Meistern Sie die Komplexität des Outsourcings- und Drittparteienmanagements

Reduzieren Sie Risiken, erhöhen Sie Compliance und optimieren Sie Ihre Vendor-Beziehungen mit unseren praxiserprobten Strategien und Tools

Wir unterstützen Sie bei der Einführung und Umsetzung der Anforderungen an das Auslagerungs- und Drittparteienmanagement nach MaRisk, EBA-Leitlinien und DORA

Outsourcing boomt – und mit ihm die Risiken. Ob IT-Systeme, Cloud-Lösungen oder ganze Geschäftsprozesse: Finanzinstitute lagern heute mehr denn je aus. Doch während externe Dienstleister Leistungen übernehmen, bleibt die Verantwortung uneingeschränkt im Institut. Die Aufsicht schaut genau hin – und die Anforderungen steigen. Mit MaRisk, BAIT und den EBA-Guidelines wurden die Leitplanken gesetzt, ab 2025 verschärft die europäische DORA-Verordnung das Spielfeld erheblich: Jedes Institut muss seine Drittparteien systematisch steuern, Risiken umfassend dokumentieren und seine digitale Resilienz nachweisen.Wer hier nicht rechtzeitig handelt, riskiert nicht nur aufsichtsrechtliche Sanktionen, sondern auch operative Ausfälle und Reputationsschäden. Genau deshalb ist ein robustes Auslagerungs- und Drittparteienmanagement heute Pflicht – und ein entscheidender Wettbewerbsvorteil.

IKT-Dienstleistungen: DORA ab 2025

Icon Bildschirm mit Pfeilsymbol symbolisiert die Nutzung von IKT-Dienstleistern

Ab Januar 2025 muss die europäische DORA-Verordnung verpflichtend angewendet umgesetzt werden.

Sie verpflichtet alle Finanzinstitute, IKT-Risiken systematisch zu steuern – auch bei Drittparteien gelten.

NON-IKT-Dienstleistungen: neue EBA-Leitlinien ab 2026

Icon zum symbolisieren, dass Tätigkeiten ausgetauscht werden was zur Nutzung von Dienstleistern interpretiert werden kann

Die EBA-Leitlinie zum Drittparteienmanagement (aktuell im Entwurf) wird das bestehende Regelwerk verschärfen.

Ab 2026 wird sie europaweit einen einheitlichen Rahmen setzen – um die Anforderungen mit der DORA-Verordnung zu harmonisieren und Doppelregulierung zu vermeiden.

Nationale Anforderungen (z.B.: MaRisk/KaMarisk)

dreieckige Flagge mit Stab symbolisiert den heimischen Standort

Die Mindestanforderungen an das Risikomanagement (MaRisk) bilden seit Jahren den verbindlichen Rahmen für das Auslagerungsmanagement und setzen die EBA-Leitlinien um.

Kein Institut kommt an MaRisk vorbei – sie sind das Fundament, auf dem alle weiteren nationalen und europäischen Anforderungen aufbauen.

Drittparteienmanagement folgt einem klaren Lebenszyklus

Von der strategischen Entscheidung über Risikoanalysen und Vertragsgestaltung bis hin zu Monitoring und Exit-Strategien: Jede Phase bringt eigene regulatorische Anforderungen und praktische Herausforderungen mit sich. Wer den Prozess strukturiert aufsetzt, kann Auslagerungen und das Drittparteienmanagement nicht nur regulatorisch sicher, sondern auch effizient und wertschaffend gestalten.

Darstellung eines Kreislaufes inkl. der einzelnen Schritte eines Lebenszyklus für das Auslagerungs- und DrittparteienmanagementsDepiction of a cycle including the individual stages of the lifecycle for outsourcing and third-party management
01. Anbahnung
02. Bewertung
03. Vertrag
04. Onboarding
05. Steuerung & Überwachung
06. Beendigung

In der Anbahnungsphase wählen Einkauf und Fachbereich den passenden Dienstleister mit seiner angebotenen Dienstleistung aus. Nach der Vorauswahl muss der Dienstleister einen Due-Diligence-Fragebogen beantworten. Der Umfang des Fragebogens hängt von der Einstufung der Dienstleistung ab: Unterstützt sie eine kritische/wichtige Funktion oder handelt es sich um eine Auslagerung, sind die Anforderungen deutlich strenger. Die Ergebnisse dieser Erhebung bilden die Grundlage für die weitere Risikoanalyse.

Kern der Risikoanalyse ist die Auswertung der Due-Diligence-Ergebnisse: Welche Risiken ergeben sich konkret aus der Nutzung des Dienstleisters? Entscheidend ist dabei die Klassifizierung – handelt es sich um eine Dienstleistung, die kritische oder wichtige Funktionen unterstützt, oder liegt eine Auslagerung vor? Davon hängt ab, wie tiefgehend die Steuerungs- und Überwachungsmaßnahmen ausfallen müssen.

Die vertragliche Ausgestaltung bildet die Grundlage für ein wirksames Auslagerungs-/Drittparteienmanagement. Abhängig davon, ob die Dienstleistung eine kritische/wichtige Funktion unterstützt oder als Auslagerung klassifiziert wurde, variieren die Anforderungen erheblich. In jedem Fall ist ein schriftlicher Vertrag erforderlich. Bei kritisch/wichtigen Dienstleistungen und Auslagerungen sind deutlich umfangreichere Anforderungen zu berücksichtigen.

In der Onboarding-Phase wird die Dienstleistung zur Nutzung vorbereitet. Dazu gehören die Meldung an die BaFin (bei kritischen/wichtigen Funktionen oder Auslagerungen), die Aufnahme in das Auslagerungs- und Informationsregister sowie die Konzeption des Notfallplans. Parallel erfolgt die Einbindung in interne Prozesse und Systeme.

Nach dem onboarding des Dienstleisters beginnt die Phase der laufenden Steuerung & Überwachung. Institute müssen ein Auslagerungs- oder Informationsregister führen, KPIs überwachen, Incidents managen und regelmäßig an die Geschäftsleitung berichten. Der Umfang dieser Pflichten richtet sich danach, ob die Dienstleistung kritische/wichtige Funktionen unterstützt oder als Auslagerung einzustufen ist.

Jede kritisch/wichtige Dienstleistung und Auslagerung muss einen Plan B haben. Exit-Strategien und Business Continuity Pläne sichern die Fortführung des Geschäftsbetriebs, falls ein Dienstleister ausfällt. Auch hier verlangt die Aufsicht eine differenzierte Ausgestaltung: Für Auslagerungen oder kritische/wichtige Dienstleistungen sind detaillierte Notfallszenarien, Substituierbarkeitsanalysen und Resilienztests zwingend vorgeschrieben, während für andere Dienstleistungen keine Notfallpläne notwendig sind.

Von der Strategie bis zur Richtlinie – der organisatorische Rahmen

Neben dem operativen Lebenszyklus braucht ein Auslagerungs- und Drittparteienmanagement auch ein klar strukturiertes Rahmenwerk, das aufsichtsrechtlich gefordert ist (u. a. MaRisk AT 9, EBA-Guidelines, DORA). Dieses reicht von der strategischen Ausrichtung über Richtlinien bis hin zu Arbeitsanweisungen und unterstützenden Dokumenten. Es stellt sicher, dass Governance, Verantwortlichkeiten und Prozesse im Institut verbindlich verankert, nachvollziehbar dokumentiert und jederzeit gegenüber der Aufsicht nachweisbar sind. Damit bildet es die Grundlage für ein wirksames Management über alle Phasen des Lebenszyklus hinweg.

Pyramide Drittparteien-Management Stufenweise animierte Darstellung mit sequenziellen Beschreibungen, Linien und linkem Pfeil. 01 02 03 Drittparteienrisikostrategie Legt die grundsätzlichen Leitplanken und Ziele für das Auslagerungs - /Drittparteienmanagement fest. Sie ist eng an die Geschäfts - und Risikostrategie angebunden und wird von der Geschäftsleitung beschlossen Drittparteienrichtlinie Definiert den operativen Rahmen für alle Auslagerungen und alle Drittbezüge fest. Enthält Governance - Vorgaben, Zuständigkeiten und die Grundsätze zur Risikosteuerung. Arbeits - und Prozessanweisungen Beschreiben die konkreten Prozesse und Kontrollen von der Risikoanalyse über Vertragsgestaltung bis zum Monitoring. Detaillierungsgrad
Third-Party Management Pyramid Stepwise animated pyramid with sequential right-hand descriptions, divider lines, and left-side arrow. 01 02 03 Third - Party Risk Management Strategy Defines the basic guidelines and objectives for outsourcing/third - party management. It is closely linked to the business and risk strategy and is decided by the management. Third - Party Management Guideline Defines the operational framework for all outsourcing and third - party procurement. Contains governance requirements, responsibilities and risk management principles. Working and process instructions Describe the specific processes and controls from risk analysis and contract drafting to monitoring. Level of Detail

Von der Theorie zur Praxis

Konsequente Umsetzung im Alltag– von Auswahl & Bewertung über Verträge und Meldungen bis zur laufenden Steuerung und Notfallvorsorge. Unsere Praxisbeiträge, Case Studies und Whitepaper zeigen, wie Institute Vorgaben effizient erfüllen und Mehrwert schaffen.

Whitepaper: Neue EBA-Leitlinie zum Management von Drittparteirisiken

Whitepaper

Die EBA erweitert ihre Outsourcing-Regeln bis 2028 auf alle Drittparteibeziehungen – Institute müssen jetzt ihre komplette Drittanbieter-Strategie neu aufstellen. Unser Whitepaper zeigt Ihnen die konkreten Handlungsschritte und wie Sie die Transformation strategisch für sich nutzen.

Mehr erfahren

Bereit, Ihr Auslagerungs- und Drittparteienmanagement zu stärken?

Lassen Sie uns gemeinsam prüfen, wie Sie regulatorische Anforderungen praxisnah und effizient umsetzen können

30 Minuten für mehr Klarheit – Termin vereinbaren

Kostenlos & unverbindlich · 30 Minuten · Remote