Finanzmarktaufsicht (Schweiz) – FINMA
Atlassian-Leitlinien zu Auslagerungen
Haftungsausschluss
Die unten angegebenen Leitlinien dienen ausschließlich der Unterstützung von Schweizer Cloud-Kunden im öffentlichen Sektor sowie Unternehmensorganisationen, die von der Eidgenössischen Finanzmarktaufsicht (FINMA) als "reguliertes Unternehmen" eingestuft werden, bei ihrer Evaluierung der Cloud-Produkte und der zugehörigen Services von Atlassian in Bezug auf das Outsourcing von Geschäftsfunktionen in die Cloud.
Dieser Bericht dient ausschließlich der Information und Anleitung, die Atlassian seinen Cloud-Kunden zur Einhaltung der FINMA-Vorgaben zur Verfügung stellt. Parallel dazu gibt es ein spezielles White Paper zur gemeinsamen Verantwortung, in dem die gemeinsame Verantwortung erörtert wird, die Cloud Service Provider (CSPs) wie Atlassian und deren Kunden berücksichtigen müssen, um die Einhaltung der FINMA-Vorgaben sicherzustellen. Das Modell der gemeinsamen Verantwortung entbindet Kunden, die Atlassian Cloud-Produkte verwenden, nicht von der Rechenschaftspflicht und von Risiken, aber es entlastet sie, da wir die Verwaltung und Kontrolle von Systemkomponenten und die physische Kontrolle von Einrichtungen übernehmen. Außerdem verlagert es einen Teil der Kosten für Sicherheit und Compliance auf Atlassian und weg von unseren Kunden.
Um mehr darüber zu erfahren, wie wir Kundendaten schützen, kannst du unsere Seite zu Sicherheitsverfahren besuchen.
| | FINMA-Leitlinien | Antwort von Atlassian | Atlassian-Ressourcen |
Einführung |
| Die FINMA befasst sich in erster Linie mit Betriebs- und Outsourcing-Risiken für Finanzinstitute. Sie stellt sicher, (i) dass Finanzinstitute angemessene Sicherheitskontrollen einhalten, um sich selbst, Gläubiger und Einzelpersonen zu schützen, wenn sie mit Anbietern von Outsourcing-Services zusammenarbeiten, und (ii) dass die Schweizer Finanzmärkte effektiv funktionieren. |
|
BaFin-Leitlinien zu Auslagerungen |
| In unserem White Paper mit den FINMA-Leitlinien zum Outsourcing findest du spezifische Zuordnungen zu jeder Anforderung und erfährst, wie Atlassian Cloud Enterprise dich bei der Erfüllung deiner Verpflichtungen unterstützt. Unter anderem erhältst du Informationen zu Audit-Rechten, zu Weisungsrechten, zu Datensicherheit, Kündigung und Weiterverlagerungen. Weitere Informationen dazu, wie wir Kundendaten schützen, findest du auf unserer Seite zu Sicherheitsverfahren. | |
EBA-Leitlinien |
| In unserem White Paper mit den FINMA-Leitlinien zum Outsourcing findest du spezifische Zuordnungen zu jeder Anforderung und erfährst, wie Atlassian Cloud Enterprise dich bei der Erfüllung deiner Verpflichtungen unterstützt. Unter anderem erhältst du Informationen zu Audit-Rechten, zu Weisungsrechten, zu Datensicherheit, Kündigung und Weiterverlagerungen. Weitere Informationen dazu, wie wir Kundendaten schützen, findest du auf unserer Seite zu Sicherheitsverfahren. | |
Inventar der ausgelagerten Funktionen | 4.1. (14) Der Kunde muss ein aktuelles Inventar der ausgelagerten Funktionen führen, das eine Beschreibung der ausgelagerten Funktionen, des Dienstleisters (einschließlich Subunternehmern), des Empfängers des Outsourcings und der internen Einheit des Kunden, die für das Outsourcing verantwortlich ist, enthält. | Wir wissen, dass dies eine Verpflichtung für unsere Kunden, die regulierten Institute, ist. In einigen Fällen kann Atlassian jedoch unter Einhaltung der DSGVO bestimmte kritische oder wichtige Funktionen auf hochwertige Dienstleister (z. B. Datenhosting-Anbieter) verlagern. | |
