Wie erfüllen Cloud-Verträge mit Hyperscalern aufsichtsrechtliche Anforderungen von Banken und Versicherungen?
Problemstellung
Fast jede Versicherung oder Finanzinstitut nutzt bereits Cloud Services der großen amerikanischen Hyperscaler (bspw. Microsoft, AWS, Google). Oftmals sind es die Fachabteilungen, welche die beliebten „Pay-per-use“ Cloud Services beauftragen und nutzen. Mit der Bestellung und Nutzung der Cloud-Services gelten automatisch die allgemeinen Vertragsbestimmungen der Hyperscaler, welche ausschließlich Online nachzulesen sind.
Keiner dieser Standard-Verträge adressiert aufsichtsrechtliche Anforderungen wie uneingeschränkte Prüf- und Informationspflichten des Kunden / der Aufsicht und somit führt die Nutzung in vielen Fällen zu Compliance-Problemen im Hinblick auf BAIT, VAIT, KAIT bzw. ZAIT.
Spezielle Vertragsanhänge für Financial Services
Alle Hyperscaler verfügen mittlerweile über spezielle Vertragsanhänge für Finanzdienstleister, um aufsichtsrechtliche Themen zu adressieren. Diese erlangen aber üblicherweise nur Gültigkeit, wenn explizite Rahmenverträge mit den Cloud-Providern geschlossen werden. Hierbei ist es i.d.R. nicht notwendig, dass seitens des Kunden Abnahmeverpflichtungen eingegangen werden. In den meisten Fällen ist weiterhin die Nutzung der Cloud Services als „Pay-per-use“ möglich.
Diese speziellen Vertragsanhänge der Hyperscaler sind der BaFin bekannt, aber dies bedeutet nicht, dass diese den aufsichtsrechtlichen Anforderungen vollständig genügen. Eine genaue Vertragsanalyse zeigt immer wieder Schwächen, unklare Formulierungen und potenzielle Einschränkungen auf. Kunden sind daher gut beraten, genauso wie bei individuellen Verträgen mit IT-Providern in Vertragsverhandlungen mit den Hyperscalern einzusteigen.
Verhandlungsbereitschaft der Hyperscaler
Erfahrungen zeigen, dass die Hyperscaler nicht nur in Situationen mit großen Abnahmevolumina Bereitschaft zeigen, Verträge entsprechend der Kundenwünsche anzupassen, sondern dies auch ohne explizite Umsatzverpflichtung des Kunden tun. Oftmals genügt den Cloud-Providern bereits eine „Cloud Roadmap“, welche ein valide Geschäftschance für zukünftige Umsätze darstellt.
Bei entsprechenden Geschäftschancen für den Cloud-Provider gibt sich dieser unserer Erfahrung nach in den Verhandlungen flexibel und kooperativ, die Kundenanforderungen auch vertraglich umzusetzen.
Wesentliche Verhandlungsthemen
Die Cloud Hyperscaler sind ohne Ausnahme US-Unternehmen, deshalb werden Großteile des Vertrags auf Englisch sein und die Vertragsanhänge nur im Internet veröffentlicht. Dies wird regelmäßig von Kunden negativ angemerkt, aber auf der anderen Seite liegt der Vorteil von Cloud-Diensten in der weltweiten Standardisierung und umfangreicher Automatisierung. Moderne, international ausgerichtete Unternehmen sollten mit Englisch als Vertragssprache kein wirkliches Problem haben. Teilweise stellen die Cloud-Provider auch juristisch geprüfte Übersetzungen wesentlicher Vertragsbestandteile als Information zur Verfügung.
Auf den Internetseiten der Cloudprovider finden Kunden eine Vielzahl von Detailinformationen, Architektur-Guidelines, Security-Dokumenten, etc. Allerdings sind die Verträge hinsichtlich dieser Details eher oberflächlich und generisch gehalten. Ein wichtiges Ziel der Vertragsverhandlung ist deshalb, Referenzen zu wesentlichen Leistungsmerkmalen und Rahmenbedingungen in den Vertrag aufzunehmen und sie somit zum Bestandteil des Vertrages zu machen.
Kein Cloud-Anbieter wird seine internetbasierten Standard-Vertragsanhänge mit weltweiter Gültigkeit für einen Kunden individuell anpassen, aber es besteht sehr wohl die Möglichkeit, in dem Rahmenvertrag selbst Anpassungen, Klarstellungen und Ergänzungen vorzunehmen, welche sich auf die Standard-Vertragsanhänge beziehen.
Der größte Fokus im Rahmen der Vertragsverhandlungen liegt jedoch auf dem Anhang für Finanzdienstleister. Hier sind üblicherweise die meisten Anpassungen notwendig, um die aus Sicht des Kunden notwendigen vertraglichen Regelungen zur Einhaltung der aufsichtsrechtlichen Bestimmungen sicherzustellen.
Viele der Forderungen des Kunden sind den Cloud-Providern nicht unbekannt, da diese Punkte in anderen Situationen bereits hervorgebracht, verhandelt und vereinbart wurden. Das Verhandlungsteam des Cloud-Provider verfügt deshalb meistens über ein klares Bild, welche Anpassungen / Ergänzungen möglich sind und üblicherweise formal freigegeben werden. Da das Mandat der lokalen Ansprechpartner des Cloud-Providers insbesondere bei juristischen Themen eingeschränkt ist, bedarf es oftmals gesonderter Freigaben der übergeordneten Hierarchie-Ebene.
Vorsicht bei der Verwendung generischer Checklisten
Im Internet finden sich mittlerweile mehrere Anbieter so genannter „Compliance-Checklisten“ für den Einsatz von Cloud Services und anderen Outsourcing-Dienstleistungen. Unserer Erfahrung nach sind jedoch die Anforderungen der Kunden hinsichtlich der notwendigen Vertragsformulierungen für die aufsichtsrechtliche Compliance immer individuell zu betrachten und lassen sich nicht in hinreichendem Umfang über generische Compliance-Checklisten eruieren.
Empfehlung
Wesentliche Voraussetzungen für die Kooperationsbereitschaft des Cloud-Providers bei der Anpassung seiner Verträge sind ein professionell aufgestellter Kunde und strukturierter Verhandlungsprozess. Das in den Verhandlungen beteiligtes Team sollte gut vorbereitet sein und die Verhandlungen im Sinne der priorisierten Kundenanforderungen führen. Bei regulierten Kunden besteht oftmals die größte Herausforderung darin, die internen Stakeholder wie IT-Abteilung, Fachbereiche, Datenschutz, Informationssicherheit, Risikomanagement, Compliancemanagement sowie den Einkauf zu koordinieren und die Besonderheiten bei Nutzung von Cloud-Diensten zu erläutern.
Die externe Unterstützung durch entsprechend erfahrene Sourcingberater sichert dem Kunden eine zügige und professionelle Umsetzung von Kundenanforderungen für einen aufsichtsrechtlich konformen Rahmenvertrag mit einem Cloud-Provider.
LBl
