Outsourcing-Regelungen sollen in MaRisk integriert werden

Outsourcing steht bei den Finanzinstituten nach wie vor hoch im Kurs. Doch die praktischen Erfahrungen der vergangenen Jahre sowie die Umsetzung der für die Finanzdienstleistungsbranche geltenden EU-Richtlinien erfordern eine Überarbeitung und Modernisierung der Outsourcing-Regelungen. Die FinanzIT ist auf die zu erwartenden Neuerungen bereits jetzt gut vorbereitet.

Wer auf Outsourcing setzt, der weiß um die gesetzlichen und aufsichtsrechtlichen Vorgaben in der Auslagerung von Prozessen und Dienstleistungen. Maßgebend sind insbesondere die Regelungen des § 25a Abs. 2 Kreditwesengesetz (KWG), der die Aufsicht bei Outsourcing-Projekten in Kredit- und Finanzdienstleistungsinstituten regelt. Danach darf „die Auslagerung von Bereichen auf ein anderes Unternehmen, die für die Durchführung der Bankgeschäfte oder Finanzdienstleistungen wesentlich sind, (...) weder die Ordnungsmäßigkeit dieser Geschäfte oder Dienstleistungen noch die Steuerungs- oder Kontrollmöglichkeiten der Geschäftsleitung, noch die Prüfungsrechte und Kontrollmöglichkeiten der Bundesanstalt beeinträchtigen.“ Ferner hat sich das auslagernde Institut insbesondere die erforderlichen Weisungsbefugnisse vertraglich zu sichern und die ausgelagerten Bereiche in seine internen Kontrollverfahren einzubeziehen. Zudem hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in ihrem Rundschreiben 11/2001 (abzurufen unter www.BaFin.de) konkretisierende Regelungen hinsichtlich der Voraussetzungen der Anwendung des § 25a Abs. 2 KWG in der Absicht aufgestellt, den Outsourcing-Partnern Interpretationshilfen zu geben.

Diesen Umständen hat die FinanzIT zusammen mit ihren Instituten dadurch Rechnung getragen, dass die grundlegenden Vorgaben der aufsichtsrechtlichen und gesetzlichen Bestimmungen im Rahmenvertrag über die Zusammenarbeit im Bereich der Datenverarbeitung vereinbart wurden. Parallel dazu hat die BaFin die rechtliche Korrektheit der entsprechenden vertraglichen Regelungen auf Anfrage der FinanzIT bestätigt.

Aktuelle Entwicklungen in der EU berücksichtigen

Angesichts der vom Committee of European Banking veröffentlichten „Guidelines of Outsourcing“ und der in Ergänzung zur Richtlinie über Märkte für Finanzinstrumente (MiFID) erlassenen Durchführungsrichtlinie, müssen aktuell neue Entwicklungen auf EU-Ebene berücksichtigt werden. Zudem hat sich in den vergangenen Jahren herausgestellt, dass die Anwendung der bestehenden Regelungen aufgrund des hohen Komplexitätsgrades in der Praxis der Institute und der Aufsichtsbehörden immer wieder zu Irritationen und Schwierigkeiten geführt hat.

Aus diesen Gründen hat die BaFin Anfang April 2007 einen offiziellen Diskussionsentwurf zur Überarbeitung der Outsourcing-Regelungen veröffentlicht. Hiermit verfolgt sie das Ziel, flexiblere und praxisnähere Bestimmungen festzulegen, die schwerpunktmäßig auf das Management typischer beim Outsourcing auftretender Risiken abstellen und den Instituten größere Spielräume für betriebswirtschaftlich sinnvolle Auslagerungslösungen lassen.

Im Zuge der Modernisierung der bestehenden Outsourcing-Regelungen ist weiter geplant, die Anforderungen an Auslagerungen in die bereits bestehenden Bestimmungen der „Mindestanforderungen an das Risikomanagement“ (MaRisk) zu integrieren.Eckpfeiler des neuen Entwurfs: Risiskoanalyse und vertragliche Verpflichtungen

Im Mittelpunkt stehen geänderte Kriterien hinsichtlich der Bestimmung der „Wesentlichkeit“ der Auslagerung, die auf der Basis einer Risikoanalyse im Institut erfolgen soll. Hierbei sind insbesondere die Risiken der Auslagerung, die Eignung des Auslagerungsunternehmens sowie betriebswirtschaftliche Aspekte zu berücksichtigen. Der Risikoanalyse kommt somit als institutsinterne Selbsteinschätzungsinstanz zentrale Bedeutung zu. Die bislang stark auslegungsbedürftige und umstrittene Einstufung der „Wesentlichkeit“ anhand der im Rundschreiben 11/2001 festgelegten Kriterien soll damit nach dem Willen der BaFin weitgehend überflüssig werden.

Im neuen Entwurf wird explizit klargestellt, welche vertraglichen Pflichten im Auslagerungsvertrag zu regeln sind:

• Spezifizierung und ggf. Abgrenzung der vom Auslagerungsunternehmen zu erbringenden Leistungen
• Festlegung von Prüfungsrechten der Internen Revision sowie  externer Prüfer
• Sicherstellung der Auskunfts- und Prüfungsrechte sowie der  Kontrollmöglichkeiten der BaFin
• Weisungsrechte
• Sicherstellung der Vertraulichkeit der Daten
• Angemessene Kündigungsfristen
• Haftungsregelungen
• Zustimmungsvorbehalte  des Institutes bei der Einschaltung  von Subunternehmern
• Verpflichtung, das Institut über Umstände zu informieren, die eine Erledigung der ausgelagerten Tätigkeiten und Prozesse beeinträchtigen können

Ob die geplanten Änderungen der MaRisk in Bezug auf Auslagerungsdienstleistungen eine Verbesserung der bisherigen Regelungen darstellen, wird sich erst in der praktischen Anwendung zeigen. Festzuhalten bleibt, dass neue Schwerpunkte im Bereich des Risikomanagements und der Eigenverantwortung der Institute sowie der notwendigen vertraglich zu regelnden Mindestvoraussetzungen gesetzt werden. Vor diesem Hintergrund ist die FinanzIT gut gerüstet, da ihre bestehenden Outsourcing-Verträge bereits die aufgeführten Mindestvoraussetzungen enthalten. Ob sich durch den Diskussionsprozess bzw. die Finalisierung der Entwürfe (voraussichtlich bis Ende Juni 2007) noch Anpassungen ergeben, die eine andere Einschätzung der Vertragslage erfordern, ist offen. //

• Christian Schlingensiepen

ist Rechtsanwalt im Bereich Einkauf und Recht der FinanzIT. Seine Tätigkeitsschwerpunkte sind: Rechtsberatung des Vertriebs, IT-Recht sowie IT-Outsourcing-Projekte.

Kontakt: christian.schlingensiepen(at)finanzit.com