Auslagerungen in die Cloud? Die BaFin gibt Orientierungshilfe

Dr. Christian Conreder bewertet für IT Finanzmagazin das Bafin-Cloud-Merkblatt — Dr. Christian Conreder, Rechtsanwalt, ist Associate Partner bei der Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftDr. Christian Conreder

Cloud-Dienste spielen in der Finanzwirtschaft eine nicht mehr wegzudenkende Rolle. Auf diese Entwicklung hat nun auch die BaFin reagiert und hat ein neues Merkblatt herausgegeben, in dem sie eine Orientierungshilfe zur Auslagerung an Cloud-Dienste gibt. Die BaFin wendet sich mit diesem Schreiben ausdrücklich an alle im Finanzsektor beaufsichtigten Unternehmen (Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Pensionsfonds, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute).

Diese neue Orientierungshilfe gliedert sich im Wesentlichen in vier Punkte:
1. Erläuterungen,
2. strategische Überlegungen,
3. Analyse und
4. Wesentlichkeitsbewertung sowie Vertragsgestaltung.

Britta Spangenberg, Rechtsanwältin bewertet für IT Finanzmagazin das Bafin-Cloud-Merkblatt — Britta Spangenberg, Rechtsanwältin und Senior Associate bei Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftRödl Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft

Das Merkblatt ersetzt nicht die bereits bestehenden Hinweise zur Verwaltungspraxis der BaFin zu den aufsichtsrechtlichen Anforderungen und der aufsichtsrechtlichen Bewertung der Gestaltungen der Auslagerung im IT-Bereich; es ist vielmehr dafür gedacht, diese Hinweise zu ergänzen und praktische Hinweise im Vorfeld der Auslagerung an einen Cloud-Dienst zu erteilen.

Hinsichtlich der Vertragsgestaltung ist ersichtlich, dass die BaFin aufgrund der von ihr im Vorwort erwähnten Dialogs mit verschiedenen Cloud-Anbietern – die leider nicht genannt werden –„(Standard-)Verträge bzw. der vertraglichen Zusatzvereinbarungen“ gesichtet hat und hierbei verschiedene Vorgaben hinsichtlich der Informations- und Prüfungsrechte für nötig erachtet hat:

I. Unter den Erläuterungen wird festgehalten, wie die einzelnen Begrifflichkeiten im Zusammenspiel mit Begrifflichkeiten aus Gesetz und Verordnung zu verstehen sind und was für die Institute wesentlicher sein dürfte, welcher Cloud-Dienst (explizit IaaS, PaaS und SaaS) wie von der BaFin verstanden und interpretiert wird. Diese Bewertung sollte sich jedes Institut anschauen und prüfen, bevor es diese Begrifflichkeiten verwendet. Die BaFin führt auch eine Wertung der Nutzung und Kontrolle, die das Institut bei den genannten Cloud-Diensten hat, durch. Dies hat einen entscheidenden Einfluss auf die Wertung der Auslagerung und deren Risikoanalyse. Schließlich unterscheidet die BaFin auch vier Bereitstellungsmodelle (Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud), die jeweils von der BaFin definiert werden.

II. Die strategischen Überlegungen zur Nutzung eines Cloud-Dienstes sollten in der IT-Strategie festgehalten werden. Das Institut sollte alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie dokumentieren. Auch die Prüfung aller relevanten, internen Prozesse, hinsichtlich deren Kompatibilität mit der Cloud, sollte erfolgen, bevor eine Auslagerung vorgenommen wird. Dabei sollten neben den auszulagernden Sachverhalten vor allem die Risikomanagement- und -steuerungsprozesse des beaufsichtigten Unternehmens betrachtet werden. Diese Prozesse sowie sämtliche Prüfungen sollten dokumentiert sein.

Autor Dr. Christian Conreder und Britta Spangenberg, Rödl Rechtsanwalts- & Steuerberatungsgesellschaft

Dr. Christian Conreder, Rechtsanwalt, ist Associate Partner bei der Rödl Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft am Standort Hamburg und leitet den Bereich Kapitalanlagerecht. Der Schwerpunkt seiner anwaltlichen Tätigkeit liegt im Bank- und Kapitalmarktrecht, namentlich in den Bereichen des Zahlungsverkehrs- und Kapitalanlagerechts. Neben Kapitalverwaltungsgesellschaften, Emissionshäusern und Family Offices berät Herr Dr. Conreder u a. Banken, Zahlungsdienstleister, Kartenemittenten und FinTechs in zivil- und aufsichtsrechtlichen Fragestellungen.

