Antworten auf die 10 häufigsten Fragen im Auslagerungsmanagement

‍

1. Was ist eine Auslagerung?
Unter Auslagerungen sind nach Maßgabe der § 25 b i.V.m. § 25 a des Kreditwesengesetzes (KWG) i.V.m. den Mindestanforderungen an das Risikomanagement (MaRisk) solche ausgelagerten Aktivitäten, Prozesse und Funktionen zu verstehen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen relevant sind. Darunter fallen Aktivitäten und Leistungen, die sowohl Kern- als auch Unterstützungsprozessen einer Bank zuzuordnen sind.

Gemäß den EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02) wird eine Auslagerung wie folgt definiert: „Auslagerung bezeichnet eine Vereinbarung, gleich welcher Form, zwischen einem Institut und einem Dienstleister, in deren Rahmen der Dienstleister einen Prozess durchführt, eine Dienstleistung erbringt oder eine Tätigkeit ausführt, die das Institut ansonsten selbst übernähme.“

Zum Beispiel gilt die Entsorgung vertraulicher Dokumente als institutstypische Leistung, obwohl es keine primäre Leistung des Bankgeschäfts ist. Die reine Beratung zu Bankgeschäften (ohne Entscheidungsbefugnis) gilt dagegen nicht als eine Auslagerung.

Gem. MaRisk AT 9 und EBA-Leitlinien zur Auslagerung handelt es sich bei den folgenden Leistungen nicht um eine Auslagerung:

- Eine Funktion, die aufgrund von Rechtsvorschriften von einem Dienstleister wahrzunehmen ist, z. B. Abschlussprüfungen
- die Nutzung von Zentralbankfunktionen (innerhalb von Finanzverbünden) bzw. Clearingstellen im Rahmen des Zahlungsverkehrs zwischen Clearingstellen, zentralen Gegenparteien und Abwicklungsstellen sowie ihren Mitgliedern und der Wertpapierabwicklung
- die Inanspruchnahme von Liquiditätslinien
- Nutzung von Korrespondenzdienstleistungen
- die Nutzung der Verwahrung von Vermögensgegenständen nach dem Depotgesetz
- die Nutzung öffentlich zugänglicher (auch kostenpflichtiger) Daten von Marktinformationsdienstleistern (z. B. öffentliche Daten von Ratingfirmen, die nicht zielgerichtet für das Institut generiert / bearbeitet worden sind wie Bloomberg, Moody’s, Standard & Poor’s, Fitch etc.)
- die Verwendung von globalen Zahlungsverkehrsinfrastrukturen (z. B. Kartenzahlverfahren bzw. Visa, Mastercard)
- die Nutzung von globalen Nachrichteninfrastrukturen zur Übermittlung von Zahlungsverkehrsdaten, die der Aufsicht durch zuständige Behörden unterliegen, sowie der Erwerb von Dienstleistungen wie die Bereitstellung eines Rechtsgutachtens, die Vertretung vor Gericht und Verwaltungsbehörden als auch Versorgungsleistungen
- den Erwerb von Dienstleistungen, die andernfalls nicht vom Institut oder Zahlungsinstitut erbracht würden (z. B. Beratung durch einen Architekten, Bereitstellung eines Rechtsgutachtens und Vertretung vor Gericht und Verwaltungsbehörden, Reinigung, Gartenarbeiten und Instandhaltung der Räumlichkeiten des Instituts oder Zahlungsinstituts, medizinische Dienstleistungen, Wartung von Firmenwagen, Verpflegungsdienste, Automatenservices, Bürodienstleistungen, Reisedienstleistungen, Poststellendienste, Rezeptionskräfte, Sekretariatskräfte und Telefonisten), von Waren (z. B. Plastikkarten, Kartenlesegeräte, Büromaterial, Computer, Möbel) oder Versorgungsleistungen (z. B. Strom, Gas, Wasser, Telefon).

2. Wann ist eine Auslagerung wesentlich?
Gem. EBA-Leitlinien zur Auslagerung, ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter (ESMA50-164-4285) und DORA (Digital Operational Resilience Act – 2022/2554) gelten Auslagerungen als wesentlich, wenn deren Ausfall bzw. Schlechtleistung die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde.

Die (Teil-)Auslagerung von Kontrollfunktionen (Risikomanagement, Compliance, Audit) gilt als wesentlich, sofern der Ausfall der ausgelagerten Leistungen bzw. deren Schlechtleistung eine negative Auswirkung auf diese Funktion hat. Des Weiteren gilt die Auslagerung von Kerngeschäftsbereichen grundsätzlich als wesentlich.

Gem. MaRisk AT 9 ist die Wesentlichkeit einer Auslagerung im Rahmen einer Risikoanalyse festzustellen.

3. Was ist ein Auslagerungsvertrag?
Die Rechte und Pflichten des auslagernden Instituts und des Auslagerungsnehmers (auch als Dienstleister, Provider oder Auslagerungsunternehmen bekannt) müssen in einem Auslagerungsvertrag definiert werden. Sowohl die MaRisk als auch die EBA-Leitlinien zur Auslagerung, ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter und DORA beinhalten konkrete Anforderungen an die Mindestinhalte von Auslagerungsverträgen. Die Vertragsgestaltung von Auslagerungen und sonstigem Fremdbezug von IT-Dienstleistungen (auch als „sonstiger IT-Fremdbezug“ bekannt) erfolgt risikoorientiert. So sind Verträge für wesentliche Auslagerungen umfangreicher als solche für nicht-wesentliche Auslagerungen oder sonstige IT-Fremdbezüge.

