Neue Anforderungen an Auslagerungsunternehmen
Mit dem Gesetz zur Stärkung der Finanzmarktintegrität vom 3. Juni 2021 beabsichtigt die Bundesregierung insbesondere auf den in der deutschen Wirtschaftsgeschichte wohl beispiellosen Finanzskandal um Wirecard durch Verschärfung des Bilanzkontrollverfahrens und strengere Regulierung der Abschlussprüfung zu reagieren. Betreffend die hier besprochenen Auslagerungsbestimmungen tritt das Gesetz in weiten Teilen bereits am 1. Juli 2021 in Kraft.
Neben den im Zentrum der Diskussion stehenden Bestimmungen zur Abschlussprüfung beinhaltet das Gesetz auch eine – bislang kaum beachtete – Erweiterung der Befugnisse der BaFin bei der Prüfung von Auslagerungen durch Finanzdienstleistungsunternehmen. Bemerkenswert ist insbesondere, dass die BaFin im Einzelfall auch unmittelbare Eingriffsbefugnisse gegenüber externen Dienstleistern von Banken, Finanzdienstleistungsinstituten (FDI), Assetmanagern und Zahlungsdienstleistern erhält. Dabei ist es unerheblich, ob das Auslagerungsunternehmen selbst reguliert ist oder sich in einem Drittstaat befindet.
Die Zustellung von Anordnungen gegenüber Dienstleistern in Drittstaaten soll über einen von diesen zu bestellenden inländischen Zustellungsbevollmächtigten sichergestellt werden. Das Erfordernis zur Bestellung eines Zustellungsbevollmächtigten gilt erst ab 1. Januar 2022.
Die Reichweite der BaFin-Befugnisse gegenüber Auslagerungsunternehmen richtet sich nach der Regulierung des beaufsichtigten Unternehmens. So kann die BaFin gegenüber externen Dienstleistern von Banken und FDI etwa Anordnungen treffen, wenn es sich um eine wesentliche Auslagerung handelt und die Anordnungen geeignet und erforderlich sind, um Verstöße gegen aufsichtsrechtliche Bestimmungen zu verhindern oder zu unterbinden oder um Missstände des Instituts zu verhindern oder zu beseitigen, die die Sicherheit der dem Institut anvertrauten Vermögenswerte gefährden können oder die ordnungsgemäße Durchführung der Bankgeschäfte oder Finanzdienstleistungen beeinträchtigen. Bei Auslagerungen unter dem Zahlungsdiensteaufsichtsgesetz (ZAG) sieht das Gesetz Anordnungsbefugnisse unter vergleichbaren Voraussetzungen vor, allerdings ohne Beschränkung der Befugnisse auf wesentliche Auslagerungen.
Darüber hinaus räumt das Gesetz der BaFin Anordnungsbefugnisse gegenüber Dienstleistern von Banken, FDI und Zahlungsdienstleistern zur Erfüllung der ordnungsgemäßen Geschäftsorganisation des regulierten Instituts ein. Auch hierbei erfolgt eine Beschränkung auf wesentliche Auslagerungen nur bei Banken und FDI. Gegenüber Auslagerungsunternehmen von Kapitalverwaltungsgesellschaften (KVG) kann die BaFin Anforderungen treffen, wenn diese erforderlich sind, um die Ordnungsgemäßheit der Tätigkeit der KVG zu gewährleisten, insbesondere um zu verhindern, dass diese zu einer Briefkastenfirma wird. Eine Beschränkung auf wesentliche Auslagerungen ist auch hier nicht vorgesehen. Eine Begründung für die unterschiedlichen Voraussetzungen liefert die Gesetzesbegründung nicht.
Uneinheitliche Regelungen
Aus Sicht der Auslagerungsunternehmen gestalten sich die uneinheitlichen Regelungen als problematisch. Denn diese – exemplarisch genannt seien Cloud Service Provider – erbringen ihre Dienstleistungen in der Regel für eine Vielzahl unterschiedlich regulierter Unternehmen und sehen sich nach den Bestimmungen des FISG ohne Not Eingriffsbefugnissen mit teils erheblich abweichenden Voraussetzungen ausgesetzt. Die dadurch bedingte Rechtsunsicherheit und der erhöhte Verwaltungs- und Kostenaufwand auf Seiten der Auslagerungsunternehmen hätten durch Vereinheitlichung der Voraussetzungen der Eingriffsbefugnisse vermieden werden können.
Es wäre insbesondere eine einheitliche Regelung begrüßenswert gewesen, wonach die BaFin gegenüber Auslagerungsunternehmen nur Anordnungen bei wesentlichen Auslagerungen treffen darf. Dies hätte auch im Einklang mit dem neuen Erfordernis eines inländischen Zustellungsbevollmächtigten von Auslagerungsunternehmen in Drittstaaten gestanden, der richtigerweise nur bei wesentlichen Auslagerungen zu bestellen ist.
Zweck des inländischen Zustellungsbevollmächtigten ist die erleichterte Zustellung von Verwaltungsakten der BaFin gegenüber Dienstleistern in Drittstaaten. Es ist sinnvoll, einen Zustellungsbevollmächtigten nur für wesentliche Auslagerungen zu verlangen. Konsequenterweise hätten aber auch die Befugnisse der BaFin gegenüber Auslagerungsunternehmen auf wesentliche Auslagerungen beschränkt sein müssen.
Schließlich sei darauf hingewiesen, dass derzeit auch eine Regulierung von Auslagerungsunternehmen auf europäischer Ebene diskutiert wird. Bereits am 24. September 2020 hat die Europäische Kommission ihren Entwurf einer Regulation on Digital Operational Resilience (DORA) vorgelegt.
Auch in DORA geht es um direkte Anordnungsbefugnisse gegenüber bestimmten externen Dienstleistern von Finanzdienstleistungsunternehmen. Gegenstand der Verordnung sind Auslagerungen auf sogenannte ICT Third-Party Service Provider, wozu insbesondere Cloud Service Provider zählen. Diese sollen von den europäischen Aufsichtsbehörden EBA, ESMA und EIOPA beaufsichtigt werden.
Die beiden Regulierungsvorhaben hätten zur Folge, dass sich externe Dienstleister wie Cloud Service Provider, die gleichermaßen DORA und dem FISG unterfallen, divergierenden Aufsichtsanforderungen und der unmittelbaren Beaufsichtigung unterschiedlicher Behörden (BaFin und ESAs) ausgesetzt sähen. Idealerweise würden Auslagerungsunternehmen, die DORA und damit der direkten Aufsicht der ESAs unterfallen, im Umfang des Anwendungsbereichs von DORA von den unmittelbaren Anordnungsbefugnissen der BaFin nach dem FISG ausgenommen. Es bleibt zu hoffen, dass der Gesetzgeber die entsprechenden Korrekturen spätestens mit Inkrafttreten von DORA vornimmt.