Important - The information in this article is provided subject to the disclaimer. The law may have changed since first publication and the reader is cautioned accordingly.



Vor dem Hintergrund komplexer Finanzsysteme und spektakulärer Risikoausfälle – nicht zuletzt der Insolvenzen von Enron und Parmalat – ist am 26. Juni 2004 die neue Basler Eigenkapitalvereinbarung "Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen (Basel II)" verabschiedet worden. Mit der Umsetzung in nationales Aufsichtsrecht verändern sich die Anforderungen an die Risikoabsicherung grundlegend. Banken, wie auch andere von Basel II betroffene Finanzdienstleister, müssen ihre IT-Systeme auf den Prüfstand stellen und nicht wenigen stehen erhebliche Neuinvestitionen ins Haus. Damit gehen die Überprüfung der vertraglichen Grundlagen bestehender IT-Systeme sowie erhebliche Herausforderungen im Projekt- und Vertragsmanagement einher.

1. Maßgaben von Basel II für die IT-Infrastruktur


Basel II setzt neue Maßstäbe, wie Kreditrisiken zu bewerten und mit Eigenkapital abzusichern sind. Zwar bleiben die Vorgaben bezüglich einer Eigenkapitalquote von mindestens 8 % gegenüber Basel I als solche unverändert. Die Eigenkapitalhinterlegung richtet sich aber nunmehr unter anderem nach einer Bewertung des "operationellen Risikos". Dazu werden die sogenannten "gewichteten Risikoaktiva" fortlaufend ermittelt und bewertet, die aufgrund unzureichender oder fehlerhafter interner Abläufe (Mitarbeiterversagen, Systemschwächen einschließlich IT-gestützter Systeme und sonstiger Prozesse) wie auch aufgrund externer Ereignisse (menschliches Versagen, Ausfall externer Systemleistungen, Betrug) beeinflusst werden. Die Maßgaben für die IT-Infrastruktur sind damit in Basel II nur mittelbar geregelt.

Die Auswirkungen sind gleichwohl ganz erheblich und werden vielfach noch unterschätzt. Es müssen nicht nur Basel II-fähige Softwareprodukte eingesetzt werden. Basel II erfordert vor allem eine grundlegende Umgestaltung der Verfahren zur Datenerhebung (auf das sog. "Data Capture"), um operationelle Risikofaktoren zu identifizieren und analysieren. Damit diese Datenerhebung entsprechend den Umsetzungszielen von Basel II reibungslos funktioniert, sind die Banken nach derzeitigem Stand gezwungen, spätestens ab dem Jahr 2006 mit dem Umstellungsprozess zu beginnen. Schon jetzt zeichnet sich für viele Institute ein erhebliches Zeitproblem ab.

2. Anstehende Umsetzung in deutsches Recht


Die EU wird Basel II voraussichtlich mit der neuen Kapital-adäquanzrichtlinie ("CAD III") umsetzen, die der deutsche Gesetzgeber dann wiederum durch ein nationales Gesetz implementieren wird.


Beraterhinweis: Es ist derzeit noch unklar, in welchem Umfang die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin) ihre Aufsichtsinstrumentarien im Zuge dessen modifizieren bzw. weiterentwickeln und möglicherweise auch gezielt die bisherigen Risikoabsicherungssysteme der Banken im einzelnen auf den Prüfstand stellen wird. In dem Bemühen um Transparenz wird die BAFin dazu auf ihrer Website www.bafin.de regelmäßig Protokolle des Forums für Finanzmarktaufsicht veröffentlichen.

Klar ist dagegen, dass im Falle verfehlter oder verspäteter Umstellung auf Basel II administrative Sanktionen von Geldbußen bis – im äußersten Falle – zum Entzug der Banklizenz drohen.

