Neue EBA-Leitlinien zum Outsourcing

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 25. Februar 2019 neue Leitlinien zum Outsourcing (die „Leitlinien“) veröffentlicht.

Die Leitlinien richten sich an

• Kreditinstitute,
• Zahlungsinstitute (mit Ausnahme von Zahlungsinstituten, die ausschließlich Kontoinformationsdienste erbringen) und
• E-Geldinstitute

(jeweils ein „Institut“). Die Leitlinien gelten für Institute auf Einzelbasis, auf konsolidierter bzw. teilkonsolidierter Basis.

Überblick

Die Leitlinien enthalten detaillierte Vorgaben zur Auslagerung von Geschäftstätigkeiten (einschließlich IT-Dienstleistungen) und definieren unter anderem Vorgaben an

• die Aufbau- und Ablauforganisation (Governance) in Zusammenhang mit Outsourcing (wie z.B. Dokumentationserfordernisse, Überwachung des mit der Auslagerung verbundenen Risikos, Notwendigkeit einer vorherigen Due Diligence des Dienstleisters, Anforderungen an die Datensicherheit und Regelungen für Institutsgruppen) sowie
• den Inhalt der Auslagerungsvereinbarung.

Damit stellen die Leitlinien eine Ergänzung und Vertiefung der gesetzlichen Auslagerungsregelungen gemäß § 25 BWG (für Kreditinstitute) und § 21 ZaDiG 2018 (für Zahlungs- und E-Geldinstitute) dar.

Der Grundsatz der Verhältnismäßigkeit (Proportionalitätsprinzip) ist jedoch ausdrücklich zu beachten. Das heisst bei der Anwendung der in den Leitlinien festgelegten Anforderungen sind die Komplexität der ausgelagerten Funktionen, die Risiken, die sich aus der Auslagerung ergeben, die Bedeutung der ausgelagerten Funktion und die möglichen Auswirkungen des Outsourcings auf die Tätigkeiten des Instituts zu berücksichtigen.

Inkrafttreten

Die Leitlinien treten am 30. September 2019 in Kraft und ersetzen die Leitlinien der Vorgängerbehörde CEBS zum Outsourcing aus 2006.

Die EBA fordert Institute auf, ihre Auslagerungen auf Konformität mit den Leitlinien zu überprüfen und gegebenenfalls zu ergänzen. Soweit Institute diese Überprüfung und Ergänzung von Auslagerungen von wesentlichen betrieblichen Aufgaben bis 31. Dezember 2021 nicht abschließen können, müssen sie die zuständigen Aufsichtsbehörden darüber informieren und Maßnahmen bekanntgeben, wie die Überprüfung und Ergänzung fertiggestellt werden kann.

Wesentliche Regelungen

Im Folgenden werden einige wesentliche neue Regelungen gemäß den Leitlinien kurz dargestellt:

1. Dokumentationserfordernisse

Institute sollen jede Auslagerung dokumentieren und ein Register führen, in dem alle Auslagerungsverträge des Instituts und der Institutsgruppe enthalten sind. Das Register soll zwischen Auslagerungen wesentlicher betrieblicher Tätigkeiten und sonstiger betrieblicher Tätigkeiten unterscheiden. Das Register soll zumindest folgende Informationen enthalten:

•  eine Referenznummer und Kurzbeschreibung zu jeder Auslagerung,
• eine Einstufung, ob es sich um eine wesentliche bankbetriebliche Tätigkeit handelt,
• ob persönliche Daten übermittelt werden und ob gesetzliche Geheimhaltungspflichten bestehen,
• ob eine Sub-Auslagerung besteht und Informationen zum Sub-Dienstleister,
• bei wesentlichen betrieblichen Tätigkeiten zusätzlich unter anderem Informationen
  • zur letzten Risikobeurteilung und dem nächsten Audit im Hinblick auf die Auslagerung,
  • zu anwendbaren Kündigungsfristen,
  • zur Ersetzbarkeit des Dienstleisters samt Zeitrahmen dafür und
  • zu den übermittelten Daten und den jährlichen Kosten.

2. Überwachung

Institute müssen die mit der Auslagerung verbundenen Risiken identifizieren, überwachen und an ihr Management berichten. Dabei müssen insbesondere folgende Faktoren berücksichtigt werden:

• Konzentrationsrisiken bei Auslagerung an einen marktbeherrschenden, nicht einfach ersetzbaren Dienstleister oder bei Auslagerung mehrerer Tätigkeiten an denselben Dienstleister.
• Das Gesamtrisiko durch Auslagerung verschiedener Tätigkeiten des Instituts.
• Das Risiko, dass der Dienstleister in einer Krisensituation vom Institut finanzielle Unterstützung benötigt, um die Dienstleistungserbringung aufrecht erhalten zu können.
• Soweit Sub-Auslagerungen vorgesehen sind, die mit der Sub-Auslagerung verbundenen Risiken.

Im Rahmen der Auslagerung muss sichergestellt sein, dass das Institut Zugang zu den Geschäftsräumen und Systemen des Dienstleisters hat, um diesen laufend überwachen zu können. Zudem muss auch die Prüfungsmöglichkeit durch die interne und externe Revision des Instituts und die zuständigen Aufsichtsbehörden des Instituts sichergestellt werden.

3. Due Diligence des Dienstleisters

Vor Abschluss einer Outsourcing-Vereinbarung haben Institute – unter Berücksichtigung der operationellen Risiken im Zusammenhang mit der auszulagernden Tätigkeit – sicherzustellen, dass der Dienstleister geeignet ist.

