Da die Nutzung von Cloud-Dienstleistungen unter den Auslagerungsbegriff fällt, beschäftigte die Institute in letzter Zeit die Vertragsgestaltung mit Cloud-Anbietern. Zur Erfüllung der regulatorischen Anforderungen sind entsprechende vertragliche Prüfungsmöglichkeiten bei den Anbietern erforderlich. Es ist jedoch schwer vorstellbar, dass alle betroffenen Institute selbst entsprechende vertragliche Prüfungsmöglichkeiten bei Amazon, Google oder einem der anderen großen Cloud-Anbieter erhalten. Die Problematik hat die BaFin aufgegriffen und ein <link info-center search-center detail-ansicht dokument _blank>Merkblatt als Orientierungshilfe zu Auslagerungen an Cloud-Anbieter, ergänzend zu den <link info-center search-center detail-ansicht dokument _blank>Leitlinien der EBA, veröffentlicht.

Cloud-Dienste

Cloud-Dienste werden mithilfe von Cloud-Computing erbracht. Damit wird ein ortsunabhängiger, komfortabler und bedarfsgesteuerter Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht.

Beispiele: Netzwerke, Server, Speicher, Anwendungen und Services

Erforderliche Prüfungsrechte in Auslagerungsverträgen nach AT 9 Tz 7 MaRisk

Die Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer bei wesentlichen Auslagerungen sind im Auslagerungsvertrag zu vereinbaren.

Diese Anforderung stellt auslagernde Unternehmen und insbesondere Mehrmandantendienstleister vor Herausforderungen.

Erleichterungen bei der Vertragsgestaltung wesentlicher Auslagerungen

Sammelprüfungen

Für beaufsichtigte Unternehmen - die §§ 25a, 25b KWG einzuhalten haben - sieht die MaRisk Erleichterungen hinsichtlich der Prüfungstätigkeit der Internen Revision vor.

Auf die eigenen Prüfungshandlungen kann die Interne Revision verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4 und BT 2 MaRisk genügt.

Die Interne Revision des auslagernden beaufsichtigten Unternehmens hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das beaufsichtigte Unternehmen relevanten Prüfungsergebnisse sind an die Interne Revision des auslagernden beaufsichtigten Unternehmens weiterzuleiten. Die Revisionstätigkeit kann hierbei durch die Interne Revision des Cloud-Anbieters, die Interne Revision eines oder mehrerer der auslagernden beaufsichtigten Unternehmen im Auftrag der auslagernden beaufsichtigten Unternehmen („Sammelprüfungen“ sog. „Pooled Audits“), einen vom Cloud-Anbieter beauftragten Dritten oder einen von den auslagernden beaufsichtigten Unternehmen beauftragten Dritten durchgeführt werden.

Für die anderen beaufsichtigten Unternehmen kann es im Einzelfall zulässig sein, bestimmte Informations- und Prüfungsrechte gegenüber dem Cloud-Anbieter per Sammelprüfung gemeinsam mit anderen beaufsichtigten Unternehmen wahrzunehmen. Nimmt ein beaufsichtigtes Unternehmen eine der zuvor beschriebenen Erleichterungen in Anspruch, darf dies nicht zur Einschränkung seiner Informations- und Prüfungsrechte führen.  

Nachweise/Zertifikate und Prüfberichte

Nachweise/Zertifikate dürfen auf Basis gängiger Standards herangezogen werden. Das sind beispielsweise der Internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization oder der C 5-Anforderungskatalog des Bundesamtes für Sicherheit in der Informationstechnik). Prüfberichte dürfen von anerkannten Dritten oder internen Prüfberichten des Cloud-Anbieters herangezogen werden.

Umfang, Detailtiefe, Aktualität und Eignung des Zertifizierers oder Prüfers dieser Nachweise/Zertifikate und Prüfberichte sollten berücksichtigt werden. Voraussetzung für das Heranziehen der Ergebnisse ist auch, dass die Interne Revision die zugrundeliegenden Evidenzen prüfen kann.

Zieht das beaufsichtigte Unternehmen Nachweise/Zertifizierungen oder Prüfberichte heran, sollte es auch die Möglichkeit haben, Einfluss auf den Umfang der Nachweise/Zertifizierungen oder Prüfberichte zu nehmen, so dass dieser auf relevante Systeme und Kontrollen erweitert werden kann. Die Anzahl und Häufigkeit entsprechender Weisungen sollte verhältnismäßig sein.

Unzulässige Einschränkungen bei der Vertragsgestaltung wesentlicher Auslagerungen

Informations- und Prüfrechte des beaufsichtigten Unternehmens

Insbesondere unzulässig sind Vereinbarungen, die Informations- und Prüfungsrechte nur unter bestimmten Voraussetzungen gewähren. Diesbezüglich nennt die BaFin folgende Beispiele:

• Vereinbarung gestufter Informations- und Prüfungsverfahren, z.B. die Verpflichtung, zunächst auf die Prüfungsberichte, Zertifikate oder sonstige Nachweise der Einhaltung anerkannter Standards durch den Cloud-Anbieter zurückzugreifen, bevor das beaufsichtigte Unternehmen eigene Prüfungshandlungen durchführen kann
• Beschränkung der Erfüllung der Informations- und Prüfungsrechte auf die Vorlage von Prüfungsberichten, Zertifikaten oder sonstigen Nachweisen der Einhaltung anerkannter Standards durch den Cloud-Anbieter
• Verknüpfung des Zugangs zu Informationen an die vorherige Teilnahme an speziellen Schulungsprogrammen
• Formulierung einer Klausel, in der die Durchführung einer Prüfung von der wirtschaftlichen Zumutbarkeit (commercially reasonable) abhängig gemacht wird
• Zeitliche und personelle Beschränkung der Durchführung von Prüfungen, wobei eine Beschränkung des Zugangs auf die üblichen Geschäftszeiten nach vorheriger Anmeldung in der Regel vertretbar ist
• Verweis auf die alleinige Nutzung etwa von Managementkonsolen zur Ausübung der Informations- und Prüfungsrechte des Unternehmens
• Vorgabe des Ablaufs sowie des Umfangs der Ausübung der Informations- und Prüfungsrechte durch den Cloud-Anbieter

Informations- und Prüfungsrechte der Aufsicht

Analog zu den unzulässigen Einschränkungen bei den Informations- und Prüfrechten des beaufsichtigten Unternehmens sind ebenfalls Regelungen unzulässig, die die Informations- und Prüfungsrechte der Aufsicht nur unter bestimmten Voraussetzungen gewähren.

Informationspflichten

Neben den erforderlichen Prüfungsrechten ist es wichtig, dass dem Cloud-Anbieter Informationspflichten auferlegt werden. Damit hat der Cloud-Anbieter das beaufsichtigte Unternehmen über Entwicklungen (wie beispielsweise Störungen) zu informieren, die die Ordnungsmäßigkeit des ausgelagerten Bereichs beeinträchtigen können. Hinsichtlich der Gefährdung der Sicherheit der vom Cloud-Anbieter zu verarbeitenden Daten des beaufsichtigten Unternehmens ist eine unverzügliche Informationspflicht erforderlich.

Fazit

Das vorliegende Merkblatt der BaFin ist eine gute Hilfestellung bei der Umsetzung der erforderlichen Informations- und Prüfungsrechte. Mögliche Erleichterungen sowie Regelungen, die in der Vertragsgestaltung vermieden werden sollten, geben den beaufsichtigten Unternehmen einen Anhaltspunkt für eine regelkonforme Umsetzung. Daher sind eigene Prüfungen der betroffenen Institute bei Amazon, Google oder einem der anderen großen Cloud-Anbieter nur in beschränktem Umfang erforderlich.

Weitere Informationen rund um das Thema Auslagerung

Mit Blick auf die stetig wachsenden und komplexen Anforderungen an die spezifischen Auslagerungsbereiche hat ORO Services praxisnahe und anwenderfreundliche Checklisten und Blogs erstellt, damit Sie die rechtlichen Anforderungen leichter identifizieren und umsetzen können. Weitere relevante Dokumente finden Regupedia-Kunden hier:

• Whitepaper Auslagerung
• <link info-center search-center detail-ansicht dokument _blank>Management Summary zu den Leitlinien der EBA
• <link file:15989 _blank>Checkliste Auslagerung oder sonstiger Fremdbezug
• <link fileadmin checkliste _blank>Checkliste Auslagerungsvorhaben
• <link file:15999 _blank>Checkliste Auslagerungen der IT-Dienstleistungen

• <link documents-by-oro checklisten _blank internal link in current>Checkliste für vertragliche Regelungen bei der Auslagerung des Geldwäschebeauftragten oder einzelner Geldwäsche-Tätigkeiten
• <link documents-by-oro checklisten _blank internal link in current>Checkliste zur Auslagerung interner Sicherungsmaßnahmen und allgemeiner Sorgfaltspflichten nach dem GwG
• <link aktuell detail artikel auslagerung-von-internen-sicherungsmassnahmen-und-insbesondere-allgemeinen-sorgfaltspflichten-1 _blank internal link in current>Blog „Auslagerung von internen Sicherungsmaßnahmen und insbesondere allgemeinen Sorgfaltspflichten“
• <link documents-by-oro checklisten _blank internal link in current>Checkliste zur Auslagerung der Compliance-Funktion nach WpHG oder einzelner Compliance-Tätigkeiten