Um erfolgreich am Markt agieren zu können, ist es für Banken und Finanzdienstleister essenziell, ihre Risiken zu kennen und zu beherrschen. Hierbei geht es nicht nur um die Einhaltung quantitativer Kennziffern, sondern vielmehr um die Qualität des Risikomanagements. Ziel ist es, das Risikomanagement in Banken und Finanzunternehmen so weiterzuentwickeln, dass vorausschauend Risiken erkannt, überwacht und reduziert werden. Den Rahmen hierzu bilden die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen MaRisk – die Mindestanforderungen an das Risikomanagement.

Im Rahmen der stetigen Weiterentwicklung ihrer Vorgaben, unter anderem zur Anpassung an Vorgaben der Europäischen Bankenaufsicht (EBA), ist 2021 eine MaRisk Novellierung veröffentlicht worden. Ein Schwerpunkt der MaRisk Novelle 2021 lag dabei auf der Weiterentwicklung der Regelungen zum Auslagerungsmanagement. Dies ist insofern von Bedeutung, als das Kreditinstitute aufgrund der Niedrigzinsphase einem erheblichen Kostendruck unterliegen. Dadurch konzentrieren sie sich zusehends mehr auf ihr Kerngeschäft. Sonstige Dienste, wie zum Beispiel der IT-Betrieb, werden mehr und mehr ausgelagert. Die Vorteile liegen auf der Hand: Externe Unternehmen können Erfahrungen und Expertise einbringen und Arbeits- und Geldressourcen können gespart und in wertschöpfende Tätigkeiten investiert werden.

Aufbau der MaRisk

Die MaRisk unterteilen sich in einen Allgemeinen Teil (AT) und einen Besonderen Teil (BT), der sich wiederum in Unterkapital für einzelne Unternehmensbereiche der Finanzwirtschaft aufteilt, beispielsweise für das Kredit- oder Handelsgeschäft, aber auch für das Risikomanagement und die Revision. Die Einhaltung der MaRisk zu prüfen ist eine Aufgabe der Wirtschaftsprüfer im Rahmen ihrer regulären Jahresabschlussprüfung; darüber hinaus ist sie Gegenstand von Sonderprüfungen („44er-Prüfungen“).

In den letzten Jahren wurden die MaRisk fortwährend überarbeitet. Im Herbst 2020 starteten die Konsultationen zur 2021er-Novellierung, die am 16. August 2021 veröffentlicht wurden. Zuletzt wurde die 7. MaRisk Novelle im Jahr 2023 veröffentlicht. Ein Schwerpunkt der Neuregelungen betrifft Finanzinstitute mit eigenen Immobilien. So legt die 7. MaRisk Novelle fest, dass Finanzinstitute vor dem Kauf einer Immobilie eine umfassende Risikoanalyse durchführen müssen. Zusätzlich ist ein jährlicher Bericht über die Wertänderungen sowie wesentlichen Risiken und Organisationsrichtlinien zu veröffentlichen.

So konkretisiert die MaRisk Novelle 2021 Regelungen in Bezug auf das Auslagerungsmanagement

Da sich Finanzinstitute in den letzten Jahren mehr und mehr für Ihren IT-Betrieb in fremden Rechenzentren (Hosting) entschieden oder sogar in Zukunft eine echte Cloudstrategie verfolgen wollen, sah sich die BaFin in 2021 in der Verantwortung, die MaRisk hinsichtlich der Regelungen zum Auslagerungsmanagement zu konkretisieren (AT 9 MaRisk). Denn hier gab es in der Vergangenheit verstärkte Fragestellungen, Prüfungsfeststellungen wie auch Regelungsbedarf zwischen der BaFin und Finanzinstituten.

Die Novelle schreibt dabei viele Sachverhalte fest, die ohnehin Gegenstand der Prüfungspraxis waren, schon in Publikationen wie dem „Merkblatt der BaFin zu Auslagerungen an Cloud-Anbieter“, den „Bankaufsichtliche Anforderungen an die IT“ (BAIT) oder den „EBA Guidelines on Outsourcing Arrangements“ („EBA Leitlinien zu Auslagerungen“ – EBA/GL/2019/02) veröffentlicht wurden und – zumindest in Teilen – sicher bereits von den Finanzinstituten aus eigenem Interesse eingehalten wurden. 

