EBA Leitlinien zum Outsourcing

Institute in der EU müssen ihre Auslagerungen ab dem 30. September 2019 an den neuen Pflichten der European Banking Authority (EBA) ausrichten (EBA/GL/2019/02).

Wer ist betroffen

  • Banken
  • Finanzdienstleister
  • Zahlungsdienstleister (NEU!)
  • E-Geld-Institute (NEU!)
  • Auslagerungsunternehmen

Banken und Finanzdienstleister sollten bereits die Anforderungen der MaRisk erfüllen.

Zahlungsdienstleister und E-Geld-Institute – und damit auch deren Auslagerungsunternehmen – treffen nun erstmals konkrete Pflichten bei Auslagerungen.

Was ändert sich

Die neuen Pflichten ähneln den bisherigen Vorgaben der MaRisk, gehen aber über diese hinaus.

Änderungen ergeben sich insbesondere in den Bereichen Governance, Risikomanagement und Vertragsmanagement. Dies umfasst z. B.:

  • Neu erforderliche Risikobewertung für sonstige Fremdbezüge (Procurement)
  • Neu erforderliche Identifizierung und Bewertung von Interessenkonflikten
  • Erhöhte Dokumentationspflichten
  • Neuer Zustimmungsvorbehalt für Auslagerung in Drittstaaten
  • Neue Vorab-Risikoanalyse für geplante Auslagerungen (Pre-Outsourcing Analysis)
  • Neu erforderliche detaillierte Due Diligence bzgl. Auslagerungsunternehmen
  • Verschärfte Mindestinhalte von Auslagerungsverträgen
  • Stärkerer Fokus auf IT-Sicherheit, insbes. bei Cloud-Lösungen
  • Erhöhte Prüfpflicht für die Interne Revision

Wann gelten die Änderungen

  • Die neuen Pflichten gelten für ab dem 30. September 2019 geschlossene oder geänderte Auslagerungsverträge.
  • Für zuvor geschlossene Auslagerungsverträge greifen die neuen Pflichten ab dem 31. Dezember 2021.

Wie sollten Betroffene reagieren

Betroffene sollten mittels GAP-Analyse prüfen, inwieweit Lücken zu den neuen Pflichten bestehen und diese zeitnah schließen.

In jedem Fall anzupassen sind die schriftlich fixierte Ordnung, die Auslagerungsprozesse und die Auslagerungsverträge.

Briefing Fokus Regulatorik Vol. 1 (deutsch) | Briefing Regulatory Focus Vol. 1 (english)