Digitalisierung und Spezialisierung machen auch vor dem Bankwesen nicht halt. Insbesondere das sogenannte Cloud-Computing, das Auslagern eigener Rechenprozesse zu externen Dienstleistern, wird bereits von zahlreichen Finanzinstituten in Anspruch genommen. Über spezialisierte Rechenzentren und IT-Anbieter können Banken ihre Kosten senken und sich aufs Kerngeschäft konzentrieren. Allerdings ist die Auslagerung sensibler Informationsverarbeitungsprozesse aufsichtsrechtlich kritisch. Die Gefahr von Korruption, Datenverlust und Cyberangriffen erhöht sich und wird noch einmal potenziert, wenn der IT-Partner der Bank seinerseits Prozesse auslagert. Banken die Cloud-Computing nutzen wollen, sollten daher einige rechtliche Gesichtspunkte beachten.
Bank bleibt für alle Prozesse verantwortlich
Nach dem Kreditwesengesetz sind die Geschäftsleiter für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. Dabei muss eine ordnungsgemäße Geschäftsorganisation insbesondere ein angemessenes und wirksames Risikomanagement umfassen. Werden Prozesse ausgelagert, darf dies nicht zu einer Übertragung der Verantwortung der Geschäftsleitung auf das Auslagerungsunternehmen führen. Vielmehr bleibt diese bei einer Auslagerung für die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen selbst verantwortlich.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat in ihrem Rundschreiben Mindestanforderungen für das Risikomanagement (MaRisk) diese gesetzlichen Anforderungen konkretisiert. Danach hat ein Institut bei der Auslagerung von IT-Tätigkeiten insbesondere zu bestimmen, ob es sich um eine wesentliche oder eine unwesentliche Auslagerung handelt. Liegt eine wesentliche Auslagerung vor, hat der Auslagerungsvertrag bestimmten Anforderungen zu genügen. Zudem trifft das Institut eine Risikoüberwachungspflicht. Dies gilt auch dann, wenn IT-Tätigkeiten vom Auslagerungsunternehmen wiederum weiterverlagert werden.
Allerdings definiert die BaFin nicht, wann eine Auslagerung wesentlich ist und gibt auch keine Regelbeispiele. Damit entsteht in der Praxis für die Institute eine große Rechtsunsicherheit. Manche Institute gehen daher auf Nummer sicher und stufen pauschal jede Auslagerung als wesentlich ein. Ein anderer Ansatz ist es, alle Auslagerungen als unwesentlich einzustufen, aber die Anforderungen der MaRisk an wesentliche Auslagerungen anzuwenden. Beide Modelle sind lediglich Notnägel, die dem Anspruch der Aufsichtsbehörden nicht gerecht werden.
BaFin hat Prüfungs- und Regelungskompetenz
Eine im Einzelfall korrekte Umsetzung ist jedoch dringend geboten, da die BaFin im Rahmen ihrer Prüfungskompetenz auch die Einhaltung der Auslagerungsrichtlinien überwacht. Dabei muss auch sichergestellt werden, dass die Kontrollmöglichkeiten der BaFin nicht durch die Auslagerung beeinträchtigt werden. Dies gilt für wesentliche wie für unwesentliche Auslagerungen und ist daher stets bei der Vertragsgestaltung zu beachten. Lagert beispielsweise das Vertragsunternehmen des Finanzinstituts seinerseits Teile der Tätigkeit an ein Rechenzentrum in Indien aus, könnte dies die Prüfmöglichkeiten der BaFin beeinträchtigen und ein Verstoß der Geschäftsleitung gegen ihre Organisationspflichten vorliegen. Der BaFin steht dann die Kompetenz zu, Anordnungen zu treffen, um diese Beeinträchtigungen zu beseitigen. Eine solche Anordnung ist nicht nur ärgerlich, sondern in aller Regel auch teuer. Der Vorteil der Kostenersparnis durch die Auslagerung wäre dahin.
Dies zeigt, dass die Auslagerung von Informationstechnik bei Banken eine komplexe, anspruchsvolle Materie ist, bei der sich vieles noch in einem rechtlichen Graubereich befindet. Aufgrund der zunehmenden Cyberangriffe auf Staaten und Unternehmen, haben auch die Aufsichtsbehörden ihren Blick für IT-Auslagerungen geschärft. So arbeiten sowohl die BaFin als auch die Europäische Zentralbank derzeit an neuen Regelungen, die weitere Leitplanken für das Outsourcing von Banken-IT aufstellen sollen.
Richtige zivilrechtliche Ausgestaltung verhindert aufsichtsrechtliche Probleme
Banken aber auch sonstige Finanzdienstleistungsinstitute und Versicherungsunternehmen sollten daher bei Vertragsschluss mit dem Auslagerungsunternehmen darauf achten, dass die aufsichtsrechtlichen Anforderungen der BaFin eingehalten werden. Aufgrund der hohen Komplexität des Themas und der Vielzahl an möglichen Ausgestaltungen, gibt es dabei kein Patentrezept. Es ist vielmehr auf die optimale Lösung des Einzelfalls abzustellen. Unsere Rechtsanwälte stehen Ihnen dabei gerne als Experten zur Verfügung, um die komplexe Materie zu navigieren und eine technisch sowie rechtlich passende Lösung für Ihr Institut zu finden. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).
Weiterlesen:
Negativzinsen machen Banken zu schaffen – Nicht alle Gegenmaßnahmen sind rechtmäßig
Aufsichtsrecht für Banken: Fallstricke vermeiden