Verträgt sich Outsourcing mit dem Aufsichtsrecht von Banken und Finanzdienstleistern?

2014-04

Auf den Finanzmärkten klagt man über das dürre Ertrags­potenzial und die anschwellenden Kosten. Das ausufernde Aufsichtsregime und zunehmende Steuern auf Banken steigern den Aufwand und erhöhen den Margendruck. Durch Auslagerungen von Teilbereichen erhoffen sich diese Institute Kosteneinsparungen. Hierbei gilt es aufsichtsrechtlich einiges zu beachten!

Grundsätzliches

Obwohl es im Aufsichtsrecht nur spärliche rechtliche Regeln zum Thema Auslagerungen gibt, ist es unstrittig, dass Auslagerungen zulässig sind.

Hilfsfunktionen können ausgelagert werden. Das Outsourcing von Kernmanagementfunktionen jedoch gilt allgemein als unvereinbar mit der Verpflichtung der Geschäftsleitung, das Unternehmen unter eigener Verantwortung zu führen. Nicht ausgelagert werden dürfen unter anderem die Festlegung der Risikostrategie sowie der Risikorichtlinien und demgemäß das Risikomanagement des Instituts.

Sorgfaltspflichten

Ausgelagerte Tätigkeiten müssen weiterhin der vollen und uneingeschränkten Verantwortung der Geschäftsleiter des auslagernden Kreditinstituts unterliegen. Nicht- oder Schlechterfüllung des Dienstleisters darf die Erfüllung der Pflichten des Kreditinstituts in den ausgelagerten Bereichen nicht beeinträchtigen.

Das Kreditinstitut hat entsprechende Vorkehrungen für den Fall der Nicht- oder Schlechterfüllung durch den Dienstleister zu treffen. Weiters sollen outsourcende Institute über ausreichende Kernkompetenz auf oberer Führungsebene verfügen, sodass sie, wenn nötig, die Kontrolle über die ausgelagerte Tätigkeit wieder übernehmen können.

Dienstleistungskette

Auch Sub-Auslagerungen sind möglich. Das outsourcende Institut sollte sich mit Sub-Outsourcing nur dann einverstanden erklären, wenn auch der Subunternehmer dieselben Verpflichtungen wie der Outsourcing-Dienstleister übernimmt. Die Verpflichtungskette muss mit der Dienstleistungskette deckungsgleich sein.

Das erreicht man mit einer entsprechenden Verpflichtung des Outsourcing-Dienstleisters betreffend die Übertragung seiner Verpflichtungen auf den Subunternehmer und zusätzlich mit einem ausdrücklichen Zustimmungsrecht des Instituts zu jeder Subvergabe bzw. zu jedem Subunternehmer.

Gewährleistung der Aufsichtsrechte

Der Zugang zu den relevanten Daten beim Outsourcing-Dienstleister und Vor-Ort-Inspektionen durch die Aufsichtsbehörden – etwa FMA, OeNB und EBA – müssen gewährleistet sein.

Die gesetzlichen Auskunfts-, Vorlage- und Einschaurechte der Aufsichtsbehörden können vertraglich nicht beschränkt werden.

Vertraulichkeitsverpflichtungen

Der Schutz von vertraulichen Informationen muss auch beim Outsourcing-Dienstleister gewährleistet sein, der sich zur Einhaltung desselben Vertraulichkeitsniveaus, wie es für das Kreditinstitut gilt, verpflichten muss. Dies gilt auch für das Bankgeheimnis. Werden an den Outsourcing-Dienstleister Daten weitergegeben, die dem Bankgeheimnis unterliegen, so hat er auch das Bankgeheimnis zu wahren und kann Daten nur bei Vorliegen der Durchbrechungsgründe des § 38 Abs 2 BWG (Bankwesengesetz) herausgeben. Das kann bei Auslagerung an Dienstleister in Ländern, die keinen dem Bankgeheimnis entsprechenden hohen Schutz von Daten kennen, eine Hürde darstellen.

Empfehlungen zur vertraglichen Absicherung

Bei der vertraglichen Ausgestaltung des Outsourcing-Vertrags ist auf folgende aufsichtsrechtliche Punkte zu achten:

  • Der Outsourcing-Vertrag muss zwingend schriftlich sein.
  • Die Maßnahmen bei Nicht- oder Schlechterfüllung samt Exit-Szenario müssen in der schriftlichen Vereinbarung ausdrücklich festgehalten werden.
  • Bei Kündigung des Auslagerungsvertrags sollte ein Modus für die Rückübertragung samt einem vernünftigen Zeitrahmen dafür vereinbart werden.
  • Die Aufsichtsbefugnisse müssen – insbesondere bei Auslagerungen in das Ausland – vertraglich abgesichert werden, sodass die aufsichtsrechtlich notwendigen Informationen jederzeit dem Bankprüfer, der Finanzmarktaufsichtsbehörde (FMA), der Österreichischen Nationalbank (OeNB) und der Europäischen Bankenaufsichtsbehörde (EBA) in uneingeschränktem Ausmaß zur Verfügung stehen.
  • Übernahme der Vertraulichkeitsverpflichtungen einschließlich des Bankgeheimnisses durch den Dienstleister und auch durch Subdienstleister.
  • Übernahme der Verpflichtung des Dienstleisters, seine Verpflichtungen aus dem Outsourcing-Vertrag auch auf etwaige Subdienstleister zu übertragen und Vereinbarung eines Zustimmungsrechts des auslagernden Kreditinstituts zu Dienstleistungsketten und konkreten Sub-Dienstleistern.
  • Sicherstellung der Untersuchungs- und Prüfungsrechte der Compliance- und Innenrevisionsabteilungen.
  • Kündigungsmöglichkeiten bei Gesetzesänderungen und auf Anordnung durch die Aufsichtsbehörde.

Resümee

Outsourcing ist für Kreditinstitute in vielen Bereichen möglich. Dabei sind einige aufsichtsrechtliche Aspekte zu beachten, die insbesondere bei grenzüberschreitenden Auslagerungen Herausforderungen darstellen.

Auf Grund der technischen Möglichkeiten können heute Bankdienstleistungen, die zuvor ortsgebunden waren, überall in der Welt produziert und geleistet werden. Dies stellt das Aufsichtsrecht und die Behörden, die sicherstellen müssen, dass durch Aus- und Verlagerungen das Aufsichtsregime nicht umgangen oder ausgehöhlt wird, vor große Herausforderungen.

Autoren

Dr. Roman Hager, LL.M.
Senior Lawyer