Umsetzungs-Erfahrungen neue Auslagerungs-Anforderungen (AT 9 MaRisk / BAIT) vor dem Hintergrund aktueller Aufsichtsprüfungen

• Aktuelle MaRisk-/BAIT-Anforderungen an die organisatorische Ausgestaltung (z. B. Zentrales Auslagerungsmanagement) der Prozesse und Strukturen (institutsintern und Schnittstelle zum Dienstleister) für eine effektive und risikoorientierte Steuerung der (IT-)Auslagerungen und (IT-)Fremdbezüge
• Mindestinhalte der Service-Level Agreements bzgl. der Reporting-Anforderungen (Turnus, Umfang, Inhalt)
• Aktuelle Anforderungen an den Aufbau, die Ausgestaltung, Befüllung und die Pflege eines Auslagerungsregisters & Cloud-Registers

Die Dienstleister-Steuerung und die Dienstleister-Berichterstattung haben in vielen bisherigen Aufsichtsprüfungen gravierende Mängel aufgezeigt und wesentliche Feststellungen für die Institute, die geprüften Bereiche, aber teilweise auch für die Interne Revision zur Folge gehabt. Die neuen MaRisk sowie die neuen BAIT konkretisieren daher – zusammen mit den EBA-Leitlinien zu Auslagerungen bzw. IKT- und Sicherheitsrisiken – die Anforderungen der Bankenaufsicht in Bezug auf den Umgang mit Auslagerungen und Fremdbezügen im Bereich der externen (IT-)Dienstleistungen. Insbesondere die kritische Beurteilung bzw. Prüfung von Dienstleister-(Prüf-)Berichten stellt die beteiligten Dienstleistersteuerer und die Interne Revision aber weiterhin vor große Herausforderungen.

Zudem sind die Anforderungen an das zentrale und einheitliche Auslagerungsregister durch die MaRisk-Novelle deutlich erweitert worden. Für wesentliche Auslagerungen sind nun bis zu 20 Merkmale je Auslagerung zu erfassen und an die Aufsicht zu melden. Wesentliche Neuerungen ergeben sich insbesondere bei der Erfassung des Datums der letzten Risikoanalyse mit einer Zusammenfassung der wesentlichen Ergebnisse sowie dem Datum der nächsten Analyse. Alle wesentlichen Weiterverlagerungen (inkl. Ort des Sub-Dienstleisters und ggf. Ort der Datenhaltung) sind zu erfassen. Das Auslagerungsregister ist auf Verlangen der Aufsichtsbehörden zugänglich zu machen.

Das neue Finanzmarktstabilisierungsgesetz (FiSG) verlangt sogar die Meldung einer beabsichtigten wesentlichen Auslagerung und deren Vollzug sowie wesentliche Änderungen und schwerwiegende Vorfälle im Rahmen von bestehenden wesentlichen Auslagerungen an die Aufsicht. Bei Cloud-Auslagerungen haben die Institute die Cloud-Dienstleistungs- und - Bereitstellungsmodelle (public/private Cloud) sowie die spezifische Art der Daten (Produktion, Backup) und deren Standorte (Ort der Datenspeicherung) bei der Auslagerung von Funktion an einen Cloud-Anbieter umfassend zu dokumentieren.