Umgang mit Weiterverlagerungen und Dienstleister-Konzentrationen unter DORA

• Aufsichtskonformer und risikoadäquater Umgang mit Weiterverlagerungen und Outsourcing-Konzentrationsrisiken
• Geeignetheitsprüfung des Sub-Dienstleisters gemäß DORA
• Wesentlichkeitsbeurteilung / Risikoanalyse bei Weiterverlagerung
• Herausforderungen bei (wesentlichen) Weiterverlagerungen an IKT-Dienstleister und Cloud-Service-Provider
• Identifizierung, Steuerung und Überwachung von (Konzentrations-)Risiken bei Auslagerungen im ZAM

An die Steuerung von Weiterverlagerungen und Outsourcing- Konzentrationsrisiken wurden mit der letzten MaRisk-Novelle und der DORAVerordnung zusätzliche Anforderungen formuliert, da Aufsichts-Prüfungen in diesem Bereich teilweise zu schwerwiegenden Feststellungen geführt hatten – insbesondere bei Weiterverlagerungen von IKT-Dienstleistungen, die oft in Drittstaaten erfolgen.

Weiterverlagerungen entbinden das ursprüngliche Auslagerungsunternehmen nicht von seinen Berichtspflichten. Dabei sind auch alle sonstigen eingegangenen Verpflichtungen auf den Subunternehmer zu übertragen, damit durch derartige Vertragskonstruktionen keine Verwässerung der Risiken erfolgt.

Das ursprünglich auslagernde Institut muss anhand einer Risikoanalyse bewerten, welche (wesentlichen) Risiken mit einer Weiterverlagerung verbunden sind und ob alle Rechte und Pflichten erhalten bleiben. Die Ergebnisse der Risikoanalyse sind in der Auslagerungsund Risikosteuerung zu beachten.

Dabei sind alle für das Institut relevanten Aspekte im Zusammenhang mit der Weiterverlagerung zu berücksichtigen einschließlich möglicher Risikokonzentrationen aufgrund mehrerer Auslagerungsvereinbarungen mit demselben Dienstleister.

Dabei ist eine enge Abstimmung und Verzahnung des ZAM mit dem Risikomanagement notwendig.