Auslagerung IT-Dienstleistungen

Auslagerung IT-Dienstleistungen – Was müssen Sie beachten?

Einsatz von Software gilt dann als Auslagerung, wenn

• diese zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder
• diese für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist.
• diese durch einen externen Dritten betrieben wird.

Im folgenden Informationsblog Auslagerung IT-Dienstleistungen erhalten Sie eine Checkliste mit den wichtigsten Prüfstufen zur Beurteilung von Fremdbezug oder Auslagerung IT-Dienstleistungen.

Auslagerung IT-Dienstleistungen – Die wichtigsten Regelungen im Überblick

• Auslagerung IT-Dienstleistungen – Keine Einstufung als sonstiger Fremdbezug
• Bezug von Software als sonstiger Fremdbezug
• Bezug von Software als Auslagerung IT-Dienstleistungen
• Sonstige institutstypische Dienstleistungen
• Keine Auslagerungen im Sinne des § 25b KWG – Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk
• Schnittstelle IT-Sicherheitsbeauftragter und Auslagerungsbeauftragter
• Gemeinsames Zusammenspiel von IT-Sicherheitsbeauftragten und Auslagerungsbeauftragten erforderlich
• Auftragsprogrammierung, IT-Dienstleistungen und Personalüberlassung

1. Auslagerung IT-Dienstleistungen – Keine Einstufung als sonstiger Fremdbezug

Für die Beurteilung, ob es sich um eine Auslagerung IT-Dienstleistungen handelt, gelten folgende zwei Prüfstufen:

Nicht als sonstiger Fremdbezug, sondern als Auslagerung von IT-Dienstleistungen einzustufen sind jedoch

• vom Institut bezogene Software und
• diesbezügliche fachliche Unterstützungsleistungen, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt werden oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung sind (Kernbanksysteme), sofern sie individuell an die Bedürfnisse eines Instituts oder mehrerer Institute angepasst oder mit entsprechenden Dienstleistungen durch Dritte verbunden sind.

Diese beiden Prüfstufen zur Beurteilung Auslagerung IT-Dienstleistungen stellen einen echten Paradigmenwechsel. Vom Institut fremdbezogene Software, die  individuell an die Bedürfnisse eines oder mehrerer Institute angepasst oder mit entsprechenden Dienstleistungen durch Dritte verbunden ist, ist nicht mehr als sonstiger Fremdbezug, sondern als Auslagerung IT-Dienstleistung einzustufen.

Weitere Voraussetzung für diese Einstufung ist, dass die Software zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken oder für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung (Kernbanksysteme) eingesetzt wird.

Die beiden Prüfstufen zur Beurteilung Auslagerung IT-Dienstleistungen führen in der Praxis zu Herausforderungen bei der Abgrenzung zwischen dem sonstigen Fremdbezug von Standardsoftware einerseits und der Verwirklichung von Auslagerungstatbeständen durch den Fremdbezug individualisierter Software.

Die konkrete Zuordnung ist von erheblicher praktischer Bedeutung. Eine Einstufung als Auslagerung IT-Dienstleistungen führt dazu, dass im Lizenz-/Auslagerungsvertrag

• die Herausgabe aussagekräftiger Informationen zu wesentlichen Annahmen und Parametern
• bzw. deren Änderungen sowie zu sonstigen Sicherheitsanforderungen – wie bspw. Zugangsbestimmungen zu Räumen und Zugriffsberechtigungen für Softwarelösungen – zu vereinbaren sind.

Solche zusätzlichen Rechte und Anforderungen werden sicherlich zu Kostensteigerungen beim Bezug von Software führen.

Weitere Erläuterungen zum Thema Fremdbezug oder Auslagerung geben die MaRisk 2017.

2. Bezug von Software als sonstiger Fremdbezug

Der isolierte Bezug von Software ist in der Regel als sonstiger Fremdbezug einzustufen. Hierzu gehören unter anderem auch die folgenden Unterstützungsleistungen:

• die Anpassung der Software an die Erfordernisse des Kreditinstituts,
• die entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung),
• das Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse beim erstmaligen Einsatz und bei wesentlichen Veränderungen insbesondere von programmtechnischen Vorgaben,
• Fehlerbehebungen (Wartung) gemäß der Anforderungs-/Fehlerbeschreibung des Auftraggebers oder Herstellers,
• sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen.

