Die regulatorischen Herausforderungen der Cloud-Auslagerung

Wie Finanzdienstleistern der Weg in die Cloud gelingt

Abonnieren Sie den kostenlosen Bank Blog Newsletter

Die Flexibilität und Skalierbarkeit von Modellen zur Cloud-Auslagerung ist höchst attraktiv und wird auch bei Finanzdienstleistern immer beliebter. Der Gang in die Cloud bietet zwar viele Vorteile, doch auch einige Herausforderungen – vor allem regulatorischer Natur.

Aspekte der Regulierung von Cloud Banking

Die Auslagerung in die Cloud bietet Finanzdienstleistern unschätzbare Vorteile, doch damit der Gang in die Cloud gelingt, sollte vor allem der Vertragsgestaltung mit Cloud-Dienstleistern Aufmerksamkeit geschenkt werden.

Partner des Bank Blogs

Horváth ist Partner des Bank Blogs

Das Thema Cloud hat spätestens seit dem Jahr 2018 Einzug in den Finanzsektor erhalten. Wir erinnern uns: im Jahr 2018 hat Prinz Harry geheiratet, Michael Schulte belegte für Deutschland im Eurovision Song Contest Platz 5 und Eintracht Frankfurt gewann den DFB-Pokal gegen Bayern München. Von Corona ahnte noch niemand etwas.

Im Jahr 2018 wurden aber auch die Cloud-Guidelines auf europäischer und deutscher Ebene erlassen. Mit den Cloud-Guidelines haben die Finanzaufseher der Cloud-Auslagerung Salonfähigkeit attestiert. Mittlerweile hat die Finanzaufsicht auch Leitlinien zur Auslagerung an Cloud-Anbieter herausgegeben.

Die Guidelines der Finanzaufsicht zur Cloud-Auslagerung im Jahr 2018 waren keineswegs eine Selbstverständlichkeit. Denn die Ursprungsidee der Cloud, die Nutzenmaximierung von ungenutzten Rechenkapazitäten irgendwo auf der Welt, steht eigentlich diametral zur Finanzregulierung und zu den Prinzipien des Datenschutzes. Diese setzen in der Regel voraus, dass ein vordefiniertes Setup vor Inbetriebnahme geprüft und für in Ordnung befunden wurde und sich dann während der Vertragslaufzeit auch nicht mehr ändert.

Was sind die Ursachen für die bahnbrechende Entwicklung der Cloud?

Seit dem Jahr 2015 wird von der 4. Industriellen Revolution gesprochen. Dieser Umbruch dauert an und hat viele verschiedene Facetten: datengetriebene Geschäftsmodelle, Data Analytics, Künstliche Intelligenz, disruptive Technologien und neue Methoden wie Business Intelligence verändern die bestehende Geschäftslandschaft in schwindelerregender Geschwindigkeit. Neue Marktteilnehmer im Finanzsektor wie FinTechs und BigTechs erobern durch den Einsatz moderner Technologien in alten und neuen Geschäftszweigen (u.a. Bitcoin) hohe Marktanteile.

Der Trend zur Cloud-Auslagerung korrespondiert in seiner Flexibilität und Skalierbarkeit mit diesem Umbruch. Höhere Flexibilität und Skalierbarkeit führen natürlich auch zu entsprechenden Kostenvorteilen. Ein einfaches Beispiel:

  • Ein Betreiber von Sportübertragungen bietet einen Tagesspielpass über das Internet an. Für das Topspiel kaufen Millionen Fans einen Tagesspielpass. Der Sportübertragungsdienstleister kann diese Kapazität flexibel von seinem Cloud-Anbieter am Spieltag beziehen. Würde dieser Betreiber von Sportübertragungen ein eigenes Rechenzentrum bauen, müsste er dies für mindestens die Höchstzahl an Nutzern von Tagespässen konzipieren (Maximalprinzip) – eher aber für die doppelte Kapazität, um das mögliche Wachstum innerhalb der nächsten fünf Jahre zu antizipieren. Diese Kapazität würde er bei einer „on premise“-Lösung ganzjährig vorhalten müssen, obwohl er sie nur für wenige Tage der Topspiele im Jahr benötigt. Für die weniger interessanten Begegnungen würde er bei einer „on premise“-Lösung eine erhebliche Überkapazität ungenutzt vorhalten.
  • Im Rahmen einer Cloud-Lösung kann der Betreiber theoretisch nur für diese eine Leistungsspitze bedarfsgerecht Kapazität einkaufen. Möglicherweise kann die Leistung sogar nur für den zeitlich relevanten Bedarf von drei Stunden (Dauer des Spiels inkl. Vor- und Nachberichterstattung) an den jeweiligen Tagen eingekauft werden. Selbst wenn die Rechenkapazität 10- oder 20-mal so teuer wäre wie eine eigene „on premise“-Lösung, würde der Betreiber dadurch einen deutlichen Betrag einsparen.

Welche Ausgangslage herrscht im Markt vor?

Zurück in das Jahr 2018: Nach dem Erlass der Cloud-Guidelines der Regulatoren haben die meisten Akteure im Finanzsektor zumindest im Rahmen einer „Sandbox“ oder einer anderen Versuchsumgebung erste Gehversuche in der Cloud unternommen. Diese Gehversuche mündeten – meist auch nach Beratschlagung mit einschlägigen Strategieberatern – in einer „Cloud First Strategie“.

Wo liegen aus regulatorischer Sicht die Knackpunkte?

Im Finanzsektor muss beim Thema Cloud aus rechtlicher Sicht, aber auch unter Einbeziehung von Risikomanagement und Compliance sowie unter technischen Aspekten, weiterhin Wasser in den Wein gegossen werden. Denn die Cloudkonstruktion steht wie schon dargelegt diametral zur Regulatorik. Die Verrenkungen der Finanzaufsicht, um sich dennoch einem bahnbrechenden Geschäftsmodell und einer revolutionären Technologie (wie der Cloud) nicht zu verschließen, sind in den Diskussionen überall spürbar. Hinzu kommen die gewachsenen Lieferkettenmodelle der Cloud-Dienstleister, die das europäische Finanzaufsichtsrecht im bisherigen Operating Model nicht unbedingt berücksichtigt hat.

Wie kann eine Standortbestimmung und Reifegradermittlung bzw. eine Bezifferung der Risiken erfolgen?

Es sollte volle Transparenz über die Anforderungen und den Erfüllungsgrad der Anforderungen geschaffen werden. Cloud-Vorhaben stehen bei Auslagerungsprüfungen der Finanzaufsicht, bei der Internen Revision, beim Wirtschaftsprüfer, bei Datenschutz-Verantwortlichen und den Datenschutzbehörden auf Platz 1 der Lieblingslektüre. Schlecht verhandelte Verträge können also zum Albtraum werden.

In einem ersten Schritt ist das Vorhaben aus fachlicher, organisatorischer und technischer Sicht genau zu beschreiben. Zur Vorhabenbeschreibung gehört – zumindest gedanklich – auch die mittelfristige Entwicklung. Ist man auf der Suche nach einem Hosting, in das die nächsten Jahre immer höhere Anteile hineinverlagert werden sollen? Welche Fertigungstiefe wird angestrebt? Ein Data Center as a Service oder ein Hosting? Oder ist ein Software as a Service geplant – bei dem der gesamte Strauß an regulatorischen Anforderungen zu beachten ist?

Unterschiedlichen Modelle und Fertigungstiefen der Cloud

Bei der Wahl der Cloud sollte das Vorhaben und die Fertigungstiefe berücksichtigt werden.

Fertigungstiefe Cloud

Unter Berücksichtigung des Vorhabens und der Fertigungstiefe sollte die Art der Cloud gewählt werden.

Übersicht der unterschiedlichen Arten der Cloud-Infrastruktur

Es gibt sehr unterschiedliche Arten von Cloud-Infrastruktur.

Bei genauerer Betrachtung der Leistungsbeschreibungen und Vertragsvorlagen von Cloud-Dienstleistern sollte insbesondere folgenden Themen höchste Aufmerksamkeit geschenkt werden.

Anforderungskatalog für Cloud-Dienstleister

Diese Themen sind bei Leistungsbeschreibungen und Vertragsvorlagen von Cloud-Dienstleistern besonders kritisch.

4 Themen für die Banking Cloud

4 Themenfelder sollten dabei beispielhaft herausgegriffen und erläutert werden:

1. Haftungsklauseln und Pönalen

Haftung ist zwar kein originäres Fokusthema der Regulatorik. Allerdings nimmt die Finanzaufsicht bei ihren Prüfungen Haftungsklauseln als Wasserstandsmeldungen der Verhandlungsergebnisse.

In konkreten Fällen wurden Haftungsklauseln diskutiert, die sich allein im Ersatz mittelbarer Schäden erschöpften. Dabei war im einschlägigen Fall keine einzige Situation konstruierbar, in der eine mittelbare Haftung gegriffen hätten. Die Haftungsklausel lief also vollständig ins Leere. Ferner wurden Verträge diskutiert, in denen Haftung auf wenige Monatszahlungen des Monatsentgeltes gedeckelt war. Diese Begrenzung korrespondierte allerdings nicht im Entferntesten mit den tatsächlichen Risiken.

Im Zusammenhang mit Haftungsklauseln werden meist auch die Pönalen genannt. Pönalen sind das Instrument zur Einforderung vertragsgemäßer Leistungen im Tagesgeschäft. Pönalen müssen scharf formuliert sein, empfindliche Wirkung entfalten und einfach geltend gemacht werden können. Sie müssen Dienstleister nachdrücklich zur Dienstleistung motivieren können (damit erübrigt sich meist rein praktisch auch das Weisungsrecht, weil genügend Druckmittel bestehen). Häufig sind Pönalen aber tatsächlich nur mit hohem Aufwand durchsetzbar. Leistungsbeschreibung und Service Level Agreements sind als Grundlage nicht klar und präzise formuliert; Key Performance Indicators, Messpunkte, Messverfahren und eine geeignete Berichterstattung sind nicht ausreichend definiert.

2.  Weiterverlagerung

Zur Weiterverlagerung wird volle Transparenz über die gesamte Lieferkette benötigt. Sind Lieferketten historisch gewachsen, müssen diese durch die Cloud-Anbieter aufgearbeitet werden. Keine Option ist eine eigene und „verengte“ Definition von Subdienstleistern. Ausschlaggebend ist die weitere Auslegung der Finanzaufsicht, die grundsätzlich erst einmal alle Akteure in der Lieferkette als relevant ansieht.

Ein Streitthema bleibt der sogenannte Subunternehmervorbehalt, der von Mehrmandantendienstleistern als schwere Bürde empfunden wird. Als den verschiedenen Interessen gerecht werdende Lösung könnte daher darüber nachgedacht werden, Subdienstleistern einen Eignungstest für deren Subdienstleister aufzuerlegen. Bestehende Subdienstleister müssen diesen genau wie neue Subdienstleister erfolgreich durchlaufen. Ferner ist die Eignung regelmäßig und nachweislich zu überprüfen.

3.  Kündigungsrechte

In vielen Verträgen ist als Königsweg für Differenzen zwischen Cloud-Anbietern und Kunden ein außerordentliches Kündigungsrecht formuliert. Dieses wirkt auf den ersten Blick großzügig und trifft im Wesentlichen auch die Erwartung der Finanzaufsicht. Ein solches Kündigungsrecht ist aber aus Sicht der Kunden (wirtschaftlich) meist wertlos.

Cloud-Auslagerungen werden meist unter Einsatz von viel Zeit, langen Verhandlungen und hohen Kosten durchgeführt. Kein Kunde wird daran Interesse haben, sich bereits nach einer kurzen Laufzeit wieder in eine neue, ähnliche Herkulesaufgabe zu begeben. Im Ergebnis wird das regulierte Unternehmen also in vielen Fällen eine Nicht-Compliance des Dienstleisters erdulden.

Es sollte daher darauf geachtet werden, die finanzregulatorisch konform verhandelte Konstellation auch wirklich durchsetzen zu können. Regulierte Unternehmen sollten vor diesem Hintergrund über eine Mindestdauer (z.B. von fünf Jahren) nachdenken, in denen eine Leistung auch nachweislich gemäß der ausgehandelten Form erbracht wird.

4.  Mengen, Pricingklauseln und Kompatibilität mit Drittparteien

Das Mengengerüst der Leistung muss klar bestimmt werden können. Woran soll sie festgemacht werden? Performance, Rechenkapazität, Lizenzen oder einem Mix daraus? Beim Pricing sollte ferner geprüft werden, ob in einem Basis-Pricing auch alle erforderlichen Leistungen enthalten sind. Werden gesonderte Zusatzzahlungen für Optionen fällig, die aus regulatorischer Sicht hinzugebucht werden sollten (bspw. Audit- und Weisungsrechte in Test- und Entwicklungsumgebungen), muss dies im Gesamtpricing berücksichtigt werden. Ferner sollten großdimensioniert geplante Hosting-Vorhaben mit allen relevanten Kosten in die Zukunft durchgerechnet werden. Fallen etwa Zusatzkosten für die Nutzung von Fremdsoftware auf dem Hosting an, so sind diese Beträge bei der Gesamtvorhabenplanung zu berücksichtigen.

Schließlich muss bei Anwendungen für Drittparteien für Hosting-Plattformen das in der Risikoanalyse identifizierte Servicelevel auch erbracht werden können. Kann von einem Clouddienstleister nur der Basisservice geleistet werden, obwohl der Premiumservice erforderlich wäre, ist die Dienstleistereignung eher zu verneinen.

Ausblick: Der Weg in die Cloud ist mühsam

Auf dem Weg in die Cloud gibt es viele Fallstricke. Das Niederschreiben in einer strukturierten Themenliste mit den einschlägigen Themenfeldern erleichtert die Greifbarkeit des Vorhabens für alle Beteiligten. Auch das Durcharbeiten der Anforderungen mit Cloud-Anbietern in gemeinsamen Workshops hilft dabei, die Position des Cloud-Anbieters besser zu verstehen und mögliche Lösungsszenarien gemeinsam zu erarbeiten.

Auf Basis dieser Gespräche und Arbeitsgrundlagen kann eine konsolidierte Einwertung aller relevanten Aspekte vorgenommen werden, die wiederum eine Gesamtvorhabenbewertung und damit insbesondere eine Einschätzung der Vertretbarkeit ermöglicht. Die in einem solchen Rahmen erstellte Dokumentation bildet zugleich auch einen exzellenten Nachweis für die durchgeführte Vorhabenprüfung.

Über den Autor

Wolfgang Gaess

Rechtsanwalt Wolfgang Gaess ist Director im Cyber Security Team bei EY. Seine Spezialisierung auf Banken und Versicherungen ermöglicht eine intensive Auseinandersetzung mit den für Cloud-Auslagerungen einschlägigen regulatorischen Vorgaben der Finanzaufsicht und des Datenschutzes.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Kommentare sind geschlossen

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren