Im Jahr 2018 wurden aber auch die Cloud-Guidelines auf europäischer und deutscher Ebene erlassen. Mit diesem Regelwerk haben die Finanzaufseher der Cloud-Auslagerung Salonfähigkeit attestiert.
Der Trend zur Cloud-Auslagerung korrespondiert in seiner Flexibilität und Skalierbarkeit mit diesem Umbruch. Höhere Flexibilität und Skalierbarkeit führen zu entsprechenden Kostenvorteilen. Ein einfaches Beispiel:
- Ein Betreiber von Sportübertragungen bietet einen Tagesspielpass über das Internet an. Für das Topspiel kaufen Millionen Fans einen Pass. Der Sportübertragungsdienstleister kann die Kapazität flexibel von seinem Cloud-Anbieter am Spieltag beziehen. Würde dieser Betreiber von Sportübertragungen ein eigenes Rechenzentrum bauen, müsste er dies für mindestens die Höchstzahl an Nutzern von Tagespässen konzipieren (Maximalprinzip) – eher aber für die doppelte Kapazität, um das mögliche Wachstum innerhalb der nächsten fünf Jahre zu antizipieren. Diese Kapazität würde er bei einer „on premise“-Lösung ganzjährig vorhalten müssen, obwohl er sie nur für wenige Tage der Topspiele im Jahr benötigt. Für die weniger interessanten Begegnungen würde er bei einer „on premise“-Lösung eine erhebliche Überkapazität ungenutzt vorhalten.
- Im Rahmen einer Cloud-Lösung kann der Betreiber theoretisch nur für diese eine Leistungsspitze bedarfsgerecht Kapazität einkaufen. Möglicherweise kann die Leistung sogar nur für den zeitlich relevanten Bedarf von drei Stunden (Dauer des Spiels inklusive Vor- und Nachberichterstattung) an den jeweiligen Tagen eingekauft werden. Selbst wenn die Rechenkapazität 10- oder 20-mal so teuer wäre wie eine eigene „on premise“-Lösung, würde der Betreiber dadurch einen deutlichen Betrag einsparen.
Welche Ausgangslage herrscht im Markt vor?
Zurück in das Jahr 2018: Nach dem Erlass der Cloud-Guidelines der Regulatoren haben die meisten Akteure im Finanzsektor zumindest im Rahmen einer „Sandbox“ oder einer anderen Versuchsumgebung erste Gehversuche in der Cloud unternommen. Diese Gehversuche mündeten – meist auch nach Beratschlagung mit einschlägigen Strategieberatern – in einer „Cloud First Strategie“.
Die Cloud-Konstruktion steht diametral zur Regulatorik. Die Verrenkungen der Finanzaufsicht, um sich dennoch einem bahnbrechenden Geschäftsmodell und einer revolutionären Technologie – wie der Cloud – nicht zu verschließen, sind in den Diskussionen überall spürbar.
Wo liegen aus regulatorischer Sicht die Knackpunkte?
Im Finanzsektor muss beim Thema Cloud derzeit noch immer weiterhin Wasser in den Wein gegossen werden. Das gilt für nahezu alle Themenaspekte – vom Risikomanagement hin zur Regulatorik bis hin zur technischen Umsetzung. Die Verrenkungen der Finanzaufsicht zum Thema und ihre Bemühungen sind zwar in allen Diskussionen erkennbar – denn die Finanzaufsicht hat die Unaufhaltsamkeit des Themas erkannt. Sie kann sich aber auch nicht ohne weiteres aus ihren Zwängen befreien beziehungsweise die bisherige Entwicklung einfach Ungeschehen machen. Zum Beispiel lassen sich die gewachsenen Lieferkettenmodelle der Cloud-Dienstleister, die das europäische Finanzaufsichtsrecht im bisherigen Operating Model nicht unbedingt berücksichtigt hat, nicht über Nacht ändern.
Wie kann eine Standortbestimmung und Reifegradermittlung beziehungsweise eine Bezifferung der Risiken erfolgen?
Es sollte volle Transparenz über die Anforderungen und den Erfüllungsgrad der Anforderungen geschaffen werden. Cloud-Vorhaben stehen bei Auslagerungsprüfungen der Finanzaufsicht, bei der Internen Revision, beim Wirtschaftsprüfer, bei Datenschutzverantwortlichen und den Datenschutzbehörden auf Platz 1 der Lieblingslektüre. Schlecht verhandelte Verträge können also zum Albtraum werden.
In einem ersten Schritt ist das Vorhaben aus fachlicher, organisatorischer und technischer Sicht genau zu beschreiben. Zur Vorhabenbeschreibung gehört – zumindest gedanklich – auch die mittelfristige Entwicklung. Ist man auf der Suche nach einem Hosting, in das die nächsten Jahre immer höhere Anteile hineinverlagert werden sollen? Welche Fertigungstiefe wird angestrebt? Ein Data Center as a Service oder ein Hosting? Oder ist ein Software as a Service geplant – bei dem der gesamte Strauß an regulatorischen Anforderungen zu beachten ist?
Unter Berücksichtigung des Vorhabens und der Fertigungstiefe sollte die Art der Cloud gewählt werden.
Bei genauerer Betrachtung der Leistungsbeschreibungen und Vertragsvorlagen von Cloud-Dienstleistern sollte insbesondere folgenden Themen höchste Aufmerksamkeit geschenkt werden.
4 Themenfelder sollten dabei beispielhaft herausgegriffen und erläutert werden:
- Haftungsklauseln und Pönalen
Haftung ist zwar kein originäres Fokusthema der Regulatorik. Allerdings nimmt die Finanzaufsicht bei ihren Prüfungen Haftungsklauseln als Wasserstandsmeldungen der Verhandlungsergebnisse.
In konkreten Fällen wurden Haftungsklauseln diskutiert, die sich allein im Ersatz mittelbarer Schäden erschöpften. Dabei war im einschlägigen Fall keine einzige Situation konstruierbar, in der eine mittelbare Haftung gegriffen hätte. Die Haftungsklausel lief also vollständig ins Leere. Ferner wurden Verträge diskutiert, in denen die Haftung auf wenige Monatszahlungen des Monatsentgeltes gedeckelt war. Diese Begrenzung korrespondierte allerdings nicht im Entferntesten mit den tatsächlichen Risiken.
Im Zusammenhang mit Haftungsklauseln werden meist auch die Pönalen genannt. Pönalen sind das Instrument zur Einforderung vertragsgemäßer Leistungen im Tagesgeschäft. Pönalen müssen scharf formuliert sein, empfindliche Wirkung entfalten und einfach geltend gemacht werden können. Sie sollten Dienstleister nachdrücklich zur Dienstleistung motivieren können – damit erübrigt sich meist rein praktisch auch das (in der Umsetzung hoch umstrittene) Weisungsrecht, weil genügend Druckmittel bestehen. Häufig sind Pönalen aber tatsächlich nur mit hohem Aufwand durchsetzbar. Leistungsbeschreibung und Service Level Agreements sind als Grundlage nicht klar und präzise formuliert; Key Performance Indicators, Messpunkte, Messverfahren und eine geeignete Berichterstattung sind nicht ausreichend definiert. - Weiterverlagerung
Zur Weiterverlagerung wird volle Transparenz über die gesamte Lieferkette benötigt. Sind Lieferketten historisch gewachsen, sollten diese durch die Cloud-Anbieter aufgearbeitet werden. Keine Option ist eine eigene und „verengte“ Definition von Subdienstleistern. Ausschlaggebend ist die weitere Auslegung der Finanzaufsicht, die grundsätzlich erst einmal alle Akteure in der Lieferkette als relevant ansieht.
Ein Streitthema bleibt der sogenannte Subunternehmervorbehalt, der von Mehrmandantendienstleistern als schwere Bürde empfunden wird. Als den verschiedenen Interessen gerecht werdende Lösung könnte daher darüber nachgedacht werden, Subdienstleistern einen Eignungstest für deren Subdienstleister aufzuerlegen. Bestehende Subdienstleister müssen diesen genau wie neue Subdienstleister erfolgreich durchlaufen. Ferner ist die Eignung regelmäßig und nachweislich zu überprüfen. - Kündigungsrechte
In vielen Verträgen ist als Königsweg für Differenzen zwischen Cloud-Anbietern und Kunden ein außerordentliches Kündigungsrecht formuliert. Dieses wirkt auf den ersten Blick großzügig und trifft im Wesentlichen auch die Erwartung der Finanzaufsicht. Ein solches Kündigungsrecht ist aber aus Sicht der Kunden (wirtschaftlich) meist wertlos.
Cloud-Auslagerungen werden meist unter Einsatz von viel Zeit, langen Verhandlungen und hohen Kosten durchgeführt. Kein Kunde wird daran Interesse haben, sich bereits nach einer kurzen Laufzeit wieder in eine neue und ähnliche Herkulesaufgabe zu begeben. Im Ergebnis wird das regulierte Unternehmen also in vielen Fällen die „Nicht-Compliance“ des Dienstleisters erdulden.
Es sollte daher darauf geachtet werden, die finanzregulatorisch konform verhandelte Konstellation auch wirklich durchsetzen zu können. Regulierte Unternehmen sollten vor diesem Hintergrund über eine Mindestdauer nachdenken, in denen eine Leistung auch nachweislich gemäß der ausgehandelten Form erbracht wird (zum Beispiel fünf Jahre). - Mengen, Preisklauseln und Kompatibilität mit Drittparteien
Das Mengengerüst der Leistung muss klar bestimmt werden können. Woran soll sie festgemacht werden? Performance, Rechenkapazität, Lizenzen oder einem Mix daraus? Beim Preis sollte ferner geprüft werden, ob in einem Basispreis auch alle erforderlichen Leistungen enthalten sind. Werden gesonderte Zusatzzahlungen für Optionen fällig, die aus regulatorischer Sicht hinzugebucht werden sollten (beispielsweise Audit- und Weisungsrechte in Test- und Entwicklungsumgebungen), muss dies im Gesamtpreis berücksichtigt werden. Ferner sollten großdimensioniert geplante Hosting-Vorhaben mit allen relevanten Kosten schon im Vorfeld mindestens bis in die mittelfristige Zukunft durchgerechnet werden. Fallen etwa Zusatzkosten für die Nutzung von Fremdsoftware auf dem Hosting an, so sind diese Beträge bei der Gesamtvorhabenplanung zu berücksichtigen.
Schließlich sollte bei Anwendungen für Drittparteien für Hosting-Plattformen das in der Risikoanalyse identifizierte Servicelevel auch erbracht werden können. Kann von einem Cloud-Dienstleister nur der Basisservice geleistet werden, obwohl der Premiumservice erforderlich wäre, ist die Dienstleistereignung eher fraglich.
Fazit
Auf dem Weg in die Cloud gibt es viele Fallstricke. Das Niederschreiben in einer strukturierten Themenliste mit den einschlägigen Themenfeldern erleichtert die Greifbarkeit des Vorhabens für alle Beteiligten. Auch das Durcharbeiten der Anforderungen mit Cloud-Anbietern in gemeinsamen Workshops hilft dabei, die Position des Cloud-Anbieters besser zu verstehen und mögliche Lösungsszenarien gemeinsam zu erarbeiten.
Auf Basis dieser Gespräche und Arbeitsgrundlagen kann eine konsolidierte Wertung aller relevanten Aspekte vorgenommen werden, die wiederum eine Gesamtvorhabenbewertung und damit insbesondere eine Einschätzung der Vertretbarkeit ermöglicht. Die in einem solchen Rahmen erstellte Dokumentation bildet zugleich auch einen exzellenten Nachweis für die durchgeführte Vorhabenprüfung.
