Die 6. MaRisk-Novelle erweitert und konkretisiert die Anforderungen an Auslagerungen in verschiedenen Punkten:
Welcher Fremdbezug von Leistungen ist nicht im Anwendungsbereich des § 25b KWG?
Die Regelungen zu § 25b KWG sind auf den Bezug derartiger Dienstleistungen und Güter nicht anwendbar. Nach wie vor hat das Institut aber auch hier die Pflicht, die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten. Ergänzt wurde der Katalog etwa um die Nutzung von globalen Zahlungsverkehrsinfrastrukturen (z.B. Kartenzahlungsverfahren).
Die Risikoanalyse
Die BaFin hat die Vorgaben zur Risikoanalyse um Bewertungskriterien, die bei der Risikoanalyse zu berücksichtigen sind, erweitert und die schon vorhandene Kriterien konkretisiert. Zukünftig sind politische Risiken, Interessenkonflikte oder Aspekte des Datenschutzes im Zusammenhang mit der vorgesehenen Auslagerung zu integrieren. Weiterhin sind Szenarioanalyse zu ergänzen, bei der die Auswirkungen möglicher Risikoereignisse, wie etwa die mangelhafte Erbringung der ausgelagerten Dienstleistung durch das Auslagerungsunternehmen, modelliert werden. Weiterverlagerungen, insbesondere bei mit langen und komplexen Auslagerungsketten verbunden Risiken sind im Rahmen der Risikoanalyse zu bewerten. Erleichterungen für Gruppenstrukturen bei Risikoanalyse und -management Institute können die Risikobewertung z.B. positiv beeinflussen, dass sie bei gruppen- und verbundinternen Auslagerungen ein einheitliches und umfassendes Risikomanagement etablieren. Lagern mehrere Institute einer Gruppe oder eines Verbundes an gemeinsame Auslagerungsunternehmen aus, so können sie ein zentrales Auslagerungsmanagement einrichten.
Auslagerung von Leitungsaufgaben weiterhin unzulässig – Auslagerung kritischer Bereiche erleichtert
Das Verbot der Auslagerung von Leitungsaufgaben der Geschäftsleitung wird aufrechterhalten. Auslagerungen dürfen nicht dazu führen, dass das Institut nur noch als leere Hülle (empty shell) existiert.
Die vollständige Auslagerung der besonderen Bereiche Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nach wie vor nur gruppenintern zulässig, wenn das auslagernde Institut hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor und hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. Auslagerungen an Schwesterunternehmen innerhalb der Institutsgruppe zulässig.
Ausgestaltung von Auslagerungsvereinbarungen
Der Katalog zwingender Inhalte, die die schriftliche Auslagerungsvereinbarung enthalten muss, wurde wesentlich erweitert. So müssen etwa die Standorte benannt werden, an denen die ausgelagerte Dienstleistung durchgeführt wird.
Informations- und Prüfungsrechte der internen Revision, externer Prüfer, sowie Kontrollmöglichkeiten der Aufsichtsbehörden bezüglich der ausgelagerten Prozesse
Informations- und Prüfungsrechte sollten möglichst auch für nicht wesentliche Auslagerungen vereinbart werden, falls abzusehen ist, dass sie in naher oder mittlerer Zukunft als wesentlich eingestuft werden könnten. Die Vereinbarungen müssen auch Zugangsrechte zu relevanten Gebäuden des Auslagerungsunternehmens gewähren.
Kündigungsrechte
Die Auslagerungsvereinbarung muss Kündigungsrechte und angemessene Kündigungsfristen enthalten. Das Auslagerungsunternehmen sollte verpflichtet werden, im Falle der Kündigung das Institut bei der Übertragung der ausgelagerten Prozesse an ein anderes Unternehmen zu unterstützten.
Datenschutz
Der Datenschutz wird gestärkt, indem u.a. nun auch in Vereinbarungen für nicht wesentliche Auslagerungen datenschutzrechtliche Regelungen getroffen werden sollen. Institute sollen im Bereich Datenschutz und Informationssicherheit einen risikobasierten Ansatz verfolgen.
Zentraler Auslagerungsbeauftragte und Auslagerungsregister
Auslagernde Institute haben die Funktion eines zentralen Auslagerungsbeauftragten zu schaffen. Dieser ist der Geschäftsleitung unmittelbar unterstellt, womit die BaFin dessen Bedeutung hervorhebt. Bei kleineren Instituten kann unter gewissen Voraussetzungen auch ein Mitglied der Geschäftsleitung diese Funktion übernehmen. Ob zusätzlich ein zentrales Auslagerungsmanagement zur Unterstützung des Auslagerungsbeauftragten einzurichten ist, hängt entsprechend des Proportionalitätsgrundsatzes von Art, Umfang und Komplexität der Auslagerungsaktivitäten ab. Neu ist auch die Pflicht zur Führung eines Auslagerungsregisters, in dem Informationen zu sämtlichen Auslagerungsvereinbarungen festgehalten werden.