The EU regulatory framework on outsourcing – where are we now?

In recent years, in pursuit of cost reduction and efficiency improvement financial institutions around the globe have been increasingly interested in outsourcing their business activities to other institutions and specialised service providers. From asset management, where delegation of certain functions was a standard practice since decades, to small payment companies relying on specialised regulatory compliance service providers, there is almost no area of the financial services sector nowadays that has remained immune to the ever-increasing use of outsourcing arrangements. Moreover, rapid digitisation of the financial service sector, featured by more frequent use of cloud technology and specialised providers of IT-related services to financial institutions has just added more complexity into the game which immediately triggered the attention of financial regulators in the European Union.

ESA’s Guidance Framework

In attempt to bridge these gaps (to the certain extent) the European Supervisory Authorities (ESAs), European Banking Authority (EBA), European Securities and Markets Authority (ESMA and European Insurance and Occupational Pension Authority (EIOPA) have issued guidelines on outsourcing arrangements that stipulate standards and requirements that financial institutions under their respective supervisory remit need to fulfil when entering into outsourcing arrangements.

These include:

  • EBA Guidelines on outsourcing arrangements (EBA/GL/2019/02), see our explanation thereof here
  • ESMA Guidelines on outsourcing to cloud service providers (ESMA50-164-4285), see our blog post thereof here.
  • EIOPA Guidelines on outsourcing to cloud service providers (EIOPA-BoS-20-002)

What applies to whom?

Whereas EBA Guidelines apply to all types of outsourcing arrangements that financial institutions under its supervisory remit enter into, ESMA and EIOPA Guidelines are focused solely on one specific type of outsourcing arrangements that has attracted much of regulatory scrutiny lately, outsourcing to cloud service providers.

Outlook

It is unquestionable that ESA’s Guidance framework on outsourcing has provided a valuable set of standards and requirements that financial institutions can follow when ensuring compliance with applicable requirements on outsourcing they may be a subject to under applicable sector specific pieces of EU and national legislation. However, there are small divergences between ESA’s Guidelines and such lack of full alignment brings financial institutions that find themselves under the supervisory remit of more than one European Supervisory Authority in front of significant challenges. Furthermore, given that ESMA and EIOPA Guidelines apply solely to outsourcing to cloud service providers, there is a great number of standard outsourcing arrangements that will still need to be structured in accordance with high-level regulatory requirements on outsourcing stipulated by applicable EU legislation that frequently falls short of providing clear guidance for financial institutions.

Nevertheless, the process of harmonization of rules on outsourcing and operational resilience of financial institutions in general seems to be far from over. As part of its Digital Finance Package published on 24 September 2020, the EU Commission has published a proposal for Regulation on digital operational resilience for the financial sector (commonly known as Digital Operational Resilience Act “DORA”) that aims to harmonize EU regulatory requirements on digital operational resilience in financial services. In the same vein, beside requirements on management of ICT risks, DORA aims to bring certain requirements on outsourcing arrangements, onto a legislative footing. Despite the fact that DORA may harmonize a number of questions related to outsourcing arrangements until it becomes operational (which from today’s point of view is hard to expect before 2023) financial institutions will have to ensure compliance with requirements on outsourcing in accordance with ESA’s Guidelines and applicable sector specific pieces of EU and national legislation.

Ein Update zur Auslagerung – Teil 1: Wirecard-Gesetz, MaRisk und WpFG

Das Jahr 2020 war und ist reich an Ereignissen; eines davon ist sicherlich auch der Fall Wirecard. Dieser hat den Gesetzgeber dazu veranlasst, einige Verbesserungen im Finanzaufsichtsrecht vorzunehmen und die Integrität des Finanzmarktes weiter zu stärken. Dazu wurde Ende Oktober der Entwurf das Gesetzes zur Stärkung der Finanzmarktintegrität (FISG), auch bekannt als Wirecard-Gesetz, veröffentlicht. Zukünftig soll die Bilanzkontrolle und die Abschlussprüfung weiter reguliert werden, um die Richtigkeit der Rechnungslegungsunterlagen von am Kapitalmarkt tätigen Unternehmen sicherzustellen. Daneben sollen die Aufsichtsstrukturen und die Befugnisse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gestärkt werden. Verbesserungsbedarf wird u.a. bei den BaFin-Befugnissen im Bereich der Prüfung von Auslagerungen gesehen. Zukünftig soll die BaFin bspw. Einwirkungsmöglichkeiten auf die externen Dienstleister haben.

Die geplanten Änderungen des FISG gehen zum Teil auf den derzeitigen Auslagerungsstandard der EBA Guidelines zurück, teilweise aber darüber hinaus. Vor dem Hintergrund der neuen Regulierung kleiner und mittlerer Wertpapierfirmen nach dem Gesetz über die Beaufsichtigung von Wertpapierfirmen (WpFG) stellt sich zudem die Frage, ob die derzeitigen Regelungen zur Auslagerung eigentlich auf diese Wertpapierfirmen weiter Anwendung finden werden. Dies wird Teil 1 näher beleuchten. In Teil 2 werden wir dann die geplanten Änderungen des FISG zur Auslagerungen vorstellen.

Der aktuelle Auslagerungsstandard der MaRisk

Die Anforderungen der EBA Outsourcing Guidelines sind in der aktuellen MaRisk Novelle umgesetzt. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Neu sind z.B. die Regelungen zum Auslagerungsregister, die Benennung eines zentralen Auslagerungsbeauftragten und konkrete Vorgaben zur vertraglichen Regelung von Zugangs- und Kündigungsrechten. Über die MaRisk Novelle und die Umsetzung der EBA Outsourcing Guidelines haben wir bereits ausführlich gebloggt.

Anwendbarkeit des MaRisk Vorgaben zur Auslagerun auf WpFG-Wertpapierfirmen

Ab Mitte 2021 wird mit dem WpFG, in Umsetzung der neuen EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), für kleine und mittlere Wertpapierfirmen ein neues, eigenes Aufsichtsregime gelten. Über dessen Inhalt haben wir bereits hier und hier ausführlich berichtet. Große Wertpapierfirmen sind grundsätzlich nicht erfasst, für sie werden weiterhin die Regelungen des KWG gelten, da sie aufgrund ihrer Größe und Risiken wie Banken behandelt werden. Auch die Auslagerungsregelungen des KWG und ihre Konkretisierung durch die MaRisk werden auf diese Wertpapierfirmen also Anwendung finden.

Gilt das auch für kleine und mittlere Wertpapierfirmen? Das neue WpFG stellt ein eigenes Regelungsregime vor allem im Hinblick auf die Zulassung und die Eigenkapitalanforderungen kleiner und mittlerer Wertpapierfirmen auf. Insoweit werden die Regelungen der zweiten EU-Finanzmarktrichtlinie (MiFID II) bzw. des Kreditwesengesetzes (KWG) ersetzt. Nicht ersetzt werden hingegen die Organisations- und Wohlverhaltensregelungen der MiFID II, wozu u.a. auch die Auslagerungsregelungen gehören (Art. 16 MiFID II). Diese gelten also weiterhin für alle Wertpapierfirmen.

Umgesetzt sind sie im Wertpapierhandelsgesetz (WpHG). Die WpHG-Regelungen zur Auslagerung (§ 80 Abs. 6) werden wiederum von den Mindestanforderungen an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten (MaComp) konkretisiert. Inhaltlich wird insoweit allerdings sowohl vom WpHG als auch von den MaComp auf die KWG-Regelungen zur Auslagerung verwiesen (§ 25b KWG bzw. die Konkretisierung durch die MaRisk). Über diesen Verweis des WpHG/MaComp auf das KWG/MaRisk gilt also auch für kleine und mittlere Wertpapierfirmen unverändert der gleiche aufsichtliche Standard bei Auslagerungen. Zusätzlich verweisen die MaComp auf die Auslagerungsregelungen der Delegierten Verordnung zur MiFID II, die die Anforderungen an wesentliche Auslagerungen konkretisiert (Art. 30 bis 32). Auf diese Regelungen verweist auch das WpFG (§ 40 WpFG), ohne damit aber ein eigenes Auslagerungsregime neben dem WpHG aufzustellen.

Auch kleine und mittlere Wertpapierfirmen, die zukünftig insbesondere hinsichtlich ihrer Zulassung und der Eigenkapitalanforderungen nicht mehr vom Kreditwesengesetz (KWG), sondern vom WpFG reguliert werden, müssen also weiterhin die Anforderungen des WpHG umsetzen; hinsichtlich der Auslagerung bedeutet das aufgrund des Verweises auf das KWG/die MaRisk die Erfüllung des entsprechenden bankaufsichtsrechtlichen Standards.

Ausblick auf Teil 2

Im zweiten Teil unseres Updates zur Auslagerung werden wir die neuen Regelungen des FISG näher betrachten.

Bis dahin wünschen wir unseren Leserinnen und Lesern einen schönen zweiten Advent!