Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk

Seit dem 30. Oktober 2007 („erste MaRisk-Novelle“) konkretisieren die MaRisk die Anforderungen an eine ordnungsgemäße Geschäftsorganisation für ausgelagerte Aktivitäten und Prozesse. Zum 1. Januar 2014 wurde § 25a Abs. 2 KWG in § 25b KWG überführt.

Das Institut muss angemessene Vorkehrungen treffen, um übermäßige zusätzliche Risiken zu vermeiden – abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung.

• Eine Auslagerung darf die ordnungsgemäße Durchführung der Bankgeschäfte, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen nicht beeinträchtigen.
• Die ausgelagerten Aktivitäten und Prozesse müssen in das Risikomanagement des Instituts einbezogen werden.
• Eine Auslagerung darf nicht zu einer Delegation der Verantwortung der Geschäftsleiter führen.
• Das Institut bleibt auch bei einer Auslagerung für die Einhaltung der gesetzlichen Bestimmungen verantwortlich.
• Auskunfts-, Prüfungs- und Kontrollrechte der BaFin und der Prüfer müssen auch bei Auslagerungen sichergestellt bleiben.
• Eine schriftliche Vereinbarung mit Weisungs- und Kündigungsrechten des Instituts ist erforderlich.

Allgemeine Service- und Unterstützungsdienstleistungen sowie die Nutzung von Infrastruktureinrichtungen sind keine Auslagerung im Sinne der MaRisk, da sie regelmäßig nicht den Tatbestand des AT 9 Tz. 1 MaRisk erfüllen.

Basierend auf dem BaKred-Rundschreiben 11/2001 zählen dazu zum Beispiel:

Diese Tätigkeiten unterliegen nicht den Anforderungen des § 25b KWG, jedoch den Vorgaben an eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs. 1 KWG.

Gemäß § 9 Abs. 3 PrüfbV hat der Abschlussprüfer über Auslagerungen wesentlicher Aktivitäten und Prozesse gesondert zu berichten.

• Ist die Einstufung als wesentlich oder unwesentlich unter Risikoaspekten, Art, Umfang und Komplexität nachvollziehbar?
• Ausgelagerte wesentliche Aktivitäten sind in Verbindung mit Anlage 4 nachvollziehbar zu spezifizieren und abzugrenzen.

Gemäß MaRisk AT 9 liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse beauftragt wird, die ansonsten vom Institut selbst erbracht würden und im Zusammenhang mit Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen stehen.

Zivilrechtliche Gestaltungen und Vereinbarungen können das Vorliegen einer Auslagerung nicht ausschließen.

Durch die Bezugnahme auf sonstige institutstypische Dienstleistungen wird Art. 13 Abs. 5 Satz 1 der Finanzmarktrichtlinie insoweit Rechnung getragen, als dieser sich auf die Auslagerung betrieblicher Aufgaben bezieht, die für die kontinuierliche und ordnungsgemäße Erbringung von Dienstleistungen für Kunden und Anlagetätigkeiten wichtig sind.

Zu den sonstigen institutstypischen Dienstleistungen zählen zum Beispiel auch die in Anhang I Abschnitt B der Finanzmarktrichtlinie genannten Nebendienstleistungen.

Nicht als Auslagerung zu qualifizieren ist der sonstige Fremdbezug von Leistungen. Hierzu zählen insbesondere einmalige oder gelegentliche Fremdbezüge von Gütern und Dienstleistungen sowie Leistungen, die Institute weder aktuell noch künftig selbst erbringen können.

Auch beim sonstigen Fremdbezug gelten die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG.

Die Vermögensverwaltung durch die KVG sowie die Lieferung von Durchschau-Daten zu den im Fonds enthaltenen Risikopositionen sind grundsätzlich nicht als Auslagerung einzustufen. Dies wurde mit dem aktuellen DSGV Interpretationsleitfaden zu den MaRisk nochmals bestätigt.

Das Institut muss sich aussagekräftige Informationen zu wesentlichen Annahmen, Parametern und deren Änderungen vorlegen lassen, wenn die Risikoermittlung auf Berechnungen Dritter beruht.

• Zunächst ist zu prüfen, ob die Gesamtfondsposition wesentlich ist.
• Bei Wesentlichkeit ist die Risikomessung durch die KVG nur zulässig, wenn die Verantwortung beim Institut verbleibt.
• Bei Unwesentlichkeit sind vereinfachte Verfahren möglich.
• Die reine Lieferung von Rohdaten ist regelmäßig kein Auslagerungstatbestand.

Die EBA hat mit ihren Leitlinien einen Katalog von Dienstleistungen aufgestellt, die nicht als Auslagerung einzustufen sind. Diese Negativabgrenzung ist für Institute ein wichtiges Hilfsmittel bei der Einordnung von Drittbezügen.

Vom Institut bezogene Software und fachliche Unterstützungsleistungen sind nicht als sonstiger Fremdbezug, sondern als Auslagerung einzustufen, wenn sie individuell angepasst sind oder mit entsprechenden Dienstleistungen verbunden werden und für die Risikosteuerung oder wesentliche bankgeschäftliche Aufgaben eingesetzt werden.

Gemäß AT 4.2 Tz. 1 MaRisk sind bei umfangreichen Auslagerungen Ausführungen zum Outsourcing in der Strategie erforderlich. Zusätzlich sind Aussagen zur geplanten Ausgestaltung der IT-Systeme zu treffen.

Die Organisationsrichtlinien müssen darüber hinaus Verfahrensweisen bei wesentlichen Auslagerungen und klare Schnittstellen zu ausgelagerten Prozessen enthalten.

Gemäß MaRisk 2017 müssen Institute im Rahmen ihrer Risikoanalysen auch Risikokonzentrationen aus Auslagerungsrisiken sowie Risiken aus Weiterverlagerungen berücksichtigen.

Die Aufsicht stellte klar, dass die CEBS-Guidelines on Outsourcing über § 25b KWG in deutsches Recht überführt wurden und insbesondere durch AT 9 MaRisk konkretisiert werden.

Zugleich wurde angekündigt, dass die künftigen EBA-Guidelines on Outsourcing arrangements in den MaRisk noch stärker berücksichtigt werden sollen.

Die EBA unterscheidet in der Pre-outsourcing analysis zwischen normalen und kritischen oder bedeutenden Funktionen. Bestimmte Funktionen sind nach Auffassung der EBA stets als kritisch oder bedeutend einzuordnen.

• Auslagerung operativer Tätigkeiten der internen Kontrollfunktionen
• Wesentliche Auswirkungen auf Zulassungsvoraussetzungen
• Wesentliche Auswirkungen auf finanzielle Performance, Solidität oder Kontinuität
• Kerngeschäftsbereiche oder kritische Funktionen gemäß BRRD