deen
Nexia Ebner Stolz

Aufsichtsrechtliche Anforderungen an die Auslagerung an Cloud-Anbieter

Die EBA hat Empfehlungen zur Auslagerung an Cloud-Anbieter erstellt.

Cloud-Com­pu­ting bezeich­net das dyna­misch an den Bedarf des Cloud-Nut­zers ange­passte Anbie­ten, Nut­zen und Abrech­nen von IT-Dienst­leis­tun­gen über ein Netz­werk (Inter­net oder Intra­net). Cloud-Anbie­ter decken dabei das kom­p­lette Spek­trum der IT ab und stel­len u. a. Infra­struk­tur (wie z. B. Spei­cher­platz oder Rechen­leis­tung), Platt­for­men und Anwen­der­soft­wa­re­lö­sun­gen zur Ver­fü­gung.

Die Nut­zung von Cloud-Lösun­gen gleicht i. d. R. der klas­si­schen IT-Aus­la­ge­rung. Ob es sich dabei auf­sichts­recht­lich um eine wesent­li­che Aus­la­ge­rung i. S. d. MaRisk (Kre­di­t­in­sti­tute) bzw. Aus­g­lie­de­rung einer gewich­ti­gen Funk­tion i. S. d. MaGo (Auf­sichts­recht­li­che Min­de­st­an­for­de­run­gen an die Geschäft­s­or­ga­ni­sa­tion von Ver­si­che­rungs­un­ter­neh­men) han­delt, haben die beauf­sich­tig­ten Unter­neh­men im Rah­men einer Risi­ko­ana­lyse zu beur­tei­len.

Hin­weis

Cloud-Lösun­gen, die sich auf Ser­vern des Unter­neh­mens befin­den und für des­sen Mana­ge­ment und Betrieb die unter­neh­mens­ei­gene IT-Abtei­lung zustän­dig ist, stel­len keine Aus­la­ge­rung bzw. Aus­g­lie­de­rung an Cloud-Anbie­ter dar. In sol­chen Fäl­len gel­ten ledig­lich die übli­chen Rege­lun­gen zur Infor­ma­ti­ons­si­cher­heit.

Beson­dere Anfor­de­run­gen an die Aus­la­ge­rung bzw. Aus­g­lie­de­rung an Cloud-Anbie­ter durch beauf­sich­tigte Unter­neh­men erge­ben sich ins­be­son­dere dadurch, dass die Cloud-Anbie­ter i. d. R. nicht selbst der Auf­sicht unter­ste­hen. Zudem haben viele Cloud-Anbie­ter ihren Fir­men­sitz in Staa­ten außer­halb der EU. Auch der hohe Stan­dar­di­sie­rungs­grad der Cloud-Lösun­gen, deren Details dem Cloud-Nut­zer nicht immer bekannt sind, stellt eine beson­dere Her­aus­for­de­rung dar. Vor die­sem Hin­ter­grund kön­nen auf­sichts­recht­li­che Anfor­de­run­gen an die Aus­la­ge­rung bzw. Aus­g­lie­de­rung an Cloud-Anbie­ter aus­sch­ließ­lich ver­trag­lich durch­ge­setzt wer­den.

EBA-Emp­feh­lun­gen zur Aus­la­ge­rung an Cloud-Anbie­ter

Um einen ein­heit­li­chen ban­k­auf­sicht­li­chen Rah­men in der EU zu schaf­fen, hatte die Euro­päi­sche Ban­ken­auf­sichts­be­hörde (EBA) ihre Erwar­tun­gen an natio­nale Ban­k­auf­sichts­be­hör­den und CRR-Insti­tute in Form von „Emp­feh­lun­gen zur Aus­la­ge­rung an Cloud-Anbie­ter“ (EBA/Rec/2017/03) zusam­men­ge­fasst und am 18.5.2017 zur Kon­sul­ta­tion ges­tellt. Die EBA-Emp­feh­lun­gen kon­k­re­ti­sie­ren und spe­zi­fi­zie­ren die vom Aus­schuss der Euro­päi­schen Ban­k­auf­sichts­be­hör­den (CEBS) ent­wi­ckel­ten „Leit­li­nien zum Out­sour­cing“ vom 14.12.2016 und rich­ten sich gene­rell an alle Aus­la­ge­run­gen (auch als nicht wesent­lich i. S. d. MaRisk ein­ge­stufte) an Cloud-Anbie­ter.

Wesent­li­che Punkte der EBA-Emp­feh­lun­gen sind:

  • Mate­ria­li­tät und Wesent­lich­keit: Bei der Beur­tei­lung der Wesent­lich­keit der Aus­la­ge­rung sind zusätz­li­che Kri­te­rien zu berück­sich­ti­gen, u.a. die Kri­ti­ka­li­tät und das inhä­rente Risi­ko­pro­fil der aus­zu­la­gern­den Tätig­keit, die poten­ti­el­len Aus­wir­kun­gen von Ver­let­zun­gen der Ver­trau­lich­keitspf­licht und Daten­si­cher­heit auf das Insti­tut und seine Kun­den, direkte ope­ra­tio­nelle Aus­wir­kung von IT-Aus­fäl­len und damit zusam­men­hän­gend die Rechts- und Repu­ta­ti­ons­ri­si­ken.
  • Infor­ma­ti­onspf­licht: Der Auf­sichts­be­hörde sind wei­tere Infor­ma­tio­nen zur Ver­fü­gung zu stel­len, u.a. verpf­lich­tende Infor­ma­tio­nen über wesent­li­che Aus­la­ge­run­gen, ggf. Infor­ma­tio­nen über die durch­ge­führte Risi­ko­ana­lyse, Vor­hal­ten eines aktu­el­len Infor­ma­ti­ons­ver­zeich­nis­ses mit diver­sen Min­de­stan­ga­ben über alle Aus­la­ge­run­gen an Cloud-Dienst­leis­ter.
  • Inhalte des Aus­la­ge­rungs­ver­tra­ges: Verpf­lich­tende Inhalte sind u. a. beson­dere Anfor­de­run­gen an die Zugriffs-, Zutritts- und Prüf­rechte für die Insti­tute und die Auf­sichts­be­hör­den, an die Sicher­heit von Daten und Sys­te­men sowie an die Wei­ter­ver­la­ge­rung.
  • Stand­ort der Daten­spei­che­rung und -ver­ar­bei­tung: Die Aus­wahl des Stand­or­tes des Cloud-Anbie­ters hat risi­ko­ba­siert zu erfol­gen, ins­be­son­dere wenn der Fir­men­sitz des Cloud-Anbie­ters außer­halb des EWR ist.
  • Not­fall­ma­na­ge­ment: Beson­dere Anfor­de­run­gen an das Not­fall­ma­na­ge­ment und den Test von Not­fall­plä­nen sowie an die Exit­st­ra­te­gie und ins­be­son­dere an die Löschpf­licht.

Die end­gül­ti­gen „Emp­feh­lun­gen zur Aus­la­ge­rung an Cloud-Anbie­ter“ wur­den durch die EBA am 28.3.2018 ver­öf­f­ent­licht und wur­den nun zum 1.7.2018 wirk­sam.

Hin­weis

Die EBA-Emp­feh­lun­gen sind zwar recht­lich nicht ver­bind­lich, die natio­na­len Auf­sichts­be­hör­den unter­lie­gen aller­dings der sog. „com­ply or exp­lain“-Pflicht. Die BaFin hat in ihrem Jour­nal Januar 2018 ange­kün­digt, dass sie die EBA-Emp­feh­lun­gen unter Ver­öf­f­ent­li­chung einer Ori­en­tie­rungs­hilfe für die beauf­sich­tig­ten Unter­neh­men umset­zen wird.

BaFin-Ori­en­tie­rungs­hilfe zu Cloud-Com­pu­ting

Die beauf­sich­tig­ten Kre­di­t­in­sti­tute und Ver­si­che­rungs­un­ter­neh­men haben bei der Ver­trags­ge­stal­tung von wesent­li­chen Aus­la­ge­run­gen bzw. Aus­g­lie­de­run­gen an Cloud-Anbie­ter bereits umfas­sende auf­sichts­recht­li­che Anfor­de­run­gen zu beach­ten. Als Stich­worte kön­nen hier § 25b KWG, AT 9 MaRisk und die BAIT (Ban­k­auf­sicht­li­che Anfor­de­run­gen an die IT) bzw. § 7 Nr. 2 VAG, Abschnitt 13 MaGo und die nun seit dem 2.7.2018 vor­lie­gen­den VAIT (Ver­si­che­rungs­auf­sicht­li­che Anfor­de­run­gen an die IT) genannt wer­den.

Auf­grund des im Rah­men von Gesprächen mit beauf­sich­tig­ten Unter­neh­men fest­ge­s­tell­ten Kon­k­re­ti­sie­rungs­be­darfs der auf­sichts­recht­li­chen Anfor­de­run­gen an die Nut­zung von Cloud-Diens­ten plant die BaFin, im Laufe des Jah­res 2018 dem „com­ply or exp­lain“-Ver­fah­ren fol­gend, eine Ori­en­tie­rungs­hilfe zu ver­öf­f­ent­li­chen. Im Vor­griff dar­auf hat sie im BaFin-Jour­nal April 2018 bereits einige aus ihrer Sicht wesent­li­che Aspekte zusam­men­ge­fasst.

