Lagern regulierte Unternehmen Teile ihres Geschäftsbetriebs auf einen Outsourcingdienstleister aus, müssen sie unter bestimmten Umständen den Dienstleister auf die Anwendung von Vergütungsregeln verpflichten, um compliant zu sein. Der Dienstleister wiederum muss diesen Aspekt im Rahmen von Due-Diligence-Prüfungen berücksichtigen – sonst drohen erhebliche (Personal-) Kostensteigerungen.
Wie auch in anderen Bereichen sind im Finanzsektor Auslagerungen von bestimmten Geschäftsaktivitäten üblich. Dies betrifft durchaus nicht nur „unterstützende“ Funktionsbereiche wie die üblichen „Verdächtigen“ Lohnbuchhaltung, Entgeltabrechnung und Fuhrparkmanagement, sondern teilweise auch geschäftskritische Kernbereiche. Das Modell der Auslagerung ist nicht nur für die jeweiligen Unternehmen bzw. Institute interessant, die hierdurch ihren Geschäftsbetrieb effizienter aufstellen können, sondern auch für die hierauf spezialisierten Dienstleister.
Immer wieder übersehen wird in solchen Fällen aber folgendes – vielleicht zu sehr getrieben durch die interessante „business opportunity“ und/oder eine nicht hinreichende Einbindung von HR, Legal und Regulatory-Funktionen: Die Auslagerung darf nicht als „Flucht aus der Regulatorik“ genutzt werden. Deshalb verpflichtet das jeweils anwendbare Aufsichtsrecht in leicht unterschiedlicher Ausprägung dazu, die Regulatorik (auch im Verhältnis zum Dienstleister) weiterhin zur Anwendung zu bringen.
Warum ist das Thema relevant?
Das kann insbesondere dazu führen, dass die zwingend geltenden Vergütungsregelungen kraft vertraglicher Verpflichtung auch an den Outsourcingdienstleister weitergegeben werden müssen (!). Geschieht dies nicht, verhält sich das auslagernde Institut compliancewidrig und kann von der Aufsichtsbehörde mit Sanktionen belegt werden.
Der Dienstleister hingegen, der im Rahmen einer ggf. nur oberflächlichen Due-Diligence-Prüfung nicht auf das Thema achtet, wundert sich, weshalb er ein äußerst aufwendiges und komplexes Vergütungsregime „erbt“ und ggf. fortsetzen muss. Er kennt sich typischerweise weder mit diesem aus (Rechtsrisiken) noch kann er es typischerweise systemisch abbilden oder in das Geschäftsmodell im Übrigen einpassen. Das kann zu einer Kostenexplosion führen, von Störungen der Geschäftsbeziehung zum auslagernden Unternehmen ganz zu schweigen.
Welche Branchen müssen sich mit dem Thema beschäftigen?
Die Pflicht zur Sicherstellung der aufsichtsrechtlichen Anforderungen betrifft – in unterschiedlich starker und konkreter Ausprägung – alle Branchen des Finanzsektors.
- Für Versicherungsunternehmen bestimmen das Versicherungsaufsichtsgesetz (insb. § 32 VAG), die Delegierte Verordnung (EU) 2015/35 sowie die EIOPA-Richtlinien zur Corporate Governance Pflichten bei der Auslagerung von Unternehmensfunktionen.
- Kapitalverwaltungsgesellschaften müssen nach den „Leitlinien für solide Vergütungspolitiken“ (ESMA-Leitlinie 2013/232 2016/575) bestimmte Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften sicherstellen (KaMARisk). Ebenfalls verpflichtet Nr. 10 Abs. 4 g KaMARisk im Auslagerungsfall zur Erfüllung regulatorischer Vorgaben.
- Für Wertpapierinstitute – bis zu einer gewissen Größe – sind die regulatorischen Vorgaben gerade im Wertpapierinstitutegesetz (WpIG) neu gefasst worden. § 40 WpIG in Verbindung mit der Delegierten Verordnung (EU) 2017/565 konkretisiert die Anforderungen an Auslagerungen. Die BaFin konsultiert aktuell zu einer Mantelverordnung, welche die das WpIG konkretisierenden Verordnungen neu gliedert.
- Besonders konkret sind die Verpflichtungen für Banken und Finanzdienstleistungsinstitute i.S.d. Kreditwesengesetzes (KWG) ausgeprägt. Nach dem Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MARisk), dort AT 9, ist ein ganzer Pflichtenkatalog für Auslagerungsfälle vorgesehen.
Wann liegt eine Auslagerung vor?
Die einschlägigen Regelwerke definieren leicht abweichend, aber inhaltlich weitgehend ähnlich: Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aufgaben beauftragt wird (Auslagerungsunternehmen), die ansonsten von der Gesellschaft selbst erbracht würden.
Bestimmte Tätigkeiten sind nach der Regulatorik nicht einem Outsourcing zugänglich (siehe beispielhaft für Kapitalverwaltungsgesellschaften die FAQ der BaFin zu Auslagerungen nach § 36 KAGB).
Verpflichtungen am Beispiel der Bankenbranche
Exemplarisch soll das Problem am Beispiel der Bankenbranche sowie der dort geltenden Vergütungsregelungen geschildert werden. Aktuell ist das Beispiel derzeit insbesondere aufgrund der jüngsten Reform der Institutsvergütungsverordnung (IVV) – siehe für Einzelheiten unser Blog sowie den Beitrag des Autors im private banking magazin.
Nach AT 9 Tz. 2 MARisk muss ein Institut, welches eine Auslagerung beabsichtigt, auf der „Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen)“.
Nach AT 9 Tz. 7 g) MARisk sind die Institute verpflichtet, bei wesentlichen Auslagerungen in die Auslagerungsvereinbarung mit dem Dienstleister „Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung“ aufzunehmen, „die sicherstellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält“.
Das bedeutet mit anderen Worten: Gilt bei dem Institut aufgrund seiner Eigenart, Größe oder Bedeutung die IVV, müssen die aufsichtsrechtlichen Anforderungen auch an den Dienstleister (kraft vertraglicher Verpflichtung!) weitergegeben werden.
Art der Verpflichtung
Die Verpflichtung zur Umsetzung der bankaufsichtsrechtlichen Anforderungen ist nach § 14 IVV als Hinwirkungspflicht ausgestaltet. Die Institute müssen also versuchen, den Dienstleister zur Akzeptanz der IVV-geprägten Vergütung zu bringen, wobei sie es nicht bei einem einmaligen Anlauf belassen dürfen. Vielmehr müssen sie bei jeder sich bietenden Gelegenheit erneut das Thema platzieren und versuchen, die Konformität sicherzustellen.
Praxisempfehlung
Aus Sicht des Institutes empfiehlt es sich, die Versuche einer Hinwirkung im Verhältnis zum Dienstleister zu dokumentieren und das Thema im Rahmen regelmäßiger Vertragsgespräche (z.B. bei Auslaufen/Verlängerung eines Vertrages) auf der Agenda zu halten. So kann gegenüber der Aufsichtsbehörde Sicherheit geschaffen werden. Gleiches Prozedere gilt im Übrigen – wie jetzt – bei Anpassungen der IVV, die eine Anpassung der zugrundeliegenden Vereinbarungen erforderlich machen.
Aus Sicht der Dienstleister empfiehlt es sich, bei Outsourcings in regulierten Bereichen immer ein Auge darauf zu haben (und im Rahmen der Due Diligence abzuprüfen), ob besonders reguliertes Personal (z.B. Risikoträger, Geschäftsleiter) im Rahmen von people driven deals mit übergeleitet wird bzw. sonstige aufsichtsrechtliche Anforderungen die Anwendung regulierter Vergütungssysteme erforderlich machen.