BaFin gibt Orientierungshilfe zur Auslagerung bei Cloud-Anbietern

Informationen über
veröffentlicht am

BaFin und Bundesbank haben ein gemeinsames Merkblatt veröffentlich. Darin geben Sie ihre allgemeine aufsichtliche Einschätzung wieder.

Das Merkblatt soll alle Marktteilnehmer im Grundsatz nur für die aufsichtliche Thematik sensibilisieren. Einige Aspekte lassen sich an dieser Stelle daher gerne in Erinnerung rufen.

Fazit und Bedeutung für den Markt

Das Fazit vorweg: Das Merkblatt bietet einen guten Überblick für Institute für die Zusammenarbeit mit Cloud-Anbietern. Aber auch insgesamt für Outsourcing-Projekte.

Neben den bereits bekannten Maßstäben, wie beispielsweise der MaRisk, den BAIT oder den EBA-Leitlinien zum Outsourcing ( letztere befinden sich noch in der Konsultationsphase – Stand: 9. Nov. 2018), können Finanzinstitute aus dem Merkblatt die – nach den Behörden – besonders wichtigen Kriterien für die Planung von Outsourcing-Projekten entnehmen. Etwa im Rahmen eines Neuprodukt-Prozesses oder der Risikoanalyse sowie bei der Vertragsgestaltung und Vertragsverhandlung.

Wirklich neue Erkenntnisse bietet das Merkblatt den erfahrenen Marktteilnehmern zwar nicht. Dies stellt die BaFin auch bewusst fest. Doch hilft es den Instituten bei der – oftmals besonders kritischen – Bewertung von Cloud-Anbietern in Ergänzung zur BAIT (hier Pkt. 8 Zeile 52).

Cloud-Anbieter als – wesentliches – Auslagerungsunternehmen

Aus Sicht eines Finanzinstituts dürften Cloud-Anbieter regelmäßig als Auslagerungsunternehmen qualifizieren. Das hängt aber natürlich von der konkreten erbrachten Dienstleistung des Cloud-Anbieters ab.

BaFin und Bundesbank ermahnen im Merkblatt zu einer sorgfältigen (Auslagerungs-)Risikoanalyse, ob die Tätigkeiten des Cloud-Anbieters auch eine wesentliche Auslagerung darstellen (zum Beispiel im Sinne von § 25b KWG oder § 26 ZAG). Das beaufsichtigte Institut solle dabei bestimmte Kriterien beabachten. Zu diesen gehörten beispielsweise: die Kritikalität des ausgelagerten Dienstes, operationelle und finanzielle Ausfallrisiken, Länderrisken, die Eignung des Anbieters, oder die Beachtung des Datenschutzes, etc.

Nach unserer Erfahrung beachten Institute die Vorstehenden Aspekte unter Würdigung der MaRisk und der BAIT aber ohnehin.

Hinweise zur Vertragsgestaltung

Interessant ist noch, dass die BaFin einige wichtige Eckpfeiler für dieVertragsgesaltung klarstellend anspricht. Diese sind wohlgemerkt nicht auf Cloud-Anbieter beschränkt, sondern greifen grundsätzlich bei allen (wesentlichen) Auslagerungen ein. Bei Cloud-Anbietern stellen sich im Grundsatz keine besonderen rechtlichen Herausforderungen.

Auslagerungsverträge müssen stets die Informations- und Prüfungsrechte des auslagernden Unternehmens und der BaFin reflektieren. Diese Rechte dürfen dabei nicht durch einzelne Prozesse unmittelbar oder gegebenfalls nur mittelbar eingeschränkt werden.

BaFin und Bundesbank nennen in ihrem Merkblatt beispielsweise:


  • Abgestufe Informations- und Prüfungsverfahren; oder der bloße Verweis auf externe Prüfberichte, dass bestimmte Cloud-Standards erfüllt seien.
  • Einführungen von Wesentlichkeitsschwellen oder Bedingungen für die Einholung von Informationen oder die Durchführung einer Prüfung.
  • Mechanismen, die eine uneingeschränkte und unmittelbare Zusammenarbeit des Cloud-Anbieters mit der Aufsichtsbehörde beschränken.

Gleichzeitig erkennt die BaFin aber auch Erleichterungen an. Beispielsweise können Institute Sammelprüfungen durchführen oder vorhandene Prüfberichte heranziehen, die bestimmten Standards entsprechen. Allerings entbindet letzteres das Institut nicht von einer eigenen kritischen Prüfung. Das Institut muss also in der Lage sein, derartige Berichte sorgfältig zu analysieren.

Auch dies gehört typischerweise bereits zum Pflichtenkanon eines Institus im Rahmen von Outsourcing-Projekten.

Zusammenarbeit mit ausländischen Cloud-Anbietern

Abschließend weist die BaFin noch auf folgendes hin:

Insbesondere aus Gründen der Rechtssicherheit sollte bei der Vereinbarung einer Rechtswahlklausel darauf geachtet werden, dass – soweit nicht das deutsche Recht vereinbart wird – jedenfalls das Recht eines Staates der Europäischen Union bzw. des Europäischen Wirtschaftsraums auf den Vertrag Anwendung findet.

Das dürfte grundsätzlich nur als Empfehlung zu verstehen sein. Letztlich muss ein (deutsches) Institut aber die Einhaltung des hiesigen Aufsichtsrechts gewährleisten. Dies beinhaltet auch, die o.g. Befugnisse der BaFin zu sichern. § 44 Abs. 1 S. 2 KWG räumt beispielsweise der BaFin die notwendigen Informations-, Prüfungs- und Kontrollrechte gegenüber dem Auslagerungsunternehmen selbst ein. Das ist bei ausländischen Unternehmen in der Praxis nicht immer ganz einfach.

weitere Artikel von Kategorien ,