Talena Wahl, Bankenaufseherin, Deutsche Bundesbank (Dieser Beitrag gibt die eigene Meinung der Autorin wieder und stellt nicht notwendigerweise den Standpunkt der Deutschen Bundesbank dar.)
Wer die Cloud-Technologie zum heutigen Stand noch als „Trend“ bezeichnet, hat scheinbar die Nachhaltigkeit der Veränderung noch nicht erkannt. Die Nutzung der Cloud, also einer IT-Infrastruktur, die über das Internet zur Verfügung gestellt wird, ist heutzutage unumgänglich und in vielerlei Hinsicht praktisch.
Rechtliche Bestimmungen bei Auslagerungen von Kreditinstituten an Cloud-Dienstleister
Was müssen Kreditinstitute bei der Auslagerung in die Cloud beachten? Wer muss involviert werden und welche Grundvoraussetzungen müssen geschaffen werden? Das alles sind Fragen, auf die die neue Leitlinie zu Auslagerungen der European Banking Authority (EBA/GL/2019/02) eingeht. Damit geht sie über den Umfang des vorangehenden Dokuments, den Leitlinien des Committee of Banking Supervisors aus dem Jahre 2006, hinaus. Das neue Dokument ersetzt und inkorporiert ebenfalls die EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter (EBA/REC/2017/03). In Kraft getreten sind die neuen EBA-Leitlinien im Jahr 2019. Bestehende Auslagerungsverträge müssen an die neuen Bestimmungen aber erst bis zum Jahresende 2021 umgesetzt werden. Die verpflichtende Anwendbarkeit der EBA-Leitlinien in Deutschland wird durch die Umsetzung in die Mindestanforderungen an das Risikomanagement, die MaRisk, verwirklicht. Die BaFin hat hierzu im Oktober 2020 die Konsultation zur Novellierung der MaRisk gestartet.
Seminartipps
Vorteile der Cloud-Technologie
Durch eine Auslagerung an einen Cloud-Dienstleister kann ein Unternehmen Teile des Betriebs der IT-Infrastruktur auslagern. Das erspart dem Unternehmen einen hohen Wartungsaufwand und bedeutet im Umkehrschluss, dass weniger personelle und finanzielle Ressourcen gebunden sind. Cloud-Dienstleister stellen meist modulbasierte Cloud-Lösungen zur Verfügung. So kann der Leistungsumfang an die individuellen Bedürfnisse angepasst werden. Die Cloud-Lösung ist gerade bei kleinen Unternehmen oftmals die stabilste und verlässlichste Lösung, die deswegen und aufgrund der Nutzerfreundlichkeit bei den Nutzern auf eine hohe Akzeptanz stößt.
Die Auslagerung in die Cloud aus Sicht der Bankaufsichtsbehörden
Auslagerungen stehen seit ein paar Jahren im verstärkten Fokus der Bankaufsichtsbehörden. Das hängt damit zusammen, dass die Zahl der Auslagerungen stetig zunimmt und damit auch die Risiken steigen. Doch eine Auslagerung von Kreditinstituten an externe Dienstleister bedeutet nicht per se, dass die Aufsicht dies skeptisch sieht. Gerade in Bezug auf die Cloud ist auch den Aufsichtsbehörden klar, dass kein Weg an dieser Technologie vorbeiführt. Wichtig ist allerdings, dass die Risiken klar herausgestellt und berücksichtigt werden.
Buchtipp
Vor diesem Hintergrund von Bedeutung ist z. B. eine Schutzbedarfsanalyse, die Unternehmen helfen kann, ihre datenschutzrechtlichen Anforderungen festzulegen und im Rahmen der Cloud-Auslagerung umzusetzen. Neben dem Datenschutz spielt auch als ein weiteres Beispiel die Abhängigkeit vom Dienstleister eine große Rolle. Der Markt der Cloud-Dienstleistungen ist hart umkämpft und wird von wenigen großen Dienstleistern dominiert. Vor dem Hintergrund eines Abhängigkeitsverhältnisses sind Überlegungen bezüglich Ausstiegsstrategien essenziell.
Um die Anforderungen der Bankaufsichtsbehörden zu erfüllen, empfiehlt sich ein Vorgehen anhand der neuen EBA-Leitlinien, die alle wesentlichen Aspekte, die es zu beachten gilt, abdecken.
Zukunftsaussichten des Themenkomplexes Cloud-Computing
Eine Nutzung des Cloud-Computings bietet zahlreiche Vorteile, die dazu geführt haben, dass sich die Technologie durchsetzen konnte. Es ist nicht zu erwarten, dass die Nutzung der Cloud in den kommenden Jahren abebben wird, eher ist mit einem Umsatzwachstum in diesem Segment zu rechnen. Deswegen ist es erforderlich, dass Unternehmen strategische Überlegungen anstellen, wie und in welchem Umfang sie die Cloud in den kommenden Jahren nutzen wollen. Diese Überlegungen sind wichtig, da eine Auslagerung in die Cloud und die Entscheidung für einen Dienstleister in der Regel von Dauer ist. Unternehmen und Banken, die diese Überlegungen noch nicht angestellt haben, müssen dies sofort nachholen, um wettbewerbsfähig zu bleiben.
Fazit und Ausblick
Durch die Nutzung von Cloud-Diensten können Unternehmen und Banken Effizienzen steigern und den Weg für eine erfolgreiche digitale Zukunft ebnen. Hierfür ist es allerdings notwendig, dass sich die Führung der Unternehmung mit den strategischen Zielen hinter der Cloud-Auslagerung befasst. Es muss bei den Nutzern und Entscheidern ein Verständnis der Technologie etabliert werden. Nur so können Risiken identifiziert und gesteuert werden.
Kreditinstitute sollten die Auslagerung in die Cloud nicht scheuen. Eine Verteufelung der Technologie seitens der Aufsichtsbehörden ist schon lange passé. Die neuen EBA-Leitlinien definieren klar, welche Anforderungen gelten und was Institute beachten müssen. Unter Beachtung der Vorgaben kann eine Auslagerung in die Cloud erfolgreich sein und den Geschäftsbetrieb effizienter gestalten.
PRAXISTIPPS
- Eine Auslagerung in die Cloud sollte gut überlegt sein und alle Risiken sollten in einer Risikoanalyse zusammengefasst werden. Das gilt allerdings grundsätzlich für jede Auslagerung.
- Wissen darf nicht vollständig ausgelagert werden. Wer sich auf eine Auslagerung – egal welcher Art – einlässt, muss ein gewisses Verständnis der Vorgaben und Prozesse gewährleisten können. Nur so kann eine adäquate Kontrolle stattfinden.
- Die Verantwortung bleibt beim auslagernden Unternehmen. Dieses muss sicherstellen, dass die regulatorischen Anforderungen eingehalten werden.
Dieser Beitrag gibt die eigene Meinung der Autorin wieder und stellt nicht notwendigerweise den Standpunkt der Deutschen Bundesbank dar.
Beitragsnummer: 12991