IT-Outsourcing nach MaRisk- & BAIT-Vorgaben

IT-Auslagerungsverträge rechtskonform gestalten

06.12.2018

Von

Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Compliance, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 zunächst bei SSW, heute bei Witzel Erb Backu & Partner in München tätig.

Alle Posts des Autors Email: Connect:

Festlegung der Möglichkeiten und Modalitäten einer Weiterverlagerung

MaRisk spricht zunächst davon, dass über die Möglichkeit und über die Modalitäten einer Weiterverlagerung Regelungen zu treffen sind, die sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält.

Allerdings hat das Thema "Voraussetzungen für eine Weiterverlagerung" in den MaRisk 2017 wieder an Bedeutung zugenommen, was daran deutlich wird, dass mit AT 9 TZ. 8 MaRisk ein neuer Regelungsabsatz in die MaRisk 2017 aufgenommen wurde, der ausschließlich das Thema Weiterverlagerung zum Gegenstand hat:
"Mit Blick auf Weiterverlagerungen sind möglichst Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits- und Prozessschritte möglich sind, im Auslagerungsvertrag zu vereinbaren.

Zumindest ist vertraglich sicherzustellen, dass die Vereinbarungen des Auslagerungsunternehmens mit Subunternehmen im Einklang mit den vertraglichen Vereinbarungen des originären Auslagerungsvertrags stehen. Ferner haben die vertraglichen Anforderungen bei Weiterverlagerungen auch eine Informationspflicht des Auslagerungsunternehmens an das auslagernde Institut zu umfassen. Das Auslagerungsunternehmen bleibt im Falle einer Weiterverlagerung auf ein Subunternehmen weiterhin gegenüber dem auslagernden Institut berichtspflichtig."

1. Prozesse neu denken
Alle Prozesse, die für den Kunden relevant sind, sollten von außen nach innen gedacht werden, also das optimale Kundenerlebnis zum Ausgangspunkt nehmen. Das erfordert ein Umdenken, das zum einen den Kunden in seiner Onlinewelt schon bei der Produkt- und Servicegestaltung in den Mittelpunkt stellt und sich zum anderen auf Datendurchgängigkeit und einheitliche CRM-Systeme fokussiert.
2. Einheitlichkeit schaffen
Im Rahmen des Umdenkens gilt es auch, die Kundenkontaktpunkte zu vereinheitlichen - und zwar alle, online wie offline, über Texte, Grafiken, Tonalität, Kontaktpersonen und Services hinweg. Diese Einheitlichkeit sollte jeden Prozessschritt für den Kunden einfach und verständlich machen. Dazu gehört auch, eine durchgehend persönliche Ansprache mit einem Berater als Absender oder zumindest einer gleichbleibenden Servicestelle.
3. Kontinuierlich optimieren
Wer den Kunden besser verstehen will, muss die bestehenden Prozess aus seiner Perspektive analysieren. Dazu gehören sowohl Stärken als auch Schwächen. Anschließend sind messbare Verbesserungen zu definieren, die dann kontinuierlich korrigiert werden sollten. Eine große Rolle spielt hier die Einbindung der relevanten Abteilungen, zum Beispiel Produktmanagement, Call Center, Sales und Marketing.
4. einen Verantwortlichen bestimmen
Um alle an einen Tisch zu bringen, braucht es eine zentrale Verantwortlichkeit für den Kundenprozess. So kann an einer zentralen Stelle auch objektiv gemessen werden, wie und wodurch der Kundenprozess verbessert wurde. Dieser Person obliegt die Planung und Durchführung der Maßnahmen zum Online-Erlebnis als ein Aktionsstrang der gesamten Digitalisierungs-Roadmap.
5. Durchgängigkeit gewährleisten
Prozessbrüche und Prozesswechsel sind zu vermeiden. Zum Beispiel der Bruch zwischen Online-Formular und anschließendem Filialbesuch. Es lohnt sich, aus Kundensicht zu prüfen, ob tatsächlich die Notwendigkeit traditioneller Kommunikationskanäle wie Briefsendungen besteht. Hier hilft die Frage: Wie können interne Hindernisse zugunsten einer durchgängigen Online-Customer-Experience verringert oder beseitigt werden?

Die Aufnahme eines gesonderten Regelungsabsatzes zu Weiterverlagerungen in die MaRisk lässt erahnen, dass diesem Thema zukünftig erneut eine große Aufmerksamkeit bei der Vertragsgestaltung zukommen wird. Im Hinblick auf zum Teil hochgradig arbeitsteilige Prozesse, in die zum Beispiel in Verbindung mit Cloud-Leistungen typischerweise mehrere Dienstleister eingebunden sind, wird die Umsetzung der BaFin-Anforderungen eine besondere Herausforderung darstellen.

