Outsourcing in Banken - Was Sie dabei beachten sollten

Daniel Wagenknecht, Senior Manager bei KPMG, sieht Outsourcing im Bankensektor differenziert. Auslagerungen sind, seiner Meinung nach, Fluch und Segen zugleich. Zum einen kauft man sich durch ein Sourcing-Vorhaben spezialisiertes Wissen und Know-how ein – bestes Beispiel ist hier wieder die Kooperation mit einem FinTech, welches eine innovative Lösung anbietet. Zum anderen begibt man sich durch eine Auslagerung auch in eine Abhängigkeit vom Dienstleister, die mit der Zeit zunimmt, je länger die Auslagerung besteht. Es gilt also immer abzuwägen, welche Ziele man tatsächlich mit dem Auslagerungsvorhaben verfolgt und welche Risiken man auf der anderen Seite eingeht. Vor diesem Hintergrund liegt es auf der Hand, dass die Bankenaufsicht entsprechende Regularien erlassen hat, die genau diese Risikobetrachtung und die erforderliche Umsetzung von Maßnahmen vorschreibt.

Dr. Stefanie Hellmich, Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft, hat festgestellt, dass mit fortschreitender Entwicklung der Open Banking Landschaft und des „Banking-as-a Service“ immer mehr cloudbasierte Software as a Service (SaaS) und Business Process as a Service (BPaaS) Lösungen von Drittanbietern in Bankenplattformen integriert werden. Applikationen zur mobilen Authentifizierung, Transaktionssignierung, Multifaktor-Authentifizierung oder Betrugsbekämpfung oder das Zugänglich-Machen von Robo Advisor Dienstleistungen sind nur einige Beispiele hierfür.

Im Zuge der Umsetzung der PSD II definieren Banken API-Strategien, um in der Zusammenarbeit mit FinTech Unternehmen neue Umsatzquellen zu erschließen, Netzwerkeffekte zu beschleunigen und die Skalierbarkeit zu erhöhen. In diesen neu entstehenden Ökosystemen ist die Beachtung der aufsichtsrechtlichen Vorgaben für das Outsourcing und für den Umgang mit Kundendaten zentral. Mit den EBA-Leitlinien zum Outsourcing und den Leitlinien des Europäischen Datenschutzausschusses zur Verarbeitung von Daten bei Online-Verträgen liegen gleich zwei neue Regelwerke europäischer Aufsichtsbehörden vor, die für Finanzinstitute und FinTech Unternehmen gleichermaßen relevant sind. Die BaFin hat gegenüber der EBA bereits erklärt, die Leitlinien anwenden zu wollen und diese durch eine Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement AT 9 basierend auf §§ 25a, 25b KWG) umzusetzen. Diese gehen inhaltlich über das von der BaFin im November 2018 veröffentlichte Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ hinaus und erfordern entsprechende Anpassungen bei den Instituten und Dienstanbietern.

Ab dem 30. September 2019 sind die sog. EBA-Leitlinien zum Outsourcing der European Banking Authority („EBA“) (“Final Report on EBA Guidelines on outsourcing arrangements”) auf neu geschlossene oder geänderte Auslagerungsvereinbarungen anzuwenden. Damit wird für Institute – und durch die Erweiterung des Adressatenkreises – nunmehr auch für Zahlungs- und E-Geld-Institute ein einheitlicher europäischer Rahmen für die Auslagerung ihrer Bank- und Zahlungsaktivitäten geschaffen. Die Negativ-Abgrenzung erfolgt, so Hellmich, relativ scharf. So fallen zum Beispiel Marktinformationsdienstleistungen sowie Clearing und Settlement aus dem Begriff des Outsourcing heraus. Demgegenüber unterfällt eine Vielzahl cloud-basierter Dienstleistungen den Vorgaben für ein Outsourcing und kann nicht als bloßer Fremdbezug von Software als ein von der Auslagerung zu unterscheidender Sachverhalt qualifiziert werden.

Das Finanzinstitut bleibt auch datenschutzrechtlich in der Verantwortung. Am 10. April 2019 hat der Europäische Datenschutzausschuss „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 lit. b) Datenschutzgrundverordnung (DSGVO) im Kontext von Online-Dienstleistungen“ beschlossen.

Diese Leitlinien beschränken auch für Finanzinstitute die Möglichkeit, die Verarbeitung von Daten ihrer Kunden auf die mit dem Kunden vereinbarten Geschäftsbedingungen zu stützen. Finanzinstitute haben also bei Auslagerungssachverhalten kritisch zu hinterfragen, inwieweit Datenübermittlungen an Dienstanbieter oder Data Analytics Aktivitäten des Dienstanbieters in der Cloud datenschutzkonform erfolgen können.

In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Erfüllung des Vertrags (mit dem Kunden) erforderlich ist, nicht allein darauf ankommt, was im Vertrag mit dem Kunden vereinbart wurde. So kann zum Beispiel die personalisierte Onlinewerbung danach grundsätzlich nicht auf den Vertrag gestützt werden. Wird der Dienstleister vom Finanzinstitut nicht als Auftragsverarbeiter (Art. 28 DSGVO) eingeschaltet, für dessen Aktivitäten das Finanzinstitut datenschutzrechtlich verantwortlich bleibt, hat das Finanzinstitut sicherzustellen, dass eine Rechtsgrundlage für die Verarbeitung der übermittelten Daten durch den Dienstanbieter besteht. Diese kann im Zeitalter des Open Banking und der Plattformökonomie ein selbständiger Vertrag des Kunden mit dem Dienstanbieter über Zusatzleistungen oder eine gesonderte Einwilligung des Kunden sein. Die Form der Auslagerung und Zusammenarbeit kann dabei schnell die rote Linie einer selbständigen Verantwortlichkeit überschreiten und eine datenschutzrechtlich gemeinsame Verantwortlichkeit von Institut und Dienstanbieter begründen.

Vor diesem Hintergrund sind Dienstanbieter und Finanzinstitute gehalten, die neuen aufsichtsrechtlichen Anforderungen an die Vertragsgestaltung und das Management der Vertragsbeziehungen vorausschauend umzusetzen.