de en
Nexia Ebner Stolz

Branchen

EBA finalisiert Leitlinien zu Auslagerungen

Am 25.2.2019 hat die Europäische Bankenaufsichtsbehörde (EBA) die bereits am 22.6.2018 zur Konsultation gestellten „Leitlinien zu Auslagerungen“ in ihrer finalen Fassung veröffentlicht (EBA/GL/2019/02).

Die wich­tigs­ten Ände­run­gen, ins­be­son­dere im Ver­g­leich zu den der­zeit gel­ten­den Min­de­st­an­for­de­run­gen an das Risi­ko­ma­na­ge­ment (MaRisk) wer­den auf­ge­grif­fen.

EBA finalisiert Leitlinien zu Auslagerungen© iStock

Har­mo­ni­sie­rung der Rege­lun­gen

Um einen har­mo­ni­sier­ten Rah­men für Aus­la­ge­run­gen auf EU-Ebene zu schaf­fen, wur­den u. a. die spe­zi­fi­schen Vor­ga­ben für Aus­la­ge­run­gen der Richt­li­nie (EU) Nr. 2015/2366 (Zweite Zah­lungs­di­ens­te­richt­li­nie, PSD II) sowie der Richt­li­nie 2014/65/EU (Richt­li­nie über Märkte für Finan­z­in­stru­mente, MiFID II) in den fina­len EBA-Leit­li­nien berück­sich­tigt. Die EBA-Emp­feh­lun­gen zu Aus­la­ge­run­gen an Cloud-Anbie­ter (EBA/Rec/2017/03, deut­sche Fas­sung vom 28.3.2018) wur­den zudem voll­stän­dig in die EBA-Leit­li­nien inte­griert. Auch die Euro­päi­sche Auf­sichts­be­hörde für das Ver­si­che­rungs­we­sen und die betrieb­li­che Alters­ver­sor­gung (EIOPA) ist aktu­ell dabei, die neuen EBA-Leit­li­nien auf das Ver­si­che­rungs­recht zu über­tra­gen. 

Hin­weis

Das Thema stellt einen wach­sen­den Schwer­punkt auch für die Euro­päi­sche Zen­tral­bank im Rah­men des auf­sicht­li­chen Über­prü­fungs- und Bewer­tung­s­pro­zes­ses (Super­vi­sory Review and Eva­lua­tion Pro­cess, SREP) dar.

Anwen­dungs­be­reich

Die neuen EBA-Leit­li­nien gel­ten künf­tig nicht nur für Kre­dit- und Finanz­di­enst­leis­tungs­in­sti­tute, son­dern auch für Zah­lungs- und E-Geld-Insti­tute.

Unter einer Aus­la­ge­rung ist dabei jede Ver­ein­ba­rung zu ver­ste­hen, nach der ein Dienst­leis­ter einen Pro­zess, eine Dienst­leis­tung oder eine Akti­vi­tät über­nimmt, die sonst durch das Insti­tut selbst vor­ge­nom­men würde. Damit zäh­len künf­tig auch Teil­pro­zesse, die durch Dritte über­nom­men wer­den, als Aus­la­ge­rung. Zur Abg­ren­zung wurde in die fina­len Leit­li­nien eine Nega­tiv-Liste mit Funk­tio­nen auf­ge­nom­men, deren Über­tra­gung auf Dritte grund­sätz­lich nicht als Aus­la­ge­rung betrach­tet wird.

Hin­weis

Rechts­be­ra­tung ist grund­sätz­lich keine Aus­la­ge­rung, es sei denn, es besteht eine enge Ver­bin­dung zum Bank­ge­schäft, wie z. B. bei der Gestal­tung all­ge­mei­ner Geschäfts­be­din­gun­gen. Die Wesent­lich­keit der Aus­la­ge­rung muss davon unab­hän­gig geprüft wer­den. Die Ver­t­re­tung des Insti­tuts vor Gericht ist nach wie vor auch keine Aus­la­ge­rung. Die Über­tra­gung einer Tätig­keit auf eine unselbst­stän­dige Nie­der­las­sung des Insti­tuts ist eben­falls keine Aus­la­ge­rung, da es auf­grund der Ein­bin­dung in die­selbe Rechts­per­sön­lich­keit an der Ver­trags­fähig­keit der Nie­der­las­sung fehlt. Hier gel­ten daher die all­ge­mei­nen Rege­lun­gen für die Anwen­dung der not­wen­di­gen Sorg­falt bei der Gestal­tung der Geschäft­s­pro­zesse sowie der Ana­lyse und dem Mana­ge­ment der ope­ra­tio­nel­len Risi­ken. Dies gilt auch bei der Aus­la­ge­rung auf Nie­der­las­sun­gen in Dritt­staa­ten. Es kommt daher nicht dar­auf an, dass sol­che Nie­der­las­sun­gen auf­sichts­recht­lich als eigen­stän­di­ges Insti­tut gel­ten.