Die MaRisk fordern in AT 9 Tz. 6 auch die Vorbereitung des Instituts auf eine erwartete (beabsichtigte) oder vorzeitige (unerwartete) Beendigung der Auslagerung, um eine reibungslose Geschäftsfortführung zu sichern. Dabei ist es unerheblich, ob die ausgelagerte Tätigkeit anschließend wieder in das Institut eingegliedert oder anderer Anbieter mit der Übernahme der ausgelagerten Aktivität beauftragt wird.

Hier ist durch geeignete vertragliche Regelungen mit dem Anbieter (Unterstützungsleistungen, Übergangsfrist) seitens des Instituts sicherzustellen, dass der ausgelagerte Bereich nach planmäßiger Beendigung des Auslagerungsverhältnisses ohne größere Schwierigkeiten entweder wieder in das Institut aufgenommen oder auf einen anderen Anbieter übertragen werden kann (Verpflichtung für eine geordnete Überleitung der ausgelagerten Prozesse an eine geeignete Nachfolgeeinrichtung). Im Fall, dass die Auslagerung an einen anderen Anbieter übergeben wird, kann der neue Anbieter mit der Überführung der Leistungserbringung und damit verbundener Ressourcen beauftragt werden.

Anforderungen aus den BAIT

Die BAIT ergänzen die Mindestanforderungen der MaRisk. Die BAIT gelten in einer Gesamtschau mit der MaRisk, soweit die BAIT auf dezidierte Textziffern der MaRisk verweisen.

Die bislang nur groben Anforderungen an IT-Projekte und Anwendungsentwicklung haben in den BAIT eine sehr detaillierte Ausgestaltung erfahren. Jede außerhalb der IT entwickelte Anwendung - so genannte IDVs - unterliegt den BAIT und muss somit, wie auch in der IT, abhängig von ihrer Risikoeinschätzung, die vom Institut vorzugebenden Standards erfüllen. Dazu gehört die Dokumentation von fachlichen und technischen Anforderungen sowie die Einhaltung von Entwicklungs-, Rollout- und Betriebsprozessen.

Im Bereich derAuslagerungen sehen die Vorgaben mehr Kontrolle über Anbieter und die zu erbringenden Leistungen vor. Daraus abgeleitet muss eine Steuerung der Auslagerungen anhand eines vollständigen Vertragsportfolios erfolgen - denn die Anforderungen sind unabhängig davon, ob die IT-Leistungen intern oder extern erbracht werden. Dazu zählen auch regelmäßige Risikoüberprüfungen und die Ableitung von Maßnahmen, die gemeinsam mit dem Dienstleister zu vereinbaren und durchzuführen sind.

Die BAIT befassen sich in insgesamt 14 Gliederungsziffern mit diesen Anforderungen, insbesondere mit:

der Steuerung und Überwachung von Projekten durch das Institut;
die Identifizierung und Berichterstattung von Projektrisiken gegenüber der Geschäftsleitung;
die Festlegung von Prozessen, die Vorgaben zur Anforderungsermittlung, zum Entwicklungsziel, zur (technischen) Umsetzung (einschließlich Programmierrichtlinien), zur Qualitätssicherung, sowie zu Test, Abnahme und Freigabe enthalten;
das Treffen angemessener Vorkehrungen vor und nach der Produktivsetzung im Hinblick auf verschiedenste Anforderungen und Risiken;
Dokumentationsanforderungen.

Diese Anforderungen müssen in Projekt- und auch in Pflegeverträgen mit den Anbieter abgebildet werden, wobei daraus auch ein Spannungsverhältnis mit der von Auftraggebern üblicherweise favorisierten Erfolgsverantwortung des Anbieters entstehen können.

Lesetipp: 5. Novelle der MaRisk und BAIT - Neue Herausforderungen bei Outsourcing-Verträgen

Aktuelle IDG-Studien

An der Cloud Readiness und Bereitschaft zum Wandel der Unternehmen hierzulande gibt es keine Zweifel mehr. Die Transformation ist in vollem Gange.

Mehr zur Studie erfahren
Der Schutz vor Ransomware hat hohe Priorität, doch die ergriffenen Maßnahmen greifen zu kurz. Alles dazu in unserer Studie.

Mehr zur Studie erfahren
Das Gros der ERP-Anwender setzt mittlerweile auf SAP S/4HANA, um digital zu transformieren und Wettbewerbsvorteile zu erschließen. Mehr in der Studie.

Mehr zur Studie erfahren
Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren