Die BaFin hat einen Entwurf zur MaRisk-Novelle 2016 vorgelegt, der unter anderem erhebliche Auswirkungen auf die Banken-IT haben wird. Konkret geht es um neue Vorgaben zur Risikodatenaggregation und Risikoberichterstattung sowie Änderungen bei Auslagerungen.Mit der MaRisk-Novelle 2016 setzt die BaFin die Inhalte des Baseler Papiers zur Risikodatenaggregation und Risikoberichterstattung (BCBS 239) nun um. Erklärtes Ziel ist es, die IT-Infrastruktur der systemrelevanten Institute dahingehend zu verbessern, dass eine umfassende, genaue und zeitnahe Aggregation der Risikopositionen eines Instituts ermöglicht wird und diese Informationen zeitnah für das Berichtswesen der Bank zur Verfügung gestellt werden können. Hintergrund sind die Versäumnisse in der Finanzkrise, als Kreditinstitute ihre Risikodaten häufig nicht zeitnah aggregieren konnten und dementsprechend eine wichtige Grundlage für risikorelevante Entscheidungen fehlte. Daneben haben sich gewichtige Änderungen vor allem in Bezug auf Auslagerungen ergeben. Bei der Risikoberichterstattung soll künftig gewährleistet werden, dass die entsprechenden Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können. Eine weitere Vorgabe ist unter anderem, dass die Daten eine einheitliche Architektur in Bezug auf die Kennzeichnung haben müssen, um eine bessere Aufbereitung und Auswertung – auch bei externen Dienstleistern – zu ermöglichen. Dies dürfte die Institute vor erhebliche praktische Herausforderungen stellen. Großbanken zuerstVon der Neuregelung sind zunächst (nur) systemrelevante Institute betroffen. Diese sind aufgefordert, eine Art “Risikodaten-Policy” festzulegen, in der verbindliche Grundsätze für Datenmanagement, Datenqualität und die Aggregation festgehalten werden sollen. Fraglich ist jedoch, ob dies bereits eine Blaupause für künftige Anforderungen an alle Banken und Finanzdienstleister wird, was dann zu gravierenden Auswirkungen auch bei IT-Dienstleistern führen kann. Risikokultur und -appetitDie BaFin stellt klar, dass der Drittbezug von Kernbanksystem-Software und entsprechenden fachlichen Unterstützungsleistungen als Auslagerung anzusehen ist, wenn Kernbanksysteme an die individuellen Bedürfnisse des Instituts angepasst sind oder mit entsprechenden Dienstleistungen durch Dritte verbunden sind. Dies kann zu Nachverhandlungsbedarf mit entsprechenden Anbietern führen, um die entsprechenden Vorgaben mit aufzunehmen.Eine zusätzliche neue Vorgabe ist, dass die Geschäftsleitung dafür zu sorgen hat, dass eine angemessene Risikokultur entwickelt und gefördert wird. Hierunter ist die Art und Weise des Umgangs der Mitarbeiter mit Risiken zu verstehen, wobei die Geschäftsleitung einen sogenannten “Risikoappetit” festzulegen und zu kommunizieren hat, der jedoch nicht näher definiert wird. Dies dürfte jedoch gleichbedeutend mit einer Art Toleranzschwelle für Risiken sein.Es sind aber auch weitere neue Anforderungen an die Organisation sowie an Auslagerungsverträge vorgesehen. Neu ist etwa auch die Einrichtung eines zentralen Auslagerungsmanagements. Damit soll die Einhaltung interner und gesetzlicher Anforderungen an Auslagerungen sichergestellt und die Durchführung der Auslagerungsrisikoanalyse durch die zuständigen Bereiche koordiniert und überprüft werden. Im Hinblick auf die Beendigungen von Auslagerungen sieht die MaRisk-Novelle 2016 vor, dass konkrete Ausstiegsstrategien festzulegen sind. Hoher UmsetzungsaufwandEntscheidende Änderungen und Konkretisierungen sind auch in Bezug auf die Liste von (Mindest-)Anforderungen an Auslagerungsverträge zu erwarten. Zudem soll über Regeln in Auslagerungsverträgen nicht nur die Beachtung datenschutzrechtlicher Bestimmungen sichergestellt werden, sondern auch “sonstiger Sicherheitsanforderungen”, vor allem Zugangsbestimmungen zu Räumen und Gebäuden sowie Softwarezugangsberechtigungen zum Schutz wesentlicher Daten und Informationen.Ferner müssen Auslagerungsverträge in Fällen des Bezugs von Software für das Risikomanagement der Bank eine Pflicht zur Herausgabe aussagekräftiger Informationen zu wesentlichen Annahmen und Parametern und zu Änderungen dieser Annahmen und Parameter vorsehen. Auch diese Vorgaben dürften im Einzelfall großen Umsetzungsaufwand mit sich bringen.In Bezug auf Weiterverlagerungen werden entweder Zustimmungsvorbehalte oder konkrete Voraussetzungen in Auslagerungsverträgen gefordert. Hier gilt es dann gegebenenfalls bestehende Verträge anzupassen. Weiter will die BaFin erreichen, dass Institute festlegen, welcher Grad einer Schlechtleistung noch oder hingegen nicht mehr akzeptabel ist. Hier besteht dann auf Bankenseite ein erheblicher Nachverhandlungsbedarf beziehungsweise Konfliktpotenzial.—-Andreas Feneis, Rechtsanwalt bei CMS in Deutschland