Vom (nationalen) Auslagerungsmanagement zum (europäischen) Third Party (Risk) Management

Strategien und Herausforderungen für die deutsche Kreditwirtschaft

Die Steuerung von Drittdienstleistern war in der deutschen Kreditwirtschaft lange Zeit durch ein national geprägtes Auslagerungsmanagement nach MaRisk AT 9 bestimmt. Mit DORA und der Neuausrichtung der EBA vollzieht sich nun ein grundlegender Wandel hin zu einem „europäisch einheitlichen“ Third-Party-Risk-Management (TPRM). An die Stelle einer vertraglich und organisatorisch dominierten Perspektive tritt eine funktions- und risikoorientierte Steuerung, die klar zwischen IKT- und Nicht-IKT-Dienstleistungen unterscheidet und Resilienz sowie Abhängigkeiten in den Mittelpunkt rückt. Für deutsche Institute bedeutet dies nicht nur regulatorischen Anpassungsbedarf, sondern einen strategischen Paradigmenwechsel in Governance und Gesamtbanksteuerung.

Ausgangslage: Drittdienstleistermanagement im Spannungsfeld von MaRisk und DORA

Über Jahrzehnte war das Management externer Dienstleister in der deutschen Kreditwirtschaft konzeptionell und organisatorisch als Auslagerungsmanagement verankert. Normative Grundlage bildeten dabei insbesondere § 25b KWG sowie AT 9 der MaRisk (BaFin [2024]) in der Auslegung durch die BaFin. Der regulatorische Fokus lag primär auf der Frage, ob eine Übertragung von Aktivitäten oder Funktionen eine Auslagerung im Sinne erlaubnispflichtigen Geschäfts darstellt; ergänzend wurden sogenannte sonstige Fremdbezüge adressiert, ohne jedoch denselben normativen Tiefgang zu entfalten.

Im Zuge mehrerer Novellen wurde der MaRisk AT 9 systematisch weiterentwickelt, inhaltlich geschärft und an den europäischen Anforderungen der „Guidelines on Outsourcing Arrangements“ (EBA [2019]) ausgerichtet. Zentrale Elemente sind dabei die präzise Definition der Auslagerung, eine vorgelagerte Risikoanalyse, klar benannte Auslagerungsverantwortliche sowie Anforderungen an Überwachung, Vertragsgestaltung, Prüfungsrechte und Notfallplanung. Flankiert wird dies durch Vorgaben zur Berichterstattung, zu internen Kontrollverfahren und zur Führung eines Auslagerungs- bzw. Informationsregisters. Das Proportionalitätsprinzip erlaubt dabei eine risikoorientierte Anpassung an Größe, Geschäftsmodell und Komplexität des jeweiligen Instituts.

Mit Inkrafttreten der DORA-Verordnung am 17. Januar 2025 (Regulation (EU) 2022/2554) verschiebt sich der regulatorische Schwerpunkt deutlich in Richtung eines intensiven IKT-Drittparteienrisikomanagements. Kreditinstitute sind nun verpflichtet, die Risiken aus dem Bezug von IKT-Dienstleistungen umfassend zu steuern, insbesondere wenn externe Anbieter kritische oder wichtige Funktionen unterstützen. Vor dem Hintergrund einer zunehmenden Modularisierung bankfachlicher Wertschöpfungsketten rückt damit die digitale operationelle Resilienz in den Mittelpunkt.

In der Praxis zeigt sich jedoch eine Fragmentierung durch überlappende Anforderungen aus MaRisk AT 9 und DORA. Banken sehen sich häufig gezwungen, für eine IKT-Dienstleistung parallele organisatorische und prozessuale Strukturen zu etablieren (z.B. in Bezug auf das Informations- und Auslagerungsregister). Die Folge sind erhöhte Komplexität, eingeschränkte Steuerbarkeit und eine starke Rückbindung an das historisch gewachsene Auslagerungsmanagement, das den neuen, erweiterten europäischen Anforderungen nur begrenzt gerecht wird.

Paradigmenwechsel: EBA-Konsultation zum Third-Party Risk Management

Mit der Konsultation der neuen „Guidelines on third-party risk management with regard to non-ICT related services“ (EBA [2025]) verfolgt die Europäische Bankenaufsichtsbehörde das Ziel, die bislang bestehenden regulatorischen Überlappungen und Ineffizienzen zwischen Auslagerungsmanagement und Drittparteiensteuerung systematisch aufzulösen. Der bisher stark auf den Auslagerungsbegriff fokussierte Ansatz wird damit konsequent zu einem umfassenden Drittparteienmanagement weiterentwickelt, dessen erste strukturierende Unterscheidung zukünftig zwischen IKT- und Nicht-IKT-Dienstleistungen erfolgt.

