. Zukünftig soll die BaFin bspw. Einwirkungsmöglichkeiten auf die externen Dienstleister haben.

Die geplanten Änderungen des FISG gehen zum Teil auf den derzeitigen Auslagerungsstandard der EBA Guidelines zurück, teilweise aber darüber hinaus. Vor dem Hintergrund der neuen Regulierung kleiner und mittlerer Wertpapierfirmen nach dem Gesetz über die Beaufsichtigung von Wertpapierfirmen (WpFG) stellt sich zudem die Frage, ob die derzeitigen Regelungen zur Auslagerung eigentlich auf diese Wertpapierfirmen weiter Anwendung finden werden. Dies wird Teil 1 näher beleuchten. In Teil 2 werden wir dann die geplanten Änderungen des FISG zur Auslagerungen vorstellen.

Der aktuelle Auslagerungsstandard der MaRisk

Die Anforderungen der EBA Outsourcing Guidelines sind in der aktuellen MaRisk Novelle umgesetzt. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Neu sind z.B. die Regelungen zum Auslagerungsregister, die Benennung eines zentralen Auslagerungsbeauftragten und konkrete Vorgaben zur vertraglichen Regelung von Zugangs- und Kündigungsrechten. Über die MaRisk Novelle und die Umsetzung der EBA Outsourcing Guidelines haben wir bereits ausführlich gebloggt.

Anwendbarkeit des MaRisk Vorgaben zur Auslagerun auf WpFG-Wertpapierfirmen

Ab Mitte 2021 wird mit dem WpFG, in Umsetzung der neuen EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), für kleine und mittlere Wertpapierfirmen ein neues, eigenes Aufsichtsregime gelten. Über dessen Inhalt haben wir bereits hier und hier ausführlich berichtet. Große Wertpapierfirmen sind grundsätzlich nicht erfasst, für sie werden weiterhin die Regelungen des KWG gelten, da sie aufgrund ihrer Größe und Risiken wie Banken behandelt werden. Auch die Auslagerungsregelungen des KWG und ihre Konkretisierung durch die MaRisk werden auf diese Wertpapierfirmen also Anwendung finden.

Gilt das auch für kleine und mittlere Wertpapierfirmen? Das neue WpFG stellt ein eigenes Regelungsregime vor allem im Hinblick auf die Zulassung und die Eigenkapitalanforderungen kleiner und mittlerer Wertpapierfirmen auf. Insoweit werden die Regelungen der zweiten EU-Finanzmarktrichtlinie (MiFID II) bzw. des Kreditwesengesetzes (KWG) ersetzt. Nicht ersetzt werden hingegen die Organisations- und Wohlverhaltensregelungen der MiFID II, wozu u.a. auch die Auslagerungsregelungen gehören (Art. 16 MiFID II). Diese gelten also weiterhin für alle Wertpapierfirmen.

Umgesetzt sind sie im Wertpapierhandelsgesetz (WpHG). Die WpHG-Regelungen zur Auslagerung (§ 80 Abs. 6) werden wiederum von den Mindestanforderungen an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten (MaComp) konkretisiert. Inhaltlich wird insoweit allerdings sowohl vom WpHG als auch von den MaComp auf die KWG-Regelungen zur Auslagerung verwiesen (§ 25b KWG bzw. die Konkretisierung durch die MaRisk). Über diesen Verweis des WpHG/MaComp auf das KWG/MaRisk gilt also auch für kleine und mittlere Wertpapierfirmen unverändert der gleiche aufsichtliche Standard bei Auslagerungen. Zusätzlich verweisen die MaComp auf die Auslagerungsregelungen der Delegierten Verordnung zur MiFID II, die die Anforderungen an wesentliche Auslagerungen konkretisiert (Art. 30 bis 32). Auf diese Regelungen verweist auch das WpFG (§ 40 WpFG), ohne damit aber ein eigenes Auslagerungsregime neben dem WpHG aufzustellen.

Auch kleine und mittlere Wertpapierfirmen, die zukünftig insbesondere hinsichtlich ihrer Zulassung und der Eigenkapitalanforderungen nicht mehr vom Kreditwesengesetz (KWG), sondern vom WpFG reguliert werden, müssen also weiterhin die Anforderungen des WpHG umsetzen; hinsichtlich der Auslagerung bedeutet das aufgrund des Verweises auf das KWG/die MaRisk die Erfüllung des entsprechenden bankaufsichtsrechtlichen Standards.

Ausblick auf Teil 2

Im zweiten Teil unseres Updates zur Auslagerung werden wir die neuen Regelungen des FISG näher betrachten.

Bis dahin wünschen wir unseren Leserinnen und Lesern einen schönen zweiten Advent!

Konsultation zur neuen BAIT veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Ende November bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen BAIT setzt aktuelle Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Neuerungen der BAIT aufgrund der Umsetzung der ICT Guidelines im Überblick vor.

Kurz erklärt: die BAIT und ihr Zusammenspiel mit der MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor. Auch die MaRisk wurde jüngst überarbeitet und an aktuelle europäische Vorgaben angepasst; darüber haben wir bereits hier berichtet. Die BAIT ergänzen und konkretisieren die Vorgaben der MaRisk und geben einen praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement vor. Durch die Umsetzung der ICT Guidelines wurden die BAIT um zwei neue Kapital zu der operativen Informationssicherheit und zum IT-Notfallmanagement ergänzt, deren wesentlichen Inhalt wir nachfolgend näher betrachten.