Von beson­de­rer Rele­vanz für die BaFin ist die ange­mes­sene ver­trag­li­che Rege­lung von unein­ge­schränk­ten Infor­ma­ti­ons- und Prü­fungs­rech­ten für die interne und externe Revi­sion des beauf­sich­tig­ten Unter­neh­mens. Ins­be­son­dere dür­fen diese Rechte nicht durch gestufte Infor­ma­ti­ons- und Prü­fungs­ver­fah­ren, Zugrif­fer­laub­nis nur auf stan­dar­di­sierte Prü­fungs­be­richte des Cloud-Anbie­ters, Ein­schrän­kung des Zugangs zu Geschäfts­räu­men, Rechen­zen­tra­len, Ser­vern und Mit­ar­bei­tern des Cloud-Anbie­ters, etc. ein­ge­schränkt wer­den.

Zur Sicher­stel­lung einer effek­ti­ven Gestal­tung von Prü­fun­gen bei Cloud-Anbie­tern akzep­tiert die BaFin künf­tig auch sog. Sam­mel­prü­fun­gen. Hier­bei wer­den die Prü­fungsres­sour­cen gebün­delt und die Prü­fun­gen von der Inter­nen Revi­sion eines oder meh­re­rer aus­la­gern­den Unter­neh­men oder von einem gemein­sam beauf­trag­ten Drit­ten vor­ge­nom­men, sofern die Revi­si­on­s­tä­tig­keit die Anfor­de­run­gen der AT 4.4.3 und BT 2 MaRisk erfüllt. Sam­mel­prü­fun­gen dür­fen dabei nicht zur Ein­schrän­kung der Prü­fungs­rechte der aus­la­gern­den Unter­neh­men füh­ren.

Dar­über hin­aus sind auch unein­ge­schränkte Infor­ma­ti­ons- und Prü­fungs­rechte sowie Kon­troll­mög­lich­kei­ten der Auf­sicht, ins­be­son­dere Vor-Ort-Prü­fun­gen ver­trag­lich zu ver­an­kern. Deren Durch­füh­rung darf eben­falls nicht ein­ge­schränkt und ins­be­son­dere nicht von der wirt­schaft­li­chen Zumut­bar­keit für den Cloud-Anbie­ter abhän­gig gemacht wer­den.

Exkurs: Anfor­de­run­gen an die Infor­ma­ti­ons­si­cher­heit und an den Daten­schutz

Die Nut­zung einer Cloud-Lösung ist das klas­si­sche Bei­spiel einer daten­schutz­recht­li­chen Auf­trags(daten)ver­ar­bei­tung. Der Cloud-Nut­zer ist Auf­trag­ge­ber und Ver­ant­wort­li­cher i. S. d. Daten­schutz­grund­ver­ord­nung (DSGVO), näm­lich die Stelle, die über Mit­tel und Zwe­cke der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ent­schei­det. Der Cloud-Anbie­ter ist Auf­trag­neh­mer und Auf­trags­ver­ar­bei­ter i. S. d. DSGVO, näm­lich die Stelle die im Auf­trag des Ver­ant­wort­li­chen per­so­nen­be­zo­gene Daten ver­ar­bei­tet. „Per­so­nen­be­zo­gene Daten“ sind alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­bare natür­li­che Per­son (betrof­fene Per­son) bezie­hen.

Die seit dem 25.5.2018 gel­tende DSGVO verpf­lich­tet (im Gegen­satz zur alten Rechts­lage) nicht mehr nur den Ver­ant­wort­li­chen (Cloud-Nut­zer) son­dern auch den Cloud-Auf­trags­ver­ar­bei­ter (Anbie­ter). Sowohl Cloud-Nut­zer als auch Cloud-Anbie­ter müs­sen Maß­nah­men imp­le­men­tie­ren, die den Vor­ga­ben der DSGVO Rech­nung tra­gen. Diese sind u.a.:

  • Rechen­schaftspf­licht: Für die Ein­hal­tung der Daten­schutz-Anfor­de­run­gen ist nicht mehr nur der Cloud-Nut­zer ver­ant­wort­lich. Der Cloud-Nut­zer muss ent­sp­re­chende Nach­weise vor­hal­ten, bspw. durch Auf­nahme in sein Ver­zeich­nis der Ver­ar­bei­tung­s­tä­tig­kei­ten und ggf. Durch­füh­rung einer Daten­schutz­fol­gen­ab­schät­zung. Auch der Cloud-Anbie­ter als Auf­trags­ver­ar­bei­ter muss nun bspw. ein Ver­zeich­nis der Ver­ar­bei­tung­s­tä­tig­kei­ten füh­ren und den Ver­ant­wort­li­chen bei der Ein­hal­tung sei­ner Daten­schutz-Anfor­de­run­gen bzgl. der Auf­trags­ver­ar­bei­tung unter­stüt­zen (Art. 28, 30, 32 bis 36 DSGVO).
  • TOMs: Cloud-Anbie­ter haben hin­rei­chende Nach­weise dafür zu erbrin­gen, dass sie im Ein­klang mit den Anfor­de­run­gen der DSGVO geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOMs) für die Durch­füh­rung der Daten­ver­ar­bei­tung imp­le­men­tiert haben und dass sie den Schutz der Rechte der betrof­fe­nen Per­so­nen (Kunde, Mit­ar­bei­ter) gewähr­leis­ten (Art. 28 DSGVO).

Hin­weis

Neu unter der DSGVO ist die Mög­lich­keit zur Heran­zie­hung geneh­mig­ter Ver­hal­tens­re­geln (Art. 40 DSGVO) oder Zer­ti­fi­zie­rungs­ver­fah­ren (Art. 42 DSGVO), um die erfor­der­li­chen Nach­weise erbrin­gen zu kön­nen.

  • Doku­men­ta­ti­ons- und Infor­ma­ti­onspf­lich­ten: Die gemein­sa­men Regeln für die Daten­ver­ar­bei­tung sind zwi­schen dem Cloud-Dienst­leis­ter und -Nut­zer ver­trag­lich fest­zu­le­gen, u. a. doku­men­tierte Wei­sung für die Daten­ver­ar­bei­tung sowie deren Ein­hal­tung, Kom­pe­tenz­re­ge­lun­gen, Mel­de­wege für Daten­pan­nen, Löschpf­licht, etc. (Art. 28 DSGVO).
  • Daten­schutz und Spei­cher­ort: Der Cloud-Nut­zer muss sich im Vor­feld über die Daten­schutz­maß­nah­men und den Spei­cher­ort der Daten kun­dig machen, denn gemäß der DSGVO dür­fen per­so­nen­be­zo­gene Daten von EU-Bür­gern nicht in einem Staat auf­be­wahrt wer­den, des­sen Daten­schutz­re­geln nicht den gel­ten­den EU-Min­dest­stan­dards ent­sp­re­chen.

Hin­weis

Cloud-Nut­zer soll­ten Daten bereits vor der Mig­ra­tion in die Cloud ver­schlüs­seln und sich nicht aus­sch­ließ­lich auf die Ver­schlüs­se­lung des Cloud-Dienst­leis­ters ver­las­sen, denn durch die Spei­che­rung und Ver­ar­bei­tung der Daten außer­halb des Unter­neh­mens wird dem Cloud-Nut­zer ins­bes. bei einem Daten­ver­lust jede Kon­troll­mög­lich­keit entzo­gen.

Im Sep­tem­ber 2017 hat das Bun­de­s­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) einen „Anfor­de­rungs­ka­ta­log Cloud-Com­pu­ting (C5)“ (Cloud Com­pu­ting Com­p­li­ance Con­trols Cata­lo­gue, kurz C5) mit Kri­te­rien zur Beur­tei­lung der Infor­ma­ti­ons­si­cher­heit von Cloud-Diens­ten ver­öf­f­ent­licht. Die­ser soll über­wie­gend Cloud-Anbie­tern aber auch Cloud-Nut­zern sowie deren Wirt­schafts­prü­fern einen ein­heit­li­chen und all­ge­mein aner­kann­ten Rah­men zur Sicher­stel­lung sowie Beur­tei­lung der Sicher­heit im Cloud-Com­pu­ting an die Hand geben. Die ein­zel­nen Anfor­de­run­gen des Kata­logs sind inhalt­lich auf Grund­lage natio­nal und inter­na­tio­nal eta­b­lier­ter Stan­dards for­mu­liert wor­den

Hin­weis

Der Nach­weis, dass ein Cloud-Anbie­ter die Anfor­de­run­gen die­ses Kata­logs ein­hält, wird durch einen sog. SOC 2-Bericht (Ser­vice Orga­niza­tion Con­trol 2-Berichte) erbracht. Die­ser basiert auf den inter­na­tio­nal aner­kann­ten Beschei­ni­gungs­stan­dards ISAE 3000/ISAE 3402 bzw. IDW PS 860/ IDW PS 951, die von Wirt­schafts­prü­fern ver­wen­det wer­den.



nach oben