Für IKT-Dienstleistungen wird das Drittparteienrisikomanagement vollständig dem Anwendungsbereich der DORA-Verordnung unterstellt. DORA etabliert hierfür ein detailliertes, verbindliches Rahmenwerk mit hohen Anforderungen an Governance, Risikobewertung, Vertragsgestaltung, Überwachung sowie an die Sicherstellung der digitalen operationalen Resilienz. Nicht-IKT-Dienstleistungen hingegen sollen künftig ausschließlich durch die neuen EBA-Guidelines adressiert werden. Diese fokussieren auf ein risikoorientiertes Management sämtlicher Nicht-IKT-Drittparteibeziehungen, unabhängig davon, ob diese bislang als Auslagerung qualifiziert wurden.

Zentrale Inhalte der Konsultation sind unter anderem ein erweiterter Drittparteibegriff, ein einheitlicher Lifecycle-Ansatz von der Anbahnung bis zur Beendigung der Geschäftsbeziehung, konsistente Anforderungen an Risikoanalysen und Registerführung sowie eine stärkere Betonung von Konzentrationsrisiken und kritischen Abhängigkeiten. Analog zu den DORA-Anforderungen verfolgen die neuen Guidelines jedoch dasselbe übergeordnete Ziel einer erhöhten Resilienz von Kreditinstituten (vgl. Igl [2025]).

Der Konsultationszeitraum endete Anfang Oktober 2025. Die Veröffentlichung der finalen Leitlinien ist für das zweite Quartal 2026 vorgesehen, gefolgt von einer Implementierungsphase von mindestens zwölf Monaten. Abhängig vom Zeitplan der nächsten MaRisk-Novelle im Sommer 2026 könnten die neuen Vorgaben dort integriert werden; andernfalls ist mit einer kurzfristigen weiteren MaRisk-Anpassung zu rechnen.

Zielbild: Ganzheitliches und vertieftes Drittdienstleistermanagement

Der mit der EBA-Konsultation verbundene Paradigmenwechsel entfaltet erhebliche Wirkungen für deutsche Kreditinstitute, deren bisherige Auslagerungsstrukturen im Kern auf MaRisk AT 9 beruhen. Die dort etablierten Wesentlichkeitskonzepte, die historisch stark auf erlaubnispflichtige Geschäfte und zeitkritische Prozesse fokussiert waren, erweisen sich als nur eingeschränkt kompatibel mit den neuen europäischen Anforderungen. Insbesondere bilden sie nicht zwingend die künftig geforderte ganzheitliche Sicht auf Drittparteienbeziehungen ab.

Im Zentrum des neuen Zielbildes steht die Identifikation kritischer oder wichtiger Funktionen – unabhängig davon, ob deren Kritikalität operativ, strategisch oder technisch begründet ist. Diese Neubewertung löst sich bewusst vom bisherigen engen Fokus auf Zeitkritikalität und erhebt die Definition kritischer Funktionen zu einer strategischen Managementaufgabe. Vergleichbar mit der Rolle der Risikoinventur im Risikomanagement wird die Ableitung solcher Funktionen aus dem Geschäftsmodell zur zentralen Grundlage eines konsistenten Third-Party-Risk-Management-Regimes (vgl. Igl [2025]).

Wie Land und Kleinknecht-Dennart [2025] hervorheben, zielen die neuen Leitlinien der EBA auf eine weitgehende Angleichung des Drittparteienrisikomanagements im europäischen Bankensektor. Während sämtliche IKT-Dienstleistungen künftig vollständig im Rahmen des DORA-IKT-Drittparteienrisikomanagements adressiert werden, schaffen die neuen EBA-Guidelines ein klares und eigenständiges Rahmenwerk für Drittbezüge ohne IKT-Leistungen. Eine parallele Anwendung beider Regelwerke ist ausdrücklich nicht mehr vorgesehen. Gleichzeitig wird der Anwendungsbereich deutlich ausgeweitet und erfasst nahezu alle Akteure des Bankensektors, wobei auch der Begriff der „Third-Party Arrangements“ breiter gefasst wird – im Einklang mit internationalen Vorgaben von FSB und BCBS.

Abbildung 1 verdeutlicht diesen Übergang von der „alten Welt“ einer auslagerungszentrierten Implementierung (mit überlappenden DORA-Anforderungen für IKT-Drittdienstleistungen) hin zu einer integrierten „neuen Welt“ des Drittparteienrisikomanagements. Dabei bleibt trotz der inhaltlichen Erweiterung eine bewusste Kontinuität gewahrt, etwa durch die Übernahme des Konzepts kritischer oder wichtiger Funktionen sowie durch die perspektivische Zusammenführung der Register in ein gemeinsames Informationsregister.

