Orientierungshilfe zur Auslagerung an Cloud-Dienste durch BaFin

Die BaFin hat mit Stand November 2018 ein Merkblatt herausgegeben, in dem sie eine Orientierungshilfe zur Auslagerung an Cloud-Dienste erteilt. Die BaFin wendet sich mit diesem Schreiben ausdrücklich an alle im Finanzsektor beaufsichtigten Unternehmen (Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Pensionsfonds, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute). 
 

Diese Orientierungshilfe gliedert sich im Wesentlichen in vier Punkte:

• Erläuterungen,
• strategische Überlegungen,
• Analyse und Wesentlichkeitsbewertung,
• Vertragsgestaltung.  

  
Diese Orientierungshilfe ersetzt nicht die bereits bestehenden Hinweise zur Verwaltungspraxis der BaFin zu den aufsichtsrechtlichen Anforderungen und der aufsichtsrechtlichen Bewertung der Gestaltungen der Auslagerung im IT-Bereich; sie ist vielmehr dafür gedacht, diese Hinweise zu ergänzen und praktische Hinweise im Vorfeld der Auslagerung an einen Cloud-Dienst zu erteilen. 

Hinsichtlich der Vertragsgestaltung ist ersichtlich, dass die BaFin aufgrund der von ihr im Vorwort erwähnten Dialogs mit verschiedenen Cloud-Anbietern – die leider nicht genannt werden – „(Standard-)Verträge bzw. der vertraglichen Zusatzvereinbarungen” gesichtet hat und hierbei verschiedene Vorgaben hinsichtlich der Informations- und Prüfungsrechte für nötig erachtet hat.
 

I. Erläuterungen

Unter den Erläuterungen wird festgehalten, wie die einzelnen Begrifflichkeiten im Zusammenspiel mit Begrifflichkeiten aus Gesetz und Verordnung zu verstehen sind und was für die Institute wesentlicher sein dürfte, welcher Cloud-Dienst (explizit IaaS, PaaS und SaaS) wie von der BaFin verstanden und interpretiert wird. Diese Bewertung sollte sich jedes Institut anschauen und prüfen, bevor es diese Begrifflichkeiten verwendet. Die BaFin führt auch eine Wertung der Nutzung und Kontrolle, die das Institut bei den genannten Cloud-Diensten hat, durch. Dies hat einen entscheidenden Einfluss auf die Wertung der Auslagerung und deren Risikoanalyse. Schließlich unterscheidet die BaFin auch vier Bereitstellungsmodelle (Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud), die jeweils von der BaFin definiert werden.

II. strategische Überlegungen 

Die Strategischen Überlegungen zur Nutzung eines Cloud-Dienstes sollten in der IT-Strategie festgehalten werden. Das Institut sollte alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie dokumentieren. Auch die Prüfung aller relevanten, internen Prozesse, hinsichtlich deren Kompatibilität mit der Cloud, sollte erfolgen bevor eine Auslagerung vorgenommen wird. Dabei sollten neben den auszulagernden Sachverhalten vor allem die Risikomanagement- und -steuerungsprozesse des beaufsichtigten Unternehmens betrachtet werden. Diese Prozesse sowie sämtliche Prüfungen sollten dokumentiert sein. 

 

III. Analyse und Wesentlichkeitsbewertung 

Bei der Übertragung von Sachverhalten an einen Cloud-Anbieter ist zu prüfen, ob eine Auslagerung vorliegt und ob sie wesentlich ist. Die BaFin hält hier fest, dass in der Regel von einer Auslagerung auszugehen ist. Somit bedarf es einer Begründung, wenn das Institut zu der Auffassung kommen würde.

Unter diesem Abschnitt gibt die BaFin sehr konkrete Anweisungen, wie eine Risikoanalyse zur Feststellung der Wesentlichkeit auszusehen hat. Hier kann das Institut die einzelnen Punkte abarbeiten und so eine zumindest in den Augen der BaFin komplette Risikoanalyse erstellen, die nicht nur zu dokumentieren, sondern auch regelmäßig zu überprüfen ist.

