Chancen und Risiken des Outsourcings von Cloud-Diensten an Cloud-Service-Provider im Finanzsektor
Die Tätigkeit von Finanzunternehmen findet in einem Umfeld geopolitischer Spannungen und Cyberrisiken statt, weshalb die Stärkung der digitalen operationellen Resilienz im Finanzsektor zunehmend an Bedeutung gewinnt. Rückblickend auf 2024 hat die EZB festgestellt, dass immer mehr Finanzunternehmen auf Auslagerungen setzen, insbesondere in Bereichen wie IT-Diensten und Cloud-Infrastrukturen. Obwohl Outsourcing Vorteile wie höhere Flexibilität, Kosteneffizienz und Skalierbarkeit bietet, birgt die Abhängigkeit von externen Anbietern auch zahlreiche Risiken. So kann es beispielsweise zu Funktionsunterbrechungen kommen, wenn ein Finanzunternehmen ausgelagerte Dienste während eines Ausfalls nicht ohne Weiteres ersetzen kann. Außerdem ist der Markt für Cloud-Dienste stark konzentriert, wobei viele Finanzunternehmen auf eine begrenzte Anzahl von Cloud-Service-Provider („CSPs“) in Ländern außerhalb der EU zurückgreifen. Problematisch erweist sich zudem das sogenannte Sub-Outsourcing, bei dem CSPs eine ausgelagerte Funktion an einen Drittdienstleister übertragen. Dass Finanzunternehmen beim Sub-Outsourcing neben den Risiken ihrer direkten CSPs auch jene der Subunternehmer zu steuern haben, macht ein geeignetes Management von Drittparteirisiken essenziell. Der von der EZB am 03.06.2024 veröffentlichte Leitfaden zur Auslagerung von Cloud-Diensten an Cloud-Service-Provider bietet eine Orientierungshilfe bei der Interpretation der korrespondierenden aufsichtsrechtlichen Anforderungen.
Die DORA-Verordnung und IT-Auslagerungen im Finanzsektor
Die am 17.01.2025 in Kraft getretene DORA-Verordnung harmonisiert die regulatorischen Rahmenbedingungen von Outsourcing von IKT-Diensten. Davon betroffen sind insbesondere „kritische“ Funktionen, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Fortführung dessen Geschäftsaktivitäten beeinträchtigen könnte.
Aufgrund der zunehmenden Bedeutung von Cloud-Diensten und den damit einhergehenden Risiken, stellt DORA Anforderungen an die Mindestinhalte von Outsourcing-Verträgen mit IKT-Drittanbietern. Finanzunternehmen müssen insbesondere sicherstellen, dass sie klare Regelungen zur Cybersicherheit und zum Management von IKT-bezogenen Vorfällen treffen. Außerdem fordert DORA, dass Finanzunternehmen ihre Anbieter regelmäßig überprüfen und auch potenzielle Risiken von Drittanbietern berücksichtigen, insbesondere dann, wenn diese Anbieter kritische IKT-Dienste bereitstellen.
Der EZB-Leitfaden zur sicheren Auslagerung von Cloud-Diensten
Der Leitfaden der EZB definiert sektorweite Vorgaben für das Outsourcing von Cloud-Diensten an CSPs. Den Anforderungen der EZB kommt dabei kein rechtsverbindlicher Charakter zu, vielmehr dient der Leitfaden als Orientierungshilfe zur Interpretation der aufsichtsrechtlichen Erwartungen von DORA.
Der Leitfaden umfasst bewährte Praktiken für den gesamten Lebenszyklus des Cloud-Outsourcings, beginnend bei der Analyse vor dem Outsourcing („pre-outsourcing analysis“) bis hin zur laufenden Aufsicht während der Vertragsdauer, Maßnahmen zur Sicherstellung der Geschäftskontinuität und Strategien für den Ausstieg und die Beendigung von Verträgen. Generell fordert die EZB von Finanzunternehmen, die IKT-Dienstleistungen in die Cloud auslagern, dass sie in Bezug auf das Risikomanagement und die Kontrollen mindestens die gleiche Sorgfaltspflicht erfüllen wie Unternehmen, die diese Dienste intern erbringen.
Die EZB legt in ihrem Leitfaden großen Wert auf die Sicherstellung der Geschäftskontinuität. Ein plötzlicher Ausfall der in die Cloud ausgelagerten Dienste – insbesondere bei der Auslagerung kritischer IKT-Funktionen – darf nicht dazu führen, dass die Geschäftstätigkeit über die maximal akzeptable Ausfallzeit oder den höchstzulässigen Datenverlust hinaus beeinträchtigt wird.
Die Themen IKT-Sicherheit, Datenintegrität und -vertraulichkeit bilden einen Schwerpunkt des Leitfadens. Finanzunternehmen, die auf Anbieter außerhalb der EU zurückgreifen, werden angehalten, eine Liste akzeptabler Länder zu erstellen, in denen ihre Daten gespeichert und verarbeitet werden dürfen. Idealerweise werden sowohl rechtliche als auch politische Risiken im Zusammenhang mit der Auslagerung bei der Bewertung berücksichtigt. Eine Orientierungshilfe bietet die von der Europäischen Kommission erstellte Liste zu Drittländern, in denen ein angemessenes Datenschutzniveau herrscht. Im Fall von Sub-Outsourcing-Ketten betrachtet es die EZB als bewährte Praxis, zusätzliche Risiken zu bewerten, wenn ein für die Cloud-Dienste relevanter Subunternehmer in einem anderen Land ansässig ist als der CSP.
Entsprechend dem Leitfaden soll die Risikobewertung der Cloud-Service-Provider nicht ausschließlich auf Zertifikaten und Bescheinigungen der CSPs basieren, sondern auch durch unabhängige Prüfungen ergänzt werden. Häufig stellen die CSPs nicht genügend detaillierte Informationen über ihre Infrastrukturprozesse und internen Kontrollsysteme bereit, weshalb es den Finanzunternehmen oft an direktem Wissen über die Betriebsstandorte, IT-Systeme und Subunternehmer fehlt. Als bewährte Praxis empfiehlt die EZB eine Kooperation der Finanzunternehmen bei der Überprüfung eines CSP sowie die Bildung eines Inspektionsteams. Gleichzeitig soll gewährleistet sein, dass jedes Institut weiterhin die Möglichkeit hat, individuell und bilateral spezifische Fragen mit dem CSP zu klären.
Fazit
Das Outsourcing von Cloud-Diensten an CSPs bringt sowohl Chancen als auch Risiken mit sich. Vor diesem Hintergrund ist es essenziell, dass Finanzunternehmen eine Outsourcing-Strategie entwickeln, die sowohl Flexibilität und technologische Vorteile berücksichtigt als auch die Einhaltung regulatorischer Anforderungen und die Risikominimierung sicherstellt. Der Leitfaden der EZB stellt hierbei eine nützliche Hilfe zur Erfüllung der regulatorischen Erwartungen dar.
Gerne steht Ihnen das Financial Services Regulatory Team von Binder Grösswang zur Verfügung, um Sie bei den aufsichtsrechtlichen Herausforderungen zu unterstützen!
Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.