Wenn Unternehmen Cloud-Services nutzen wollen, müssen sie sicherstellen, dass sie die für sie geltenden internen und externen Richtlinien einhalten. Insbesondere für regulierte Branchen wie Banken, Versicherungen und Betreiber kritischer Infrastrukturen (KRITIS) gibt es detaillierte Vorschriften, deren Einhaltung durch ein angemessenes Compliance-Management sichergestellt werden muss. Wir prüfen, welche Aspekte bei der Sicherstellung von Cloud Compliance für jedes Unternehmen relevant sind. Zudem zeigen wir in diesem Blogbeitrag beispielhaft für die Bankenbranche auf, was gemäß der EBA-Leitlinie zu Auslagerungen zu berücksichtigen ist.
Cloud Compliance-Aspekte für jedes Unternehmen
Cloud-Services stellen beim IT-Outsourcing zusätzliche Risiken und Herausforderungen für das Compliance-Management dar. Compliance-Vorgaben stellen dabei sicher, dass Risiken ermittelt, überwacht und gesteuert werden und angemessene Maßnahmen vorgesehen werden, um diese langfristig im Griff zu behalten.
Folgende fünf Aspekte, die beim IT-Outsourcing Berücksichtigung finden sollten, sind grundsätzlich für die Sicherstellung von Cloud Compliance für jedes Unternehmen relevant:
- IT-Strategievorgabe: wann Nutzung von Cloud-Services
- Bewertung der Service-Kritikalität (Risikoanalyse)
- Vertragliche Regelungen
- Bewertung und Auswahl des Auftragnehmers
- Überwachung und Kontrolle von Leistungen und Vereinbarungen
Diese relevanten Aspekte werden nachfolgend genauer betrachtet.
Vorgaben der EBA und BaFin
Bei den Banken sind spezielle europäische und nationale Vorgaben maßgeblich. Die Europäische Bankenaufsichtsbehörde (EBA) formuliert mit ihren wegweisenden „Leitlinien zu Auslagerungen“ (EBA/GL/2019/02) Vorgehensweisen für das Outsourcing von Dienstleistungen. Sie strebt auf europäischer Ebene eine Harmonisierung der Auslagerungs-Vereinbarungen mit Providern und Aufsichtspraktiken an. Das Outsourcing von Cloud-Services ist Teil des Betrachtungsrahmens dieser Leitlinien und geht aus den aufgehobenen „Empfehlungen zur Auslagerung an Cloud-Anbieter“ der EBA hervor.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt die Banken und Finanzdienstleister. Behörden und Finanzinstitute sollen alle erforderlichen Anstrengungen unternehmen, den Leitlinien der EBA nachzukommen. Die BaFin übernimmt grundsätzlich diese Leitlinien der EBA in ihre Aufsichtspraktik und veröffentlicht Vorschriften, wie z.B. die Mindestanforderungen an das Risiko-Management (MaRisk). In diesen Mindestanforderungen spiegeln sich dann auch die EBA-Leitlinien wider. Relevant in diesem Zusammenhang ist auch die Bankaufsichtliche Anforderungen an die IT (BAIT) als Rahmen für die technisch-organisatorische Ausstattung der Institute.
Relevante Cloud Compliance Aspekte – Vergleich
Die folgende Tabelle stellt die abzudeckenden Aspekte beim Outsourcing dar und stellt die empfohlenen Richtlinien für jedes Unternehmen den Anforderungen der EBA-Leitlinien gegenüber:
Tabelle: Empfohlene Richtlinien für jedes Unternehmen / Vorgabe der EBA-Leitlinien
| Relevanter Aspekt |
|
||||||||||||||||||
| 1. | IT-Strategievorgabe |
|
|||||||||||||||||
| 2. | Bewertung der Service-Kritikalität (Risikoanalyse) |
|
|||||||||||||||||
| 3. | Vertragliche Regelungen |
|
|||||||||||||||||
| 4. | Bewertung und Auswahl des AN |
|
|||||||||||||||||
| 5. | Überwachung und Kontrolle von Leistungen |
|
Empfehlungen für jedes Unternehmen
Es sollte eine ganzheitliche und zielgerichtete IT-Strategie, die einen Sourcing Strategie-Teil enthält, gemäß Unternehmens-Strategie und -Zielen entwickelt werden. Es muss zudem eine detaillierte Risikoanalyse und Bewertung der auszulagernden Services vorgenommen werden.
