Neue EBA-Leitlinien zum Outsourcing
Banken drohen strengere Outsourcing-Regelungen
- Ab 30. September 2019 sind die neuen EBA-Leitlinien für Auslagerungsvereinbarungen anzuwenden.
- Vor der Auslagerung von Diensten wird eine Pre Outsourcing Analysis gefordert.
- BaFin behält sich eine Übernahme von EBA-Leitlinien vor.
Foto: canadastock - shutterstock.com
Aufgrund der zunehmenden Digitalisierung müssen auch FinanzinstituteFinanzinstitute ihre Geschäftsmodelle an technische Innovationen anpassen. Eine Möglichkeit besteht darin, klar definierte Aufgaben an externe Dienstleister auszulagern. Bei einem solchen OutsourcingOutsourcing werden an Unternehmen des Finanzsektors hohe Anforderungen gestellt. Dabei bleibt das Leitungsorgan trotz der Auslagerung zu jeder Zeit für die eigenen Prozesse verantwortlich. Alles zu Outsourcing auf CIO.de Top-Firmen der Branche Banken
EBA Leitlinien ab September verbindlich
Am 25. Februar 2019 hat die European Banking Authority ("EBA") den "Final Report on EBA Guidelines on outsourcing arrangements" veröffentlicht. Diese Leitlinien sollen sicherstellen, dass die Institute, aber auch Zahlungs- und E-Geld-Institute einen einheitlichen europäischen Rahmen für das Outsourcing ihrer Bank- und Zahlungsaktivitäten sowie -dienstleistungen anwenden können.
Die EBA-Leitlinien sind ab dem 30. September 2019 in Deutschland anzuwenden und gelten ab diesem Zeitpunkt für alle Auslagerungsvereinbarungen, die geschlossen, verlängert, ergänzt oder überprüft werden.
Vereinbarungen, die unverändert bleiben, müssen jedoch auch bis spätestens zum 31. Dezember 2021 an die EBA Outsourcing Guidelines angepasst werden. Sie ersetzen die CEBS-Leitlinien zur Auslagerung vom 14. Dezember 2006 und auch die jüngst mit Datum vom 28. März 2018 veröffentlichen Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter.
Änderung des Begriffes der Auslagerung
Durch die neuen EBA-Leitlinien hat sich zunächst der Begriff der Auslagerung verändert. Nach dem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu den "Mindestanforderungen an das Risikomanagement" (MaRisk) lag eine Auslagerung vor, "wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden."
- Heiko Burdack
Der CIO der Signal Iduna Gruppe, Heiko Burdack, wechselte zum 1. Februar 2023 als Chief Technology Officer zur Commerzbank. - Gerhard Grebler
Seit Januar 2018 ist Grebler bei der Landesbausparkasse (LBS Bayern) für die Bereiche IT, Personal und Revision verantwortlich. - Melanie Kehr
IT-Verantwortliche bei der staatlichen Förderbank KfW (Kreditanstalt für Wiederaufbau) ist seit April 2018 Melanie Kehr. Seit 2014 leitete sie als Bereichsleiterin Group IT den Bereich Informationstechnologie der BayernLB. Zunächst war Kehr Generalbevollmächtige der KfW, seit März 2019 ist sie auch Vorstandsmitglied der Bank. - Tobias Schmitt
Tobias Schmitt ist CIO der NRW.Bank Düsseldorf/Münster. Im Jahr 2010 wählte ihn die Jury vom Wettbewerb "CIO des Jahres 2010" zu einem der besten IT-Verantwortlichen in der Kategorie Mittelstand. - Mike Dargan
Head of Information Technology bei der Schweizer Bank UBS ist seit Mitte September 2016 Mike Dargan. Er arbeitet in Zürich und gehört dem Group COO Executive Committee der Bank an. Dargan war zuletzt CIO des Corporate and Institutional Banking der Standard Chartered Bank und dort für die End-to-End-Technologie und Betriebsprozesse dieser Geschäftsfelder zuständig. - Simone Bock
Der Finanzdienstleister State Street Bank International GmbH hat Simone Bock zum Head of IT ernannt. Seit dem 1. Dezember 2022 leitet Bock von München aus die IT der State Street Bank International GmbH (SSBI). Die erfahrene IT-Managerin kommt von der BNP Paribas Group. - Bernd Leukert
Bernd Leukert wurde am 1. Januar 2020 Vorstand für Technologie, Daten und Innovation der Deutschen Bank. Von 2014 bis 2019 war Leukert Technikvorstand bei SAP, wo er 1994 seine Karriere begann. - Stephan Tillack
Stephan Tillack (49) verantwortet seit 2014 den IT-Bereich der Norddeutschen Landesbank (NORD/LB). Unter seiner Verantwortung wurden in den letzten Jahren diverse Modernisierungs- und Standardisierungsmaßnahmen vorgenommen, u.a. wurde die IT-Plattform für das Wholesale-Kreditgeschäft ausgetauscht, die Integrationsarchitektur für die dispositiven Daten erneuert und eine neue Core-Banking Plattform für die ausländischen Niederlassungen eingeführt. Die komplette Client/Server-Architektur inkl. Bürokommunikation wurde auf Microsoft-Standard überführt, die bestehenden Rechenzentren konsolidiert, das IT Risikomanagement grundlegend modernisiert, ein Innovations- und ein Datenlabor aufgebaut und die gesamte IT der Bremer Landesbank in die NORD/LB integriert. Stephan Tillack ist seit 1999 in diversen Führungsaufgaben bei der NORD/LB tätig. - Hans-Jürgen Plewan
Hans-Jürgen Plewan ist seit 2013 Head of Group IT in der DekaBank. Zuvor führte der promovierte Informatiker die Geschäfte der Finanz Informatik Solutions Plus (FISP), einer Tochter der Finanz Informatik (FI). Die FI ist zentraler IT-Dienstleister der Sparkassen. Die DekaBank ist das Wertpapierhaus der Sparkassen. Im Vorstand vertritt seit Mai 2019 COO Daniel Kapffer die IT. - Aysel Osmanoglu
Aysel Osmanoglu ist seit Januar 2016 IT-Vorstand bei der GLS Bank in Bochum (vormals Ökobank), zuständig für Infrastruktur/IT. Die BaFin muss der Berufung noch zustimmen. Osmanoglu stieg 2006 als Trainee ein und wurde 2013 zur Bereichsleiterin Basisgeschäft Marktfolge ernannt. Sie absolvierte ein Studium der Volks- und Betriebswirtschaftslehre, zugleich ist sie diplomierte Bankbetriebswirtin Management der Akademie Deutscher Genossenschaften. - Rudolf Hoyer
Der Diplom-Informatiker Rudolf Hoyer ist seit September 2012 Leiter des Unternehmensbereiches Informationstechnologie und Organisation bei der Hamburger Sparkasse (Haspa). Seit 2009 leitet Hoyer bei der Haspa den Unternehmensbereich „Produktivität und Prozesse“. Davor war er im Stabsbereich der NRS Norddeutsche Retail-Service AG (ein Unternehmen der HASPA-Gruppe) tätig. Bis 2005 arbeite Hoyer bei der HypoVereinsbank in Hamburg und München, wo er die Integration der Vereins- und Westbank begleitete. Von 2005 bis 2007 verantwortete er in der VR Kreditwerk AG das Kreditprocessing in Norddeutschland. - Dorothée Appel
Seit Oktober 2020 arbeitet Dorothée Appel als Chief Information Officer für Retail Banking, Commercial Banking und Functions (RCBF) in der Abteilung Innovation & Technology der ABN Amro. - Michael Clijdesdale
Seit dem 1. April 2022 ist Michael Clijdesdale Chief Information Officer im Vorstand der ING Deutschland. - Rainer Neske
Rainer Neske, Vorsitzender des Vorstands der Landesbank Baden-Württemberg (LBBW), hat im Januar 2018 die Zentralbereiche Finanzen und Informationstechnologie mitübernommen. Zuvor hatte zuletzt Alexander von Uslar die CIO-Funktion inne. - Volker Stadler
Volker Stadler ist seit September 2017 Geschäftsführer der Volkswagen Bank GmbH und dort verantwortlich für Operations und Informationstechnologie. Stadler war zuvor Abteilungsleiter Steering & Strategy IT der Volkswagen Financial Services AG. - Christian Brauckmann
Nach der Fusion von DZ Bank (Deutsche Zentral-Genossenschaftsbank) und WGZ Bank (Westdeutsche Genossenschafts-Zentralbank) zum August 2016 ist Christian Brauckmann neuer Vorstand für IT und Organisation. Er war bei der WGZ Bank zuvor zuständig für die Bereiche Financial Markets Operations, Zahlungsverkehr und Organisation und Betrieb. - Christiane Vorspel
Christiane Vorspel wird ab Oktober COO im Vorstand der Commerzbank und verantwortet damit auch die IT. Sie kommt von der LBBW. - Joachim Wuermeling
Der Jurist Joachim Wuermeling ist seit Anfang November 2016 offiziell Mitglied im Vorstand der Deutschen Bundesbank. Der Vorstand der Deutschen Bundesbank hat auch die Ressortzuständigkeiten neu verteilt. Wuermeling übernahm die Verantwortung für die Bereiche Informationstechnologie und Märkte. Wuermeling war von 1999 bis 2005 Europaabgeordneter der CSU und von 2005 bis 2008 beamteter Staatssekretär im Bundeswirtschaftsministerium. Dann wechselte er in die Hauptgeschäftsführung des Gesamtverbandes der Deutschen Versicherungswirtschaft, danach wurde er Vorsitzender des Verbandes der Sparda-Banken in Frankfurt. - Alexander Neumann
Bei der Bausparkasse Schwäbisch Hall hat im November 2016 Alexander Neumann die Position des Leiters IT-Steuerung übernommen. Neumann kommt aus dem eigenen Haus: Zuletzt arbeitete er bei der Schwäbisch Hall Kreditservice AG, ein Finanzdienstleister im Kredit-, Bauspar- und Förderkreditgeschäft, als Bereichsleiter IT-Lösungen und Projekte. - Axel Schnuck
Axel Schnuck ist seit Dezember 2016 Head of Information Technology bei der Deutsche Pfandbriefbank AG (pbb) in Unterschleißheim bei München. Schnuck war zuvor 13 Jahre in der zur DZ-Bank gehörenden Schwäbisch Hall Gruppe tätig. - Manuela Bieß
Manuela Bieß (Foto) und Jürgen Wiedmann leiten seit Januar 2018 gemeinsam den Bereich "Informationstechnologie" der Helaba. Der Bereich "Organisation und Informatik" wurde zum 1. Januar 2018 in die zwei eigenständigen Bereiche "Organisation“ und „Informationstechnologie" geteilt. - Wolfgang Ludwig
Wolfgang Ludwig ist seit Juli 2018 neuer Bereichsleiter Group IT/CIO der BayernLB. Der CIO berichtet an den CFO/COO der Bank. Ludwig arbeitet bereits seit 1996 für die BayernLB. Er hat im Zuge seiner Laufbahn verschiedene Fach- und Führungsfunktionen in München inne. Einige Jahre war er auch in der Niederlassung London tätig. - Andreas Fahrni
Als Nachfolger von Urs Monstein übernahm Andreas Fahrni formal ab Juni 2018 die Rolle als Global Head IT der Bank Julius Bär. Nebst der Führung der globalen IT-Organisation der Bank mit Entwicklungs- und Betriebszentren in Zürich, Singapur und Luxembourg, haben für ihn die agile Transformation, die Digitalisierung des Bankkundengeschäfts und die Harmonisierung des globalen Betriebsmodels Priorität. Zuvor war Fahrni seit 2008 in der Bank Julius Bär in verschiedenen Funktionen tätig. Nach dem Master als Dipl. El.-Ing. ETHZ er zudem in verschiedenen Software-Entwicklungsprojekten bei der Firma Accenture in führenden Funktionen tätig. - Ulrich Reidel
Der promovierte Wirtschaftswissenschaftler Ulrich Reidel ist seit Juli 2019 Chief Information Officer der Baader Bank mit Sitz in Unterschleißheim bei München. Zuvor war Reidel als CIO und CDO für die Südleasing und Südfactoring tätig, Töchter der Landesbank Baden-Württemberg (LBBW). Reidel hatte seine berufliche Laufbahn bei der Excelsis Business Technology begonnen. Weitere Stationen führten ihn über die Börse Stuttgart (Abteilungsleiter Projekt- und IT-Controlling / Bereichsleiter IT Service Management) und die MBtech Group (Leiter Software Standards and Integration). - Sandra Kagerer
Sandra Kagerer besetzt seit 1. April die neu geschaffene Position des Head of IT der Airbus Bank in München. Sie berichtet an Matthias Jacobs, Head of IT & Operations. Zuvor war Kagerer IT Governance Manager der Kapitalverwaltungsgesellschaft BayernInvest. Bis 2018 war die Finanzmathematikerin bei der Beratungsgesellschaft KPMG Deutschland unter anderem im Risk-Management tätig. - Francine Zimmermann
Francine Zimmermann hat im September 2017 die Leitung Auftragsmanagement bei der Finanz Informatik Technologie Service (FI-TS) mit Sitz in Haar bei München übernommen. Sie war zuvor 4,5 Jahre CIO bei der Häfen und Güterverkehr Köln AG (HGK). - David Mathers
Der Brite David Mathers ist seit Anfang Mai 2012 in Personalunion CFO und CIO bei der Credit Suisse. Die Schweizer Großbank hat ihre Bereiche Finance, Operations und IT zusammengelegt. Im Zuge dessen verließ der vormalige CIO Karl Landert die Bank. - Klaus Bremges
Seit Juli 2013 arbeitet Klaus Bremges als CIO der Portigon AG, diese ist die Rechtsnachfolgerin der WestLB. Die Portigon will zudem eine Service-Gesellschaft gründen, um Outsourcing-Dienstleistungen am Markt anbieten zu können. Bremges leitet auch die IT der Portigon Financial Services GmbH.
In den EBA-Leitlinien wird der Adressatenkreis erweitert. Zusätzlich erfasst sind nunmehr auch Zahlungsinstitute und E-Geld-Institute. Darüber hinaus wird nunmehr auch negativ abgegrenzt: Nicht zur Auslagerung zählen nach Teilziffer (Tz.) 28 beispielweise Funktionen, deren Vornahme durch Dritte rechtlich vorgeschrieben sind (etwa Jahresabschlussprüfung), Marktinformationsdienstleistungen und Visa- / Mastercard-Dienstleistungen.
Kritische oder wesentliche Funktionen
Die EBA-Leitlinien differenzieren (wie die MaRisk) zwischen zwei Arten der Auslagerung: Die EBA spricht von der Auslagerung "kritischer oder wesentlicher" und "sonstiger" Funktionen. Nach Tz. 29 ff. sind Funktionen "kritisch oder wesentlich", wenn die Auslagerung dieser Funktion u.a. entweder die Einhaltung der Zulassungsbedingungen, die finanziellen Ergebnisse oder die Kontinuität der Bank- und Zahlungsdienste und -geschäfte des auslagernden Unternehmens wesentlich beeinträchtigen würde. Als besonders risikoreich werden auch Auslagerungen in Drittstaaten gesehen.
Outsourcing Analyse
Vor einer Auslagerung muss eine sogenannte "Pre Outsourcing Analysis" vorgenommen werden (Tz. 61). Dabei muss zunächst festgestellt werden, ob es sich überhaupt um eine Auslagerung handelt. Das wird regelmäßig schon im Rahmen der Vertragsverhandlungen mit dem externen Dienstleister notwendig sein. Im nächsten Schritt ist dann im Rahmen der Pre-Outsourcing Analysis zu bestimmen, ob eine Auslagerung einer kritischen oder wesentliche Funktion vorliegt. Außerdem ist eine umfassende Risikoanalyse vorzunehmen und auch das Auslagerungsunternehmen ist im Rahmen einer Due Diligence auf seine Geeignetheit zu überprüfen. Liegt eine Auslagerung einer kritischen oder wesentlichen Funktion vor, werden an die Due Diligence erhöhte Anforderungen gestellt.
Ebenso müssen im Rahmen der Pre Outsourcing Analysis Interessenkonflikte identifiziert werden. Die Anforderungen gehen über die MaRisk-Vorgaben zur Vermeidung von Interessenkonflikten hinaus. Nach den EBA-Leitlinien müssen Interessenkonflikte nun identifiziert, bewertet und gemanagt werden.
Sonstige Pflichten
Plant ein Institut die Auslagerung einer kritischen oder wesentlichen Funktion, muss es diese bei der Aufsichtsbehörde genehmigen lassen (Tz. 29c i.V.m. Tz. 62f). Eine solche Regelung (mit Ausnahme des Geldwäschegesetzes) kennt das deutsche Recht nicht (mehr).
Man kann also davon ausgehen, dass diese Genehmigungspflicht in Deutschland nicht umgesetzt wird. Die BaFin als zuständige Behörde behält sich ohnehin eine Übernahme von EBA-Leitlinien in ihre Verwaltungspraxis vor. Ebenso besteht die Pflicht, ein Register über alle Auslagerungen zu führen (Tz. 52). Auch an diese Dokumentationspflicht werden detaillierte Anforderungen durch die EBA gestellt (Tz. 54 ff.).
Anforderungen an das Outsourcing steigen
Die Anforderungen an eine Auslagerung von Aktivitäten und Prozessen durch ein Unternehmen der Finanzindustrie sind in der MaRisk und den EBA-Guidelines grundsätzlich ähnlich strukturiert. Gleichwohl zeigt das vorstehende Streiflicht über die neuen Regelungen der EBA Outsourcing Guidelines, dass in Zukunft die Anforderungen an ein Outsourcing sehr viel konkreter und detailreicher sind und das Management von Outsourcing-Verhältnisse aufwändiger wird: Die Leitlinien umfassen 125 Seiten, wovon ca. 30 Seiten konkrete Anforderungen darstellen. Die BaFin hat gegenüber der EBA die ComplianceCompliance mit den Guidelines erklärt, allerdings wird mit einer Umsetzung durch eine Novellierung der MaRisk erst Ende 2020 gerechnet. Alles zu Compliance auf CIO.de