IT-Outsourcing nach MaRisk- & BAIT-Vorgaben

IT-Auslagerungsverträge rechtskonform gestalten

06.12.2018

Von

Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Compliance, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 zunächst bei SSW, heute bei Witzel Erb Backu & Partner in München tätig.

Alle Posts des Autors Email: Connect:

Ende 2017 hat die BaFin die 5. Novelle der MaRisk veröffentlicht. Die darin enthaltenen Änderungen betreffen auch die Vertragsgestaltung beim IT-Outsourcing. Mit den im gleichen Zeitraum veröffentlichten BAIT gelten weitere Anforderungen an eine Unternehmens-IT, die vertraglich relevant für Outsourcing- und Projekte sein können.

Müssen IT-Projektverträge und Softwarepflegeverträge, die Institute mit ihren Softwareanbieter schließen, MaRisk-konform sein?
Müssen auch IT-Projektverträge und Softwarepflegeverträge die Bestimmungen enthalten, die die MaRisk für Auslagerungsverträge vorsieht?
Was ergibt sich daraus für die Prozesse des Softwareanbieters?

Das Outsourcing von IT-Dienstleistungen ist vor allem in der Finanzbranche eine sensible Angelegenheit.
Foto: Tashatuvango - shutterstock.com

Die 5. Novelle der MaRisk hat die Vertragsgestaltung für die Institute nicht erleichtert, obwohl der Wortlaut vermeintlich zunächst Klarheit schafft. Das Entscheidungskriterium für die Einhaltung der Anforderungen nach § 25b KWG sowie nach AT 9 MaRisk ist das Vorliegen einer wesentlichen Auslagerung. Maßgeblich die Einstufung als (IT-)Auslagerung sind folgende Kriterien:

Notwendig ist der funktionaler Zusammenhang der auszulagernden Leistung mit einem Bankgeschäft, einer Finanzdienstleistung oder einer sonstigen institutstypischen Dienstleistung.
Gegenstand darf nicht der nur einmalige, gelegentliche Fremdbezug einer Leistung sein (Nachhaltigkeit);
Die auszulagernde Leistung muss ansonsten vom Institut selbst erbracht werden.

Ob eine Auslagerung wesentlich ist, hat nach AT 9 TZ. 2 MaRisk das Institut auf der Grundlage einer Risikoanalyse unter Risikogesichtspunkten eigenverantwortlich festzulegen. Diese Risikoanalyse muss im Vorfeld der Auslagerung durchgeführt und während der Laufzeit der Auslagerung kontinuierlich wiederholt werden.

Wurden bisher IT-Leistungen "fremdbezogen", kam es darauf an, ob und wenn ja, in welchem Maße sie in einem funktionalen Bezug zu den institutsspezifischen Leistungen standen. Wesentlich für die Einordnung als Auslagerung im Sinne der MaRisk war der funktionale Zusammenhang mit einem Bankgeschäft, einer Finanzdienstleistung oder einer sonstigen institutstypischen Dienstleistung.

Wurden beispielsweise Teile der IT fremdbezogen, die in einem direkten Zusammenhang mit den institutsspezifischen Leistungen standen, wie beispielsweise der Rechenzentrumsbetrieb eines Kernbankensystems oder die Verlagerung von für die institutsspezifischen Leistungen wesentlicher IT-Infrastruktur oder Applikationen in die Cloud, lag in der Regel eine (wesentliche) Auslagerung vor. Der Fremdbezug von Software und die für den operativen Einsatz typischerweise erforderlichen Projektleistungen (Anpassung und Implementierung) sollen nicht unter den Begriff der Auslagerung fallen.

Die Ausnahme von der Ausnahme

Von dieser Ausnahme, die auf den ersten Blick Projektverträge und Softwarepflegeverträge den Anforderungen der MaRisk entzieht, macht die MaRisk aber eine entscheidende Ausnahme: Bei Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, sind Unterstützungsleistungen als Auslagerung einzustufen.

Anbieter von

Gesamtbankenlösungen,
Applikationen für das Kreditriskomanagement,
Handels- und Wertpapiersysteme,
Anwendungen für Risikomanagement und Controlling

bieten Produkte, die im Regelfall unter diese Ausnahme der Ausnahme fallen. Die wesentliche Bedeutung für die bankgeschäftlichen Aufgaben kann zum Beispiel am Risiko eines etwaigen Ausfalls der entsprechenden Leistungen festgemacht werden. Hinweise liefern kann ebenfalls die Schutzbedarfseinstufung der Software.