Verstärktes Berichtswesen und verbessertes Monitoring beim Auslagerungsmanagement

Die Konkretisierung der Anforderungen an das Auslagerungsmanagement hält demnach fest, wonach nun ein:e zentrale:r Auslagerungsbeauftragte:r einzurichten, die:der auch die Überwachung und Steuerung wesentlicher wie auch nicht wesentlicher Auslagerungen zu übernehmen hat. Je nach Bedeutung und Größe des Finanzinstituts ist der:die Auslagerungsbeauftragte durch ein weitergehendes Auslagerungsmanagement zu unterstützen. Aufgabe des:der Auslagerungbeauftragte:n ist neben der Erstellung des jährlichen – sowie neu –anlassbezogenen Auslagerungsberichts  auch, ihn:sie bei der Überwachung und Steuerung von nicht wesentlichen Auslagerungen einzubinden. Der:die Auslagerungsbeauftragte gehört zumindest einer direkt der Geschäftsleitung unterstellten Organisationseinheit an oder – bei kleineren Instituten – diese Position direkt durch eine:n Geschäftleiterin:in wahrgenommen (bei kleineren, wenig komplexen Instituten reicht übrigens auch eine Berichterstattung im Rahmen einer Vorstandssitzung aus).   

Schon vor der MaRisk-Novelle 2021 sahen die MaRisk vor, dass vor (und natürlich auch während) einer Auslagerung eine Risikoanalyse vorzunehmen ist. Hierbei ist u.a. festzustellen, ob es sich um eine wesentliche oder eine nicht wesentliche Auslagerung (für die dann die Regularien der MaRisk nicht bzw. nur abgemindert gelten) handelt. Bei der Risikoanalyse stellt die Aufsicht nun nochmals die Vollumfänglichkeit klar: Im Sinne einer echten 360-Grad-Risikobetrachtung sind alle relevanten Punkte „abzuklopfen“, einschließlich einer Szenarioanalyse. Auslagerungen sollen eben nicht zu einer Aushöhlung der Unternehmenshülle führen, weswegen gewisse Unternehmensteile grundsätzlich nicht auslagerbar sind. 

Schlussendlich hat das Finanzinstitut neben dem schon beschriebenen Auslagerungsbericht ein Auslagerungsregister zu führen, das alle Auslagerungstatbestände, inklusive der verbandsinternen Auslagerungen, ausweist. Die MaRisk-Novellierung verweist im Hinblick auf den Inhalt des Auslagerungsregisters auf die Textziffern 54 (für alle Auslagerungen) bzw. 55 (für wesentliche Auslagerungen) der EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02). Allein schon für externe wie interne Prüfungszwecke, wie auch der Vollständigkeitsprüfung im Sinne der Risikoanalyse sollte ein derartiges Register sinnvoll sein, wenngleich es nun explizit gefordert wird. In der Praxis sollten Finanzinstitute zumindest eine professionelle Vertragsmanagementlösung einsetzen, die mit ein paar ergänzenden Feldern den Anforderungen einer EBA-Leitlinien-konformen Datenhaltung gerecht werden kann.

Konkretisierung von nicht wesentlichen Auslagerungen und sonstigem Fremdbezug

Ein Gedanke noch zu den „nicht wesentlichen Auslagerungen“: Hier konkretisieren die bankaufsichtlichen Erläuterungen zum Rundschreiben 10/2021 (BA), dass ohnehin kaum als Auslagerung klassifizierte Tätigkeiten wie die Übermittlung von Zahlungsverkehrsdaten oder die Nutzung von Marktinformationsdiensten einen „sonstigen Fremdbezug“ darstellen, für den die Regelungen der MaRisk nicht gelten. Hier schafft die BaFin insofern mehr Klarheit und Erleichterungen, sodass die beaufsichtigten Finanzinstitute sich auf die „wesentlichen Auslagerungen“ fokussieren können. Dies bedeutet jedoch nicht, dass Finanzinstitute ihrer Verpflichtung, der Prüfung derartiger Fremdbezugsleistungen und die vertraglichen Grundlagen verantwortungsvoll und im Sinne einer Risikominderungsstrategie zu prüfen, nicht nachkommen müssen.

Übrigens: Im Sinne der Konkretisierung, dass ein „sonstiger Fremdbezug von Leistungen“ keine Auslagerung im Sinne von AT 9 MaRisk darstellt, ist auch wichtig, dass der Bezug von Software, auch soweit sie an die Bedürfnisse des Instituts angepasst wird, keine Auslagerung darstellt; dies gilt jedoch nicht für „Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist“. Sprich: Hier ist weiter von einer Auslagerung auszugehen, auch soweit der Betrieb der Software durch einen externen Dritten erfolgt. Womit wir wieder beim Thema „Hosting“ bzw. „Cloud“ wären. Also ist die Software – zumindest im Kontext der Nutzung als Archiv bzw. Dokumenten-/Enterprise Contentmanagement und Workflowplattform – als wesentliche Auslagerung zu bewerten.