Bei der Vertragsgestaltung ist es wichtig, die maßgeblichen Funktionen wie Datenschutz, Informationssicherheit, Business Continuity Management und Compliance einzubinden, da Auslagerungsverträge weitreichende Anforderungen an diese Themen beinhalten und mit den internen Vorgaben des auslagernden Instituts im Einklang stehen müssen.

4. Was fällt unter "IT-Dienstleistungen"?
Gem. MaRisk AT 9 und BAIT Kapitel 9 umfassen IT-Dienstleistungen alle Ausprägungen des Bezugs von IT wie z. B.:
- Anpassung der Software an die Erfordernisse des Kreditinstituts
- Entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung)
- Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse beim erstmaligen Einsatz und bei wesentlichen Veränderungen insbesondere von programmtechnischen Vorgaben
- Fehlerbehebungen (Wartung) gemäß der Anforderungs-/Fehlerbeschreibung des Auftraggebers oder Herstellers
- sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen
- Betrieb einer Software
- Bereitstellung von IT-Systemen, -Projekte/-Gewerke oder -Personalgestellung
- Cloud-Dienstleistungen.
‍
Gem. DORA sind „IKT-Dienstleistungen“ digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste.

5. Wann ist eine IT-Dienstleistung eine Auslagerung?
Gem. MaRisk AT 9 und BAIT gelten IT-Dienstleistungen als Auslagerung, sofern sie für eine Software erbracht werden, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt werden oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind.

Zum Beispiel handelt es sich bei  LENO als Software fürs Auslagerungsmanagement um eine Auslagerung, sofern die Software von LeanMind als SaaS-Lösung (Software as a Service) in der Cloud betrieben und gehostet wird. Dagegen ist eine Applikation fürs Marketing als sonstiger IT-Fremdbezug einzustufen.

6. Ist die Nutzung von Cloud-Diensten immer eine Auslagerung?
Gem. MaRisk AT 9 und BAIT Kapitel 9 gelten Cloud-Dienste als IT-Unterstützungsleistung und sind somit analog zu behandeln. Sie gelten als Auslagerung, sofern sie zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken oder zur Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung eingesetzt werden.

7. Wann muss ich eine Exit-Strategie erstellen?
Gemäß den MaRisk und den EBA-Leitlinien zur Auslagerung ist eine Exit-Strategie bei wesentlichen Auslagerungen verpflichtend (siehe die Erleichterungen für gruppen- und verbundinternen Auslagerungen unter MaRisk Tz. 15.d.). Jedoch sollten Institute bei jeder Art von Fremdbezug von Leistungen die Möglichkeit der Wiedereingliederung bzw. der Übertragung der Leistungen an Dritte (Alternativanbieter) bewerten und ggf. Maßnahmen definieren, um einen reibungslosen Ausstieg aus der Geschäftsbeziehung mit dem Dienstleister zu ermöglichen.

8. Wie oft muss die Risikoanalyse aktualisiert werden?
Die Risikoanalysen von Auslagerungen und sonstigen IT-Fremdbezügen sind regelmäßig und anlassbezogen zu überprüfen und ggf. zu aktualisieren.

Als Anlass zur Überprüfung der Risikoanalyse gelten beispielsweise die Änderung des Umfangs der ausgelagerten Leistungen oder der regulatorischen Anforderungen.

Jedes Institut muss für sich definieren, wie oft die Risikoanalyse jeweils zu aktualisieren ist. Bei einer wesentlichen Auslagerung sollte die Risikoanalyse mindestens jährlich aktualisiert werden.

9. Welche Risiken müssen in der Risikoanalyse betrachtet werden?
Typischerweise behandelt die Risikoanalyse folgende Aspekte:

- Sicherheit der ausgelagerten Informationen
- Schutz der ausgelagerten personenbezogenen Daten
- Aggregationsrisiko
- Konzentrationsrisiko
- Interessenkonflikte
- Risiken aus Weiterverlagerungen
- Eignung des Auslagerungsunternehmens
- Maßnahmen zur Steuerung und Minderung der Risiken
- Kosten z. B. bei einem Exit oder Dienstleisterwechsel
- Reputationsrisiken
- Compliance- & Rechtsrisiken
- Komplexität der Auslagerung bzw. des auslagernden Bereichs
- Kritikalität hinsichtlich Sanierungs- und Abwicklungsplanung
- Einhaltung regulatorischer, gesetzlicher und ESG-Anforderungen
- Geschäftsfortführung und operationelle Widerstandsfähigkeit.

10. Muss ich für Weiterverlagerungen eine Risikoanalyse durchführen?
Auch Weiterverlagerungen stellen für das auslagernde Institut ein Risiko dar. Daher gelten für Weiterverlagerungen dieselben Maßstäbe wie für Auslagerungen. Somit sind die Weiterverlagerungen zu identifizieren, einer Risikoanalyse (und Wesentlichkeitsanalyse) zu unterziehen und ggf. Maßnahmen zur Risikomitigation zu initiieren.

Des Weiteren ist der Dienstleister im Auslagerungsvertrag zu verpflichten, die vereinbarten Regelungen mit seinem Dienstleister (Sub-Dienstleister aus Sicht des auslagernden Instituts) vertraglich zu verankern und zu kontrollieren.

Haben Sie noch Fragen oder benötigen Sie unsere Unterstützung? Dann freuen wir uns auf Ihre Kontaktaufnahme.