EBA veröffentlicht neue Leitlinien zur Auslagerung

Auslagerungen werden gerade in Zeiten von innovativen, digitalen Finanztechnologien (FinTech) immer wichtiger. Denn durch die Auslagerung, also die Übertragung von bestimmten Aufgaben auf externe Dienstleister, haben etablierte Bank- und Zahlungsdienstleistungsinstitute die Möglichkeit, sich Zugang zu den neuesten technischen Entwicklungen zu verschaffen, wenn sie diese nicht selbst entwickeln.

Am 25. Februar 2019 hat die Europäische Bankenaufsichtsbehörde (European Banking AuthorityEBA) ihren finalen Bericht über neue Leitlinien zur Auslagerung veröffentlicht, die am 30. September 2019 in Kraft treten werden. Damit werden die CEBS-Leitlinien (Committee of European Banking Supervisors, Vorgängerbehörde der EBA) von 2006 abgelöst, die nur für Kreditinstitute gelten. Die neuen Leitlinien sollen nicht nur für Kreditinstitute, sondern auch für Zahlungsdienstleister (nachfolgend zusammen Institute) gelten und somit die bestehenden Auslagerungsregelungen für die Marktteilnehmer vereinheitlichen (sog. level playing field). Auch die Empfehlungen der EBA zur Auslagerungen an Cloud-Dienstleister aus dem Jahr 2017 wurden in die neuen Leitlinien aufgenommen und somit ein vollumfängliches Regelwerk zur Auslagerung geschaffen.

Inhalt der neuen Leitlinien

Im Einzelnen sehen die neuen Auslagerungs-Leitlinien insbesondere folgende Regelungen vor:

  1. Die EBA empfiehlt, dass Institute vor geplanten Auslagerungsvereinbarungen die zuständige Behörde informieren bzw. mit ihr in einen Dialog über die geplante Auslagerung treten, insbesondere, wenn kritische Funktionen ausgelagert werden sollen.
  2. Die EBA-Leitlinien stellen zudem Regelungen für Auslagerungen innerhalb einer Gruppe auf. Bei gruppeninternen Auslagerungen müssen die EU-Mutterunternehmen z.B. sicherstellen, dass interne Prozesse und Mechanismen so strukturiert sind, dass die Vorgaben der Leitlinien umgesetzt werden können.
  3. Die neuen Leitlinien enthalten zudem eine Negativliste über Sachverhalte, die nicht als Auslagerung zu qualifizieren sind. So wird zum Beispiel klargestellt, dass weder die Unterhaltung von Räumlichkeiten eines Instituts, noch der Bezug von Gütern und Versorgungsdienstleistungen (wie Strom, Telefon etc.) eine Auslagerung darstellt.  
  4. Die Geschäftsführung eines Instituts muss eine schriftliche Auslagerungs-Policy beschließen, diese regelmäßig überprüfen und ihre Umsetzung sicherstellen. Die Regelungen, die die EBA in den Leitlinien vorgibt, sind wesentlich detaillierter als die Vorgaben des BaFin Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk).
  5. Gleiches gilt für die Vorgaben zu möglichen Interessenskonflikten, die aufgrund von Auslagerungen entstehen können. Diese sind zu identifizieren, zu bewerten und zu managen. Zudem sehen die Leitlinien Regelungen für Interessenskonflikte vor, die bei gruppeninternen Auslagerungen entstehen.
  6. Geregelt ist zudem die Führung eines detaillierten Registers über alle Auslagerungsvereinbarungen. Das Register soll z.B. zwischen der Auslagerung von kritischen bzw. wichtigen Funktionen und anderen Auslagerungen unterscheiden. Die Leitlinien sehen Regelungen zu den Informationen vor, die in dem Register für alle Auslagerungen vorzuhalten sind, sowie Regelungen zu zusätzlichen Informationen, die im Falle der Auslagerung kritischer Funktionen vorzuhalten sind.
  7. Bevor Auslagerungsvereinbarungen geschlossen werden, sollen die Institute eine fundierte Analyse durchführen (pre-outsourcing analysis). Dabei soll z.B. bewertet werden, ob es sich um die Auslagerung von kritischen Funktionen handeln wird, ob die aufsichtsrechtlichen Anforderungen an Auslagerungen erfüllt werden und ob eine angemessenen due diligence Prüfung des Auslagerungsunternehmens durchgeführt wurde.
  8. Auch bzgl. des Inhalts von Auslagerungsverträgen sehen die Leitlinien detaillierte Regelungen vor, die über die Vorgaben der MaRisk deutlich hinausgehen und konkreter die Anforderungen an aufsichtsrechtlich zulässige Auslagerungsverträge beschreiben.
  9. Zudem sehen die Leitlinien vor, dass die Institute Exit-Strategien für den Fall der Beendigung einer Auslagerungsvereinbarung über kritische Funktionen vorsehen. Die EBA gibt in den Leitlinien detailliert vor, welche Anforderungen die Institute dabei zu beachten haben.

Ab wann sind die neuen Leitlinien anzuwenden?

Die neuen Leitlinien gelten ab dem 30. September 2019 für alle Auslagerungsverträge, die ab diesem Zeitpunkt abgeschlossen, überprüft oder geändert werden, spätestens jedoch ab dem 31. Dezember 2021. Neuverträge, die ab dem 30. September abgeschlossen werden, sind also von Beginn an an die Regelungen in den EBA Leitlinien auszurichten. Altverträge, die vor dem 30. September 2019 bestanden, müssen auf die Regelungen der neuen Leitlinien angepasst werden, wenn sie nach dem 30. September überprüft oder geändert werden, spätestens jedoch bis zum 31. Dezember 2021.

Fazit

Die Leitlinien werden einen einheitlichen Regelungsrahmen bezüglich aufsichtsrechtlicher Anforderungen an Auslagerungen sowohl für Kreditinstitute als auch für Zahlungsdienstleister schaffen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) setzt die Leitlinien in der Regel in deutsches Recht um, sodass davon auszugehen ist, dass z.B. die Vorgaben der MaRisk entsprechend angepasst werden. Darauf sollten sich die Institute einstellen und sowohl bestehende Verträge als auch interne Prozesse entsprechend anpassen.