Auslagerungen: Vorgaben und Regelungen an Banken nehmen zu. Leitlinie des Bankenverbandes kann helfen.
Die Corona Pandemie bestimmt den derzeitigen täglichen Arbeitsablauf aller Banken, meist innerhalb enger Leitplanken. Regelsetzer und Bankenaufseher haben stellenweise Erleichterungen gewährt, dennoch treten zahlreiche neue Regelungen in Kraft bzw. werden aktuell konsultiert oder stehen zur Verabschiedung an.
Diese Initiativen berühren vielfach die Thematik von Auslagerungen, zu der sich der Bankenverband mit seiner Leitlinie zu Outsourcing[1]bereits 2019 grundlegend positioniert hat. Wir sind der Ansicht, dass eine Zusammenarbeit von Banken und jungen FinTechs zahlreiche Chancen bietet. Um diese Chancen optimal zu nutzen, ist u.a. ein risikoadäquates Onboarding von Drittdienstleistern durch Banken von Vorteil. Unsere Leitlinie zielt genau darauf ab.
Aktueller Anlass sind:
- der Vorschlag der EU-Kommission zu einer EU-Verordnung vom 24.9.2020, um die digitale operative Widerstandskraft im Finanzsektor zu verbessern (DORA)[2]
- der Entwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität (FISG) vom 26.10.2020 durch das BMJV und das BMF[3]
- die BaFin Konsultation zu den MaRisk vom 26.10.2020[4]
- die BaFin Konsultation zu den BAIT vom 26.10.2020[5]
Alle genannten Regelungen beziehen sich- in Teilen umfangreich – auf Auslagerungen. Die zu (1) genannte Regulierung, DORA, bezieht sich auf die EU, inkl. der EEA. Adressiert werden Vertragsbeziehungen von Finanzunternehmen zu Technologieunternehmen in Bezug auf IKT-Risiken[6]. Die Definition von Finanzunternehmen umfasst u.a. auf EU-Ebene regulierte Kreditinstitute, Zahlungsdienstleister, Ratingagenturen, Wirtschaftsprüfer, Daten-Provider, Versicherungsunternehmen, Crowdfunding-Provider und Investment-Firmen, aber auch IKT-Dritt-Dienstleister. Die neuen Regelungen gelten für alle Drittunternehmen, die digitale und Datendienste anbieten – einschließlich Cloud-Computing-Dienste, Software, Datenanalysedienste und Datenzentren – die vom gemeinsamen Ausschuss der Europäischen Aufsichtsbehörden (ESA) als kritisch eingestuft werden. Eine der ESAs[7] soll als federführende Aufsichtsbehörde für jeden kritischen IKT-Drittdienstleister ernannt werden, um die Aufsicht durchzuführen. IKT-Drittdienstleister mit Sitz in einem Drittland (welche keine Geschäfte/Präsenz in der EU aufgebaut haben), deren Betriebsausfall systemische Auswirkungen auf die Erbringung von Finanzdienstleistungen hätte, dürfen von Finanzunternehmen in der EU nicht in Anspruch genommen werden.
Die MaRisk und BAIT werden zurzeit konsultiert und setzen im Wesentlichen die Regelungen der EBA aus 2019 um. Die MaRisk könnten ab Q1-2021 gelten und für den Aspekt der Auslagerung bis spätestens Ende 2021 aufsichtliche Wirkung entfalten. Die BAIT sollen zeitlich mit den MaRisk veröffentlicht werden. Gemäß vorliegenden Informationen soll es hier zu keinen wesentlichen Übergangsfristen kommen.
Von besonderer Bedeutung sind die Änderungen, welche sich mit dem FISG ergeben und in Teilen als Antwort auf die Causa Wirecard angesehen werden können. So wird in dem Artikelgesetz mit Bezug zum KWG beabsichtigt, u.a. eine Vollzugsanzeige bei Auslagerungen einzuführen, was die EBA-Leitlinie und die MaRisk-Novelle nicht vorsehen.[8] Neu ist auch, dass die BaFin direkte aufsichtliche Eingriffsbefugnisse in Bezug auf Auslagerungsunternehmen im In- und Ausland erhalten soll.
In Summe fällt auf, dass DORA möglicherweise nationale Regelungen (wie die MaRisk, BAIT oder in Teilen das FISG) obsolet werden lassen könnte und somit auf Ebene der EU-Mitgliedsstaaten erneut Änderungen an den Regelungen zu Auslagerungen wahrscheinlich sind. Aus unserer Sicht ist die Absicht der EU und die des BMJV, BMF sowie der BaFin nachvollziehbar. Wir erhoffen uns von den Regelungen zu DORA eine europaweite Harmonisierung von Teilaspekten des Outsourcings.
Ungeachtet der vorgenannten Entwicklungen bleibt unsere 2019 veröffentlichte Leitlinie zu Outsourcing höchst aktuell. Ihre Inhalte können allen Banken und Sparkassen helfen, ein schnelleres Onboarding von jungen FinTechs zu ermöglichen. Unseren methodischen Ansatz, Anforderungen an FinTechs nach dem Risikogehalt der Geschäftsaktivitäten gestaffelt abzubilden, hält auch die BaFin für zweckmäßig.
Sie finden die Leitlinie hier
Die Leitlinie sowie das dazugehörige Excel-Sheet stehen allen Interessierten zur Verfügung – sprechen Sie uns an.
[2]COM (2020) 595: Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014
https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52020PC0595&from=DE
[3]Referentenentwurf: https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/Dokumente/RefE_Fin…
[4]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2020/kon_14_20_Konsultation_MaRisk.html
[5]https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2020/kon_13_20_Konsultation_der_BAIT_ba.html
[6]IKT: Informations- und Kommunikationstechnologie
[7]zu den ESAs (European Supervisory Authorities) gehören EBA, ESMA und EIOPA
[8]Bekannt ist, dass dies durch die 6. KWG-Novelle 1997 eingeführt und zehn Jahre später abgeschafft wurde. Aktuell besitzt die BaFin gleichwohl unverändert Prüfungsrechte, gem. § 25b Abs. 3 KWG.