3. Konkurrierende regulatorische Anforderungen


Die Umstellung auf Basel II kommt nicht isoliert auf die Banken zu, sondern muss in Einklang mit zum Teil konkurrierenden regulatorischen Anforderungen erfolgen, wie insbesondere dem Datenschutzrecht, Arbeitschutzvorschriften, dem Wettbewerbs- und Steuerrecht sowie den Anforderungen an die "Corporate Governance".

Darüber hinaus haben die seit diesem Jahr international geltenden IAS-Regeln maßgebliche Auswirkungen auf die Finanzbuchhaltung aller international agierenden Unternehmen und ziehen auch auf der Bankenseite entsprechende Anpassungen nach sich.

4. Technische Bestandsaufnahme und rechtliche Due Diligence


Die Umstellung der IT-Systeme auf die Anforderungen von Basel II vollzieht sich typischerweise in einer zunächst technischen Bestandsaufnahme und einer nachfolgenden rechtlichen Due Diligence:

a) Technische Bestandsaufnahme


Um den Anforderungen von Basel II und insbesondere dem "Data Capture" zu genügen, steht am Beginn eine Bestandsaufnahme hinsichtlich der technischen Leistungsfähigkeit der vorhandenen IT-Infrastruktur. Daraus ergibt sich, inwieweit bereits existierende IT-Systeme anpassungsfähig und in welchem Umfang technische Erweiterungen und/oder Neuanschaffungen erforderlich sind.

b) Möglichkeiten der Vertragsanpassung


Auf die technische Analyse folgt eine Überprüfung aller für die bestehenden IT-Systeme maßgeblichen IT-Verträge. Als erstes wird man dabei diejenigen Verträge, deren Leistungen die Umstellung auf Basel II technisch zunächst nicht mittragen, auf die Möglichkeit einer umfassenden Vertragsanpassung zu prüfen haben.


Beachten Sie: Eine ganze Reihe von Verträge enthält "compliance with law-Klauseln", die den IT-Anbietern verpflichten, jederzeit die Gesetzeskonformität der eigenen Produkte und Dienstleistungen für die Dauer des Vertrages auf eigene Kosten – oder möglicherweise auch mit einer Kostenbeteiligung des IT-Kunden (d.h. der Bank) – sicherzustellen.

Von ähnlicher Bedeutung sind Vertragsbestimmungen, die das "change control" oder "change management" betreffen und Anpassungsmechanismen und -verfahren bei Änderungen der zugrunde liegenden technischen und wirtschaftlichen Annahmen regeln.

Wo ausdrückliche Regelungen fehlen, ist die Frage der Kostentragung offen und möglicherweise nur im Rückgriff auf das Rechtsinstitut der Störung der Geschäftsgrundlage (woraus ggf. Anpassungspflichten und/oder Kündigungsrechte folgen) bzw. im Verhandlungswege mit dem IT-Anbieter zu lösen.

c) Risikoverteilung in Basel II-fähigen Verträgen


In einem nächsten Schritt sind für diejenigen IT-Verträge, die im Grundsatz technisch und rechtlich die Umstellung auf Basel II mittragen, u.a. die folgenden weiteren Fragen hinsichtlich der vertraglichen Risikoverteilung zwischen IT-Anbietern und Banken zu untersuchen:

  • Wie sind der Bestand und die Inhaberschaft von Nutzungsrechten, Garantien und Gewährleistung für Produkte und Dienstleistungen sowie die Vertragslaufzeit einschließlich Kündigungsmöglichkeiten geregelt?

  • Wie sind in System- und Integrationsverträgen sowie Wartungsverträgen die allgemeine Haftung, das "disaster recovery" und sonstige technische Ausfallrisiken geregelt?

  • Ist insbesondere im Rahmen von Outsourcing-Verträgen der Datenschutz auch nach einer Umstellung auf Basel II uneingeschränkt gewährleistet?

