Die EBA hat Empfehlungen zur Auslagerung an Cloud-Anbieter erstellt.
Cloud-Computing bezeichnet das dynamisch an den Bedarf des Cloud-Nutzers angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netzwerk (Internet oder Intranet). Cloud-Anbieter decken dabei das komplette Spektrum der IT ab und stellen u. a. Infrastruktur (wie z. B. Speicherplatz oder Rechenleistung), Plattformen und Anwendersoftwarelösungen zur Verfügung.
Die Nutzung von Cloud-Lösungen gleicht i. d. R. der klassischen IT-Auslagerung. Ob es sich dabei aufsichtsrechtlich um eine wesentliche Auslagerung i. S. d. MaRisk (Kreditinstitute) bzw. Ausgliederung einer gewichtigen Funktion i. S. d. MaGo (Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen) handelt, haben die beaufsichtigten Unternehmen im Rahmen einer Risikoanalyse zu beurteilen.
Hinweis
Cloud-Lösungen, die sich auf Servern des Unternehmens befinden und für dessen Management und Betrieb die unternehmenseigene IT-Abteilung zuständig ist, stellen keine Auslagerung bzw. Ausgliederung an Cloud-Anbieter dar. In solchen Fällen gelten lediglich die üblichen Regelungen zur Informationssicherheit.
Besondere Anforderungen an die Auslagerung bzw. Ausgliederung an Cloud-Anbieter durch beaufsichtigte Unternehmen ergeben sich insbesondere dadurch, dass die Cloud-Anbieter i. d. R. nicht selbst der Aufsicht unterstehen. Zudem haben viele Cloud-Anbieter ihren Firmensitz in Staaten außerhalb der EU. Auch der hohe Standardisierungsgrad der Cloud-Lösungen, deren Details dem Cloud-Nutzer nicht immer bekannt sind, stellt eine besondere Herausforderung dar. Vor diesem Hintergrund können aufsichtsrechtliche Anforderungen an die Auslagerung bzw. Ausgliederung an Cloud-Anbieter ausschließlich vertraglich durchgesetzt werden.
EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter
Um einen einheitlichen bankaufsichtlichen Rahmen in der EU zu schaffen, hatte die Europäische Bankenaufsichtsbehörde (EBA) ihre Erwartungen an nationale Bankaufsichtsbehörden und CRR-Institute in Form von „Empfehlungen zur Auslagerung an Cloud-Anbieter“ (EBA/Rec/2017/03) zusammengefasst und am 18.5.2017 zur Konsultation gestellt. Die EBA-Empfehlungen konkretisieren und spezifizieren die vom Ausschuss der Europäischen Bankaufsichtsbehörden (CEBS) entwickelten „Leitlinien zum Outsourcing“ vom 14.12.2016 und richten sich generell an alle Auslagerungen (auch als nicht wesentlich i. S. d. MaRisk eingestufte) an Cloud-Anbieter.
Wesentliche Punkte der EBA-Empfehlungen sind:
- Materialität und Wesentlichkeit: Bei der Beurteilung der Wesentlichkeit der Auslagerung sind zusätzliche Kriterien zu berücksichtigen, u.a. die Kritikalität und das inhärente Risikoprofil der auszulagernden Tätigkeit, die potentiellen Auswirkungen von Verletzungen der Vertraulichkeitspflicht und Datensicherheit auf das Institut und seine Kunden, direkte operationelle Auswirkung von IT-Ausfällen und damit zusammenhängend die Rechts- und Reputationsrisiken.
- Informationspflicht: Der Aufsichtsbehörde sind weitere Informationen zur Verfügung zu stellen, u.a. verpflichtende Informationen über wesentliche Auslagerungen, ggf. Informationen über die durchgeführte Risikoanalyse, Vorhalten eines aktuellen Informationsverzeichnisses mit diversen Mindestangaben über alle Auslagerungen an Cloud-Dienstleister.
- Inhalte des Auslagerungsvertrages: Verpflichtende Inhalte sind u. a. besondere Anforderungen an die Zugriffs-, Zutritts- und Prüfrechte für die Institute und die Aufsichtsbehörden, an die Sicherheit von Daten und Systemen sowie an die Weiterverlagerung.