Operative Informationssicherheit

Institute müssen für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Damit soll der operative Geschäftsbetrieb jederzeit sicher und reibungslos aufrecht erhalten werden können. Nach der BAIT müssen Institute deshalb

  • operative Informationssicherheitsmaßnahmen und Prozesse implementieren; diese müssen z.B. ein Schwachstellenmanagement und die Verschlüsselung von Daten berücksichtigen,
  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, z.B. die Erkennung vermehrter nicht autorisierter Zugriffsversuche,
  • sicherheitsrelevante Ereignisse zeitnah analysieren und auf diese angemessen reagieren; dazu kann die Einrichtung einer ständig besetzten zentralen Stelle, z.B. in Form eines Security Operation Centers, erforderlich sein,
  • IT-Sicherheitssysteme regelmäßig überprüfen, wobei sich Turnus, Art und Umfang der Überprüfung am Schutzbedarf und der möglichen Angriffsflächen des IT-Systems orientieren müssen.

IT-Notfallmanagement

Allgemeine Anforderungen an das Notfallmanagement von Instituten finden sich in der MaRisk (AT 7.3.). Die Vorgaben der BAIT konkretisieren diese und formulieren spezielle Vorgaben für das IT-Notfallmanagement. In diesem Zusammenhang müssen Institute

  • auf Basis der Ziele des allgemeinen Notfallmanagements auch die Ziele und Rahmenbedingungen des IT-Notfallmanagements festlegen,
  • IT-Notfallpläne erstellen, die Wiederanlauf-, Notbetriebs-, und Wiederherstellungspläne sowie zu berücksichtigende Abhängigkeiten z.B. von externen IT-Dienstleistern, berücksichtigen,
  • ihre IT-Notfallpläne durch mindestens jährliche IT-Notfalltests überprüfen; zu diesem Zweck ist ein IT-Testkonzept zu entwickeln,
  • nachweisen können, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse von einem anderen Rechenzentrum für eine angemessene Zeit erbracht werden können.

Ausblick ZAIT und Fazit

Die BAIT soll zukünftig zudem um ein Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ ergänzt werden, das sich eigens an Institute richten wird, die Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Die Inhalte dieses Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und anschließend in die finale Fassung der BAIT einfließen.

Mit der nun zur Konsultation gestellten BAIT Novelle finden die europäische Vorgaben der ICT Guidelines nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum (IT-) Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Konsultation zur MaRisk Novelle veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Anfang Dezember bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen MaRisk setzt aktuelle europäische Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposuresNPL Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements Outsourcing Guidelines) und zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Änderungen und Ergänzungen der MaRisk aufgrund der Umsetzung der NPL, der Outsourcing sowie der ICT Guidelines im Überblick vor.

Kurz erklärt: die MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor.

Umsetzung der NPL Guidelines

Die NPL Guidelines geben vor, wie notleidende und gestundete Risikopositionen von Instituten im Rahmen des Riskmanagements zu berücksichtigen sind. Institute sollten über einen angemessenen Rahmen zur Identifizierung, Messung, Verwaltung, Überwachung und Reduzierung von notleidenden Risikopositionen verfügen. Je mehr notleidende Risikopositionen ein Institut hat, desto strengere Anforderungen sind grundsätzlich zu erfüllen.

Deshalb ist zu unterscheiden: Einige Vorgaben gelten nur für solche Institute, die eine Quote notleidender Kredite von 5% oder mehr aufweisen (sog. High-NPL-Institute). High-NPL-Institute müssen

  • eine Strategie für notleidende Risikopositionen einführen, um letztlich einen Abbau der notleidenden Risikopositionen vornehmen zu können (AT 4.2 MaRisk),
  • besondere Anforderungen an die Risikocontrolling-Funktion erfüllen, indem z.B. NPE-bezogene Risiken (non-performing-exposures) überwacht und Auswirkungen auf die Eigenkapitalanforderungen berücksichtigt werden (AT 4.4 MaRisk).
  • Problemkredite sind anhand festgelegter Kriterien an eine Abwicklungs-. bzw. Sanierungseinheit des Instituts zu übergeben; nunmehr sind spezialisierte Abwicklungseinheiten (sog. NPE-Workout Units) einzurichten; (BTO 1.2 MaRisk),
  • in den Risikoberichten der Risikocontrolling-Funktion ist eine gesonderte Darstellung von notleidenden und gestundeten Risikopositionen aufnehmen (BT 3.2 MaRisk).

Zudem setzt die MaRisk Vorgaben der NPL Guidelines um, die nicht nur auf High-NPL-Institute, sondern auf alle Institute anwendbar sind. Neu sind dabei umfassende Vorgaben zur sog. Forbearance. Erfasst sind jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden. Als anschauliches Beispiel dient die Stundung von Tilgungsraten. Ziel solcher Maßnahmen ist es, dass Risikopositionen nicht notleidend werden, sondern zurückgezahlt werden können.

