Compliance nach EBA: Zentrales Fintech-Auslagerungsregister

by House of Control | 26.02.2021 09:18:43

Neue EU-Bestimmungen verschärfen die Governance-Anforderungen für Banken und andere Finanzinstitutionen im Umgang mit der Auslagerung von Finanztechnologie (Fintech). Diese beinhalten Anforderungen an ein zentrales Register für Verträge mit Subdienstleistern. Mehrere Banken sind bereits Kunde von House of Control und setzen Complete Control ein, um die vorgegebenen Anforderungen zu erfüllen.

Ausgangspunkt sind die von der Europäischen Bankenaufsichtsbehörde (EBA) herausgegebenen Leitlinien zum Umgang mit Outsourcing („Guidelines on outsourcing arrangements“ (EBA/GL/2019/02)), welche die Grundlage für nationale Regelungen bilden. Die Vorschriften gelten in der EU und im gesamten EWR.

Die Vorschriften sollen dem Umstand Rechnung tragen, dass Finanzinstitutionen zunehmend Tätigkeiten auslagern, um Kosten zu reduzieren und Flexibilität und Effizienz zu steigern. Im Vorwort der neuen Leitlinien bezieht sich die EBA auf die zunehmende Bedeutung neuer Finanztechnologien im Rahmen der Digitalisierung. Finanzinstitutionen passen ihre Geschäftsmodelle an, um neue Technologien einzuführen. Die Auslagerung spielt eine wichtige Rolle, da diese Finanzinstitutionen einen schnellen Zugang zu neuen Technologien bietet und Skalierungseffekte ermöglicht.

Die neuen Vorschriften richten sich an Banken, Kreditinstitute, Investitionsgesellschaften sowie Zahlungs- und E-Geld-Institutionen. Sie enthalten Anforderungen, die sicherstellen sollen, dass Unternehmen, die Tätigkeiten auslagern, eine angemessene Steuerung und Kontrolle über Auslagerungsverträge haben.

Eine der Anforderungen ist die Dokumentation von Auslagerungen in einem zentralen Auslagerungsregister. Dieses Register soll laut EBA folgende Informationen enthalten:

  • Anfangsdatum, nächstes Datum zur Vertragsverlängerung, Ablaufdatum und/oder Kündigungsfristen
  • Eine Beschreibung der ausgelagerten Leistung mit Kategoriezuweisung
  • Eine Beschreibung dazu, welche Daten ausgelagert werden, ob personenbezogene Daten übertragen wurden oder nicht und ob diese an einen Dienstleister ausgelagert werden (DSGVO)
  • Land oder Länder, in dem/denen die Leistung erbracht wird, mit Angabe der geltenden Gesetze
  • Angabe, ob die ausgelagerte Funktion als unternehmenskritisch oder wichtig betrachtet wird oder nicht
  • Das Datum der letzten Bewertung der Kritikalität oder Wichtigkeit der ausgelagerten Funktion
  • Bei einer Auslagerung an einen Cloud-Dienstleister: Angabe des Clouddienstes und der Implementierungsmodelle sowie der Orte, an denen die Daten gespeichert werden
  • Ein Ergebnis der Bewertung der Ersetzbarkeit des Dienstleisters sowie ob die betreffende Finanzinstitution die Aufgaben selbst ausüben kann oder nicht

Verschiedene Kunden von House of Control nutzen Complete Control, um die neuen EBA-Regulierungen zu erfüllen. Das Modul ist so konfiguriert, dass es den Anforderungen für Finanzinstitutionen in Bezug auf Dokumentation, Verwaltung, Nachverfolgung und Kontrolle entspricht – u. a. mit zeitnahen Benachrichtigungen zu wichtigen Fälligkeitsterminen.

Gerne unterstützen wir auch Sie dabei, die neuen EBA-Anforderungen an ein zentrales Auslagerungsregister zu erfüllen und mehr Überblick über Ihre Verträge zu erlangen.

Additional Reading