Die BaFin hat am 1. Februar 2024 eine „Aufsichtsmitteilung für Auslagerungen an Cloud-Anbieter“ veröffentlicht. Sie ersetzt und erweitert inhaltlich die auf der gemeinsam mit der Bundesbank veröffentlichten „Orientierungshilfe“ zum gleichen Thema aus November 2018.

Die Auslegungshinweise enthalten auch zahlreiche Hinweise auf die ab 17. Januar 2025 anzuwendende DORA-VO und diesbezügliche Anforderungen (nicht nur) für Cloud-Auslagerungen.

In den Vorbemerkungen widmet sich die BaFin ausführlich den Erkenntnissen aus dem Austausch mit Finanzunternehmen über aufsichtliche Herausforderungen beim Einsatz großer Cloud-Anbieter. Den Vorteilen in Bezug auf Verfügbarkeit, Skalierbarkeit und Standardisierung stünden auch Nachteile in Form „operative[r] Schwierigkeiten bei der Prüfbarkeit des Cloud-Anbieters zum Nachweis der angemessenen und wirksamen Umsetzung von Sicherheits- und Compliance-Anforderungen“ gegenüber. Die BaFin nimmt zur Kenntnis, dass „das Leistungsangebot und die Art der Leistungserbringung durch einzelne beaufsichtigte Unternehmen kaum beeinflussbar seien.“ Die BaFin gibt auch die Einschätzung der Finanzunternehmen wieder, dass aus deren Sicht „individuelle Vereinbarungen bei der Vertragsgestaltung […] nicht oder nur in geringem Umfang möglich“ seien (Seite 4). In den Vorbemerkungen befindet sich - nahezu unverändert - die Feststellung, dass bestehende aufsichtsrechtliche Anforderungen durch „Soll-Formulierungen“ unverändert bleiben. Ergänzt wurde aber der Satz: „Das für diese Anforderungen geltende Proportionalitätsprinzip gilt auch für die in dieser Aufsichtsmitteilung formulierten Hilfestellungen.“

Der Umfang der Auslegungshilfe ist im Vergleich zur „Orientierungshilfe“ von 2018 deutlich gewachsen und umfasst jetzt 32 Seiten. Neu erstellt wurden u.a. folgende Zwischenüberschriften und Unterkapitel:

• III. Vorbereitende Handlungen und Governance-Rahmen für die Cloud
• III.3 Interne Vorgaben für die Nutzung der Cloud
• IV. Sichere Anwendungsentwicklung und IT-Betrieb in der Cloud
• V. Überwachung und Kontrolle der Auslagerungen an Cloud-Anbieter

Ein die Intentionen der BaFin bei ihrer Überarbeitung verdeutlichender Artikel ist am 22. Februar 2024 im BaFin-Journal mit dem programmatischen Titel „Doch, die BaFin erlaubt das!“ erschienen.