Als kri­tisch oder wesent­lich wer­den Aus­la­ge­run­gen von Funk­tio­nen betrach­tet, die sich erheb­lich auf die Ein­hal­tung auf­sichts­recht­li­cher Pflich­ten, die Ertrags­kraft oder die regu­lier­ten Geschäfte des Insti­tuts aus­wir­ken kön­nen. Diese Defini­tion unter­schie­det sich von der der bis­he­ri­gen Leit­li­nien; sie wurde an die Defini­tion in MiFID II ange­passt. Neu ist, dass die Kri­te­rien für die Ein­ord­nung als kri­tisch/wesent­lich nun­mehr auch für grup­pen­in­terne Aus­la­ge­run­gen gel­ten.

Hin­weis

Bis­lang konn­ten bei grup­pen­in­ter­nen Aus­la­ge­run­gen wirk­same Vor­keh­run­gen, ins­be­son­dere ein ein­heit­li­ches und umfas­sen­des Risi­ko­ma­na­ge­ment auf Grup­pe­n­e­bene sowie Durch­griffs­rechte, risi­ko­m­in­dernd berück­sich­tigt wer­den, so dass die betref­fende Aus­la­ge­rung nicht mehr als wesent­lich ein­ge­stuft wer­den musste. Künf­tig müs­sen auch grup­pen­in­terne Aus­la­ge­run­gen anhand der Kri­te­rien unter­sucht und damit häu­fig den für kri­ti­sche/wesent­li­che Aus­la­ge­run­gen gel­ten­den ver­schärf­ten Anfor­de­run­gen unter­wor­fen wer­den. Bei grup­pen­in­ter­nen Aus­la­ge­run­gen ist zudem zu beach­ten, dass nun­mehr mög­li­che Inter­es­sen­kon­f­likte beson­ders beleuch­tet wer­den müs­sen.

Die EBA weist dar­auf hin, dass auch bei nicht kri­ti­schen/wesent­li­chen Aus­la­ge­run­gen ein wirk­sa­mes Risi­ko­ma­na­ge­ment ein­ge­rich­tet sein muss; das ist inso­weit nicht neu. Künf­tig sol­len jedoch auch für diese Aus­la­ge­run­gen u. a. ange­mes­sene Ver­trau­lich­keits- und Daten­schutz­re­ge­lun­gen sowie ein ange­mes­se­ner Infor­ma­ti­ons­aus­tausch mit dem Dienst­leis­ter beste­hen. Diese sind zudem eben­falls im Aus­la­ge­rungs­re­gis­ter und in der Aus­la­ge­rungs­po­licy zu berück­sich­ti­gen, wel­che wir wei­ter unten erläu­tern.

Insti­tuts­grup­pen müs­sen die Anfor­de­run­gen im auf­sichts­recht­li­chen Kon­so­li­die­rungs­kreis umset­zen. Damit ent­fal­ten sie mit­tel­bar auch Wir­kung bei Finan­z­in­sti­tu­ten, die selbst nicht erlaub­nispf­lich­tige Tätig­kei­ten aus­füh­ren.

Sofern ein Wai­ver nach § 2a KWG i. V. m Art. 7 CRR gewährt wurde, d.h. wenn Toch­ter­un­ter­neh­men von beauf­sich­ti­gen EU-Mut­ter­un­ter­neh­men von der Anwen­dung bestimm­ter auf­sichts­recht­li­cher Rege­lun­gen aus­ge­nom­men sind, erst­reckt sich der Anwen­dungs­be­reich auf das Mut­ter­un­ter­neh­men, das die Anfor­de­run­gen auf kon­so­li­dier­ter Basis umset­zen muss. Auf Insti­tuts­e­bene blei­ben die Geschäfts­lei­ter in jedem Fall für die ord­nungs­mä­ß­ige Abwick­lung der Geschäfte unter Berück­sich­ti­gung auf­sichts­recht­li­cher Anfor­de­run­gen ver­ant­wort­lich. Sie müs­sen bei zen­tra­li­sier­ten Kon­troll­funk­tio­nen sicher­s­tel­len, dass diese ihre Auf­ga­ben effek­tiv erfül­len und ange­mes­sene Berichtspf­lich­ten in Bezug auf Aus­la­ge­run­gen ein­ge­rich­tet sind.

Hin­weis

Selbst, wenn kein Wai­ver besteht, jedoch Grup­pen­un­ter­neh­men ggf. zen­tral in die Über­wa­chung und das (Risiko)Mana­ge­ment der Aus­la­ge­run­gen ein­be­zo­gen wer­den, gilt zusätz­lich, dass die Insti­tute gleich­wohl zen­tral ers­tellte Risi­ko­ana­ly­sen und Aus­la­ge­rungs­re­gis­ter über­prü­fen soll­ten. Bei kri­ti­schen/wesent­li­chen Aus­la­ge­run­gen soll­ten sie zudem (zumin­dest jähr­lich) Berichte mit Zusam­men­fas­sun­gen von Risi­ko­ein­schät­zung, Leis­tungs­kon­trolle sowie von rele­van­ten Prü­fungs­be­rich­ten der Inter­nen Revi­sion und des Abschluss­prü­fers erhal­ten.  Dar­über hin­aus sind auch Busi­ness Con­ti­nuity und Exit­pläne zu kon­trol­lie­ren. 

Neue Rege­lun­gen im Ver­g­leich zu den gel­ten­den MaRisk

Die EBA-Leit­li­nien grei­fen auch wie­der die Ein­rich­tung einer Aus­la­ge­rungs­funk­tion (zen­tra­les Aus­la­ge­rungs­ma­na­ge­ment) auf. Sie stel­len aber klar, dass sich kleine und nicht kom­plexe Insti­tute dar­auf beschrän­ken kön­nen, die Ver­ant­wort­lich­kei­ten für Mana­ge­ment und Über­wa­chung der Aus­la­ge­run­gen fest­zu­le­gen und im Übri­gen die Aus­la­ge­rungs­funk­tion durch einen Geschäfts­lei­ter erfül­len zu las­sen. Grund­sätz­lich ist zu beach­ten, dass der Aus­la­ge­rungs­be­auf­tragte zen­tral orga­ni­siert und von den Fach­be­rei­chen (1st Line of defense) unab­hän­gig sein soll.

Gem. AT 5 Abschnitt 3 Buchst. f der MaRisk war es auch bereits bis­her not­wen­dig, Rege­lun­gen zu Ver­fah­rens­wei­sen bei wesent­li­chen Aus­la­ge­run­gen fest­zu­hal­ten. Neu ist, dass es eine sol­che Aus­la­ge­rungs­po­licy nun­mehr auch für nicht kri­ti­sche/wesent­li­che Aus­la­ge­run­gen geben muss. Zudem sch­rei­ben die Lei­li­nien umfang­rei­che Min­des­tin­halte für die Policy vor. Neben der Ver­ant­wort­lich­keit und Betei­li­gung der Geschäfts­lei­tung ins­be­son­dere bei kri­ti­schen/wesent­li­chen Aus­la­ge­run­gen sind auch die Betei­li­gung der Geschäfts­be­rei­che und Kon­troll­funk­tio­nen zu besch­rei­ben. Zur Aus­la­ge­rungs­pla­nung sind die Frei­ga­be­ver­fah­ren bei neuen Aus­la­ge­run­gen dar­zu­s­tel­len, die geschäft­li­chen Anfor­de­run­gen an die Aus­la­ge­run­gen zu defi­nie­ren, Kri­te­rien für die Ein­ord­nung als kri­ti­sche/wesent­li­che Aus­la­ge­rung fest­zu­le­gen und Risi­ken zu iden­ti­fi­zie­ren sowie zu beur­tei­len. Außer­dem müs­sen Maß­nah­men für ihr Mana­ge­ment vor­ge­se­hen, Regeln für die Due Dili­gence mög­li­cher Dienst­leis­ter bestimmt, Merk­male für das Beste­hen und das Mana­ge­ment von Inter­es­sen­kon­f­lik­ten dar­ge­s­tellt, Pla­nun­gen für die Auf­rech­t­er­hal­tung des Geschäfts­be­trie­bes auf­ge­setzt und ein Kün­di­gungs- und Exit-Plan für kri­ti­sche/wesent­li­che Aus­la­ge­run­gen doku­men­tiert wer­den.

