Überspringen zu Hauptinhalt

Open Banking – Neues bei Outsourcing und Datenschutz

Open Banking – Neues Bei Outsourcing Und Datenschutz

Mit fortschreitender Entwicklung der Open Banking Landschaft und des „Banking-as-a Service“ werden immer mehr cloudbasierte Software as a Service (SaaS) und Business Process as a Service (BPaaS) Lösungen von Drittanbietern in Bankenplattformen integriert. Applikationen zur mobilen Authentifizierung, Transaktionssignierung, Multifaktor-Authentifizierung oder Betrugsbekämpfung oder das Zugänglich-Machen von Robo Advisor Dienstleistungen sind nur einige Beispiele hierfür.

Dr. Stefanie Hellmich ist Rechtsanwältin bei der Luther Rechtsanwaltsgesellschaft in Frankfurt und berät in IT- und datenschutzrechtlichen Fragestellungen insbesondere bezogen auf Vertriebs- und Kooperationsvertragsgestaltungen und Geschäftsmodelle sowie den Einsatz neuer Technologien wie KI und Big Data Anwendungen. Sie unterstützt IT- und FinTech-Unternehmen sowie Finanzdienstleister und Banken u. a. beim Entwurf und der Verhandlung von Vertragsbedingungen für elektronische Plattformen, Risk Monitoring Produkte, cloudbasierte Produkte einschließlich Outsourcing-Gestaltungen.

Sie ist Mitglied der Deutschen Gesellschaft für Recht und Informatik, Mit-Autorin des Kommentars Taeger/ Gabel, DSGVO BDSG, veröffentlicht regelmäßig Beiträge und hält Vorträge zu IT- und datenschutzrechtlichen Themen wie etwa zu mobilen Bezahlsystemen, zum Einsatz künstlicher Intelligenz, Data Analytics und Big Data in der Finanzbranche, zur Umsetzung der Vorgaben der EU-Datenschutzgrundverordnung und der im Entwurf befindlichen E-Privacy Verordnung.

Dr. Stefanie Hellmich

Dr. Stefanie Hellmich

 

Im Zuge der Umsetzung der PSD II definieren Banken API-Strategien, um in der Zusammenarbeit mit FinTech Unternehmen neue Umsatzquellen zu erschließen, Netzwerkeffekte zu beschleunigen und die Skalierbarkeit zu erhöhen. In diesen neu entstehenden Ökosystemen ist die Beachtung der aufsichtsrechtlichen Vorgaben für das Outsourcing und für den Umgang mit Kundendaten zentral. Mit den EBA-Leitlinien zum Outsourcing und den Leitlinien des Europäischen Datenschutzausschusses zur Verarbeitung von Daten bei Online-Verträgen liegen gleich zwei neue Regelwerke europäischer Aufsichtsbehörden vor, die für Finanzinstitute und FinTech Unternehmen gleichermaßen relevant sind. Die BaFin hat gegenüber der EBA bereits erklärt, die Leitlinien anwenden zu wollen und diese durch eine Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement AT 9 basierend auf §§ 25a, 25b KWG) umzusetzen. Diese gehen inhaltlich über das von der BaFin im November 2018 veröffentlichte Merkblatt „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ hinaus und erfordern entsprechende Anpassungen bei den Instituten und Dienstanbietern.

Neue EBA-Leitlinien zum Outsourcing

Ab dem 30. September 2019 sind die sog. EBA-Leitlinien zum Outsourcing der European Banking Authority („EBA“) (“Final Report on EBA Guidelines on outsourcing arrangements”) auf neu geschlossene oder geänderte Auslagerungsvereinbarungen anzuwenden. Damit wird für Institute – und durch die Erweiterung des Adressatenkreises – nunmehr auch für Zahlungs- und E-Geld-Institute ein einheitlicher europäischer Rahmen für die Auslagerung ihrer Bank- und Zahlungsaktivitäten geschaffen. Die Negativ-Abgrenzung erfolgt relativ scharf. So fallen zum Beispiel Marktinformationsdienstleistungen sowie Clearing und Settlement aus dem Begriff des Outsourcing heraus. Demgegenüber unterfällt eine Vielzahl cloud-basierter Dienstleistungen den Vorgaben für ein Outsourcing und kann nicht als bloßer Fremdbezug von Software als ein von der Auslagerung zu unterscheidender Sachverhalt qualifiziert werden.

Cloud

Strengere Anforderungen an Pre-Outsourcing Analyse/ Due Diligence, Outsourcing Management und Outsourcing Vertrag

Im Rahmen der Pre-Outsourcing Analyse/ Due Diligence ist zu prüfen, ob das Outsourcing einer kritischen oder wesentlichen Funktion vorliegt, ob der Dienstanbieter unter den institutsspezifischen Risikogesichtspunkten für eine Auslagerung geeignet ist und ob Interessenkonflikte bestehen. In Übereinstimmung mit der MaRisk differenzieren die EBA-Leitlinien zwischen „kritischen“ oder „wesentlichen“ und sonstigen Funktionen. Funktionen sind „kritisch oder wesentlich“, wenn durch die Auslagerung dieser Funktion z. B. die Einhaltung der Zulassungsbedingungen, die finanziellen Ergebnisse oder die Kontinuität der Bank- und Zahlungsdienste und -geschäfte des auslagernden Unternehmens wesentlich beeinträchtigt würde.

Neben strengeren Anforderungen an das Auslagerungsmanagement hat der Auslagerungsvertrag inhaltlichen Mindestanforderungen zu genügen. Diese betreffen u.a. Informations-, Zugangs- und Prüfungsrechte zugunsten des Instituts und der zuständigen Aufsichtsbehörde, die Zustimmungspflicht bei Weiterverlagerungen sowie die Kündigungsrechte und damit verbundenen Exit-Strategien. Der Katalog der Mindestinhalte geht über das hinaus, was derzeit als Standard in der MaRik vorgesehen ist. Das Erfordernis, für ein Outsourcing von kritischen oder wichtigen Funktionen Angaben zum Ort der Leistungserbringung oder eine Übersicht von verbotenen Weiterverlagerungen zu erstellen, ist bei Cloud-Auslagerungen in der Praxis mit besonderen Einschränkungen verbunden. Eine Neuerung ist zudem, dass bei Mehrmandanten-Dienstleistern auf zusammengefasste Audits zurückgegriffen werden kann.

Neue Leitlinien des Europäischen Datenschutzausschusses

Das Finanzinstitut bleibt auch datenschutzrechtlich in der Verantwortung. Am 10. April 2019 hat der Europäische Datenschutzausschuss Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Art. 6 Abs. 1 lit. b) Datenschutzgrundverordnung (DSGVO) im Kontext von Online-Dienstleistungen“ beschlossen.

DSGVO
Diese Leitlinien beschränken auch für Finanzinstitute die Möglichkeit, die Verarbeitung von Daten ihrer Kunden auf die mit dem Kunden vereinbarten Geschäftsbedingungen zu stützen. Finanzinstitute haben also bei Auslagerungssachverhalten kritisch zu hinterfragen, inwieweit Datenübermittlungen an Dienstanbieter oder Data Analytics Aktivitäten des Dienstanbieters in der Cloud datenschutzkonform erfolgen können.

In den neuen Leitlinien wird klargestellt, dass es zur Beurteilung dessen, ob eine Datenverarbeitung zur Erfüllung des Vertrags (mit dem Kunden) erforderlich ist, nicht allein darauf ankommt, was im Vertrag mit dem Kunden vereinbart wurde. So kann zum Beispiel die personalisierte Onlinewerbung danach grundsätzlich nicht auf den Vertrag gestützt werden. Wird der Dienstleister vom Finanzinstitut nicht als Auftragsverarbeiter (Art. 28 DSGVO) eingeschaltet, für dessen Aktivitäten das Finanzinstitut datenschutzrechtlich verantwortlich bleibt, hat das Finanzinstitut sicherzustellen, dass eine Rechtsgrundlage für die Verarbeitung der übermittelten Daten durch den Dienstanbieter besteht. Diese kann im Zeitalter des Open Banking und der Plattformökonomie ein selbständiger Vertrag des Kunden mit dem Dienstanbieter über Zusatzleistungen oder eine gesonderte Einwilligung des Kunden sein. Die Form der Auslagerung und Zusammenarbeit kann dabei schnell die rote Linie einer selbständigen Verantwortlichkeit überschreiten und eine datenschutzrechtlich gemeinsame Verantwortlichkeit von Institut und Dienstanbieter begründen.

Vor diesem Hintergrund sind Dienstanbieter und Finanzinstitute gehalten, die neuen aufsichtsrechtlichen Anforderungen an die Vertragsgestaltung und das Management der Vertragsbeziehungen vorausschauend umzusetzen.

Alles Wichtige für Ihr Outsourcing-Projekt

Informieren Sie sich in unserem Seminar „Outsourcing in Banken“, welche verschärften aufsichtsrechtlichen Anforderungen ab sofort an Ihr Auslagerungsmanagement gestellt werden.

KI in der Finanzbranche

Rückblick: Künstliche Intelligenz in der Finanzbranche

Die Finanzbranche befindet sich im Umbruch und hat mit der Künstlichen Intelligenz ein neues Anwendungsfeld im Bereich der digitalen Transformation geschaffen. Welche Methoden können bei der Optimierung von Geschäftsprozessen helfen? Und was kommt in den kommenden Jahren noch auf die Branche zu?
Jetzt kostenlos herunterladen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

An den Anfang scrollen

Künstliche Intelligenz in der Finanzbranche - wie gelingt das?

Die Finanzbranche befindet sich im Umbruch und hat mit der Künstlichen Intelligenz ein neues Anwendungsfeld im Bereich der digitalen Transformation geschaffen. Wie können Sie Ihre Geschäftsprozesse optimieren?

Jetzt herunterladen!

Download: Künstliche Intelligenz in der Finanzbranche - wie gelingt das?