Bei der Einführung neuer Software in Finanzinstituten und Versicherungen gilt es – neben funktionalen und datenschutzrechtlichen Fragestellungen – auch immer besondere aufsichtsrechtliche Aspekte zu berücksichtigen. Für die Finanzwirtschaft finden sich hierzu u.a. Regelungen in den Mindestanforderungen an das Risikomanagement (MaRisk) bzw. in den KAMaRisk für Kapitalverwaltungsgesellschaften. In der Versicherungswirtschaft sind die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) maßgeblich.
Eine zentrale Frage im Auslagerungsmanagement: Liegt bei der Einführung neuer Softwarekomponenten eine Auslagerung vor?
Eine wichtige Fragestellung, die es bei der Einführung neuer, insbesondere cloudbasierter Softwarekomponenten zu prüfen gilt, ist, ob hierdurch eine Auslagerung bzw. Ausgliederung vorliegt. Den aufsichtsrechtlichen Regelungen ist gemein, dass die Bundesanstalt für Finanzdienstleistungsaufsicht im Grunde her erwartet, dass ein Finanz- oder Versicherungsinstitut alle Tätigkeiten im eigenen Haus durch eigenes Personal ausführt. Dies ist aber schon lange weder zeit- noch marktgerecht.
Im Bestreben, sich nur noch auf das Kerngeschäft zu fokussieren, werden neben Wach-, Reinigungs-, Hausmeister- und Kurierdiensten viele Abteilungen durchleuchtet, ob man deren Tätigkeiten nicht von externer Seite erledigen kann. Dies macht auch vor den IT-Abteilungen nicht Halt. Und selbst Analyse- und Marktfolgetätigkeiten im Kreditgeschäft werden an externe Unternehmen ausgegliedert, auch wenn diese Häuser oft Tochterunternehmen oder unter der Obhut eines Verbandes, dem man sich angeschlossen hat, stehen.
Die vorgenannten aufsichtsrechtlichen Verlautbarungen beschreiben dabei, welche Bereiche unter welchen Voraussetzungen ausgelagert bzw. ausgegliedert werden dürfen. Übrigens spricht man im Finanzsektor von einer Auslagerung, im Versicherungsumfeld von einer Ausgliederung. Im Kern ist beides identisch. Sofern also eine Tätigkeit „verlagert“ werden soll, startet das Auslagerungsmanagement. Es gilt umfangreiche Prüfungen zu vollziehen und auch nachgelagert das beauftragte Unternehmen und den Auslagerungsvertrag ständig zu monitoren und das daraus resultierende operative Risiko zu bewerten.
Datenschutzbeauftragte, Informationssicherheitsbeauftragte und Auslagerungsbeauftragte sind hierbei hinzuzuziehen. Das Grundprinzip ist dabei, dass weder dem Unternehmen noch der Aufsicht Nachteile durch die Auslagerung entstehen dürfen und volle Durchgriffs- und Kündigungsrechte bestehen dürfen, selbst wenn der Subunternehmer die Leistungen an weitere Subunternehmer vergibt. So stehen oft komplexe Verhandlungen mit der Gegenseite an, insbesondere wenn der Partner nicht nur im beaufsichtigten Umfeld „unterwegs“ ist und viele Dinge für ihn „Neuland“ sind.
Auslagerungsmanagement am Beispiel der Fernsignatur
Eine – im Finanz- und Versicherungsumfeld durchaus typische Tätigkeit – ist dabei das Unterschreiben der allfälligen Verträge. Anders als in vielen anderen Branchen werden hier die Verträge üblicherweise schriftlich geschlossen, auch wenn strenggenommen eine Schriftformerfordernis nicht vorliegt. Die Aufsicht verlangt inzwischen zudem, dass Meldungen digital signiert eingereicht werden. Und auch sonst wird sich die digitale Unterschrift mehr und mehr durchsetzen. Ein Treiber war sicher die verstärkte Homeofficetätigkeit aufgrund der Corona-Pandemie, die ein Weiterreichen von Unterschriftenmappen von Büro zu Büro erschwerte. Und auch sonst weiß man in der Branche den „schnellen Geschäftsabschluss“ ohne zeitraubende Postwege zu schätzen.
