Menü open menu close menu

Auslagerungen im Finanzsektor: Mehr Transparenz schafft Sicherheit

(BaFinJournal) Die Unternehmen des Finanzsektors übergeben immer mehr Dienstleistungen an spezialisierte Anbieter. Das bietet viele Vorteile. Auslagerungen machen den Finanzmarkt aber auch verwundbarer. Sie müssen deshalb der Finanzaufsicht BaFin gemeldet werden. Diese Daten zeigen, wie eng bestimmte Unternehmen miteinander verflochten sind. Von Dr. Sibel Kocatepe, BaFin-IT-Aufsicht

Auslagerungen von Finanzdienstleistungen haben in den vergangenen Jahren stark zugenommen. In einigen Bereichen des Finanzsektors ist ein Großteil der beaufsichtigten Unternehmen dabei von wenigen spezialisierten IT-Dienstleistern abhängig. Das birgt erhebliche Risiken für den Finanzmarkt mit sich und rückt das Thema damit in den Fokus der Aufsicht.

Fällt ein solcher Mehrmandanten-Dienstleister aus, kann dies zu Beeinträchtigungen bei einer Vielzahl von Unternehmen des Finanzmarktes gleichzeitig führen und so einen einzelnen Finanzsektor oder gar den gesamten Finanzmarkt nachteilig beeinflussen. Die BaFin beobachtet diese Entwicklung und zählt die möglichen Folgen aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen zu den Risiken, die sie in diesem Jahr besonders im Fokus hat.

20.800 Meldungen seit November 2022

Um diese Risiken frühzeitig zu erkennen, beobachtet die Aufsicht den Auslagerungsmarkt sehr genau. Sie nimmt dabei auch deren Verflechtungen und Konzentrationen in den Blick. Seit mehr als einem Jahr zeigen Unternehmen des Finanzsektors dazu ihre (wesentlichen1) Auslagerungen der Aufsicht an (siehe Infokasten) – und zwar über das MVP-Portal, die elektronische Melde- und Veröffentlichungsplattform der BaFin.

Seither haben ca. 1.900 beaufsichtigte Unternehmen etwa 20.800 (wesentliche) Auslagerungen der Aufsicht angezeigt. Das sind im Durchschnitt etwa elf wesentliche Auslagerungen pro Unternehmen.

Angezeigt werden in der Regel nur neue Auslagerungen. Bestandsauslagerungen, also bereits bestehende Auslagerungen, müssen nur dann angezeigt werden, wenn es wesentliche Änderungen im Sinne der jeweiligen Anzeigenverordnung gibt. Da die Anzeigen erst seit dem 29.November 2022 über die Melde- und Veröffentlichungsplattform (MVP) der BaFin eingehen, ist die Auslagerungsdatenbank der BaFin noch nicht vollständig.

 

Auf eine Blick:Auslagerungen müssen angezeigt werden

Mit dem Inkrafttreten des Finanzmarktintegritätsstärkungsgesetzes (FISG) sowie des Wertpapierinstitutsgesetzes (WpIG) sind die Unternehmen des Finanzsektors seit dem 1. Januar 2022 bzw. 26. Juni 2021 verpflichtet, (wesentliche) Auslagerungen der BaFin anzuzeigen, soweit die Pflicht nicht ohnehin bereits bestand.

Die Anzeigepflicht umfasst gemäß den jeweiligen Aufsichtsgesetzen demnach in nahezu allen Geschäftsbereichen der BaFin die Anzeige der Absicht, des Vollzugs, wesentlicher Änderungen sowie schwerwiegender Vorfälle im Rahmen von (wesentlichen) Auslagerungen.

Die gesetzliche Anzeigepflicht wurde durch Anzeigenverordnungen zu den jeweiligen Aufsichtsgesetzen konkretisiert:

  • Verordnung über die Anzeigen und die Vorlage von Unterlagen nach dem Kreditwesengesetz (KWG AnzV)
  • Verordnung über die Anzeigen und die Vorlage von Unterlagen nach dem Zahlungsdiensteaufsichtsgesetz (ZAGAnzV)
  • Verordnung über die Anzeigen von Versicherungsunternehmen und Pensionsfonds zur Ausgliederung von Funktionen und Versicherungstätigkeiten (VersAusgl-AnzV)
  • Verordnung über die Anzeigen und die Vorlage von Unterlagen nach § 36 des Kapitalanlagegesetzbuchs (KAGBAuslAnzV)
  • Verordnung über die Anzeigen und die Vorlage von Unterlagen nach dem Wertpapierinstitutsgesetz (WpI-AnzV)

Mit Ausnahme der WpI-AnzV sind alle Verordnungen am 29. November 2022 in Kraft getreten. Am 12. Dezember 2023 trat die WpI-AnzV in Kraft. Nachdem die BaFin die gemäß § 64 Abs. 1 Nr. 13 WpIG bereits seit dem 26. Juni 2021 geltende Pflicht zur Einreichung der Auslagerungsanzeigen vorübergehend ausgesetzt hat, sind die anzeigepflichtigen Umstände nun bis zum 30. Juni 2024 über das MVP-Portal der BaFin nachzumelden. Weitere Informationen dazu sind auf der Website der BaFin verfügbar.

Meldeverfahren

Beaufsichtigte Unternehmen sollen ihre Auslagerungen ausschließlich über das elektronische Meldeformular „Anzeige von Auslagerungen“ innerhalb der Melde- und Veröffentlichungsplattform an die BaFin melden. Das Formular wurde von der BaFin für alle Finanzsektoren weitestgehend einheitlich konzipiert, damit sie den gesamten Finanzmarkt analysieren kann.

Weitere Informationen zum Meldeverfahren für die Anzeige von Auslagerungen sind auf der Website der BaFin abrufbar.

 

Die Zahl der Anzeigen variiert je nach Sektor aufgrund unterschiedlicher gesetzlicher Grundlagen deutlich. Die geringste Anzahl verzeichnen Wertpapierinstitute mit durchschnittlich etwa drei Auslagerungen. Knapp dahinter liegen die Versicherungsunternehmen und Einrichtungen der betrieblichen Altersvorsorge (EbAV) sowie die Finanzdienstleistungsinstitute mit durchschnittlich etwa vier angezeigten Auslagerungen.

Im Mittelfeld bewegen sich die Kreditinstitute mit durchschnittlich ca. neun Anzeigen sowie die Zahlungs- und E-Geldinstitute mit ca. 13 Auslagerungen pro Unternehmen. Deutlich heben sich die Kapitalverwaltungsgesellschaften mit im Durchschnitt etwa 42 Auslagerungen ab.

Diese hohe Anzahl ist darauf zurückzuführen, dass das Kapitalanlagegesetzbuch – anders als die anderen hier relevanten Aufsichtsgesetze – keine Unterscheidung zwischen wesentlichen und nicht-wesentlichen Auslagerungen vorsieht. Daher müssen diese Unternehmen alle Auslagerungen der Aufsicht anzeigen, wodurch auf sie auch ein hoher Anteil der angezeigten Auslagerungen im Verhältnis zur Gesamtzahl der angezeigten Auslagerungen fällt (siehe Grafik 1).

 

Grafik 1: Anteile an den gemeldeten Auslagerungen (in Prozent)

(c) BaFin

 

Netzwerkgraphen zeigen Verflechtungen im Finanzmarkt

Die Daten zu Auslagerungen nutzt die BaFin unter anderem, um die Beziehungen zwischen den ausgelagerten Dienstleistungen auf dem deutschen Finanzmarkt zu analysieren. Eine Möglichkeit, diese komplexen Verflechtungen über die verschiedenen Sektoren hinweg darzustellen und zugleich transparent zu machen, sind Netzwerkgraphen. Diese Transparenz ist insofern sehr wichtig, als dass einzelne Auslagerungsunternehmen systemrelevante Dienstleistungen für eine Vielzahl von Unternehmen des Finanzmarktes erbringen.

Mithilfe der Netzwerkgraphen können beispielsweise Konzentrationen auf bestimmte Dienstleister erkannt werden, die als Mehrmandanten-Dienstleister tätig sind. Diese können dabei im Rahmen der Auslagerung des beaufsichtigten Unternehmens an erster Stelle stehen oder auch erst im Wege der Weiterverlagerung vom Dienstleister auf weitere Subdienstleister zum Einsatz kommen.

Bankenverbünde sind stark vernetzt

Die Grafik 2 zeigt einen Netzwerkgraphen, der überblicksartig Auslagerungsverflechtungen auf dem deutschen Finanzmarkt darstellt. Dabei bilden die "Knoten" die Aufsichtsobjekte, die Dienstleister und die Subdienstleister ab. Die "Kanten" zwischen den Knoten repräsentieren die Geschäftsbeziehungen dieser Unternehmen untereinander und sind entsprechend der Art des beaufsichtigten Unternehmens eingefärbt.

Auf diese Weise lässt sich beispielsweise bereits erkennen, dass die beaufsichtigten Unternehmen und Dienstleister, die in Bankenverbünden organisiert sind, sehr stark miteinander verflochtene Geschäftsbeziehungen pflegen. Außerhalb dieser Verbünde lassen sich darüber hinaus Dienstleister identifizieren, die für mehrere unterschiedliche Arten von Finanzunternehmen wie Kapitalverwaltungsgesellschaften, Versicherungsunternehmen sowie für Kreditinstitute aktiv sind.

 

Grafik 2: Der Netzwerkgraph visualisiert die Verflechtungen von Auslagerungen auf dem gesamten deutschen Finanzmarkt.

(c) BaFin

 

Besonders interessant sind die Auslagerungsstrukturen innerhalb komplexer Vertragsbeziehungen, vor allem mit Blick auf Weiterverlagerungen bei IT-Dienstleistern auf Subdienstleister. Die damit verbundenen Abhängigkeiten und Risiken sind komplex und intransparent. Für die auslagernden Unternehmen des Finanzsektors sind sie oft nur schwer zu durchschauen. Dies kann problematisch werden, da Probleme bei einem Subdienstleister kaskadenartig die gesamte Wertschöpfungskette im Finanzsektor beeinträchtigen können.

Neben der Analyse der Auslagerungsbeziehungen kann die BaFin anhand der Auslagerungsdaten auch erkennen, welche Kategorien von Auslagerungen innerhalb eines Finanzsektors wie häufig zum Einsatz kommen – also beispielsweise wie häufig beaufsichtige Unternehmen die Kategorien Informationstechnologie, Risikomanagement oder Personalwesen anzeigen und auf der Grundlage tiefergehende Analysen machen.

Weiterhin kann die Aufsicht auch auswerten, an welchen Orten die Leistung erbracht wird. Diese Informationen ist besonders interessant, um sicherzustellen, dass regulatorische Anforderungen eingehalten werden, insbesondere mit Blick auf Drittstaaten oder Staaten, in denen aktuell Krisen herrschen.

Jede zweite Auslagerung ist nicht wiedereingliederbar

Darüber hinaus kann die BaFin mit den Daten ermitteln, wie die Unternehmen des Finanzsektors die Ersetzbarkeit eines Auslagerungsunternehmens einschätzen, und welche Auswirkungen es hätte, wenn die Auslagerung beendet wird. Denn fällt ein Dienstleister aus, müssen die Unternehmen weiter handlungsfähig bleiben.

Aktuell gehen nur etwas weniger als die Hälfte der Unternehmen davon aus, ihre ausgelagerten Leistungen wieder selbst erbringen zu können. Das zeigt die Auslagerungsdatenbank der BaFin: Die Unternehmen bezeichnen rund die Hälfte der von ihnen gemeldeten Auslagerungen als nicht wiedereingliederbar.

Auch wenn Unternehmen von einer Wiedereingliederung ausgehen, kann rund ein Drittel dieser Leistungen nicht oder nur schwer von anderen Dienstleistern erbracht werden. Und selbst wenn: Ein Dienstleisterwechsel kann in Einzelfällen lange dauern. Dies gilt vor allem, wenn es sich um Dienstleistungen hochspezialisierter Anbieter handelt, wie zum Beispiel bei bestimmten Cloud-Dienstleistungen.

BaFin schärft Fokus auf Cloud-Anbieter

Die BaFin hat daher die Resilienz der großen Cloud-Dienstleister schon seit einer Weile im Blick. Sie hat daher kürzlich auch die „Aufsichtsmitteilung zu Auslagerungen an Cloud-Anbieter“ aktualisiert. Sie steht aber auch im ständigen Austausch mit den großen Cloud-Anbietern selbst, als Teil der nationalen Überwachung systemrelevanter Auslagerungsunternehmen.

Mit DORA, dem europäischen Digital Operational Resilience Act, wird künftig ein europäisches Überwachungsrahmenwerk etabliert, mit dem kritische Dienstleister auf europäischer Ebene einer Art „Aufsicht light“ unterliegen werden – eine ideale Ergänzung zu den bereits bestehenden nationalen Regelungen zur Überwachung von Auslagerungsunternehmen.

Vorfallsmeldung verhindert weitere Schäden

Die Auslagerungsdatenbank hat sich in der Aufsichtspraxis auch als eine Art Frühwarnsystem und damit als wertvolles Instrument zur Überwachung von Sicherheits- oder Cybervorfällen erwiesen. Im Jahr 2023 meldete ein Versicherungsunternehmen der BaFin einen schwerwiegenden IT-Sicherheitsvorfall bei einem Auslagerungsunternehmen.

Bei der Auswertung der Auslagerungsdatenbank stellte die BaFin schnell fest, dass das Auslagerungsunternehmen nicht nur für weitere Versicherer tätig ist, sondern auch für Kreditinstitute. Mit den Informationen aus der Vorfallsmeldung und der Auslagerungsdatenbank konnte die BaFin potenziell betroffene Unternehmen des Finanzsektors identifizieren, kontaktieren und für die Situation sensibilisieren.

Dieses Beispiel zeigt: Vorfallsmeldungen sind nicht nur für das betroffene Unternehmen von Bedeutung, sondern für den gesamten Finanzmarkt. Jedes einzelne Unternehmen des Finanzsektors profitiert von den Meldungen über wesentliche Auslagerungen, unabhängig von seinem Sektor. Voraussetzung dafür ist jedoch, dass die Aufsicht so früh wie möglich über den Vorfall informiert wird und die Finanzunternehmen den gesamten Bestand ihrer (wesentlichen) Auslagerungen über das MVP-Portal anzeigen.

Wann liegt ein schwerwiegender Vorfall vor?

Unternehmen, die der Aufsicht unterliegen, sind verpflichtet, schwerwiegende Vorfälle im Rahmen von Auslagerungsverhältnissen unverzüglich der BaFin zu melden. Die jeweiligen Anzeigenverordnungen enthalten nicht abschließende Regelbeispiele, in welchen Fällen beaufsichtigte Unternehmen von einem schwerwiegenden Vorfall ausgehen können. Dazu zählen Unterbrechungen der Leistungserbringung beim auslagernden Unternehmen, die auf die Auslagerung zurückzuführen sind, oder Sicherheitsvorfälle beim auslagernden Unternehmen.

Meldet ein Unternehmen einen schwerwiegenden Vorfall nicht unverzüglich, verhängt die BaFin Bußgelder. Unternehmen des Finanzsektors sollten daher schon in der Frühphase der Feststellung eines schwerwiegenden Vorfalls eine Erstmeldung an die Aufsicht abgeben und sie kontinuierlich auf dem Laufenden halten.

 

Auf eine Blick:Meldeverfahren für schwerwiegende Vorfälle

Die Anzeige über schwerwiegende Vorfälle erfolgt nicht über das MVP-Portal der BaFin. Stattdessen sollen beaufsichtigte Unternehmen das auf der Website der BaFin abrufbare Excel-Template auffüllen und per E-Mail an die BaFin senden.

Die Details zur Anzeigepflicht von schwerwiegenden Vorfällen sowie das Template sind abrufbar auf der Website der BaFin für Kreditinstitute, Zahlungs- und E-Geldinstitute, Versicherungsunternehmen/EbAV und Wertpapierinstitute.

 

Optimierungspotenziale: Datenqualität und Vollständigkeit

Die etwas mehr als einjährige Aufsichtspraxis hat gezeigt, dass es noch Verbesserungspotenzial gibt: Die Auslagerungsdaten müssen eine höhere Qualität haben, damit die Aufsicht sie noch besser nutzen kann. Sehr wichtig ist zum Beispiel, dass die Firma des Auslagerungsunternehmens korrekt und eindeutig erfasst wird. Denn nur auf diese Weise kann die BaFin die zur Ermittlung von Konzentrationsrisiken essenziellen Auslagerungsbeziehungen auch identifizieren.

Um an dieser Stelle künftig Fehler zu vermeiden, ergänzte die BaFin kürzlich ihre Hinweise zur Einreichung von Auslagerungsanzeigen im MVP-Fachverfahren (Ausfüllhilfe) nach dem Kapitalanlagegesetzbuch (KAGB), Kreditwesengesetz (KWG), Versicherungsaufsichtsgesetz (VAG), Wertpapierinstitutsgesetz (WpIG) und Zahlungsdiensteaufsichtsgesetz (ZAG) i.V.m. den entsprechenden Anzeigenverordnungen. Unternehmen des Finanzsektors sollten sich an den eingefügten Hinweisen orientieren, um Fehler bei der Erfassung von Auslagerungsunternehmen und Subunternehmen zu vermeiden.

BaFin verbessert Datenerhebung für Auslagerungsrisiken

Optimierungsarbeiten laufen derzeit in der BaFin auch im Hinblick auf die Einreichung der Auslagerungsanzeigen über das MVP-Portal. Sie sollen beaufsichtigten Unternehmen Erleichterungen bei der Anwendung des Formulars „Anzeige von Auslagerungen“ bringen. Langfristiges Ziel der Aufsicht ist, die Auslagerungsdatenbank weiter auszubauen. Die Anzeigepflicht umfasst nur neue Auslagerungen und wesentliche Änderungen daran. Die Datenlage ist dadurch unvollständig.

Um die Datenlage zu verbessern, hat die BaFin im Frühjahr 2023 eine Stichprobe bei etwa 230 von ihr beaufsichtigten Unternehmen durchgeführt. Sie bat diese Unternehmen, alle bestehenden wesentlichen Auslagerungen anzuzeigen.

Nahezu alle Unternehmen sind dieser Bitte nachgekommen. Sie haben damit einen wichtigen Beitrag zur Ermittlung von Auslagerungsrisiken geleistet. Denn mit diesen zusätzlichen Daten kann die BaFin Verflechtungen und Abhängigkeiten auf den Finanzmärkten besser beobachten und sie zugleich auch im Hinblick auf aufgetretene schwerwiegende Vorfälle warnen.

Mehr Kontrolle bei IKT-Drittdienstleistungen und Auslagerungen

Auch 2024 steht die Verbesserung der Datenlage im Fokus der BaFin: Anfang März hat die BaFin den Adressatenkreis um 230 beaufsichtigte Unternehmen erweitert. Außerdem soll die Auslagerungsdatenbank künftig um die Informationen zur Nutzung von Dienstleistungen aus der Informations- und Kommunikationstechnologie (IKT-Drittdienstleistungen) ergänzt werden, die Unternehmen des Finanzsektors ab dem 17. Januar 2025 im Informationsregister vorhalten und auf Verlangen der Aufsicht vorlegen müssen. Die Vorgaben dazu finden sich im europäischen Digital Operational Resilience Act (DORA), der die digitale operationale Widerstandsfähigkeit des Finanzsektors stärken soll.

Die BaFin nutzt die Auslagerungsdatenbank auch, um national systemrelevante Auslagerungsunternehmen zu identifizieren und zu überwachen. Dabei plant die IT-Aufsicht, in diesem Jahr mit der Prüfung von Auslagerungsunternehmen zu beginnen, die als Mehrmandanten-Dienstleister eine wichtige Rolle für den Finanzmarkt spielen. Ziel der Prüfungen ist es, die Risiken bei diesen Unternehmen zu bewerten und im Finanzmarkt zu adressieren.

BaFin als Vorreiterin

Die im deutschen Recht bereits verankerte Anzeigepflicht dient dazu, die Widerstandsfähigkeit des Finanzmarkts zu stärken. Der Nutzen der Auslagerungsdatenbank hat sich im vergangenen Jahr bereits deutlich gezeigt. Die BaFin hat mithilfe der Datenbank einen ersten Überblick über die Auslagerungssituation auf dem Finanzmarkt erhalten.

Sie kann nicht nur die Auslagerungsbeziehungen einzelner Unternehmen des Finanzsektors analysieren. Sie kann damit auch Risiken für den gesamten Finanzmarkt frühzeitig erkennen und gegensteuern. In den nächsten Jahren steht dies mit DORA auch auf europäischer Ebene an. Bereits jetzt ist die BaFin im europäischen und globalen Vergleich damit Vorreiterin und wird von anderen nationalen Aufsichtsbehörden mit Interesse beobachtet.

1) Mit Ausnahme des KAGB sehen die hier relevanten Aufsichtsgesetze die Anzeige von wesentlichen Auslagerungen vor. Das KAGB macht eine solche Unterscheidung nicht.

 

Quelle: BaFin vom 11.04.2024

 

PRES­SE­KON­TAKT

Netz­werk Kapi­tal­markt Sanie­rung
BEMK Rechts­an­wälte PartGmbB

Artur-Lade­beck-Str. 8
33602 Biele­feld

Website: https://​​​​​​​​​​​​​​​​​netz­werk-kapi­tal­markt-sanie­rung.de/
E-Mail : info@netz­werk-kapi­tal­markt-sanie­rung.de
Telefon: +49 (0) 521 977 940-0
Telefax: +49 (0) 521 977 940-10