3. Bezug von Software als Auslagerung IT-Dienstleistungen

Die Regelungen für den sonstigen Fremdbezug gelten nicht für Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist.

Bei dieser Software sind Unterstützungsleistungen als Auslagerung IT-Dienstleistungen einzustufen. Ferner gilt der Betrieb der Software durch einen externen Dritten als Auslagerung IT-Dienstleistungen.

4. Sonstige institutstypische Dienstleistungen

Durch die Bezugnahme auf sonstige institutstypische Dienstleistungen wird Art. 13 Abs. 5 Satz 1 der Finanzmarktrichtlinie insoweit Rechnung getragen, als dieser sich auf die Auslagerung betrieblicher Aufgaben bezieht, die für die kontinuierliche und ordnungsgemäße Erbringung und Ausübung von Dienstleistungen für Kunden und Anlagetätigkeiten wichtig sind. Zu den sonstigen institutstypischen Dienstleistungen zählen z. B. auch die in Anhang I Abschnitt B der Finanzmarktrichtlinie genannten Nebendienstleistungen.

Abschnitt B führt folgende Nebendienstleistungen auf, welche als institutstypische Dienstleistungen einzustufen sind:

1. Verwahrung und Verwaltung von Finanzinstrumenten für Rechnung von Kunden, einschließlich der Depotverwahrung
   und verbundener Dienstleistungen wie Cash-Management oder Sicherheitenverwaltung
2. Gewährung von Krediten oder Darlehen an Anleger für die Durchführung von Geschäften mit einem oder
   mehreren Finanzinstrumenten, sofern das kredit- oder darlehensgewährende Unternehmen an diesen Geschäften
   beteiligt ist
3. Beratung von Unternehmen hinsichtlich der Kapitalstrukturierung, der branchenspezifischen Strategie und damit
   zusammenhängender Fragen sowie Beratung und Dienstleistungen bei Unternehmensfusionen und -aufkäufen
4. Devisengeschäfte, wenn diese im Zusammenhang mit der Erbringung von Wertpapier-dienstleistungen stehen
5. Wertpapier- und Finanzanalyse oder sonstige Formen allgemeiner Empfehlungen, die Geschäfte mit Finanzinstrumenten
   betreffen
6. Dienstleistungen im Zusammenhang mit der Übernahme von Emissionen
7. Wertpapierdienstleistungen und Anlagetätigkeiten sowie Nebendienstleistungen des in Anhang I Abschnitt A oder B
   enthaltenen Typs betreffend die Unterlegung der in Abschnitt C Nummern 5, 6, 7 und 10 enthaltenen Derivate,
   wenn diese mit der Bereitstellung der Wertpapier- oder der Nebendienstleistung in Zusammenhang stehen

5. Keine Auslagerung – sonstiger Fremdbezug von Leistungen

Nicht als Auslagerung von IT-Dienstleistungen zu qualifizieren ist der sonstige Fremdbezug von Leistungen. Hierzu zählt zunächst der einmalige oder gelegentliche Fremdbezug von Gütern und Dienstleistungen.

Ebenso erfasst werden Leistungen, die typischerweise von einem beaufsichtigten Unternehmen bezogen und aufgrund tatsächlicher Gegebenheiten oder rechtlicher Vorgaben regelmäßig weder zum Zeitpunkt des Fremdbezugs noch in der Zukunft vom Institut selbst erbracht werden können (z. B. die Nutzung von Zentralbankfunktionen (innerhalb von Finanzverbünden), bzw. die Nutzung von Clearingstellen im Rahmen des Zahlungsverkehrs und der Wertpapierabwicklung, die Inanspruchnahme von Liquiditätslinien, die Einschaltung von Korrespondenzbanken oder die Verwahrung von Vermögensgegenständen von Kunden nach dem Depotgesetz).