  • Institute müssen eine Forbearance-Richtlinie entwickeln, die bspw. die Verfahren zur Gewährung von Forbearance-Maßnahmen sowie die Verfahren zur Entscheidungsfindung und eine Beschreibung verfügbarer Forbearance-Maßnahmen enthält (BTO 1.3 MaRisk).
  • Zudem sind Forbearance-Prozesse zu entwickeln, die z.B. Kriterien festzulegen, anhand derer eine Einstufung von Forbearance-Risikopositionen in notleidende Positionen erfolgt (BTO 1.3 MaRisk).

Umsetzung der Outsourcing Guidelines

Die MaRisk Novelle setzt auch die Anforderungen der EBA Outsourcing Guidelines um. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Gänzlich neue Regelungen gibt es hier wenige. Alle Änderungen und Ergänzungen werden unter AT 9 MaRisk vorgenommen. Wesentliche Neuerungen bzw. Ergänzungen sind:

  • Bei Auslagerungen an Unternehmen mit Sitz in anderen EU-Mitgliedsstaaten ist sicherzustellen, dass eine ggf. erforderliche Erlaubnis zur Erbringung der ausgelagerten Tätigkeit vorliegt. Bei Auslagerung auf ein Drittstaaten-Unternehmen (Brexit!) muss, sofern es sich um eine ausgelagerte Aktivität handelt, die innerhalb des EWR eine Erlaubnis erfordern würde, sichergestellt werden, dass das Auslagerungsunternehmen in dem Drittstaat einer Aufsicht unterliegt und zwischen den zuständigen Aufsichtsbehörden eine entsprechende Kooperationsvereinbarung besteht.
  • Bei wesentlichen Auslagerungen werden zusätzliche konkret erforderliche vertragliche Regelungen, wie z.B. Zugangs- und Kündigungsrechte vorgeschrieben.
  • Es ist ein zentraler Auslagerungsbeauftragter zu benennen; er wird durch ein zentrales Auslagerungsmanagement unterstützt.
  • Es ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. So soll ein Informationsverlust über ausgelagerte Tätigkeiten im Falle personeller Wechsel verhindert werden.

Umsetzung der ICT Guidelines

Aufgrund der EBA ICT Guidelines werden Anforderungen an das Notfallmanagement (AT 7.3 MaRisk) neu gefasst. Institute müssen grundsätzlich auf Notfallsituationen vorbereitet sein und insbesondere Notfallpläne für zeitkritische Aktivitäten und Prozesse vorhalten. Ein aktuelles und anschauliches Beispiel sind die Auswirkungen der Corona-Krise; die Banken schienen mit Standortschließungen aufgrund von Lockdown-Maßnahmen grundsätzlich gut umgehen und schnell auf Notfallpläne wie z.B. Split-Operations-Maßnahmen zurückgreifen zu können. Im Einzelnen müssen Institute

  • Eine Risikoanalyse zur Identifikation zeitkritischer Aktivitäten und Prozesse sowie hierfür notweniger IT-Systeme durchführen,
  • ein Notfallkonzept erarbeiten, das darstellt, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Fazit

Mit der nun zur Konsultation gestellten MaRisk Novelle finden zahlreiche europäische Vorgaben nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Das Merkblatt der BaFin zur Nachhaltigkeit – Eine Einordnung

Am 24. September 2019 veröffentlichte die BaFin die Konsultation eines Merkblatts zum Umgang mit Nachhaltigkeitsrisiken.

Das Merkblatt ist 33 Seiten lang, soll für alle drei Aufsichtsbereiche gelten und macht den Anschein, als hätte sich die BaFin damit viel Mühe gegeben. Auf Nachfrage äußern Mitarbeiter der BaFin, dass das Merkblatt, wenn es einmal final ist, nicht rechtlich bindend sei. Und auch in der Vorrede wird ausführlich erläutert, dass es sich um ein Kompendium von Good-Practices, das unter Berücksichtigung des Proportionalitätsprinzips in den beaufsichtigten Unternehmen Anwendung finden soll, handele. Es soll eine sinnvolle Ergänzung zu den Mindestanforderungen an das Risikomanagement (MaRisk) sein.

Wie ist das Merkblatt also rechtlich einzuordnen?

Im Moment ist es lediglich eine Äußerung der BaFin, die hierin ihre eigenen Ideen einer möglichen künftigen Verwaltungspraxis niederlegt. Der Verweis auf die MaRisk, die die Verwaltungspraxis der BaFin offenlegt, zeigt, dass hier nicht ein völlig unverbindliches Dokument erstellt wurde. Sicher dient die Marktbefragung auch dazu, das Verständnis der Finanzbranche im Umgang mit Nachhaltigkeitsrisiken zu erweitern.

Derzeit gibt es noch keine rechtlich bindenden Vorgaben, wie der Umgang mit dem Thema Nachhaltigkeit in der Finanzbranche aussehen soll. Das Thema ist in ganz Europa auf der politischen Agenda. Und auch die BaFin hat immer wieder öffentlich geäußert, dass sie einen bewussten Umgang mit Nachhaltigkeitsrisiken als Teil des Risikomanagements etwa bei Kreditinstituten erwartet.

