European Banking Authority (EBA) Draft Guidelines on Outsourcing Arrangements (EBA/CP/2018/11) vom 22.06.2018

Auf Basis der bereits in den vorliegenden Direktiven CRD (2013/36/EU), MiFID II (2014/65/EU) und PSD2 (2015/2366/EU) konkretisierten Anforderungen hinsichtlich eines Outsourcing hat die EBA mit dem Konsultationspapier die bestehenden CEBS Guidelines aus dem Jahre 2006 überarbeitet. In diese Guidelines wurden die EBA Empfehlungen bezüglich der Behandlung von Cloud-Diensten EBA/REC/2017/03 aus dem Jahr 2017 eingearbeitet, so dass diese Guideline mit dem Inkrafttreten der neuen Guideline aufgehoben wird.

Auf insgesamt 62 Seiten werden Anforderungen an die Dienstleistersteuerung formuliert. Dabei wird zunächst seitens der EBA erneut hervorgehen, welche enorme Stellung das Thema Outsourcing in den verschiedenen Instituten eingenommen hat. Zugleich wurde eine Excel Tabelle als Muster für die zukünftige Dokumentation zur Verfügung gestellt.

Die EBA Richtlinie enthält umfassende, ganzheitliche Prozess- und Organisationsanweisungen. Dies schließt auch Governance Vorgaben und Internal Control Vorgaben mit ein. Ein spezifischer Punkt stellen auch die Anforderungen an die „IT-Cloud Service Provider” dar.

Neben vielen Aspekten, die bereits aus der MaRisk (Novelle aus 2017) in Deutschland bekannt sind (Risikoanalyse, aktive Steuerung, Transparenz über Outsourcingvorhaben, zentrales Auslagerungsmanagement, etc.), werden auch neue Aspekte adressiert, die bisher in der MaRisk nicht zu finden waren, wie bspw. ein einheitliches Auslagerungsregister (inkl. formeller Vorgaben) und die Berücksichtigung der eigenen Werte und des Codes of Conducts bei der Beurteilung von potentiellen Dienstleistern genannt.

Die EBA hat sehr detaillierte Anforderungen aufgestellt, die wie üblich proportional umzusetzen sind. So wird beispielsweise ausgeführt, dass und wie Interessenkonflikte analysiert und vermieden werden sollen. Ebenfalls werden klare Mindestanforderungen an das Auslagerungsregister gestellt.

Die Steuerung von Drittleistungen hat sich oftmals lediglich auf Auslagerungen gem. MaRisk bezogen und sonstige Fremdbezüge außen vorgelassen. Diese ist in der neuen Direktive aber vorgesehen, wenn auch in einem geringeren Maße. Die BAIT fordern bereits bei sonstigen IT-Dienstleistungen Ähnliches.

Da das Konsultationspapier teilweise überd ie Anforderungen der MaRisk hinausgeht, bleibt erst einmal abzuwarten, welche Anforderungen nach der Konsultation in der finalen Guideline bestehen bleiben werden.

Bis zum 24.09.2018 können Stellungnahmen abgegeben werden. Die neuen Guidelines sollen dann voraussichtlich zum 30.06.2019 in Kraft treten.