Die Anwendung der einschlägigen Regelungen zu § 25b Abs. 2 KWG ist angesichts der besonderen, mit solchen Konstellationen einhergehenden Risiken regelmäßig nicht angemessen. Dessen ungeachtet hat das Institut auch beim sonstigen Fremdbezug von Leistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß 25a Abs. 1 KWG zu beachten.

6. Keine Auslagerungen im Sinne des § 25b KWG – Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk

Keine Auslagerung im Sinne der den § 25b KWG konkretisierenden MaRisk sind allgemeine Service- und Unterstützungsdienstleistungen und die Nutzung von Infrastruktureinrichtungen, da sie regelmäßig nicht den Tatbestand des AT 9 Tz. 1 MaRisk erfüllen.

Basierend auf dem BaKred-Rundschreiben 11/2001 zählen zu den allgemeinen Service- und Unterstützungsdienstleistungen beispielsweise:

• Postzustellung,
• Strom, Wasser, Abwasser,
• Reinigungsdienst,
• Wachschutz,
• Abfallentsorgung,
• Unfallverhütung,
• Baudienst,
• Rechts- und Steuerberatung sowie sonstige Beratungsleistungen,
• Informationsdienste wie Reuters etc.,
• Bezug von Druckerzeugnissen (Formulare, Vordrucke etc.),
• Mitarbeiterschulung,
• Fakturierung,
• Brandschutz,
• Betriebsarzt und -psychologe,
• Verwaltung von Institutsvermögen in Spezialfonds inkl. Master-Kapitalanlagegesellschaften.

Demzufolge unterliegen diese Tätigkeiten nicht den Anforderungen des § 25b KWG, unterfallen jedoch den Vorgaben an eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs. 1 KWG und sind Bestandteil des allgemein geforderten Risikomanagementsystems.

7. Schnittstelle IT-Sicherheitsbeauftragter und Auslagerungsbeauftragter

Typische Aufgaben des IT-Sicherheitsbeauftragten sind gemäß BAIT Abschnitt 4 Informations-sicherheitsmanagement:

Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheits-management folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichtspflichten des Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an BT 3.2 Tz. 1 MaRisk.

Die Funktion des Informationssicherheitsbeauftragten umfasst insbesondere die nachfolgenden 8 Aufgaben:

1. die Geschäftsleitung beim Festlegen und Anpassen der Informationssicherheitsleitlinie zu unterstützen und in allen Fragen der Informationssicherheit zu beraten; dies umfasst auch Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit)
2. Erstellung von Informationssicherheitsrichtlinien und ggf. weiteren einschlägigen Regelungen sowie die Kontrolle ihrer Einhaltung den Informationssicherheitsprozess im Institut zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken
3. Beteiligung bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der IT-Belange
4. die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen
5. Beteiligung bei Projekten mit IT-Relevanz
6. als Ansprechpartner für Fragen der Informationssicherheit innerhalb des Instituts und für Dritte bereitzustehen
7. Informationssicherheitsvorfälle zu untersuchen und diesbezüglich an die Geschäftsleitung zu berichten
8. Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Typische Aufgaben des Auslagerungsbeauftragten sind gemäß BAIT 4 Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen:

IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung.

Die Auslagerung IT-Dienstleistungen hat die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für die Auslagerung IT-Dienstleistung, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).

Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienstleistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk). Bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk).

8. Gemeinsames Zusammenspiel von IT-Sicherheitsbeauftragten und Auslagerungsbeauftragten erforderlich

Die aus der Risikobewertung zum sonstigen Fremdbezug von IT-Dienstleistungen abgeleiteten Maßnahmen sind angemessen in der Vertragsgestaltung zu berücksichtigen. Die Ergebnisse der Risikobewertung sind in angemessener Art und Weise im Managementprozess des operationellen Risikos, vor allem im Bereich der Gesamtrisikobewertung des operationellen Risikos, zu berücksichtigen.

Dies beinhaltet bspw. Vereinbarungen zum Informationsrisikomanagement, zum Informationssicherheitsmanagement und zum Notfallmanagement, die im Regelfall den Zielvorgaben des Instituts entsprechen. Bei Relevanz wird auch die Möglichkeit eines Ausfalls eines IT-Dienstleisters berücksichtigt und eine diesbezügliche Exit- bzw. Alternativ-Strategie entwickelt und dokumentiert. Als erforderlich erkannte Maßnahmen sind auch im Fall der Einbindung von Subunternehmen zu berücksichtigen.

Der Rahmen für die IT-Sicherheit sowie die damit verbundenen Informationssicherheitsmaßnahmen ist durch die IT-Sicherheitsbeauftragten zu definieren. Auf dieser Basis kann dann der Auslagerungsbeauftragter seine Bewertungen im Rahmen des Auslagerungscontrollings vornehmen.

9. Auftragsprogrammierung, IT-Dienstleistungen und Personalüberlassung

Regelungen finden sich auch hier im Kapital 8 und fallen damit in den Zuständigkeitsbereich des Auslagerungsbeauftragten:

IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung.

Die Auslagerung IT-Dienstleistungen hat die Anforderungen nach AT 9 der MaRisk zu erfüllen. Dies gilt auch für die Auslagerung IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).

Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienstleistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk). Bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk).

10. Reportingpflichten – Regelung nun in AT 9, Tz 13 – Auslagerung IT-Dienstleistungen

Die in den MaRisk in BT 3.5 gesondert aufgeführten Reportingpflichten wurden nun in der Endversion fallen gelassen. Entsprechende Regelungen finden sich nun in AT 9, Tz 13.

Das zentrale Auslagerungsmanagement hat mindestens jährlich einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Der Bericht hat unter Berücksichtigung der dem Institut vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleistungsqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob

• die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen,
• die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können und
• weitere risikomindernde Maßnahmen ergriffen werden sollen.

MaRisk – Auslagerungen IT-Dienstleistungen

Unsere Praxisseminare Geldwäsche und Fraud – Basisseminar, Geldwäsche und Fraud – Aufbauseminar, Geldwäsche & Fraud – Update und Geldwäsche & Fraud – Forum verschaffen Ihnen einen umfassenden Überblick zu den aktuellen gesetzlichen Neuerungen und unterstützen Sie dabei, Geldwäsche- und Betrugsstrukturen zu erkennen, zu bewerten und rechtzeitig zu verhindern. In den Compliance-Seminaren wie Compliance, Compliance für Vertriebsbeauftragte, Neue Compliance-Funktion gemäß MaRisk oder auch Compliance im Fokus der Bankenaufsicht werden Ihnen die Ausgestaltung der Schnittstellen zwischen Compliance, Datenschutz, IT, Zentrale Stelle und Interner Revision näher gebracht. Auch die Mindestanforderungen zum Aufbau eines Gesamt-IKS werden hier beispielsweise näher erläutert.

Zudem haben Sie die Chance, nach Teilnahme der Seminare die Zertifizierungslehrgänge zum Compliance Officer oder zum Geldwäsche-Beauftragter zu absolvieren.

Depot A Management und Asset Management – Seminar Auslagerung IT-Dienstleistungen

Bauen Sie für Ihr Unternehmen eine eigenständige Kreditanalyse zur verlässlichen Beurteilung Ihrer Emittenten- und Kontrahentenlimite auf! In den Seminaren Depot A im Fokus der Bankenaufsicht, Depot A Management: Kompaktwissen für die Niedrigzinsphase und Depot A Management erhalten Sie Leitlinien für eine aufsichts- und haftungsrechtlich sichere Kreditanalyse und Limiteinräumung bei Eigenanlagen. Darüber hinaus helfen Ihnen anerkannte Beurteilungsstandards, Checklisten und Musterbeschlüsse bei einer fundierten und zuverlässigen Kreditanalyse im Depot A.

Beachten Sie auch unseren aktuelle Seminare zu Datenschutz und Prävention vor Cyber-Risiken, Compliance, Mindestanforderungen TLAC und MREL sowie Geldwäschegesetz aktuell.