Cloud Services bei Kreditinstituten

Die fortschreitende Digitalisierung bietet viele neue Möglichkeiten für Unternehmen. Die Bundesanstalt für Finanzdienstleistungen (BaFin) sieht jedoch in den vordringenden technischen Innovationen – insbesondere im Finanzsektor – auch eine wachsende Unsicherheit, was den richtigen Umgang mit diesen betrifft. Das betrifft sowohl die beaufsichtigen Unternehmen, wie auch die Aufsicht selbst.

Die BaFin hat nun reagiert und begonnen, Schritt für Schritt den regulatorischen Rahmen des Cloud Computings verständlicher und konkreter zu gestalten.

 

Was ist Cloud-Computing eigentlich?

Cloud-Computing bedeutet, dass IT-Anwendungen eines Unternehmens durch einen externen Dienstleister nicht nur betrieben, sondern auch gehostet werden. Die Anwendungen und Daten sind dabei mitunter auf mehrere verschiedene Systeme verteilt. Da hierbei meist nur für die jeweilige Nutzung und Dienstleistung gezahlt wird und Investionen in eigene IT-Infrastruktur entfallen, führt dies über ein Kostenersparnis zu einem gesteigerten Interesse an Cloud-Lösungen bei Unternehmen.

Was muss dabei beachtet werden?

Wenn ein Unternehmen Cloud-Computing nutzt, muss es die aufsichtsrechtlichen Anforderungen an Auslagerungen gem. § 25b KWG i.V.m AT 9 MaRisk (Mindestanforderungen zum Risikomanagement) einhalten. Das hat die BaFin mit der Veröffentlichung des Rundschreibens „Bankaufsichtliche Anforderungen an die IT“ (BAIT) jetzt explizit klargestellt. Die MaRisk gelten also auch in Bezug auf die ausgelagerten IT-Dienste. Darüber hinaus wird von der Aufsicht bewertet, ob weiterer individueller Anpassungsbedarf an die aufsichtsrechtlichen Anforderungen für Auslagerungen besteht.

Unsicherheiten innerhalb der Unternehmen beseitigen

Innerhalb vieler beaufsichtigter Unternehmen wurde der Bedarf an einer Einschätzung von Cloud-Computing seitens der Aufsicht betont. Die BaFin wird deshalb im Laufe des Jahres eine spezielle Orientierungshilfe veröffentlichen. Diese wird detailliert über die aufsichtsrechtlichen Anforderungen bei der Nutzung von Cloud-Diensten informieren.

Einige essentielle Aspekte vorab

Die Prüfung, ob und welche aufsichtsrechtlichen Anforderungen bei der Nutzung eines Cloud-Dienstes relevant sind, obliegt dem beaufsichtigten Unternehmen im Rahmen einer risikobasierten Betrachtung. Die BaFin unterscheidet dabei zwischen einer wesentlichen und einer unwesentlichen Auslagerung. Eine wesentliche Auslagerung wird angenommen, wenn die betreffenden Funktionen und Tätigkeiten essentiell für den Betriebsablauf oder die Erfüllung der Mindestanforderungen der lückenlosen Aufsicht gemäß § 25a Abs. 1 Nr. 2 KWG sind. Eine unwesentliche Auslagerung liegt hingegen vor, wenn durch sie keine rechtlich relevanten Risiken begründet werden, es sich um reine Beratungsleistungen handelt und wenn eine Möglichkeit der Einschränkung von Prüfungs- und Informationspflichten ausgeschlossen ist.

Handelt es sich nach Risikogesichtspunkten um eine wesentliche Auslagerung, muss die Vertragsgestaltung gemäß der §§ 25a und 25b KWG i.V.m AT 9 Tz 7 und 8 MaRisk erfolgen. Dort sind insbesondere Regelungen zu angemessenen bzw. uneingeschränkten Informations- und Prüfungsrechten geregelt.

Informations- und Prüfungsrechte der Aufsicht

In vielen Vertragsentwürfen über die Nutzung von Cloud-Diensten, die der BaFin vorgelegt wurden, waren die insbesondere die Informations- und Prüfungsrechte der Aufsicht vernachlässigt worden. Dies ist deshalb problematisch, da viele Anbieter von Cloud-Lösungen ihren Firmensitz außerhalb der EU haben, aber auch, weil selbst deutsche Cloud-Anbieter nicht den Aufsichten unterstehen. Die Durchsetzung aufsichtsrechtlicher Bestimmungen ist also nur auf Grundlage der jeweiligen Verträge möglich.

Informations- und Prüfungsrecht der Unternehmen

Besonders wichtig ist aber auch die vertragliche Einräumung von Informations- und Prüfungsrechten für die Unternehmen selbst. Bei nicht-wesentlichen Auslagerungen müssen die Anforderungen des § 25a Abs. 1 KWG eingehalten werden, bei wesentlichen Auslagerungen müssen laut AT 4.4.3 Tz 4 MaRisk im Vertrag angemessene Informations- und Prüfungsrechte sowohl intern als auch durch externe Prüfer gewährleistet sein.  All das können die Unternehmen nur dann ordnungsgemäß verwirklichen, wenn sie uneingeschränkten Zugang zu den Cloud-Computern haben.

Abgestufte oder eingeschränkte Informations- und Prüfungsrechte würden daher nicht nur gegen die Anforderungen der MaRisk verstoßen, sondern auch gegen die die Empfehlungen der Europäischen Bankenaufsichtsbehörde (EBA). Genauso verhält es sich regelmäßig, wenn die Prüfungsausübung von wirtschaftlicher Zumutbarkeit abhängen soll oder wenn das Unternehmen sich vertraglich verpflichten soll, zunächst auf standardisierte Prüfungsberichte der Cloud-Anbieter zurückzugreifen.

Solche Management-Konsolen haben ihren Nutzen in bestimmten Kontrollen, sie können aber nur auf solche Informationen zugreifen, die ihnen vom Cloud-Anbieter zur Verfügung gestellt werden. Bei internen Revisionen muss aber eine weitreichendere Prüfung möglich sein.

Erleichterungen des Ablaufs

Die MaRisk enthalten einige Regelungen, um effektive Prüfungen für das Institut und den Cloud-Anbieter zu gewährleisten. So werden beispielsweise Sammelprüfungen akzeptiert, bei denen Prüfungen durch die Interne Revision von beauftragten Dritten oder der Internen Revision des Cloud-Anbieters durchgeführt wird; vorausgesetzt, die Interne Revision des Instituts vergewissert sich regelmäßig, dass die Anforderungen der AT 4.4 und BT 2 MA Risk erfüllt sind.

Aber Achtung!

Auch wenn das Institut sich entscheidet, die Prüfung nicht (allein) durchzuführen, muss vertraglich vereinbart sein, dass die umfassenden Informations- und Prüfungsrechte der Internen Revision nicht eingeschränkt werden. Dafür sind lediglich Zertifikate oder vergleichbare Nachweise nicht ausreichend, vielmehr muss die Interne Revision die Möglichkeit zum Einfluss auf den Prüfungsumfang haben.

Ebenso verhält es sich mit den Prüfungsrechten der Aufsicht. Ein Abhängigmachen von der Zumutbarkeit für den Dritten ist nicht zulässig. Die Aufsicht muss die gleichen Kontrollmöglichkeiten gegenüber den Cloud-Anbietern haben, wie gegenüber den Unternehmen; einschließlich einer möglichen vor-Ort-Prüfung.

 

 

Haben Sie Fragen zum Cloud Computing? Hier finden Sie unsere Ansprechpartner.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.