Versicherungsaufsichtsrechtliche Herausforderungen bei der Ausgliederung in die Cloud

Seit dem Erlass des Merkblatts „Orientierungshilfe der BaFin und der Deutschen Bundesbank zur Auslagerung an Cloud-Anbieter“ ist nun genau ein Jahr vergangen, und in der Aufsichtspraxis der BaFin kristallisieren sich inzwischen die unproblematischen Anforderungen und die rechtlichen Knackpunkte heraus:

Als Herausforderung stellt sich in der Praxis weiterhin die aufsichtsrechtlich geforderte Vertragsgestaltung mit den betreffenden Cloud Providern dar. Insbesondere die zwingend mit dem Outsourcing-Partner zu vereinbarenden uneingeschränkten Informations-, Prüfungs- und Weisungsrechte des auslagernden Versicherungsunternehmens und das unmittelbare Audit-Recht der BaFin gegenüber dem Cloud Provider geben in der Praxis Anlass zur Diskussion. Ebenso das vertraglich zu vereinbarende Recht des Versicherungsunternehmens, jederzeitige und unverzügliche Rücküberführung der Daten verlangen zu können sowie jederzeit den Verbleib der Daten erfahren zu dürfen - beides Anforderungen, die besondere Cloud-Lösungen erfordern wie z.B. die Private Cloud oder die Community Cloud, die ausschließlich von einem Unternehmen oder einer konkreten Unternehmensgemeinschaft genutzt werden und eine lokale Datenhaltung innerhalb der EU bieten. Zudem verlangt das Aufsichtsrecht, dass das vertraglich anwendbare Recht das Recht eines EU- oder EWR-Staates sein soll, weil so die Einhaltung insbesondere des hier geltenden strengen Datenschutzrechtsregimes gewährleistet wird. Da viele große Cloud Provider auch US-Unternehmen sind, bedeutet dies viel Abstimmungsbedarf.

Am 30. September 2019 hat die EIOPA ihre Konsultation über einen Vorschlag für „Guidelines on outsourcing to cloud service providers“ abgeschlossen. Es bleibt abzuwarten, ob und ggf. welche Konkretisierungen oder womöglich noch strengere Anforderungen die neuen Leitlinien bringen werden. Die BaFin schaut in der Praxis jedenfalls bereits genau hin. Mehr dazu.

Das könnte Sie ebenfalls interessieren:

Video-Interview - Taylor Wessing erklärt: VAIT - Rechtsrahmen für digitale Lösungen in der Cloud, November 2019