Auslagerungs- & Drittparteienmanagement nach DORA, EBA & MaRisk

Outsourcing-Beziehungen rechtskonform steuern – von der Risikoanalyse bis zum laufenden Monitoring

Effektives Auslagerungs- und Drittparteienmanagement ist 2025 Pflicht für alle Finanzinstitute. Die DORA-Verordnung verschärft seit Januar 2025 die Anforderungen an IKT-Drittparteien, die EBA entwickelt neue Drittparteienmanagement (TPRM) Guidelines für Non-IKT-Dienstleistungen.

Ob IT-Systeme, Cloud-Lösungen oder ganze Geschäftsprozesse: Finanzinstitute lagern heute mehr denn je aus. Doch während externe Dienstleister Leistungen übernehmen, bleibt die Verantwortung uneingeschränkt im Institut. Die Aufsicht schaut genau hin – und die Anforderungen steigen.

Mit MaRisk, BAIT und den EBA-Guidelines wurden die Leitplanken gesetzt, ab 2025 verschärft die europäische DORA-Verordnung das Spielfeld erheblich: Jedes Institut muss seine Drittparteien systematisch steuern, Risiken umfassend dokumentieren und seine digitale Resilienz nachweisen. Wer hier nicht rechtzeitig handelt, riskiert nicht nur aufsichtsrechtliche Sanktionen, sondern auch operative Ausfälle und Reputationsschäden.

IKT-Dienstleistungen: DORA ab 2025

Icon Bildschirm mit Pfeilsymbol symbolisiert die Nutzung von IKT-Dienstleistern

Ab Januar 2025 muss die europäische DORA-Verordnung verpflichtend angewendet umgesetzt werden.

Sie verpflichtet alle Finanzinstitute, IKT-Risiken systematisch zu steuern – auch bei Drittparteien gelten.

NON-IKT-Dienstleistungen: neue EBA-Leitlinien ab 2026

Icon zum symbolisieren, dass Tätigkeiten ausgetauscht werden was zur Nutzung von Dienstleistern interpretiert werden kann

Die EBA-Leitlinie zum Drittparteienmanagement (aktuell im Entwurf) wird das bestehende Regelwerk verschärfen.

Ab 2026 wird sie europaweit einen einheitlichen Rahmen setzen – um die Anforderungen mit der DORA-Verordnung zu harmonisieren und Doppelregulierung zu vermeiden.

Nationale Anforderungen (z.B.: MaRisk/KaMarisk)

dreieckige Flagge mit Stab symbolisiert den heimischen Standort

Die Mindestanforderungen an das Risikomanagement (MaRisk) bilden seit Jahren den verbindlichen Rahmen für das Auslagerungsmanagement und setzen die EBA-Leitlinien um.

Kein Institut kommt an MaRisk vorbei – sie sind das Fundament, auf dem alle weiteren nationalen und europäischen Anforderungen aufbauen.

Drittparteienmanagement folgt einem klaren Lebenszyklus

Von der strategischen Entscheidung über Risikoanalysen und Vertragsgestaltung bis hin zu Monitoring und Exit-Strategien: Jede Phase bringt eigene regulatorische Anforderungen und praktische Herausforderungen mit sich. Wer den Prozess strukturiert aufsetzt, kann Auslagerungen und das Drittparteienmanagement nicht nur regulatorisch sicher, sondern auch effizient und wertschaffend gestalten.

Darstellung eines Kreislaufes inkl. der einzelnen Schritte eines Lebenszyklus für das Auslagerungs- und DrittparteienmanagementsDepiction of a cycle including the individual stages of the lifecycle for outsourcing and third-party management
01. Anbahnung
02. Bewertung
03. Vertrag
04. Onboarding
05. Steuerung & Überwachung
06. Beendigung

In der Anbahnungsphase wählen Einkauf und Fachbereich den passenden Dienstleister mit seiner angebotenen Dienstleistung aus. Nach der Vorauswahl muss der Dienstleister einen Due-Diligence-Fragebogen beantworten. Der Umfang des Fragebogens hängt von der Einstufung der Dienstleistung ab: Unterstützt sie eine kritische/wichtige Funktion oder handelt es sich um eine Auslagerung, sind die Anforderungen deutlich strenger. Die Ergebnisse dieser Erhebung bilden die Grundlage für die weitere Risikoanalyse.

Kern der Risikoanalyse ist die Auswertung der Due-Diligence-Ergebnisse: Welche Risiken ergeben sich konkret aus der Nutzung des Dienstleisters? Entscheidend ist dabei die Klassifizierung – handelt es sich um eine Dienstleistung, die kritische oder wichtige Funktionen unterstützt, oder liegt eine Auslagerung vor? Davon hängt ab, wie tiefgehend die Steuerungs- und Überwachungsmaßnahmen ausfallen müssen.

Die vertragliche Ausgestaltung bildet die Grundlage für ein wirksames Auslagerungs-/Drittparteienmanagement. Abhängig davon, ob die Dienstleistung eine kritische/wichtige Funktion unterstützt oder als Auslagerung klassifiziert wurde, variieren die Anforderungen erheblich. In jedem Fall ist ein schriftlicher Vertrag erforderlich. Bei kritisch/wichtigen Dienstleistungen und Auslagerungen sind deutlich umfangreichere Anforderungen zu berücksichtigen.

In der Onboarding-Phase wird die Dienstleistung zur Nutzung vorbereitet. Dazu gehören die Meldung an die BaFin (bei kritischen/wichtigen Funktionen oder Auslagerungen), die Aufnahme in das Auslagerungs- und Informationsregister sowie die Konzeption des Notfallplans. Parallel erfolgt die Einbindung in interne Prozesse und Systeme.

Nach dem onboarding des Dienstleisters beginnt die Phase der laufenden Steuerung & Überwachung. Institute müssen ein Auslagerungs- oder Informationsregister führen, KPIs überwachen, Incidents managen und regelmäßig an die Geschäftsleitung berichten. Der Umfang dieser Pflichten richtet sich danach, ob die Dienstleistung kritische/wichtige Funktionen unterstützt oder als Auslagerung einzustufen ist.

Jede kritisch/wichtige Dienstleistung und Auslagerung muss einen Plan B haben. Exit-Strategien und Business Continuity Pläne sichern die Fortführung des Geschäftsbetriebs, falls ein Dienstleister ausfällt. Auch hier verlangt die Aufsicht eine differenzierte Ausgestaltung: Für Auslagerungen oder kritische/wichtige Dienstleistungen sind detaillierte Notfallszenarien, Substituierbarkeitsanalysen und Resilienztests zwingend vorgeschrieben, während für andere Dienstleistungen keine Notfallpläne notwendig sind.

Von der Strategie bis zur Richtlinie – der organisatorische Rahmen

Neben dem operativen Lebenszyklus braucht ein Auslagerungs- und Drittparteienmanagement auch ein klar strukturiertes Rahmenwerk, das aufsichtsrechtlich gefordert ist (u. a. MaRisk AT 9, EBA-Guidelines, DORA). Dieses reicht von der strategischen Ausrichtung über Richtlinien bis hin zu Arbeitsanweisungen und unterstützenden Dokumenten. Es stellt sicher, dass Governance, Verantwortlichkeiten und Prozesse im Institut verbindlich verankert, nachvollziehbar dokumentiert und jederzeit gegenüber der Aufsicht nachweisbar sind. Damit bildet es die Grundlage für ein wirksames Management über alle Phasen des Lebenszyklus hinweg.

Pyramide Drittparteien-Management Stufenweise animierte Darstellung mit sequenziellen Beschreibungen, Linien und linkem Pfeil. 01 02 03 Drittparteienrisikostrategie Legt die grundsätzlichen Leitplanken und Ziele für das Auslagerungs - /Drittparteienmanagement fest. Sie ist eng an die Geschäfts - und Risikostrategie angebunden und wird von der Geschäftsleitung beschlossen Drittparteienrichtlinie Definiert den operativen Rahmen für alle Auslagerungen und alle Drittbezüge fest. Enthält Governance - Vorgaben, Zuständigkeiten und die Grundsätze zur Risikosteuerung. Arbeits - und Prozessanweisungen Beschreiben die konkreten Prozesse und Kontrollen von der Risikoanalyse über Vertragsgestaltung bis zum Monitoring. Detaillierungsgrad
Third-Party Management Pyramid Stepwise animated pyramid with sequential right-hand descriptions, divider lines, and left-side arrow. 01 02 03 Third - Party Risk Management Strategy Defines the basic guidelines and objectives for outsourcing/third - party management. It is closely linked to the business and risk strategy and is decided by the management. Third - Party Management Guideline Defines the operational framework for all outsourcing and third - party procurement. Contains governance requirements, responsibilities and risk management principles. Working and process instructions Describe the specific processes and controls from risk analysis and contract drafting to monitoring. Level of Detail

Von der Theorie zur Praxis

Konsequente Umsetzung im Alltag– von Auswahl & Bewertung über Verträge und Meldungen bis zur laufenden Steuerung und Notfallvorsorge. Unsere Praxisbeiträge, Case Studies und Whitepaper zeigen, wie Institute Vorgaben effizient erfüllen und Mehrwert schaffen.

Treppenstufen-Diagramm mit vier Phasen des Projektmanagements: Gap-Analyse, Projektplan, Ressourcen und Umsetzung, dargestellt mit passenden Icons.

EBA-Leitlinie 2025: Paradigmenwechsel im Drittparteienrisikomanagement

Blog

Die neue EBA-Leitlinie zum Management von Drittanbieterrisiken markiert einen Paradigmenwechsel: Künftig müssen alle Non-IKT-Drittparteibeziehungen nach verschärften Standards gesteuert werden – nicht nur klassische Auslagerungen. Was sich konkret ändert: Neue Registerpflichten mit DORA-Standard, explizite Strategieverpflichtung der Geschäftsleitung, erweiterte Due Diligence (ESG, AML/CFT, Lieferketten) und verschärfte Vertragsanforderungen. Die Übergangsfrist bis 2028 erscheint lang – angesichts der organisatorischen und vertraglichen Anpassungen ist sie jedoch ambitioniert.