Aktuelle Herausforderungen und Lösungsansätze im Kontext der Proportionalität

Aus der Gegenüberstellung der bestehenden nationalen Vorgaben und der neuen europäischen Regelwerke ergeben sich für deutsche Kreditinstitute weitreichende strategische Implikationen. Mit hoher Wahrscheinlichkeit wird eine künftige Novellierung der MaRisk – insbesondere von AT 9 – zentrale Inhalte der neuen EBA-Guidelines übernehmen und in das nationale Aufsichtsrecht integrieren. Damit geht eine deutliche Erweiterung des bisherigen Auslagerungsverständnisses einher, das sich künftig nicht mehr allein auf klar abgegrenzte, erlaubnispflichtige Tätigkeiten beschränkt, sondern ein breiteres Spektrum von Drittparteibeziehungen erfasst.

Eine zentrale Weichenstellung im Risikomanagement stellt künftig die initiale Differenzierung zwischen IKT- und Nicht-IKT-Dienstleistungen dar. Die Zuordnung entscheidet darüber, ob die Anforderungen der DORA-Verordnung oder die neuen EBA-Guidelines zum Third-Party-Risk-Management Anwendung finden. Die durch DORA vorgegebenen Definitionen und Abgrenzungskriterien gewinnen dabei zunehmend an praktischer Relevanz, nicht zuletzt durch ihre fortlaufende Präzisierung im Rahmen von EBA-Q&A. Fehlklassifikationen in dieser frühen Phase können erhebliche Folgewirkungen auf Governance, Prozesse und Prüfungsfestigkeit entfalten.

Inhaltlich verschiebt sich der Fokus weg vom einzelnen Dienstleister oder Vertrag hin zur durch ihn unterstützten Funktion. Maßgeblich ist künftig, ob diese Funktion als kritisch oder wichtig einzustufen ist, wobei die Bewertung entlang des Geschäftsmodells erfolgen muss. Die Identifikation solcher Funktionen entwickelt sich damit zu einer genuinen Leitungsaufgabe, die auf Vorstandsebene verantwortet, konsistent dokumentiert und regelmäßig überprüft werden muss.

Parallel dazu verliert die bisher dominante rechtliche Kategorisierung von Auslagerungen an Bedeutung. Die Unterscheidung zwischen zulassungspflichtigen und nicht zulassungspflichtigen Bereichen tritt gegenüber einer funktionsbezogenen, risikoorientierten Betrachtung in den Hintergrund. Entscheidend ist nicht mehr die formale Einordnung, sondern das inhärente Risiko, das sich aus der Abhängigkeit von der jeweiligen Drittpartei für die Stabilität und Resilienz des Instituts ergibt.

Schließlich erfordern die neuen Anforderungen eine deutliche Professionalisierung von Steuerung und Berichterstattung. Excel-basierte Dienstleisterverzeichnisse und punktuelle Berichte genügen den Erwartungen an ein kontinuierliches Third-Party-Risk-Management nicht mehr. Gefordert sind integrierte Informationsregister, laufende Leistungs- und Risikoüberwachung, standardisierte Berichtsformate sowie belastbare Exit- und Substitutionsstrategien. Gerade vor dem Hintergrund des Proportionalitätsprinzips stellt dies viele Institute vor die Herausforderung, angemessene, aber zugleich nachhaltige Lösungen zu etablieren, die den erhöhten regulatorischen Anforderungen gerecht werden, ohne die organisatorische Komplexität unverhältnismäßig zu steigern.

Fazit

Die neuen EBA-Guidelines in Verbindung mit der DORA-Verordnung markieren einen grundlegenden Einschnitt im Third-Party-Risk-Management europäischer Finanzinstitute. Sie lösen das historisch gewachsene, stark national geprägte Auslagerungsmanagement ab und erzwingen eine tiefgreifende Reorganisation der bestehenden Governance-Strukturen. Für deutsche Institute beschränkt sich der Anpassungsbedarf dabei nicht auf Prozesse, Systeme und Dokumentationen, sondern betrifft die strategische Verankerung der Steuerung von Drittparteienrisiken insgesamt (EBA [2025]).

Kern dieser neuen Architektur ist die klare Differenzierung zwischen IKT- und Nicht-IKT-Dienstleistern sowie die konsequente Ausrichtung der Risikobewertung an den unterstützten Funktionen statt an Verträgen oder formalen Auslagerungstatbeständen. Damit wird die MaRisk AT 9 ihre bisherige Struktur und Logik perspektivisch anpassen müssen. Für die Institute bedeutet dies einen Übergang von einer überwiegend reaktiv-organisatorischen Umsetzung hin zu einem integrierten, risikoorientierten und strategisch gesteuerten Third-Party-Risk-Management, das als fester Bestandteil der Gesamtbanksteuerung zu etablieren ist.