Auswahl, Anleitung und Überwachung des Dienstleisters | 5.1. (16) Die Servicespezifikationen müssen im Einklang mit den Zielen des Outsourcings vereinbart und dokumentiert werden, bevor die Vereinbarung unterzeichnet wird. Dazu gehört die Durchführung einer Risikoanalyse, die die wichtigsten wirtschaftlichen und betrieblichen Überlegungen sowie die damit verbundenen Risiken und Chancen berücksichtigt. | Diese Verpflichtung gilt nicht für Cloud Service Provider. Atlassian stellt jedoch mehrere Ressourcen zur Verfügung, um seine Kunden bei der erforderlichen Risikobeurteilung und der gebotenen Sorgfalt zu unterstützen. Weitere Informationen zu den Sicherheits- und Betriebspraktiken von Atlassian findest du im Trust Center von Atlassian (https://www.atlassian.com/trust). Dort erfährst du mehr über Folgendes:
| Trust Center |
| 5.2. (17) Der Dienstleister muss unter gebührender Berücksichtigung seiner professionellen Fähigkeiten sowie seiner finanziellen und personellen Ressourcen ausgewählt und überprüft werden. Wenn mehrere Funktionen an denselben Dienstleister ausgelagert werden, muss die Risikokonzentration berücksichtigt werden. | Unsere Leitlinien findest du in unserer Antwort auf die Abschnitte 4.1 und 5.1. |
| |
| 5.3. (18) Die Möglichkeit, den Dienstleister zu wechseln, und die möglichen Folgen eines solchen Wechsels müssen bei der Entscheidung für das Outsourcing und für einen bestimmten Dienstleister berücksichtigt werden. Der Dienstleister muss die dauerhafte Leistungserbringung garantieren können. Es müssen Vorkehrungen für den Fall getroffen werden, dass das Outsourcing der Funktion beendet oder die Funktion übertragen wird. | Während der Abonnementlaufzeit, für die du ein relevantes abgedecktes Cloud-Produkt erworben hast, werden wir wirtschaftlich angemessene Anstrengungen unternehmen, um die monatliche Verfügbarkeit zu einem gewissen Prozentsatz sicherzustellen, wie unten definiert ("Service-Level-Versprechen"):
Die entsprechenden Service-Level-Bedingungen sowie die Abhilfemaßnahmen bei Nichteinhalten der Service-Level für die abgedeckten Cloud-Produkte sind in unserem Service Level Agreement und den entsprechenden produktspezifischen Bedingungen angegeben. | Service Level Agreement von Atlassian | |
| 5.4. (19) Die Pflichten der Parteien müssen vertraglich vereinbart und abgegrenzt werden, insbesondere in Bezug auf Schnittstellen und Verantwortlichkeiten. | Siehe Atlassian-Kundenvereinbarung -> https://www.atlassian.com/legal/atlassian-customer-agreement | ||
| 5.5. (20–21) Der Kunde muss die Services eines Outsourcing-Anbieters kontinuierlich überwachen und bewerten und zu diesem Zweck Vertragsbedingungen für die erforderlichen Weisungs- und Kontrollrechte festlegen. | Um dir bei der Einhaltung von Vorschriften und der Berichterstattung zu helfen, teilen wir Informationen und Best Practices und bieten einfachen Zugriff auf die Dokumentation rund um die Funktionen unserer Produkte. Unsere Produkte werden regelmäßig von unabhängiger Seite auf die Einhaltung geltender globaler Sicherheits-, Datenschutz- und Compliance-Anforderungen überprüft und sind entsprechend zertifiziert. | ||
