Aktualisierung der BaFin-Aufsichtspraxis zu Auslagerungen an Cloud-Anbieter

Am 1. Februar 2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) eine Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter veröffentlicht. Grundlage der Aufsichtsmitteilung ist die ebenfalls von der BaFin veröffentlichte Orientierungshilfe aus dem Jahr 2018, die zu diesem Anlass aktualisiert worden ist und nunmehr als „Aufsichtsmitteilung“ einen wesentlichen Ankerpunkt für die Aufsichtspraxis der BaFin in Auslagerungsfragen darstellt.

1. Cloud-Auslagerungen im Finanzsektor 

Der Begriff der Auslagerung bezeichnet im Finanzsektor die Möglichkeit, bestimmte Geschäftsprozesse oder Funktionen unter Einhaltung regulatorischer Vorgaben an externe Dienstleister zu übertragen. Dies ermöglicht den Instituten, sich auf ihre Kernkompetenzen zu konzentrieren, effizienter zu arbeiten und gleichzeitig auf spezialisierte externe Ressourcen zurückzugreifen. Diese Möglichkeit wird von regulierten Einheiten unter anderem dazu verwendet, um Cloud-Dienstleistungen wie Infrastructure-as-a-Service (IaaS), Software-as-a-Service (SaaS) oder Platform-as-a-Service (PaaS) Dienstleistungen zu beziehen. 

Die Aufsichtsmitteilung der BaFin aktualisiert die in der Orientierungshilfe enthaltenen Inhalte zur Governance von Cloud-Auslagerungen, zu Einführungsprozessen und vertraglichen Mindeststandards. Zudem wurden zwei neue Kapitel aufgenommen, die Hinweise zu Entwicklung, Betrieb und Cybersicherheit in der Cloud sowie zur konkreten Überwachung und Kontrolle von Leistung und Sicherheit des Cloud-Anbieters beinhalten.

Weiterhin sind in der Aufsichtsmitteilung diverse Informationen zur Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (Digital Operational Resilience Act – „DORA“) enthalten. DORA ist ab Januar 2025 anzuwenden. In der aktualisierten Aufsichtsmitteilung wird bereits jetzt ein Ausblick auf die maßgeblichen regulatorischen Vorgaben in DORA mit Blick auf Auslagerungen gegeben. Eine englischsprachige Übersicht über DORA sowie weitere cybersicherheitsrelevante Rechtsakte der EU finden Sie hier.

2. Aktualisierte Vorgaben an die Vertragsgestaltung von Auslagerungsverträgen

Die Aufsichtsmitteilung soll insbesondere die aufsichtliche Bewertung zu verschiedenen Formulierungen in Vertragsklauseln transparent machen. Insbesondere in den folgenden Punkten haben sich wesentliche Änderungen durch die neue Aufsichtsmitteilung ergeben:

2.1 Leistungsgegenstand

Bereits in der Orientierungshilfe aus dem Jahr 2018 wurde festgehalten, dass im Auslagerungsvertrag eine Spezifizierung und ggf. Abgrenzung der vom Cloud-Anbieter zu erbringenden Leistung zu erfolgen hat. Die Auflistung der Punkte, die dabei grundsätzlich festgelegt werden sollen, wurde durch die Aufsichtsmitteilung ergänzt. 

Es soll hiernach auch die Anpassungsmöglichkeiten der Dienstleistung für den Fall einer Bedarfsänderung während der Vertragslaufzeit festgelegt werden. Als Beispiel wird die Hinzunahme zusätzlicher Sicherheitsmaßnahmen bei Änderung des Schutzbedarfs oder eine Anpassung des vom Dienstleister zugesagten Leistungsniveaus an die Bedarfsmeldungen aus dem Leistungs- und Kapazitätsmanagement genannt.

2.2 Informations- und Prüfungsrechte der beaufsichtigten Unternehmen

Die Informationen, die das beaufsichtigte Unternehmen erhält, die es für die angemessene Steuerung und Überwachung der mit der Auslagerung verbundenen Risiken benötigt, sind von diesem grundsätzlich fünf Jahre aufzubewahren.

Die wirksame Ausübung der Informations- und Prüfungsrechte darf nicht durch Vertragsvereinbarungen eingeschränkt werden. Zu unzulässigen Vereinbarungen, die die Informations- und Prüfungsrechte nur unter bestimmten Voraussetzungen gewähren, gehören nach der Aufsichtsmitteilung nun auch:

• Die Vereinbarung eines Verweises auf interne Umsetzungsrichtlinien des Cloud-Anbieters, die Einschränkungen der vertraglich vereinbarten Rechte vorsehen, sowie
• Kosten, die aufgrund ihrer Höhe eine Ausübung der Informations- und Prüfungsrechte einschränken oder behindern könnten. Gleiches gilt für den lediglich ortsgebundenen Zugriff auf Informationen und Dokumente.

