de en
Nexia Ebner Stolz

Branchen

Aufsichtsrechtliche Anforderungen an die Auslagerung an Cloud-Anbieter

Die EBA hat Emp­feh­lun­gen zur Aus­la­ge­rung an Cloud-An­bie­ter er­stellt.

Cloud-Com­pu­ting be­zeich­net das dy­na­mi­sch an den Be­darf des Cloud-Nut­zers an­ge­passte An­bie­ten, Nut­zen und Ab­rech­nen von IT-Dienst­leis­tun­gen über ein Netz­werk (In­ter­net oder In­tra­net). Cloud-An­bie­ter de­cken da­bei das kom­plette Spek­trum der IT ab und stel­len u. a. In­fra­struk­tur (wie z. B. Spei­cher­platz oder Re­chen­leis­tung), Platt­for­men und An­wen­der­soft­warelösun­gen zur Verfügung.

Die Nut­zung von Cloud-Lösun­gen gleicht i. d. R. der klas­si­schen IT-Aus­la­ge­rung. Ob es sich da­bei auf­sichts­recht­lich um eine we­sent­li­che Aus­la­ge­rung i. S. d. Ma­Risk (Kre­dit­in­sti­tute) bzw. Aus­glie­de­rung ei­ner ge­wich­ti­gen Funk­tion i. S. d. MaGo (Auf­sichts­recht­li­che Min­dest­an­for­de­run­gen an die Ge­schäfts­or­ga­ni­sa­tion von Ver­si­che­rungs­un­ter­neh­men) han­delt, ha­ben die be­auf­sich­tig­ten Un­ter­neh­men im Rah­men ei­ner Ri­si­ko­ana­lyse zu be­ur­tei­len.

Hinweis

Cloud-Lösun­gen, die sich auf Ser­vern des Un­ter­neh­mens be­fin­den und für des­sen Ma­nage­ment und Be­trieb die un­ter­neh­mens­ei­gene IT-Ab­tei­lung zuständig ist, stel­len keine Aus­la­ge­rung bzw. Aus­glie­de­rung an Cloud-An­bie­ter dar. In sol­chen Fällen gel­ten le­dig­lich die übli­chen Re­ge­lun­gen zur In­for­ma­ti­ons­si­cher­heit.

Be­son­dere An­for­de­run­gen an die Aus­la­ge­rung bzw. Aus­glie­de­rung an Cloud-An­bie­ter durch be­auf­sich­tigte Un­ter­neh­men er­ge­ben sich ins­be­son­dere da­durch, dass die Cloud-An­bie­ter i. d. R. nicht selbst der Auf­sicht un­ter­ste­hen. Zu­dem ha­ben viele Cloud-An­bie­ter ih­ren Fir­men­sitz in Staa­ten außer­halb der EU. Auch der hohe Stan­dar­di­sie­rungs­grad der Cloud-Lösun­gen, de­ren De­tails dem Cloud-Nut­zer nicht im­mer be­kannt sind, stellt eine be­son­dere Her­aus­for­de­rung dar. Vor die­sem Hin­ter­grund können auf­sichts­recht­li­che An­for­de­run­gen an die Aus­la­ge­rung bzw. Aus­glie­de­rung an Cloud-An­bie­ter aus­schließlich ver­trag­lich durch­ge­setzt wer­den.

EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter

Um einen ein­heit­li­chen bank­auf­sicht­li­chen Rah­men in der EU zu schaf­fen, hatte die Eu­ropäische Ban­ken­auf­sichts­behörde (EBA) ihre Er­war­tun­gen an na­tio­nale Bank­auf­sichts­behörden und CRR-In­sti­tute in Form von „Emp­feh­lun­gen zur Aus­la­ge­rung an Cloud-An­bie­ter“ (EBA/Rec/2017/03) zu­sam­men­ge­fasst und am 18.5.2017 zur Kon­sul­ta­tion ge­stellt. Die EBA-Emp­feh­lun­gen kon­kre­ti­sie­ren und spe­zi­fi­zie­ren die vom Aus­schuss der Eu­ropäischen Bank­auf­sichts­behörden (CEBS) ent­wi­ckel­ten „Leit­li­nien zum Out­sour­cing“ vom 14.12.2016 und rich­ten sich ge­ne­rell an alle Aus­la­ge­run­gen (auch als nicht we­sent­lich i. S. d. Ma­Risk ein­ge­stufte) an Cloud-An­bie­ter.

