09.01.2018
Die EBA hat am 20.12.2017 ihren finalen Bericht mit Empfehlungen zu Outsourcing an Cloud Service Provider (Cloud Outsourcing) vorgelegt.
In dem Bericht gibt die EBA zu folgenden Punkten Empfehlungen ab:
Nachstehende Abbildung gibt einen Überblick zu den einzelnen Regelungssachverhalten mit den wesentlichen Kernaussagen. Dabei sind die Sachverhalte, die Zugangs- oder Zutrittsrechte bzw. Netzzugriff betreffen, zusammengefasst (Kapitel 4.3 und 4.4 der Empfehlung).
Mit den vorliegenden Empfehlungen hat die EBA einen ersten wichtigen und begrüßenswerten Schritt unternommen, um Sicherheit in die Erwartungshaltung der Regulatoren zu Cloud Outsourcing zu bringen.
Verschiedene Themen wurden im Rahmen der Konsultation aufgegriffen und umfangreich erläutert. Durch die Freiheitsgrade kann es zu unterschiedlichen Ausgestaltungen durch die nationalen Aufsichtsbehörden in Europa kommen. Dies beträfe u. a. direkt das konzernweite Cloud Outsourcing mehrerer selbstständiger Konzernunternehmen.
In einigen Punkten, wie bspw. der Diskussion über die Länder, in denen die Daten gespeichert sind, sind die Schwierigkeiten und Gegensätzlichkeiten, die zwischen global agierenden und optimierenden Cloud Service Providern und regional agierenden Aufsichtsbehörden bestehen, sehr deutlich hervorgetreten.
Bis sich am Markt eine laufende Prüfungspraxis entwickelt hat, empfehlen wir, vor einer Auslagerung von Dienstleistungen oder Prozessen in die Cloud in direkte Abstimmung mit der Aufsicht zu gehen.
Nachdem Cloud Outsourcing zunächst als ein weltweiter Markt bzw. eine weltweite Serviceplattform anzusehen ist, ist es fraglich, ob es gelingt, diesen Markt mit regionalen Maßnahmen zu regulieren.