BaFin - Navigation & Service

Erscheinung:16.04.2018 Cloud-Computing: Einhaltung der aufsichtsrechtlichen Vorgaben zu Informations- und Prüfungsrechten sowie Kontrollmöglichkeiten

Im Rahmen der fortschreitenden Digitalisierung ist neuen IT-Technologien wie Cloud-Computing eine erhebliche aufsichtliche Bedeutung beizumessen. Dabei ist es wichtig, dass insbesondere die beaufsichtigten Unternehmen im Finanzsektor und auch die Aufsicht technische Innovationen verstehen, um deren Einfluss auf das Geschäftsmodell, die Risikotragfähigkeit und die Erlaubnispflicht beurteilen zu können. Nur so ist es möglich, den spezifischen Gefahren, die mit dem Einsatz neuer IT-basierter Entwicklungen einhergehen, aufsichtlich und regulatorisch gerecht zu werden.

Aufgrund der wachsenden Bedeutung des Themas und der zunehmenden Unsicherheit im Finanzsektor bei der Anwendung der aufsichtsrechtlichen Vorgaben hat die BaFin kürzlich wichtige Schritte unternommen, um den regulatorischen Rahmen für Cloud-Computing zu konkretisieren.

Regulatorischer Rahmen

Die beaufsichtigten Unternehmen haben bei der Nutzung von Cloud-Computing die jeweiligen aufsichtsrechtlichen Anforderungen an Auslagerungen (Kreditinstitute) beziehungsweise Ausgliederungen (Versicherungsunternehmen) einzuhalten.

Der erste Schritt zur Konkretisierung des regulatorischen Rahmens für Cloud-Computing war die Veröffentlichung des Rundschreibens „Bankaufsichtliche Anforderungen an die IT“ (BAIT) (siehe BaFinJournal November 2017 und Januar 2018). Die BAIT stellen klar, dass AT 9 der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) auch für die Nutzung solcher Cloud-Dienste gilt, die eine Auslagerung von IT-Dienstleistungen darstellen. Das bedeutet, dass die aufsichtsrechtlichen Anforderungen an eine Auslagerung gemäß § 25b Kreditwesengesetz (KWG) in Verbindung mit AT 9 MaRisk entsprechend der jeweiligen Einzelfallprüfung einzuhalten sind.

In den nächsten Monaten wird die BaFin auch ihre Erwartungshaltung an Versicherungsunternehmen und Pensionsfonds per Rundschreiben konkretisieren. Derzeit befinden sich die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) in der öffentlichen Konsultation (siehe Fachartikel "IT-Sicherheit: Aufsicht konkretisiert IT-Anforderungen an die Versicherungswirtschaft"). Analog zu den BAIT stellt auch dieses Rundschreiben klar, dass bei der Nutzung von Cloud-Diensten die aufsichtsrechtlichen Anforderungen zu Ausgliederungen einzuhalten sind, die für das jeweilige Unternehmen gelten.

Die Aufsicht wird außerdem evaluieren, inwieweit hinsichtlich der bestehenden aufsichtsrechtlichen Anforderungen an Auslagerungen beziehungsweise Ausgliederungen Anpassungsbedarf besteht.

Orientierungshilfe geplant

Insbesondere aufgrund von Gesprächen mit beaufsichtigten Unternehmen, die den Bedarf im Finanzsektor an einer aufsichtlichen Einschätzung von Cloud-Computing deutlich gemacht haben, wird die BaFin darüber hinaus im Laufe des Jahres eine spezielle Orientierungshilfe zum Thema veröffentlichen. Diese wird den Markt detailliert über die aufsichtsrechtlichen Anforderungen informieren, die mit der Nutzung von Cloud-Diensten verbunden sind. Mit diesem weiteren Schritt will die BaFin den Unternehmen mehr Sicherheit bei der Anwendung der aufsichtlichen Vorgaben geben.

Im Vorgriff auf die Orientierungshilfe behandelt der vorliegende Artikel einige aus aufsichtsrechtlicher Sicht wesentliche Aspekte: die Einhaltung der uneingeschränkten Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht und der uneingeschränkten Informations- und Prüfungsrechte der beaufsichtigten Unternehmen.

Aufsichtsrechtliche Vorgaben

Beaufsichtigte Unternehmen, die die Nutzung eines Cloud-Dienstes beabsichtigen, haben vorab zu prüfen, inwieweit dabei die aufsichtsrechtlichen Anforderungen an Auslagerungen beziehungsweise Ausgliederungen zu beachten sind.

Ergibt die Prüfung, dass es sich unter Risikogesichtspunkten um eine wesentliche Auslagerung beziehungsweise wichtige Ausgliederung handelt, so haben Kreditinstitute bei der Vertragsgestaltung §§ 25a und 25b KWG in Verbindung mit AT 9 Tz. 7 und 8 MaRisk einzuhalten, Versicherungsunternehmen Artikel 274 Absätze 3 bis 5 der Delegierten Verordnung zu Solvency II, § 32 des Versicherungsaufsichtsgesetzes (VAG) und Rn. 237 ff. der Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGO, siehe BaFinJournal Februar 2017). Diese enthalten insbesondere Regelungen zu angemessenen beziehungsweise uneingeschränkten Informations- und Prüfungsrechten.

