Outsourcing durch Banken

outsourcing banken

Vor einigen Monaten, genauer gesagt am 22. Juni 2018, hat die EBA einen Entwurf für Leitlinien zur Auslagerung (Guidelines Outsourcing) veröffentlicht (EBA/CP/2018/11). Wir rechnen damit, dass diese Leitlinien in den kommenden Monaten finalisiert werden. In diesem Beitrag finden Sie eine kompakte Zusammenfassung dieses Pakets, das es für Kredit- und Finanzinstitute in sich hat. 

Aufgrund umfangreicher, teils sehr kritischer Stellungnahmen zum Entwurf gehen wir davon aus, dass es noch zu einigen Änderungen kommen wird. Nichts desto trotz glauben wir, es ist jetzt schon wichtig, die Auslagerungssituation in ihrem Institut gegen diese neuen Anforderungen zu prüfen und allfälligen Anpassungsbedarf zu evaluieren.

Hauptkritikpunkte seitens der Kreditwirtschaft (siehe z.B. die Stellungnahme der European Banking Federation) sind unter anderem der erweiterte sachliche Anwendungsbereich, unklare Definitionen sowie die unzureichende Gruppenprivilegierung. Hingegen kritisieren Zahlungsinstitute und E-Geld-Institute vorrangig (siehe z.B. die Stellungnahme der Interessengemeinschaft Kreditkarten) die Ausdehnung des persönlichen Anwendungsbereichs.

Hintergrund

Die Leitlinien zum Outsourcing sollen dem steten Anstieg an (IT-)Auslagerungen durch Finanzinstitute Rechnung tragen. Dabei sollen auch die unterschiedlichen Rechtsrahmen zur Auslagerung in der CRD IV, MiFID II und PSD2 einander angeglichen werden.

Die Leitlinien sollen die bisher geltenden CEBS-Leitlinien aus dem Jahr 2006 ersetzen. Es sollen damit auch die EBA Leitlinien zur internen Governance (EBA/GL/2017/11), welche bereits generelle Regelungen zur Auslagerung enthalten, spezifiziert werden. Darüber hinaus integriert der Entwurf die im Dezember 2017 veröffentlichten EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter (EBA/REC/2017/03).

Wer ist von den Outsourcing Leitlinien betroffen?

Künftig sollen Kreditinstitute, CRR-Wertpapierfirmen, Zahlungsinstitute (ausgenommen Kontoinformationsdienste) und E-Geldinstitute in den Anwendungsbereich der neuen EBA Leitlinien fallen. Die Outsourcing-Leitlinien sollen für Institute auf Einzelbasis und auf konsolidierter bzw. teilkonsolidierter Basis gelten.

Weiters sehen die Outsourcing Guidelines für Gruppen und institutionelle Schutzsysteme (IPS) bestimmte Verpflichtungen und Privilegierungen vor, die sich auf bestimmte Governance-Aspekte beziehen, zum Beispiel die Zentralisierung des Auslagerungsregister, der Auslagerungsanalyse, des Exit-Plans und des Monitorings. Es besteht in diesem Zusammenhang aber eine noch aufzulösende Diskrepanz zwischen den unterschiedlichen Gruppenbegriffen bei Zahlungsinstituten und Kreditinstituten. Eine klarere Differenzierung zwischen Kreditinstituten einerseits sowie Zahlungsinstituten und E-Geld-Instituten andererseits scheint erforderlich.

Diese Gruppenbestimmungen sollen aber nicht darüber hinwegtäuschen, dass der Abschluss einer Intragruppen-Auslagerungsvereinbarung nach dem Entwurf denselben Anforderungen wie der Abschluss einer Auslagerungsvereinbarung mit Dritten außerhalb der Gruppe unterliegt.

Zeitplan

Die neuen Outsourcing-Leitlinien werden, vorausgesetzt die österreichische FMA erklärt sich mit diesen compliant, nach derzeitigem Stand für alle neuen Auslagerungen ab dem 30. Juni 2019 gelten. Für bestehende Auslagerungen soll es Übergangsfristen (bis spätestens 21. Dezember 2020) geben. Ausgenommen sind die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter, die bereits seit 1. Juli 2018 gelten. Aufgrund der umfangreichen und kritischen Stellungnahmen ist es möglich, dass sich der Zeitplan nach hinten verschiebt.

Welche Arten von Outsourcing sind umfasst?

Die Begriffe "Outsourcing" (Auslagerung) und „kritische oder wesentliche Funktionen“ werden einheitlich für alle Finanzinstitute, die der EBA unterliegen, definiert. Daran anknüpfend gibt es Anforderungen, die für Auslagerungsverträge im weiteren Sinne gelten und spezielle Anforderungen, die an das Outsourcing kritischer oder wesentlicher Funktionen gelten.

Damit würde der sachliche Anwendungsbereich im Vergleich zu bisherigen nationalen und europarechtlichen Vorgaben erheblich erweitert. In den CEBS Leitlinien aus dem Jahr 2006 wurde explizit geregelt, dass es keine Beschränkungen von nicht kritischen bzw nicht wesentlichen Auslagerungen geben soll (Leitlinie 5). Die Vorgaben in Artikel 30 ff der delegierten Verordnung (EU) 2017/565 der Kommission vom 25. April 2016 zur MiFID II, auf die sich die EBA bezieht, behandeln auch nur Auslagerungen von „kritischen und wesentlichen Funktionen“.

Aus unserer Sicht überschreitet die EBA mit dem Entwurf ihr Mandat. Es bleibt aber abzuwarten, ob die finalen Guidelines noch entschärtt werden.

Die Governance-Anforderungen

Der Entwurf der Leitlinien enthält umfangreiche Governance-Anforderungen für betroffene Unternehmen:

  • Outsourcing Policy: Institute haben auf konsolidierter bzw. teilkonsolidierter Basis und/oder auf Einzelbasis eine Outsourcing Policy zu erstellen.
  • Auslagerungsregister: Zur Aufzeichnung aller Auslagerungsverträge ist ein Auslagerungsregister zu etablieren. Dieses Register kann innerhalb einer Gruppe zentral geführt werden, wobei sicherzustellen ist, dass einzelne Institute Zugriff auf deren Einträge haben. Die Einträge des Registers sind mindestens alle drei Jahre an die Aufsichtsbehörde zu melden.
  • Monitoring: Die Überwachung von ausgelagerten Funktionen ist sicherzustellen, wobei eine Zentralisierung auf Gruppenebene bis zu einem gewissen Grad möglich sein soll.
  • Interessenkonflikte: Interessenkonflikte sind zu identifizieren und zu analysieren, wobei für Kreditinstitute auf die Anforderungen in den EBA Leitlinien zur internen Governance verwiesen wird.
  • Betriebskontinuitätspläne („business continuity plans“): Diese Pläne sind etwa für den Fall der Insolvenz eines Dienstleisters zu erstellen.
  • Exit-Strategien: Für Auslagerungen von kritischen oder wesentlichen Funktionen sind Exit-Strategien zu entwickeln (können auf Gruppenebene erstellt werden).
  • Interne Revision: Hinsichtlich der Ausübung der Funktion der Internen Revision bestehen spezielle Vorgaben (zB gegebenenfalls Zustimmung des Prüfungsausschusses, Durchführung des Follow-up durch die Interne Revision).

Vorvertragliche Auslagerungsanalyse

Weiters finden sich im Entwurf der Leitlinien detaillierte Vorgaben für eine vorvertragliche Auslagerungsanalyse („Pre-outsourcing analysis“) nach folgendem Schema:

  • Analyse, ob eine kritische oder wesentliche Funktion ausgelagert wird;
  • Einhaltung der angemessenen Sorgfaltsvorschriften (z.B. Sicherstellung, dass Dienstleister über genügend Ressourcen zur Ausübung der kritischen oder wesentlichen Funktion hat oder die internationalen Menschenrechtsstandards einhält);
  • Identifizierung und Bewertung aller Risken (insbesondere Konzentrationsrisken);
  • Interessenkonflikte sind zu identifizieren und zu bewerten;
  • Berücksichtigung der Konsequenzen, wenn sich der Dienstanbieter in einem Drittstaat befindet; und
  • Berücksichtigung, ob der Dienstleister Teil der Gruppe des auslagernden Kreditinstituts, Zahlungsinstituts oder E-Geldinstituts ist und dieses Institut Einfluss auf den Dienstleister nehmen kann.

Es ist in diesem Zusammenhang unseres Erachtens nicht nachvollziehbar, weshalb insbesondere die Sorgfaltsvorschriften undifferenziert bei sämtlichen Auslagerungen einzuhalten sind. Auch diesbezüglich überschreitet die EBA ihr Mandat.

Vertragliche Anforderungen an Auslagerungsverträge

Anknüpfend an das vorvertragliche Assessment sieht der Leitlinienentwurf umfangreiche Vorgaben hinsichtlich der Ausgestaltung von Auslagerungsverträgen vor („contractual phase“).

Manche dieser Regelungen sind bereits aus § 25 Bankwesengesetz bekannt. Allerdings ist der Detailgrad der Leitlinien hinsichtlich dieser Anforderungen bemerkenswert und geht wie die Anforderungen zur vorvertraglichen Auslagerungsanalyse über nationale Vorgaben hinaus. Weiters finden sich im Entwurf der Leitlinien auch nicht nachvollziehbare Vorgaben für Auslagerungsvereinbarungen von nicht kritischen und nicht wesentlichen Funktionen (beispielsweise ein verpflichtendes Auditrecht).

Was ist für Kreditinstitute zu tun?

Eine rechtzeitige und profunde Auseinandersetzung mit den neuen Leitlinien ist für Kreditinstitute, Zahlungsinstitute und E-Geld-Institute unerlässlich. Wir empfehlen spätestens nach Vorliegen der finalen Leitlinien eine GAP-Analyse zu erarbeiten. Das Zielbild der gesamten Outsourcing-Governance sollte dann (gegebenenfalls auch auf Gruppenebene) an die neuen Vorgaben angepasst werden. Auch die Anpassung bereits bestehender Auslagerungsverträge wird zeitliche Ressourcen binden.

Wie können wir Sie unterstützen?

Wir unterstützen Sie dabei,

  • die aufsichtsrechtlichen Anforderungen praxisgerecht umzusetzen (beispielsweise bei der Erstellung / Prüfung Ihrer Outsourcing Policy);
  • unklare Regelungen der Leitlinien auszulegen;
  • abzuklären, inwieweit vertragsrechtliche Änderungen bei bestehenden Verträgen notwendig sind; und
  • mit Dienstanbietern Auslagerungsverträge zu verhandeln, um sicherzustellen, dass die Vertragsinhalte auch den Anforderungen der Leitlinien genügen.

Ihre Ansprechpartner: Dr. Bernd Fletzberger und Mag. Alexander Kern

Adresse

  • 1010 Wien,
    Nibelungengasse 11/4

Kontakt

  • +43 1 877 04 54
  • office(a)pfr.at

Follow us

Suche