- Standort der Datenspeicherung und -verarbeitung: Die Auswahl des Standortes des Cloud-Anbieters hat risikobasiert zu erfolgen, insbesondere wenn der Firmensitz des Cloud-Anbieters außerhalb des EWR ist.
- Notfallmanagement: Besondere Anforderungen an das Notfallmanagement und den Test von Notfallplänen sowie an die Exitstrategie und insbesondere an die Löschpflicht.
Die endgültigen „Empfehlungen zur Auslagerung an Cloud-Anbieter“ wurden durch die EBA am 28.3.2018 veröffentlicht und wurden nun zum 1.7.2018 wirksam.
Hinweis
Die EBA-Empfehlungen sind zwar rechtlich nicht verbindlich, die nationalen Aufsichtsbehörden unterliegen allerdings der sog. „comply or explain“-Pflicht. Die BaFin hat in ihrem Journal Januar 2018 angekündigt, dass sie die EBA-Empfehlungen unter Veröffentlichung einer Orientierungshilfe für die beaufsichtigten Unternehmen umsetzen wird.
BaFin-Orientierungshilfe zu Cloud-Computing
Die beaufsichtigten Kreditinstitute und Versicherungsunternehmen haben bei der Vertragsgestaltung von wesentlichen Auslagerungen bzw. Ausgliederungen an Cloud-Anbieter bereits umfassende aufsichtsrechtliche Anforderungen zu beachten. Als Stichworte können hier § 25b KWG, AT 9 MaRisk und die BAIT (Bankaufsichtliche Anforderungen an die IT) bzw. § 7 Nr. 2 VAG, Abschnitt 13 MaGo und die nun seit dem 2.7.2018 vorliegenden VAIT (Versicherungsaufsichtliche Anforderungen an die IT) genannt werden.
Aufgrund des im Rahmen von Gesprächen mit beaufsichtigten Unternehmen festgestellten Konkretisierungsbedarfs der aufsichtsrechtlichen Anforderungen an die Nutzung von Cloud-Diensten plant die BaFin, im Laufe des Jahres 2018 dem „comply or explain“-Verfahren folgend, eine Orientierungshilfe zu veröffentlichen. Im Vorgriff darauf hat sie im BaFin-Journal April 2018 bereits einige aus ihrer Sicht wesentliche Aspekte zusammengefasst.
Von besonderer Relevanz für die BaFin ist die angemessene vertragliche Regelung von uneingeschränkten Informations- und Prüfungsrechten für die interne und externe Revision des beaufsichtigten Unternehmens. Insbesondere dürfen diese Rechte nicht durch gestufte Informations- und Prüfungsverfahren, Zugrifferlaubnis nur auf standardisierte Prüfungsberichte des Cloud-Anbieters, Einschränkung des Zugangs zu Geschäftsräumen, Rechenzentralen, Servern und Mitarbeitern des Cloud-Anbieters, etc. eingeschränkt werden.
Zur Sicherstellung einer effektiven Gestaltung von Prüfungen bei Cloud-Anbietern akzeptiert die BaFin künftig auch sog. Sammelprüfungen. Hierbei werden die Prüfungsressourcen gebündelt und die Prüfungen von der Internen Revision eines oder mehrerer auslagernden Unternehmen oder von einem gemeinsam beauftragten Dritten vorgenommen, sofern die Revisionstätigkeit die Anforderungen der AT 4.4.3 und BT 2 MaRisk erfüllt. Sammelprüfungen dürfen dabei nicht zur Einschränkung der Prüfungsrechte der auslagernden Unternehmen führen.
Darüber hinaus sind auch uneingeschränkte Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der Aufsicht, insbesondere Vor-Ort-Prüfungen vertraglich zu verankern. Deren Durchführung darf ebenfalls nicht eingeschränkt und insbesondere nicht von der wirtschaftlichen Zumutbarkeit für den Cloud-Anbieter abhängig gemacht werden.
Exkurs: Anforderungen an die Informationssicherheit und an den Datenschutz
Die Nutzung einer Cloud-Lösung ist das klassische Beispiel einer datenschutzrechtlichen Auftrags(daten)verarbeitung. Der Cloud-Nutzer ist Auftraggeber und Verantwortlicher i. S. d. Datenschutzgrundverordnung (DSGVO), nämlich die Stelle, die über Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Der Cloud-Anbieter ist Auftragnehmer und Auftragsverarbeiter i. S. d. DSGVO, nämlich die Stelle die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierbare natürliche Person (betroffene Person) beziehen.
