Heads-up zu EBA-Leitlinien für Auslagerungen – Geltung ab 30. September 2019

27. September 2019 – need2know

Mit 30.09.2019 treten die Leitlinien zu Auslagerungen (EBA/GL/2019/02) der Europäischen Bankenaufsichtsbehörde (European Banking Authority – EBA) vom 25.02.2019 in Kraft. Die Leitlinien richten sich neben Kreditinstituten – hier waren schon bisher die CEBS-Leitlinien zu Auslagerungen relevant – neu auch an Wertpapierfirmen, Zahlungsinstitute und E-Geldinstitute. Die Empfehlungen zur Auslagerung an Cloud-Anbieter (EBA/REC/2017/03) wurden integriert. Die österreichische Finanzmarktaufsicht – FMA – hat an die EBA eine positive Compliance-Erklärung gemäß Art. 16 Abs. 3 EBA-VO erstattet.

Die neuen Regelungen gelten für alle neuen Verträge ab dem 30.09.2019. Für bestehende Verträge gilt eine Frist bis 31.12.2021. Bis dahin haben Institute alle bestehenden Auslagerungsvereinbarungen auf die Übereinstimmung mit den überarbeiteten Leitlinien zu überprüfen sowie die Dokumentation dazu zu aktualisieren. Sollte diese Überprüfung bei Auslagerungsvereinbarungen für kritische oder wichtige Funktionen bis zum 31.12.2021 nicht abgeschlossen werden können, haben die Institute die zuständige Behörde darüber zu informieren.

Die EBA-Leitlinien gelten für alle Auslagerungen, wobei der Begriff „Auslagerung“ als Vereinbarung zwischen einem Institut und einem Dienstleister definiert wird, in deren Rahmen der Dienstleister einen Prozess durchführt, eine Dienstleistung erbringt oder eine Tätigkeit ausführt, die das Institut ansonsten selbst übernähme. Bedeutsam ist die Differenzierung zwischen „kritischen oder wesentlichen Funktionen“, für die höhere Anforderungen insbesondere für Überprüfungs- und Überwachungspflichten gelten, und „sonstigen Funktionen“.

Konkrete Auslagerungen müssen auf Basis einer regelmäßig zu überprüfenden und zu aktualisierenden internen Auslagerungsrichtlinie vorgenommen werden. Die erfassten Institute sind verpflichtet, eine Auslagerungsfunktion einzurichten oder eine Führungskraft zu benennen, die unmittelbar dem Leitungsorgan unterstellt ist, und die insbesondere Überwachungs- und Kontrollfunktionen ausübt und Risikoprüfungen vornimmt.

Für Auslagerungsverträge mit Cloud-Anbietern gelten die ergänzenden Bestimmungen der EBA‑Leitlinien. Diese umfassen insbesondere Anforderungen an die Datensicherheit, aber auch erweiterte Pflichten für Registerinformationen.

Die EBA-Leitlinien gehen inhaltlich zum Teil weit über die gesetzlichen Bestimmungen zur Auslagerung für Kreditinstitute in § 25 BWG bzw für Zahlungsinstitute und E-Geldinstitute in § 21 ZaDiG 2018 hinaus. Bei der Ermittlung des konkreten Anpassungsbedarfs ist – wie auch generell bei der Einhaltung der EBA-Leitlinien – der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Dh das individuelle Risikoprofil, die Art und das Geschäftsmodell des Instituts sowie der Umfang und die Komplexität seiner Tätigkeiten sind soweit miteinzubeziehen, dass die Ziele der regulatorischen Anforderungen wirksam erreicht werden können.

Der Handlungsbedarf bei den erfassten Instituten betrifft insbesondere zwei wesentliche Elemente:

  • Inhaltliche Prüfung und allenfalls Anpassung bestehender Auslagerungsverträge: Die EBA-Leitlinien enthalten detaillierte Anforderungen an die vertragliche Ausgestaltung (auch zwingende Mindestinhalte) von Auslagerungsvereinbarungen.
  • Erfassung sämtlicher Auslagerungsvereinbarungen in einem gesonderten Register: Sämtliche Auslagerungsverträge sind in einem gesonderten Register zu erfassen. Die EBA-Leitlinien legen den Mindestinhalt fest. Dieses Register ist auf Anforderung der zuständigen Behörde gegenüber offenzulegen.

 

Autoren: Holger Steinborn, Daniel Reiter

Fragen? Bitte kontaktieren Sie:

Christoph Nauer
Elke Napokoj
Holger Steinborn
Kornelia Wittmann
Daniel Reiter
Roland Juill

Praxisgruppen:

Kapitalmarkt
Bankrecht & Finanzierung

Wenn Sie zukünftige Ausgaben von need2know erhalten möchten, folgen Sie uns auf LinkedIn oder senden Sie eine E-Mail an subscribe@bpv-huegel.com.