Uneingeschränkte Informations- und Prüfungsrechte

Einige beaufsichtigte Unternehmen haben der BaFin Entwürfe zu Auslagerungsverträgen über die Nutzung von Cloud-Diensten vorgelegt. Dabei ging es etwa um die Nutzung von Rechenleistung, Speicherplatz und Web-Anwendungen.

Aus den Entwürfen wurde deutlich, dass insbesondere die Informations- und Prüfungsrechte der Aufsicht und der beaufsichtigten Unternehmen vertraglich nicht vollständig umgesetzt waren. Dies ist aber besonders deswegen wichtig, weil viele der derzeit am Finanzmarkt tätigen Anbieter von Cloud-Lösungen ihren Firmensitz in Staaten außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums haben. Aber auch deutsche Cloud-Anbieter unterstehen selbst nicht der Aufsicht, so dass die Aufsichtsgesetze keine unmittelbare Anwendung finden. Die Durchsetzung der aufsichtsrechtlichen Bestimmungen ist daher nur auf der Grundlage entsprechender vertraglicher Rechte möglich.

Informations- und Prüfungsrechte der Kreditinstitute

Die vertragliche Einräumung uneingeschränkter Informations- und Prüfungsrechte gegenüber den Cloud-Anbietern ist insbesondere mit Blick auf die IT-Sicherheit der Institute von besonderer Bedeutung.

Bei Auslagerungen, die unter Risikogesichtspunkten nicht wesentlich sind, sind die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Absatz 1 KWG zu beachten (siehe AT 9 Tz. 3 MaRisk). Ist die Nutzung eines Cloud-Dienstes als wesentliche Auslagerung einzustufen, sind im Auslagerungsvertrag angemessene Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer als uneingeschränkte Rechte einzuräumen (AT 4.4.3. Tz. 4 MaRisk). Nur durch den uneingeschränkten Zugang zu den Cloud-Anbietern – zum Beispiel zu Geschäftsräumen, Rechenzentren, Servern und Mitarbeitern – ist es den beaufsichtigten Unternehmen möglich, ihre Informations- und Prüfungsrechte ordnungsgemäß wahrzunehmen. Daher sind insbesondere Vor-Ort-Prüfungen unerlässlich.

Keine Einschränkung der Rechte

Damit das Unternehmen seine Rechte wirksam ausüben kann, dürfen diese nicht vertraglich eingeschränkt werden. Gestufte Informations- und Prüfungsverfahren stellen eine solche Einschränkung dar und entsprechen weder den Anforderungen der MaRisk noch den Empfehlungen der Europäischen Bankenaufsichtsbehörde EBA. Eine Einschränkung liegt in der Regel auch vor, wenn die Ausübung einer Prüfung von der wirtschaftlichen Zumutbarkeit (Commercially Reasonable) abhängig gemacht wird. Auch eine vertragliche Verpflichtung, zunächst auf standardisierte Prüfungsberichte der Cloud-Anbieter zurückzugreifen, ist eine unzulässige Einschränkung von Informations- und Prüfungsrechten.

Auf einen Blick:Empfehlungen der EBA

Cloud-Computing ist kein rein nationales Thema. Ende 2017 veröffentlichte die Europäische Bankenaufsichtsbehörde EBA Empfehlungen, die Kreditinstitute ab dem 1. Juli 2018 bei Auslagerungen an Anbieter von Cloud-Services beachten sollen (siehe BaFinJournal Januar 2018). Ziel ist ein einheitlicher europäischer Rahmen im Umgang mit Cloud-Computing.

Die Nutzung von Management-Konsolen eignet sich zwar für bestimmte Kontrollen, beispielsweise für die Überprüfung der Einhaltung der Service-Level-Agreements im laufenden Betrieb. Sie kann jedoch keine Prüfungen der Internen Revision ersetzen, da über Management-Konsolen nur auf Informationen zurückgegriffen werden kann, die der Cloud-Anbieter zur Verfügung stellt. Für die Interne Revision eines Instituts muss es jedoch auch möglich sein, darüber hinausgehende Informationen zu erhalten, die für die Prüfung erforderlich sind.

Erleichterungen

Um die Prüfungen bei wesentlichen Auslagerungen effektiver zu gestalten – sowohl für Institute als auch für Cloud-Anbieter, die für mehrere Institute tätig sind –, akzeptiert die BaFin gemäß BT 2.1 Tz. 3 MaRisk auch Sammelprüfungen. Bei solchen können die Prüfungen durch die Interne Revision eines oder mehrerer der auslagernden Institute beziehungsweise durch einen von diesen Instituten beauftragten Dritten durchgeführt werden, sofern diese Revisionstätigkeit den Anforderungen von AT 4.4 und BT 2 MaRisk genügt.