We­sent­li­che Punkte der EBA-Emp­feh­lun­gen sind:

  • Ma­te­ria­lität und We­sent­lich­keit: Bei der Be­ur­tei­lung der We­sent­lich­keit der Aus­la­ge­rung sind zusätz­li­che Kri­te­rien zu berück­sich­ti­gen, u.a. die Kri­ti­ka­lität und das inhärente Ri­si­ko­pro­fil der aus­zu­la­gern­den Tätig­keit, die po­ten­ti­el­len Aus­wir­kun­gen von Ver­let­zun­gen der Ver­trau­lich­keits­pflicht und Da­ten­si­cher­heit auf das In­sti­tut und seine Kun­den, di­rekte ope­ra­tio­nelle Aus­wir­kung von IT-Ausfällen und da­mit zu­sam­menhängend die Rechts- und Re­pu­ta­ti­ons­ri­si­ken.
  • In­for­ma­ti­ons­pflicht: Der Auf­sichts­behörde sind wei­tere In­for­ma­tio­nen zur Verfügung zu stel­len, u.a. ver­pflich­tende In­for­ma­tio­nen über we­sent­li­che Aus­la­ge­run­gen, ggf. In­for­ma­tio­nen über die durch­geführte Ri­si­ko­ana­lyse, Vor­hal­ten ei­nes ak­tu­el­len In­for­ma­ti­ons­ver­zeich­nis­ses mit di­ver­sen Min­de­stan­ga­ben über alle Aus­la­ge­run­gen an Cloud-Dienst­leis­ter.
  • In­halte des Aus­la­ge­rungs­ver­tra­ges: Ver­pflich­tende In­halte sind u. a. be­son­dere An­for­de­run­gen an die Zu­griffs-, Zu­tritts- und Prüfrechte für die In­sti­tute und die Auf­sichts­behörden, an die Si­cher­heit von Da­ten und Sys­te­men so­wie an die Wei­ter­ver­la­ge­rung.
  • Stand­ort der Da­ten­spei­che­rung und -ver­ar­bei­tung: Die Aus­wahl des Stand­or­tes des Cloud-An­bie­ters hat ri­si­ko­ba­siert zu er­fol­gen, ins­be­son­dere wenn der Fir­men­sitz des Cloud-An­bie­ters außer­halb des EWR ist.
  • Not­fall­ma­nage­ment: Be­son­dere An­for­de­run­gen an das Not­fall­ma­nage­ment und den Test von Not­fallplänen so­wie an die Exit­stra­te­gie und ins­be­son­dere an die Löschpflicht.
Die endgülti­gen „Emp­feh­lun­gen zur Aus­la­ge­rung an Cloud-An­bie­ter“ wur­den durch die EBA am 28.3.2018 veröff­ent­licht und wur­den nun zum 1.7.2018 wirk­sam.

Hinweis

Die EBA-Emp­feh­lun­gen sind zwar recht­lich nicht ver­bind­lich, die na­tio­na­len Auf­sichts­behörden un­ter­lie­gen al­ler­dings der sog. „com­ply or ex­plain“-Pflicht. Die Ba­Fin hat in ih­rem Jour­nal Ja­nuar 2018 an­gekündigt, dass sie die EBA-Emp­feh­lun­gen un­ter Veröff­ent­li­chung ei­ner Ori­en­tie­rungs­hilfe für die be­auf­sich­tig­ten Un­ter­neh­men um­set­zen wird.

BaFin-Orientierungshilfe zu Cloud-Computing

Die be­auf­sich­tig­ten Kre­dit­in­sti­tute und Ver­si­che­rungs­un­ter­neh­men ha­ben bei der Ver­trags­ge­stal­tung von we­sent­li­chen Aus­la­ge­run­gen bzw. Aus­glie­de­run­gen an Cloud-An­bie­ter be­reits um­fas­sende auf­sichts­recht­li­che An­for­de­run­gen zu be­ach­ten. Als Stich­worte können hier § 25b KWG, AT 9 Ma­Risk und die BAIT (Bank­auf­sicht­li­che An­for­de­run­gen an die IT) bzw. § 7 Nr. 2 VAG, Ab­schnitt 13 MaGo und die nun seit dem 2.7.2018 vor­lie­gen­den VAIT (Ver­si­che­rungs­auf­sicht­li­che An­for­de­run­gen an die IT) ge­nannt wer­den.

Auf­grund des im Rah­men von Ge­sprächen mit be­auf­sich­tig­ten Un­ter­neh­men fest­ge­stell­ten Kon­kre­ti­sie­rungs­be­darfs der auf­sichts­recht­li­chen An­for­de­run­gen an die Nut­zung von Cloud-Diens­ten plant die Ba­Fin, im Laufe des Jah­res 2018 dem „com­ply or ex­plain“-Ver­fah­ren fol­gend, eine Ori­en­tie­rungs­hilfe zu veröff­ent­li­chen. Im Vor­griff dar­auf hat sie im Ba­Fin-Jour­nal April 2018 be­reits ei­nige aus ih­rer Sicht we­sent­li­che As­pekte zu­sam­men­ge­fasst.