Eine bequeme Art ist dabei die Nutzung einer cloudbasierten Fernsignatur, bei der keine Hardware notwendig ist. Der Vorteil ist dabei, dass man nach der Buchung der Signaturlösung quasi sofort digital signieren können. Ein langes Einführungsprojekt entfällt. Und man ist auch jederzeit und von überall in der Lage, digitale Verträge und andere Dokumente zu unterzeichnen.
Wie funktioniert eine Fernsignatur?
Bei der Fernsignatur lädt man die zu unterzeichnenden Dokumente über den Webbrowser in die Signaturlösung hoch. Man kennzeichnet auf dem Dokument, wo die Signatur aufgebracht werden soll. Anschließend werden die Dokumente zu einem Signaturserver geleitet. Dieser extrahiert aus dem Dokument einen eindeutigen und einmaligen, vielstelligen Buchstaben- und Zahlenwert („Hashwert“). Dieser wird dann an einen in der EU zugelassenen Vertrauensdienstanbieter, wie zum Beispiel der Bundesdruckerei angehörigen d.trust, weitergeleitet und dort das Signaturzertifikat ausgestellt. Bei einer qualifizierten Signatur muss man sich zuvor dort registriert und angemeldet haben, damit ein auf personenbezogenes Zertifikat erstellt werden kann. Der mit den Signaturdaten versehene Hashwert wird an den Signaturserver zurückgeliefert und dort mit dem Dokument verbunden. Schließlich gelangt das Dokument an die Person zurück und man kann es – nun um die digitale Signatur ergänzt – herunterladen und verwenden, beispielsweise um es Geschäftspartnern zusenden. Wird d.velop sign für Signaturen genutzt, können man auch im Vorfeld einen Signaturumlauf definieren, sodass nach einem selsbt die nächste Person die Signatur ausführen kann.
Von diesen Hintergrundprozessen merkt man– nichts. Was sich hier kompliziert anhört, wird in Echtzeit in wenigen Sekunden als Hintergrundprozess erledigt.
Wie beschrieben, wird bei der Fernsignatur also eine „Cloud“ benutzt. Vielleicht schrillen nun schon die Alarmglocken. Der Begriff „Cloud“ ist eng den Begriffen „Auslagerung“ bzw. „Ausgliederung“ verbunden. Aus unserer Sicht gibt es aber gute Gründe, warum eine Fernsignatur eben nicht unter die engen Auslagerungs-/Ausgliederungsvorschriften fallen.
Unterschreiben ist keine typische Tätigkeit
Das Unterzeichnen gehört zum Kerngeschäft in der Finanz- und Versicherungswirtschaft. Wohl in kaum einer anderen Branche wird so oft zwecks Unterschrift zum Kugelschreiber gegriffen als dort.
Ist die Nutzung einer Fernsignatur eine Auslagerung?
Um zu beurteilen, ob die Nutzung einer Fernsignatur jedoch eine Auslagerung bzw. Ausgliederung unter aufsichtsrechtlichen Gesichtspunkten vorliegt, ist zu klären, ob es sich hierbei um eine „institutstypische“ Tätigkeit handelt. So ist beispielsweise in der MaGo¹ niedergelegt, dass der „spezifischen Ausgliederungskontrolle durch die Aufsicht […] alle versicherungstypischen Funktionen oder Tätigkeiten [unterfallen]“ (vgl. dortiger Abschnitt 13.1). Folglich zählen nicht-versicherungstypische Funktionen oder Tätigkeiten nicht hierunter.
Der aktuelle Konsultationsentwurf der MaRisk² weist explizit aus, dass der „isolierte Bezug von Software“ i.d.R. als „sonstiger Fremdbezug“ zu klassifizieren ist, selbst wenn beispielsweise Anpassungen der Software an die Erfordernisse des Kreditinstituts erfolgen. Ausgenommen sind hiervon Softwarekomponenten im Rahmen des Risikomanagements, soweit diese von wesentlicher Bedeutung sind. Sonstiger Fremdbezug wiederum unterliegt nicht den Vorgaben der MaRisk (vgl. Kommentar zu AT 9 Ziffer 1) und damit auch nicht den aufsichtlichen Regularien zur Auslagerung.