Mehr erfahren
Abstrakte Illustration eines Schutzschilds mit Schloss-Symbol vor einem Netzwerk aus verbundenen Knotenpunkten – Darstellung von Sicherheit, Resilienz und Drittparteirisikomanagement im Finanzsektor.

Neue EBA-Leitlinie zum Management von Drittparteirisiken

Whitepaper

Die EBA erweitert ihre Outsourcing-Regeln bis 2028 auf alle Drittparteibeziehungen – Institute müssen jetzt ihre komplette Drittanbieter-Strategie neu aufstellen. Unser Whitepaper zeigt Ihnen die konkreten Handlungsschritte und wie Sie die Transformation strategisch für sich nutzen.

Mehr erfahren

Bereit, Ihr Auslagerungs- und Drittparteienmanagement zu stärken?

Lassen Sie uns gemeinsam prüfen, wie Sie regulatorische Anforderungen praxisnah und effizient umsetzen können

30 Minuten für mehr Klarheit – Termin vereinbaren

Kostenlos & unverbindlich · 30 Minuten · Remote

Häufige Fragen (FAQ)

Was sie jetzt zum Drittparteien- und Auslagerungsmanagement wissen sollten

Was ist der Unterschied zwischen Auslagerungs-management und Drittparteienmanagement?

Erweiterung

Auslagerungsmanagement fokussiert sich auf die Beziehung von Dienstleistungen für regulierte Services. Drittparteienmanagement (Third-Party Risk Management) ist dahingegen der umfassendere Begriff und deckt alle Dienstleistungsbeziehungen ab – egal ob ausgelagert oder nicht. Mit DORA und den neuen EBA-Leitlinien müssen Institute künftig alle Drittbeziehungen systematisch erfassen und steuern, nicht nur klassische Auslagerungen.

Was ist der Unterschied zwischen IKT- und Non-IKT-Dienstleistungen?

Erweiterung

IKT-Dienstleistungen (Informations- und Kommunikationstechnologie) umfassen alle IT-bezogenen Services wie Software-as-a-Service, IT-Support, Rechenzentren oder Cybersecurity-Dienste. Diese fallen seit Januar 2025 unter DORA. Non-IKT-Dienstleistungen sind alle anderen Drittbeziehungen wie HR-Services, Marketing, Beratungsleistungen oder Dienstleistungen für das Risikomanagement, Interne Revision, Datenschutzbeauftragter. Für diese gelten die neuen EBA-Leitlinien.

Wann ist eine Auslagerung "kritisch" oder "wichtig"?

Erweiterung

Eine Funktion oder Dienstleistung gilt als kritisch oder wichtig, wenn ihr Ausfall den Geschäftsbetrieb erheblich beeinträchtigen würde oder das Institut regulatorische Pflichten nicht mehr erfüllen kann. Faustregel: Würde ein Ausfall von mehr als 4 Stunden massive Probleme verursachen? Beispiele: Zahlungsverkehr, Kernbankensystem, Risikomanagement-Software, Compliance-Funktionen. Für kritische/wichtige Funktionen gelten deutlich strengere Anforderungen an Vertrag, Monitoring und Exit-Strategien.

Was ist das DORA-Informationsregister und das Auslagerungsregister?

Erweiterung

Das Informationsregister ist eine zentrale Dokumentation aller IKT-Drittparteibeziehungen, die Institute nach DORA Art. 28 führen müssen. Dahingegen beinhaltet das Auslagerungsregister nur solche Dienstleistungen, die als Auslagerung oder sonstiger IT-Fremdbezug klassifiziert wurden. Beide Register müssen jederzeit aktuell und der Aufsicht auf Anfrage bereitstellbar sein.

Was sind die neuen EBA-Leitlinien?

Erweiterung

Die EBA-Leitlinien on the sound management of third-party risk (Third-Party Risk Management, Konsultationsentwurf Juli 2025) fokussieren sich auf alle Non-IKT-Drittparteibeziehungen. Kernänderungen: Alle Drittdienstleistungen, die nicht unter DORA fallen, müssen registriert werden. Eine Fokussierung auf Auslagerungen erfolgt nicht mehr.

Wie unterscheiden sich die Anforderungen nach MaRisk, DORA und EBA-Leitlinien?

Erweiterung

MaRisk (national) bildet die Grundlage für Auslagerungsmanagement in Deutschland und setzt die EBA-Leitlinien um. DORA (EU-Verordnung, seit Januar 2025) regelt speziell IKT-Dienstleistungen mit strengeren Anforderungen an Risikomanagement, Dokumentation, Verträge und Testing. Die neuen EBA-Leitlinien erweitern den Scope auf alle Non-IKT-Drittbeziehungen und harmonisieren diese mit den DORA-Anforderungen. Die neuen EBA-Leitlinien müssen jedoch noch durch die nationalen Aufsichtsbehörden überführt werden.

Haben Sie Fragen?

Gerne stehen wir Ihnen für ein kostenloses Erstgespräch zur Verfügung

Kontaktieren Sie uns