
Überblick über die Neuerungen hinsichtlich der Auslagerung bestimmter Tätigkeiten
Am 25. Februar 2019 veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) neue Leitlinien zur Auslagerungen (Outsourcing) bestimmter Tätigkeiten von Banken. Die Leitlinien werden am 30. September 2019 in Kraft treten und von da an die bisher anwendbaren Leitlinien der CEBS aus 2006 ersetzen. Für Kreditinstitute bedeutet dies vor allem neue Anforderungen bezüglich der Auslagerung von institutstypischen Leistungen, insbesondere IT-Dienstleistungen. In den Leitlinien wurden nun auch die Empfehlung der EBA bezüglich der Auslagerungen an Cloud-Service-Provider aus dem Jahr 2017 integriert.
Was sind Auslagerungen?
Der Begriff 'Auslagerung' wird in den Leitlinien neu definiert. Die EBA versteht unter Outsourcing eine Vereinbarung zwischen einem Institut, einem Zahlungsinstitut oder einem E-Geld-Institut und einem Dienstleister, aufgrund derer dieser Dienstleister einen Prozess, eine Dienstleistung oder eine Tätigkeit ausführt, die ansonsten von dem Institut, dem Zahlungsinstitut oder dem E-Geld-Institut selbst durchgeführt werden müsste.[1] Hingegen halten die Leitlinien bei bestimmten Tätigkeiten ausdrücklich fest, dass es sich nicht um Auslagerungen handeln soll. Dies ist etwa bei Tätigkeiten der Fall, die nach geltendem Recht ohnehin von einem Dienstleister ausgeübt werden müssen (wie zB Abschlussprüfungen), Korrespondenzbankdienstleistungen, Marktinformationen oder Tätigkeiten, die das jeweilige Institut auch sonst nicht erbringen würde (wie etwa rechtliche Auskunftserteilungen).[i]
Wer ist davon betroffen?
Im Gegensatz zu den CEBS-Leitlinien gelten die Leitlinien nicht nur für Kreditinstitute und Wertpapierfirmen iSd Art 4 Abs 1 Z 3 CRR[ii], sondern auch für Zahlungsinstitute (Ausnahme: Zahlungsinstitute, die bloß Kontoinformationsdienste anbieten) gemäß Art 4 Z 4 PSD II[iii] und E-Geldinstitute iSd Art 2 Z 1 E-Geld-RL[iv].[v]
Die wesentlichen Änderungen:
- Kritische oder wichtige Tätigkeiten
Die Leitlinien der EBA differenzieren zwischen kritischen bzw. wichtigen (critical or important functions) sowie sonstigen Tätigkeiten und sehen für erstere strengere Regelungen vor, insbesondere hinsichtlich Überprüfungs- und Überwachungspflichten. Dabei zählen die Leitlinien bestimmte Tätigkeiten auf, die jedenfalls als kritisch bzw. wichtig einzustufen sind.
So liegt beispielsweise immer dann eine kritische bzw. wichtige Tätigkeit vor, wenn deren mangelhafte Ausübung eine wesentliche Beeinträchtigung der Geschäftsergebnisse zur Folge hätte oder wenn Mängel in der Ausführung der ausgelagerten Tätigkeit die finanzielle Leistungsfähigkeit oder die Zuverlässigkeit und Kontinuität der Bank-und Zahlungsdienste wesentlich beeinträchtigen würden.
- Auslagerungsvereinbarungen
Die Rechte und Pflichten zwischen dem jeweiligen Institut und dem Dienstleister müssen in einem schriftlichen Auslagerungsvertrag geregelt werden. Werden kritische oder wichtige Tätigkeiten ausgelagert, muss die Auslagerungsvereinbarung einen bestimmten zwingenden Mindestinhalt aufweisen.
Die Leitlinien nennen hierzu nicht weniger als 17 Ziffern, die zB das anwendbare Recht, die finanziellen Verpflichtungen, den genauen Leistungsumfang, die Sub-Auslagerungen an Dritte, den Umgang mit Daten, die Kündigungsmodalitäten, Ausstiegsstrategien, Versicherungspflichten, Notfallplanungen, Überwachungsrechte oder Berichtspflichten betreffen.[vi]
- Register
Als Teil des Risikomanagements werden Institute künftig verpflichtet, ein Register zu führen und laufend zu aktualisieren, das sämtliche (Sub-)Auslagerungsverhältnissen enthält. Die Leitlinien enthalten hierzu Mindestanforderungen bezüglich des Registerinhalts, wobei im Falle der Auslagerung von kritischen oder wichtigen Tätigkeiten zusätzliche Informationen aufzunehmen sind.
- Due Diligence Prüfung
Bevor eine Vereinbarung über eine Auslagerung mit einem externen Dienstleister abgeschlossen wird, hat das Kreditinstitut eine Due Diligence Prüfung durchzuführen, um die Eignung des externen Dienstleisters sicherstellen zu können. Dabei soll unter anderem geprüft werden, ob der Dienstleister die notwendigen Kenntnisse, Ressourcen oder aber organisatorische Strukturen vorweisen kann und die erforderlichen regulatorischen Berechtigungen und Registrierungen erfüllt.
- Datenschutz
Sicherzustellen ist außerdem, dass der externe Dienstleister, an den die Tätigkeiten ausgelagert wurden, die geltenden Datenschutzbestimmungen einhält. In dieser Hinsicht sind vor allem die Anforderungen der DSGVO zu beachten. Personenbezogene Daten dürfen nicht an Unbefugte weitergegeben bzw. unerlaubt verändert oder verarbeitet werden. Dies ist insbesondere gemeinsam mit dem Bankgeheimnis zu sehen.[vii]
- Risikomanagement
Die Leitlinien enthalten umfassende Überprüfungs- und Überwachungspflichten, die auf ein ganzheitliches, institutsweites Risikomanagement abzielen. Institute sind insbesondere dazu verpflichtet, sämtliche mit einer Auslagerung verbundenen Risiken, zu identifizieren, zu evaluieren und geeignete Maßnahmen zur Bewältigung der Risiken zu implementieren. Es wird ausdrücklich festgehalten, dass die Auslagerung von Tätigkeiten zu keiner Übertragung der Verantwortung führt.[viii]
Die Leitlinien stellen eine ergänzende und weitergehende Handlungsanleitung zu den gesetzlichen Auslagerungsregelungen gemäß § 25 BWG dar. Dasselbe gilt auch für Zahlungsinstitute sowie E-Geldinstitute und den auf diese Institute anwendbaren § 21 ZaDiG 2018. Unter Anwendung des Proportionalitätsprinzips ist bei der Einhaltung der Leitlinien unter anderem die Komplexität, das Risikoprofil und das Geschäftsmodell des Kreditinstituts zu berücksichtigen.
Conclusio
Die Leitlinien sind auf sämtliche Auslagerungsvereinbarungen anwendbar, die an oder nach dem 30. September 2019 abgeschlossen, überprüft oder geändert werden. Für bereits bestehende Auslagerungsverhältnisse sehen die Leitlinien eine Umsetzungsfrist bis zum 31. Dezember 2021 vor, um die erforderlichen Dokumentationen zu vervollständigen.
Auch wenn einige der in den Leitlinien vorgesehenen Vorsichtsmaßnahmen in der Praxis bereits in dieser oder in einer ähnlichen Weise bestehen, sollten die von den Leitlinien erfassten Institute dennoch ihre internen Prozesse für Auslagerungen und die in dieser Hinsicht bereits abgeschlossenen Vereinbarungen evaluieren und dahingehend prüfen, ob sie den neuen Anforderungen entsprechen. Ist das nicht der Fall, müssen die erforderlichen Anpassungen der Strukturen und Abläufe vorgenommen werden, um eine entsprechende Konformität herzustellen.
Zusatz: Leitlinien zur internen Governance
Ebenfalls nicht außer Acht gelassen werden dürfen die Leitlinien zur internen Governance [ix], welche von der EBA im März 2018 herausgegeben wurden. Die Leitlinien beziehen sich unter anderem auf die Auslagerungsrichtlinien eines Instituts. Diese sollten vom Leitungsorgan genehmigt werden und insbesondere die Auswirkungen einer Auslagerung auf die Geschäftstätigkeit und Risikosituation eines Kreditinstituts berücksichtigen.[x]
[1] "Outsourcing means an arrangement of any form between an institution, a payment institution or an electronic money institution and a service provider by which that service provider performs a process, a service or an activity that would otherwise be undertaken by the institution, the payment institution or the electronic money institution itself." EBA/GL/2019/02, 19.
[i] EBA/GL/2019/02, 25 f.
[ii] Verordnung (EU) 575/2013 des Europäischen Parlaments und des Rates vom 26. Juni 2013 über Aufsichtsanforderungen an Kreditinstitute und Wertpapierfirmen und zur Änderung der Verordnung (EU) 646/2012, ABl L 2013/176, (https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32013R0575&from=DE) [02.3.2019].
[iii] Richtlinie (EU) 2015/2366 des Europäischen Parlaments und des Rates vom 25. November 2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG, ABl 2015/337, 35 (https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32015L2366&from=DE) [02.3.2019].
[iv] Richtlinie 2009/110/EG des Europäischen Parlaments und des Rates vom 16. September 2009 über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten, zur Änderung der Richtlinien 2005/60/EG und 2006/48/EG sowie zur Aufhebung der Richtlinie 2000/46/EG, ABl L 2009/267, 7 (https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32009L0110&from=DE) [02.3.2019].
[v] EBA/GL/2019/02, 8.
[vi] EBA/GL/2019/02, 44 ff.
[vii] Gorzala, FinTech-Kreditinstitute, ÖBA 2019, 50 (55).
[viii] EBA/GL/2019/02, 30 ff.
[ix] EBA/GL/2017/11 (https://eba.europa.eu/documents/10180/2164689/Guidelines+on+Internal+Governance+%28EBA-GL-2017-11%29_DE.pdf/411fdd9d-8174-4366-ab36-3aa9b0a1d716).
[x] EBA/GL/2017/11, 25 f.