Geltung der ESMA-Leitlinien zur Auslagerung an Cloud-Provider ab dem 31.07.2021

Das von der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Market Authority, ESMA) am 3. Juni 2020 veröffentlichte Konsultationspapier zu Leitlinien für die Auslagerung von Funktionen auf Cloud-Dienste wurde ohne substantielle Änderungen finalisiert und gilt ab dem 31.07.2021 für alle Auslagerungsvereinbarungen mit Cloud-Anbietern, die zu diesem Zeitpunkt oder danach abgeschlossen, verlängert oder geändert werden. In den Leitlinien wird explizit darauf hingewiesen, dass die Firmen bestehende Auslagerungsvereinbarungen einer Prüfung unterziehen und diese gegebenenfalls ändern sollen, um zu gewährleisten, dass die Leitlinien ab dem 31.12.2022 umgesetzt werden.

Die Leitlinien richten sich an die nationalen Aufsichtsbehörden sowie an die Marktteilnehmer des Finanzsektors, die dem Aufsichtsbereich der ESMA unterliegen, insbesondere an Asset Manager und Wertpapierdienstleister, Zentralverwahrer sowie Ratingagenturen.

Inhaltlich schlägt die ESMA neun Leitlinien vor, die bei Auslagerungen an Cloud-Anbieter berücksichtigt werden sollen:

1. Governance, Kontrolle und Dokumentation
2. Risikoanalyse der Auslagerung und Due-Diligence-Prüfung in Bezug auf potentielle Cloud-Anbieter
3. Zentrale Bestandteile des Vertrags, d. h. Mindestinhalte in IT-Outsourcing-Verträgen
4. Informationssicherheit
5. Ausstiegsstrategien
6. Zugangs- und Prüfungsrechte, die gegenüber einem Cloud-Anbieter sichergestellt sein müssen
7. Sub-Auslagerungen
8. Rechtzeitige schriftliche Mitteilung über die beabsichtigte Auslagerung an die zuständige nationale Aufsichtsbehörde
9. Vorgaben an nationale Aufsichtsbehörden in Bezug auf die Überwachung von Auslagerungsvereinbarungen mit Cloud-Anbietern

Mit diesen neuen Leitlinien setzt sich der seit längerem zu beobachtende Trend der Verschärfung der aufsichtsrechtlichen Anforderungen an IT-Auslagerungen durch Inanspruchnahme von Cloud-Services fort (vergleiche etwa die Leitlinien der europäischen Bankaufsichtsbehörde (EBA) zu Auslagerungen vom 25.02.2019 sowie vom 20.12.2017, die von der europäischen Versicherungsaufsichtsbehörde (EIOPA) veröffentlichten „Guidelines on outsourcing to cloud service providers“ oder die im November 2018 publizierte Orientierungshilfe zu Auslagerungen an Cloud-Anbieter der BaFin).

Nicht nur die betroffenen Finanzmarktteilnehmer haben sich somit mit den neuen Anforderungen an IT-Outsourcingverträge auseinanderzusetzen, sondern auch Cloud-Anbieter müssen damit rechnen, künftig bei Vertragsverhandlungen mit entsprechenden Forderungen potentieller Auftraggeber konfrontiert zu werden.