IV. Vertragsgestaltung 

Hinsichtlich der Vertragsgestaltung wird die BaFin sehr konkret. Neben allgemeinen Hinweisen, dass die ausgelagerte Dienstleistung zu bestimmen ist und welche Punkte bei einer Auslagerung an Cloud-Dienste zum Leistungsgegenstand gehören, legt die BaFin großen Wert auf die Informations- und Prüfungsrechte des beaufsichtigten Unternehmens und parallel dazu auf die Informations- und Prüfungsrechte der Aufsicht. Neben den Selbstverständlichkeiten, dass diese Rechte uneingeschränkt gewährleistet werden müssen, bringt die BaFin – wahrscheinlich durch die Einsicht in Musterverträge von Cloud-Anbietern – negativ Beispiele unter dem Punkt „keine (mittelbare) Einschränkung der Rechte”, die unbedingt beachtete werden  sollten. Ausgeschlossen sind hierbei:  
 

• die Vereinbarung gestufter Informations- und Prüfungsverfahren, z.B. die Verpflichtung, zunächst auf die Prüfungsberichte, Zertifikate oder sonstige Nachweise der Einhaltung anerkannter Standards durch den Cloud-Anbieter zurückzugreifen, bevor das beaufsichtigte Unternehmen eigene Prüfungshandlungen durchführen kann,
• eine Beschränkung der Erfüllung der Informations- und Prüfungsrechte auf die Vorlage von Prüfungsberichten, Zertifikaten oder sonstigen Nachweisen der Einhaltung anerkannter Standards durch den Cloud-Anbieter,
• eine Verknüpfung des Zugangs zu Informationen an die vorherige Teilnahme an speziellen Schulungsprogrammen,
• die Formulierung einer Klausel, in der die Durchführung einer Prüfung von der wirtschaftlichen Zumutbarkeit (commercially reasonable) abhängig gemacht wird,
• eine zeitliche und personelle Beschränkung der Durchführung von Prüfungen, wobei eine Beschränkung des Zugangs auf die üblichen Geschäftszeiten nach vorheriger Anmeldung in der Regel vertretbar ist,
• ein Verweis auf die alleinige Nutzung etwa von Managementkonsolen zur Ausübung der Informations- und Prüfungsrechte des Unternehmens,
• eine Vorgabe des Ablaufs sowie des Umfangs der Ausübung der Informations- und Prüfungsrechte durch den Cloud-Anbieter.

 

Als Erleichterung für Prüfungen werden Sammelprüfungen oder das Heranziehen von Nachweisen/Zertifikaten auf Grundlage gängiger Standards bzw. von Prüfberichten anerkannter Dritter oder von internen Prüfberichten des Cloud-Anbieters aufgeführt.  

Bei ersterem können Institute, die §§ 25 a, 25 b KWG einhalten müssen, grundsätzlich entsprechend BT 2.1 Tz 3 MaRisk auf eigene Prüfungshandlungen verzichten, sofern eine anderweitig geführte Revisionstätigkeit den Anforderungen in AT 4.4 und BT 2 MaRisk genügt. Diese Revisionstätigkeit kann hierbei durch die Interne Revision des Cloud-Anbieters, die Interne Revision eines oder mehrerer der auslagernden beaufsichtigten Unternehmen im Auftrag der auslagernden beaufsichtigten Unternehmen („Sammelprüfungen” sog. „Pooled Audits”), einen vom Cloud-Anbieter beauftragten Dritten oder einen von den auslagernden beaufsichtigten Unternehmen beauftragten Dritten durchgeführt werden.

Die BaFin teilt mit, dass für andere beaufsichtigte Unternehmen Sammelprüfung gemeinsam mit anderen beaufsichtigten Unternehmen für bestimmte Informations- und Prüfungsrechte gegenüber dem Cloud-Anbieter im Einzelfall zulässig sein können. Dies ist jedoch sehr unverbindlich gehalten, so dass ggf. eine Rückfrage bei der BaFin sinnvoll sein könnte. 

Bei einer Prüfung unter Heranziehen von Nachweisen/Zertifikaten auf Grundlage gängiger Standards bzw. von Prüfberichten anerkannter Dritter oder von internen Prüfberichten des Cloud-Anbieters, verweist die BaFin darauf, dass sich die Revisionstätigkeit nicht ausschließlich auf diese Unterlagen stützen darf. Sondern sie muss der den Nachweisen/Zertifikaten bzw. Prüfberichten zugrundeliegenden Evidenzen prüfen können und wohl auch zumindest stichprobenartig prüfen. Hinsichtlich der weiteren Punkte zu den Vertragsinhalten (Weisungsrechte, Datensicherheit/-schutz, Kündigungsmodalitäten, Weiterverlagerung, Informationspflichten, anwendbares Recht) sind keine überraschenden oder von der bereits gegebenen Verwaltungspraxis abweichende Aussagen getroffen. Es macht aber Sinn, bei (allen) Auslagerungsverträgen zu überprüfen, ob diese grundlegenden Hinweise der BaFin eingehalten werden.