Darüber hinaus kann ein Institut gemäß BT 2.1 Tz. 3 MaRisk Prüfungen durch die Interne Revision des Cloud-Anbieters durchführen lassen oder einen Dritten damit beauftragen, sofern die anderweitig durchgeführte Revisionstätigkeit die Anforderungen von AT 4.4 und BT 2 MaRisk erfüllt.

Die Interne Revision des auslagernden Instituts hat sich jedoch regelmäßig davon zu überzeugen, dass die genannten Voraussetzungen eingehalten werden. Die Prüfungsergebnisse, die für das auslagernde Institut relevant sind, sind an dessen Interne Revision weiterzuleiten.

Dies steht auch im Einklang mit den EBA-Empfehlungen und führt dazu, dass der Organisationsaufwand für die Institute und den Cloud-Anbieter verringert wird. Die Bündelung von Prüfungsressourcen auf Seiten der Institute trägt auch der Sorge der Cloud-Anbieter vor einem „Prüftourismus“ Rechnung.

Prüfungsverfahren

Entscheidet sich ein Institut dafür, die Prüfung nicht selbst oder nicht allein durchzuführen, darf dies nicht zu einer Einschränkung des Prüfungsrechts führen. Die Informations- und Prüfungsrechte der Internen Revision des auslagernden Instituts müssen vollständig vertraglich vereinbart sein.

Dem Informations- und Prüfungsrecht des auslagernden Instituts genügt es nicht, wenn der Cloud-Anbieter lediglich Zertifikate oder sonstige Nachweise der Einhaltung anerkannter Standards vorlegt. Es muss die Möglichkeit haben, Einfluss auf den Informations-und Prüfungsumfang zu nehmen. Dies stimmt mit den Empfehlungen der EBA überein, die entsprechende Anforderungen an einen Rückgriff auf Zertifikate und Prüfungsberichte des Cloud-Anbieters stellen.

Informations-/Prüfungsrechte und Kontrollmöglichkeiten der Aufsicht

Darüber hinaus sind uneingeschränkte Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht bezüglich der ausgelagerten Aktivitäten und Prozesse vertraglich zu vereinbaren. Insbesondere dürfen die Prüfungen der Aufsicht nicht davon abhängig gemacht werden, ob sie für den Cloud-Anbieter wirtschaftlich zumutbar sind.

Die Aufsicht muss die Cloud-Anbieter genauso kontrollieren können, wie dies das Gesetz gegenüber dem beaufsichtigten Unternehmen vorsieht. Dies umfasst insbesondere auch die Möglichkeit von Vor-Ort-Prüfungen.

Hinweis:BaFin-Tech

Den ausführlichen Bericht zur diesjährigen BaFin-Tech-Konferenz, die vergangene Woche in Berlin stattfand, finden Sie auf unserer Webseite. Neben zahlreichen weiteren Themen rund um die Digitalisierung kam das Thema Cloud-Computing dort ebenfalls zur Sprache.

Prüfungsrechte von Versicherungsunternehmen und Aufsicht

Auch bei der Ausgliederung durch Versicherer gilt, dass dem Unternehmen und der Aufsicht uneingeschränkte Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten vertraglich eingeräumt werden müssen.

Für die Feststellung, ob eine Ausgliederung auf den Cloud-Anbieter vorliegt, ist maßgeblich, ob und welche Funktionen oder Versicherungstätigkeiten betroffen sind. Eine Kontrolle hat nicht nur bei der Ausgliederung wichtiger, sondern nach § 32 Absatz 1, 2 und 4 VAG auch bei nicht wichtigen Funktionen und Versicherungstätigkeiten zu erfolgen. Hierbei sind nach Rn. 255 MaGo die Vorgaben aus Artikel 274 der Delegierten Verordnung zu Solvency II also über den Wortlaut hinaus auch auf nicht wichtige Funktionen und Versicherungstätigkeiten anwendbar, soweit sie universellen Charakter haben.

Die Ausführungen, die zuvor zur Einschränkung von Informations- und Prüfungsrechten gemacht wurden, gelten hier ebenso. Insbesondere ist es in der Regel als Einschränkung zu werten, wenn das Versicherungsunternehmen vertraglich dazu verpflichtet wird, zunächst auf existierende standardisierte Prüfungsberichte des Cloud-Anbieters zurückzugreifen. Ein gestuftes Verfahren entspricht nicht den aufsichtlichen Anforderungen an Versicherungsunternehmen. Eine Einschränkung liegt auch dann vor, wenn Prüfungen von wirtschaftlicher Zumutbarkeit abhängig sind.

Die BaFin erwägt derzeit, es auch Versicherungsunternehmen zu ermöglichen, bestimmte Prüfungsrechte gegenüber dem Cloud-Anbieter per Sammelprüfung gemeinsam mit anderen Versicherern wahrzunehmen. Dabei wäre zu unterscheiden zwischen der uneingeschränkten Einräumung der Prüfungsrechte – also insbesondere der Möglichkeit, Vor-Ort-Prüfungen durchzuführen – und der Ausgestaltung des Prüfungsverfahrens. Auch hier dürfte die Wahl des Prüfungsverfahrens nicht zur Einschränkung des Prüfungsrechts führen.

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback