Feedback

Gepostet am 27. August 2018 von  Xenia Eckert, Senior Consultant ORO Services GmbH

Ist die Second- und Third Line of Defense auslagerbar?

Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht werden müssten.

Nach AT 9 Tz. 4 MaRisk sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG  nicht beeinträchtigt wird. Die Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen.

Die Leitungsaufgaben der Geschäftsleitung sind nicht auslagerbar. Gemäß den Erläuterungen zu den MaRisk  in der Fassung vom 27.10.2017 zählen zu den nicht auslagerbaren Leitungsaufgaben der Geschäftsleitung die Unternehmensplanung, -koordination, -kontrolle und die Besetzung der Führungskräfte. Hierzu gehören auch Aufgaben, die der Geschäftsleitung durch den Gesetzgeber oder durch sonstige Regelungen explizit zugewiesen sind (z. B. die Entscheidung über Großkredite nach § 13 KWG oder die Festlegung der Strategien).

Von den Leitungsaufgaben abzugrenzen sind nach den Erläuterungen zu dem AT 9 Tz 4 MaRisk Funktionen oder Organisationseinheiten, deren sich die Geschäftsleitung bei der Ausübung ihrer Leitungsaufgaben bedient. Hier sind explizit die Risikocontrolling-Funktion, die Compliance-Funktion sowie die Interne Revision genannt.

Die "besonderen Funktionen nach MaRisk" können sowohl nach innen als auch – unter den Voraussetzungen des AT 9 Tz. 5 MaRisk – durch Auslagerung nach außen delegiert werden.


Was ist bei der Auslagerung der Compliance-Funktion nach MaRisk, der Risikocontrolling-Funktion und der Internen Revision zu beachten?

Für die Auslagerung der „besonderen Funktionen nach MaRisk“ sehen die MaRisk- neben den allgemeinen Anforderungen an eine Auslagerung - besondere Maßstäbe vor.

Nach AT 9 Tz 5 MaRisk kann eine Auslagerung von Aktivitäten und Prozessen in Kontrollbereichen und Kernbankbereichen unter Beachtung der in AT 9 Tz 4 MaRisk genannten Anforderungen in einem Umfang vorgenommen werden, der gewährleistet, dass hierdurch das Institut weiterhin über Kenntnisse und Erfahrungen verfügt, die eine wirksame Überwachung der vom Auslagerungsunternehmen erbrachten Dienstleistungen gewährleistet.

Es ist sicherzustellen, dass bei Bedarf - im Falle der Beendigung des Auslagerungsverhältnisses oder der Änderung der Gruppenstruktur - der ordnungsmäßige Betrieb in diesen Bereichen fortgesetzt werden kann.

Eine vollständige Auslagerung der „besonderen Funktionen nach MaRisk“ ist lediglich für Tochterinstitute innerhalb einer Institutsgruppe zulässig, sofern das übergeordnete Institut Auslagerungsunternehmen ist und das Tochterinstitut sowohl hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist.

Gleiches gilt für Gruppen, wenn das Mutterunternehmen kein Institut und im Inland ansässig ist.

Eine vollständige Auslagerung der Compliance-Funktion nach MaRisk oder der Internen Revision ist nur bei kleinen Instituten möglich, sofern deren Einrichtung vor dem Hintergrund der Institutsgröße sowie der Art, des Umfangs, der Komplexität und des Risikogehalts der betriebenen Geschäftsaktivitäten nicht angemessen erscheint.

Was ist bei der Auslagerung der Compliance-Funktion nach WpHG zu beachten?

Nach § 80 Abs. 6 WpHG muss ein Wertpapierdienstleistungsunternehmen bei einer Auslagerung von Aktivitäten und Prozessen sowie von Finanzdienstleistungen die Anforderungen des § 25b KWG einhalten. Die Rechtsverhältnisse des Unternehmens zu seinen Kunden sowie die Pflichten dürfen durch die Auslagerung nicht verändert werden. Auch die Erlaubnis nach § 32 KWG darf durch die Auslagerung nicht beeinflusst werden. Bei der Auslagerung von Compliance-Aufgaben sind neben den Anforderungen des KWG weiterhin die Anforderungen der Artikel 30 und 31 der Delegierten Verordnung (EU) 2017/565 (im Folgenden Del. VO) sowie der MaComp (BT 1.3.4) maßgeblich.

Änderung der Formulierung des BT1.3.4 Nr. 2 in der Neufassung der MaComp (Rundschreiben 05/2018): Der Satz 3 "Die teilweise oder vollständige Auslagerung von Compliance-Aufgaben stellt eine wesentliche Auslagerung im Sinne von AT 9 Ziff. 2 des Rundschreibens 10/2012 (BA) - Mindestanforderungen an das Risikomanagement - MaRisk dar." ist entfallen. Stattdessen verweist der Satz 1 des BT1.3.4 Nr. 2 MaComp auf den Art. 30 und 31 Del. VO.

Nach Art. 30 Del. VO (Umfang kritischer und wesentlicher betrieblicher Aufgaben) wird eine "betriebliche Aufgabe", also die ausgelagerte Tätigkeit, als kritisch oder wesentlich erachtet, wenn deren unzureichende oder unterlassene Wahrnehmung u.a. die Verpflichtungen der Wertpapierfirma gemäß MiFID II (Richtlinie 2014/65/EU) wesentlich beeinträchtigen würde.

Die Einstufung als nicht kritisch bzw. nicht wesentlich beschränkt sich nach Art. 30 Abs. 2 Del. VO auf Beratungs- und andere Dienstleistungen, die nicht Teil des Anlagegeschäfts der Wertpapierfirma sind. Das schließt die Beratung in Rechtsfragen, Mitarbeiterschulungen, Fakturierung und Bewachung von Gebäuden und Mitarbeitern ein. Auch der Erwerb standardisierter Dienstleistungen einschließlich Marktinformationsdiensten und Preisdaten ist als nicht kritisch bzw. nicht wesentlich eingestuft. Daraus lässt sich ableiten, dass die Auslagerung von Compliance-Tätigkeiten weiterhin als wesentlich zu bewerten ist.

Was ist bei der Auslagerung der Funktion des Geldwäschebeauftragten und der Zentralen Stelle zu beachten?

Die Übertragung interner Sicherungsmaßnahmen bedarf gem. § 6 Abs. 7 GwG nicht mehr der Zustimmung der BaFin. Als Verpflichteter müssen Sie der BaFin die Übertragung jedoch vorab anzeigen. Dabei ist darzulegen, dass die Voraussetzungen für eine Untersagung der Übertragung nicht vorliegen.

Die BaFin darf die Übertragung untersagen, wenn der Dritte nicht die Gewähr dafür bietet, dass die Sicherungsmaßnahmen ordnungsgemäß durchgeführt werden, die Steuerungsmöglichkeiten der Verpflichteten beeinträchtigt werden oder die Kontrollmöglichkeiten der BaFin beeinträchtigt werden.

Was ist bei der Auslagerung des Datenschutzbeauftragten zu beachten?

Die Aufgaben des Datenschutzbeauftragten (DSB) können durch einen externen Datenschutzbeauftragten aufgrund eines Dienstleistungsvertrages erfüllt werden (Art. 37 Abs. 6 DSGVO). Die bestehenden Anforderungen an den Datenschutzbeauftragten gelten auch im Falle einer Auslagerung fort. Die Verantwortung verbleibt bei dem auslagernden Institut.

Nach dem Kurzpapier Nr. 12 „Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern“ (Stand 16.01.2018) sind Vorkehrungen zu treffen, die es den betroffenen Personen oder anderen Stellen ermöglichen, den Datenschutzbeauftragten leicht zu erreichen. Ihm muss eine Kommunikation in der Sprache möglich sein, welche für die Korrespondenz mit Aufsichtsbehörden und betroffenen Personen notwendig ist.

Für die Benennung sind neben der beruflichen Qualifikation auch insbesondere das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie die Fähigkeit, die Aufgaben gemäß Art. 39 DSGVO zu erfüllen, erforderlich.

Die Benennung des Datenschutzbeauftragten sollte in geeigneter Form dokumentiert werden, wenn auch die Schriftform des § 4f Abs. 1 S. 1 BDSG (alte Fassung) mit der Umsetzung der DSGVO entfallen ist. Dafür sprechen die Nachweispflichten gemäß Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 2 DSGVO. Bestellungsurkunden gelten auch nach dem Inkrafttreten der DSGVO fort, es empfiehlt sich jedoch eine Überprüfung und ggf. Anpassung im Hinblick auf die neuen Regelungen der DSGVO.