Die Fokussierung auf die „bankgeschäftlichen Aufgaben“ bedeutet im Umkehrschluss aber auch die Klarstellung, dass Softwarekomponenten, die für die Abwicklung des Bankgeschäfts oder des Risikomonitorings nicht notwendig bzw. nicht von wesentlicher Bedeutung sind (z.B. den Einsatz einer digitalen Signaturlösung als Ersatz für „analoge Unterschriften“), nicht unter die engen Regelungen des Auslagerungsmanagements fallen.

Konkretere Anforderungen an den Auslagerungsvertrag und Schaffung eines Auslagerungsregisters

Zum Inhalt des Auslagerungsvertrages gibt es ebenfalls einige Neuerungen und Konkretisierungen. Neben Selbstverständlichkeiten wie die Dauer, die Textform oder das anzuwendende Recht des Auslagerungsvertrages erwartet die BaFin auch Vereinbarungen über   

1. den Standort, an denen Dienstleistungen erbracht oder Daten gespeichert und verarbeitet werden, 
2. die Dienstleistungsgüte mit eindeutigen Leistungszielen, 
3. die Angabe, ob für gewisse Risiken Versicherungen des Auslagerungsunternehmens vorliegen,  
4. die vorliegenden Notfallkonzepte und 
5. Regelungen, inwieweit die Verhaltenskodexe der Vertragsparteien im Einklang zueinanderstehen.  

Weiter wird in den Erläuterungen konkretisiert, dass Informations- und Prüfungsrechte vorausschauend auch für nicht wesentliche Auslagerungen zu vereinbaren sind, sofern absehbar ist, dass sich diese in wesentliche Auslagerungen wandeln können. Diese Rechte müssen dabei auch Zugangs- und Prüfungsrechte bei den Auslagerungsunternehmen umfassen. Das heißt, wenn man hier einmal das Hosting- und Cloudgeschäft betrachtet, dass zum Beispiel in den Rechenzentren der Software-Anbieter MaRisk-konforme Zugangsrechte gelten.

Nach den Konsultationen ist noch der Zusatz aufgenommen worden, dass der Ort der Leistungserbringung (z. B. Stadt) dem Finanzinstitut jederzeit bekannt sein sollte.

Und schließlich müssen einerseits Auslagerungsunternehmen bim Fall einer Vertragskündigung bei der Re-Migration unterstützen und andererseits die ausgelagerten Daten auch im Falle einer Insolvenz oder einer Geschäftsbeendigung zur Verfügung stehen bzw. stellen.

Wichtig ist auch, gerade in der heutigen Zeit einer globalen Wirtschaft, dass bei Auslagerungen an Dienstleister mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) eine ausreichende Beaufsichtigung der dort zuständigen Behörden sicherzustellen ist und die ausländischen Behörden mit den deutschen bzw. europäischen Behörden zusammenarbeiten.

Weiterverlagerungen von Auslagerungen – also „Sub-Subunternehmensverhältnisse“ – entbinden das ursprüngliche Auslagerungsunternehmen nicht von seinen Berichtspflichten. Dabei sind auch alle sonstigen eingegangenen Verpflichtungen auf den Subunternehmer zu übertragen, damit durch derartige Vertragskonstruktionen keine Aushöhlung erfolgt. Aufgrund des umfangreichen Berichtswesens müssen solche Vertragsketten transparent sein. Vermutlich werden Finanzinstitute im Sinne einer handhabbaren Risikosteuerung längere Vertragsverkettungen ohnehin nicht dulden.

Im Rahmen des Risikomonitorings sind dabei übrigens neben der Qualität der erbrachten Leistungen auch die durch das Auslagerungsunternehmen erbrachten Informationen zu bewerten.

Für Finanzverbünde gelten dabei Erleichterungen, sofern auf Verbandsebene ein einheitliches Risiko– bzw. Auslagerungsmanagement betrieben und die Risiken auf Verbandsebene reduziert bzw. übertragen werden.   