In Bezug auf wesentliche betriebliche Aufgaben haben Institute sicherzustellen, dass der Dienstleister unter anderem über

• die geschäftliche Reputation,
• angemessene und ausreichende Fähigkeiten,
• das Fachwissen,
• die Ressourcen (z.B. Personal, IT, Finanzen),
• die Organisationsstruktur und
• die erforderlichen behördlichen Genehmigungen

verfügt, um die wesentliche betriebliche Tätigkeit zuverlässig und professionell zu erfüllen und seinen vertraglichen Verpflichtungen nachzukommen.

4. Datensicherheit

Institute haben zudem sicherzustellen, dass Dienstleister einschlägige Datensicherheitsanforderungen und Anforderungen betreffend die Sicherheit der Informations- und Kommunikationstechnologie erfüllen. Vor diesem Hintergrund sollen Institute die erforderlichen Anforderungen an die Daten- und Systemsicherheit für jede ausgelagerte Tätigkeit vordefinieren und entsprechend kontrollieren.

5. Institutsgruppen

Mutterinstitute haben sicherzustellen, dass die Auslagerungsanforderungen in der gesamten Gruppe durch gruppenweit geltende Vorgaben und Prozesse (Auslagerungsrichtlinien, Musterverträge etc.) umgesetzt und überwacht werden.

Wenn Auslagerungen für die gesamte Gruppe zentral über eine Stelle erfolgen und gesteuert werden, müssen die Tochterinstitute bzw. Mitglieder der Gruppe folgende Mindestanforderungen einhalten:

• Eine unabhängige Überwachung des Dienstleisters ist möglich und das Institut erhält zumindest jährlich sowie nach Aufforderung Berichte mit einer Zusammenfassung der Risikoüberwachung und der Leistungsüberwachung des Dienstleisters.
• Die Geschäftsleitung des Instituts wird zu jeder geplanten Änderung von Auslagerungen bzw. Dienstleistern informiert und erhält einen Bericht zu möglichen Auswirkungen auf kritische Funktionen, einschließlich einer Risikoanalyse und einer Analyse zur fortgesetzten Einhaltung der gesetzlichen Anforderungen.
• Wenn das Auslagerungsregister zentral geführt wird, muss jedes Institut in der Lage sein, zu jeder Zeit einen Registerauszug mit seinen Auslagerungen (samt gruppeninternen Auslagerungen) zu erhalten.
• Wenn der Plan zur Beendigung von Auslagerungen auf Gruppenebene erstellt wurde, muss jedes Institut eine Zusammenfassung dieses Plans erhalten und die Geschäftsleiter müssen dessen Umsetzbarkeit prüfen.

6. Inhaltliche Anforderungen an Auslagerungsverträge

Jedes Auslagerungsverhältnis muss in einem entsprechenden Auslagerungsvertrag geregelt sein. Neben allgemeinen Regelungen, sollen Auslagerungsverträge betreffend wesentliche betriebliche Aufgaben, insbesondere auch folgende Aspekte regeln:

• Das Recht des Instituts die Tätigkeiten des Dienstleisters laufend zu überwachen.
• Den genauen Umfang der Dienstleistung samt qualitativer und quantitativer Leistungsziele des Dienstleisters.
• Die Berichtspflichten des Dienstleisters gegenüber dem Institut.
• Eine etwaige Verpflichtung des Dienstleisters zum Abschluss einer Haftpflichtversicherung.
• Die Verpflichtung zur Erstellung von Betriebskontinuitätsplänen.
• Die Gründe für eine (sofortige) Beendigung der Auslagerung.
• Den Zugang zu den erforderlichen Daten für die Durchführung der Dienstleistungen und die Überwachung des Dienstleisters.
• Einen Hinweis auf § 63 BaSAG, wonach im Falle einer Abwicklung des Instituts, Auslagerungsverträge nicht beendet werden können, wenn das Institut weiterhin seine Hauptleistungspflichten erfüllt.

Das Auslagerungsverhältnis muss vom Institut insbesondere bei Vorliegen folgender Gründe jederzeit mit sofortiger Wirkung beendet werden können:

• Der Dienstleister verstößt gegen anwendbare gesetzliche oder vertragliche Regelungen oder aufsichtsbehördliche Anforderungen.
• Der Dienstleister kann die ausgelagerte Tätigkeit nicht (oder nicht in der vereinbarten Art und Weise) erbringen.
• Es kommt zu wesentlichen Änderungen bei der Durchführung der ausgelagerten Tätigkeit (etwa durch Sub-Auslagerung).
• Es bestehen Schwächen betreffend die Sicherheit sensitiver Daten.
• Die zuständigen Aufsichtsbehörden können das Institut aufgrund der Auslagerung nicht wirksam beaufsichtigen.

Nächste Schritte

Auf Basis der Leitlinien, empfehlen wir im Hinblick auf das Inkrafttreten am 30. September 2019 (aber auch im Hinblick auf SREP und Sanierungs- und Abwicklungsplanung)  

• den bankinternen Auslagerungsprozess sowie
• bestehende Auslagerungsvereinbarungen

darauf zu prüfen, ob sie den erhöhten Anforderungen der Leitlinien genügen. In zahlreichen Fällen wird eine Anpassung notwendig sein.

Binder Grösswang verfügt über umfassende Expertise in der aufsichtsrechtlichen Beratung. Gerne unterstützen wir Sie bei der Umsetzung der bevorstehenden erhöhten Anforderungen an Auslagerungen und stehen als Ansprechpartner zur Verfügung. 

Kontakt

Stephan Heckenthaler
heckenthaler@bindergroesswang.at

Stefan Frank
frank@bindergroesswang.at

Hinweis: Dieser Newsletter stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von BINDER GRÖSSWANG Rechtsanwälte GmbH dar. Der Newsletter kann eine individuelle Rechtsberatung nicht ersetzen. BINDER GRÖSSWANG Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Newsletters.