News

BaFin kündigt Anwendung der ESMA-Leitlinien zur Auslagerung an Cloud-Anbieter an

Die BaFin hat am 29. Juni 2021 angekündigt, die Leitlinien der ESMA zur Auslagerung an Cloud-Anbieter anwenden zu wollen. Diese bieten eine Orientierung insbesondere bei der Ermittlung, dem Management und der Überwachung von Risiken im Zusammenhang mit Auslagerungen an Cloud-Anbieter.

Die ESMA hatte die Leitlinien zur Auslagerung an Cloud-Anbieter am 10. Mai 2021 veröffentlicht. Darin hält die ESMA fest, dass diese Leitlinien sich sowohl an die Aufsichtsbehörden als auch an die betreffenden Unternehmen richten, also u. a. an

  • Wertpapierfirmen und Kreditinstitute im Rahmen der Erbringung von Wertpapierdienstleistungen und der Ausübung von Anlagetätigkeiten, Datenbereitstellungsdienste und Betreiber von Handelsplätzen,
  • die Verwalter und Verwahrstellen von OGAW ohne zugelassene Verwaltungsgesellschaft und von alternativen Investmentfonds (AIF), sowie
  • zentrale Gegenparteien.

Die ESMA stellt in ihrer Veröffentlichung Leitlinien zu neun Themenbereichen auf, nämlich:

  • Governance, Kontrolle und Dokumentation,
  • Risikoanalyse der Auslagerung und Due-Diligence-Prüfung,
  • zentrale Bestandteile des Auslagerungsvertrags,
  • Informationssicherheit,
  • Ausstiegsstrategien,
  • Zugangs- und Prüfungsrecht der Aufsichtsbehörden,
  • Sub-Auslagerungen,
  • Mitteilung an die zuständigen Behörden über beabsichtigte Auslagerungsvereinbarungen mit Cloud-Anbietern, sowie
  • Überwachung von Auslagerungsvereinbarungen mit Cloud-Anbietern.

Mit ihrer Ankündigung, die ESMA-Leitlinien anwenden zu wollen, hat die BaFin zu erkennen gegeben, dass diese Leitlinien sich in der Verwaltungspraxis der BaFin widerspiegeln werden. Zur Anwendung der ESMA-Leitlinien weist die BaFin darauf hin, dass sie von der Definition der „Auslagerungsvereinbarung mit Cloud-Anbietern“ auch Auslagerungen an Dritte umfasst sieht, die zwar selbst keine Cloud-Anbieter sind, aber in erheblichem Maße auf einen Cloud-Anbieter zurückgreifen, um eine Funktion wahrzunehmen, die das beaufsichtigte Unternehmen sonst selbst wahrnehmen würde. Diese weite Auslegung sollte von den betroffenen Unternehmen also berücksichtigt werden.