Mindestanforderungen an das Risikomanagement (MaRisk)

6. MaRisk-Novelle und Auswirkungen auf Auslagerungsunternehmen


Mindestanforderungen an das Risikomanagement: 6. MaRisk-Novelle und Auswirkungen auf AuslagerungsunternehmenNews

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die nunmehr 6. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Die neue Fassung ist mit der Veröffentlichung in Kraft getreten.

Die MaRisk stellen eine sogenannte norminterpretierende Verwaltungsvorschrift dar und präzisieren Anforderungen aus dem Kreditwesengesetz (KWG) an das Risikomanagement.

Mittelbarer Geltungsbereich der MaRisk auch für Nicht-Institute

Zwar gelten die MaRisk unmittelbar nur für Kredit- und Finanzdienstleistungsinstitute im Sinne des KWG. Allerdings sind auch (mittelständische) Unternehmen, die bereits heute als Dienstleister (Auslagerungsunternehmen) für auslagernde Institute agieren bzw. künftig agieren werden, mittelbar von den MaRisk betroffen. Hintergrund ist, dass die MaRisk durch die Institute und über vertragliche Vorgaben der Institute auch von den Auslagerungsunternehmen einzuhalten sind.

Neuerungen durch die MaRisk-Novelle

Dieser Artikel stellt die wesentlichen Änderungen der neuen MaRisk-Novelle für (mittelständische) Auslagerungsunternehmen inklusive Handlungsbedarf und Umsetzungszeitpunkt dar. Zentrale Vorschrift für die nachfolgenden Ausführungen ist das überarbeitete Modul "AT 9 Auslagerung" der MaRisk.

Neue Mindestinhalte und Konkretisierungen für Auslagerungsverträge

Bereits bisher galt, dass zwischen einem Institut und einem Auslagerungsunternehmen dann ein Auslagerungsvertrag zu schließen ist, wenn das Institut auf Grundlage einer Risikoanalyse das Auslagerungsunternehmen als „wesentliche Auslagerung“ eingestuft hat. Der Katalog der Mindestinhalte eines solchen Auslagerungsvertrages wurde um sechs neue Anforderungen erheblich und wie folgt erweitert:

  • Datum des Beginns und ggf. des Endes der Auslagerungsvereinbarung
  • Das geltende Recht für die Auslagerungsvereinbarung (sofern von deutschem Recht abweichend)
  • Standorte der Leistungserbringung durch das Auslagerungsunternehmen und / oder wo maßgebliche Daten gespeichert und verarbeitet werden. Das Auslagerungsunternehmen muss dem auslagernden Institut zudem einen Standortwechsel anzeigen.
  • Für die einzelnen Leistungen des Auslagerungsunternehmens müssen Service Levels mit eindeutig festgelegten Leistungszielen definiert werden.
  • Soweit zutreffend, dass das Auslagerungsunternehmen für bestimmte Risiken einen Versicherungsnachweis vorzulegen hat
  • Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten

Zusätzlich zu diesen neuen Mindestinhalten konkretisiert die BaFin folgende bereits bestehende vertragliche Mindestinhalte:

  • Kündigungsrechte: Das Auslagerungsunternehmen sollte für den Fall einer Kündigung des Auslagerungsvertrags verpflichtet werden, das Institut bei der Übertragung der ausgelagerten Aktivität bzw. des ausgelagerten Prozesses an ein anderes Auslagerungsunternehmen oder ihre bzw. seine Reintegration in das Institut zu unterstützen.
  • Sonstige Sicherheitsanforderungen: Zu diesen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z. B. bei Rechenzentren) sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen. Die Einhaltung dieser Anforderungen ist fortlaufend zu überwachen.

Handlungsbedarf: Bestehende Auslagerungsverträge mit den Instituten sind anzupassen. Hierzu wird sich regelmäßig das Auslagerungsmanagement des Instituts an das Auslagerungsunternehmen wenden.

Zusätzliche vertragliche Anforderungen für nicht wesentliche Auslagerungen

Die Mindestinhalte des Auslagerungsvertrags nach AT 9 Tz. 7 MaRisk gelten - wie bereits dargelegt - nur für als wesentlich eingestufte Auslagerungen. Die MaRisk-Novelle sieht nunmehr vor, dass bestimmte Mindestinhalte auch bei nicht wesentlichen Auslagerungen mit dem Auslagerungsunternehmen vereinbart werden sollen:

  • Informations- und Prüfungsrechte von Prüfern des Instituts sowie der zuständigen Behörden: Dies soll jedoch nur gelten, sofern abzusehen ist, dass das Auslagerungsunternehmen in naher oder mittlerer Zukunft wesentlich werden kann.
  • Regelungen zur Sicherstellung der Einhaltung sonstiger Sicherheitsanforderungen. Zu diesen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z. B. bei Rechenzentren) sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen. Die Einhaltung dieser Anforderungen ist fortlaufend zu überwachen.

Handlungsbedarf: Es bleibt abzuwarten, ob und inwieweit Institute von diesen Neuregelungen in den Verträgen Gebrauch machen werden. Es ist jedoch davon auszugehen, dass bislang nicht wesentliche Auslagerungen zukünftig stärker in den Fokus von Instituten und deren Prüfern und den zuständigen Behörden geraten. Auslagerungsunternehmen sollten im Rahmen einer GAP-Analyse vor allem ihre Regelungen zur IT-Sicherheit überprüfen und entsprechend dokumentieren, um die sonstigen Sicherheitsanforderungen zu erfüllen.

Laufende Überwachung der Leistung des Auslagerungsunternehmens

Das Institut hat die mit Auslagerungen verbundenen Risiken angemessen zu steuern und die Ausführung der ausgelagerten Aktivitäten und Prozesse ordnungsgemäß zu überwachen. Die MaRisk-Novelle sieht nunmehr erhöhte Pflichten an eine laufende Überwachung der Leistung des Auslagerungsunternehmens bei wesentlichen Auslagerungen anhand bestimmter Kriterien (z. B. Key Performance Indicators, Key Risk Indicators) und vertraglich vereinbarter Informationen des Auslagerungsunternehmens vor. Diese Kriterien müssen entsprechend bereits bei der Definition der Service Levels festgelegt worden sein. Die Qualität der erbrachten Leistungen ist regelmäßig zu beurteilen.

Handlungsbedarf: Vor der Anpassung der bestehenden Auslagerungsverträge sollten Auslagerungsunternehmen proaktiv vorab mögliche Key Performance Indicators (KPI) und Key Risk Indicators (KRI) definieren. Bei den Key Risk Indicators als Frühwarnindikatoren für Veränderungen im Risikoprofil des Unternehmens empfiehlt es sich beispielsweise, die jeweiligen Risikotreiber zzgl. der Eintrittswahrscheinlichkeit und dem Auswirkungsmaß zu identifizieren. Die Identifizierung von Key Performance Indicators hingegen kann dazu führen, dass unternehmensinterne Prozesse angepasst werden müssen, um die KPI zu erfüllen.

Umsetzungszeitpunkt

Für die praktische Umsetzung der neuen Anforderungen gilt eine Übergangsfrist bis zum 31. Dezember 2021. Zur Anpassung bereits bestehender oder gerade ausgehandelter Auslagerungsverträge besteht eine Umsetzungsfrist bis zum 31. Dezember 2022.

Fazit

Die Anforderungen an Auslagerungsunternehmen sind mit der 6. MaRisk-Novelle wie erwartet deutlich gestiegen. Soweit noch nicht geschehen, sollten sich Auslagerungsunternehmen zeitnah und proaktiv mit den Neuerungen auseinandersetzen, um in den Dialog mit den Instituten gehen zu können. 

Autor:
Christian Holtmann, Steuerberater und Associate Partner bei Rödl & Partner
Christian Holtmann
, Steuerberater und Associate Partner bei Rödl & Partner

 

[ Bildquelle Titelbild: Adobe Stock.com / photon_photo ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.