Die EU Transparenz-Verordnung, die die Offenlegung von Informationen über nachhaltige Investitionen und Nachhaltigkeitsrisiken regelt, ist bereits final, aber noch nicht in Kraft. Die Taxonomie-Verordnung wird zur Zeit in den Trilog-Verhandlungen auf europäischer Ebene diskutiert. Vor 2021 wird es sicher keine bindenden gesetzlichen Vorgaben geben.

Das Merkblatt ist nicht dazu gedacht, das derzeit bestehende rechtliche Vakuum zu füllen. Aber es regt an, sich mit dem Thema auseinanderzusetzen – weil dazu rechtliche Vorgaben kommen werden. Und zwar in allen drei Aufsichtsbereichen der BaFin – Banken/Finanzdienstleistungen, Versicherungen und Kapitalverwaltungsgesellschaften.

EBA veröffentlicht neue Leitlinien zur Auslagerung

Auslagerungen werden gerade in Zeiten von innovativen, digitalen Finanztechnologien (FinTech) immer wichtiger. Denn durch die Auslagerung, also die Übertragung von bestimmten Aufgaben auf externe Dienstleister, haben etablierte Bank- und Zahlungsdienstleistungsinstitute die Möglichkeit, sich Zugang zu den neuesten technischen Entwicklungen zu verschaffen, wenn sie diese nicht selbst entwickeln.

Am 25. Februar 2019 hat die Europäische Bankenaufsichtsbehörde (European Banking AuthorityEBA) ihren finalen Bericht über neue Leitlinien zur Auslagerung veröffentlicht, die am 30. September 2019 in Kraft treten werden. Damit werden die CEBS-Leitlinien (Committee of European Banking Supervisors, Vorgängerbehörde der EBA) von 2006 abgelöst, die nur für Kreditinstitute gelten. Die neuen Leitlinien sollen nicht nur für Kreditinstitute, sondern auch für Zahlungsdienstleister (nachfolgend zusammen Institute) gelten und somit die bestehenden Auslagerungsregelungen für die Marktteilnehmer vereinheitlichen (sog. level playing field). Auch die Empfehlungen der EBA zur Auslagerungen an Cloud-Dienstleister aus dem Jahr 2017 wurden in die neuen Leitlinien aufgenommen und somit ein vollumfängliches Regelwerk zur Auslagerung geschaffen.

Inhalt der neuen Leitlinien

Im Einzelnen sehen die neuen Auslagerungs-Leitlinien insbesondere folgende Regelungen vor:

  1. Die EBA empfiehlt, dass Institute vor geplanten Auslagerungsvereinbarungen die zuständige Behörde informieren bzw. mit ihr in einen Dialog über die geplante Auslagerung treten, insbesondere, wenn kritische Funktionen ausgelagert werden sollen.
  2. Die EBA-Leitlinien stellen zudem Regelungen für Auslagerungen innerhalb einer Gruppe auf. Bei gruppeninternen Auslagerungen müssen die EU-Mutterunternehmen z.B. sicherstellen, dass interne Prozesse und Mechanismen so strukturiert sind, dass die Vorgaben der Leitlinien umgesetzt werden können.
  3. Die neuen Leitlinien enthalten zudem eine Negativliste über Sachverhalte, die nicht als Auslagerung zu qualifizieren sind. So wird zum Beispiel klargestellt, dass weder die Unterhaltung von Räumlichkeiten eines Instituts, noch der Bezug von Gütern und Versorgungsdienstleistungen (wie Strom, Telefon etc.) eine Auslagerung darstellt.  
  4. Die Geschäftsführung eines Instituts muss eine schriftliche Auslagerungs-Policy beschließen, diese regelmäßig überprüfen und ihre Umsetzung sicherstellen. Die Regelungen, die die EBA in den Leitlinien vorgibt, sind wesentlich detaillierter als die Vorgaben des BaFin Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk).
  5. Gleiches gilt für die Vorgaben zu möglichen Interessenskonflikten, die aufgrund von Auslagerungen entstehen können. Diese sind zu identifizieren, zu bewerten und zu managen. Zudem sehen die Leitlinien Regelungen für Interessenskonflikte vor, die bei gruppeninternen Auslagerungen entstehen.
  6. Geregelt ist zudem die Führung eines detaillierten Registers über alle Auslagerungsvereinbarungen. Das Register soll z.B. zwischen der Auslagerung von kritischen bzw. wichtigen Funktionen und anderen Auslagerungen unterscheiden. Die Leitlinien sehen Regelungen zu den Informationen vor, die in dem Register für alle Auslagerungen vorzuhalten sind, sowie Regelungen zu zusätzlichen Informationen, die im Falle der Auslagerung kritischer Funktionen vorzuhalten sind.
  7. Bevor Auslagerungsvereinbarungen geschlossen werden, sollen die Institute eine fundierte Analyse durchführen (pre-outsourcing analysis). Dabei soll z.B. bewertet werden, ob es sich um die Auslagerung von kritischen Funktionen handeln wird, ob die aufsichtsrechtlichen Anforderungen an Auslagerungen erfüllt werden und ob eine angemessenen due diligence Prüfung des Auslagerungsunternehmens durchgeführt wurde.
  8. Auch bzgl. des Inhalts von Auslagerungsverträgen sehen die Leitlinien detaillierte Regelungen vor, die über die Vorgaben der MaRisk deutlich hinausgehen und konkreter die Anforderungen an aufsichtsrechtlich zulässige Auslagerungsverträge beschreiben.
  9. Zudem sehen die Leitlinien vor, dass die Institute Exit-Strategien für den Fall der Beendigung einer Auslagerungsvereinbarung über kritische Funktionen vorsehen. Die EBA gibt in den Leitlinien detailliert vor, welche Anforderungen die Institute dabei zu beachten haben.

