BaFin Rundschreiben 11/2021 (BA) Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Themenbereich Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Zeitplan & Rechtliche Grundlagen, wesentliche Inhalte 

IT-Compliance FS 

Zeitplan und rechtliche Grundlagen 

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 16. August 2021 die „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) in der finalen Fassung veröffentlicht. Das Rundschreiben betrifft alle Zahlungs- und E-Geld-Institute im Sinne von § 1 Absatz 3 Zahlungsmittelgesetz (ZAG). Die ZAIT finden unmittelbar nach Veröffentlichung Anwendung. Die Aufsicht weist in Ihrem Anschreiben darauf hin, dass es einer allgemeinen Übergangsfrist insoweit nicht bedarf, weil die ZAIT bereits bestehende aufsichtsrechtliche Anforderungen ergänzend interpretieren. Es sollen jedoch die Übergangsfristen aus den EBA-Leitlinien entsprechende Anwendung finden. Damit ist davon auszugehen, dass in Bezug auf die Umsetzung der vertraglichen Anforderungen und die Erstellung des erforderlichen Auslagerungsregisters insoweit der
31. Dezember 2021 maßgebend ist.           

Die inhaltlichen Anforderungen der ZAIT orientieren sich an den IT-Anforderungen für Banken (BAIT) und beinhalten insbesondere die EBA Anforderungen aus den EBA Leitlinien für IKT und Sicherheitsrisikomanagement (GL/2017/17) sowie die EBA-Leitlinien zu Auslagerungen (GL 2019/02). Durch das separate Rundschreiben für Zahlungs- und E-Geld-Institute werden die IT-Anforderungen für diese Adressaten dem ZAG entsprechend bei gleichzeitiger Berücksichtigung des Proportionalitätsgrundsatzes konkretisiert. 

Wesentliche Inhalte der ZAIT zum Thema Auslagerungen

Die §§ 26, 27 ZAG enthalten zu §§ 25a, b KWG korrespondierende nationale gesetzliche Regelungen zu aufsichtsrechtlichen Anforderungen an Auslagerungen. Beide Regelungen weisen eine weitgehende Deckungsgleichheit auf. Ebenso wie nach § 25b Abs. 2 KWG muss nach § 26 ZAG ein Institut abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung von Aktivitäten und Prozessen auf ein anderes Unternehmen, die für die Durchführung von Zahlungsdiensten, E-Geld-Geschäften oder sonstigen nach diesem Gesetz institutstypischen Dienstleistungen wesentlich sind, einschließlich IT-Systeme, angemessene Vorkehrungen treffen, um übermäßige zusätzlichen Risiken zu vermeiden. Eine Auslagerung darf insoweit weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation beeinträchtigen (§ 27 ZAG). Insbesondere muss ein angemessenes und wirksames Risikomanagement der Institute gewährleisten, dass auch Risiken, die aus Auslagerungen sowie dem Bezug von IT-Dienstleistungen resultieren, angemessen in die Risikosteuerung einbezogen werden.

Abschnitt 9 der ZAIT interpretieren die bereits bestehenden aufsichtlichen Anforderungen nunmehr ergänzend in Bezug auf Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen. Hierzu zählen insbesondere in Bezug auf die Zulässigkeit, dass Auslagerungen generell nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen dürfen, d.h. Leitungsaufgaben nicht auslagerbar sind. Auslagerungen dürfen auch nicht dazu führen, dass das Institut nur noch als leere Hülle existiert. Entsprechend der europäischen Vorgaben zu Auslagerungen, ist durch das Institut sicherzustellen, dass das Auslagerungsunternehmen über die erforderliche Befugnis zur Leistungserbringung nach dem Recht seines Sitzstaates verfügt (z.B. erforderliche Erlaubnisse und Registrierungen) und die erforderliche Beaufsichtigung gewährleistet ist. Dies ist insbesondere bei Auslagerungen an Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) von besonderer Bedeutung. Insoweit muss auch der Ort der Leistungserbringung bekannt sein.  

Die Vorgaben zur Klassifizierung von Leistungsbezügen als Auslagerung in Abgrenzung von sonstigen Fremdbezug von IT-Dienstleistungen und der Sonderfall des Bezugs von Hard- und Software inkl. Unterstützungsleistungen, zur erforderlichen Durchführung einer Risikoanalyse vor Inanspruchnahme einer Dienstleistung inkl. Weiterverlagerung, der Berücksichtigung der Ergebnisse inkl. der Ableitung von risikomindernden Maßnahmen in der sich anschließenden Risikosteuerung inkl. Weiterverlagerung entsprechen auch hierzu weitgehend den Vorgaben im Bankensektor. Wie die MaRisk 2021 enthält Abschnitt 9 eine erweiterte Aufzählung der relevanten (neuen) Aspekte bei der Risikoanalyse. Hierzu zählen insbesondere auch, dass die Risikoanalyse berücksichtigt, inwieweit eine auszulagernde IT-Aktivität oder ein auszulagernder IT-Prozess innerhalb der Prozesslandschaft des Instituts als wesentlich einzustufen ist.

Auch in Bezug auf das Erfordernis einer schriftlichen Vereinbarung, der erforderlichen vertraglichen Verankerung von Zugangs-, Zutritts-, Informations-, Prüfungs- und Kontrollrechten der BaFin und der Prüfer des Instituts sowie den sonstigen Anforderungen (u.a. Spezifikation und Leistungsabgrenzung, Anwendbares Recht, Standorte, Informationsverpflichtung bei Standortwechsel,  Weisungsrechte, Dienstleistungsgüte inkl. Leistungsziele, Anforderung und Umsetzung von Notfallkonzepten, Weiterverlagerungen) besteht eine weitgehende inhaltliche Übereinstimmung  

mit den Vorgaben der MaRisk 2021 bzw. der EBA Leitlinie zu Auslagerungen.

Hervorzuheben sind die bei kleineren, weniger komplexen Instituten möglichen Erleichterungen in Bezug auf eine Berichterstattung (regelmäßig und anlassbezogen) im Rahmen einer Vorstandssitzung sowie wie im Bankensektor Erleichterungen bei gruppen- und verbundinternen Auslagerungen in Bezug auf die Erstellung und Anpassung der Risikoanalyse (Risikominderung unter bestimmten Voraussetzungen) sowie der Möglichkeit auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen bei gruppen- und verbundinternen IT-Aktivitäten und IT-Prozessen zu verzichten. Ebenso wie Banken haben Zahlungs- und E-Geldinstituten unter bestimmten Bedingungen die Möglichkeit, ein zentrales Auslagerungsmanagement auf Gruppen- bzw. Verbundebene einzurichten sowie die Möglichkeit einer zentralen Vorauswertung der Risikoberichterstattung.

Einen weitergehenden Überblick über relevanten Themen für das Dienstleistermanagement nach den neuen ZAIT, ausgewählte Themenfelder und PwC Handlungsempfehlungen erhalten Sie hier.

Erfahrungsberichte aus Prüfungen und Umsetzungsprojekten (EBA GL Outsourcing 2020/2021 inkl. Zahlungs- und E-Geld-Institute)

Angesichts der in den letzten Jahren auch für Zahlungs- und E-Geld-Institute national und international weiter gestiegenen Regulierung, der stetig steigenden und coronabedingt extrem stark angestiegenen (IT-) Auslagerungs- bzw. Leistungsbezugsvolumina, der erforderlichen Digitalisierungsoffensive im Finanzsektor (steigende Nutzung von Cloud Services im Finanzsektor) und nicht zuletzt auch im Hinblick auf die Neuerungen in § 26 ZAG gemäß dem Finanzmarktintegritätsstärkungsgesetz – FISG  2021 ist davon auszugehen, dass auch die in den ZAIT konkretisierten Anforderungen in Bezug auf Auslagerungen im Fokus aufsichtsrechtlicher Sonderprüfungen 2021/2022 stehen werden. Auch die aktuellen europäischen Überlegungen („Digital Operational Resilience Act for the Financial Sector- DORA“) Technologieunternehmen unter bestimmten Voraussetzungen unmittelbar der Aufsicht zu unterstellen, sollten Anlass sein, sich verstärkt mit dem IKT-Dienstleistermanagement auseinanderzusetzen.

PwC berät und unterstützt bundesweit Institute, darunter auch Zahlung- und E-Geld-Institute und Dienstleister sowie sektorübergreifend Versicherungen, Kapitalverwaltungsgesellschaften, Wertpapierhandelsunternehmen entlang des gesamten Sourcing-Lifecycles. Die bisherigen Projekte zeigen, dass abhängig vom jeweiligen Umsetzungsstand bzw. Reifegrad in den Instituten, Anpassungen an den bisherigen Vorgaben und Verfahren erforderlich werden, die Abhängigkeiten zu den jeweiligen Themenfeldern (z.B. Prozesse, Verträge) haben. Diese sind frühzeitig und gut geplant anzugehen. Überlegungen für eine Zentralisierung der Auslagerungssteuerung erfordern neben den zu beachtenden regulatorischen Anforderungen und nicht unerheblichen Auswirkungen auf bestehende Prozesse und Abläufe unternehmens- bzw. verbundübergreifende Akzeptanz. Auch hier zeigt unsere Praxiserfahrung, dass die jeweiligen Themen strukturiert und in der richtigen zeitlichen Abfolge anzugehen sind.

 Wie kann PwC Sie unterstützen? 

Eine besondere Herausforderung für Zahlungs- und E-Geld-Institute wird es sein, abhängig von Art, Umfang, Komplexität und Risikogehalt einer Auslagerung bzw. von (IT-) Dienstleistungen die institutsspezifisch jeweils erforderliche Governance vorzuhalten und Risiken aus dem Leistungsbezug von Dritten inkl. Risiken aus Weiterverlagerungen angemessen zu steuern sowie die Leistungserbringung ordnungsgemäß zu überwachen. Ein modernes und zukunftsorientiertes Dienstleistermanagement auch bei Zahlungs- und E-Geld-Instituten sollte in der Lage sein, alle Leistungsbezüge unabhängig von der Einstufung als Auslagerung, IT-Dienstleistung, sonstigen Non-IT-Fremdbezug oder Cloud Service entlang des Sourcing Lifecycles angemessen zu berücksichtigen. Unser Team unterstützt Sie gerne dabei, Ihren Reifegrad in Bezug auf ein aufsichtskonformes Auslagerungsmanagement zu erheben, etwaige Schwachstellen zu schließen, die aufsichtsrechtlich erforderliche angemessene Verbindung zu Ihrem Internen Kontrollsystem zu schaffen und dabei wertvolle Hinweise zu Effizienz und Automatisierungsgrad Ihrer Prozesse und Methoden zu geben.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.