IT-Outsourcing nach MaRisk- & BAIT-Vorgaben

IT-Auslagerungsverträge rechtskonform gestalten

06.12.2018 von Michaela Witzel

Ende 2017 hat die BaFin die 5. Novelle der MaRisk veröffentlicht. Die darin enthaltenen Änderungen betreffen auch die Vertragsgestaltung beim IT-Outsourcing. Mit den im gleichen Zeitraum veröffentlichten BAIT gelten weitere Anforderungen an eine Unternehmens-IT, die vertraglich relevant für Outsourcing- und Projekte sein können.

Müssen IT-Projektverträge und Softwarepflegeverträge, die Institute mit ihren Softwareanbieter schließen, MaRisk-konform sein?
Müssen auch IT-Projektverträge und Softwarepflegeverträge die Bestimmungen enthalten, die die MaRisk für Auslagerungsverträge vorsieht?
Was ergibt sich daraus für die Prozesse des Softwareanbieters?

Das Outsourcing von IT-Dienstleistungen ist vor allem in der Finanzbranche eine sensible Angelegenheit.
Foto: Tashatuvango - shutterstock.com

Die 5. Novelle der MaRisk hat die Vertragsgestaltung für die Institute nicht erleichtert, obwohl der Wortlaut vermeintlich zunächst Klarheit schafft. Das Entscheidungskriterium für die Einhaltung der Anforderungen nach § 25b KWG sowie nach AT 9 MaRisk ist das Vorliegen einer wesentlichen Auslagerung. Maßgeblich die Einstufung als (IT-)Auslagerung sind folgende Kriterien:

Notwendig ist der funktionaler Zusammenhang der auszulagernden Leistung mit einem Bankgeschäft, einer Finanzdienstleistung oder einer sonstigen institutstypischen Dienstleistung.
Gegenstand darf nicht der nur einmalige, gelegentliche Fremdbezug einer Leistung sein (Nachhaltigkeit);
Die auszulagernde Leistung muss ansonsten vom Institut selbst erbracht werden.

Ob eine Auslagerung wesentlich ist, hat nach AT 9 TZ. 2 MaRisk das Institut auf der Grundlage einer Risikoanalyse unter Risikogesichtspunkten eigenverantwortlich festzulegen. Diese Risikoanalyse muss im Vorfeld der Auslagerung durchgeführt und während der Laufzeit der Auslagerung kontinuierlich wiederholt werden.

Wurden bisher IT-Leistungen "fremdbezogen", kam es darauf an, ob und wenn ja, in welchem Maße sie in einem funktionalen Bezug zu den institutsspezifischen Leistungen standen. Wesentlich für die Einordnung als Auslagerung im Sinne der MaRisk war der funktionale Zusammenhang mit einem Bankgeschäft, einer Finanzdienstleistung oder einer sonstigen institutstypischen Dienstleistung.

Wurden beispielsweise Teile der IT fremdbezogen, die in einem direkten Zusammenhang mit den institutsspezifischen Leistungen standen, wie beispielsweise der Rechenzentrumsbetrieb eines Kernbankensystems oder die Verlagerung von für die institutsspezifischen Leistungen wesentlicher IT-Infrastruktur oder Applikationen in die Cloud, lag in der Regel eine (wesentliche) Auslagerung vor. Der Fremdbezug von Software und die für den operativen Einsatz typischerweise erforderlichen Projektleistungen (Anpassung und Implementierung) sollen nicht unter den Begriff der Auslagerung fallen.

Die Ausnahme von der Ausnahme

Von dieser Ausnahme, die auf den ersten Blick Projektverträge und Softwarepflegeverträge den Anforderungen der MaRisk entzieht, macht die MaRisk aber eine entscheidende Ausnahme: Bei Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, sind Unterstützungsleistungen als Auslagerung einzustufen.

Anbieter von

Gesamtbankenlösungen,
Applikationen für das Kreditriskomanagement,
Handels- und Wertpapiersysteme,
Anwendungen für Risikomanagement und Controlling

bieten Produkte, die im Regelfall unter diese Ausnahme der Ausnahme fallen. Die wesentliche Bedeutung für die bankgeschäftlichen Aufgaben kann zum Beispiel am Risiko eines etwaigen Ausfalls der entsprechenden Leistungen festgemacht werden. Hinweise liefern kann ebenfalls die Schutzbedarfseinstufung der Software.

