EIOPA hat am 1. Juli 2019 ein Konsultationspapier zu Leitlinien für das Outsourcing an Cloud-Service-Provider veröffentlicht. Die Leitlinien sollen Klarheit und Transparenz darüber schaffen, wie die Outsourcing-Vorgaben der Richtlinie 2009/138/EG (Solvency II-Richtlinie), Delegierten Verordnung EU 2015/35 sowie der EIOPA Leitlinien zum Governance-System im Hinblick auf Ausgliederungen an Cloud-Service-Provider umzusetzen sind.

Hintergrund für die Veröffentlichung des Leitlinienentwurfs ist der bereits im Rahmen des FinTech Aktionsplan der Europäischen Kommission veröffentlichte Bericht „Outsourcing to the Cloud: EIOPA’s contribution to the European Commission FinTech Action Plan“ (siehe auch Blogbeitrag vom 27. März 2019) sowie die Ergebnisse des EIOPA InsurTech Roundtables. Die Ergebnisse der Analysen haben gezeigt, dass es weiteren Konkretisierungsbedarf bei der Auslegung der Anforderungen an Ausgliederungen im Hinblick auf Cloud-Computing gibt.

Bereits Ende 2018 gab es erste Veröffentlichungen zum Thema Cloud-Computing (siehe u.a. BaFin Merkblatt zu Auslagerungen an Cloud-Anbieter, Blogbeitrag vom 18. Dezember 2018 und FSI Policy Paper zur Regulierung und Überwachung von Clouds im Versicherungssektor, Blogbeitrag vom 7. Dezember 2018).

Die Leitlinien sollen nun eine einheitliche und konsistente Beaufsichtigung durch die Aufsichtsbehörden fördern.

Die Leitlinien umfassen folgende Bereiche:

• Kriterien zur Unterscheidung, ob Cloud-Services im Rahmen einer Ausgliederung berücksichtigt werden sollen
• Governance-Anforderungen an Cloud-Outsourcing, einschließlich Dokumentationspflichten sowie eine Auflistung der Informationen, die an die Aufsichtsbehörden gemeldet werden sollen
• „Pre-Outsourcing-Analysen“, einschließlich Materialitäts- und Risikobewertung sowie Sorgfaltspflichten gegenüber Dienstleistern (Due Diligence)
• Vertragliche Anforderungen
• Management von Zugriffs- und Überwachungsrechten; Daten- und Systemsicherheit; Sub-Outsourcing, Überwachung und Aufsicht von Cloud-Outsourcing sowie Exit-Strategien
• Grundsatzbasierte Vorschriften für nationale Aufsichtsbehörden zur Überwachung von Cloud Outsourcing-Vereinbarungen, falls anwendbar auch auf Gruppenebene

Kommentare können bis zum Ende der Konsultationsphase am 30. September 2019 über folgenden Link eingereicht werden.