Bei den vertraglichen Regelungen mit einem Provider sollte ein Mindestmaß an Punkten berücksichtigt und der Leistungsgegenstand und die Leistungsqualität sollten eindeutig spezifiziert werden. Der Auftragnehmer ist dazu verpflichtet, dass er dem Auftraggeber erforderliche Informations- und Prüfungsrechte und Weisungsrechte einräumt und die Informationspflichten des Auftragnehmers müssen im Vertrag klar geregelt sein. Angemessene Kündigungsregelungen im Vertrag sollen unter anderem die Möglichkeit bieten, auf schlecht erbrachte Leistung reagieren und Vorbereitungen für einen Providerwechsel oder ein Insourcing durchführen zu können. Letztlich müssen zu Datenschutz und -sicherheit, wie z.B. der Vertraulichkeit von Daten, angemessene vertragliche Regelungen vereinbart werden, die den Gesetzesvorgaben entsprechen. Außerdem muss das anwendbare Recht des Vertrags geregelt sein, bzw. ob der Vertrag dem deutschen Recht unterliegt.
Anforderungen an Banken (EBA-Leitlinie)
Die EBA-Leitlinie betrachtet den gesamten Auslagerungsprozess und gibt konkrete Anforderungen an das Risiko-Management vor. Es wird unterschieden zwischen der Auslagerung von kritischen oder bedeutenden Funktionen und sonstigen Auslagerungen. Die Leitlinien enthalten feste Bewertungskriterien für auszulagernde Services und die Service-Kritikalität, somit bilden ausgelagerte kritische/bedeutende Funktionen den Schwerpunkt für höhere einzuhaltende Vorgaben. Bei kritischen Auslagerungen gelten zudem umfangreiche Dokumentations- und Informationspflichten gegenüber der zuständigen Aufsichtsbehörde (i.d.R. die BaFin).
Ein Service Provider muss nicht zwangsläufig den ausgelagerten Service selbst erbringen, sondern kann hierfür Subunternehmer einsetzen. Generell dürfen getroffene Vertragsvereinbarungen dabei nicht mit aufsichtsbehördlicher Ausübung des Prüfungsrechts in Konflikt stehen.
Für die Bewertung und Auswahl des Providers wird, insbesondere bei der Auslagerung kritischer Funktionen, ein hohes Maß an Prüfung und Dokumentation der Provider und seiner Eignung gefordert (Due-Diligence-Prüfung). Eine umfangreiche Überwachung und Kontrollmöglichkeit des Providers müssen sichergestellt werden. Diese Regelungen gelten auch für potenziell eingesetzte Subunternehmer bei Weiterverlagerung. Um die vertragliche Leistung prüfen zu können, muss hierfür eine interne Organisation mit ausreichenden Ressourcen und Leistungsfähigkeit für die Steuerung und Überwachung des, bzw. der Service Provider vorhanden sein.
Fazit
Die fünf Aspekte und die empfohlenen Richtlinien können für jedes Unternehmen angewendet werden, um Cloud Compliance im Unternehmen sicherzustellen. In Abhängigkeit von Risikoschwerpunkten der jeweiligen Branche oder des Unternehmens kann auf den empfohlenen Richtlinien aufgesetzt und unterschiedliche Aspekte verschärft werden. Dabei ist ein für das eigene Unternehmen angemessene Regelwerk zu schaffen.
Die Anforderungen der EBA-Leitlinien sind gegenüber den Empfehlungen für alle Unternehmen vergleichbar, jedoch in einigen Aspekten deutlich weitreichender: Rechenschafts-, Dokumentations- und Melde-Pflichten der Finanzinstitute gegenüber Aufsichtsbehörden und der Analyse potenzieller Risiken, um insbesondere den hohen gesetzlichen und regulatorischen Anforderungen der Finanzbranche gerecht zu werden. Die Leitlinien bieten einen sinnvollen Rahmen der Ausgestaltung von Auslagerungsvereinbarungen.
