MREL – Bail-in-fähige Verbindlichkeiten und Banksteuerung



Bilanzstrukturmanagement und Integration in das Funds Transfer Pricing-System

Christian Hasenclever, Leiter Strategic ALM im Treasury, Schwerpunktthemen: strategische Liquiditätssteuerung und Funds Transfer Pricing, Norddeutsche Landesbank (NORD/LB)

       

I. Einleitung und Hintergrund

Ausfallende und leistungsgestörte Kreditforderungen haben während der sog. Finanzmarktkrise der 2007/2008er Jahre zu einer industrieweiten Erosion der Kapitalausstattung der Banken geführt. Der hohe Kapitalverzehr führte vielfach zu einer Gefährdung oder Unterschreitung der seinerzeit geltenden, regulatorischen Mindestkapitalanforderungen bzw. zu einer Überschuldung einzelner Institute. Verstärkend wirkte dabei, dass sich einzelne Kapitalinstrumente als nicht nachhaltig für die Verlustbeteiligung erwiesen. Eine massive Vertrauens- und Liquiditätskrise waren die bekannte Folge, die das gesamte Finanzsystem gefährdete. Der systemische und flächendeckende Charakter der Krise führte zu einem staatlichen Bail-out, d. h. der Staat stellte umfangreich und direkt Kapital zur Verfügung, da die Banken ihre Schieflagen nicht mehr eigenständig beseitigen konnten.

Die staatliche Rekapitalisierung ermöglichte es den Banken, ihre regulatorischen Mindestanforderungen wieder einzuhalten und ihre jeweilige Geschäftstätigkeit fortzuführen. Die gesamtwirtschaftlich eminente Bedeutung eines stabilen Finanzsektors mag die Maßnahmen gerechtfertigt haben, politisch umstritten blieben sie dennoch. Zumal der staatliche Bail-out das Moral Hazard-Problem ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Datenportabilität: Neue Anforderung der DSGVO



Auch relevant für Verarbeitungen im Personalbereich?

Ulrike Seip, Senior Referentin Datenschutz, DZ BANK AG Deutsche Zentral-Genossenschaftsbank

I. Datenportabilität – Voraussetzungen und Begriffe

Mehr als ein Jahr ist die EU-Datenschutzgrundverordnung (DSGVO) nun in Kraft und entsprechend umzusetzen, aber noch längst besteht nicht zu allen Details Klarheit.

Die Ziele, die Betroffenenrechte und die Transparenz bei der Verarbeitung personenbezogener Daten zu stärken, bedürfen in verschiedenen Aspekten der weiteren Ausgestaltung und der praxisorientierten Erarbeitung.

Bei den Betroffenenrechten nach Art. 12 bis 22 DSGVO wurde insbesondere das Recht auf Datenübertragbarkeit oder Datenportabilität als absolute Innovation gesehen. In den Zeiten der Nutzung datenintensiver Internetplattformen und -portale erscheint es sehr benutzerfreundlich, wenn ermöglicht wird, dass bei einem Wechsel zu einem anderen Anbieter alle Daten mitgenommen werden können. Nutzer, die z.B. auf Facebook zahlreiche Kontakte pflegen und umfangreiche Informationen teilen, könnten davon besonders profitieren. Auf einer neuen Plattform könnten alle bisher vorhandenen Daten einfach eingespielt und so weiter genutzt und geteilt werden.

Im beruflichen Umfeld stellt sich die Frage, ob auch ein Arbeitnehmer beim Wechsel des Arbeitsgebers ein Interesse daran haben könnte, seine Daten mitzunehmen und beim neuen Arbeitgeber in EDV-Systeme zu importieren.

Welche Relevanz dem neuen Betroffenenrecht ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Interpretierbarkeit von Blackbox-Modellen für das Kredit-Scoring



Anwendung aktueller Methoden aus dem Maschinellen Lernen auf bankinterne Verfahren.