Ab wann sind die neuen Leitlinien anzuwenden?

Die neuen Leitlinien gelten ab dem 30. September 2019 für alle Auslagerungsverträge, die ab diesem Zeitpunkt abgeschlossen, überprüft oder geändert werden, spätestens jedoch ab dem 31. Dezember 2021. Neuverträge, die ab dem 30. September abgeschlossen werden, sind also von Beginn an an die Regelungen in den EBA Leitlinien auszurichten. Altverträge, die vor dem 30. September 2019 bestanden, müssen auf die Regelungen der neuen Leitlinien angepasst werden, wenn sie nach dem 30. September überprüft oder geändert werden, spätestens jedoch bis zum 31. Dezember 2021.

Fazit

Die Leitlinien werden einen einheitlichen Regelungsrahmen bezüglich aufsichtsrechtlicher Anforderungen an Auslagerungen sowohl für Kreditinstitute als auch für Zahlungsdienstleister schaffen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) setzt die Leitlinien in der Regel in deutsches Recht um, sodass davon auszugehen ist, dass z.B. die Vorgaben der MaRisk entsprechend angepasst werden. Darauf sollten sich die Institute einstellen und sowohl bestehende Verträge als auch interne Prozesse entsprechend anpassen.

Welche regulatorischen Herausforderungen bringen Big Data und künstliche Intelligenz?

Big Data und künstliche Intelligenz (artificial intelligence), gerne gemeinsam auch als BDAI bezeichnet, sind derzeit ein Thema, das im Finanzmarkt viel Beachtung bekommt. Nicht zuletzt, weil es prominent auf der Agenda der BaFin steht, die – wie wir gerade in unserem letzten Beitrag berichtet haben – derzeit eine Marktumfrage zu diesem Thema gestartet hat.

Big Data steht für sehr große und komplexe Datenmengen, die aus einer Vielzahl von Quellen gewonnen werden können, und mit Hilfe manueller und herkömmlicher Methoden der Datenverarbeitung schwer zu analysieren sind. Analyseverfahren, die auf künstlicher Intelligenz basieren, können solche Massendaten sinnvoll auswerten und Zusammenhänge und Verbindungen aufzeigen, die bestehende Geschäftsmodelle erweitern oder ergänzen können. Selbstlernende Systeme können Prozesse optimieren und automatisiert Entscheidungen treffen. Ein Beispiel für eine Einsatzmöglichkeit von BDAI ist etwa die maschinelle Optimierung von Geldwäscheprüfungen.

Sobald künstliche Intelligenz in Form von Algorithmen ins Spiel kommt, stellt sich stets die Frage: geht etwas schief, wer ist verantwortlich? Der Programmierer des Algorithmus, das Institut, das den Algorithmus nutzt, um neue Geschäftsfelder zu generieren, oder gar niemand? Hier ist – wie bisher etwa beim Algotrading oder bei RoboAdvice, wo diese Diskussion auch geführt wurde – die klare Aussage der BaFin, dass das anbietende Institut verantwortlich ist für die Prozesse, die dort intern genutzt und extern gegenüber Kunden angeboten werden.

In der ersten Ausgabe der BaFin Perspektiven zur Digitalisierung wirft BaFin-Präsident Hufeld die Frage auf, ob wir künftig Mindestanforderungen an Algorithmen benötigen und konsequenterweise dann auch Mindestanforderungen an Daten, die im Rahmen von BDAI verwendet werden. Die internen Prozesse der Institute müssen auch beim Einsatz von BDAI kontrollierbar und nachvollziehbar sein. Insbesondere muss klar sein, welche Daten wofür und wie verwendet werden. Solange das gewährleistet ist, reichen die Vorgaben der MaRisk vielleicht aus. Dass das Thema künstliche Intelligenz und selbstlernende Systeme nicht trivial ist und AI-Forscher selbst äußerst skeptisch sind, ob die Methoden und Techniken des machine learning derzeit schon hinreichend verstanden sind (siehe etwa hier), zeigt, dass BDAI derzeit ein Trend ist, der noch in der Entwicklung steckt. So wird sich auch der Regulierungsansatz dazu mitentwickeln.

