Die neuen EBA-Guidelines zu Auslagerungen

02.10.2019 – Am 25. September 2019 veröffentlichte die European Banking Authority (EBA) die „Guidelines on Outsourcing Arrangements“ (EBA/GL/2019/02). Die neuen Leitlinien geben ein einheitliches Rahmenwerk für Auslagerungen durch CRR-, Zahlungs- und E-Geld-Institute vor. Mit Veröffentlichung der „Guidelines on Outsourcing Arrangements“ wurden die bisherigen Leitlinien des Committee of European Banking Supervisors (CEBS) vom 14. Dezember 2006 ersetzt und die EBA-„Recommendations on Outsourcing to Cloud Service Providers“ aus 2017 in die neuen Leitlinien integriert.

Die „Guidelines on Outsourcing Arrangements“ enthalten Anforderungen, die über die Regelungen zum Outsourcing in den MaRisk und BAIT hinausgehen bzw. von diesen abweichen. Dies ist allein schon durch den deutlich erhöhten Umfang an Regelungen ersichtlich – während der AT 9 MaRisk knapp 3 Seiten umfasst, werden die Anforderungen der „Guidelines on Outsourcing Arrangements“ auf rd. 40 Seiten dargestellt. Die wesentlichen Neuerungen und Konkretisierungen betreffen  insbesondere folgende Bereiche:

  • Erweiterter Anwendungsbereich

Erstmals werden auf EU-Ebene Anforderungen an Zahlungs- und E-Geld-Institute in diesem Bereich konkretisiert.

  • Begrifflichkeiten

Die „Guidelines on Outsourcing Arrangements“ unterscheiden „kritische“ und „sonstige“ Auslagerungen. Die Regelungen umfassen einen Kriterienkatalog, welche Faktoren eine „kritische“ Auslagerung bedingen, z.B. erheblicher Einfluss auf die Einhaltung aufsichtsrechtlicher Pflichten, auf die Ertragskraft oder auch auf das regulierte Geschäft.

  • Auslagerungsmanagement

Neben Informations- und Anzeigepflichten „kritischer“ Auslagerungsvorgaben gegenüber der Aufsicht wurden Mindestinhalte des Auslagerungsvertrags festgeschrieben, dezidierte Anforderungen an das Prozesshandbuch gestellt sowie das Aufgabenspektrum der Auslagerungsfunktion definiert. Ferner geht mit den „Guidelines on Outsourcing Arrangements“ die Verpflichtung zur Führung eines zentralen und einheitlichen Auslagerungsregisters einher, welches grundlegende Informationen zu „sonstigen“ und detaillierte Angaben zu „kritischen“ Auslagerungen enthält und der Aufsicht bei Verlangen zugänglich gemacht werden muss.

  • Analysen vor der Auslagerung

Bereits vor Durchführung der Auslagerung sind Szenarioanalysen mit unterschiedlichen Risikoereignissen durchzuführen, um die Auswirkungen der geplanten Auslagerung auf die operationellen Risiken beurteilen zu können. Die Mindestanforderungen an diese Szenarioanalysen sind in den „Guidelines on Outsourcing Arrangements“ dargestellt. Des Weiteren sehen die neuen Regelungen eine (Governance-)Due-Diligence des zukünftigen Dienstleisters vor, anhand der die Geeignetheit des Dienstleisters überprüft und sichergestellt werden soll. Die (Governance-)Due-Diligence muss u.a.  das Geschäftsmodell, die Organisationsstruktur, die Ressourcen und das ethische Verhalten des Dienstleisters beleuchten.

Die „Guidelines on Outsourcing Arrangements“ treten am 30. September 2019 in Kraft und sind somit für alle ab diesem Zeitpunkt neu abgeschlossenen Auslagerungsverträge zu berücksichtigen. Für Bestandsverträge gilt eine Übergangsfrist bis zum 31. Dezember 2021. Für kleine Institute gilt zudem das Proportionalitätsprinzip. Auch wenn eine Übergangsfrist für Bestandsverträge eingeräumt wurde, sollten die betroffenen Institute bereits jetzt mit der Umsetzung der Anforderungen der neuen Leitlinien beginnen.

Weitere Autoren:

Lena Stanulla

Katharina Thomas

Marvin Strache