Dienstleister sind gefordert

Hans Nagel ist General Manager Systems Integration und Mitglied der Geschäftsleitung bei T-Systems Schweiz.

Outsourcing-Dienstleister, welche die IT von Banken ganz oder teilweise betreiben, müssen hohe Anforderungen er-füllen. Sie unterliegen indirekt den im «Rundschreiben 99/2» festgehaltenen Grund-sätzen der eidgenössischen Bankenkommission (EBK). Obwohl diese relativ allgemein formuliert sind und gewisse Freiheiten einräumen, erlauben sie doch keine Beliebigkeiten.

So sieht das Rahmenwerk etwa vor, dass der auszulagernde Geschäftsbereich definiert und die Leistung des Dienstleisters mess- und beurteilbar sein muss. Zudem verpflichtet die EBK die Bank, den Dienstleister sorgfältig auszuwählen, zu instruieren und zu kontrollieren. Die Bank muss den ausgelagerten Geschäftsbereich zudem ins interne Kontrollsystem einbringen und eine für die Überwachung und Kontrolle des Dienstleisters zuständige, interne Stelle definieren. Das macht Sinn: Schliesslich trägt die Bank jederzeit selbst die volle Verantwortung für den ausgelagerten Bereich.

Zwischen Dienstleister und Bank muss es klare Vereinbarungen geben, was im Fall einer Störung zu tun ist, um den Geschäftsbetrieb aufrecht zu erhalten. Dazu verlangt die EBK die Ausarbeitung eines Sicherheitsdispositivs, das alle voraussehbaren Notfälle abdeckt.

Grosse Bedeutung kommt in den Outsourcing-Grundsätzen dem Schutz der Kundendaten zu. Gefordert wird ein konkreter Schutz «gegen unbefugte oder zufällige Vernichtung, zufälligen Verlust, technische Fehler, Fälschung, Diebstahl oder widerrechtliche Verwendung, unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen». Zudem werden beide Vertragsparteien verpflichtet, das Bundesgesetz über den Datenschutz einzuhalten und das Geschäfts- und Bankgeheimnis zu wahren.

Auch schreibt die EBK vor, dass Kunden informiert werden müssen, wenn ihre Daten an einen Dienstleister gelangen. Bei einer inländischen Lösung reicht in der Regel eine Information in allgemeiner Form, etwa in den allgemeinen Geschäftsbedingungen. Hingegen müssen die Kunden mit besonderem Schreiben informiert werden, sobald ihre Daten ins Ausland gehen. Darüber hinaus sind die Kunden über die getroffenen Sicherheitsvorkehrungen zu informieren und müssen die Möglichkeit haben, das Vertragsverhältnis «innert angemessener Frist und ohne Nachteile» beenden zu können.

Detailliert widmet sich die EBK auch dem Punkt «Revision und Aufsicht». Im Kern verlangt dieser Grundsatz, dass die Bank, ihre Revision und die EBK den ausgelagerten Geschäftsbereich jederzeit einsehen und prüfen können.

Konsequenterweise fordert die EBK, dass Auslagerungen ins Ausland vom ausdrücklichen Nachweis der Prüfmöglichkeiten abhängig zu machen sind. Die Bank muss den Nachweis erbringen, dass sie selbst, ihre banken- oder börsengesetzliche Revisionsstelle und die Bankenkommission ihre Prüfrechte wahrnehmen und rechtlich durchsetzen können. Zudem verlangt die EBK den Abschluss eines schriftlichen Vertrags zwischen Unternehmen und Dienstleister.

Bank-IT-Outsourcer müssen aber nicht nur die Grundsätze der EBK einhalten. Vielmehr stellt auch das revidierte Obligationenrecht (OR) seit Anfang 2008 Anforderungen an die unternehmensinterne Kontrolle. Diese Gesetzesänderung betrifft nicht nur die Finanzindustrie, sondern auch alle anderen Branchen. Das OR schreibt in den revidierten Artikeln 728a und b nicht vor, wie ein internes Kontrollsystem beschaffen sein soll, sondern nur dessen Vorhandensein. Ziel ist es, einen «ordnungsgemässen Ablauf der betrieblichen Tätigkeiten sicherzustellen».

Basis des internen Kontrollsystems ist eine Risikobeurteilung, die den spezifischen Anforderungen des Unternehmens Rechnung trägt. In diese Beurteilung müssen sämtliche Geschäftsbereiche einbezogen werden, insbesondere auch die Informatik. Sie liefert ja für viele Bereiche die unverzichtbare Grundlage der Geschäftsbesorgung: Buchführung, Produktion oder Auslieferung sind ohne IT-Unterstützung nicht mehr denkbar.