Auslagerung: Auslagerungsregister als Basis des Risikomanagements
Welche Anforderungen müssen Auslagerungsregister erfüllen? Auslagerung: Auslagerungsregister als Basis des Risikomanagements sind von Instituten und Zahlungsinstituten zu erstellen. Als Teil ihres Rahmenwerks für das Risikomanagement sollten die Institute und Zahlungsinstitute ein aktualisiertes Register mit Informationen über alle Auslagerungsvereinbarungen auf Institutsebene sowie gegebenenfalls auf teilkonsolidierter und konsolidierter Basis entsprechend den Ausführungen in Abschnitt 2 unterhalten.
Es sind alle bestehenden Auslagerungsvereinbarungen angemessen zu dokumentieren, wobei zwischen der Auslagerung kritischer oder wesentlicher Funktionen und sonstigen Auslagerungsvereinbarungen zu unterscheiden ist.
Weitere Anforderungen für das Auslagerungsregister gelten bei wesentlichen oder kritischen Auslagerungen.
Auslagerung: Auslagerungsregister als Basis des Risikomanagements
Unter Berücksichtigung des nationalen Rechts haben die Institute die Dokumentation von beendeten Auslagerungsvereinbarungen und die Begleitdokumentation für einen angemessenen Zeitraum weiterhin im Register führen. Unter Berücksichtigung von Titel I der EBA Leitlinien zu Auslagerungern kann für die Institute und Zahlungsinstitute innerhalb einer Gruppe, die Institute, die ständig einer Zentralorganisation zugeordnet sind, bzw. die Institute, die Mitglieder desselben institutsbezogenen Sicherungssystems sind, das Register zentral geführt werden.Auslagerung: Mindestanforderungen an das Auslagerungsregister
Das Register sollte mindestens die folgenden 9 Informationen für alle bestehenden Auslagerungsvereinbarungen enthalten:- eine Referenznummer für jede Auslagerungsvereinbarung;
- das Datum des Beginns und gegebenenfalls das Datum der nächsten Vertragsverlängerung, das Datum des Endes und/oder Kündigungsfristen für den Dienstleister und für das Institut oder Zahlungsinstitut;
- eine kurze Beschreibung der ausgelagerten Funktion, einschließlich der ausgelagerten Daten, sowie Angabe, ob personenbezogene Daten (z. B. durch Angabe von Ja oder Nein in einem gesonderten Datenfeld) übertragen werden oder ob ihre Verarbeitung an einen Dienstleister ausgelagert wird;
- eine vom Institut oder Zahlungsinstitut zugewiesene Kategorie, die die Art der Funktion entsprechend der Beschreibung unter Buchstabe c widerspiegelt (z. B. Informationstechnologie (IT), Kontrollfunktion) und die die Ermittlung verschiedener Arten von Vereinbarungen ermöglicht;
- den Namen des Dienstleisters, die Handelsregisternummer des Unternehmens, (sofern verfügbar) die Rechtsträgerkennung (LEI), die eingetragene Adresse und sonstige einschlägige Kontaktangaben sowie (gegebenenfalls) der Name des Mutterunternehmens;
- das Land bzw. die Länder, in dem/denen der Dienst erbracht werden soll, einschließlich des Standortes (d. h. Land oder Region), an dem sich die Daten befinden;
- die Angabe, ob die ausgelagerte Funktion als kritisch oder wesentliche eingestuft wird (Ja/Nein), gegebenenfalls einschließlich einer kurzen Zusammenfassung der Gründe, aus denen die ausgelagerte Funktion als kritisch oder wesentliche betrachtet wird;
- bei der Auslagerung zu einem Cloud-Anbieter das Cloud-Dienstmodell und das Cloud- Bereitstellungsmodell, d. h. öffentliche/private/Hybrid- oder Community-Cloud, und die spezifische Art der betreffenden Daten sowie die Standorte (d. h. Länder oder Regionen), an denen diese Daten gespeichert werden;
- das Datum der letzten Bewertung der Kritikalität oder Wesentlichkeit der ausgelagerten Funktion.