Neben Mindestanforderungen für Algorithmen, Daten und das Risikomanagement sind weitere Aufsichtsthemen im Zusammenhang mit BDAI etwa Auslagerung, Datensicherheit und IT-Sicherheit. BDAI-basierte Analysen können von Instituten von hierauf spezialisierten Unternehmen im Rahmen einer Auslagerungsvereinbarung eingekauft werden. Hierfür haben wir bereits einen regulatorischen Rahmen, der derzeit europaweit vereinheitlicht werden soll (siehe dazu diesen Blogbeitrag). Der Umgang mit Kundendaten ist aus Sicht des Verbraucherschutzes durch die DSGVO inzwischen strikt geregelt. Die IT-Sicherheit ist ebenfalls bereits ein Thema, das bei der BaFin im Fokus ist. Gerade vor wenigen Tagen veröffentlichte die BaFin eine Ankündigung, dass künftig in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber kritischer IT-Infrastrukturen auch unter die Aufsicht der BaFin fallen sollen, selbst wenn sie keine Finanzdienstleistungen anbieten. Entsprechend sollen die Bankaufsichtlichen Anforderungen an die IT (BAIT) ergänzt werden. Hier zeigt sich ein weiterer Trend, der auch auf die Nutzung von Massendaten durch selbstlernende Algorithmen überspringen kann, wenn sich externe Anbieter entwickeln, auf deren Analyse der Finanzmarkt vertraut und daraus neue Geschäftsmodelle generiert.

Auslöser neuer Regulierung sind häufig neue Themen, auf die die bestehenden Vorgaben nicht passen, weil sie zu restriktiv oder zu lax und unzureichend sind. In der BDAI-Debatte wird abzuwarten bleiben, wo die Reise hingeht. Es würde nicht verwundern, wenn hierfür eigene Regulierung geschaffen wird – entweder auf gesetzlicher Ebene oder durch die Verwaltungspraxis der Aufsichtsbehörden. Wünschenswert wäre jedenfalls ein einheitlicher europäischer Aufsichtsansatz und kein regulatorischer Flickenteppich, wie wir ihn für FinTech und Blockchain-Regulierung derzeit sehen.

Cloud-Computing, Outsourcing und IT-Aufsicht

In Zeiten der Digitalisierung sind Cloud-Dienste nicht mehr wegzudenken. Gerade für Unternehmen, die innovative Finanz-Produkte anbieten wollen, stellt sich zu Geschäftsbeginn oder bei Erweiterung des Geschäftsmodells die Frage, ob sie eigene traditionelle IT-Systeme aufbauen oder stattdessen IT-Ressourcen aus der Cloud nutzen wollen. Cloud-Computing gibt es in vielen Formen und Größen: on demand oder mit festem Volumen, mit verschiedenen Zugangsoptionen (public, private oder hybrid), als Infrastructure as a service (IaaS), Platform as a service (PaaS) oder Software as a service (SaaS).

Bei IaaS werden Server, Rechenleistung, Speicher und Netzwerkkapazitäten eines Cloud-Anbieters in Anspruch genommen. In der Regel hat bei dieser Variante der Anwender die Kontrolle über Betriebssysteme und Anwendungen. PasS stellt üblicherweise ein Programmiermodell und Entwicklerwerkzeuge zur Verfügung, um Cloud-basierte Anwendungen zu erstellen und zu nutzen, die Infrastruktur ist im Paket inbegriffen. Als dritte und weitreichendste Nutzung externer IT werden bei der SaaS-Lösung Softwareanwendungen über das Internet bereitgestellt, wobei die Anwendungen samt dazugehöriger Infrastruktur von den Cloud-Anbietern gehostet und verwaltet werden.

Da die IT-Aufsicht ein Schwerpunktbereich in der Bankenaufsicht 2018 ist, zeigen wir im Folgenden, welcher regulatorische Rahmen bei der Nutzung von Cloud-Computing zu beachten ist und ob es hierfür eigene, über die altbekannten Auslagerungsvorgaben hinausgehende Anforderungen gibt. Es gibt zwei Regulierungsbereiche, die bei der Nutzung von Cloud-Diensten wesentlich sind: Das ist zum einen das Thema Auslagerung und zum anderen die IT-Sicherheit.

IT-Sicherheit

Wie wir bereits in unserem letzten Blogbeitrag zur Finanzaufsicht in Zeiten der Digitalisierung festgestellt haben, sind die allgemeinen Vorgaben der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und Bankaufsichtlichen Anforderungen an die IT (BAIT) die Grundlagen der Verwaltungspraxis der BaFin im Rahmen der IT-Aufsicht. Diese prinzipienbasierten Vorgaben gelten selbstverständlich auch dann, wenn Institute nicht ihre eigene IT-Infrastruktur aufbauen, sondern Cloud-basierte IT-Infrastruktur einkaufen. Denn auch dann muss das Institut gewährleisten, dass seine IT sicher ist und z.B. die Kunden- und Transaktionsdaten verlässlich und sicher verwahrt und genutzt werden.

Erwähnenswert sind hier jedoch auch die Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Anforderungskatalog Cloud Computing (C5) veröffentlicht hat. Der Anforderungskatalog richtet sich in erster Linie zwar an professionelle Cloud-Anbieter, er findet jedoch auch Berücksichtigung im Rahmen der Prüfung der Institute. Die Prüfer, die auch die Einhaltung der aufsichtsrechtlichen Vorgaben überprüfen, können den Anforderungskatalog des BSI als Prüfungsmaßstab heranziehen. Bei dem Anforderungskatalog selbst handelt es sich nicht um bindende Vorgaben, sondern um Empfehlungen. Die festgeschriebenen Anforderungen stellen eine Referenz des BSI für sicheres Cloud-Computing dar. Daher ist es aus Sicht der Institute wichtig, die Empfehlungen des BSI zumindest zu kennen. Wenn ein Institut mit einem Cloud-Anbieter von dem Anforderungskatalog des BSI abweichende Vereinbarungen treffen sollte, sollte das Institut gegenüber den Prüfern und der Aufsicht erklären können, weshalb der gewählte Dienst dennoch ein hohes Maß an IT-Sicherheit vorweist.

