Dank des EU FSA wird das Thema Cloud nun auch für Europäische Kunden aus regulierten Bereichen wie beispielsweise Finanzen und Versicherungen zunehmend interessanter. In der Vergangenheit sahen sie sich aufgrund der strengen EBA- und/oder BaFin-Compliance Verordnungen stets mit Hindernissen bei der Cloudmigration konfrontiert. Hierbei schafft das EU FSA von Atlassian künftig Abhilfe und stellt eine DSGVO-konforme Nutzung seiner Cloud-Produkte sicher.
Wer das EU FSA nutzen kann
Um das EU FSA nutzen zu können, müssen Kunden bestimme Anforderungen erfüllen. So kommen nur europäische Finanzdienstleistungsinstitute für das EU FSA in Frage. Das betrifft alle Banken und Versicherungsgesellschaften, die im Europäischen Wirtschaftsraum oder im Vereinigten Königreich tätig sind. Dazu gehören sowohl lokale/regionale Banken als auch große multinationale Banken, die im Europäischen Wirtschaftsraum vertreten sind (z. B. Morgan Stanley, Natwest und Deutsche Bank).
Darüber hinaus können auch bestimmte Fintech-Unternehmen aufgrund des Umfangs und der von ihnen angebotenen Dienstleistungen als europäische Finanzdienstleistungskunden eingestuft werden.
Hinweis: Kunden müssen eine MSA-Vereinbarung abschließen (Mindestausgaben von 150.000 Euro). Die Anfrage für eine MSA muss über den Partner Service Desk gestellt werden. In der Anfrage sollten die Partner angeben, dass es sich bei dem Kunden um ein europäisches Finanzdienstleistungsinstitut handelt, das die EU FSA in Anspruch nimmt.
Das EU FSA deckt alle qualifizierende Cloud-Käufe ab. Das gilt für Europäische Finanzdienstleister mit folgenden Enterprise Editionen:
- Confluence Cloud
- Jira Align Cloud
- Jira Service Management Cloud
- Jira Software Cloud
Folgende Produkte werden vom EU FSA nicht abgedeckt:
- Alle Editionen eines anderen Cloud-Produkts als Confluence Cloud, Jira Align Cloud, Jira Service Management Cloud oder Jira Software Cloud
- Die Standard- oder Premium-Editionen von Confluence Cloud, Jira Align Cloud, Jira Service Management Cloud oder Jira Software Cloud
Warum die Einhaltung der EBA und BaFin Compliance so wichtig ist
Finanzdienstleistungsinstitute, die im Europäischen Wirtschaftsraum tätig sind, werden von der Europäischen Bankenaufsichtsbehörde (EBA) reguliert und unterliegen dem Befolgen der EBA-Leitlinien. Alle Anforderungen bei der Beschaffung und Einführung von Cloud-Produkten wie auch Cloud-Dienstleistungen für Finanzdienstleister sind in den EBA Guidelines on outsourcing arrangements aufgeführt. Diese von der EBA auf regionaler Ebene festgelegten Anforderungen können weiter von nationalen Behörden durch zusätzliche oder detaillierte Anforderungen ausgeweitet bzw. genauer definiert werden.
So auch beispielsweise von der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Sie gilt als eine der strengsten und anspruchsvollsten nationalen Regulierungsbehörden und gibt in ihrem Leitfaden zum Outsourcing von Cloud-Produkten und Cloud-Diensten einen Überblick über ihre Anforderungen. Obwohl die Anforderungen des BaFin-Leitfadens weitgehend den Anforderungen der EBA-Leitlinien entsprechen, sind sie in einigen Punkten weiter gefasst und müssen von allen in Deutschland tätigen Finanzdienstleistungsinstituten einhalten werden.
Sowohl die EBA als auch die BaFin nehmen merklichen Einfluss auf Geschäftsprozesse von Finanzdienstleister – insbesondere, wenn es um die Migration in die Cloud und die damit einhergehende Gewährleistung der Datensicherheit geht. Sie betrachten Cloud-Produkte und Cloud-Dienste als Outsourcing, das auch intern durchgeführt werden kann (z. B. über On-Prem-Software). Aus diesem Grund verlangen die EBA und die BaFin, dass Finanzdienstleistungsinstitute die ausgelagerten Dienste (d. h. das Cloud-Produkt) in ähnlichem Maße beaufsichtigen und überwachen, wie sie es bei internen Abläufen tun. Nur so können Compliance und Sicherheit sensibler Daten auch außerhalb des Institutes sichergestellt werden.
Vorteile des EU Financial Services Addendum für Finanzdienstleistungsinstitute
Das EU FSA ist ein Vertragszusatz zum Atlassian Subscription Agreement. Es räumt dem Kunden weitere Kontroll- und Auditrechte zur Einhaltung der EBA- und BaFin-Leitlinien ein und gilt als Grundvoraussetzung, um in die Cloud migrieren zu können.
Wenn ein Kunde ein EU FSA mit Atlassian abschließt, bietet Atlassian folgende Zusatzrechte:
- Umfassende Auditrechte für den Kunden, seine Wirtschaftsprüfer und Aufsichtsbehörden bei sowohl Atlassian und dem Service Provider AWS;
- Verbesserte Aufzeichnungs- und Meldepflichten seitens Atlassian;
- Verpflichtung seitens Atlassian zur Zusammenarbeit mit den Aufsichtsbehörden des Kunden;
- Weiterführung des Dienstes nach einem Konkurs oder einer Kündigung.
Beides zusammen – das EU FSA und das Atlassian Subscription Agreement – bietet den Kunden das Maß an Aufsicht und Überwachung über Atlassian‘s Cloud-Produkte, das in den EBA-Leitlinien und den BaFin-Leitlinien gefordert wird.
Weitere Informationen zur BaFin Compliance
Weitere Informationen und nützliche Hinweise zum EU FSA für europäische Finanzdienstleistungsinstitute und der damit einhergehenden Einhaltung der EBA- und BaFin-Outsourcing-Vorschriftenfinden haben wir in unserem Factsheet zusammengetragen. Jetzt downloaden und alles über Atlassians neuste Maßnahmen zur Stärkung der Datensicherheit und -integrität in der Cloud für Finanzdienstleistungen in EMEA erfahren.
Du arbeitest für ein Finanzdienstleistungsinstitute im Europäischen Wirtschaftsraum und möchtest in die Cloud migrieren? Gerne begleiten wir dich bei diesem Schritt und beraten dich rund um das EU Financial Services Addendum von Atlassian und die Einhaltung der BaFin Complinace Standards bei ausgelagerten Diensten. Kontaktiere uns einfach – wir freuen uns auf deine Anfrage.