Hin­weis

Ins­be­son­dere die Pflicht zur Beur­tei­lung von poten­ti­el­len Inter­es­sen­kon­f­lik­ten ist neu und spielt einer­seits bei grup­pen­ei­ge­nen Unter­neh­men, aber ande­rer­seits auch bei der Beauf­tra­gung von Dienst­leis­tern, die meh­rere Kon­troll­funk­tio­nen über­neh­men, eine Rolle. Nach gel­ten­der Pra­xis kann es bei einem Dienst­leis­ter, der mit­ein­an­der unve­r­ein­bare Rol­len, ins­be­son­dere die Durch­füh­rung der Inter­nen Revi­sion neben einer oder meh­re­rer ande­ren Dienst­leis­tun­gen oder Funk­tio­nen inne­hat, aus­rei­chen, dass er wirk­same Chi­nese Walls ein­rich­tet. Bei Aus­la­ge­run­gen inn­er­halb von Grup­pen sind ins­be­son­dere klas­si­sche Matrix-Orga­ni­sa­tio­nen bzw. sol­che Orga­ni­sa­ti­ons­for­men zu unter­su­chen, bei denen maß­geb­li­che Steue­rungs- und Ent­schei­dungs­kom­pe­ten­zen im Aus­land ange­sie­delt sind. Tests von Exit-Plä­nen sind nicht für sämt­li­che Aus­la­ge­run­gen erfor­der­lich. Es wird aber zumin­dest erwar­tet, dass sie gedank­lich durch­ge­spielt wer­den. Wich­tig ist zudem, dass Aus­la­ge­run­gen bzw. deren Exits eine denk­bar not­wen­dige Maß­nahme unter der Richt­li­nie 2014/59/EU (Abwick­lungs­richt­li­nie, BRRD), wie etwa einen Teil­ver­kauf, nicht hem­men.

Zum Aus­la­ge­rungs­moni­to­ring und -mana­ge­ment ist fest­zu­hal­ten, wie die Leis­tung des Dienst­leis­ters lau­fend gemes­sen wird; dane­ben sind Pro­zesse für die Berich­t­er­stat­tung des Dienst­leis­ters sowie die Infor­ma­tion durch ihn bei Ände­run­gen der Leis­tung­s­er­brin­gung zu regeln. Fer­ner sind Maß­nah­men für die Über­wa­chung der Ein­hal­tung recht­li­cher Anfor­de­run­gen und Orga­ni­sa­ti­ons­re­geln zu imp­le­men­tie­ren. Sch­ließ­lich sind die Pro­zesse um Rege­lun­gen für die Ver­län­ge­rung von Aus­la­ge­rungs­ver­trä­gen zu erwei­tern.

Hin­weis

Mög­li­che Risi­ken aus Aus­la­ge­run­gen wer­den häu­fig den ope­ra­tio­nel­len, ggf. auch Repu­ta­ti­ons­ri­si­ken zuge­rech­net und sind im Rah­men einer (Vor-)Ana­lyse zu erhe­ben und zu bewer­ten. Die Auf­sichts­be­hörde erwar­tet zudem, dass geeig­nete Risi­kos­ze­na­rien hier­für ent­wi­ckelt wer­den, sofern die Risi­ko­si­tua­tion im Ein­zel­fall nicht als tri­vial ein­zu­stu­fen wäre. Zu über­le­gen ist daher, was pas­sie­ren würde, wenn eine Leis­tung über einen bestimm­ten Zei­traum nicht erbracht wird. Die Resul­tate sind bei klei­nen Insti­tu­ten qua­li­ta­tiv, bei grö­ße­ren auch quan­ti­ta­tiv dar­zu­s­tel­len und zu doku­men­tie­ren. Die Auf­sicht betont, dass auch bei nicht kri­ti­schen/wesent­li­chen Aus­la­ge­run­gen ope­ra­tio­nelle bzw. Repu­ta­ti­ons­ri­si­ken stets zu berück­sich­ti­gen sind. Dies gilt umso mehr, je näher die betref­fende Dienst­leis­tung an einer kri­ti­schen Aus­la­ge­rung ist.

