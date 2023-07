Banken stehen unter zunehendem Kostendruck. Gleichzeitg erwarten Kunden exzellenten Service. Ein Ausweg, dieser Hammer-Amboss-situation zwischen steigendem Marktdruck und Kundenbedüfnissen zu begegnen, ist die Migration und Transformation bestehender Anwendungen in die Cloud.



Bankenaufsichtsrelevante IT-Services werden zunehmend an externe Dienstleister ausgelagert. Gründe hierfür sind eine beschleunigte Digitalisierung sowie die Nutzung von Skaleneffekten. Somit können sich Banken besser auf ihre Kernkompetenzen konzentrieren. Ähnlich wie bei früheren Auslagerungen des eigenes IT-Rechenzentrums oder IT-Supports folgt jetzt die verstärkte Nutzung von Cloudlösungen, welche eine noch einfachere Nutzung von IT-Services externer Anbieter ermöglicht. Somit ist eine komplette IT-Auslagerung möglich, ohne Hardware und IT-Mitarbeiter physisch umziehen zu müssen.

Die Vorteile einer Auslagerung sind Prozessoptimierung, Qualitätssteigerung, Zugang zu Spezialwissen, Nutzung von Synergien etc., wobei die Kostenersparnis die größte Rolle spielt. Im Rahmen der Auslagerung von IT-Services sind aus Compliance-Sicht jedoch einige Gesetze und Vorgaben zu beachten.

Welche Gesetze beachtet werden müssen

Eine Auslagerung kann nur funktionieren, wenn die Bank Risiken weiterhin überwacht und steuert. Dies führt oft zu einer Reihe von Herausforderungen und Fragestellungen, zu denen die Aufsichtsbehörden zentrale Vorgaben erlassen haben. Als zentrale Gesetze sind hierbei MaRisk (Mindestanforderung an das Risikomanagement) AT 9 und BAIT (Bankaufsichtlichen Anforderungen an die IT zu nennen.

Eine wesentliche Auslagerung von IT-Services bei Banken ist eine feststehende Definition laut Gesetz und ist in mehreren gesetzlichen Anforderungen wiederzufinden. Auf folgende Definitionen und rechtliche Grundlagen sollte daher unbedingt geachtet werden: Der Begriff „Auslagerung“ wird in dieser Orientierungshilfe für „Auslagerungen“ im Sinne des § 25b Kreditwesengesetz (KWG), § 80 Wertpapierhandelsgesetz (WpHG), § 26 Zahlungsdienste-Aufsichtsgesetz (ZAG) und § 36 Kapitalanlagegesetzbuch (KAGB) und „Ausgliederungen“ im Sinne des Artikels 274 Delegierte Verordnung (EU) 2015/35 sowie § 32 Versicherungsaufsichtsgesetz (VAG) verwendet. Im Folgenden wird der Begriff „wesentlich“ für die Begrifflichkeiten „wichtig/kritisch“ im Sinne des Artikels 274 Delegierte Verordnung (EU) 2015/35 und des § 32 VAG verwendet sowie für den Begriff „wesentlich“ im Sinne des § 25b KWG und § 26 ZAG.

Aufgrund der Anforderungen vom KWG in Verbindung mit der AnzV (Anzeigenverordnung) müssen Absichten einer wesentlichen Auslagerung der Aufsicht gemeldet werden. Dieses geht aus den Neuerungen im KWG hervor, welches Banken vor weitere Fragestellungen stellt, was beschreibt eigentlich „wesentlich“ und wie ist es definiert. Die Aussicht möchte über diesen Weg das Risikobewusstsein der Banken weiter schärfen, sowie übergreifende Risiken im Deutschen Banken-Sektor besser überwachen.

Die Nutzung eines externen Auditors befreit die Banken nicht vor eigener Risikoprüfung

Vor einer Auslagerung der IT-Services an einen externen Dienstleister sollte unbedingt überprüft werden, ob dieser regelmäßig nach den Prüfungsstandards (ISAE 3402 oder alternativ IDW PS 951 Bericht) auditiert wird. Ein solcher vom Wirtschaftsprüfer des Dienstleisters erstellte Bericht bescheinigt die Funktionsfähigkeit von gesetzten Kontrollzielen und reduziert damit die Prüf- und Auditierungsaufwände der auslagernden Bank.

Zu beachten ist jedoch, dass zusätzlich zum Bericht uneingeschränkte Prüfrechte beim Dienstleister seitens der auslagernden Bank benötigt werden. Dies ermöglicht es der Bank, durch eigene Prüfer (interne Revision) den Dienstleister zu überprüfen. Die o.g. Berichte (ISAE 3402 und IDW PS 951) befreien gemäß MaRisk die Bank jedoch nicht davon, den Dienstleister auch selbst zu überprüfen und Risikobewertungen vorzunehmen (Beispielsweise die Eintrittswahrscheinlichkeit einen Dienstleister-Ausfalls sowie entsprechende Maßnahmen zur Sicherstellung des Betriebsablaufs). Auch hilft ein eigener Blick in die gesetzlichen Vorgaben, sowie mit möglichen Dienstleistern, der eigenen IT, internen Revision und den unabhängigen Jahresabschlussprüfern über die Auslagerung im Detail zu sprechen.

IT-Auslagerungsprojekte sind komplex

Die Auslagerung von IT-Services und die dazugehörigen Projekte sind meist sehr umfangreich und zeitintensiv, daher wird oft auf externe Beratungsfirmen gesetzt. Diese bringen nicht nur Expertenwissen mit, sondern haben entsprechende Projekte bereits mehrfach begleitet und kennen die wesentlichen Fallstricke.

