REGULIERUNG
REGULIERUNG AUSLAGERUNGEN – TEIL I EBA veröffentlicht neue Outsourcing-Richtlinien Die European Banking Authority (EBA) als oberste Bankaufsichtsbehörde veröffentlichte Ende Februar ihre neuen Richtlinien zu Auslagerungen von Aktivitäten und Prozessen von Unternehmen der Finanzindustrie auf Drittdienstleister. Unser Autor liefert einen kurzen Überblick über die Implikationen dieser Richtlinien, die ab dem 30. September 2019 gelten werden. Der Bereich der Auslagerungen spielt in der Finanzwirtschaft eine große Rolle, vor allem im IT-Bereich und beim Zahlungsverkehr, weil hier zum einen ein großes Potenzial zur Kostenersparnis besteht und zum anderen die Möglichkeit, an innovativen Entwicklungen zu partizipieren, ohne sie selbst entwickeln zu müssen. Aber auch innerhalb von Gruppen von Finanzunternehmen sind Auslagerungen von erheblicher Bedeutung. Hier werden oftmals im Rahmen der arbeitsteiligen Zusammenarbeit Konzernfunktionen von einzelnen Gesellschaften zentral für die gesamte Gruppe ausgeübt. Auch dies wird im Grundsatz als eine Auslagerung im aufsichtsrechtlichen Sinne angesehen. Die neuen EBA-Richtlinien setzen zwar auf den bestehenden Richtlinien aus dem Jahr 2006 auf, erweitern diese jedoch in erheblichem Umfang und stellen sehr detaillierte und verschärfte Anforderungen an Auslagerungen, die zu einem deutlich erhöhten Mehraufwand aufseiten der Finanzindustrie führen werden. Dies gilt nicht nur für neu aufgesetzte Auslagerungen, sondern auch für bereits bestehende. Nur zum Vergleich: Was die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) derzeit auf rund drei Seiten abhandelt, regeln die EBA-Richtlinien künftig auf rund 30 Seiten. Erweiterung des Anwendungskreises Bislang galten die Richtlinien nur für Kreditund Finanzdienstleistungsinstitute, nicht aber für Zahlungsdienstleister wie Zahlungsinstitute und E-Geld-Institute. Damit werden künftig etwa bestimmte Bezahldienste im Online- Handel oder Anbieter von Buchhaltungssoftware mit einer Online-Banking-Funktion, mit der auch Zahlungen auf Bankkonten ausgelöst werden können, grundsätzlich denselben Anforderungen unterliegen wie etwa eine Großbank mit all ihren Geschäftsaktivitäten. Eine Unterscheidung von Umfang und Maß der anwendbaren Regeln soll sich dabei nach dem sogenannten „Proportionalitätsgrundsatz“ richten, nach dem eine risikogewichtete Differenzierung der auf das einzelne Unternehmen jeweils anwendbaren Regeln erfolgen soll. Kein Unterschied zwischen Drittdienstleistern und dem eigenen Konzern Die derzeit geltenden Regelungen der BaFin, nämlich die „Mindestanforderungen an das Risikomanagement“ (MaRisk AT 9), sehen im Grundsatz – zumindest bei der Auslagerung von besonderen Funktionen, wie dem Risikocontrolling, der Compliance oder der Internen Revision – Erleichterungen für Auslagerungen auf eine Konzerngesellschaft vor. Auch in der Verwaltungspraxis der BaFin werden gruppeninterne Auslagerungen zumindest im Grundsatz als weniger risikoreich und weniger kritisch eingestuft. Die EBA-Richtlinien unterscheiden hier nicht mehr grundsätzlich. Vielmehr sehen sie bei konzerninternen Auslagerungen zum Teil sogar erhöhte Risiken wie etwa Interessenskonflikte und stellen insoweit erhöhte Anforderungen. Die Leistungsbeziehungen zwischen Konzerngesellschaften müssen künftig zum Beispiel „marktüblich“ ausgestaltet sein, das heißt, sie müssen einem Drittvergleich standhalten. Auslagerungen an Unternehmen in Drittstaaten Deutlich verschärfte Anforderungen sehen die EBA-Outsourcing-Richtlinien vor für Auslagerungen von Unternehmen der Finanzindustrie an Auslagerungsunternehmen außerhalb der EU. Hier gilt künftig eine Art Äquivalenzprinzip, mit dem sichergestellt werden soll, dass die nationalen europäischen Finanzaufsichtsbehörden ihre