Die Leit­li­nien ent­hal­ten eine Liste von Rege­lun­gen, die in die Aus­la­ge­rungs­ver­träge auf­zu­neh­men sind. Diese Auf­lis­tung geht über die bis­her gel­ten­den Min­de­st­re­ge­lun­gen hin­aus. Neben der Besch­rei­bung der aus­ge­la­ger­ten Funk­tio­nen, den Ser­vice Levels inkl. präzi­ser qua­li­ta­ti­ver und quan­ti­ta­ti­ver Ziele, Rege­lun­gen zu den finan­zi­el­len Pflich­ten der Ver­trag­s­par­teien sowie zu Unter­aus­la­ge­run­gen gibt es wei­tere Neue­run­gen. So sind neu das Land der Leis­tung­s­er­brin­gung, der Daten­ver­ar­bei­tung und -auf­be­wah­rung nebst Mit­tei­lungspf­licht bei Ände­run­gen sowie Rege­lun­gen zur Daten­si­cher­heit auch bei Insol­venz des Aus­la­ge­rungs­un­ter­neh­mens auf­zu­neh­men. Ver­trag­lich sind die Berichtspf­lich­ten des Aus­la­ge­rungs­un­ter­neh­mens, die Über­wa­chungs- und Prüf­rechte des Insti­tuts und die Pflicht zur Zusam­men­ar­beit mit Auf­sichts- und - neu­er­dings - auch Abwick­lungs­be­hör­den zu regeln. Sofern die auf­sicht­li­che Zusam­men­ar­beit mit Dritt­lands­be­hör­den nicht mög­lich ist und auch keine aus­rei­chen­den Prüf­rechte beste­hen, hat das zur Kon­se­qu­enz, dass in das betref­fende Land nicht aus­ge­la­gert wer­den kann.

Der Aus­la­ge­rungs­ver­trag soll auch ggf. Rege­lun­gen zu einer Ver­si­che­rungspf­licht des Aus­la­ge­rungs­un­ter­neh­mens auf­neh­men. Dane­ben sind Geschäfts­fort­füh­rungs­pläne ver­trag­lich zu imp­le­men­tie­ren und deren Tests vor­zu­se­hen. Der Ver­trag sollte zudem ein Anfangs­da­tum sowie ein End­da­tum bzw. ange­mes­sene Kün­di­gungs­rechte vor­se­hen. Bei CRR-Kre­di­t­in­sti­tu­ten ist außer­dem auf die Befug­nisse der Abwick­lungs­be­hörde ein­zu­ge­hen. Sch­ließ­lich ist - ins­be­son­dere im grenz­über­sch­rei­ten­den Aus­la­ge­rungs­ver­hält­nis - das anwend­bare Recht fest­zu­le­gen.

Hin­weis

Die Interne Revi­sion des Insti­tu­tes soll früh­zei­tig in die Pla­nung von Aus­la­ge­run­gen ein­be­zo­gen wer­den, um etwa Beden­ken hin­sicht­lich der Prüf­bar­keit eines Dienst­leis­ters recht­zei­tig plat­zie­ren zu kön­nen. Die eigent­li­che Prü­fung umfasst dann den Aus­la­ge­rung­s­pro­zess, die Risi­ko­be­wer­tung für Aus­la­ge­rungs­ve­r­ein­ba­run­gen und die Beach­tung von Limits für iden­ti­fi­zierte Ris­ken sowie die Ange­mes­sen­heit der Über­wa­chung und Ver­wal­tung von Aus­la­ge­rungs­ve­r­ein­ba­run­gen. Der Revi­si­ons­plan soll auch die Ange­mes­sen­heit der Daten­schutz­maß­nah­men, der ein­ge­rich­te­ten Kon­trol­len sowie der Risi­ko­ma­na­ge­ment- und Not­fall­maß­nah­men des Dienst­leis­ters ent­hal­ten. Es reicht als Kon­troll­maß­nahme nicht aus, sich ledig­lich Innen­re­vi­si­ons­be­richte des Aus­la­ge­rungs­un­ter­neh­mens schi­cken zu las­sen. Wenn die Aus­la­ge­rung nicht durch die eigene Interne Revi­sion in die Prü­fung ein­be­zo­gen wird, ist es mög­lich, bei einem Mehr­man­dan­ten­di­enst­leis­ter (etwa einem Cloud-Anbie­ter) ein Pool-Audit in Auf­trag zu geben. In die­sem Fall muss der Auf­trag jedoch von den Kun­den des Dienst­leis­ters erteilt wer­den. Die Auf­sichts­be­hörde geht davon aus, dass der Kunde dann mehr Rechte gegen­über dem Prü­fer gel­tend machen kann. Die eigene Interne Revi­sion des Dienst­leis­ters hätte dann nur noch die Rolle eines koor­di­nie­ren­den Ansp­rech­part­ners für den Prü­fer.

Die EBA-Leit­li­nien sta­tu­ie­ren die Pflicht, ein Aus­la­ge­rungs­re­gis­ter für sämt­li­che (also auch nicht kri­ti­sche/wesent­li­che) Aus­la­ge­run­gen zu füh­ren und aktu­ell zu hal­ten. Die Auf­sicht hat das Recht, bear­beit­bare elek­tro­ni­sche Aus­züge aus dem Regis­ter zu ver­lan­gen. Ein mög­li­ches, nicht ver­bind­li­ches Mus­ter für ein Regis­ter hat die EBA auf ihrer Web­site zur Ver­fü­gung ges­tellt. Sie behält sich vor, das Mus­ter im Laufe der Zeit an best practice anzu­pas­sen und wei­ter­zu­ent­wi­ckeln.

Der Min­des­tin­halt des Regis­ters umfasst

  • die Refe­renz­num­mer der Aus­la­ge­rung,
  • das Datum des Ver­trags­be­ginns und ggf. der Ver­trag­s­er­neue­rung,
  • das Datum des Ver­trag­s­en­des bzw. mög­li­che Kün­di­gungs­fris­ten,
  • eine kurze Besch­rei­bung der aus­ge­la­ger­ten Funk­tion,
  • die Kate­go­rie der aus­ge­la­ger­ten Funk­tion sowie
  • die Angabe über die Zustim­mung zur Über­mitt­lung per­so­nen­be­zo­ge­ner Daten.

Auf­zu­neh­men sind fer­ner Daten zum Dienst­leis­ter, das Land der Leis­tung­s­er­brin­gung und der Daten­spei­che­rung. Bei nicht kri­ti­schen/wesent­li­chen Aus­la­ge­run­gen sind eine Zusam­men­fas­sung der Gründe für die ent­sp­re­chende Ein­ord­nung und das Datum der letz­ten Wür­di­gung zu ergän­zen. Bei kri­ti­schen/wesent­li­chen Aus­la­ge­run­gen sind zusätz­lich die interne Stelle, die die Aus­la­ge­rung geneh­migt hat, Infor­ma­tio­nen zu Unter­auf­trag­neh­mern sowie die Angabe zur Ersetz­bar­keit des Dienst­leis­ters ein­sch­ließ­lich Namen alter­na­ti­ver Dienst­leis­ter, der mög­li­chen Rein­te­g­ra­tion oder der Aus­wir­kun­gen einer Been­di­gung anzu­ge­ben. Dane­ben ist dar­zu­le­gen, ob die Aus­la­ge­rung für zeit­lich kri­ti­sche Geschäfts­be­rei­che bzw. -vor­gänge bedeut­sam ist. Sch­ließ­lich ist auf­zu­füh­ren, wel­che Kon­zern­un­ter­neh­men den­sel­ben Dienst­leis­ter nut­zen, die geschätz­ten Kos­ten pro Jahr, das anwend­bare Recht sowie die letzte und nächste Prü­fung des Dienst­leis­ters.