Die MaRisk-Novelle 2023

Offenkundig ist es so, dass sich die BaFin-Regularien immer stärker an den Formulierungen der EBA-Leitlinien orientieren. Dies war im Konsultationsentwurf noch wenig der Fall, findet sich aber in der endgültigen Fassung bereits in AT 9 Tz. 14 wieder, wo unter Bezugnahme auf die EBA-Richtlinien für Auslagerungen auf eine erneute Darstellung des zum Inhalt des Auslagerungsregisters verzichtet wird. Auch in den bankaufsichtlichen Erläuterungen zu dem Rundschreiben 05/2023 (BA) finden sich nun vermehrt Verweise auf EBA-Richtlinien. Dies ist möglicherweise ein Indiz, dass nationale und europaweite Regelungen noch enger miteinander verzahnt werden.

Bezogen auf das Auslagerungsmanagement können sich Finanzinstitute an der MaRisk Novelle 2021 orientieren. Diese hat einen Schwerpunkt auf die Regelungen (AT 9) gelegt hat. In der 7. MaRisk Novelle kündigte die BaFin nun an, Leitlinien für die Kreditvergabe und -überwachung umzusetzen. Zusätzlich formulierte sie erstmals Anforderungen an den Umgang des Risikomanagements der Banken mit eigenen Immobilien und macht Vorgaben zum Thema Nachhaltigkeitsberichterstattung.

In einem Interview mit dem BaFinJournal berichtet Raimund Röseler, Exekutivdirektor der Bankenaufsicht der BaFin, über die neuen Auflagen zur Nachhaltigkeitsberichterstattung und den besonderen Einfluss auf kleine Finanzinstitute:

„Wir wollen vielmehr verdeutlichen, dass die Institute Nachhaltigkeitsrisiken strategisch steuern, angemessen managen und im Griff haben müssen. […] Und zwar in Relation zur Größe des Instituts. Genau das verlangen wir in den MaRisk. Sie können sicher sein: Wir werden dieses Thema genauso prüfen wie andere Punkte der MaRisk. Ich glaube: Die MaRisk-Novelle wird dazu beitragen, dass gerade kleinere Institute beim Thema Nachhaltigkeit vorankommen.“

Nachhaltigkeitsstrategien und Digitalisierung gehen oftmals Hand in Hand. Denn wo etwa Papier gespart werden muss, hilft eine digitale Unterschrift und wo Ressourcen-intensive Rechenzentren stehen, hilft eine Cloud-Software. So hat die 7. MaRisk Novelle sicherlich auch Auswirkungen auf das Auslagerungsmanagement der Finanzinstitute.

MaRisk Novelle 2023 – Ein Fazit

Im besten Fall sind den Banken diese Prozessschritte gar nicht neu: Weil risikoorientierte Institute schon jetzt ganz selbstverständlich und aus eigenem Interesse so vorgehen.

Raimund Röseler

So steht Raimund Röseler zu den Neuerungen, die die 7. MaRisk Novelle mit sich bringen. Natürlich kann man Verantwortung nicht outsourcen. Und natürlich muss ein Dienstleister darlegen, wo er mit den ihm anvertrauten Daten verbleibt, und wie der Zugriff darauf erfolgt bzw. wie er sie verschlüsselt. Dadurch, dass einzelne Regelungen nun auf den Rang einer normeninterpretierenden Verwaltungsvorschrift gehoben werden, müssen sich auch Hosting- wie Cloudanbieter diesen Themenstellungen widmen und die Anforderungen erfüllen. Dies kann dazu führen, dass das Systemhosting wie auch das Cloudgeschäft für die Finanzwirtschaft einfacher wird, wenngleich sich Monitoring- und Berichtspflichten hierdurch nicht gerade reduzieren. Durch die verschärften Berichtspflichten sowie das verpflichtende Auslagerungsregister wird aber die Transparenz deutlich gesteigert und die Überwachung insgesamt vereinfacht. Hiervon kann das Risikomanagement auch profitieren und die Effizienz für das laufende Monitoring steigen.

Mit d.velop setzen Sie auf einen in der Finanzbranche fest verankerten Partner, der Ihre Herausforderungen kennt. Und mit Produkten wie beispielweise der einem cloudbasierten und auf Ihre Bedürfnisse anpassbaren Dokumentenmanagement-System, einer elektronischen Signatur Software oder dem professionellen Vertragsmanagement Software nutzen Sie sichere, hochverfügbare und intuitiv zu bedienende Softwarelösungen, mit denen Sie zudem Ihre regulatorischen Anforderungen umsetzen können.