Von be­son­de­rer Re­le­vanz für die Ba­Fin ist die an­ge­mes­sene ver­trag­li­che Re­ge­lung von un­ein­ge­schränk­ten In­for­ma­ti­ons- und Prüfungs­rech­ten für die in­terne und ex­terne Re­vi­sion des be­auf­sich­tig­ten Un­ter­neh­mens. Ins­be­son­dere dürfen diese Rechte nicht durch ge­stufte In­for­ma­ti­ons- und Prüfungs­ver­fah­ren, Zu­grif­fer­laub­nis nur auf stan­dar­di­sierte Prüfungs­be­richte des Cloud-An­bie­ters, Ein­schränkung des Zu­gangs zu Ge­schäftsräumen, Re­chen­zen­tra­len, Ser­vern und Mit­ar­bei­tern des Cloud-An­bie­ters, etc. ein­ge­schränkt wer­den.

Zur Si­cher­stel­lung ei­ner ef­fek­ti­ven Ge­stal­tung von Prüfun­gen bei Cloud-An­bie­tern ak­zep­tiert die Ba­Fin künf­tig auch sog. Sam­melprüfun­gen. Hier­bei wer­den die Prüfungs­res­sour­cen gebündelt und die Prüfun­gen von der In­ter­nen Re­vi­sion ei­nes oder meh­re­rer aus­la­gern­den Un­ter­neh­men oder von einem ge­mein­sam be­auf­trag­ten Drit­ten vor­ge­nom­men, so­fern die Re­vi­si­onstätig­keit die An­for­de­run­gen der AT 4.4.3 und BT 2 Ma­Risk erfüllt. Sam­melprüfun­gen dürfen da­bei nicht zur Ein­schränkung der Prüfungs­rechte der aus­la­gern­den Un­ter­neh­men führen.

Darüber hin­aus sind auch un­ein­ge­schränkte In­for­ma­ti­ons- und Prüfungs­rechte so­wie Kon­trollmöglich­kei­ten der Auf­sicht, ins­be­son­dere Vor-Ort-Prüfun­gen ver­trag­lich zu ver­an­kern. De­ren Durchführung darf eben­falls nicht ein­ge­schränkt und ins­be­son­dere nicht von der wirt­schaft­li­chen Zu­mut­bar­keit für den Cloud-An­bie­ter abhängig ge­macht wer­den.

Exkurs: Anforderungen an die Informationssicherheit und an den Datenschutz

Die Nut­zung ei­ner Cloud-Lösung ist das klas­si­sche Bei­spiel ei­ner da­ten­schutz­recht­li­chen Auf­trags(da­ten)ver­ar­bei­tung. Der Cloud-Nut­zer ist Auf­trag­ge­ber und Ver­ant­wort­li­cher i. S. d. Da­ten­schutz­grund­ver­ord­nung (DS­GVO), nämlich die Stelle, die über Mit­tel und Zwecke der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten ent­schei­det. Der Cloud-An­bie­ter ist Auf­trag­neh­mer und Auf­trags­ver­ar­bei­ter i. S. d. DS­GVO, nämlich die Stelle die im Auf­trag des Ver­ant­wort­li­chen per­so­nen­be­zo­gene Da­ten ver­ar­bei­tet. „Per­so­nen­be­zo­gene Da­ten“ sind alle In­for­ma­tio­nen, die sich auf eine iden­ti­fi­zier­bare natürli­che Per­son (be­trof­fene Per­son) be­zie­hen.

Die seit dem 25.5.2018 gel­tende DS­GVO ver­pflich­tet (im Ge­gen­satz zur al­ten Rechts­lage) nicht mehr nur den Ver­ant­wort­li­chen (Cloud-Nut­zer) son­dern auch den Cloud-Auf­trags­ver­ar­bei­ter (An­bie­ter). So­wohl Cloud-Nut­zer als auch Cloud-An­bie­ter müssen Maßnah­men im­ple­men­tie­ren, die den Vor­ga­ben der DS­GVO Rech­nung tra­gen. Diese sind u.a.:

  • Re­chen­schafts­pflicht: Für die Ein­hal­tung der Da­ten­schutz-An­for­de­run­gen ist nicht mehr nur der Cloud-Nut­zer ver­ant­wort­lich. Der Cloud-Nut­zer muss ent­spre­chende Nach­weise vor­hal­ten, bspw. durch Auf­nahme in sein Ver­zeich­nis der Ver­ar­bei­tungstätig­kei­ten und ggf. Durchführung ei­ner Da­ten­schutz­fol­gen­ab­schätzung. Auch der Cloud-An­bie­ter als Auf­trags­ver­ar­bei­ter muss nun bspw. ein Ver­zeich­nis der Ver­ar­bei­tungstätig­kei­ten führen und den Ver­ant­wort­li­chen bei der Ein­hal­tung sei­ner Da­ten­schutz-An­for­de­run­gen bzgl. der Auf­trags­ver­ar­bei­tung un­terstützen (Art. 28, 30, 32 bis 36 DS­GVO).
  • TOMs: Cloud-An­bie­ter ha­ben hin­rei­chende Nach­weise dafür zu er­brin­gen, dass sie im Ein­klang mit den An­for­de­run­gen der DS­GVO ge­eig­nete tech­ni­sche und or­ga­ni­sa­to­ri­sche Maßnah­men (TOMs) für die Durchführung der Da­ten­ver­ar­bei­tung im­ple­men­tiert ha­ben und dass sie den Schutz der Rechte der be­trof­fe­nen Per­so­nen (Kunde, Mit­ar­bei­ter) gewähr­leis­ten (Art. 28 DS­GVO).

Hinweis

Neu un­ter der DS­GVO ist die Möglich­keit zur Her­an­zie­hung ge­neh­mig­ter Ver­hal­tens­re­geln (Art. 40 DS­GVO) oder Zer­ti­fi­zie­rungs­ver­fah­ren (Art. 42 DS­GVO), um die er­for­der­li­chen Nach­weise er­brin­gen zu können.

  • Do­ku­men­ta­ti­ons- und In­for­ma­ti­ons­pflich­ten: Die ge­mein­sa­men Re­geln für die Da­ten­ver­ar­bei­tung sind zwi­schen dem Cloud-Dienst­leis­ter und -Nut­zer ver­trag­lich fest­zu­le­gen, u. a. do­ku­men­tierte Wei­sung für die Da­ten­ver­ar­bei­tung so­wie de­ren Ein­hal­tung, Kom­pe­tenz­re­ge­lun­gen, Mel­de­wege für Da­ten­pan­nen, Löschpflicht, etc. (Art. 28 DS­GVO).
  • Da­ten­schutz und Spei­cher­ort: Der Cloud-Nut­zer muss sich im Vor­feld über die Da­ten­schutzmaßnah­men und den Spei­cher­ort der Da­ten kun­dig ma­chen, denn gemäß der DS­GVO dürfen per­so­nen­be­zo­gene Da­ten von EU-Bürgern nicht in einem Staat auf­be­wahrt wer­den, des­sen Da­ten­schutz­re­geln nicht den gel­ten­den EU-Min­dest­stan­dards ent­spre­chen.

Hinweis

Cloud-Nut­zer soll­ten Da­ten be­reits vor der Mi­gra­tion in die Cloud ver­schlüsseln und sich nicht aus­schließlich auf die Ver­schlüsse­lung des Cloud-Dienst­leis­ters ver­las­sen, denn durch die Spei­che­rung und Ver­ar­bei­tung der Da­ten außer­halb des Un­ter­neh­mens wird dem Cloud-Nut­zer ins­bes. bei einem Da­ten­ver­lust jede Kon­trollmöglich­keit ent­zo­gen.

Im Sep­tem­ber 2017 hat das Bun­des­amt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI) einen „An­for­de­rungs­ka­ta­log Cloud-Com­pu­ting (C5)“ (Cloud Com­pu­ting Com­pli­ance Con­trols Ca­ta­lo­gue, kurz C5) mit Kri­te­rien zur Be­ur­tei­lung der In­for­ma­ti­ons­si­cher­heit von Cloud-Diens­ten veröff­ent­licht. Die­ser soll über­wie­gend Cloud-An­bie­tern aber auch Cloud-Nut­zern so­wie de­ren Wirt­schaftsprüfern einen ein­heit­li­chen und all­ge­mein an­er­kann­ten Rah­men zur Si­cher­stel­lung so­wie Be­ur­tei­lung der Si­cher­heit im Cloud-Com­pu­ting an die Hand ge­ben. Die ein­zel­nen An­for­de­run­gen des Ka­ta­logs sind in­halt­lich auf Grund­lage na­tio­nal und in­ter­na­tio­nal eta­blier­ter Stan­dards for­mu­liert wor­den

Hinweis

Der Nach­weis, dass ein Cloud-An­bie­ter die An­for­de­run­gen die­ses Ka­ta­logs einhält, wird durch einen sog. SOC 2-Be­richt (Ser­vice Or­ga­niza­tion Con­trol 2-Be­richte) er­bracht. Die­ser ba­siert auf den in­ter­na­tio­nal an­er­kann­ten Be­schei­ni­gungs­stan­dards ISAE 3000/ISAE 3402 bzw. IDW PS 860/ IDW PS 951, die von Wirt­schaftsprüfern ver­wen­det wer­den.

nach oben

Das könnte Sie auch interessieren