Die EBA ver­langt dane­ben wei­tere Doku­men­ta­tio­nen sei­tens der Insti­tute, dar­un­ter die Beur­tei­lun­gen des Insti­tuts zur Risi­ko­si­tua­tion, zur Due Dili­gence bzgl. des Dienst­leis­ters, zur Über­wa­chung und zur Leis­tungs­mes­sung nebst der Ein­hal­tung von Ser­vice Levels sowie wei­te­rer recht­li­cher und sons­ti­ger Vor­ga­ben. Auch nach Been­di­gung einer Aus­la­ge­rung sind die Doku­men­ta­tio­nen für einen ange­mes­se­nen Zei­traum auf­zu­be­wah­ren.

Sch­ließ­lich kon­sti­tu­ie­ren die Leit­li­nien neue Anzei­gepf­lich­ten, für deren Umset­zung § 24 KWG wahr­schein­lich geän­dert wer­den muss. Insti­tute sol­len danach verpf­lich­tet wer­den, die Auf­sichts­be­hör­den recht­zei­tig über geplante kri­ti­sche/wesent­li­che Aus­la­ge­run­gen zu infor­mie­ren. Das betrifft auch beste­hende Aus­la­ge­run­gen, die im Laufe der Zeit kri­tisch/wesent­lich wer­den bzw. Ereig­nisse oder Ände­run­gen, die einen wesent­li­chen Ein­fluss auf die Erbrin­gung der Geschäft­stä­tig­kei­ten haben kön­nen. Die Anzeige bein­hal­tet zahl­rei­che Infor­ma­tio­nen, die auch in das Aus­la­ge­rungs­re­gis­ter auf­zu­neh­men sind.

Hin­weis

Wei­tere Anfor­de­run­gen kön­nen sich auch aus der BRRD erge­ben. Das ist immer dann der Fall, wenn aus­ge­la­gerte Berei­che für den Betrieb BRRD-kri­ti­scher Funk­tio­nen not­wen­dig sind.

Umset­zungs­fris­ten

Die neuen Leit­li­nien tre­ten grund­sätz­lich ab dem 30.9.2019 in Kraft. Bezüg­lich des neu zu füh­r­en­den Aus­la­ge­rungs­re­gis­ters und der not­wen­di­gen Anpas­sun­gen beste­hen­der Aus­la­ge­rungs­ver­träge beste­hen Über­gangs­fris­ten bis Ende 2021. Wenn jedoch ein Aus­la­ge­rungs­ver­hält­nis zu einem frühe­ren Zeit­punkt über­prüft oder ein Ver­trag aus ande­ren Grün­den geän­dert wer­den muss, erwar­tet die Auf­sicht des­sen Anpas­sung an die neuen Rege­lun­gen. Dies gilt selbst wenn es sich nur um eine gering­fü­g­ige Ände­rung han­delt.

Die BaFin hat ange­kün­digt, die neuen Rege­lun­gen in die MaRisk zu inte­grie­ren. Bevor diese nicht in aktua­li­sier­ter Fas­sung ver­öf­f­ent­licht sind, sind die Insti­tute nicht verpf­lich­tet, die neuen Rege­lun­gen anzu­wen­den. Eine Ent­wurfs­fas­sung für die MaRisk soll im ers­ten Quar­tal 2020 zur Kon­sul­ta­tion ges­tellt wer­den, mit der fina­len Fas­sung ist dem­nach nicht vor dem zwei­ten Quar­tal 2020 zu rech­nen.

Hin­weis

Die jähr­li­che, durch die MaRisk gefor­derte Regel­über­prü­fung ist nicht als Über­prü­fung des Ver­trags­ver­hält­nis­ses im o.g. Sinne zu ver­ste­hen, d.h. die Umset­zungs­frist bis 2021 kann inso­weit voll aus­ge­nutzt wer­den. Da sich erfah­rungs­ge­mäß Ver­trags­ver­hand­lun­gen hin­zie­hen kön­nen, ist jedoch zu emp­feh­len, recht­zei­tig damit zu begin­nen. Kann ein Insti­tut schon abse­hen, dass es die Frist für Ver­trags­än­de­run­gen Ende 2021 nicht hal­ten kann, sollte es die BaFin kon­tak­tie­ren. Das gilt auch, wenn bspw. ein Ver­trag ohne­hin 2022 aus­läuft und sich damit eine Ver­trags­an­pas­sung erüb­rigt.

nach oben