Die BaFin hat am 29. Juni 2021 angekündigt, die Leitlinien der ESMA zur Auslagerung an Cloud-Anbieter anwenden zu wollen. Diese bieten eine Orientierung insbesondere bei der Ermittlung, dem Management und der Überwachung von Risiken im Zusammenhang mit Auslagerungen an Cloud-Anbieter.
Die ESMA hatte die Leitlinien zur Auslagerung an Cloud-Anbieter am 10. Mai 2021 veröffentlicht. Darin hält die ESMA fest, dass diese Leitlinien sich sowohl an die Aufsichtsbehörden als auch an die betreffenden Unternehmen richten, also u. a. an
- Wertpapierfirmen und Kreditinstitute im Rahmen der Erbringung von Wertpapierdienstleistungen und der Ausübung von Anlagetätigkeiten, Datenbereitstellungsdienste und Betreiber von Handelsplätzen,
- die Verwalter und Verwahrstellen von OGAW ohne zugelassene Verwaltungsgesellschaft und von alternativen Investmentfonds (AIF), sowie
- zentrale Gegenparteien.
Die ESMA stellt in ihrer Veröffentlichung Leitlinien zu neun Themenbereichen auf, nämlich:
- Governance, Kontrolle und Dokumentation,
- Risikoanalyse der Auslagerung und Due-Diligence-Prüfung,
- zentrale Bestandteile des Auslagerungsvertrags,
- Informationssicherheit,
- Ausstiegsstrategien,
- Zugangs- und Prüfungsrecht der Aufsichtsbehörden,
- Sub-Auslagerungen,
- Mitteilung an die zuständigen Behörden über beabsichtigte Auslagerungsvereinbarungen mit Cloud-Anbietern, sowie
- Überwachung von Auslagerungsvereinbarungen mit Cloud-Anbietern.
Mit ihrer Ankündigung, die ESMA-Leitlinien anwenden zu wollen, hat die BaFin zu erkennen gegeben, dass diese Leitlinien sich in der Verwaltungspraxis der BaFin widerspiegeln werden. Zur Anwendung der ESMA-Leitlinien weist die BaFin darauf hin, dass sie von der Definition der „Auslagerungsvereinbarung mit Cloud-Anbietern“ auch Auslagerungen an Dritte umfasst sieht, die zwar selbst keine Cloud-Anbieter sind, aber in erheblichem Maße auf einen Cloud-Anbieter zurückgreifen, um eine Funktion wahrzunehmen, die das beaufsichtigte Unternehmen sonst selbst wahrnehmen würde. Diese weite Auslegung sollte von den betroffenen Unternehmen also berücksichtigt werden.
