Fortentwicklung der Vorgaben zum Cloud-Computing

ERM
-
21. Mai 2019
-
Patrik Buchmüller, Christine Mährle

In den vergangenen Monaten wurde in der Presse immer häufiger von der Nutzung von Cloud-Services durch Großunternehmen oder durch die öffentliche Hand berichtet. Jüngstes Beispiel ist der Volkswagen-­Konzern, der kürzlich die Zusammenarbeit mit Amazon bei der Vernetzung aller Werke, Lager, Roboter und Maschinen in einer sogenannten Industrie-Cloud bekannt gab. Damit soll die Produktivität in der Fertigung in den nächsten sechs Jahren um 30 Prozent gesteigert werden.

 

Diese Entwicklung geht auch an der Finanzindustrie nicht spurlos vorbei. Am Markt werden zunehmend Initiativen bekannt, die Möglichkeiten einer Cloud-Nutzung untersuchen. Eine wesentliche Rahmenbedingung für die effiziente Nutzung einer Cloud ist die regulatorische Behandlung der Beziehungen zwischen Banken und Unternehmen sowie Cloud-Anbietern, die im Regelfall bisher keinen direkten aufsichtsrechtlichen Anforderungen unterliegen.

Geltende regulatorische Rahmenbedingungen

Für die Nutzung von unternehmensexternen Clouds gelten bankaufsichtsrechtlich die gleichen regulatorischen Vorgaben wie für alle anderen Outsourcingaktivitäten. Maßgeblich sind im nationalen Bankaufsichtsrecht in Deutschland § 25b KWG, die MaRisk und die BAIT. Zudem hat die BaFin ein sogenanntes „Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-­Anbieter“ veröffentlicht.

Darüber hinaus gelten auch die neuen EBA-Leitlinien zu Auslagerungsarrangements ab 30. September 2019 (den sog. „Final Report“ dieser Guidelines hat die EBA am 25. Februar 2019 veröffentlicht). Zudem haben auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland sowie die G7 auf globaler Ebene Regelungen zum Umgang mit Cloud-Computing und zu Auslagerungen veröffentlicht [Vgl. BSI 2019 und G7 2018]. 

Laut § 25b KWG dürfen Auslagerungen zu keiner Übertragung der Verantwortung der Geschäftsleiter der Bank an das Auslagerungsunternehmen, das heißt in diesem Fall an den Cloud-Anbieter führen. Zudem ist institutsintern nach AT 9 MaRisk im Rahmen einer Risikoanalyse festzulegen, ob es sich um eine wesentliche Auslagerung handelt. In Abhängigkeit von Umfang und Komplexität der Auslagerungen muss die Bank ein zentrales Auslagerungsmanagement einrichten. Bei wesentlichen Auslagerungen sind gemäß AT 9 MaRisk besondere Anforderungen zu erfüllen:

  • Das Auslagerungsunternehmen ist wirksam zu überwachen, die mit einer wesentlichen Auslagerung verbundenen Risiken sind angemessen zu steuern und ordnungsgemäß zu überwachen und es ist eine Exit-Strategie zu definieren.
  • Darüber hinaus sind im Auslagerungsvertrag zahlreiche Regelungen aufzunehmen.

Notwendigkeit spezifischer regulatorischer Regelungen

Die bestehenden Vorgaben zum Outsourcing sind nicht hinreichend für das Geschäftsmodell des Cloud-Com­puting. Unsicherheiten bezüglich der Schärfe der rechtlichen Anforderungen stellen eine Hürde für den Abschluss von Cloud-Verträgen dar. Dies betrifft unter anderem die Wesentlichkeitsanalyse und die erforderlichen Prüfungsmöglichkeiten bei Cloud-Anbietern im Fall der Wesentlichkeit. Ferner muss die Sicherheit von Daten und Systemen vor dem Hintergrund des Cloud-Computing beleuchtet werden. Dazu kommen Unsicherheiten hinsichtlich der regulatorischen Erwartungen bezüglich Weiterverlagerungen und Exit-­Strategien.

(...)

[Den vollständigen Artikel lesen Sie in der Fachzeitschrift RISIKO MANAGER 04/2019. Die Ausgabe ist seit dem 30. April 2019 lieferbar und kann auch einzeln bezogen werden.]

Autoren:
Dr. Patrik Buchmüller
, freiberuflicher Unternehmensberater und Hochschuldozent mit langjähriger Erfahrung als Risikomanager bei privaten und öffentlichen Banken sowie als BaFin-Mitarbeiter mit Zuständigkeit für das operationelle Risiko.
Christine Mährle
, Diplom-Volkswirtin und MBA, arbeitet als freiberufliche Unternehmensberaterin mit 15-jähriger Berufserfahrung in den Schwerpunkten Banken- und IT-Strategie, Regulatorik, Prozessmanagement und Projektmanagement in Frankfurt am Main.

Bildquelle: ©Just_Super | istockphoto.com