Prof. Dr. Gerhard Hellstern, Duale Hochschule Baden-Württemberg, Ravensburg. Davor langjähriger Leiter des Referats Bankgeschäftiche Prüfungen 1 der Deutschen Bundesbank, Hauptverwaltung in Baden-Württemberg. In seine Verantwortung fiel die Durchführung zahlreicher Säule 1 und Säule 2-Prüfungen bei LSI und SI im Rahmen des SSM

I. Einleitung

„Es liegt in der Verantwortung des beaufsichtigten Unternehmens, die Erklärbarkeit/Nachvollziehbarkeit von BDAI[1]-basierten Entscheidungen für sachkundige Dritte zu gewährleisten. Modelle lediglich als Blackbox zu betrachten, sieht die Aufsicht kritisch“[2]. Diese Aussage aus der 2018 veröffentlichten BaFin-Studie zum Thema Big Data und Künstliche Intelligenz beschreibt das Spannungsfeld bei der Anwendung Künstlicher Intelligenz im Finanzbereich treffend. Während auf der einen Seite immer bessere Algorithmen für Prognoseprobleme verfügbar sind, sind deren Anwendung auf der anderen Seite offenbar enge Grenzen gesetzt. Die Finanzaufsicht legt u. a. Wert darauf, dass Entscheidungsvorschläge durch Algorithmen nachvollziehbar und erklärbar bleiben. Vergleichbare Anforderungen an verwendete Algorithmen gibt es auch in anderen Branchen, z. B. im Gesundheitswesen. Es reicht nicht aus, dass ein Algorithmus „funktioniert“, was sich vergleichsweise einfach mittels entsprechender Performance-Maße ermitteln lässt.

Eine Möglichkeit, mit der Anforderung nach Interpretierbarkeit umzugehen, besteht darin, lediglich einfache, ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Zielgerichtetes Prozessmanagement in der Risikosteuerung



Integration von Methoden aus Compliance, Risikomanagement und IKS

Prof. Dr. Ralf Kühn

Wirtschaftsprüfer, Geschäftsführer der Finance Audit GmbH Wirtschaftsprüfungsgesellschaft, Ettlingen

I. Ausgangslage

Das Prozessmanagement wird in vielen Instituten klassisch als Bestandteil der Ablauforganisation und ihrer Ausgestaltung betrachtet – und allzu oft eher formal im Rahmen von Dokumentationspflichten der schriftlich fixierten Ordnung betrieben. Dennoch setzt sich sukzessive die Erkenntnis durch, dass es wenig sinnvoll und faktisch unmöglich ist, von der „Umsetzung digitalen Wandels“ und von der „Digitalisierung von Prozessen“ zu sprechen, wenn es bereits an Transparenz und betriebswirtschaftlicher Effizienz der aktuellen Prozesse mangelt und kulturell nicht akzeptiert und verstanden wurde, dass Digitalisierung von Prozessen erfordert, dass diese klar, eindeutig und granular modelliert und ausgestaltet sind. Schließlich mag zwar irgendwann künstliche Intelligenz auch in der Lage sein, aus einem „Ablaufchaos“ einen effizienten und tatsächlich durch Menschen-Maschine-Interaktion implementierten Prozess zu „zaubern“: Es bleibt aber zu vermuten, dass diese Entwicklungsstufe noch nicht in den nächsten wenigen Jahren des bankbetrieblichen Managements erreicht sein wird.

Richtig ist damit natürlich: Ziel des Prozessmanagements ist auch die Dokumentation von Abläufen im Sinne einer transparenten Ablauforganisation und schriftlich fixierten Ordnung. Diese sind auch Voraussetzung einer ordnungsmäßigen Geschäftsorganisation im Sinne des § ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Wirksame Kündigung von Firmenkundendarlehen durch die Bank



Kündigungsrechte aus Gesetz und AGB-Banken versus Haftung für rechtswidrige Kündigungen

Prof. Dr. Patrick Rösler, Rechtsanwalt, Vorstandsvorsitzender FCH Gruppe AG und Professor für Bankrecht an der Allensbach Hochschule

I. Einführung

Die Kündigung ist das wichtigste rechtliche Mittel zur vorzeitigen Beendigung eines Darlehensvertrages. Der Vertrag könnte auch durch einen Aufhebungsvertrag zwischen Bank und Kunde vorzeitig beendet werden. In diesem Fall müsste der Kunde aber zustimmen, weshalb diese Möglichkeit hier nicht weiter beleuchtet werden soll.

Die Kündigung als empfangsbedürftige Willenserklärung (§ 130 BGB) muss dem Kreditnehmer zu ihrer Wirksamkeit zugehen. Bei mehreren Kreditnehmern muss sie jedem Kreditnehmer zugehen. Sie bedarf nicht der Schriftform, wird aber zu Beweiszwecken regelmäßig zumindest in Textform verfasst. Kündigungen sind bedingungsfeindlich. Sie dürfen also nicht unter einer Bedingung erklärt werden, sonst sind sie nicht wirksam. In der Praxis wird dies gern übersehen.

Die allgemeinen gesetzlichen Kündigungsrechte beim Darlehen sind in §§ 488–490 BGB geregelt. Auch in Nr. 18 und 19 AGB-Banken finden sich konkretisierende Regelungen zum Kündigungsrecht. Dabei muss danach unterscheiden werden, ob die Bank oder der Kunde kündigen will und ob ein befristetes oder ein unbefristetes Darlehen vereinbart ist. Bei unbefristeten Krediten (unten II.) kann die Bank nach § 488 ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Steuerung der Risikotragfähigkeit bei regionalen Instituten



Auswirkungen der proportionalen Ausgestaltungsoptionen.

Sebastian Herrmann, Referent Unternehmenssteuerung, VR Bank Südpfalz

     

Timo Rinck, Abteilungsdirektor Unternehmenssteuerung, VR Bank Südpfalz

 

     

Prof. Dr. Christiane Weiland, Studiengangsleiterin BWL-Bank, Duale Hochschule Baden-Württemberg Karlsruhe

     

 

I. Einleitung

Mit der Veröffentlichung des neuen Risikotragfähigkeits-Leitfadens im Mai 2018 hat die BaFin die Beibehaltung der bestehenden Risikotragfähigkeits-Konzepte in ihrer Anwendung zeitlich begrenzt. Hierdurch ergibt sich für alle Institute die Notwendigkeit, ihre Risikotragfähigkeitskonzeption zumindest mittelfristig anzupassen. Mit der normativen und der ökonomischen Perspektive ist die Risikotragfähigkeit zukünftig aus zwei Sichtweisen zu betrachten. Da die meisten regionalen Institute bislang nach einem GuV-basierten „Going-Concern“-Ansatz steuern, besteht für diese Institute die größte Anpassungsaufgabe in der Einrichtung eines mit der Abbildung einer ökonomischen Perspektive einhergehenden barwertigen Steuerungssystems. Die Aufsicht legt aus Gründen der Proportionalität hierfür drei alternative Konzepte an.

Durch die Umstellung auf eine barwertige Steuerung kann in ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Verschärfte Anforderungen für notleidende Kredite in Säule 1 und 2



Einführung der Mindestrisikovorsorge („NPL Prudential Backstop“) in Säule 1 sowie Überarbeitung des Managements von notleidenden Krediten in Säule 2

Tim-Oliver Engelke, Referent Gesamtbanksteuerung und Bankenaufsichtsrecht, Verband der Sparda-Banken e.V.[1]

I. Einführung ins Thema

„Die Behandlung notleidender Kredite steht im Rahmen der europäischen Bankenaufsicht ganz weit oben auf der Agenda und wird dort, davon bin ich fest überzeugt, noch eine Weile bleiben.“

So äußerte sich Felix Hufeld, Präsident der BaFin, in einem Redaktionsgespräch Ende 2018 zur Bedeutung von notleidenden Krediten in Europa. Das Thema hinsichtlich der Gefahr von notleidenden Krediten und deren Behandlung ist längst zum europäischen Politikum geworden. Ein Blick in die aktuellen Arbeitsprogramme bzw. aufsichtlichen Prüfungsschwerpunkte der BaFin, Deutschen Bundesbank und EZB zeigt, dass das Thema Kreditrisiko und die Behandlung notleidender Kredite verstärkt im Fokus der Aufsicht liegen.

Gemäß der EBA lag das Volumen an notleidenden Krediten in der Eurozone im Jahr 2014 bei über 1,1 Bio. €. Banken mit großen NPL-Beständen stellen eine erhebliche Gefahr für die Finanzstabilität und den Erfolg der Bankenunion dar. Notleidende Kredite belasten Ressourcen durch die Bindung von Eigenkapital und beeinträchtigen die Vergabe von Krediten zur Unterstützung der Realwirtschaft. Das politische Ziel in ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Integrierte Liquiditätsrisikosteuerung mit Meldewesendaten



Wie das Meldewesen mit der Banksteuerung zusammengeführt werden kann.

Dr. Normen Rohde, Spezialist für Liquiditätsrisiko, Berliner Volksbank eG/Lisa-Marie Geray, Consultant Risk Advisory, Deloitte/Rouven Hartmann, Senior Manager Risk Advisory, Deloitte

I. Meldewesendaten – eine Goldgrube an Informationen

Die im Jahr 2007 aufgekommene Finanzmarktkrise führte insbesondere bei den deutschen Regionalbanken zu vergleichsweise geringen Schäden in Folge von atypisch hohen Refinanzierungskosten. Anders verhielt es sich bei Großbanken, welche insbesondere aufgrund ihrer Risiko- und Refinanzierungsprofile ungleich stärker belastet wurden. In Folge einer krisengetriebenen Entwicklung von liquiditätsbezogenen aufsichtlichen Vorgaben entstand eine Vielzahl von neuen, in Teilen inkonsistenten Anforderungen. Dies führte institutsübergreifend zu ansteigenden einmaligen wie auch laufenden Aufwendungen für die erforderliche IT-Infrastruktur sowie dem Aufbau und Erhalt des benötigten Fachwissens der verantwortlichen Mitarbeiter im Bereich des Meldewesens. Insbesondere Regionalbanken wurden aufgrund ihrer begrenzten personellen Möglichkeiten aber auch aufgrund vorhandener Abhängigkeiten (bspw. im IT-Bereich) vor Herausforderungen gestellt. In jüngster Zeit fordert die Aufsicht zudem eine enge Verzahnung zwischen dem Meldewesen (Säule I) sowie dem Risikomanagement (Säule II). Werden in diesem Zusammenhang die Informationen aus der normativen Säule-I-Perspektive sowie der ökonomischen Säule-II-Perspektive zusammengeführt, können sich Synergien ergeben, welche zur Senkung von Kosten beitragen können.

Abbildung 1: Anstieg der zu meldenden ...

Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Auslagerungsmanagement und Risikoanalyse nach AT 9 MaRisk

Aus den Augen, aus dem Sinn?

Katja Hampe, Fachreferentin der Geschäftsführung, Wirtschaftsprüferin, AWADO Deutsche Audit GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Die Auslagerung – tragende Rolle auf vielen Bühnen

Das Thema Auslagerung spielt schon seit längerer Zeit eine tragende Rolle auf diversen Bühnen. Die erste dieser Bühnen ist die der internationalen Papiere, die zu diesem Thema veröffentlicht wurden. Zu nennen sind hier insbesondere Veröffentlichungen des Joint Forums (Zusammenschluss des Baseler Ausschusses für Bankenaufsicht, der IOSCO[1] und der IAIS[2]), der CEBS[3] und der EBA[4] sowie verschiedene Vorgaben der deutschen Aufsicht im Rahmen der MaRisk und des § 25b KWG[5].

Die zweite Bühne ist die der betriebswirtschaftlich sinnvollen Arbeitsteilung (Schlagwort: “Konzentration auf Kernkompetenzen”) und die dritte Bühne ist die der sehr dynamischen Entwicklung der Kreditwirtschaft in diesem Bereich.

Doch eins nach dem anderen…

II. Die Auslagerung – unser Protagonist

Zunächst eine Vorstellung unseres Protagonisten: die Auslagerung, auch bekannt als Outsourcing.

Outsourcing ist ein Kunstwort, das sich aus den drei englischen Wörtern „Outside“, „Ressource“ und „Using“ zusammensetzt. Wörtlich übersetzt bedeutet es in erster Linie „Nutzung externer Ressourcen“. Und das ist auch genau das, was das deutsche Wort „Auslagerung“ insbesondere im Sprachgebrauch der BaFin meint: Eine Auslagerung liegt dann vor, wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden.

 

III. Die Auslagerung – Vielseitigkeit ist ihre Stärke, aber wo Licht ist, da ist auch
Schatten

Schon diese Definition macht deutlich, dass sehr unterschiedliche Auslagerungskonzepte nicht nur denkbar sind, sondern auch genutzt werden. Am einen Ende der Skala werden lediglich einzelne Unterstützungsaufgaben oder Nebentätigkeiten auf Dritte verlagert. Dies ist ganz im Sinne der oben schon erwähnten Konzentration auf Kernkompetenzen. Warum sollte sich eine Bank selbst um Dinge wie Transport zwischen Filialen, Archivierung oder die Mitarbeiterkantine kümmern? Das können andere Anbieter im Zweifel besser und günstiger. Hier überwiegen Vorteile wie Gewinnung von Kosten- und Prozesseffizienzen, Nutzung von Skaleneffekten und Qualitätsverbesserung ganz eindeutig. Zwar dürfen auch solche Aktivitäten und Prozesse nicht ganz aus den Augen verloren werden, stehen aber nicht im Fokus der Aufsichtsbehörden.

Am anderen Ende der Skala findet sich allerdings die Auslagerung ganzer Prozessketten, kompletter bankbezogener Funktionen sowie zentraler Bereiche[6]. Hierfür interessiert sich die Bankenaufsicht naturgemäß sehr wohl. Als Risiko droht nämlich neben Zersplitterung von Prozessen, Verringerung des internen Know-hows oder Unsicherheiten bei der Kostenentwicklung, die Abhängigkeit von einem Drittunternehmen und damit Verlust von Zugriffsmöglichkeiten sowohl für die gesetzlichen Vertreter der auslagernden Bank als auch für die Aufsicht. Deshalb die Botschaft des AT 9 MaRisk: Die Gesamtverantwortung für alle ausgelagerten Prozesse und Aktivitäten verbleibt weiterhin (und nicht delegierbar) bei den gesetzlichen Vertretern des auslagernden Unternehmens. Dies umfasst insbesondere ein angemessenes und wirksames Risikomanagement, welches neben der Implementierung eines eigenen Internen Kontrollsystem (IKS) bezüglich der ausgelagerten Tätigkeit (korrespondierende Kontrollen) auch die Beurteilung des IKS des Dienstleisters beinhaltet.

IV. Das zentrale Auslagerungsmanagement – hier laufen die Fäden zusammen

Bezüglich dieser Implementierung eines eigenen Internen Kontrollsystems bezüglich der ausgelagerten Tätigkeit geht die Aufsicht – zumindest bei größeren Instituten bzw. bei Instituten mit umfangreichen Auslagerungslösungen – davon aus, dass ein zentrales Auslagerungsmanagement eingerichtet ist, so dass eine Stelle in der Bank einen Gesamtüberblick über alle ausgelagerten Aktivitäten und Prozesse hat und so ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerungen und deren Überwachung sichergestellt wird. AT 9 Tz. 12 nennt als Aufgaben des zentralen Auslagerungsmanagements:

  • Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse
  • Erstellung und Pflege einer vollständigen Dokumentation der Auslagerungen (einschließlich Weiterverlagerungen)
  • Unterstützung der Fachbereiche bezüglich der institutsinternen und gesetzlichen Anforderungen bei Auslagerungen
  • Koordination und Überprüfung der durch die zuständigen Bereiche durchgeführten Risikoanalysen

Zudem hat das zentrale Auslagerungsmanagement mindestens einmal im Jahr einen Bericht über die wesentlichen Auslagerungen zu erstellen. Dabei hat der Bericht u. a. darüber eine Aussage zu treffen, „…, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden und ob weitere risikomindernde Maßnahmen ergriffen werden sollen“ (AT 9 Tz. 13 MaRisk).

Ein so verstandenes Einbeziehen der Auslagerungen in das unternehmensweite Risikomanagement geht über die historische Form des operativen Risikomanagements, dessen Fokus primär auf die Risikovermeidung und -minderung ausgelegt war, hinaus. Hauptziel ist das effiziente und effektive Management der ausgelagerten Bereiche, welches alle wesentlichen Einzelrisiken und deren Abhängigkeiten umfasst. Das risikoorientierte Management der ausgelagerten Bereiche hat das Ziel, eine ausgewogene Sichtweise von Risiken und Wertschöpfung über die gesamte Laufzeit des Auslagerungsverhältnisses hinweg zu etablieren. Ein moderner chancen- und risikoorientierter Auslagerungsmanagementansatz integriert die Organisation, die Aufgaben und die Instrumente in ein ganzheitliches Rahmenwerk.

Und Randnotiz oder Zwischenbemerkung: In der Praxis ergibt sich in vielen Banken ein kompliziertes Geflecht aus Auslagerungen, die eine zentrale Instanz notwendig machen, um den Überblick über die Steuerung von Auslagerungen zu behalten. Denn häufig haben es die Institute nicht mit einfachen 1:1-Beziehungen zu nur einem Dienstleister zu tun, sondern mit 1:n-Beziehungen, weil beauftragte Dienstleister ihrerseits Auslagerungen (Weiterverlagerungen) vornehmen.

V. Die Risikoanalyse – aus den Augen, aber weiterhin fest im Blick

Sofern eine Auslagerung vorliegt (wir erinnern uns: wenn ein Institut einen Dienstleister mit der Wahrnehmung von Prozessen im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt, die ansonsten vom Institut selbst erbracht würden), muss jedes Institut auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind. Wenn wir uns an die oben beschriebenen äußeren Enden einer Skala erinnern, so fällt die Beurteilung der Wesentlichkeit für diese Extreme sicherlich noch relativ leicht. Spannend sind hier eher die Auslagerungen, die sich tendenziell in der Mitte der Skala befinden und sich möglicherweise im Laufe der Zeit durch Vertragsänderungen oder besondere Feststellungen in die eine oder andere Richtung verschieben.

Eine Risikoanalyse ist zunächst für jede neue Auslagerung auf der Grundlage einheitlicher Rahmenvorgaben vor Vertragsabschluss durchzuführen.

Eine erneute Risikoanalyse ist bei Änderungen der Auslagerungsdienstleistung sowie dann erforderlich, wenn dem auslagernden Institut Umstände bekannt werden, die darauf schließen lassen, dass sich die bei der Risikoanalyse verwendeten Risikofaktoren verändert haben (anlassbezogene Risikoanalyse). Praktische Beispiele hierzu sind gesellschaftsrechtliche Veränderungen beim Dienstleister, Veränderungen beim Dienstleistungsumfang, Bekanntwerden wesentlicher Feststellungen im Rahmen von Prüfungen beim Dienstleister etc.

Zudem ist die Risikoanalyse in regelmäßigen Zeitabständen zu erneuern, auch wenn kein Anlass besteht (regelmäßige Risikoanalyse). Auf der Sitzung des Fachgremiums MaRisk am 15.03.2018 hat die Aufsicht einen Zeitraum von einem Jahr bei wesentlichen und von drei Jahren bei unwesentlichen Auslagerungen für angemessen erachtet.

Jedes Institut hat auf Basis von vorliegenden Informationen bzw. der institutsinternen Bewertung der Dienstleisterqualität der Auslagerungsunternehmen eine Aussage darüber zu treffen, ob die erbrachten Dienstleistungen der Auslagerungsunternehmen den vertraglichen Vereinbarungen entsprechen, die ausgelagerten Aktivitäten und Prozesse angemessen gesteuert und überwacht werden können, um die mit der Auslagerung verbundenen Risiken angemessen zu steuern, bzw. ob weitere risikomindernde Maßnahmen ergriffen werden sollen. Hierzu werden dem auslagernden Unternehmen vom Dienstleistungserbringer Informationen und Berichte im Zusammenhang mit der Dienstleistungserbringung zur Verfügung gestellt. Diese Informationen und Berichte sind auszuwerten.

Hier eine mögliche Arbeitshilfe für die Erstellung einer Risikoanalyse:

VI. Der große Rahmen – warum ist der Aufsicht der richtige Umgang mit Auslage-
rungen so wichtig?

Da sich Auslagerungen in vielen Fällen auch auf aufsichtliche Vorgaben beziehen (z. B. die Einhaltung von Vorgaben zur Geschäftsorganisation, bestimmte Entscheidungsprozesse und Berichtswege), spielen Auslagerungen von Banken an Drittanbieter, die i. d. R. keine Banken sind, für die Aufsicht eine bedeutende Rolle. Denn das beaufsichtigte Institut bleibt als Träger der Bankerlaubnis für die sachgerechte Umsetzung der aufsichtlichen Vorgaben letztendlich verantwortlich, auch wenn es Funktionen, Aufgaben und Prozesse auslagert.

Die Regelungen zur Auslagerung sind letztlich Teil der allgemeinen Grundsätze ordnungs-mäßiger Geschäftsführung. Die Spezialregelungen des § 25b KWG ergänzen (hinsichtlich ihrer Stellung im KWG nicht ganz überraschend) die Anforderungen an eine ordnungsgemäße Ge-schäftsorganisation aus § 25a KWG, insbesondere die Anforderungen an ein angemessenes und wirksamen Risikomanagement (§ 25a Abs. 1 Satz 3 KWG). Die Aufsicht sieht ihre Aufgabe darin, der möglichen Gefahr zu begegnen, dass das leistungsbeziehende Institut mit einer Auslagerung die Kontrolle über die ordnungsgemäße Durchführung der Geschäfte und Dienstleistungen und damit über die eigenen Aktivitäten und Prozesse verliert. Kurz: „Aus den Augen, aus dem Sinn” (in der Bedeutung nach wiktionary.org „sofortiges Vergessen einer Angelegenheit, Sache, Person oder dergleichen, sobald sie „außer Sichtweite ist“) soll verhindert werden. Das übrigens auch aus Sicht eines weiteren Akteurs, den wir bisher noch nicht betrachtet haben: des Jahresabschlussprüfers.

 

 

VII. …und darüber hinaus – auch der Jahresabschlussprüfer interessiert sich für
Auslagerungen

Dazu lasen wir mal die Einleitung eines aktuellen Werkes, das sich an Abschlussprüfer richtet[7], auszugsweise zu Wort kommen: „Der Abschlussprüfer wird sich im Hinblick auf seine Prüfungsplanung damit auseinandersetzen müssen, in welchem Umfang und in welchem Ausmaß Auslagerungen stattfinden und welche Fehlerrisiken für die Rechnungslegung darin enthalten sind. Um diesen Fehlerrisiken adäquat zu begegnen, gilt es, bedeutsame Kontrollen auf Seiten des Dienstleisters zu identifizieren und anhand geeigneter Prüfungshandlungen zu beurteilen. Aber oftmals scheitern eigene Prüfungshandlungen an der räumlichen Trennung oder der Größe und Komplexität des Dienstleisters. Natürlich könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen. Vor dem Hintergrund automatisierter und aufeinander abgestimmter Prozessabläufe ist dies jedoch eine mühsame und beinahe unmögliche Methode, um die erforderliche Prüfungssicherheit zu erlangen. Möglicherweise gibt es aber auch Nachweise über das IKS beim Dienstleistungsunternehmen, die er verwerten oder gar verwenden kann.“

Da sind wir wieder bei den oben schon erwähnten „Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung”, die das auslagernde Institut dem Abschlussprüfer (bitte ausgewertet!) zur Verfügung stellt. Genannt seien hier explizit Prüfungsberichte bzw.
-bescheinigungen nach IDW PS 951[8] „Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen”[9]. Und lassen Sie sich von jemandem, der selbst Abschlussprüfer ist, sagen, dass das was hier so scheinbar harmlos daher kommt („… könnte der Abschlussprüfer mangels Prüfbarkeit und Nachweisführung eines angemessenen und wirksamen IKS den Anteil seiner aussagebezogenen Prüfungshandlungen erhöhen.“), erstens (viel) Zeit kostet und Zeit ist Geld (Stichwort „Prüfungskosten“) und zweitens im schlimmsten Fall auch ernste Konsequenzen hat: Wenn der Abschlussprüfer nicht in der Lage ist, ausreichende und angemessene Prüfungsnachweise bezüglich des Dienstleistungsunternehmens zu erlangen, die für die Prüfung des Abschlusses des auslagernden Unternehmens relevant sind, ist das Prüfungsurteil im Bestätigungsvermerk einzuschränken oder gar zu versagen.

Und da sind wir dann ganz schnell wieder bei den „Anforderungen an eine ordnungsgemäße Geschäftsorganisation aus § 25a KWG“ und der nicht delegierbaren Gesamtverantwortung der gesetzlichen Vertreter des auslagernden Unternehmens für alle ausgelagerten Prozesse und Aktivitäten.

VIII. Fazit – „des Pudels Kern“

Kerngedanke des Auslagerungsmanagements ist, dass auch im Falle einer Auslagerung die Funktionsfähigkeit der auslagernden Bank jederzeit gewährleistet sein muss, die Verantwortung des Vorstandes unangetastet bleibt, Kontroll- und Überwachungspflichten unverändert beachtet werden und – last but not least – die Aufsicht weiterhin Zugriff auf die ausgelagerten Teile behält. Also alles andere als „aus den Augen, aus dem Sinn”.

PRAXISTIPPS

  • Denken Sie immer daran, dass Sie als Bank für die ausgelagerte Dienstleistung weiterhin die Gesamtverantwortung tragen, nicht das Dienstleistungsunternehmen; lassen Sie sich bezüglich Informationen und Berichten im Zusammenhang mit der Dienstleistungserbringung nicht mit pauschalen Aussagen (z. B. „weitere Unterlagen wollte noch nie jemand haben“ oder „bei uns hat noch kein Auslagernder selbst vor Ort geprüft“ oder „wir benötigen keine neue Zertifizierung, bei unseren Kontrollen hat sich eh nichts geändert“) „abspeisen“.
  • Die Auswertung der Berichterstattung der Dienstleistungsunternehmen ist zentraler Baustein der Dienstleistersteuerung – aus Sicht der Bankenaufsicht z. B. im Rahmen von § 44- KWG-Sonderprüfungen „ist nur ein ausgewerteter Bericht ein gültiger Bericht“.
  • Gestaltet Sie Ihre (ausgelagerten) Prozesse durch eine zentrale Dienstleistersteuerung effizient.
  • Achten Sie darauf, dass in (neuen oder geänderten) Auslagerungsverträgen die Durchführung von Prüfungshandlungen vor Ort durch Sie als auslagerndes Unternehmen ermöglicht wird; verlassen Sie sich nicht auf das Wohlwollen des Dienstleistungsunternehmens.
  • Stellen Sie sicher, dass Sie Ihrer Pflicht zur Dokumentation von ausgelagerten Prozessen nachkommen können. Fordern Sie also von den Dienstleistern ein, die auf ihn ausgelagerten (Teil-)Prozesse nachvollziehbar zu dokumentieren und an Sie als auslagerndes Unternehmen herauszugeben.
  1. IOSCO: International Organisation of Securities Commissions (internationale Organisation der Wertpapieraufsichtsbehörden).
  2. IAIS: International Association of Insurance Supervisors (internationale Vereinigung der Versicherungsaufsichtsbehörden).
  3. CEBS Committee of European Banking Supervisors (Ausschuss der Europäischen Bankaufsichtsbehörden); bis 2010 Vorgängerinstitution der EBA.
  4. EBA: European Banking Authority (Europäische Bankenaufsichtsbehörde).
  5. Joint Forum: Outsourcing in Financial Services, Februar 2005; CEBS Guidelines on Outsourcing, Dezember 2006, EBA: Guidelines on Internal Governance, September 2017.
  6. Eine vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nur in sehr engen Grenzen möglich (vergl. AT 9 Tz. 5 MaRisk).
  7. Tritschler/Lamm „Jahresabschlussprüfung bei Outsourcing und Cloud-Computing“, IDW Verlag GmbH, 1. Aufl. 2018, S. 10,11
  8. Institut der Wirtschaftsprüfer in Deutschland e.V., Prüfungsstandard IDW PS 951 n.F.
  9. In Abhängigkeit von der Auftragserteilung wird die Berichterstattung nach IDW PS 951 gem. Typ 1 oder Typ 2 durchgeführt. Im Rahmen der Berichterstattung Typ 1 stehen folgende Prüfungsurteile im Fokus:
    – Beschreibung des dienstleistungsbezogenen internen Kontrollsystems

    • Eignung der zugrunde gelegten Kriterien und der daraus abgeleiteten Kontrollziele
    • Ausgestaltung der Kontrollen zur Erreichung der in der Beschreibung genannten Kontrollziele

    Im Rahmen der Berichterstattung Typ 2 wird das Prüfungsurteil um die Wirksamkeit der Kontrollen ergänzt. Eine weitgehendere Reduzierung der Einschätzung der Fehleranfälligkeit durch den Auslagernden bzw. den Abschlussprüfer ist dabei nur möglich, wenn eine Berichterstattung vom Typ 2 vorliegt, da hier neben der Aufbau- auch Funktionsprüfungen durchgeführt wurden. Bei Vorliegen einer Berichterstattung vom Typ 1 bedarf es noch weiterer Prüfungshandlungen durch den Verwerter. Dies ist mit zusätzlichem Zeitaufwand respektive höheren Kosten verbunden.

 

Beitragsnummer: 71003

 

Auftragsverarbeitung, Risiko im Datenschutz?



Ulrike Seip, Senior Referentin Datenschutz, DZ BANK AG Deutsche Zentral-Genossenschaftsbank

Definition von Auftragsverarbeitung

Maßgeblich für das Vorliegen einer Auftragsverarbeitung i. S. d. Art. 28 der Datenschutzgrundverordnung (DSGVO) ist, dass:

  • die Verarbeitung der personenbezogenen Daten den Mittelpunkt und Zweck des Auftragsverhältnisses darstellt
  • der Auftragnehmer an die Weisungen des Auftraggebers gebunden ist. Dies bedeutet, dass die Entscheidungsfreiheitsgrade für den Auftragnehmer bei der Art und Weise der Durchführung des Auftrags begrenzt sind.

Eine datenschutzrechtliche Auftragsverarbeitung liegt vor, wenn beide oben genannten Kriterien erfüllt werden. Die Weisungsgebundenheit spiegelt sich auch in Art. 29 DSGVO (Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters) wider. Die Dauer der Verarbeitung spielt dabei keine Rolle. Ebenfalls keine Rolle spielt, ob der Auftragnehmer ein Unternehmen des gleichen Konzerns ist. Wenn ein rechtlich selbstständiges Unternehmen innerhalb einer Unternehmensgruppe oder eines Konzerns bei der Verarbeitung personenbezogener Daten Auftragnehmer ist, kann auch von einer Auftragsverarbeitung ausgegangen werden.

Für jede Auftragsverarbeitung ist ein dem Art. 28 DSGVO entsprechender Vertrag zu schließen, Verantwortlichkeiten sind klar zu regeln und dem Risikogehalt der Datenverarbeitung angemessene Datenschutzmaßnahmen müssen bestehen.

Typisches Beispiel für die Beauftragung der Verarbeitung von personenbezogenen Daten ist die Einschaltung eines Dienstleisters, welcher ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.