Zeitfresser im Mittelstand: Schlechte Software kostet mehr als einen halben Arbeitstag pro Woche

Zeitfresser
Mehr als sechs Stunden pro Arbeitswoche verliert jeder Mitarbeiter in kleinen mittelständischen Unternehmen aufgrund mangelhafter oder fehlender Technik. So lautet eines der Ergebnisse einer repräsentativen Umfrage durch OnePoll unter 1.000 Angestellten in Unternehmen mit einer Größe von bis zu hundert Mitarbeitern. Teamleader hat zudem untersucht, bei welchen tagtäglichen Aufgaben Mitarbeiter besonders viel Zeit verlieren.

Mit einem professionellen Projekt- und Rechnungsmanagement samt einer vernünftigen Kommunikationsplattform würden Mittelständler die meiste Zeit einsparen: Vor allem die Abstimmung von Angeboten, Konzepten, oder Verträgen mit Kunden frisst unnötig Zeit. Mehr als ein Viertel der Befragten (26%) sieht ein bis zwei Stunden Einsparpotenzial pro Woche, fast ein Fünftel (19,5%) sogar drei bis fünf Stunden.

Wer über ein professionelles Customer Relationship Management-Tool verfügt kann in der Woche im Schnitt eine Stunde und 20 Minuten einsparen – in 15 Prozent der Unternehmen gar drei bis fünf Stunden.

Weiteres Optimierungspotenzial sehen die Befragten beim Terminmanagement, bei der Zeiterfassung und beim Dateimanagement (jeweils mehr als eine Stunde pro Woche).

Viel Zeit könnten Mittelständler auch einsparen, wenn sie mehr Aufgaben automatisieren würden. Genau ein Drittel der Belegschaft verbringt ein bis zwei Stunden pro Woche damit, Aufgaben manuell zu erledigen, für die es technische Lösungen gäbe.

Fehlende Schnittstellen zwischen Anwendungen kosten fast eben so viel Zeit: 31 Prozent verbringen ein bis zwei Stunden mit dem Übertragen von Daten.

Weil Software nicht nutzerfreundlich genug ist, geht im Schnitt mehr als eine Stunde pro Woche pro Mitarbeiter verloren.

Ebenfalls mehr als eine Stunde könnten Mittelständler einsparen, wenn sie Anwendungen auch mobil bereitstellen würden. „Chefs müssen ja nicht alles auf einmal angehen“, so Jeroen De Wit, CEO von Teamleader. „Wer aber seine Software nach und nach optimiert, kann mehr als einen halben Tag pro Woche herausholen.“

Wann liegt eine Auslagerung vor?

Das bislang einschlägige Kriterium des funktionalen Zusammenhangs schlägt sich auch in der nunmehr von der BaFin für die Beschaffung von IT vorgenommenen Abgrenzung nieder. Diese ist gegeben, soweit es um die

Identifizierung,
Beurteilung,
Steuerung,
Überwachung und
Kommunikation

von Risiken des Instituts oder um Tätigkeiten geht, die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind.

Problematisch dürfte allerdings die Feststellung werden, unter welchen Voraussetzungen diese Kriterien denn tatsächlich nicht mehr erfüllt wären. Es dürfte bei den beaufsichtigten Instituten nur relativ wenige IT-Beschaffungen geben, die nicht zumindest mittelbar zu den oben aufgeführten Punkten beitragen oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind.

Solange hier in der Prüfungspraxis keine (restriktive) Konkretisierung erfolgt, ist davon auszugehen, dass bei IT-Beschaffungen zukünftig relativ schnell das Vorliegen einer Auslagerung seitens der Institute angenommen werden wird und die Verträge entsprechend gestaltet werden müssen.

Die Bedeutung der MaRisk endet allerdings nicht bei der Ergänzung der Vertragstexte, sondern auch beim Aufbau der entsprechenden Prozesse auf Seiten des Softwareanbieters.

Unabhängig von der Einstufung als Auslagerung hat das Finanzinstitut beim Bezug von Software folgende aufsichtsrechtliche Anforderungen zu erfüllen:

Gemäß AT 7.2 TZ 4 sind für jeden Softwarebezug die damit verbundenen Risiken zu bewerten.
Die Verpflichtung zur Risikobewertung ergibt sich auch aus Modul 8 der BAIT.

Anforderungen an Vertragsinhalte

AT 9 TZ. 7 MaRisk enthält einen ausdrücklichen Regelungskatalog von Anforderungen, die bei einer wesentlichen (IT-)Auslagerung einzuhalten sind. Aus der MaRisk lassen sich aber noch weitere Anforderungen ableiten, die bei der Vertragsgestaltung Berücksichtigung finden sollten. Das auslagernde Institut hat das Auslagerungsunternehmen mit der erforderlichen Sorgfalt auszuwählen, die Leistungserbringung umfassend zu spezifizieren und die Leistungserstellung angemessen zu überwachen.

Eine möglichst klare, eindeutige und detaillierte Leistungsbeschreibung gehört zu den Mindestanforderungen an den Auslagerungsvertrag. Gerade hier liegen aber in der Praxis erhebliche Mängel vor.

Des Weiteren sind sollten beispielsweise folgende Anforderungen an den Anbieter in der Gestaltung des Auslagerungsvertrags berücksichtigt werden:

Die Geschäftsprozesse des Anbieters sind so effizient und effektiv ausgestaltet, dass die Leistungserbringung wie vereinbart erbracht werden kann.
Das Personal des Anbieters erfüllt die qualitativen Anforderungen für die Bereitstellung der auszulagernden Leistung.
Das Vergütungssystem entspricht den gesetzlichen Anforderungen.
Durch die Auslagerung können Prozesse qualitativ gleich oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.
Der Anbieter kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.
Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.
Zur Sicherstellung der Überwachung der Auslagerung muss der Anbieter aussagekräftige Reports zur Verfügung stellen.
Der Anbieter verhält sich entsprechend den rechtlichen Vorgaben.

Daneben erfordert die MaRisk die Festlegung angemessener Informations- und Prüfungsrechte: Kritische Themen, die in diesem Zusammenhang regelmäßig diskutiert werden, sind: wer, wann, was in welchem Umfang auf Seiten des Anbieters geprüft werden kann. Nicht selten stehen Informations- und Transparenzanforderungen der Institute und ihrer externen Prüfer sowie der BaFin in einem Spannungsverhältnis zu den Geschäfts- und Sicherheitsinteressen des Anbieters. Dies gilt insbesondere im Hinblick auf Vor-Ort-Kontrollen.

Vorbehalt von Weisungsrechten
Musste sich das auslagernde Institut nach dem Rundschreiben 11/2001 Weisungsrechte stets zwingend vorbehalten, gilt dies nach den MaRisk 2017 (AT 9 TZ. 7 lit. d)) nur noch "soweit erforderlich".

Doch was bedeutet das in der Praxis? Insbesondere: wie sollen Weisungsrechte bei standardisierten Leistungen, die sich gerade dadurch auszeichnen, dass sie nicht auf institutsspezifische Besonderheiten abstellen, umgesetzt werden? Eine gewisse Hilfe geben die Erläuterungen der BaFin, wonach auf eine explizite Vereinbarung von Weisungsrechten zugunsten des Instituts verzichtet werden kann, wenn die vom Auslagerungsunternehmen zu erbringende Leistung hinreichend klar im Auslagerungsvertrag spezifiziert ist. Daran fehlt es aber bei standardisierten Leistungen häufig erst recht; die Leistungsbeschreibungen der Anbieter haben vertrieblichen Charakter und sind auch nicht zwingend auf dem aktuellen Stand.

Festlegung der Möglichkeiten und Modalitäten einer Weiterverlagerung

MaRisk spricht zunächst davon, dass über die Möglichkeit und über die Modalitäten einer Weiterverlagerung Regelungen zu treffen sind, die sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält.

