Cloud-Services – EBA-Leitlinien bereiten Probleme

Am 30.9.19 treten die von der European Banking Authority (EBA) im Februar 2019 veröffentlichten Leitlinien zum regulatorischen Umgang mit Auslagerungen (EBA/GL/2019/02) in Kraft. Diese neuen Regeln gelten u. a. für Auslagerungen durch Kreditinstitute und Finanzdienstleister sowie Zahlungs- und E-Geld-Institute in die Cloud und lösen die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter vom März 2018 (EBA/Rec/2017/03) ab. Wesentliche Parameter und Auswirkungen dieser Neuerung auf den bestehenden finanzregulatorischen Rahmen für Auslagerungen in die Cloud erläutert Jan Pohle, Partner im Kölner Büro der Sozietät DLA Piper.

Bislang konkretisierten die „Mindestanforderungen an das Risikomanagement“ (MaRisk) und die „bankaufsichtlichen Anforderungen an die IT“ (BAIT) ergänzt um die BaFin-Orientierungshilfe zu Auslagerungen an Cloud-Anbieter („Orientierungshilfe“) sowie die bestehenden EBA-Empfehlungen die aufsichtsrechtlichen Anforderungen für Auslagerungen durch Kreditinstitute und Finanzdienstleister in die Cloud im nationalen Umfeld. Die nunmehr in Kraft tretenden EBA-Leitlinien begründen nunmehr ein einheitliches Rahmenwerk für Auslagerungen nicht nur für Kreditinstitute und Finanzdienstleister, sondern weitergehend auch für Zahlungs- und E-Geld-Institute. Geltung beanspruchen die EBA-Leitlinien für diejenigen Institute, die der Aufsicht der Europäischen Zentralbank (EZB) unterliegen. Im Übrigen behält sich die BaFin in ihrem Zuständigkeitsbereich vor, auf Grundlage der EBA-Leitlinien ihre in der MaRisk, den BAIT sowie der Orientierungshilfe konkretisierte Verwaltungspraxis anzupassen. In zeitlicher Hinsicht gelten die EBA-Leitlinien unmittelbar für alle ab dem 30.9.19 neu abgeschlossenen Verträge über Cloud-Services. Für bestehende cloud-basierte Auslagerungen gilt eine Übergangsfrist bis zum 31.12.21.

Umfangreiche Prüfkriterien
Die betroffenen Institute haben sowohl gemäß den EBA-Leitlinien als auch nach MaRisk, BAIT bzw. Orientierungshilfe im Einzelfall zunächst zu prüfen, ob überhaupt im Fall der Inanspruchnahme von Cloud-Services eine Auslagerung gegeben ist und ob diese kritische und wichtige Funktionen betrifft bzw. als wesentlich zu qualifizieren ist. In dem einen wie dem anderen Zusammenhang enthalten diese Regelwerke sowie auch die BAIT Negativ- und Prüfungskataloge, an denen sich die Institute orientieren sollen. Eine Auslagerung ist insgesamt nach EBA-Leitlinien bzw. MaRisk nur dann grundsätzlich unzulässig, wenn diese zu einer Delegation der Verantwortung der Geschäftsleitung führt bzw. das auslagernde Unternehmen quasi als leere Hülle zurückbleibt; ein Befund der im Zusammenhang mit Cloud-Services rein praktisch kaum vorstellbar erscheint. Wie die EBA-Leitlinien betonen auch die MaRisk und BAIT die Notwendigkeit, auch bei sonstigen Fremdbezügen Risiken zu analysieren und zu überwachen.

Ausgehend hiervon enthalten die EBA-Leitlinien ebenso wie MaRisk und BAIT weitere detaillierte Vorgaben, die bei der Umsetzung von Auslagerungsvorhaben zu beachten sind. Diese betreffen Themenfelder wie Risikoanalyse, Auslagerungsrichtlinien, Auslagerungsmanagement, Governance und Interessenskonflikte. Dabei gehen die Vorgaben der EBA-Leitlinien teilweise über die Vorgaben von MaRisk und BAIT hinaus. So wird die Risikoanalyse u. a. um einen Due Diligence-Prozess für den zukünftigen Dienstleister erweitert und ein Auslagerungsregister gefordert. Zudem enthalten die EBA-Leitlinien und die Orientierungshilfe zahlreiche detailliertere Vorgaben zur Exit-Strategie und spezifisch zu Vertragsinhalten, die bei einer Auslagerung von kritischen und wichtigen Funktionen bzw. wesentlichen Auslagerungen in die Cloud von den Instituten umzusetzen sind. Gerade diese Vorgaben zur Exit-Strategie und zu den Vertragsinhalten generieren in der Vertragspraxis mit Cloud-Anbietern häufig erhebliche bis unlösbare Probleme, insbesondere wenn die Cloud-Anbieter nicht in Deutschland bzw. der EU ansässig sind.

Konflikte mit US-Recht
Entsprechend einem Hinweis in der Orientierungshilfe sollen z. B. Verträge mit Cloud-Anbietern deutschem Recht oder dem Recht eines EU- oder EWR-Mitgliedstaates unterliegen. Eine Anforderung, der selbst gegenüber etablierten Cloud-Anbietern, die häufig auf der Basis US-Rechts kontrahieren, in der Praxis nur schwer nachzukommen ist. Erhebliche Probleme generieren zudem die weitreichenden aufsichtsrechtlichen Vorgaben zu Informations-, Auditierungs- und Weisungsrechten nicht nur auf der Primärebene zum Cloud-Anbieter, sondern namentlich bei Weiterverlagerungen – quasi ein Bestandteil der DNA eines jeden Cloud-Services.

In diesem Zusammenhang ist vertraglich sicherzustellen, dass die Geltendmachung aufsichtsrechtlicher Befugnisse in jedem Fall unmittelbar und uneingeschränkt gilt – auch gegenüber Subunternehmern. Diese umfassenden Anforderungen stoßen in aller Regel auf erheblichen Widerstand der Cloud-Anbieter, nicht zuletzt mit Hinweis auf die Betriebskontinuität und bestehende Sicherheitsanforderungen. Schließlich sorgt auch die vertragliche Umsetzung der von den Instituten zu erarbeitenden Exit-Strategie regelmäßig für Probleme. Diese wiederum haben vertragsrechtlich in dem Konflikt der aufsichtsrechtlichen Vorgaben zur Vertragskündigung- und -abwicklung einerseits sowie den Besonderheiten des auf Standardisierung basierenden Cloud-Modells mit kurzen Kündigungs- und Abwicklungsmodalitäten ihre Ursache.