Sicherheit | 6.1. (24) Die Parteien müssen die geltenden Sicherheitsanforderungen vertraglich vereinbaren und der Kunde muss die Einhaltung dieser Anforderungen überwachen. | Vertragliche Verpflichtungen rund um die Sicherheit sind in Abschnitt 4.2 der Atlassian-Kundenvereinbarung enthalten (https://www.atlassian.com/legal/atlassian-customer-agreement), der besagt, dass Atlassian angemessene physische, technische und administrative Sicherheitsmaßnahmen implementiert hat und aufrechterhalten wird, um deine Kundendaten vor Zugriff, Löschung, Verwendung, Bearbeitung oder Offenlegung durch Unbefugte zu schützen. In diesem Abschnitt heißt es auch, dass Atlassian ein Compliance-Programm unterhalten wird, das Prüfungen und Zertifizierungen durch unabhängige Dritte beinhaltet. Unser Trust Center (https://www.atlassian.com/trust) wird immer wieder aktualisiert und bietet weitere Informationen zu unseren Sicherheitsmaßnahmen und Zertifizierungen. | Atlassian-Kundenvereinbarung |
| 6.2. (25) Die Parteien müssen ein Sicherheits-Framework ausarbeiten, um sicherzustellen, dass die ausgelagerte Funktion auch im Notfall weiterhin ausgeführt werden kann. | Wir haben Business-Continuity- und Disaster-Recovery-Pläne, wie in unserem Trust Center beschrieben (https://www.atlassian.com/trust/security/security-practices#business-continuity-and-disaster-recovery-management). Diese Pläne werden mindestens einmal im Jahr überprüft und getestet. | ||
Prüfung und Aufsicht | 7.1. (26) Der Kunde, seine Prüfungsgesellschaft und die FINMA müssen in der Lage sein, die Einhaltung der aufsichtsrechtlichen Vorschriften durch den Dienstleister zu überprüfen. Zu diesem Zweck müssen sie das vertragliche Recht haben, alle Informationen im Zusammenhang mit der ausgelagerten Funktion jederzeit und ohne Einschränkung einsehen und überprüfen zu können. | Atlassian erkennt an, dass von der FINMA beaufsichtigte Unternehmen in der Lage sein müssen, unsere Services effektiv zu prüfen. Atlassian gewährt solchen beaufsichtigten Unternehmen und ihren Aufsichtsbehörden in Übereinstimmung mit dem geltenden Recht bestimmte Prüfungs-, Zugriffs- und Informationsrechte. Die beaufsichtigten Unternehmen können jederzeit auf ihre Daten zu den Services zugreifen und ihrer Aufsichtsbehörde Zugriff gewähren. |
|
| 7.2. (27) Die Prüfung kann an die Prüfer des Dienstleisters delegiert werden, sofern diese ausreichend qualifiziert sind. In diesem Fall kann die Prüfungsgesellschaft des Kunden die Ergebnisse der Prüfer des Dienstleisters für ihre Prüfung verwenden. | Unsere Cloud-Produkte werden regelmäßig von unabhängiger Seite auf die Einhaltung geltender globaler Sicherheits-, Datenschutz- und Compliance-Anforderungen überprüft und sind entsprechend zertifiziert. In unserem Compliance Resource Center (https://www.atlassian.com/trust/compliance/resources) kannst du dir branchenführende Sicherheitsverfahren von Atlassian, Prüfungen und Zertifizierungen durch Dritte, Dokumentationen und rechtliche Verpflichtungen ansehen, die dich bei der Einhaltung von Vorschriften unterstützen. | ||
| 7.3. (28) Das Auslagern einer Funktion darf die Aufsicht durch die FINMA nicht erschweren, insbesondere wenn die Funktion in ein anderes Land ausgelagert wird. | Atlassian bleibt für seine Gesamtleistung im Rahmen des Atlassian-Kundenvertrags verantwortlich, einschließlich aller Funktionen, die unter Sub-Outsourcing erfolgen. Darüber hinaus verpflichtet sich Atlassian bei kritischen oder wichtigen Sub-Outsourcings zum Abschluss geeigneter Verträge mit diesen Sub-Outsourcing-Unternehmen, wodurch Atlassian die nötigen Prüfungsrechte gewährt und die Sub-Outsourcing-Unternehmen zur Einhaltung aller geltenden Gesetze verpflichtet werden. |
| |
| 7.4. (29) Wenn der Dienstleister nicht von der FINMA beaufsichtigt wird, muss er vertraglich verpflichtet werden, der FINMA sämtliche Informationen und Dokumentation zu den ausgelagerten Funktionen zur Verfügung zu stellen, die für die Aufsichtstätigkeit der FINMA erforderlich sind. Wenn die Prüfung an die Prüfer des Dienstleisters delegiert wird, muss deren Bericht auf Anfrage der FINMA sowie den internen Prüfern und der Prüfungsgesellschaft des auslagernden Kunden vorgelegt werden. | Auf Anfrage stellt Atlassian seinen externen Prüfbericht zur Verfügung. |
| |
Auslagerung ins Ausland | 8.1. (30) Die Auslagerung in ein anderes Land ist zulässig, wenn der Kunde ausdrücklich garantieren kann, dass er, seine Prüfungsgesellschaft und die FINMA ihr Recht auf Einsichtnahme und Prüfung von Informationen geltend machen und durchsetzen können. | In unserem White Paper mit den FINMA-Leitlinien zum Outsourcing findest du spezifische Zuordnungen zu jeder Anforderung und erfährst, wie Atlassian Cloud Enterprise dich bei der Erfüllung deiner Verpflichtungen unterstützt. Unter anderem erhältst du Informationen zu Audit-Rechten, zu Weisungsrechten, zu Datensicherheit, Kündigung und Weiterverlagerungen. Weitere Informationen dazu, wie wir Kundendaten schützen, findest du auf unserer Seite zu Sicherheitsverfahren. | |
| 8.2. (31) Der Kunde muss sicherstellen, dass die Auslagerung an einen ausländischen Dienstleister die Restrukturierung oder Abwicklung in der Schweiz nicht behindert und die dafür notwendigen Informationen müssen in der Schweiz jederzeit abrufbar sein. | Atlassian wird im Falle eines Kontrollwechsels, einer Veräußerung oder einer anderen organisatorischen Umstrukturierung in angemessenem Rahmen mit unseren Kunden zusammenarbeiten. |
| |
Einverständniserklärung | 9.1. (32) Die Auslagerung muss auf einer schriftlichen Vereinbarung beruhen. Zusätzlich zur Benennung der Parteien und der Beschreibung der ausgelagerten Funktion muss die Vereinbarung auch die Anforderungen in den Randziffern 33–34 erfüllen. | Sämtliche Interaktion mit Kunden wird durch einen formellen Vertrag geregelt. Siehe Atlassian-Kundenvereinbarung -> https://www.atlassian.com/legal/atlassian-customer-agreement | |
| 9.2. (33) Der Kunde muss sicherstellen, dass er frühzeitig über den Einsatz oder Austausch von Subunternehmern für wichtige Funktionen informiert wird und die Möglichkeit hat, die Auslagerung gemäß Randziffer 18.1. ordentlich zu kündigen. Wenn Subunternehmer eingesetzt werden, müssen sie auch an die Verpflichtungen und Garantien des Dienstleisters gebunden sein, die zur Einhaltung dieses Rundschreibens erforderlich sind. | Abschnitt 13.4 der EBA-Leitlinien beschreibt die Kündigungsrechte des Kunden. Er besagt: "Wir gewähren unseren Kunden ein umfassendes Kündigungsrecht, das es ihnen ermöglicht, in jedem der in Abschnitt 13.4 der EBA-Leitlinien aufgeführten Fälle zu kündigen." https://www.atlassian.com/trust/compliance/resources/eba/eba-guidance | ||
| 9.3. (34) Die Vereinbarung muss Maßnahmen enthalten, um die Umsetzung der in diesem Rundschreiben dargelegten Anforderungen sicherzustellen, insbesondere in den Randziffern 21, 24, 26, 29, 30 und 31. | Siehe Fragen 5.5, 6.1, 7.1, 7.4, 8.1 und 8.2. |
|