Foto: canadastock - shutterstock.com
Aufgrund der zunehmenden Digitalisierung müssen auch Finanzinstitute ihre Geschäftsmodelle an technische Innovationen anpassen. Eine Möglichkeit besteht darin, klar definierte Aufgaben an externe Dienstleister auszulagern. Bei einem solchen Outsourcing werden an Unternehmen des Finanzsektors hohe Anforderungen gestellt. Dabei bleibt das Leitungsorgan trotz der Auslagerung zu jeder Zeit für die eigenen Prozesse verantwortlich.
EBA Leitlinien ab September verbindlich
Am 25. Februar 2019 hat die European Banking Authority ("EBA") den "Final Report on EBA Guidelines on outsourcing arrangements" veröffentlicht. Diese Leitlinien sollen sicherstellen, dass die Institute, aber auch Zahlungs- und E-Geld-Institute einen einheitlichen europäischen Rahmen für das Outsourcing ihrer Bank- und Zahlungsaktivitäten sowie -dienstleistungen anwenden können.
Die EBA-Leitlinien sind ab dem 30. September 2019 in Deutschland anzuwenden und gelten ab diesem Zeitpunkt für alle Auslagerungsvereinbarungen, die geschlossen, verlängert, ergänzt oder überprüft werden.
Vereinbarungen, die unverändert bleiben, müssen jedoch auch bis spätestens zum 31. Dezember 2021 an die EBA Outsourcing Guidelines angepasst werden. Sie ersetzen die CEBS-Leitlinien zur Auslagerung vom 14. Dezember 2006 und auch die jüngst mit Datum vom 28. März 2018 veröffentlichen Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter.
Änderung des Begriffes der Auslagerung
Durch die neuen EBA-Leitlinien hat sich zunächst der Begriff der Auslagerung verändert. Nach dem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu den "Mindestanforderungen an das Risikomanagement" (MaRisk) lag eine Auslagerung vor, "wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden."
In den EBA-Leitlinien wird der Adressatenkreis erweitert. Zusätzlich erfasst sind nunmehr auch Zahlungsinstitute und E-Geld-Institute. Darüber hinaus wird nunmehr auch negativ abgegrenzt: Nicht zur Auslagerung zählen nach Teilziffer (Tz.) 28 beispielweise Funktionen, deren Vornahme durch Dritte rechtlich vorgeschrieben sind (etwa Jahresabschlussprüfung), Marktinformationsdienstleistungen und Visa- / Mastercard-Dienstleistungen.
Kritische oder wesentliche Funktionen
Die EBA-Leitlinien differenzieren (wie die MaRisk) zwischen zwei Arten der Auslagerung: Die EBA spricht von der Auslagerung "kritischer oder wesentlicher" und "sonstiger" Funktionen. Nach Tz. 29 ff. sind Funktionen "kritisch oder wesentlich", wenn die Auslagerung dieser Funktion u.a. entweder die Einhaltung der Zulassungsbedingungen, die finanziellen Ergebnisse oder die Kontinuität der Bank- und Zahlungsdienste und -geschäfte des auslagernden Unternehmens wesentlich beeinträchtigen würde. Als besonders risikoreich werden auch Auslagerungen in Drittstaaten gesehen.
Outsourcing Analyse
Vor einer Auslagerung muss eine sogenannte "Pre Outsourcing Analysis" vorgenommen werden (Tz. 61). Dabei muss zunächst festgestellt werden, ob es sich überhaupt um eine Auslagerung handelt. Das wird regelmäßig schon im Rahmen der Vertragsverhandlungen mit dem externen Dienstleister notwendig sein. Im nächsten Schritt ist dann im Rahmen der Pre-Outsourcing Analysis zu bestimmen, ob eine Auslagerung einer kritischen oder wesentliche Funktion vorliegt. Außerdem ist eine umfassende Risikoanalyse vorzunehmen und auch das Auslagerungsunternehmen ist im Rahmen einer Due Diligence auf seine Geeignetheit zu überprüfen. Liegt eine Auslagerung einer kritischen oder wesentlichen Funktion vor, werden an die Due Diligence erhöhte Anforderungen gestellt.
Ebenso müssen im Rahmen der Pre Outsourcing Analysis Interessenkonflikte identifiziert werden. Die Anforderungen gehen über die MaRisk-Vorgaben zur Vermeidung von Interessenkonflikten hinaus. Nach den EBA-Leitlinien müssen Interessenkonflikte nun identifiziert, bewertet und gemanagt werden.
Sonstige Pflichten
Plant ein Institut die Auslagerung einer kritischen oder wesentlichen Funktion, muss es diese bei der Aufsichtsbehörde genehmigen lassen (Tz. 29c i.V.m. Tz. 62f). Eine solche Regelung (mit Ausnahme des Geldwäschegesetzes) kennt das deutsche Recht nicht (mehr).
Man kann also davon ausgehen, dass diese Genehmigungspflicht in Deutschland nicht umgesetzt wird. Die BaFin als zuständige Behörde behält sich ohnehin eine Übernahme von EBA-Leitlinien in ihre Verwaltungspraxis vor. Ebenso besteht die Pflicht, ein Register über alle Auslagerungen zu führen (Tz. 52). Auch an diese Dokumentationspflicht werden detaillierte Anforderungen durch die EBA gestellt (Tz. 54 ff.).
Anforderungen an das Outsourcing steigen
Die Anforderungen an eine Auslagerung von Aktivitäten und Prozessen durch ein Unternehmen der Finanzindustrie sind in der MaRisk und den EBA-Guidelines grundsätzlich ähnlich strukturiert. Gleichwohl zeigt das vorstehende Streiflicht über die neuen Regelungen der EBA Outsourcing Guidelines, dass in Zukunft die Anforderungen an ein Outsourcing sehr viel konkreter und detailreicher sind und das Management von Outsourcing-Verhältnisse aufwändiger wird: Die Leitlinien umfassen 125 Seiten, wovon ca. 30 Seiten konkrete Anforderungen darstellen. Die BaFin hat gegenüber der EBA die Compliance mit den Guidelines erklärt, allerdings wird mit einer Umsetzung durch eine Novellierung der MaRisk erst Ende 2020 gerechnet.