Britta Spangenberg, Rechtsanwältin, ist Senior Associate bei der Rödl Rechtsanwaltsgesellschaft Steuerberatungsgesellschaft am Standort Berlin. Der Schwerpunkt ihrer anwaltlichen Tätigkeit liegt im Bank- und Kapitalmarktrecht sowie im Versicherungsrecht, insbesondere in den Bereichen des Aufsichts- und des Kapitalanlagerechts. Neben Kapitalverwaltungsgesellschaften, Verwahrstellen und Treuhändern berät Frau Spangenberg u.a. Banken, Zahlungsdienstleister, Kartenemittenten, FinTechs und Anlagevermittler bzw. –berater in aufsichtsrechtlichen Fragestellungen.

III. Bei der Übertragung von Sachverhalten an einen Cloud-Anbieter ist zu prüfen, ob eine Auslagerung vorliegt und ob sie wesentlich ist. Die BaFin hält hier fest, dass in der Regel von einer Auslagerung auszugehen ist. Somit bedarf es einer Begründung, wenn das Institut zu der Auffassung kommen würde.

Unter diesem Abschnitt gibt die BaFin sehr konkrete Anweisungen, wie eine Risikoanalyse zur Feststellung der Wesentlichkeit auszusehen hat. Hier kann das Institut die einzelnen Punkte abarbeiten und so eine zumindest in den Augen der BaFin komplette Risikoanalyse erstellen, die nicht nur zu dokumentieren sondern auch regelmäßig zu überprüfen ist.

IV. Hinsichtlich der Vertragsgestaltung wird die BaFin erfreulicherweise sehr konkret. Neben allgemeinen Hinweisen, dass die ausgelagerte Dienstleistung zu bestimmen ist und welche Punkte bei einer Auslagerung an Cloud-Dienste zum Leistungsgegenstand gehören, legt die BaFin großen Wert auf die Informations- und Prüfungsrechte des beaufsichtigten Unternehmen und parallel dazu auf die Informations- und Prüfungsrechte der Aufsicht. Neben den Selbstverständlichkeiten, dass diese Rechte uneingeschränkt gewährleistet werden müssen, bringt die BaFin – wahrscheinlich durch die Einsicht in Musterverträge von Cloud-Anbietern – negative Beispiele unter dem Punkt „ keine (mittelbare) Einschränkung der Rechte“, die unbedingt beachtet werden sollten. Ausgeschlossen sind hierbei bspw.:

– die Vereinbarung gestufter Informations- und Prüfungsverfahren,

– eine Beschränkung der Erfüllung der Informations- und Prüfungsrechte auf die Vorlage von Prüfungsberichten, Zertifikaten oder sonstigen Nachweisen der Einhaltung anerkannter Standards durch den Cloud-Anbieter,

– eine Verknüpfung des Zugangs zu Informationen an die vorherige Teilnahme an speziellen Schulungsprogrammen,

– die Formulierung einer Klausel, in der die Durchführung einer Prüfung von der wirtschaftlichen Zumutbarkeit (commercially reasonable) abhängig gemacht wird,

– eine zeitliche und personelle Beschränkung der Durchführung von Prüfungen, wobei eine Beschränkung des Zugangs auf die üblichen Geschäftszeiten nach vorheriger Anmeldung in der Regel vertretbar ist,

– eine Vorgabe des Ablaufs sowie des Umfangs der Ausübung der Informations- und Prüfungsrechte durch den Cloud-Anbieter.

Zusammenfassend ist das neue Merkblatt der BaFin als Orientierungshilfe im Zusammenhang mit der Auslagerung auf Cloud-Dienste zu begrüßen, da erstmalig konkrete Vorgaben in diesem Bereich formuliert werden. Wünschenswert wäre gewesen, wenn die BaFin die konsultierten Unternehmen offengelegt hätte, um damit dem Anwender eine noch bessere Umsetzung zu ermöglichen.”aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/80702