Gepostet am 10. Juni 2021 von
FAQ Outsourcing – Der Auslagerungsvertrag
Wie soll man mit den vielen kleinen Dienstleistern umgehen, die die Anforderungen nicht erfüllen können/wollen?
Zunächst müssen Sie sich Bewusst werden, dass die Regulierung der Auslagerungen das Ziel verfolgt, Risiken im Bankbetrieb zu minimieren. Dementsprechend möchten die Behörden gerade nicht, dass Sie sich Dienstleistern bedienen, die aufgrund ihrer betrieblichen Struktur die gestellten Anforderungen nicht erfüllen können. Aus regulatorischer Sicht lässt sich also festhalten: Sie sind dafür verantwortlich, Ihre Vertragspartner auch anhand regulatorischer Kriterien auszuwählen und anschließend dahingehend zu überwachen.
Welche Unterschiede sehen Sie bei den Auslagerungsverträgen von wesentlichen und nicht wesentlichen Funktionen?
Die vertragliche Ausgestaltung wesentlicher Auslagerungen unterliegt den vergleichsweise strengsten Anforderungen. Die Liste aller notwendigen Vertragsbestandteile können Sie der Präsentationsunterlage entnehmen, die wir im Nachgang an alle Teilnehmer des Webinars versendet haben. Im Rahmen nicht wesentlicher Auslagerungen sollten Sie neben den allgemeingesetzlichen Vertragsanforderungen ebenso Regelungen zu den Themenkomplexen Weiterverlagerung, Datensicherheit, Berichtspflichten, Notfallkonzept, und Exitstrategie treffen. Einzelne Regelungen können dann aber weniger streng ausfallen. So genügt es beispielsweise im Rahmen der Weiterverlagerung zu regeln, ob diese grundsätzlich gestattet sind oder nicht. Eine Verpflichtung zur Überwachung des Sub-Dienstleisters durch den Dienstleister, sowie diesbezügliche Prüfungsrechte müssen dann nicht zwingend vereinbart werden.
Was genau bedeutet Sonstiger IT-Fremdbezug? Sind damit Dienstleistungen gemeint, die nur mit Hilfe von IT durchgeführt werden können? Oder jede Dienstleistung, die IT benutzt?
Sonstiger IT-Fremdbezug liegt vor, wenn IT-Dienstleistungen „fremdbezogen“ (also im Sinne der MaRisk nicht ausgelagert) werden. IT-Dienstleistungen nach BAIT umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung.
Der reine Bezug von Software (Kauf) ist keine IT-Dienstleistung im Sinne der BAIT. Aber Vorsicht: Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, stellt wiederum eine Auslagerung dar. Bei solcher Software sind auch bereits Unterstützungsleistungen als Auslagerung einzustufen.
Warum muss der konkrete Notfallplan des Dienstleisters in den Auslagerungsvertrag aufgenommen werden? Genügt nicht dessen Verpflichtung einen solchen vorzuhalten?
Im ersten Schritt ist es natürlich richtig den Auslagerungsdienstleister dahingehend zu verpflichten, einen angemessenen Notfallplan vorzuhalten. Im zweiten Schritt muss allerdings das Notfallmanagement des Instituts diesen Notfallplan auf ihre Funktionsfähigkeit hin überprüfen. Schon jetzt benötigen Sie also zumindest Kenntnis über die konkreten Inhalte des Notfallplans. Im Rahmen wesentlicher Auslagerungen ist es darüber hinaus erforderlich, die eigenen Notfallpläne des Instituts mit den Notfallplänen des Dienstleisters abzustimmen und gemeinsame Notfall-Übungen durchzuführen. Sowohl hier, als auch bei einem echten Notfall ist die konkrete Zusammenarbeit mit den jeweiligen Rechten und Pflichten vertraglich festzuschreiben.
Ist es rechtlich möglich das ZAM (Zentrales Auslagerungsmanagement) eines Instituts auf einen Dienstleister auszulagern?
Eine Auslagerung des ZAM (Zentrales Auslagerungsmanagement) ist möglich. Dabei werden die operativen Tätigkeiten von einem Dienstleister übernommen, aber die Verantwortlichkeit verbleibt im Institut. Diese operative Unterstützung bietet auch die ORO Services an. Die Auslagerung der Funktion des Auslagerungsbeauftragten selbst, ist hingegen nicht möglich. Die Verantwortlichkeit des Auslagerungsbeauftragten muss immer im Institut verbleiben. Die weiteren Funktionen dürfen ebenfalls grundsätzlich nicht vollständig ausgelagert werden: Geschäftsleitung, Risikocontrolling, Compliance und Interne Revision.