5. Novelle der MaRisk und BAIT

Neue Herausforderungen bei Outsourcing-Verträgen



Michaela Witzel schreibt als Expertin zum IT-Vertragsrecht und zu aktuellen rechtlichen Themen in Zusammenhang mit Outsourcing und Cloud-Computing, Open Source Software, AGB-Recht und zu Projektverträgen. Sie ist Fachanwältin für Informationstechnologierecht und auf diesen Gebieten seit 2000 in der auf IT und Datenschutz spezialisierten Kanzlei SSW Schneider Schiffer Weihermüller in München tätig. Im "JUVE Handbuch für Wirtschaftskanzleien" ist sie seit 2002 unter den für Informationstechnologierecht empfohlenen Anwälten. Sie ist unter anderem Mitautorin in Schneider/Westphalen, Softwareerstellungsverträge, 2. Auflage, 2013.
Auslagerungslösungen spielen bei der Suche nach nachhaltigen und ertragreichen Geschäftsmodellen für die Finanzwelt eine zentrale Rolle. 95 Prozent der Mitarbeiter mit mehr als 100 Unternehmen sehen Auslagerungen als wesentlichen Teil ihrer Unternehmensstrategie.

Ende Oktober 2017 wurde die 5. Novelle der MaRisk (Mindestanforderungen an das Risikomanagement der Banken) veröffentlicht, aus der sich eine Reihe (vermeintlicher) Klarstellungen, aber auch Neuerungen für Auslagerungen ergeben. Im November wurden ergänzend die Bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht. Die BAIT sind nunmehr zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Ende 2017 einige neue Regularien verabschiedet.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat Ende 2017 einige neue Regularien verabschiedet.
Foto: Anton Violin - shutterstock.com

Wie die MaRisk erläutern auch die BAIT die gesetzlichen Anforderungen des Paragraf 25 Abs. 1 Satz 3 Nr. 4 und 5 KWG (Kreditwesengesetz). Aus Paragraf 25 a KWG ergibt sich die Verpflichtung für Kreditinstitute zur Durchführung eines angemessenen und wirksamen Risikomanagements. Paragraf 25 b KWG enthält Anforderungen, die im Falle einer Auslagerung zu erfüllen sind. Die MaRisk haben Leitliniencharakter. Sie geben einen Handlungsrahmen vor, die Institute haben allerdings weitgehende Freiheiten bei der praktischen Umsetzung.

Vorgaben der 5. Novelle an Auslagerungen

Beim klassischen Outsourcing, zum Beispiel für den Betrieb der IT-Infrastruktur oder einer Kernbanklösung durch einen IT-Dienstleister, bestand schon vor der 5. Novelle der MaRisk Einigkeit, dass ein Auslagerungsvertrag den besonderen Anforderungen des Risikomanagements Rechnung tragen muss. Der reine Erwerb einer Software, deren Implementierung und Pflege galt jedoch nach überwiegender Auffassung nicht als Auslagerung. Die besonderen Kontroll-, Informations- und Prüfungspflichten mussten also nicht Vertragsbestandteil werden.

Die Anforderungen an die Auslagerung in AT 9 der MaRisk wurde nun in Teilen erneuert, konkretisiert und klargestellt. Der Begriff der Auslagerung wurde stärker gegenüber dem „sonstigen Fremdbezug von Leistungen“ abgegrenzt. Darüber hinaus wurden verschiedene neue Anforderungen an das Auslagerungsmanagement, Exit-Prozesse und die Weiterverlagerungen aufgenommen.

Security Awareness Trainings als Umsatzbringer

Vorgesehen ist die Einrichtung eines zentralen Auslagerungsmanagements mit Dokumentations-, Unterstützungs- und Koordinationspflichten bei größeren Instituten und Instituten mit umfangreichen Auslagerungslösungen.

Lesetipp: FinTech in Deutschland: Was andere Länder besser machen

Die Anforderungen an unbeabsichtigte und unerwartete Beendigungen von Auslagerungen wurden dahingehend ergänzt, dass Ausstiegsprozesse festzulegen sind. Ziel des Beendigungsmanagements ist es, die ausgelagerten Prozesse und Aktivitäten aufrechtzuerhalten oder in angemessener Zeit wiederherzustellen. Die Notfallplanung ist dann zu berücksichtigen, wenn keine Handlungsoptionen mehr existieren.

Handlungsfelder auf Basis der Neufassung des AT 9 der MaRisk

• Die vollständige Erfassung von Auslagerungstatbeständen muss sichergestellt werden, insbesondere auch hinsichtlich des Fremdbezugs von Software und dazugehörenden Unterstützungsleistungen;

• Risikoanalysen sind zu überprüfen, vor allem im Hinblick auf die Risikokonzentration sowie etwaige Weiterverlagerungen;

• Die Zulässigkeit von Auslagerungen ist zu überprüfen;

• Exit Strategien und Beendigungsszenarien sind zu schärfen und

• bestehende Auslagerungsverträge sind in Bezug auf die neuen Regelungen zur Weiterverlagerung, den sonstigen Sicherheitsanforderungen und den „Grad der akzeptablen Schlechtleistung“ anzupassen;

• Ein zentrales Auslagerungsmanagement ist zu schaffen.

Softwareimplementierung und -pflege als Auslagerungssachverhalt

Der Kreis der Auslagerungstatbestände wurde erweitert. Unterstützungsleistungen, die von einem Kreditinstitut in Anspruch genommen werden, sind nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung zu qualifizieren, wenn die Software

  • zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder

  • für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist. Davon betroffen sind auch Kernbankensysteme, das heißt alle Systeme, mit deren Hilfe die Kernprozesse einer Bank abgebildet werden.

    Dazu gehören

  • Kontoführung,

  • Umsatzbearbeitung,

  • Bearbeitung von Krediten, Verwaltung von Kundendaten,

  • Wertpapierhandel sowie

  • Geld- und Devisenhandel.

Der reine Erwerb eines Kernbankensystems dürfte auch weiterhin nicht als Auslagerung gelten. Die Bewertung ändert sich aber unmittelbar, wenn der Erwerb mit Unterstützungs- und Implementierungsleistungen erfolgt, was die Regel und nicht die Ausnahme sein dürfte.

Für Projekte zur Implementierung eines Kernbankensystems und auch für deren spätere Pflege sind nunmehr bei der Vertragsgestaltung die besonderen Anforderungen an Auslagerungsverträge zu beachten. Nur bei Erwerb „sonstiger Software“, deren Implementierung und Betrieb dürfte keine Auslagerung im Sinne der MaRisk vorliegen.