Die seit dem 25.5.2018 geltende DSGVO verpflichtet (im Gegensatz zur alten Rechtslage) nicht mehr nur den Verantwortlichen (Cloud-Nutzer) sondern auch den Cloud-Auftragsverarbeiter (Anbieter). Sowohl Cloud-Nutzer als auch Cloud-Anbieter müssen Maßnahmen implementieren, die den Vorgaben der DSGVO Rechnung tragen. Diese sind u.a.:
- Rechenschaftspflicht: Für die Einhaltung der Datenschutz-Anforderungen ist nicht mehr nur der Cloud-Nutzer verantwortlich. Der Cloud-Nutzer muss entsprechende Nachweise vorhalten, bspw. durch Aufnahme in sein Verzeichnis der Verarbeitungstätigkeiten und ggf. Durchführung einer Datenschutzfolgenabschätzung. Auch der Cloud-Anbieter als Auftragsverarbeiter muss nun bspw. ein Verzeichnis der Verarbeitungstätigkeiten führen und den Verantwortlichen bei der Einhaltung seiner Datenschutz-Anforderungen bzgl. der Auftragsverarbeitung unterstützen (Art. 28, 30, 32 bis 36 DSGVO).
- TOMs: Cloud-Anbieter haben hinreichende Nachweise dafür zu erbringen, dass sie im Einklang mit den Anforderungen der DSGVO geeignete technische und organisatorische Maßnahmen (TOMs) für die Durchführung der Datenverarbeitung implementiert haben und dass sie den Schutz der Rechte der betroffenen Personen (Kunde, Mitarbeiter) gewährleisten (Art. 28 DSGVO).
Hinweis
Neu unter der DSGVO ist die Möglichkeit zur Heranziehung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder Zertifizierungsverfahren (Art. 42 DSGVO), um die erforderlichen Nachweise erbringen zu können.
- Dokumentations- und Informationspflichten: Die gemeinsamen Regeln für die Datenverarbeitung sind zwischen dem Cloud-Dienstleister und -Nutzer vertraglich festzulegen, u. a. dokumentierte Weisung für die Datenverarbeitung sowie deren Einhaltung, Kompetenzregelungen, Meldewege für Datenpannen, Löschpflicht, etc. (Art. 28 DSGVO).
- Datenschutz und Speicherort: Der Cloud-Nutzer muss sich im Vorfeld über die Datenschutzmaßnahmen und den Speicherort der Daten kundig machen, denn gemäß der DSGVO dürfen personenbezogene Daten von EU-Bürgern nicht in einem Staat aufbewahrt werden, dessen Datenschutzregeln nicht den geltenden EU-Mindeststandards entsprechen.
Hinweis
Cloud-Nutzer sollten Daten bereits vor der Migration in die Cloud verschlüsseln und sich nicht ausschließlich auf die Verschlüsselung des Cloud-Dienstleisters verlassen, denn durch die Speicherung und Verarbeitung der Daten außerhalb des Unternehmens wird dem Cloud-Nutzer insbes. bei einem Datenverlust jede Kontrollmöglichkeit entzogen.
Im September 2017 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) einen „Anforderungskatalog Cloud-Computing (C5)“ (Cloud Computing Compliance Controls Catalogue, kurz C5) mit Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten veröffentlicht. Dieser soll überwiegend Cloud-Anbietern aber auch Cloud-Nutzern sowie deren Wirtschaftsprüfern einen einheitlichen und allgemein anerkannten Rahmen zur Sicherstellung sowie Beurteilung der Sicherheit im Cloud-Computing an die Hand geben. Die einzelnen Anforderungen des Katalogs sind inhaltlich auf Grundlage national und international etablierter Standards formuliert worden
Hinweis
Der Nachweis, dass ein Cloud-Anbieter die Anforderungen dieses Katalogs einhält, wird durch einen sog. SOC 2-Bericht (Service Organization Control 2-Berichte) erbracht. Dieser basiert auf den international anerkannten Bescheinigungsstandards ISAE 3000/ISAE 3402 bzw. IDW PS 860/ IDW PS 951, die von Wirtschaftsprüfern verwendet werden.