Die EBA Guidelines on Outsourcing treten voraussichtlich am 30. Juni 2019 in Kraft. Die Anforderungen gehen künftig teilweise über die bekannten Regelungen nach MaRisk und BAIT hinaus. Für die Institute ergibt sich daraus wesentlicher Handlungsbedarf.

Wir haben kürzlich auch zu dem gemeinsamen Merkblatt der BaFin und Bundesbank zum Outsourcing bei Cloud-Anbietern berichtet (zum Beitrag).

Inkrafttreten

Die Europäische Bankenaufsichtsbehörde (European Banking Authority – EBA) hat am 22. Juni 2018 einen Entwurf der EBA Guidelines on Outsourcing zur Konsultation gestellt; die Konsultation endete am 24. September 2018. Diese EBA Guidelines treten voraussichtlich am 30. Juni 2019 in Kraft und sehen zahlreiche Neuerungen in Bezug auf die Regulierung von Auslagerungen vor.

Neue oder weitergehende Anforderungen

Der Entwurf dieser EBA Leitlinien sieht Regelungen vor, die teilweise deutlich über die Vorgaben der MaRisk und BAIT hinausgehen. Die folgenden Regelungen aus dem Entwurf der EBA Guidelines sind besonders hervorzuheben:

1. Institute sollen die zuständigen Behörden bei einer Auslagerung von kritischen oder wichtigen Funktionen im Voraus benachrichtigen.
2. Institute sollen ein detailliertes Register mit allen Auslagerungsverhältnissen führen. Hierbei soll zwischen der Auslagerung von kritischen oder wichtigen Funktionen und anderen Auslagerungen differenziert werden. Außerdem soll das Register zahlreiche weitere Informationen enthalten. Die Anforderung an dieses Register gehen über die Vorgaben der MaRisk hierzu hinaus.
3. Bevor Institute eine Auslagerungsvereinbarung abschließen, sollen sie eine eingehende Analyse durchführen (Pre-Outsourcing Analysis). Die Anforderungen an die Analyse sind detaillierter als bisher nach der MaRisk.
4. Die Geschäftsführung des Instituts soll eine umfassende schriftliche Outsourcing Policy beschließen und deren Einhaltung durchsetzen. Die Vorgaben sind auch zu diesem Punkt deutlich detaillierter als die Anforderungen der MaRisk.
5. Die EBA Leitlinien sehen umfangreiche Regelungen zur Auslagerung innerhalb einer Gruppe und zu Interessenkonflikten vor; Mutterunternehmen sind nach den EBA Leitlinien weitgehend für Auslagerungen auch von Tochterunternehmen verantwortlich.
6. Die EBA Leitlinien geben den Inhalt von Auslagerungsverträgen detailliert und umfassend vor; diese Vorgaben sind umfassender als die Vorgaben der MaRisk hierzu.
7. Institute müssen eine klar definierte Exit-Strategie für alle kritischen und wichtigen Funktionen einrichten. Die Exit-Pläne müssen ausreichend getestet und dokumentiert werden.

Es bleibt insofern abzuwarten, inwieweit die EBA den Entwurf der Leitlinien zum Outsourcing im Anschluss an die Konsultation anpasst bzw. weitere Regelungen ergänzt.

Nach der Veröffentlichung der finalen EBA Leitlinien werden die nationalen Aufsichtsbehörden die EBA darüber informieren, ob sie den EBA Leitlinien in ihrer Aufsichtspraxis nachkommen werden; falls dies nicht der Fall ist, müssen sie der EBA die Gründe hierfür mitteilen („comply or explain“-Prinzip). Die BaFin setzt EBA Leitlinien regelmäßig in deutsches Recht um. Wir gehen daher davon, dass die BaFin auch die EBA Leitlinien zum Outsourcing in deutsches Recht umsetzen wird.

Institute müssen sich frühzeitig mit den Anforderungen der EBA Guidelines on Outsourcing auseinandersetzen und erforderliche Anpassungen rechtzeitig umsetzen.

• Alle ab dem 30. Juni 2019 abgeschlossen Auslagerungsverträge müssen die neuen Vorgaben beachten.
• Bestehende Auslagerungsverträge müssen zum nächsten Überprüfungs- oder Verlängerungsdatum („review or renewal date“) entsprechend angepasst werden.
  

Fazit

Bei Auslagerungsverhältnissen im Zusammenhang mit Bankgeschäften oder Finanzdienstleistungen sind schon jetzt bei der Vertragsverhandlung mit dem Auslagerungsdienstleister viele Regelungen insbesondere aus KWG, MaRisk und BAIT zu beachten. Bei der Planung und Umsetzung von Auslagerungen ist eine intensive Vorbereitung und genaue Beachtung der zahlreichen regulatorischen Vorgaben angezeigt. Nicht zuletzt müssen Institute die EBA Leitlinien zum Outsourcing schon deutlich vor Inkrafttreten im Blick behalten und entsprechende Vorkehrungen treffen.