Aufsicht auch auf das außerhalb der EU ansässige Auslagerungsunternehmen erstrecken können. Für den Fall der Verletzung aufsichtsrechtlicher Vorschriften durch das Auslagerungsunternehmen muss die Kooperationsvereinbarung der nationalen Aufsichtsbehörden sicherstellen, dass die Aufsichtsbehörden zusammenarbeiten. Due Diligence im Vorfeld der Auslagerung Die EBA-Richtlinien schreiben in detaillierter Form die Durchführung von Risikoanalysen und Risikobewertungen durch das auslagernde Unternehmen vor. Diese sind im Vorfeld von Auslagerungen vorzunehmen und reichen so weit, dass eine Überprüfung des Dienstleisters und gegebenenfalls seiner Sub-Unternehmer vorgeschrieben wird. 38 04 // 2019
REGULIERUNG Diese Due Diligence umfasst zum einen die Reputation, die fachliche Qualifikation und die Wirtschaftskraft des Dienstleisters, also Faktoren, die das auslagernde Unternehmen ohnehin bereits im eigenen Interesse prüfen sollte. Zum anderen werden Unternehmen der Finanzindustrie künftig Dienstleister und ihre Sub-Unternehmer auch daraufhin überprüfen müssen, ob ihr ethisches und soziales Verhalten mit dem eigenen Verhaltenskodex übereinstimmt. Diese Überprüfung umfasst etwa die Frage, ob die Einhaltung der Europäischen Menschenrechtskonvention und des Umweltschutzes beachtet wird und ob angemessene Arbeitsbedingungen beim Dienstleister herrschen. Dabei muss insbesondere auch der Frage nachgegangen werden, ob der Dienstleister und gegebenenfalls seine Sub-Unternehmer das Verbot von Kinderarbeit beachten. Dies dürfte vor allem für Auslagerungsvorhaben an Dienstleister, die außerhalb der EU gelegen sind, von besonderer Relevanz sein. Übergangsregelung Die EBA-Richtlinien gelten für alle Auslagerungen, die ab dem 30. September 2019 vereinbart, geändert oder überprüft werden, spätestens jedoch ab dem 31. Dezember 2021. Diese scheinbar großzügige Übergangsregelung für bestehende Auslagerungen wirft eine Reihe von Zweifelsfragen auf: So sind etwa Auslagerungen nach den bestehenden Regeln der MaRisk jährlich zu überprüfen, und es ist ein Bericht darüber an die Geschäftsleitung zu erstellen. Es ist unklar, ob solche Regelüberprüfungen bereits die sofortige Anwendbarkeit der EBA- Richtlinien für bestehende Auslagerungen bewirken. Andererseits unterscheiden die Übergangsregelungen nicht hinsichtlich der Wesentlichkeit einer Änderung. Damit stellt sich die Frage, ob etwa auch kleinere, formale Änderungen des Auslagerungsvertrags davon umfasst sind. Dies könnte etwa zur Folge haben, dass eine Anpassung des Auslagerungsvertrags oder auch nur eines Leistungsscheins oder Service Level Agreements die sofortige Anwendbarkeit des neuen Rechts nach dem 30. September 2019 bewirkt. FAZIT Die neuen EBA-Richtlinien sind künftig nicht nur für Kreditinstitute und Finanzdienstleister, sondern auch für Zahlungsinstitute und E-Geld-Institute anwendbar. Es ist einerseits zu begrüßen, dass es künftig einheitliche europäische Regeln für Auslagerungssachverhalte von Unternehmen der Finanzindustrie geben wird, denn Auslagerungen machen nun einmal nicht an Grenzen halt. Letztlich dürften jedoch die stark ins Detail gehenden Anforderungen, die die EBA- Richtlinien beispielsweise an eine Risikobewertung stellen, zu einem erheblich erhöhten Analyse- und Dokumentationsaufwand bei den auslagernden Unternehmen führen. Denn anders ist kaum vorstellbar, wie dem auslagernden Unternehmen im Fall einer aufsichtsrechtlichen Prüfung der Nachweis gelingen soll, die detaillierten Anforderungen tatsächlich eingehalten zu haben. Dies könnte eine starke Formalisierung der Prozesse zur Folge haben, die nicht zwingend mit einer Risikominimierung einherginge. Autor Dr. Peter Schad. Der Rechtsanwalt ist bei der KPMG Law Rechtsanwaltsgesellschaft mbH in München tätig. 04 // 2019 39
