Skip to main content

Zugangs-, Informations- und Prüfungsrechte und Kündigungsrechte

Welche Zugangs-, Informations- und Prüfungsrechte und Kündigungsrechte sind bei Auslagerungen zu vereinbaren? Auslagerung: Zugangs-, Informations- und Prüfungsrechte und Kündigungsrechte sind wesentliche Regelungsanforderungen der EBA. Bei Mehrmandanten-Dienstleistern gelten weitere spezielle Anforderungen.

Bei der Durchführung von Prüfungen in einer Mehrmandantenumgebung sollte darauf geachtet werden, dass Risiken für die Umgebung anderer Kunden (z. B. Auswirkungen auf die Dienstleistungsgüte, Verfügbarkeit von Daten, Vertraulichkeitsaspekte) vermieden oder gemindert werden.

Wenn die Auslagerungsvereinbarung mit einem hohen Maß an technischer Komplexität verbunden ist, beispielsweise im Fall von Cloud-Outsourcing, sollte das Institut oder das Zahlungsinstitut überprüfen, dass ungeachtet der mit der Durchführung der Prüfung beauftragten Personen – seien es eigene Prüfer, Prüfer bei Sammelprüfungen oder in seinem Namen handelnde externe Prüfer – über angemessene und einschlägige Kompetenzen und Kenntnisse für die wirksame Durchführung der entsprechenden Prüfungen und/oder Bewertungen verfügen. Dies gilt auch für Personal des Instituts oder Zahlungsinstituts, die Zertifizierungen von Dritten oder von Dienstleistern durchgeführte Prüfungen überprüfen.

 

Kündigungsrechte

 

Auslagerung: Zugangs-, Informations- und Prüfungsrechte und Kündigungsrechte bei Mehrmandanten-Dienstleistern

In der Auslagerungsvereinbarung sollte für das Institut oder Zahlungsinstitut ausdrücklich die Möglichkeit vorgesehen sein, die Vereinbarung gemäß dem geltenden Gesetz zu kündigen, einschließlich in den folgenden Fällen:

  • wenn der Dienstleister der ausgelagerten Funktionen gegen geltendes Recht, Rechtsvorschriften oder Vertragsbestimmungen verstößt;
  • wenn Hindernisse, durch die die Durchführung der ausgelagerten Funktion verändert werden kann, ermittelt werden;
  • wenn wesentliche Änderungen auftreten, die sich auf die Auslagerungsvereinbarung oder den Dienstleister auswirken (z. B. eine Weiterverlagerung oder Änderungen bei den Subunternehmern);
  • wenn Mängel bezüglich des Umgangs mit und der Sicherheit von vertraulichen, personenbezogenen oder anderweitig sensiblen Daten oder Informationen auftreten; und
  • wenn Anweisungen durch die zuständige Behörde des Instituts oder des Zahlungsinstituts erteilt werden, beispielsweise wenn die zuständige Behörde aufgrund der Auslagerungsvereinbarung nicht mehr in der Lage ist, das Institut oder Zahlungsinstitut wirksam zu überwachen.

Die Auslagerungsvereinbarung sollte die Übertragung der ausgelagerten Funktion an einen anderen Dienstleister oder ihre Reintegration in das Institut oder Zahlungsinstitut ermöglichen. Zu diesem Zweck sollten in der schriftlichen Auslagerungsvereinbarung folgende Regelungen enthalten sein:

  • Festlegung der Pflichten des bestehenden Dienstleisters im Fall einer Übertragung der ausgelagerten Funktion an einen anderen Dienstleister oder der Reintegration in das Institut oder Zahlungsinstitut, einschließlich der Behandlung von Daten;
  • Festlegung eines angemessenen Übergangszeitraums, in dem der Dienstleister nach Kündigung der Auslagerungsvereinbarung weiterhin die ausgelagerte Funktion durchführt, um das Risiko von Unterbrechungen zu verringern; sowie
  • Aufnahme einer Pflicht des Dienstleisters zur Unterstützung des Instituts oder Zahlungsinstituts bei der ordnungsgemäßen Übertragung der Funktion im Fall einer Kündigung der Auslagerungsvereinbarung.

 

Sicherheitspenetrationstests bei Mehrmandanten-Dienstleistern

In Einklang mit den Leitlinien der EBA für die IT-Risikobewertung im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) sollten die Institute, sofern angemessen, sicherstellen, dass sie Sicherheitspenetrationstests zur Bewertung der Wirksamkeit der durchgeführten Maßnahmen und Prozesse im Bereich Cyber-Sicherheit und interne IT-Sicherheit durchführen können.

Zahlungsinstitute sollten zudem über interne IT-Kontrollmechanismen verfügen, einschließlich Kontrollmaßnahmen für die IT-Sicherheit und Maßnahmen zur Risikominderung.

Vor einer geplanten Vor-Ort-Prüfung sollten die Institute, Zahlungsinstitute, zuständigen Behörden und Prüfer oder im Namen des Instituts, Zahlungsinstituts oder zuständiger Behörden handelnde Dritte den Dienstleister angemessen informieren, es sei denn, dies ist aufgrund eines Notfalls oder einer Krisensituation nicht möglich oder würde zu einer Situation führen, in der die Prüfung nicht mehr wirksam ist.