5. Anforderungen an Vertrags- und Projektmanagement


Soweit die technische Bestandsaufnahme und rechtliche Due Diligence ergeben, dass mit den bisherigen IT-Anbietern Vertragsanpassungen oder (ggf. auch mit Dritten) Neuabschlüsse vereinbart werden müssen, hängt die erfolgreiche Umstellung auf Basel II maßgeblich vom Vertrags- und Projektmanagement ab. Die Beziehungen mit den bisherigen IT-Anbietern müssen in dem erforderlichen Umfang – auch bei Einbeziehung oder Ablösung durch neue IT-Anbieter – gesichert und mit dem (eigenen oder zwischenzeitlich ausgegliederten) IT-Team abgestimmt werden. Nur so gelingt das Ineinandergreifen von Anpassungsleistungen und Neuanschaffungen.


Beraterhinweis: Die technische Bestandsaufnahme in Verbindung mit der rechtlichen Due Diligence versetzen die Bank in die Lage, in Verhandlungen mit den bisherigen IT-Anbietern gleichzeitig die vertraglichen oder gesetzlichen Kündigungsmöglichkeiten einerseits sowie die Kosten von Vertragsergänzungen bzw. Neuabschlüssen andererseits im Blick zu behalten.

Insbesondere stellen sich den betroffenen Banken im Rahmen ihres Vertrags- und Projektmanagements folgende Fragen:

  • Neuanschaffungen, Implementierungsleistungen und Outsourcing


Decen sich bei der Verhandlung von Neuanschaffungen und Implementierungsleistungen die konkreten technischen Leistungsanforderungen mit den (bereits bestehenden) vertraglichen Spezifikationen, Garantien und Gewährleistungen, Haftungs- und Wartungsregelungen und Bestimmungen über das "disaster recovery"? Hat die Bank hinreichende Kontrolle über (derzeit oder zukünftig) ausgegliederte IT-Leistungen, um kostenwirksam auf Basel II umzustellen?


  • Reporting und Datenarchivierung


Welchen Reporting- und Datenaufbewahrungspflichten unterliegt die Bank im Rahmen des Risikomanagements? Sind ihre IT-Systeme hinreichend effizient und die vertraglichen Verpflichtungen ihrer IT-Anbieter belastbar genug, um die Konformität mit Basel II gegenüber der BAFin nachzuweisen?


  • Zeitplan


Die mit der Umstellung auf Basel II verbundenen IT-Projekte sind zeitkritisch. Welche vertraglichen Anreize bestehen oder müssen noch geschaffen werden, damit die IT-Anbieter ein gesteigertes eigenes Interesse haben, die Umstellung rechtzeitig herbeizuführen? Auf welche vertraglichen Rechtsbehelfe kann die Bank zurückgreifen oder welche benötigt sie, um auf Ausfälle und Verzögerungen zu reagieren?


  • Kosten und Risikoverteilung


Kosteneinschätzung und Kostenkontrolle – einschließlich aller vertraglicher Absicherungen gegenüber den IT-Anbietern – sind wesentlicher Bestandteil einer erfolgreichen Umstellung auf Basel II. Wer trägt die Kosten der Umstellung – die Bank oder ihr IT-Anbieter? Wer trägt die Kosten und Haftungsrisiken bei verfehlter oder nicht rechtzeitiger Umstellung auf Basel II?


  • Risiken bei Nichterfüllung


Hat die Bank – insbesondere bei ausländischen Beteiligungen – die multi-jurisdiktionale Dimension von Basel II bedacht? Welche Konsequenzen stehen für ihr Unternehmen und das Management im Raum, falls sie nicht rechtzeitig oder unzureichend auf Basel II umstellt?


6. Fazit


Basel II stellt eine enorme, bislang noch weitgehend unterschätzte IT-Herausforderung für die Bankenbranche dar. Umfassende und nachhaltige Anpassungen der IT-Infrastruktur sind unausweichlich. Eine technische Bestandsaufnahme und rechtliche Due Diligence bilden den Ausgangspunkt einer zeitgerechten und rechtssicheren Umstellung gegenwärtiger und künftiger IT-Projekte.

First published in the July 2005 issue of IT Rechtsberater.