Auf in die Wolke – aber rechtssicher

Wie lassen sich die Vorteile der Cloud regelkonform nutzen? Das neue Whitepaper “Cloud Sourcing und Regulatorik – Handlungserfordernisse und Vertragsgestaltung” der PPI AG enth?lt einen ?berblick notwendiger Pr?fungen und vertraglicher Festlegungen

Hamburg, 27. April 2022: Um die gesetzten Ziele tats?chlich zu erreichen, erfordern Cloud-Sourcing-Projekte in der hochreglementierten Finanzbranche umfangreiche Vorarbeiten. Das aktuelle Whitepaper “Cloud Sourcing und Regulatorik” des Hamburger Beratungs- und Softwarehauses PPI AG zeigt: Insbesondere bei der Auslagerung unternehmenskritischer Prozesse sind zahlreiche Analysen unabdingbar, um das eigene Gesch?ft nicht in Gefahr zu bringen oder gegen Auflagen der Aufsicht zu versto?en. Untrennbar damit verbunden ist eine rechtssichere Vertragsgestaltung, f?r die das Whitepaper ebenfalls Tipps und Anregungen enth?lt. “Bei jedem Projekt ist zu bedenken, dass die Bank weiterhin in der Verantwortung f?r den reibungslosen Gesch?ftsbetrieb ist, nicht der Dienstleister”, sagt Frank Lohmeier, Partner bei der PPI AG und Mitautor des Whitepapers. “Daher ist Cloud Sourcing in den meisten F?llen zwar machbar, aber nicht mal eben so.”

Vorab Klarheit schaffen ?ber Prozesse und Provider
Transparenz ist gefragt beim Cloud Sourcing – sowohl beim Profil der betroffenen Prozesse als auch beim ausgew?hlten Dienstleister. Das PPI-Whitepaper macht klar: An erster Stelle einer Auslagerung sollte eine Wesentlichkeitspr?fung stehen, gefolgt von einer Bewertung der Kritikalit?t. Das Gesamtprojekt muss auf jeden Fall im hausinternen Risikomanagement des Finanzinstituts abgebildet sein. Dies bedeutet, es muss klare Verantwortlichkeiten geben, ebenso wie ausreichende Ressourcen f?r die ?berwachung der Abl?ufe und zur Einhaltung der regulatorischen Anforderungen. Eine Risikoanalyse, die bei kleineren Organisationen rein qualitativ sein kann, bei gr??eren Unternehmungen hingegen quantitativ sein muss, liefert dann fundierte Antworten auf die Fragen: Werden Risiken durch die Auslagerung verringert oder erh?ht? Was ?ndert sich? Auch der Cloud-Sourcing-Partner sollte intensiv unter die Lupe genommen werden. Es w?re ein Fehler, als selbstverst?ndlich anzunehmen, dass der Serviceprovider zur ?bernahme der Leistungen geeignet ist und s?mtliche relevanten Regularien einhalten kann. “Wir empfehlen zudem die Ernennung eines Auslagerungsbeauftragten, die Position wird ohnehin bald verpflichtend zu besetzen sein. Warum dann nicht gleich?”, sagt Whitepaper-Mitautor Holger Bluhm, Senior Consultant bei der PPI AG.

Das Vertragswerk – komplex ist sicherer
Die Vorarbeiten und Analysen stellen eine stabile Basis f?r den Vertrag dar, in den neben den g?ngigen Standards alle Verantwortlichkeiten und Belange des Outsourcings bis hin zu Notfallplanung und Exit-Strategie geh?ren. F?r das Cloud Sourcing m?ssen zudem spezifische Punkte wie Leistungsbeschreibungen, Service Level Agreements oder Bestimmungen zum Auditing vereinbart werden. “So ein Vertragswerk kann schnell einen extremen Komplexit?tsgrad erreichen. Das ist aber in erster Linie der kaum ?berschaubaren F?lle rechtlicher Vorschriften zu verdanken und nicht dem b?sen Willen der Rechtsabteilung”, sagt Frank Lohmeier.

Das Whitepaper kann auf der Website von PPI kostenlos zum Download angefordert werden: https://www.ppi.de/whitepaper-cloud-sourcing/

Keywords:PPI, Cloud Computing, Outsourcing, Auslagerung, IT-Outsourcing, Vertragsgestaltung, Compliance, Cloud Sourcing, Banken-IT, SLA, Service Level Agreement, Kritikalit?t, Regulatorik, DORA