Allerdings hat das Thema "Voraussetzungen für eine Weiterverlagerung" in den MaRisk 2017 wieder an Bedeutung zugenommen, was daran deutlich wird, dass mit AT 9 TZ. 8 MaRisk ein neuer Regelungsabsatz in die MaRisk 2017 aufgenommen wurde, der ausschließlich das Thema Weiterverlagerung zum Gegenstand hat:
"Mit Blick auf Weiterverlagerungen sind möglichst Zustimmungsvorbehalte des auslagernden Instituts oder konkrete Voraussetzungen, wann Weiterverlagerungen einzelner Arbeits- und Prozessschritte möglich sind, im Auslagerungsvertrag zu vereinbaren.

Zumindest ist vertraglich sicherzustellen, dass die Vereinbarungen des Auslagerungsunternehmens mit Subunternehmen im Einklang mit den vertraglichen Vereinbarungen des originären Auslagerungsvertrags stehen. Ferner haben die vertraglichen Anforderungen bei Weiterverlagerungen auch eine Informationspflicht des Auslagerungsunternehmens an das auslagernde Institut zu umfassen. Das Auslagerungsunternehmen bleibt im Falle einer Weiterverlagerung auf ein Subunternehmen weiterhin gegenüber dem auslagernden Institut berichtspflichtig."

Digitale Banken - 5 Tipps für optimale Kundenerlebnisse

1. Prozesse neu denken
Alle Prozesse, die für den Kunden relevant sind, sollten von außen nach innen gedacht werden, also das optimale Kundenerlebnis zum Ausgangspunkt nehmen. Das erfordert ein Umdenken, das zum einen den Kunden in seiner Onlinewelt schon bei der Produkt- und Servicegestaltung in den Mittelpunkt stellt und sich zum anderen auf Datendurchgängigkeit und einheitliche CRM-Systeme fokussiert.

2. Einheitlichkeit schaffen
Im Rahmen des Umdenkens gilt es auch, die Kundenkontaktpunkte zu vereinheitlichen - und zwar alle, online wie offline, über Texte, Grafiken, Tonalität, Kontaktpersonen und Services hinweg. Diese Einheitlichkeit sollte jeden Prozessschritt für den Kunden einfach und verständlich machen. Dazu gehört auch, eine durchgehend persönliche Ansprache mit einem Berater als Absender oder zumindest einer gleichbleibenden Servicestelle.

3. Kontinuierlich optimieren
Wer den Kunden besser verstehen will, muss die bestehenden Prozess aus seiner Perspektive analysieren. Dazu gehören sowohl Stärken als auch Schwächen. Anschließend sind messbare Verbesserungen zu definieren, die dann kontinuierlich korrigiert werden sollten. Eine große Rolle spielt hier die Einbindung der relevanten Abteilungen, zum Beispiel Produktmanagement, Call Center, Sales und Marketing.

4. einen Verantwortlichen bestimmen
Um alle an einen Tisch zu bringen, braucht es eine zentrale Verantwortlichkeit für den Kundenprozess. So kann an einer zentralen Stelle auch objektiv gemessen werden, wie und wodurch der Kundenprozess verbessert wurde. Dieser Person obliegt die Planung und Durchführung der Maßnahmen zum Online-Erlebnis als ein Aktionsstrang der gesamten Digitalisierungs-Roadmap.

5. Durchgängigkeit gewährleisten
Prozessbrüche und Prozesswechsel sind zu vermeiden. Zum Beispiel der Bruch zwischen Online-Formular und anschließendem Filialbesuch. Es lohnt sich, aus Kundensicht zu prüfen, ob tatsächlich die Notwendigkeit traditioneller Kommunikationskanäle wie Briefsendungen besteht. Hier hilft die Frage: Wie können interne Hindernisse zugunsten einer durchgängigen Online-Customer-Experience verringert oder beseitigt werden?