Die beaufsichtigten Unternehmen können abhängig von den einschlägigen aufsichtsrechtlichen Vorgaben alternative Prüfungsansätze in Anspruch nehmen, um ihre Prüfungshandlungen effizienter zu gestalten. In einem solchen Fall sind die alternativen Prüfungsansätze in geeigneter Form bei der Vertragsgestaltung mit dem Cloud Anbieter zu berücksichtigen.

2.3 Informations- und Prüfungsrechte der Aufsicht

Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht dürfen nicht vertraglich und nach der neuen Aufsichtsmitteilung auch nicht durch interne Umsetzungsrichtlinien des Cloud-Anbieters eingeschränkt werden.

Es muss vertraglich vereinbart sein, dass die Aufsicht ihre Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten auch im Hinblick auf den ausgelagerten Sachverhalt ordnungsgemäß und uneingeschränkt ausüben kann. Insbesondere soll es der Aufsicht möglich sein, zumindest auch für einen Zeitraum von fünf Jahren nach Vertragsbeendigung, Informations- und Prüfungsrechte auszuüben.

Bezogen auf wesentliche Weiterverlagerungen soll sichergestellt werden, dass die gleichwertige Informations- und Prüfungsrechte für die gesamte Auslagerungskette vereinbart sind.

2.4 Kündigungsmodalitäten

Weiterhin wurden durch die neue Aufsichtsmitteilung zu den Kündigungsmodalitäten solche Fälle eingefügt, bei denen eine Kündigung aus wichtigem Grund zusätzlich zu dem Fall, dass seitens der Aufsichtsbehörde die Beendigung des Vertrages verlangt wird, möglich sein soll.

Weiterhin wird eine Regelung für diejenigen Unternehmen getroffen, die unter den Anwendungsbereich des Gesetzes zur Sanierung und Abwicklung von Instituten und Finanzgruppen fallen.

2.5 Informationspflichten der Cloud-Anbieter

Umfang und Aufbereitung der vom Cloud-Anbieter zur Verfügung gestellten Informationen sollen so ausgestaltet sein, dass das beaufsichtigte Unternehmen angemessen reagieren kann. Insbesondere soll das beaufsichtigte Unternehmen in die Lage versetzt werden, Änderungen seiner Risikosituation erkennen und bewerten zu können.

2.6 Hinweis zum anwendbaren Recht

Sollte es bei der Vereinbarung einer Rechtswahlklausel nicht möglich sein, soweit nicht das deutsche Recht vereinbart wird, dass das Recht eines Staates der Europäischen Union bzw. des Europäischen Wirtschaftsraum auf den Vertrag Anwendung findet, sollen alle Anforderungen an die Rechtsdurchsetzbarkeit gewährleistet bleiben.

3. Ausblick

Die Aktualisierung der Aufsichtsmitteilung ist auch Resultat eines aufsichtlichen Dialoges, den die BaFin mit beaufsichtigten Unternehmen geführt hat; hierin haben diese Herausforderungen in der Umsetzung bestehender aufsichtlicher Vorgaben beschrieben. Diese ergäben sich etwa aus einem hohen Standardisierungsgrad, der individuelle Vereinbarungen erschwert, der globalen Verfügbarkeit und hohen Skalierbarkeit des technologisch hochinnovativen Leistungsangebots von Cloud-Dienstleistungen und der hohen Konzentration auf wenige Cloud-Anbieter aus Drittstaaten. Hierauf ist die BaFin insoweit eingegangen, als das verschiedentlich flexiblere Ansätze angedacht werden. Es ist insoweit zu begrüßen, dass der aufsichtliche Dialog zu einem technologischen Kenntnisgewinn auf Seiten der BaFin führt. Dies kann dazu führen, dass sowohl umfassend die durch die Auslagerung möglichen Risiken identifiziert und adäquat adressiert werden können. Aber auch dazu, dass – etwa im Falle von Unterauslagerungen – Flexibilität gewährt, wo diese unter Risikogesichtspunkten verhältnismäßig ist. Ein solcher Ansatz einer proportionalen Regulierung kann auch dazu führen, regulatorisch nicht gerechtfertigten ‚Overhead‘ zu reduzieren, um die Regulierung von Auslagerungsunternehmen innerhalb einer stark arbeitsteiligen Industrie nicht zu einem ökonomisch unverhältnismäßig belastenden Faktor geraten zu lassen. 

Eine Umsetzung hat im strikten Rechtssinne nicht zu erfolgen, da die Aufsichtsmitteilung als norminterpretierende Verwaltungsvorschrift – anders als ein Gesetz – keine eigenständige Außenwirkung entfaltet. Grundsätzlich hat die Aufsichtsmitteilung wo möglich unverzüglich Berücksichtigung zu finden. 

Betroffene Unternehmen sollten vor diesem Hintergrund im Laufe dieses Jahres 2024 ihre Auslagerungsvereinbarungen darauf überprüfen, ob sie der aktualisierten Aufsichtspraxis genügt und hierbei bereits einen Blick auf die Vorgaben für DORA werfen, um diese mit Inkrafttreten am 17. Januar 2025 erfüllen zu können. 

Mit freundlicher Unterstützung von Franziska Breuer, wissenschaftliche Mitarbeiterin