Strenge Regeln für die Cloud-Nutzung

von Andreas Dolezal

Die Europäischen Aufsichtsbehörden EIOPA und ESMA rücken die „Auslagerung an Cloud-Anbieter“, also das zunehmende Nutzen von Cloud-Speichern und Cloud-basierten Services, in ihren Fokus. Beide Aufsichtsbehörden haben dazu Leitlinien veröffentlicht, die seit 1. Januar 2021 (EIOPA) bzw. 31. Juli 2021 (ESMA) angewendet werden sollen. Welche Pflichten ergeben sich daraus für Finanzdienstleister?

Bereits am 6. Februar 2020 hat die EIOPA ihre „Leitlinien zum Outsourcing an Cloud-Anbieter“ veröffentlicht, die seit 1. Januar 2021 für alle neu abgeschlossenen Auslagerungsvereinbarungen gelten. Bestehende Vereinbarungen, die kritische oder wichtige operative Funktionen oder Tätigkeiten betreffen, sind bis 31. Dezember 2022 zu überprüfen und entsprechend anzupassen. Falls dies nicht fristgerecht erfolgt, „sollte das Unternehmen seine Aufsichtsbehörde entsprechend benachrichtigen“.

Die Europäische Wertpapier- und Marktaufsichtsbehörde ESMA hat am 18. Dezember 2020 ihren „Final Report: Guidelines on outsourcing to cloud service providers“ veröffentlicht. Seit 10. Mai 2021 liegt die deutsche Übersetzung der Leitlinien vor, die ab 31. Juli 2021 auf alle neuen Vereinbarungen anzuwenden sind. Bestehende Vereinbarungen sollen ebenfalls bis 31. Dezember 2022 angepasst werden. Falls dies nicht erfolgt, „sollten die Firmen ihre zuständige Behörde entsprechend informieren“.

Schon diese beiden Textzitate zeigen, dass die Leitlinien sehr ähnliche Inhalte aufweisen. Jene der ESMA sind etwas kompakter gestaltet (neun statt sechszehn einzelner Leitlinien), daher werfen wir im Folgenden anhand der deutschen Version der ESMA Leitlinien einen auszugsweisen Blick auf die Bestimmungen. Allen betroffenen Unternehmen empfehle ich eine umfassende Betrachtung.

Die ESMA nennt in ihren deutschen Leitlinien klar die Adressaten, unter anderem Wertpapierfirmen. Als Erfüllungsgehilfe einer Wertpapierfirma werden Sie als eine Einheit mit dieser gesehen. Vertraglich gebundenen Vermittlern und Wertpapiervermittlern empfehle ich daher ebenfalls, die neuen ESMA Leitlinien zu berücksichtigen. Es könnte gut sein, dass Ihr Haftungsdach bald danach fragt.

Sinn und Zweck

Das zunehmende Auslagern von Anwendungen an Cloud-Service-Provider bringt, so die ESMA einleitend, Vorteile mit sich, ist aber nicht frei von Herausforderungen und Risiken. Der Zweck der Leitlinien ist es, Unternehmen dabei zu helfen, die Risiken, welche sich aus dem Auslagern an Cloud-Anbieter ergeben können, zu identifizieren, zu bewältigen und zu überwachen.

Gleichzeitig sollen die Leitlinien den zuständigen Behörden bei der Ermittlung, Bewältigung und Überwachung von Risiken und Herausforderungen im Zusammenhang mit Auslagerungen an Cloud-Anbieter als Hilfestellung dienen. Die Finanzmarktaufsicht wird sich also an diesen Leitlinien orientieren. Lesen sie mehr in der August Ausgabe von risControl Print.