Neuregelung betreffend Outsourcing durch Banken schafft Rechtssicherheit
Co-Autoren: Dr. Lukas Röper; Mag. Michael Fischer
Neuregelung betreffend Outsourcing durch Banken schafft Rechtssicherheit
Das Outsourcing ist aus der Praxis nicht mehr wegzudenken und muss auch unter Gesichtspunkten des operationellen Risikos gemonitort werden. Bislang sieht das Bankwesengesetz (BWG) aber keine klaren Regelungen vor. Eine Gesetzesnovelle, deren Begutachtungsfrist kürzlich endete, sieht nun erstmals mit der Neufassung von § 25 BWG eine generelle Regelung für Outsourcing durch Kreditinstitute (KI) vor. Bisher fanden sich solche Regelungen nur in Spezialgesetzen (dem Wertpapieraufsichtsgesetz und dem Zahlungsdienstegesetz) und in den vom Comittee of European Banking Supervisors (CEBS) 2006 veröffentlichten Leitlinien, die gemäß § 69 Abs 5 BWG von der Finanzmarktaufsicht (FMA) anzuwenden sind, denen aber keine unmittelbare Rechtsverbindlichkeit zukommt. Die neue Regelung erlaubt es KI, ihre Auslagerungsaktivitäten sowohl innerhalb der Kreditinstitutsgruppe als auch an externe Dienstleister rechtssicher auszugestalten.
Voraussetzungen für und Anforderungen an KI und Dienstleister
Mit dem neuen § 25 BWG schafft der Gesetzgeber eine Norm, die den bestehenden Regelungen des § 25 Wertpapieraufsichtsgesetz 2007 bzw. künftig § 34 Wertpapieraufsichtsgesetz 2018 und § 21 Zahlungsdienstegesetz bzw. künftig § 21 Zahlungsdienstegesetz 2018 nicht unähnlich ist. Zusätzlich dazu konkretisieren die vor kurzem veröffentlichten „Guidelines on internal governance“ der European Banking Authority (EBA) die Bestimmungen betreffend die interne Governance beim Outsourcing. All diese normierten Anforderungen stellen damit – zumindest für jene KI, die den CEBS Leitlinien noch nicht die Bedeutung einer gesetzlichen Regelung zugemessen haben – die vorhandenen Outsourcing Vereinbarungen und Richtlinien sowie die Einbindung der Auslagerungen in das operationelle Risikomanagement auf den Prüfstand. Es werden umfangreiche Verpflichtungen, sowohl für den Dienstleister als auch das Kreditinstitut, aufgestellt, die eine Voraussetzungen für die Auslagerung betrieblicher Aufgaben des KI sind. Folgende, im Moment meist unzureichend bedachte Punkte, sind dabei in der Praxis für KI bei der Auslagerung wesentlicher betrieblicher Aufgaben am relevantesten:
- Unverzügliche schriftliche Anzeige der beabsichtigten Auslagerung an die FMA;
- Erstellung einer Auslagerungsvereinbarung, die unter anderem der FMA und dem KI Zugang zu den ausgelagerten Daten und Geschäftsräumen ermöglicht, sowie eine ordentliche Kündigungsmöglichkeit vorsieht;
- Überwachung und Steuerung der ausgelagerten Risiken; und
- Gemeinsame Erstellung eines Notfallplans mit dem Dienstleister, der Backup Systeme vorsieht und die Speicherung der Daten bei einem Systemausfall gewährleistet.
Wesentliche betriebliche Aufgaben sind solche, deren unzureichende oder unterlassene Wahrnehmung dazu führen würde, dass die Einhaltung der Verpflichtungen, die das BWG oder andere relevante regulierende Normen für das KI aufstellen, oder dessen Solvabilität, Liquidität, Solidität oder Kontinuität, gefährdet ist. Wichtig ist, dass durch die Auslagerung kein Know-how Abbau im KI stattfinden darf und das KI weiterhin über angemessene Personalressourcen verfügt. Dies ist erforderlich, damit sichergestellt werden kann, dass weder die Qualität der internen Kontrolle noch die Beaufsichtigung des KI durch die FMA beeinträchtigt wird.
Grenzen der Auslagerung
Die Novelle grenzt die Möglichkeit der Auslagerung negativ ab. Demnach ist es nicht möglich, folgende Tätigkeiten auszulagern:
- Bankgeschäftliche Kerntätigkeiten, wie z. B. die Entgegennahme fremder Gelder zur Verwaltung oder zur Kreditvergabe;
- Aufgaben der Geschäftsleitung;
- Tätigkeiten, die das Verhältnis bzw. die Pflichten des KI nach BWG gegenüber seinen Kunden/ Geschäftspartnern verändern;
- Tätigkeiten, die die Aufgaben der FMA verhindern oder erschweren; und
- Tätigkeiten, die zu einem Entfall oder zur Veränderung der Konzessionsvoraussetzungen führen.
Für KI ergeben sich durch diese Neuregelung Chancen, Outsourcing Vereinbarungen und ihre internen Richtlinien und Systeme rechtssicher zu gestalten. Da das auslagernde KI – und somit die zur Vertretung nach außen berufenen Personen, das sind Vorstände und als verantwortliche Beauftragte bestellte leitende Angestellte – auch bei Auslagerungen stets die Letztverantwortung trifft und auch in Hinblick auf die eklatanten Strafbestimmungen des BWG, sind dabei jedoch unbedingt folgende Schritte zu setzen:
- Anpassung interner Richtlinien;
- Überprüfung und Anpassung bestehender Outsourcing Vereinbarungen;
- Interne Governance (Einrichtung von entsprechenden Outsourcing Committees, Ernennung von Outsourcingverantwortlichen – gegebenfalls mit § 9 VStG Verantwortung); und
- Meldungen an die FMA.
Wie PwC Legal unterstützen kann
Unsere Rechtsanwälte und Experten verstehen aufgrund ihrer in-house Erfahrung neben den Anforderungen der Aufsichtsbehörden die individuellen Bedürfnisse von KI und Dienstleistern beim Outsourcen und unterstützen Sie in folgenden Bereichen:
- Erstellung, Prüfung und Anpassung von Outsourcing Verträgen;
- Erstellung, Prüfung und Anpassung interner Richtlinien;
- Prüfung und Überarbeitung der internen Governance;
- Erarbeitung von gruppenweiten Outsourcing Strategien;