Schlagwort-Archive: Auslagerung

BaFin veröffentlicht Orientierungshilfe zur Auslagerung an Cloud-Anbieter

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat zusammen mit der Bundesbank am 8. November ein Merkblatt veröffentlicht, in dem sie eine Orientierungshilfe zur Auslagerung an Cloud-Anbieter gibt. Zuvor hatte schon die European Banking Authority (EBA) „Recommendations on Outsourcing to Cloud Service Providers“ (Dezember 2017) veröffentlicht.

Die Orientierungshilfe soll keine neuen aufsichtsrechtlichen Anforderungen an Auslagerungen aufstellen, sondern möchte aufgrund der aktuellen Verwaltungspraxis der BaFin (vgl. etwa AT 9 MaRisK, Abschnitt II Nr. 8 BAIT) auf die wesentlichen Aspekte eines Outsourcing an Cloud-Anbieter hinweisen. Die Orientierungshilfe richtet sich an alle im Finanzsektor beaufsichtigen Unternehmen (Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungsunternehmen, Pensionsfonds, Wertpapierdienstleistungsunternehmen, Kapitalverwaltungsgesellschaften, Zahlungsinstitute und E-Geld-Institute).

Das Merkblatt differenziert zwischen verschiedenen Cloud-Diensten:

  • Infrastructure as a Service (IaaS – Bereitstellen von Rechenleistungen und Speicherplatz);
  • Platform as a Service (PaaS – Bereitstellen von Entwicklerplattformen);
  • Software as a Service (SaaS – Bereitstellen von Softwareapplikationen / Webanwendungen)

und Bereitstellungsmodellen:

  • Private Cloud;
  • Community Cloud;
  • Public Cloud;
  • Hybrid Cloud;

wobei die im Merkblatt gemachten Ausführungen unabhängig von der Art der Dienstleistung und den Bereitstellungsmodellen gelten sollen. In der Orientierungshilfe werden ausführliche Hinweise zu (i) strategischen Überlegungen gemacht (Das beaufsichtigte Unternehmen soll Überlegungen zur Nutzung von Cloud-Diensten in seiner IT-Strategie abbilden.), (ii) zur Analyse und Wesentlichkeitsbewertung (Liegt eine Auslagerung vor? Ist sie wesentlich?) und (iii) zur Vertragsgestaltung gegeben.

Hervorzuheben ist die Möglichkeit von beaufsichtigten Unternehmen von Erleichterungen bei Prüfungshandlungen Gebrauch zu machen, die bei Cloud-Dienstleistungen von besonderer Relevanz sind. Die beaufsichtigten Unternehmen dürfen grundsätzlich von Sammelprüfungen oder Gebrauch machen oder gängige Zertifikate heranziehen.