Institutstypische Tätigkeiten zielen darauf ab, dass diese Tätigkeit eben typisch für das Institut sind. Hierunter können beispielsweise Analysetätigkeiten im Rahmen von Kreditmarktfolgetätigkeiten fallen. Auch ist hierunter die Bearbeitung von Versicherungsschadensfällen zu fassen, die eben typisch für eine Versicherung ist. Das Aufbringen einer Signatur ist hingegen eine allgemeine Tätigkeit, die nicht typisch für ein Finanzinstitut oder eine Versicherung ist.
Gleichwohl bedeuten diese aufsichtlichen Befreiungen nicht, dass man damit von den Verpflichtungen im Rahmen der ordnungsgemäßen Geschäftsorganisation entbunden sind. Aber das dürfte sich von selber verstehen, dass man seine Dokumente zum Signieren nicht jedem anvertrauen, sondern den Partner sorgfältig auswählen und damit auch datenschutzrechtliche Fragen wie zum Beispiel der Verschlüsselung oder der Berichtigungsmöglichkeiten genauestens prüfen. Als deutscher Anbieter liegen uns diese Anforderungen am Herzen.
Die Nutzung einer Fernsignatur ist kein Dokumentenarchiv und kein Vertragsmanagement
Eine Fernsignaturlösung wie d.velop sign ist sicher, die Dokumente sind jederzeit verschlüsselt und damit vor dem Zugriff Dritter geschützt. Gleichwohl sollen damit nicht Dokumente dauerhaft vorgehalten und verwaltet werden. Die Nutzung ist darauf ausgelegt, Dokumente hochzuladen, zu signieren und wieder herunterzuladen – die Signaturlösung ist damit nur eine Art „Durchlauferhitzer“. Und da Unterschriftsprozesse durch eine Fernsignaturlösung schneller als papierhafte Prozesse abgewickelt werden können, trägt auch diese Verkürzung der Umlaufzeiten dazu bei, Dokumente nur kurzfristig in der Signaturlösung speichern.
Die langfristige und ggf. sogar revisionssichere Archivierung der Dokumente sollte dann in einem separaten digitalen Archiv erfolgen, wie zum Beispiel d.velop documents. Hierzu bietet sich ggf. sogar eine Integration in Ihr Dokumentenarchiv an, d.h. dann kommt der „Werkzeugcharakter“ noch deutlicher zum Vorschein. Man kann so ganz einfach aus einem bereits abgespeicherten Dokument eine Signatur aufbringen und das signierte Dokument als neue Version wieder auf die Vorgängerversion ablegen. Ein aufwändiger Upload und Download, mit der Gefahr der Doppeltablage von Dokumenten, entfällt damit.
In einer Fernsignaturlösung findet man daher klassische Funktionalitäten eines professionellen Dokumentenmanagementsystems – wie das Verwalten von (Vertrags-)Fristen zu einem Dokument – nicht.
Signiere doch einfach mit „Papier und Bleistift“
Und schließlich: Man kann doch jederzeit wieder zurück zur papierhaften Unterschrift. Ich bin überzeugt, dass dies keiner mehr will, wenn man die Vorzüge der digitalen Signatur einmal kennen und schätzen gelernt hat. Aber: Es gibt einen „Plan B“. Man kann in d.velop sign alle Dokumente mit einem Klick markieren, herunterladen (um sie beispielsweise in einem digitalen Archiv oder lokal zu speichern) und anschließend alle Dokumente in der Fernsignaturlösung löschen. Nie war „Re-Migration“ so einfach.
Es bleibt festzuhalten: aufsichtliche Hemmnisse für die digitale Signatur sollten nicht bestehen. Die Vorteile liegen aber auf der Hand. Eine Reihe von Finanzinstituten setzt bereits d.velop sign ein, ohne dass hier langwierige Diskussionen über aufsichtsrechtliche Vorgaben geführt wurden. Wie das aussehen kann? Die Bürgschaftsbank Hessen macht es vor.
Wie die Bürgschaftsbank Hessen mit der digitalen Unterschrift den Anforderungen der BaFin gerecht wird.