Die Weisungsfreiheit des Datenschutzbeauftragten ist jederzeit sicherzustellen. Weiterhin darf der DSB wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Nach dem § 6 Abs. 4 i. V. m. § 38 Abs. 2 BDSG besteht der besondere Abberufungs- und Kündigungsschutz für den Datenschutzbeauftragten auch nach dem Inkrafttreten der DSGVO fort.

Nach Art. 38 Abs. 3 S. 3 DSGVO berichtet der Datenschutzbeauftragte unmittelbar der höchsten Leitungsebene des Verantwortlichen bzw. des Auftragsverarbeiters. Die erforderliche ordnungsgemäße und frühzeitige Einbindung ist auch im Falle der Auslagerung sicherzustellen.

Dem Datenschutzbeauftragten sind die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen (einschließlich Personal), der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen bereitzustellen.

Was ist bei der Auslagerung des Informationssicherheitsbeauftragten zu beachten?

Nach dem Rundschreiben 10/2017 (BA) vom 03.11.2017 Bankaufsichtliche Anforderungen an die IT (BAIT) umfasst die Funktion des Informationssicherheitsbeauftragten die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Sie stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien des Instituts niedergelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch gegenüber Dritten transparent gemacht und deren Einhaltung überprüft und überwacht werden.

Kapitel II. 4. Tz. 19 BAIT sieht vor, dass die Funktion des Informationssicherheitsbeauftragten organisatorisch und prozessual unabhängig auszugestalten ist, um mögliche Interessenskonflikte zu vermeiden.

Einschränkungen der Auslagerbarkeit lassen sich aus dem Kapitel II. 4. Tz. 20 BAIT ableiten. Die Formulierung „Jedes Institut hat die Funktion des Informationssicherheitsbeauftragten grundsätzlich im eigenen Haus vorzuhalten“ ist ergänzt um folgende Erläuterung:

„Im Hinblick auf regional tätige (insbesondere verbundangehörige) Institute sowie kleine (insbesondere gruppenangehörige) Institute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern für die Abwicklung von bankfachlichen Prozessen ist es im Hinblick auf die regelmäßig (verbund- oder gruppenseitig) vorhandenen Kontrollmechanismen zulässig, dass mehrere Institute einen gemeinsamen Informationssicherheitsbeauftragten bestellen, wobei vertraglich sicherzustellen ist, dass dieser gemeinsame Informationssicherheitsbeauftragte die Wahrnehmung der einschlägigen Aufgaben der Funktion in allen betreffenden Instituten jederzeit gewährleisten kann. In diesem Fall ist jedoch in jedem Institut eine zuständige Ansprechperson für den Informationssicherheitsbeauftragten zu benennen. Institute können die Funktion des Informationssicherheitsbeauftragten grundsätzlich mit anderen Funktionen im Institut kombinieren. Die Möglichkeit, sich externer Unterstützung per Servicevertrag zu bedienen, bleibt für die Institute unberührt.“

Funktionstrennung

Im Hinblick auf mögliche Interessenkonflikte sollte es nach Möglichkeit vermieden werden, die Second-Line-of-Defense und gleichzeitig die prüfenden Teile der Internen Revision an den gleichen Dienstleister auszulagern.

Funktionstrennungen sind auch im Falle der Auslagerung einzuhalten, um beispielsweise die Unabhängigkeit der Prüfungen der Internen Revision nicht zu gefährden. Die MaRisk regeln im BT 2 die „besonderen Anforderungen an die Ausgestaltung der Internen Revision“. Die in der Internen Revision beschäftigten Mitarbeiter dürfen demnach grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Sie dürfen keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Mitarbeiter, die in anderen Organisationseinheiten des Kreditinstituts beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden.

Losgelöst von der Abgrenzung zwischen der Second- und Third-Line-of-Defense ist auch darauf zu achten, dass bei der Auslagerung an einen Dienstleister keine Interessenkonflikte und unvereinbare Tätigkeiten bezüglich der spezifischen Tätigkeitsfelder auftreten.

