Anzeige
IT-RECHT23. November 2020

Aufsicht verlangt Kontroll- und Sanktionsmöglichkeiten gegenüber IT-Outsourcing-Dienstleistern – bald §44?

Verena Siemes, Geschäftsführerin ORO Services: Aufsicht verlangt Kontroll- und Sanktionsmöglichkeiten gegenüber IT-Outsourcing- Dienstleistern - §44 Prüfungen vermeiden
Verena Siemes, Geschäftsführerin ORO ServicesORO Services

Bereits in einem Artikel der BaFin vom August 2020 nimmt Raimund Röseler, Exekutivdirektor Bankenaufsicht, Stellung zu der aktuellen Lage der IT-Sicherheit und der Dienstleister im Finanz­dienst­leistungs­sektor. Gravierende Mängel im Outsourcing zwingen zum Handeln. 

von Verena Siemes, Geschäftsführerin ORO Services

Gravierende Mängel testiert die BaFin bei der Steuerung der externen Dienstleister – dem Auslagerungsmanagement. Zwar ist es laut Aufsicht besser, die Daten in einer gesicherten Cloud zu halten, als „auf einem Server im Keller der Bank“.

Aber es geht hier vor allem um weitreichende Kontrollrechte gegenüber dem Dienstleister.”

Gerade vor dem Hintergrund der EBA Guidelines zum Outsourcing und den neuen BAIT- und MaRisk-Novellen werden die Anforderungen an die Dienstleistersteuerung nochmals weiter steigen. Neben einem umfangreichen Vertragswerk inklusive Prüfungs- und Kontrollrechten muss ein Dienstleister z. B. einen Notfallplan inklusive dokumentierter Tests liefern.

Ein regelmäßiges Monitoring dezidierter KPIs und SLAs ist einzurichten, Berichte der internen Revision sind vom Dienstleister an die Bank zu liefern, genau wie Kontrollreports.”

Ein besonderer Augenmerk gilt auch der Weiterverlagerung bestimmter Sub-Dienstleistungen. Dieser Sub-Dienstleister muss genau die gleichen hohen Anforderungen erfüllen.

Der Aufsicht ist dabei auch durchaus bewusst, dass sich etliche Dienstleister hier bereits jetzt sperren. „Warum soll ich meine Verträge ändern?“ „Was soll das mit den Prüfungsrechten?“ „Warum soll ich Reports liefern – ich erbringe doch meine Dienstleistung gut, das soll reichen!“ Da tut sich ein einzelnes Unternehmen schwer, die neuen Anforderungen in Verhandlungen mit den Dienstleistern umzusetzen.

Die Aufsicht wiederum hat nur einen Verantwortlichen als Ansprechpartner: den Finanzdienstleister. Nur diesem kann Sie Sanktionen androhen und diese schlimmstenfalls auch umsetzen.

Autorin Verena Siemes, ORO Services
Dipl.-Bankbetriebswirtin Verena Siemes startete ihre Karriere in der Wirtschaftsprüfung. Sie baute 1999 die wohl größte deutsche Outsourcing-Gesellschaft für das Beauftragten- und Compliance-Management im Finanzsektor auf (GenoTec GmbH). Nach 14 erfolgreichen Jahren als Sprecherin der Geschäftsführung, entschied sich Frau Siemes 2013 für eine ganz neue Herausforderung und leitete als CIO die IT eines großen internationalen Handelskonzerns. Letztendlich zog es Frau Siemes aber wieder in die Finanzbranche zurück. Seit Mai 2020 ist sie in der Geschäftsführung der ORO (Outsourced Regulatory Office) Services tätig (Website).

Direkter Zugriff auf Dienstleister und §44 Prüfungen

Ein direkter kontrollierender Zugriff auf die Dienstleister ist der BaFin derzeit nicht möglich. Und genau dies soll sich künftig ändern, wenn es nach dem neuesten Gesetzesentwurf zur Stärkung der Finanz­mark­tintegrität (Finanz­mark­tintegritäts­stärkungs­gesetz – FISG) geht.”

Der Entwurf sieht Anpassungen in verschiedenen Aufsichtsgesetzen wie beispielsweise dem Kreditwesengesetz (KWG) und dem Versicherungsaufsichtsrecht zur Klarstellung und Erweiterung der BaFin-Befugnisse im Bereich der Auslagerungsunternehmen vor.

Mit anderen Worten: IT-Dienstleister, die Systeme zur Unterstützung wesentlicher Prozesse erbringen, sollen direkt der Kontrolle der BaFin unterstellt werden.”

Die BaFin kann dann unmittelbar Anforderungen an den Dienstleister stellen und Sanktionen verhängen. Ebenso sollen auch die von Banken gefürchteten Sonderprüfungen nach §44 KWG im direkten Vollzug bei Dienstleistern möglich sein.

Bereits mit den EBA Guidelines und der MaRisk-Novelle hängen die Früchte für ein aufsichtsrechtlich konformes Outsourcing für Finanzinstitut und Dienstleister gleichermaßen hoch, doch der neue Gesetzesentwurf katapultiert die Anforderungen in eine noch höhere Dimension, mit empfindlichen Konsequenzen bei Nicht-Erfüllung. Egal ob Auslagerer oder Dienstleister – es ist in jedem Fall dringend angeraten, sich mit den komplexen Anforderungen baldmöglichst auseinanderzusetzen. Die MaRisk-Novelle wird bereits Anfang nächsten Jahres in Kraft treten.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert