Heads-up zu EBA-Leitlinien für Auslagerungen – Geltung ab 30. September 2019

27. September 2019 – need2know

Mit 30.09.2019 treten die Leitlinien zu Auslagerungen (EBA/GL/2019/02) der Europäischen Bankenaufsichtsbehörde (European Banking Authority – EBA) vom 25.02.2019 in Kraft. Die Leitlinien richten sich neben Kreditinstituten – hier waren schon bisher die CEBS-Leitlinien zu Auslagerungen relevant – neu auch an Wertpapierfirmen, Zahlungsinstitute und E-Geldinstitute. Die Empfehlungen zur Auslagerung an Cloud-Anbieter (EBA/REC/2017/03) wurden integriert. Die österreichische Finanzmarktaufsicht – FMA – hat an die EBA eine positive Compliance-Erklärung gemäß Art. 16 Abs. 3 EBA-VO erstattet.

Die neuen Regelungen gelten für alle neuen Verträge ab dem 30.09.2019. Für bestehende Verträge gilt eine Frist bis 31.12.2021. Bis dahin haben Institute alle bestehenden Auslagerungsvereinbarungen auf die Übereinstimmung mit den überarbeiteten Leitlinien zu überprüfen sowie die Dokumentation dazu zu aktualisieren. Sollte diese Überprüfung bei Auslagerungsvereinbarungen für kritische oder wichtige Funktionen bis zum 31.12.2021 nicht abgeschlossen werden können, haben die Institute die zuständige Behörde darüber zu informieren.

Die EBA-Leitlinien gelten für alle Auslagerungen, wobei der Begriff „Auslagerung“ als Vereinbarung zwischen einem Institut und einem Dienstleister definiert wird, in deren Rahmen der Dienstleister einen Prozess durchführt, eine Dienstleistung erbringt oder eine Tätigkeit ausführt, die das Institut ansonsten selbst übernähme. Bedeutsam ist die Differenzierung zwischen „kritischen oder wesentlichen Funktionen“, für die höhere Anforderungen insbesondere für Überprüfungs- und Überwachungspflichten gelten, und „sonstigen Funktionen“.

Konkrete Auslagerungen müssen auf Basis einer regelmäßig zu überprüfenden und zu aktualisierenden internen Auslagerungsrichtlinie vorgenommen werden. Die erfassten Institute sind verpflichtet, eine Auslagerungsfunktion einzurichten oder eine Führungskraft zu benennen, die unmittelbar dem Leitungsorgan unterstellt ist, und die insbesondere Überwachungs- und Kontrollfunktionen ausübt und Risikoprüfungen vornimmt.

Für Auslagerungsverträge mit Cloud-Anbietern gelten die ergänzenden Bestimmungen der EBA‑Leitlinien. Diese umfassen insbesondere Anforderungen an die Datensicherheit, aber auch erweiterte Pflichten für Registerinformationen.

Die EBA-Leitlinien gehen inhaltlich zum Teil weit über die gesetzlichen Bestimmungen zur Auslagerung für Kreditinstitute in § 25 BWG bzw für Zahlungsinstitute und E-Geldinstitute in § 21 ZaDiG 2018 hinaus. Bei der Ermittlung des konkreten Anpassungsbedarfs ist – wie auch generell bei der Einhaltung der EBA-Leitlinien – der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Dh das individuelle Risikoprofil, die Art und das Geschäftsmodell des Instituts sowie der Umfang und die Komplexität seiner Tätigkeiten sind soweit miteinzubeziehen, dass die Ziele der regulatorischen Anforderungen wirksam erreicht werden können.

Der Handlungsbedarf bei den erfassten Instituten betrifft insbesondere zwei wesentliche Elemente:

  • Inhaltliche Prüfung und allenfalls Anpassung bestehender Auslagerungsverträge: Die EBA-Leitlinien enthalten detaillierte Anforderungen an die vertragliche Ausgestaltung (auch zwingende Mindestinhalte) von Auslagerungsvereinbarungen.
  • Erfassung sämtlicher Auslagerungsvereinbarungen in einem gesonderten Register: Sämtliche Auslagerungsverträge sind in einem gesonderten Register zu erfassen. Die EBA-Leitlinien legen den Mindestinhalt fest. Dieses Register ist auf Anforderung der zuständigen Behörde gegenüber offenzulegen.

 

Autoren: Holger Steinborn, Daniel Reiter

Fragen? Bitte kontaktieren Sie:

Christoph Nauer
Elke Napokoj
Holger Steinborn
Kornelia Wittmann
Daniel Reiter
Roland Juill

Praxisgruppen:

Kapitalmarkt
Bankrecht & Finanzierung

Wenn Sie zukünftige Ausgaben von need2know erhalten möchten, folgen Sie uns auf LinkedIn oder senden Sie eine E-Mail an subscribe@bpv-huegel.com.

 

Unsere Verwendung von Cookies

Für den Betrieb unserer Website verwenden wir betriebsnotwendige und funktionale Cookies. Webanalyse-Cookies, um unsere Website zu verbessern, setzen wir nur dann ein, wenn Sie diese aktivieren. Durch die Verwendung dieses Tools zur individuellen Anpassung der Cookies wird ein Cookie auf Ihrem Gerät abgelegt, um Ihre Einstellungen zu speichern.

Weitere Informationen zu den von uns verwendeten Cookies finden Sie in unserer Cookies Policy.

Betriebsnotwendige CookiesBetriebsnotwendige Cookies ermöglichen grundlegende Funktionen wie Sicherheit, Netzwerkmanagement und Erreichbarkeit. Durch die Änderung Ihrer Browsereinstellungen können Sie diese deaktivieren, was sich jedoch auf die Funktionsweise der Website auswirken könnte.

Funktionale Cookies

Funktionale Cookies erlauben es den Nutzern, die Darstellung einer Website individuell anzupassen: sie können sich Benutzernamen, Spracheinstellungen und Regionen merken. Wir nutzen funktionale Cookies um Ihre Benutzereinstellungen zu speichern und um zu erkennen, ob Sie die Website bereits zuvor besucht haben, so dass Ihnen keine Nachrichten für Erstbesucher angezeigt werden. Diese Cookies sammeln keine Informationen über Sie, die für Marketingzwecke verwendet werden könnten, und erinnern sich nicht daran, wo Sie im Internet waren.

Sie können diese Cookies mit dem Button deaktivieren, aber Sie sollten dabei Bedenken, dass dann sämtliche Ihrer Einstellungen verloren gehen, und beim nochmaligen Besuch neu vorgenommen werden müssen, es auch sein kann, dass die Website nicht ordnungsgemäß funktioniert oder Sie einige Funktionen nicht mehr nutzen können.

Webanalyse-Cookies (inklusive von US-Anbietern)

„Webanalyse-Cookies“ sammeln aggregierte Informationen über das Nutzerverhalten zur Verbesserung unserer Website. Wir würden gerne solche Cookies von Google Analytics zur Verbesserung unserer Website einsetzen, indem wir Informationen über die Nutzung unserer Website Sammeln und Auswerten. Anbieter von Google Analytics ist Google LLC mit Sitz in den USA. Den USA wird vom Europäischen Gerichtshof kein angemessenes Datenschutzniveau bescheinigt. Es besteht insbesondere das Risiko, dass Ihre Daten dem Zugriff durch US-Behörden zu Kontroll- und Überwachungs­zwecken unterliegen und dagegen keine wirksamen Rechtsbehelfe zur Verfügung stehen. Mit Aktivierung der Schalfläche unter "Webanalyse-Cookies (inklusive von US-Anbietern)" willigen Sie ein, dass wir diese Cookies setzen dürfen und Sie auch mit der Übermittlung von Daten in die USA einverstanden sind. Ihre Einwilligung können Sie jederzeit über die Cookies-Einstellungen auf unserer Website widerrufen.