Outsourcing

Ein besonders wichtiges Thema bei der Nutzung von Cloud-Computing ist die Auslagerung von IT-Dienstleistungen. Auslagerungen müssen nach wie vor die Anforderungen der MaRisk und der BAIT erfüllen, d.h. unter anderem, eine eigene Risikoanalyse muss Risikogehalt und Wesentlichkeit einer Auslagerung feststellen, es sind gewisse Anforderungen an die vertraglichen Regelungen mit den Cloud-Dienstleistern zu erfüllen, und es sind intern klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten festzulegen.

Schließlich ist zu betonen, dass die genaue Kenntnis der bezogenen Cloud-Dienste grundlegend ist für den von den Instituten selbst gewählte Umfang des Cloud-Computings. Ein solcher Satz mag verwundern, in der Praxis kommt es jedoch immer wieder vor, dass die Institute trotz ihrer Überwachungspflicht nicht immer alle Details ihrer IT-Infrastruktur kennen. Dem wirken die neuen europäischen Vorgaben zur Auslagerung an Cloud-Anbieter nun explizit entgegen.

Ab 1. Juli 2018 gelten die EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter, die Ende März 2018 veröffentlicht wurden. Die Empfehlungen der EBA binden die nationalen Aufsichtsbehörden und geben so indirekt den europäischen Aufsichtsstandard in Bezug auf Cloud-Computing vor. Neu ist, dass die auslagernden Institute ab 1. Juli 2018 ihre zuständigen Aufsichtsbehörden über wesentliche Tätigkeiten, die an Cloud-Service-Provider ausgelagert werden, angemessen und – wenn man sich die neuen Vorgaben genauer anschaut – nun auch detailliert informieren müssen. So sind künftig für Institute eine Beschreibung der Tätigkeiten und Daten, die ausgelagert werden sollen (einschließlich des Standorts der Datenspeicherung) sowie weitere Vertragsdetails mitzuteilen. Bislang waren solche Informationen intern vorzuhalten und wurden im Rahmen der jährlichen aufsichtlichen Prüfung berücksichtigt, detaillierte Vorgaben zur aktiven Vorlage bei der Aufsicht gab es jedoch nicht. Die EBA-Empfehlungen sehen nun auch explizit vor, dass das auslagernde Institut ein stets aktuelles Informationsverzeichnis mit allen wesentlichen und nicht wesentlichen Tätigkeiten führt, die auf Instituts- oder Gruppenebene an Cloud-Anbieter übertragen wurden. Ein solches Verzeichnis muss z.B. Aufschluss darüber geben, ob der genutzte Cloud-Anbieter ersetzbar wäre und wann die letzte Risikobewertung der Auslagerung seitens des Instituts erfolgte. Weitere zentrale Punkte in dem EBA-Papier sind die vertragliche Umsetzung von Zugangs- und Prüfungsrechten sowohl für die Institute selbst als auch für die Aufsicht, sowie die Sicherheit von Daten und Systemen, die im Kern aber keine Neuerungen für die deutsche Aufsichtspraxis bergen.

Zusammenfassend lässt sich feststellen, dass die Nutzung von Cloud-Lösungen aufsichtsrechtlich kein Selbstläufer ist, sondern eine genaue Analyse, Kenntnis und Überwachung des auslagernden Instituts voraussetzt.

Finanzaufsicht in Zeiten der Digitalisierung

Die Digitalisierung der Bankenwelt ist zur Zeit ein zentrales Thema. Digitalisierung ist ein positiv besetzter Begriff, der neue Geschäftsmodelle zu versprechen scheint und oft verwendet wird als Gegensatz zum Angebot traditioneller Banken. Neue Finanzprodukte von FinTechs, die innovativ oder gar disruptiv sind, zeigen neue Möglichkeiten einer Digitalisierung im Finanzmarkt. Auch soll durch die Auswertung von Big Data und die Verwendung von Algorithmen und künstlicher Intelligenz die Benutzerfreundlichkeit erhöht und die Kundenerfahrung verbessert werden – alles digital.

Gleichzeitig treten wichtige neue Fragen des Verbraucherschutzes, der Daten- und Cybersicherheit auf, die die Digitalisierung womöglich bremsen können und die Aufsicht auf den Plan rufen. Aber auch die Anbieter selbst betonen immer wieder, dass Datenschutz und Cybersecurity für alle Marktteilnehmer essentiell sind, um das Vertrauen der Kunden zu erlangen und zu halten.

Im Folgenden zeigen wir auf, welche Regelungen es im Zusammenhang mit IT-Sicherheit bereits gibt, wie die Aufsicht damit umgeht und ob der aufsichtsrechtliche Rahmen genug Raum lässt für die Digitalisierung bestehender und die Entwicklung neuer (digitaler) Geschäftsmodelle.

Wir betrachten zunächst, wie die BaFin mit der Digitalisierung der Bankenwelt umgeht und wie sie darauf reagiert. Hierzu gibt die Darstellung der Drei-Säulen-Strategie der BaFin im Umgang mit der Digitalisierung Aufschluss, die BaFin-Präsident Felix Hufeld am 10. April auf der BaFin-Tech in Berlin vorgestellt hat. Danach werden in der ersten Säule „Aufsicht und Regulierung“ die neuen Geschäftsmodelle und die Veränderungen der Wertschöpfungsstrukturen anhand des bestehenden Aufsichtsrahmens geprüft, während die zweite Säule speziell die IT-Aufsicht zum Gegenstand hat und die IT-Sicherheit der Unternehmen im laufenden Geschäftsbetrieb überwacht. In der dritten Säule beschäftigt sich die BaFin mit ihren eigenen Prozessen, um eine wirksame Aufsicht auch in Bezug auf innovative Strukturen und Geschäftsmodelle gewährleisten zu können. Das zeigt, dass die BaFin vom Zeitpunkt der ersten Beurteilung von Geschäftsmodellen an laufend die IT-Prozesse von Banken und Finanzdienstleistern überwacht, und in Ergänzung dazu auch selbst dazulernt. Die Darstellung von Herrn Hufeld passt zu den am 9. Mai 2018 veröffentlichten Schwerpunkten der Bankenaufsicht  für das Jahr 2018. Die Aufsicht bekennt sich darin explizit dazu, sich u.a. auf fehlende Angemessenheit und Sicherheit der IT-Systeme der Banken konzentrieren zu wollen.

Was heißt das konkret? Wir wollen im Folgenden einen Blick auf drei aufsichtsrechtliche Themen werfen, die vor dem Hintergrund der Digitalisierung und als Rahmen der IT-Aufsicht ein besonderes Augenmerk verdienen. Diese legen die Verwaltungspraxis der BaFin offen, die auch bei der Prüfung und Beaufsichtigung von neuen, innovativen Geschäftsmodellen berücksichtigt werden.

Das erste Thema sind die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die zuletzt im Oktober 2017 überarbeitet wurden. Darin enthalten sind nach wie vor allgemeine Anforderungen an IT-Systeme und die dazugehörigen Prozesse und Notfallkonzepte. Neu eingefügt wurde mit der letzten Novelle ein Abschnitt zu den IT-Risiken, die fortan noch expliziter überwacht und gesteuert werden müssen. Überwachungs- und Steuerungsprozesse müssen IT-Risikokriterien festlegen, IT-Risiken identifizieren sowie den Schutzbedarf und entsprechende Maßnahmen zur Risikobehandlung und Risikominderung festlegen. Die MaRisk als Teil der prinzipienbasierten Aufsicht der BaFin gibt hier nur grobe Anforderungen vor und lässt den einzelnen Instituten offen, wie sie diese Anforderungen individuell auf das jeweilige Geschäftsmodell passend umsetzen.

Zweitens sind die von der BaFin im November 2017 erlassenen Bankaufsichtlichen Anforderungen an die IT (BAIT) zu nennen, die die Vorgaben der MaRisk für den IT-Bereich konkretisieren. Die BAIT macht etwa Vorgaben zu IT-Strategien, zur IT-Governance, zum IT-Risikomanagement und zum IT-Sicherheitsmanagement. Es finden sich hier z.B. Vorgaben, die verlangen, dass ein Institut insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten hat. Oder dass die Anforderungen eines Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien im Rahmen des IT-Risikomanagements festzulegen und in geeigneter Form in einem Sollmaßnahmenkatalog zu dokumentieren sind. Die BAIT weist die Verantwortung für die von ihr geregelten Bereiche mit IT-Bezug noch einmal explizit der Geschäftsleitung zu. Doch auch wenn auf 20 Seiten Vorgaben verschriftlicht werden, gilt dennoch, dass auch die BAIT wie die MaRisk lediglich weitere Prinzipien vorgibt, die von den Instituten ausgestaltet werden können, um ihr bestehendes Geschäftsmodell und auch neue, innovative Geschäftsmodelle sachgerecht und sicher abzubilden.

Ein dritter Punkt, der Erwähnung verdient, und zeigt, welchen Stellenwert der fachkundige Umgang mit IT-Themen in Banken für die BaFin hat: Die Bestellung von IT-Spezialisten zu Geschäftsleitern von Banken und anderen regulierten Instituten wird in der Verwaltungspraxis der BaFin derzeit begünstigt. Um das IT-Know-how auch in der Geschäftsleitung zu fördern, kann die BaFin im Einzelfall bei der Prüfung der fachlichen Eignung eines Geschäftsleiterkandidaten mit IT-Hintergrund für eine Bank oder ein Finanzinstitut entscheiden, dass eine praktische Vorerfahrung in der Führungsebene einer vergleichbaren Bank oder eines vergleichbaren Instituts von sechs Monaten (statt der üblichen drei Jahre) ausreichen.

Diese drei Beispiele zeigen, dass der bestehende Aufsichtsrahmen in Zeiten der Digitalisierung Bestand haben kann, denn aufgrund der prinzipienorientierten Aufsichtsvorgaben sind auch die IT-Innovationen in der Produktpalette von neuen Marktakteuren abgedeckt.