BAFIN regulierte Branche und Cloud – (k)ein Hexenwerk?

Oliver Regeniter, Key Account Manager bei sidion

In den BAFIN kontrollierten/regulierten Branchen besteht eine erhebliche Unsicherheit bei der Nutzung von Cloud Technologien. Branchenspezifisch werden z.B. Versicherer in der VAIT und Kapitalverwaltungsunternehmungen (z.B. Banken) in der KAIT adressiert.
Mit dem Rundschreiben 11/2019 Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT), erkennt die BAFIN an, dass „…die Einbeziehung von IT-Dienstleistungen, die durch IT-Dienstleister bereitgestellt werden, eine zentrale Bedeutung für die Finanzwirtschaft [hat] und weiter an Bedeutung gewinnen [wird].“, um dann in jenem Rundschreiben die existierenden Regelungen z.B. aus dem KAGB weiter zu konkretisieren bzw. zu strukturieren.

Es stellt sich die Frage inwieweit neue Anforderungen gestellt werden bzw. wo die Herausforderung für die Umsetzung liegt, wenn z.B. Clouddienste genutzt werden sollen.

Die Anforderungen im Rundschreiben sind in 8 Unterpunkten kategorisiert.

1. IT-Strategie
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Benutzerberechtigungsmanagement
6. IT-Projekte
7. IT-Betrieb (inkl. Datensicherung)
8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Punkt 8 ist hier von besonderem Interesse, da in diesem Abschnitt auch die Begrifflichkeit Cloud das erste Mal erwähnt wird. Dem Begriff der (wesentlichen) Auslagerung kommt demnach entscheidende Bedeutung zu, insbesondere die Themen Risikobetrachtungen und die Abgrenzung zum „sonstigen“ Fremdbezug. Überlegungen zu detaillierteren Kriterien, z.B. im Sinne einer Checkliste, stellt die BAFIN nicht an, die Gesamtbewertung im Einzelfall entscheidet. Jedoch verweist sie auf das Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter.

Fakt ist, dass eine Auslagerung meistens mit einer Verlagerung der Fertigungstiefe einhergeht und dadurch zwangsläufig eine Verlagerung oder ein Aufbau von Fähigkeiten/Skills zur Nutzung und Erfüllung der Vorschriften erforderlich ist.

Im Merkblatt werden Clouddienste kategorisiert über Dienstleistungsmodelle (SaaS, PaaS, IaaS) und Bereitstellungsmodelle (öffentliche Cloud, private Cloud, Community Cloud, Hybrid Cloud). Die Definition zu Clouddiensten von der EBA wird übernommen. Danach werden die wichtigsten der zu beachtenden Punkte bei einer wesentlichen Auslagerung durch Clouddienste, als Orientierungshilfe aufgeführt. Der größte Fokus dieser Merkblatt Orientierungshilfen liegt dabei auf dem Punkt Vertragsgestaltung mit dem Dienstleister.

Die Herausforderung an die Unternehmen stellt sich also gar nicht nur beim Einsatz neuester Cloud Technologien, sondern genauso bei allen wesentlichen Auslagerungen.

Der Dienstleister der Wahl muss nun einerseits die regulatorischen Anforderungen einhalten und „revisionssicher“ arbeiten und andererseits muss die Vertragsgestaltung konform der Regulatorik sein und z.B. keinen Rechteverlust des auslagernden Unternehmens bedingen. Daraus ergibt sich der besondere Stellenwert der Vendorsteuerung und Vertragsgestaltung.

Punkte wie Informationssicherheitsmanagement, Berechtigungsmanagement u.a. sollten (eigentlich) schon vorhanden und implementiert sein.
Hier kann und muss nun sauber strukturiert anhand der acht o.g. Anforderungskapiteln gearbeitet werden, um die BAFIN-Konformität herzustellen und nachweisen zu können.

Die Anforderungen an sich sind dabei nicht wirklich neu, sondern ergaben sich schon vorher aus einem Strauß an regulatorischen Quellen.

TLDR: Die BAFIN stellt für die Nutzung von Cloud Technologien keine neu definierten Ansprüche, sondern setzt Sie mit der Auslagerung von IT-Dienstleistungen gleich. Demnach kommt den Themen Governance, Dienstleistersteuerung und Vertragsgestaltung mit den Dienstleistern eine besondere Bedeutung im Umfeld Cloud zu. Neu sind diese Anforderungen nicht, jedoch nun konkreter/besser strukturiert/gefasst.