Die Aufnahme eines gesonderten Regelungsabsatzes zu Weiterverlagerungen in die MaRisk lässt erahnen, dass diesem Thema zukünftig erneut eine große Aufmerksamkeit bei der Vertragsgestaltung zukommen wird. Im Hinblick auf zum Teil hochgradig arbeitsteilige Prozesse, in die zum Beispiel in Verbindung mit Cloud-Leistungen typischerweise mehrere Dienstleister eingebunden sind, wird die Umsetzung der BaFin-Anforderungen eine besondere Herausforderung darstellen.

Die MaRisk fordern in AT 9 Tz. 6 auch die Vorbereitung des Instituts auf eine erwartete (beabsichtigte) oder vorzeitige (unerwartete) Beendigung der Auslagerung, um eine reibungslose Geschäftsfortführung zu sichern. Dabei ist es unerheblich, ob die ausgelagerte Tätigkeit anschließend wieder in das Institut eingegliedert oder anderer Anbieter mit der Übernahme der ausgelagerten Aktivität beauftragt wird.

Hier ist durch geeignete vertragliche Regelungen mit dem Anbieter (Unterstützungsleistungen, Übergangsfrist) seitens des Instituts sicherzustellen, dass der ausgelagerte Bereich nach planmäßiger Beendigung des Auslagerungsverhältnisses ohne größere Schwierigkeiten entweder wieder in das Institut aufgenommen oder auf einen anderen Anbieter übertragen werden kann (Verpflichtung für eine geordnete Überleitung der ausgelagerten Prozesse an eine geeignete Nachfolgeeinrichtung). Im Fall, dass die Auslagerung an einen anderen Anbieter übergeben wird, kann der neue Anbieter mit der Überführung der Leistungserbringung und damit verbundener Ressourcen beauftragt werden.

Anforderungen aus den BAIT

Die BAIT ergänzen die Mindestanforderungen der MaRisk. Die BAIT gelten in einer Gesamtschau mit der MaRisk, soweit die BAIT auf dezidierte Textziffern der MaRisk verweisen.

Die bislang nur groben Anforderungen an IT-Projekte und Anwendungsentwicklung haben in den BAIT eine sehr detaillierte Ausgestaltung erfahren. Jede außerhalb der IT entwickelte Anwendung - so genannte IDVs - unterliegt den BAIT und muss somit, wie auch in der IT, abhängig von ihrer Risikoeinschätzung, die vom Institut vorzugebenden Standards erfüllen. Dazu gehört die Dokumentation von fachlichen und technischen Anforderungen sowie die Einhaltung von Entwicklungs-, Rollout- und Betriebsprozessen.

Im Bereich derAuslagerungen sehen die Vorgaben mehr Kontrolle über Anbieter und die zu erbringenden Leistungen vor. Daraus abgeleitet muss eine Steuerung der Auslagerungen anhand eines vollständigen Vertragsportfolios erfolgen - denn die Anforderungen sind unabhängig davon, ob die IT-Leistungen intern oder extern erbracht werden. Dazu zählen auch regelmäßige Risikoüberprüfungen und die Ableitung von Maßnahmen, die gemeinsam mit dem Dienstleister zu vereinbaren und durchzuführen sind.

Die BAIT befassen sich in insgesamt 14 Gliederungsziffern mit diesen Anforderungen, insbesondere mit:

der Steuerung und Überwachung von Projekten durch das Institut;
die Identifizierung und Berichterstattung von Projektrisiken gegenüber der Geschäftsleitung;
die Festlegung von Prozessen, die Vorgaben zur Anforderungsermittlung, zum Entwicklungsziel, zur (technischen) Umsetzung (einschließlich Programmierrichtlinien), zur Qualitätssicherung, sowie zu Test, Abnahme und Freigabe enthalten;
das Treffen angemessener Vorkehrungen vor und nach der Produktivsetzung im Hinblick auf verschiedenste Anforderungen und Risiken;
Dokumentationsanforderungen.

Diese Anforderungen müssen in Projekt- und auch in Pflegeverträgen mit den Anbieter abgebildet werden, wobei daraus auch ein Spannungsverhältnis mit der von Auftraggebern üblicherweise favorisierten Erfolgsverantwortung des Anbieters entstehen können.

Lesetipp: 5. Novelle der MaRisk und BAIT - Neue Herausforderungen bei Outsourcing-Verträgen