Cloud-Services – EBA-Leitlinien bereiten Probleme
Am 30.9.19 treten die von der European Banking Authority (EBA) im Februar 2019 veröffentlichten Leitlinien zum regulatorischen Umgang mit Auslagerungen (EBA/GL/2019/02) in Kraft. Diese neuen Regeln gelten u. a. für Auslagerungen durch Kreditinstitute und Finanzdienstleister sowie Zahlungs- und E-Geld-Institute in die Cloud und lösen die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter vom März 2018 (EBA/Rec/2017/03) ab. Wesentliche Parameter und Auswirkungen dieser Neuerung auf den bestehenden finanzregulatorischen Rahmen für Auslagerungen in die Cloud erläutert Jan Pohle, Partner im Kölner Büro der Sozietät DLA Piper.
Bislang konkretisierten die „Mindestanforderungen an das Risikomanagement“ (MaRisk) und die „bankaufsichtlichen Anforderungen an die IT“ (BAIT) ergänzt um die BaFin-Orientierungshilfe zu Auslagerungen an Cloud-Anbieter („Orientierungshilfe“) sowie die bestehenden EBA-Empfehlungen die aufsichtsrechtlichen Anforderungen für Auslagerungen durch Kreditinstitute und Finanzdienstleister in die Cloud im nationalen Umfeld. Die nunmehr in Kraft tretenden EBA-Leitlinien begründen nunmehr ein einheitliches Rahmenwerk für Auslagerungen nicht nur für Kreditinstitute und Finanzdienstleister, sondern weitergehend auch für Zahlungs- und E-Geld-Institute. Geltung beanspruchen die EBA-Leitlinien für diejenigen Institute, die der Aufsicht der Europäischen Zentralbank (EZB) unterliegen. Im Übrigen behält sich die BaFin in ihrem Zuständigkeitsbereich vor, auf Grundlage der EBA-Leitlinien ihre in der MaRisk, den BAIT sowie der Orientierungshilfe konkretisierte Verwaltungspraxis anzupassen. In zeitlicher Hinsicht gelten die EBA-Leitlinien unmittelbar für alle ab dem 30.9.19 neu abgeschlossenen Verträge über Cloud-Services. Für bestehende cloud-basierte Auslagerungen gilt eine Übergangsfrist bis zum 31.12.21.
Umfangreiche Prüfkriterien
Die betroffenen Institute haben sowohl gemäß den EBA-Leitlinien als auch nach MaRisk, BAIT bzw. Orientierungshilfe im Einzelfall zunächst zu prüfen, ob überhaupt im Fall der Inanspruchnahme von Cloud-Services eine Auslagerung gegeben ist und ob diese kritische und wichtige Funktionen betrifft bzw. als wesentlich zu qualifizieren ist. In dem einen wie dem anderen Zusammenhang enthalten diese Regelwerke sowie auch die BAIT Negativ- und Prüfungskataloge, an denen sich die Institute orientieren sollen. Eine Auslagerung ist insgesamt nach EBA-Leitlinien bzw. MaRisk nur dann grundsätzlich unzulässig, wenn diese zu einer Delegation der Verantwortung der Geschäftsleitung führt bzw. das auslagernde Unternehmen quasi als leere Hülle zurückbleibt; ein Befund der im Zusammenhang mit Cloud-Services rein praktisch kaum vorstellbar erscheint. Wie die EBA-Leitlinien betonen auch die MaRisk und BAIT die Notwendigkeit, auch bei sonstigen Fremdbezügen Risiken zu analysieren und zu überwachen.
Ausgehend hiervon enthalten die EBA-Leitlinien ebenso wie MaRisk und BAIT weitere detaillierte Vorgaben, die bei der Umsetzung von Auslagerungsvorhaben zu beachten sind. Diese betreffen Themenfelder wie Risikoanalyse, Auslagerungsrichtlinien, Auslagerungsmanagement, Governance und Interessenskonflikte. Dabei gehen die Vorgaben der EBA-Leitlinien teilweise über die Vorgaben von MaRisk und BAIT hinaus. So wird die Risikoanalyse u. a. um einen Due Diligence-Prozess für den zukünftigen Dienstleister erweitert und ein Auslagerungsregister gefordert. Zudem enthalten die EBA-Leitlinien und die Orientierungshilfe zahlreiche detailliertere Vorgaben zur Exit-Strategie und spezifisch zu Vertragsinhalten, die bei einer Auslagerung von kritischen und wichtigen Funktionen bzw. wesentlichen Auslagerungen in die Cloud von den Instituten umzusetzen sind. Gerade diese Vorgaben zur Exit-Strategie und zu den Vertragsinhalten generieren in der Vertragspraxis mit Cloud-Anbietern häufig erhebliche bis unlösbare Probleme, insbesondere wenn die Cloud-Anbieter nicht in Deutschland bzw. der EU ansässig sind.
Konflikte mit US-Recht
Entsprechend einem Hinweis in der Orientierungshilfe sollen z. B. Verträge mit Cloud-Anbietern deutschem Recht oder dem Recht eines EU- oder EWR-Mitgliedstaates unterliegen. Eine Anforderung, der selbst gegenüber etablierten Cloud-Anbietern, die häufig auf der Basis US-Rechts kontrahieren, in der Praxis nur schwer nachzukommen ist. Erhebliche Probleme generieren zudem die weitreichenden aufsichtsrechtlichen Vorgaben zu Informations-, Auditierungs- und Weisungsrechten nicht nur auf der Primärebene zum Cloud-Anbieter, sondern namentlich bei Weiterverlagerungen – quasi ein Bestandteil der DNA eines jeden Cloud-Services.
In diesem Zusammenhang ist vertraglich sicherzustellen, dass die Geltendmachung aufsichtsrechtlicher Befugnisse in jedem Fall unmittelbar und uneingeschränkt gilt – auch gegenüber Subunternehmern. Diese umfassenden Anforderungen stoßen in aller Regel auf erheblichen Widerstand der Cloud-Anbieter, nicht zuletzt mit Hinweis auf die Betriebskontinuität und bestehende Sicherheitsanforderungen. Schließlich sorgt auch die vertragliche Umsetzung der von den Instituten zu erarbeitenden Exit-Strategie regelmäßig für Probleme. Diese wiederum haben vertragsrechtlich in dem Konflikt der aufsichtsrechtlichen Vorgaben zur Vertragskündigung- und -abwicklung einerseits sowie den Besonderheiten des auf Standardisierung basierenden Cloud-Modells mit kurzen Kündigungs- und Abwicklungsmodalitäten ihre Ursache.
ARTIKEL DIESER AUSGABE
Interne Untersuchungen – Der lange Arm der Staatsanwaltschaft
Das kürzlich vorgestellte „Gesetz zur Bekämpfung der Unternehmenskriminalität“ führt neue Strafen für das Fehlverhalten von Unternehmen ein, von empfindlichen Geldstrafen bis... mehr
RWE und innogy vertrauen wieder auf Freshfields und Hengeler
RWE hat einen 49%-Anteil am slowakischen Stromerzeuger VSEH von innogy erworben. Die Transaktion ist Teil der geplanten Übernahme der innogy SE durch E.ON, die gut anderthalb Jahre nach... mehr
Modekette Breuninger organisiert mit CMS das Shop-Portfolio neu
Das Fashion- und Lifestyle-Unternehmen Breuninger vergibt das Centermanagement der „Breuningerländer“ in Sindelfingen und Ludwigsburg neu. Zum 1.1.20 übernimmt der Immobilieninvestor... mehr
Taylor Wessing begleitet ING bei Kooperation mit AXA
Kunden der ING Deutschland, die eine Baufinanzierung abschließen, können künftig die Rückzahlung ihres Kredits im Todesfall und damit ihre Hinterbliebenen finanziell absichern. mehr
Vorwerk setzt mit Luther auf den Ausbau des Digitalgeschäfts
Das Wuppertaler Familienunternehmen Vorwerk hat im Rahmen seiner Umstruktuierung den gesamten IT-Bereich zentralisiert und in eine Service-GmbH ausgegliedert. mehr
Familienunternehmen – Neues Kind für die Nachfolge
Der Fall machte Schlagzeilen: Der Kaffeeunternehmer Albert Darboven wollte den 54-jährigen Andreas Jacobs adoptieren und so die familiäre Nachfolge seines Unternehmens sichern. Zwar... mehr
Hogan Lovells gewinnt Finanzierungsexpertin von Allen & Overy
Die Sozietät Hogan Lovells baut ihre Banking-Praxis am Standort Frankfurt aus. mehr
Flick Gocke Schaumburg stärkt Stuttgarter Steuerrechtsteam
Flick Gocke Schaumburg holt zwei weitere Steuerexperten ins Ende Mai 2019 eröffnete Stuttgarter Büro. mehr
Bekannter Datenschutzrechtler wechselt zu Allen & Overy
Allen & Overy stellt die deutsche Datenschutzrechtspraxis unter neue Führung. mehr
Noerr baut Frankfurter Corporate-Team aus
Zum 15.9.19 bekommt die Praxisgruppe Corporate/M&A der Kanzlei Noerr weitere Verstärkung. mehr