Interessenkonflikten zwischen Aktivitäten, die beispielsweise im Zusammenhang mit der Anwendungsentwicklung und den Aufgaben des  IT-Betriebs stehen, kann durch aufbau- oder ablauforganisatorische Maßnahmen bzw. durch eine adäquate Rollendefinition begegnet werden.

Fazit

Die Frage „Ist die Second- und Third Line of Defense auslagerbar?“ lässt sich nicht pauschal beantworten, da die Anforderungen der MaRisk an die Auslagerung um zahlreiche weitere Anforderungen ergänzt sind. Um zu beurteilen, ob und in welchem Umfang eine Auslagerung erfolgen kann, ist eine genauere Betrachtung des auszulagernden Tätigkeitsbereichs und des auslagernden Instituts erforderlich.

Eine vollständige Auslagerung der „besonderen Funktionen nach MaRisk“ (Interne Revision, Compliance-Funktion nach MaRisk, Risikocontrolling-Funktion) ist nur unter den in den MaRisk definierten Voraussetzungen möglich. Eine teilweise oder vollständige Auslagerung von Compliance-Aufgaben nach dem WpHG ist hingegen unter Beachtung der regulatorischen Anforderungen möglich. Besonderheiten ergeben sich jedoch bei der Risikobewertung im Hinblick auf die Wesentlichkeit der Auslagerung. Eine Auslagerung der Funktion des Geldwäschebeauftragten und der Zentralen Stelle kann unter Beachtung der regulatorischen Anforderungen vorgenommen werden, sofern die Anzeige an die BaFin vorab erfolgt und von dem auslagernden Institut dargelegt wird, dass die Voraussetzungen für eine Untersagung der Übertragung nicht vorliegen. Die Aufgaben des Datenschutzbeauftragten können durch einen externen Datenschutzbeauftragten aufgrund eines Dienstleistungsvertrages erfüllt werden; wichtig ist dabei jedoch, dass die bestehenden Anforderungen an den Datenschutzbeauftragten auch im Falle der Auslagerung erfüllt werden. Einschränkungen ergeben sich bei der Auslagerbarkeit der Funktion des Informationssicherheitsbeauftragten. Die möglichen Ausnahmen und Voraussetzungen sind in den BAIT definiert. Es ist jedoch empfehlenswert, diese Funktion  im eigenen Institut zu verankern.

Neben den regulatorischen Herausforderungen wird die Entscheidung über eine Auslagerung von vielen weiteren Faktoren gestützt. Die erforderliche Risikobewertung und Wirtschaftlichkeitsbetrachtung wird beispielsweise begleitet von der Überlegung, ob die Auslagerung einen Know-how-Verlust oder den Aufbau einer Fachexpertise darstellt. Die Aufgaben der Second- und Third Line of Defense erfordern aufgrund ihrer Kontroll- und Beratungsfunktionen zudem eine ständige Kommunikation und Abstimmung. In welchem Maße die Anforderungen auch im Falle einer Auslagerung erfüllt werden können, sollte vor der Entscheidung hinreichend überprüft werden.

Weitere relevante Dokumente

Mit Blick auf die stetig wachsenden und komplexen Anforderungen an die spezifischen Auslagerungsbereiche hat ORO Services praxisnahe und anwenderfreundliche Checklisten und Blogs erstellt, damit Sie die rechtlichen Anforderungen leichter identifizieren und umsetzen können. Weitere relevante Dokumente finden Regupedia-Kunden hier:

 Serie zur Retail Investment Strategy der EU-Kommission (Neue Pflichten in Anlageberatung und beratungsfreiem Geschäft)

 DORA - Der Countdown läuft

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 2)

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 1)

 Quo Vadis Geldwäscheparadies? Eine ausführliche Analyse des neuen Finanzkriminalitätsbekämpfungsgesetzes (FKBG)

Login 



Passwort vergessen?

Das Search-Center ist exklusiv für unsere Kunden. Darin haben Sie Zugriff auf eine umfassende Sammlung von relevanten Gesetzen, Richtlinien, Verordnungen und Merkblättern. Mit der komfortablen Suchfunktion finden Sie schnell die für Sie relevanten Informationen.

Sie wollen einen vollen Zugang zu Regupedia.de? Dann werden Sie unser Kunde und nehmen mit uns Kontakt auf.

Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.