Hintergrund
ǀ Am 29. Juni 2021 gab die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bekannt, dass sie die Leitlinien der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA) zur Auslagerung an Cloud-Anbieter vom 10. Mai 2021 anwenden wird.
Die Leitlinien wurden bereits im Juni 2020 konsultiert und gelten seit dem 31. Juli 2021 für alle Auslagerungsvereinbarungen mit Cloud-Anbietern, die ab diesem Zeitpunkt abgeschlossen, verlängert oder geändert werden. In den Leitlinien wird auch explizit darauf hingewiesen, dass bestehende Auslagerungsvereinbarungen einer Prüfung zu unterziehen und gegebenenfalls bis zum 31. Dezember 2022 anzupassen sind.
Die Leitlinien dienen als Orientierungshilfe insbesondere bei der Ermittlung, dem Management und der Überwachung von Risiken bei der Auslagerung an Cloud-Anbieter. Gleichzeitig sollen sie das einheitliche Vorgehen der zuständigen Behörden bei ihrer Aufsicht über Auslagerungen an Cloud-Anbieter sicherstellen. Damit ergänzen sie auch die bestehenden Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) zu Auslagerungsvereinbarungen sowie diejenigen der Europäischen Versicherungsaufsichtsbehörde (EIOPA) zu Auslagerungen an Cloud-Anbieter.
Anwenderkreis
Die Leitlinien richten sich an die nationalen Aufsichtsbehörden und an folgende Marktteilnehmer des Finanzsektors, die dem Aufsichtsbereich der ESMA unterliegen:
- Verwalter alternativer Investmentfonds (AIFM) und Verwahrstellen alternativer Investmentfonds (AIF)
- Organismen für gemeinsame Anlagen in Wertpapieren (OGAW), Verwaltungsgesellschaften und Verwahrstellen von OGAW und Investmentgesellschaften, die keine gemäß der OGAW-Richtlinie zugelassene Verwaltungsgesellschaft benannt haben
- Zentrale Gegenparteien (CCP)
- Wertpapierfirmen und Kreditinstitute im Rahmen der Erbringung von Wertpapierdienstleistungen und der Ausübung von Anlagetätigkeiten, Datenbereitstellungsdienste und Betreiber von Handelsplätzen
- Transaktions- und Verbriefungsregister
- Zentralverwahrer
- Ratingagenturen
- Administratoren kritischer Referenzwerte
Inhalte der ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter
Insgesamt beinhaltet das Dokument die folgenden neun Leitlinien, deren Regeln entsprechend beachtet bzw. umgesetzt werden müssen und von denen wir drei näher erläutern werden. Zur Auseinandersetzung mit den übrigen Leitlinien raten wir darüber hinaus in jedem Fall.
1. Governance, Kontrolle und Dokumentation
2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung: Vor Abschluss einer Auslagerungsvereinbarung ist zu prüfen, ob die Auslagerungsvereinbarung mit einem Cloud-Anbieter eine kritische oder wesentliche Funktion betrifft. Die relevanten Risiken der Auslagerungsvereinbarungen mit Cloud-Anbietern sind zu ermitteln und zu bewerten. Eine angemessene Due-Diligence-Prüfung des künftigen Cloud-Anbieters ist durchführen und etwaige Interessenkonflikte, die sich aus der Auslagerung ergeben könnten, sind zu ermitteln und zu beurteilen. Sind kritische oder wesentliche Funktionen ausgelagert, sind weitere Anforderungen umzusetzen.
3. Zentrale Bestandteile des Vertrags
4. Informationssicherheit: In den internen Richtlinien und Verfahren sowie in der schriftlichen Auslagerungsvereinbarung mit einem Cloud-Anbieter sind Anforderungen an die Informationssicherheit festzulegen. Die Einhaltung dieser Anforderungen ist fortlaufend zu überwachen – einschließlich des Schutzes vertraulicher, personenbezogener oder anderweitig sensibler Daten. Bei der Auslagerung kritischer oder wesentlicher Funktionen sind auch gemäß dieser Leitlinie weitere Anforderungen zu erfüllen.
5. Ausstiegsstrategien: Bei der Auslagerung von kritischen oder wesentlichen Funktionen sollte sichergestellt sein, dass die Auslagerungsvereinbarung mit einem Cloud-Anbieter beendet werden kann, ohne dass die geschäftlichen Aktivitäten und Dienstleistungen in unverhältnismäßiger Weise unterbrochen und die Einhaltung von Verpflichtungen nach den anwendbaren Rechtsvorschriften sowie die Vertraulichkeit, Integrität und Verfügbarkeit der Daten beeinträchtigt werden. Zu diesem Zweck sind u. a. Ausstiegs- und Übergangspläne zu entwickeln.
6. Zugangs- und Prüfungsrecht
7. Sub-Auslagerungen
8. Schriftliche Mitteilung an die zuständigen Behörden (über beabsichtigte Auslagerungsvereinbarungen mit Cloud-Anbietern, die eine kritische oder wesentliche Funktion betreffen)
9. Überwachung von Auslagerungsvereinbarungen mit Cloud-Anbietern
Mit ihrer Ankündigung, die ESMA-Leitlinien anwenden zu wollen, hat die BaFin zu erkennen gegeben, dass diese Leitlinien sich in der eigenen Verwaltungspraxis widerspiegeln werden. Die ESMA-Leitlinien orientieren sich grundsätzlich stark an den Mindestanforderungen an das Risikomanagement (MaRisk) sowie an den Bankaufsichtlichen Anforderungen an die IT (BAIT), die bereits für alle Institute im Sinne von § 1 Abs. 1b KWG bzw. § 53 Abs. 1 KWG anzuwenden sind. Sie erweitern diese jedoch um einige Regelungen, die speziell auf Cloud-Anbieter zugeschnitten sind.
Handlungsbedarf
- Prüfung, ob die ESMA-Leitlinien für Ihr Institut anzuwenden sind
- Überprüfung bestehender interner Regelungen, Strategien und Auslagerungsvereinbarungen auf Anpassungsbedarf