BaFin veröffentlicht Merkblatt zu Auslagerungen an Cloud-Anbieter

Die BaFin hat am 8. November 2018 ein Merkblatt zu Auslagerungen an Cloud-Anbieter veröffentlicht. Mit dieser Orientierungshilfe teilen die BaFin und die Deutsche Bundesbank ihre gemeinsame Einschätzung zur Auslagerung an Cloud-Anbieter mit.

Durch die Orientierungshilfe werden keine neuen Anforderungen gestellt, sondern die derzeitige aufsichtliche Praxis in solchen Auslagerungsfällen wiedergegeben (siehe auch Blog-Beitrag vom 7. Dezember 2018). Durch sie soll insbesondere die aufsichtliche Einschätzung zu verschiedenen Formulierungen in Vertragsklauseln transparent werden.

Die Orientierungshilfe verfolgt das Ziel, für die beaufsichtigten Unternehmen ein Problembewusstsein im Umgang mit Cloud-Diensten und den damit verbundenen aufsichtsrechtlichen Anforderungen zu schaffen. In diesem Zusammenhang weist die Orientierungshilfe auf wesentliche Aspekte hin, die beaufsichtigte Unternehmen bei einer Auslagerung an Cloud-Anbieter z.B. im Rahmen der Risikoanalyse und der vertraglichen Gestaltung beachten sollten.

Cloud-Dienste sind hierbei Dienste, die mithilfe von Cloud-Computing erbracht werden, d.h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht.

Folgenden Dienstleistungsmodelle stellen Cloud-Anbieter i.d.R. zur Verfügung:

  • Infrastructure as a Service (IaaS, Bereitstellung von Rechenleistungen und Speicherplatz)
  • Platform as a Service (PaaS, Bereitstellung von Entwicklerplattformen)
  • Software as a Service (SaaS, Bereitstellung von Softwareapplikationen/ Webanwendungen)

Das beaufsichtigte Unternehmen soll Überlegungen zur Nutzung von Cloud-Diensten in seiner IT-Strategie abbilden. Daneben sollte ein beaufsichtigtes Unternehmen einen Prozess entwickeln und dokumentieren, der alle für Auslagerungen an Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie abdeckt.

Bei der Risikoanalyse sind alle für das beaufsichtigte Unternehmen relevanten Aspekte im Zusammenhang mit der Auslagerung auf Cloud-Anbieter zu berücksichtigen. Die Intensität der Analyse hängt von Art, Umfang, Komplexität und Risikogehalt der ausgelagerten Sachverhalte ab.

Die aufsichtsrechtlichen Anforderungen an Auslagerungen bleiben weiterhin bestehen. Demnach darf eine Auslagerung nicht zu einer Übertragung der Verantwortung der Geschäftsleiter des beaufsichtigten Unternehmens für die ausgelagerten Sachverhalte an den Cloud-Anbieter führen. Das beaufsichtigte Unternehmen bleibt bei einer Auslagerung an Cloud-Anbieter für die Einhaltung der vom beaufsichtigten Unternehmen zu beachtenden gesetzlichen Bestimmungen verantwortlich.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

/* */