Zeitfresser
Mehr als sechs Stunden pro Arbeitswoche verliert jeder Mitarbeiter in kleinen mittelständischen Unternehmen aufgrund mangelhafter oder fehlender Technik. So lautet eines der Ergebnisse einer repräsentativen Umfrage durch OnePoll unter 1.000 Angestellten in Unternehmen mit einer Größe von bis zu hundert Mitarbeitern. Teamleader hat zudem untersucht, bei welchen tagtäglichen Aufgaben Mitarbeiter besonders viel Zeit verlieren.
Mit einem professionellen Projekt- und Rechnungsmanagement samt einer vernünftigen Kommunikationsplattform würden Mittelständler die meiste Zeit einsparen: Vor allem die Abstimmung von Angeboten, Konzepten, oder Verträgen mit Kunden frisst unnötig Zeit. Mehr als ein Viertel der Befragten (26%) sieht ein bis zwei Stunden Einsparpotenzial pro Woche, fast ein Fünftel (19,5%) sogar drei bis fünf Stunden.
Wer über ein professionelles Customer Relationship Management-Tool verfügt kann in der Woche im Schnitt eine Stunde und 20 Minuten einsparen – in 15 Prozent der Unternehmen gar drei bis fünf Stunden.
Weiteres Optimierungspotenzial sehen die Befragten beim Terminmanagement, bei der Zeiterfassung und beim Dateimanagement (jeweils mehr als eine Stunde pro Woche).
Viel Zeit könnten Mittelständler auch einsparen, wenn sie mehr Aufgaben automatisieren würden. Genau ein Drittel der Belegschaft verbringt ein bis zwei Stunden pro Woche damit, Aufgaben manuell zu erledigen, für die es technische Lösungen gäbe.
Fehlende Schnittstellen zwischen Anwendungen kosten fast eben so viel Zeit: 31 Prozent verbringen ein bis zwei Stunden mit dem Übertragen von Daten.
Weil Software nicht nutzerfreundlich genug ist, geht im Schnitt mehr als eine Stunde pro Woche pro Mitarbeiter verloren.
Ebenfalls mehr als eine Stunde könnten Mittelständler einsparen, wenn sie Anwendungen auch mobil bereitstellen würden. „Chefs müssen ja nicht alles auf einmal angehen“, so Jeroen De Wit, CEO von Teamleader. „Wer aber seine Software nach und nach optimiert, kann mehr als einen halben Tag pro Woche herausholen.“

Wann liegt eine Auslagerung vor?

Das bislang einschlägige Kriterium des funktionalen Zusammenhangs schlägt sich auch in der nunmehr von der BaFin für die Beschaffung von IT vorgenommenen Abgrenzung nieder. Diese ist gegeben, soweit es um die

Identifizierung,
Beurteilung,
Steuerung,
Überwachung und
Kommunikation

von Risiken des Instituts oder um Tätigkeiten geht, die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind.

Problematisch dürfte allerdings die Feststellung werden, unter welchen Voraussetzungen diese Kriterien denn tatsächlich nicht mehr erfüllt wären. Es dürfte bei den beaufsichtigten Instituten nur relativ wenige IT-Beschaffungen geben, die nicht zumindest mittelbar zu den oben aufgeführten Punkten beitragen oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind.

Solange hier in der Prüfungspraxis keine (restriktive) Konkretisierung erfolgt, ist davon auszugehen, dass bei IT-Beschaffungen zukünftig relativ schnell das Vorliegen einer Auslagerung seitens der Institute angenommen werden wird und die Verträge entsprechend gestaltet werden müssen.

Die Bedeutung der MaRisk endet allerdings nicht bei der Ergänzung der Vertragstexte, sondern auch beim Aufbau der entsprechenden Prozesse auf Seiten des Softwareanbieters.

Unabhängig von der Einstufung als Auslagerung hat das Finanzinstitut beim Bezug von Software folgende aufsichtsrechtliche Anforderungen zu erfüllen:

Gemäß AT 7.2 TZ 4 sind für jeden Softwarebezug die damit verbundenen Risiken zu bewerten.
Die Verpflichtung zur Risikobewertung ergibt sich auch aus Modul 8 der BAIT.

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren