Das BaFin hat den zweiten Entwurf der neuen Outsourcing Regelungen im Rahmen der MaRisk am 13. August veröffentlicht.

Bezüglich des Notfallmanagements gibt es zwei Änderungen:

1. Im Gegensatz zum ersten Entwurf wird die Notwendigkeit von Vorsorgekonzepten auf zeitkritische Aktivitäten und Prozesse eingeschränkt.

2. im Falle der Auslagerung zeitkritischer Aktivitäten und Prozesse haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen (zuvor: “über ein abgestimmtes Notfallkonzept”).

Die Einschränkung auf zeitkritische Aktivitäten und Prozesse ist aus meiner Sicht nicht nachvollziehbar. Dringlichkeit ist nur eines der Kriterien, die die Gesamtkritikalität eines Prozesses ausmachen. Daneben sind finanzielle Schäden, Reputationsschäden, Verlust der Steuerungsfähigkeit und Verstoß gegen gesetzliche und aufsichtliche Bestimmungen wesentliche Faktoren für die Kritikalität eines Prozesses. Zudem ist der Begriff “zeitkritisch” unbestimmt und nicht prüfbar. Sinnvoller wäre es, ein dokumentiertes und nachvollziehbares Modell für die Bestimmung der Kritikalitäten einzufordern. Das Modell muß vom Vorstand / der Geschäftsleitung freigegeben werden.

Die Erweiterung auf mehrere Notfallkonzepte im Falle der Auslagerung entspricht der gängigen Praxis und ist absolut sinnvoll.

Link zum aktuellen Entwurf