30.10.2017

Outsourcing durch Banken

Co-Autor: Mag. Michael Fischer

Neuregelung betreffend Outsourcing durch Banken schafft Rechtssicherheit

Das Outsourcing ist aus der Praxis nicht mehr wegzudenken und muss auch unter Gesichtspunkten des operationellen Risikos gemonitort werden. Bislang sieht das Bankwesengesetz (BWG) aber keine klaren Regelungen vor. Eine Gesetzesnovelle, deren Begutachtungsfrist kürzlich endete, sieht nun erstmals mit der Neufassung von § 25 BWG eine generelle Regelung für Outsourcing durch Kreditinstitute (KI) vor. Bisher fanden sich solche Regelungen nur in Spezialgesetzen (dem Wertpapieraufsichtsgesetz und dem Zahlungsdienstegesetz) und in den vom Comittee of European Banking Supervisors (CEBS) 2006 veröffentlichten Leitlinien, die gemäß § 69 Abs 5 BWG von der Finanzmarktaufsicht (FMA) anzuwenden sind, denen aber keine unmittelbare Rechtsverbindlichkeit zukommt. Die neue Regelung erlaubt es KI, ihre Auslagerungsaktivitäten sowohl innerhalb der Kreditinstitutsgruppe als auch an externe Dienstleister rechtssicher auszugestalten.

Voraussetzungen für und Anforderungen an KI und Dienstleister

Mit dem neuen § 25 BWG schafft der Gesetzgeber eine Norm, die den bestehenden Regelungen des § 25 Wertpapieraufsichtsgesetz 2007 bzw. künftig § 34 Wertpapieraufsichtsgesetz 2018 und § 21 Zahlungsdienstegesetz bzw. künftig § 21 Zahlungsdienstegesetz 2018 nicht unähnlich ist. Zusätzlich dazu konkretisieren die vor kurzem veröffentlichten „Guidelines on internal governance“ der European Banking Authority (EBA) die Bestimmungen betreffend die interne Governance beim Outsourcing. All diese normierten Anforderungen stellen damit – zumindest für jene KI, die den CEBS Leitlinien noch nicht die Bedeutung einer gesetzlichen Regelung zugemessen haben – die vorhandenen Outsourcing Vereinbarungen und Richtlinien sowie die Einbindung der Auslagerungen in das operationelle Risikomanagement auf den Prüfstand. Es werden umfangreiche Verpflichtungen, sowohl für den Dienstleister als auch das Kreditinstitut, aufgestellt, die eine Voraussetzungen für die Auslagerung betrieblicher Aufgaben des KI sind. Folgende, im Moment meist unzureichend bedachte Punkte, sind dabei in der Praxis für KI bei der Auslagerung wesentlicher betrieblicher Aufgaben am relevantesten:

Unverzügliche schriftliche Anzeige der beabsichtigten Auslagerung an die FMA;
Erstellung einer Auslagerungsvereinbarung, die unter anderem der FMA und dem KI Zugang zu den ausgelagerten Daten und Geschäftsräumen ermöglicht, sowie eine ordentliche Kündigungsmöglichkeit vorsieht;
Überwachung und Steuerung der ausgelagerten Risiken; und
Gemeinsame Erstellung eines Notfallplans mit dem Dienstleister, der Backup Systeme vorsieht und die Speicherung der Daten bei einem Systemausfall gewährleistet.

Wesentliche betriebliche Aufgaben sind solche, deren unzureichende oder unterlassene Wahrnehmung dazu führen würde, dass die Einhaltung der Verpflichtungen, die das BWG oder andere relevante regulierende Normen für das KI aufstellen, oder dessen Solvabilität, Liquidität, Solidität oder Kontinuität, gefährdet ist. Wichtig ist, dass durch die Auslagerung kein Know-how Abbau im KI stattfinden darf und das KI weiterhin über angemessene Personalressourcen verfügt. Dies ist erforderlich, damit sichergestellt werden kann, dass weder die Qualität der internen Kontrolle noch die Beaufsichtigung des KI durch die FMA beeinträchtigt wird.

Grenzen der Auslagerung

Die Novelle grenzt die Möglichkeit der Auslagerung negativ ab. Demnach ist es nicht möglich, folgende Tätigkeiten auszulagern:

Bankgeschäftliche Kerntätigkeiten, wie z. B. die Entgegennahme fremder Gelder zur Verwaltung oder zur Kreditvergabe;
Aufgaben der Geschäftsleitung;
Tätigkeiten, die das Verhältnis bzw. die Pflichten des KI nach BWG gegenüber seinen Kunden/ Geschäftspartnern verändern;
Tätigkeiten, die die Aufgaben der FMA verhindern oder erschweren; und
Tätigkeiten, die zu einem Entfall oder zur Veränderung der Konzessionsvoraussetzungen führen.

Für KI ergeben sich durch diese Neuregelung Chancen, Outsourcing Vereinbarungen und ihre internen Richtlinien und Systeme rechtssicher zu gestalten. Da das auslagernde KI – und somit die zur Vertretung nach außen berufenen Personen, das sind Vorstände und als verantwortliche Beauftragte bestellte leitende Angestellte – auch bei Auslagerungen stets die Letztverantwortung trifft und auch in Hinblick auf die eklatanten Strafbestimmungen des BWG, sind dabei jedoch unbedingt folgende Schritte zu setzen:

Anpassung interner Richtlinien;
Überprüfung und Anpassung bestehender Outsourcing Vereinbarungen;
Interne Governance (Einrichtung von entsprechenden Outsourcing Committees, Ernennung von Outsourcingverantwortlichen – gegebenfalls mit § 9 VStG Verantwortung); und
Meldungen an die FMA.

Wie PwC Legal unterstützen kann

Unsere Rechtsanwälte und Experten verstehen aufgrund ihrer in-house Erfahrung neben den Anforderungen der Aufsichtsbehörden die individuellen Bedürfnisse von KI und Dienstleistern beim Outsourcen und unterstützen Sie in folgenden Bereichen:

Erstellung, Prüfung und Anpassung von Outsourcing Verträgen;
Erstellung, Prüfung und Anpassung interner Richtlinien;
Prüfung und Überarbeitung der internen Governance;
Erarbeitung von gruppenweiten Outsourcing Strategien;

Ihre Ansprechpartner:

Dr. Lukas Röper, LL.M.

PwC Legal | Partner | Rechtsanwalt (Attorney-at-law)

Office: +43 1 384 05 50 Mobile: +43 664 1964 622

E-Mail: lukas.roeper@pwc.com

Mag. Irene Eckart, B.A.

PwC Legal | Senior Manager | Rechtsanwalt (Attorney-at-law)

Office: +43 1 384 05 50 Mobile: +43 664 886 39 005

E-Mail: irene.eckart@pwc.com

FB twitter Linkedin

TagsBanken Outsourcing durch Banken

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
Google Analytics MFMSWS70PX	2 Jahre	Dieser Cookie wird von Google Analytics installiert.