Die EIOPA hat Leitlinien für Anbieter von Cloud-Outsourcing veröffentlicht.
Die Rechtsgrundlage für die Ausstellung solcher Dokumente durch die Behörde ist Artikel 16 der Verordnung (EU) Nr. 1094/2010, der vorsieht, dass die Behörde Leitlinien und Empfehlungen an die zuständigen Behörden oder Finanzinstitute herausgeben kann, um eine kohärente, effiziente und wirksame Aufsichtspraxis festzulegen und die gemeinsame, einheitliche und kohärente Anwendung des Unionsrechts zu gewährleisten.
Als Ergebnis ihrer Arbeit hat die EIOPA die Notwendigkeit erkannt, detaillierte Leitlinien für das Outsourcing an Cloud-Anbieter zu entwickeln. Eine öffentliche Konsultation zu diesem Dokument wurde am 1. Juli 2019 eingeleitet.
Nach Ansicht der EIOPA können Cloud-Dienste eine Reihe von Vorteilen wie Größenvorteile, Flexibilität, Betriebseffizienz und Kosteneffizienz bieten, gleichzeitig aber auch Herausforderungen in Bezug auf Datenschutz und Standort, Sicherheitsfragen und Konzentrationsrisiken mit sich bringen, nicht nur aus der Sicht einzelner Unternehmen, sondern auch auf Branchenebene. Im Falle einer Störung kann die Monopolisierung solcher Dienstleistungen besondere Risiken für eine große Gruppe von Finanzinstituten darstellen.
Die Leitlinien enthalten viele sehr wertvolle Kommentare und Hinweise sowohl für Versicherungsunternehmen als auch für Outsourcing-Anbieter, und es besteht kein Zweifel, dass beide auf dieses Dokument Bezug nehmen sollten.
Aus formaler Sicht sollten die EIOPA-Leitlinien in der gesamten Union angewandt werden, aber gemäß Artikel 16 der Verordnung (EU) Nr. 1094/2010 muss jede zuständige Behörde (im Falle Polens ist dies die polnische Finanzaufsichtsbehörde ”KNF“) innerhalb von zwei Monaten nach der Herausgabe der Leitlinien bestätigen, ob sie diese Leitlinien einhält oder einzuhalten gedenkt. Wendet eine zuständige Behörde die Leitlinie nicht an oder beabsichtigt sie nicht, sie anzuwenden, so teilt sie dies der EIOPA unter Angabe ihrer Gründe mit. Die Behörde veröffentlicht dann die Information, dass eine zuständige Behörde die Leitlinien nicht einhält oder nicht einzuhalten gedenkt. Die Gründe für die Nichteinhaltung können ebenfalls von Fall zu Fall bestimmt werden und werden von der EIOPA veröffentlicht.
Darüber hinaus unterrichtet die Behörde in ihrem Jahresbericht das Europäische Parlament, den Rat und die Europäische Kommission über die erlassenen Leitlinien, wobei sie angibt, welche zuständige Behörde diese nicht angewandt hat, und erläutert, wie die Behörde beabsichtigt, dafür zu sorgen, dass die betreffenden zuständigen Behörden die Leitlinien in Zukunft befolgen.
