Die ESMA will mit ihren Leitlinien den betroffenen Firmen Hilfestellung geben, insbesondere bei der Ermittlung, dem Management und der Überwachung von Risiken im Zusammenhang mit Auslagerungen an Cloud-Anbieter.

Die Leitlinien betreffen:

• die Risikoanalyse der Auslagerung und Due-Diligence-Prüfung,
• die Verfahren und internen Grundsätze zur Sicherstellung der Anforderungen an die Governance, Kontrolle und Dokumentation (zum Beispiel Auslagerungsentscheidung, Wahl des Cloud-Anbieters, Überwachung ausgelagerter Tätigkeiten),
• die wesentlichen Bestandteile der vertraglichen Auslagerungsvereinbarung an Cloud-Anbieter einschließlich der Ausstiegsstrategien,
• die Mitteilungspflichten an die zuständigen Behörden.

Zugleich sollen die Leitlinien dazu beitragen, dass die zuständigen Behörden bei der Aufsicht über Auslagerungen an Cloud-Anbieter einheitlich vorgehen. Insoweit ergänzen die ESMA-Leitlinien die bestehenden Leitlinien der Europäischen Bankenaufsichtsbehörde EBA zu Auslagerungsvereinbarungen und der Europäischen Versicherungsaufsichtsbehörde EIOPA zu Auslagerungen an Cloud-Anbieter.

Die BaFin weist vorsorglich darauf hin, dass die Definition der „Auslagerungsvereinbarung mit Cloud-Anbietern“ gemäß Leitlinien auch Auslagerungen an eine Firma oder einen Dritten umfasst, die bzw. der kein Cloud-Anbieter ist, aber in erheblichem Maße auf einen Cloud-Anbieter zurückgreift, um eine Funktion wahrzunehmen, die die Firma sonst selbst wahrnehmen würde.

Die Leitlinien richten sich an zuständige Behörden sowie an

• Verwalter alternativer Investmentfonds (AIFM) und Verwahrstellen alternativer Investmentfonds (AIF),
• Organismen für gemeinsame Anlagen in Wertpapieren (OGAW), Verwaltungsgesellschaften und Verwahrstellen von OGAW und Investmentgesellschaften, die keine gemäß der OGAW-Richtlinie zugelassene Verwaltungsgesellschaft benannt haben,
• zentrale Gegenparteien (Central Counterparties – CCP), einschließlich Tier-2-Drittstaaten-CCP, die die einschlägigen EMIR-Anforderungen erfüllen,
• Transaktionsregister,
• Wertpapierfirmen und Kreditinstitute im Rahmen der Erbringung von Wertpapierdienstleistungen und der Ausübung von Anlagetätigkeiten, Datenbereitstellungsdienste und Betreiber von Handelsplätzen,
• Zentralverwahrer,
• Ratingagenturen,
• Verbriefungsregister,
• Administratoren kritischer Referenzwerte.