Blog
June 30, 2026
Die BaFin hat am 30. Juni 2026 die finale Fassung der 9. MaRisk-Novelle als Rundschreiben 06/2026 (BA) veröffentlicht. Damit endet die Konsultationsphase, die am 1. April 2026 begonnen hatte – und es beginnt die Umsetzungsphase. Ohne Übergangsfristen.
In einem früheren Beitrag haben wir die Konsultationsfassung analysiert und die wesentlichen Änderungen im AT 9 – Auslagerungsmanagement – eingeordnet. Heute geht es um die Frage, die Institute jetzt konkret beschäftigt: Was hat die BaFin zwischen Konsultation und finaler Fassung noch geändert?
Die Antwort: Zehn Änderungen im AT 9 allein – teils redaktionell, teils inhaltlich.
Die finale MaRisk gilt mit Inkrafttreten unmittelbar. Es gibt keine Schonfrist, keine gestaffelte Einführung. Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, ist gut aufgestellt – muss aber die nachfolgenden Änderungen noch einarbeiten. Wer noch nicht begonnen hat, sollte jetzt priorisieren.
In der Konsultationsfassung war die Abgrenzung zu DORA als Fließtext in Tz. 1 integriert – ohne besondere Hervorhebung. Die finale Fassung hebt diese Regelung in einen eigenständigen, benannten Erläuterungskasten: „DORA (Verordnung (EU) 2022/2554)".
Das ist keine kosmetische Änderung. Die BaFin setzt damit ein klares Signal: Die Trennlinie zwischen IKT-Dienstleistungen unter DORA und Non-IKT-Auslagerungen unter AT 9 ist kein Randthema – sie ist strukturprägend für das gesamte Auslagerungsmanagement. Institute, die diese Abgrenzung noch nicht sauber dokumentiert haben, sollten das jetzt nachholen.
Vollständig neu ist ein Erläuterungskasten in Tz. 1 zur Geldwäscheprävention. Die finale Fassung stellt klar: Das Geldwäschegesetz (GwG) und die neue EU-Geldwäsche-Verordnung (AMLR, Verordnung (EU) 2024/1624) sind bei Auslagerungsentscheidungen anzuwenden.
In der Konsultationsfassung fehlte dieser Hinweis im AT 9 vollständig. Die Botschaft ist eindeutig: Auslagerungsentscheidungen sind nicht nur ein Risikomanagement-Thema – sie haben auch eine AML-Dimension. Compliance und Geldwäschebeauftragter müssen bei der Risikoanalyse systematisch einbezogen werden.
Praxishinweis: Prüfen Sie, ob Ihre Auslagerungsstrategie und Ihre Risikoanalyse-Prozesse die GwG- und AMLR-Anforderungen bereits berücksichtigen. Wenn nicht, ist das eine Lücke, die die Aufsicht künftig adressieren wird.
Eine auf den ersten Blick kleine Formulierungsänderung mit erheblicher Wirkung: In Tz. 2 wurden die „in die Arbeitsabläufe eingebundenen Organisationseinheiten" durch die „maßgeblichen Organisationseinheiten" ersetzt.
Der Begriff „maßgeblich" ist weiter als „eingebunden". Er kann auch Risikocontrolling, Datenschutz und Interne Revision erfassen – selbst dann, wenn diese nicht direkt in die ausgelagerten Prozesse eingebunden sind. Institute, die ihre Risikoanalyse bisher auf die unmittelbar betroffenen Fachbereiche beschränkt haben, müssen den Kreis der einzubeziehenden Einheiten überprüfen.
Der Begriff ist nicht legaldefiniert. Hier sind aufsichtliche Klarstellungen oder Prüfungspraxis abzuwarten – bis dahin gilt: im Zweifel breiter einbeziehen und die Entscheidung dokumentieren.
Die Konsultationsfassung formulierte die Pflicht der Internen Revision bei Auslagerungen allgemein. Die finale Fassung präzisiert: „Die Interne Revision des auslagernden Instituts muss sich regelmäßig von der Einhaltung dieser Voraussetzungen überzeugen."
Das ist eine explizite, laufende Monitoring-Pflicht – keine einmalige Prüfung bei Vertragsabschluss. Für die Interne Revision bedeutet das: Die Überwachung der Auslagerungsvoraussetzungen muss als eigenständiger, wiederkehrender Prüfungsgegenstand in den Revisionsplan aufgenommen und dokumentiert werden – sollte es allerdings auch bisher schon.
Völlig neu ist ein Erläuterungskasten in Tz. 6: „Existieren keine Handlungsoptionen, ist zumindest eine angemessene Berücksichtigung in der Notfallplanung erforderlich."
Diese Regelung adressiert eine Realität, die in der Praxis häufig vorkommt: Auslagerungen an Monopoldienstleister oder hochkonzentrierte Cloud-Anbieter, bei denen ein Ausstieg faktisch nicht möglich ist. Bisher war unklar, was in solchen Konstellationen zu tun ist. Die finale Fassung gibt eine klare Mindestantwort: Wenn kein Ausstieg möglich ist, muss das in der Notfallplanung angemessen berücksichtigt werden.
Was „angemessen" bedeutet, bleibt interpretationsbedürftig. Hier sind aufsichtliche Konkretisierungen zu erwarten. Bis dahin empfiehlt sich eine dokumentierte Analyse der betroffenen Auslagerungen und eine explizite Einbindung in das Notfallkonzept nach AT 7.3.
Eine rechtlich relevante Präzisierung in Tz. 7: Statt „schriftlich" gilt nun „in Textform" als Formvorschrift für den Auslagerungsvertrag.
Der Unterschied ist nicht trivial: „Schriftlich" im Sinne von § 126 BGB erfordert eine eigenhändige Unterschrift. „Textform" nach § 126b BGB genügt einer lesbaren Erklärung in dauerhafter Wiedergabe – also auch E-Mail oder PDF ohne qualifizierte elektronische Signatur.
Für bestehende Verträge, die schriftlich geschlossen wurden, besteht kein Anpassungsbedarf – die höhere Form erfüllt die niedrigere. Für neue Verträge und Musterverträge sollten die Formulierungen angepasst werden. Offen bleibt, ob bestimmte kritische Klauseln weiterhin der Schriftform bedürfen – das ist institutsspezifisch zu bewerten.
In der Konsultationsfassung waren die Anforderungen an Notfallkonzepte mit Dienstleistungsgüte und Versicherungsnachweis in einem kombinierten Buchstaben zusammengefasst. Die finale Fassung macht daraus einen eigenständigen Buchstaben g): „Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten."
Das erhöht die Aufmerksamkeit auf dieses Thema bei der Vertragsgestaltung und bei Prüfungen. Wer Notfallkonzepte bisher nur am Rande im Auslagerungsvertrag adressiert hat, sollte seine Musterverträge anpassen.
In Tz. 8 wurde ein neuer Satz aufgenommen: Das Auslagerungsunternehmen muss auch nach einer Weiterverlagerung auf ein Subunternehmen gegenüber dem auslagernden Institut berichtspflichtig bleiben.
Das stärkt die Kontrolle über mehrstufige Auslagerungsketten erheblich. Bestehende Auslagerungsverträge, die Weiterverlagerungen erlauben, sollten daraufhin geprüft werden, ob diese Berichtspflicht explizit vereinbart ist. Wenn nicht, ist nachzuverhandeln.
In Tz. 12 b) wurde der fehlerhafte Verweis auf „§ 25 KWG" auf § 25b Abs. 1 Satz 4 KWG korrigiert. Zudem wird das Register nun explizit als „Auslagerungsregister" bezeichnet.
Inhaltlich ändert sich nichts – aber die Korrektur der Rechtsgrundlage ist relevant für die Dokumentation und für Prüfungen. Wer in internen Richtlinien oder Registervorlagen auf den alten Paragraphen verwiesen hat, sollte das anpassen.
Die bedeutendste strukturelle Neuerung gegenüber der Konsultation: Eine vollständig neue Tz. 14 e) erlaubt es Gruppen und Finanzverbünden, ein zentrales Auslagerungsregister auf Gruppen- oder Verbundebene einzurichten und zu führen.
Voraussetzung: Das einzelne Institut und die zuständige Behörde müssen das individuelle Register ohne größere Verzögerung abrufen können. Was „ohne größere Verzögerung" bedeutet, ist nicht definiert – Institute sollten intern SLAs für die Bereitstellung festlegen und dokumentieren.
Für Bankengruppen, Finanzholding-Gruppen und Finanzverbünde – etwa Sparkassen oder Genossenschaftsbanken – ist das eine erhebliche Vereinfachung. Die Möglichkeit sollte geprüft und, wo sinnvoll, genutzt werden.
Die finale MaRisk gilt ab sofort. Auf Basis der Delta-Analyse ergeben sich folgende Prioritäten:
Die finale MaRisk ist keine bloße Bestätigung der Konsultationsfassung. Zehn Änderungen im AT 9 – darunter eine vollständig neue Regelung zum gruppenweiten Auslagerungsregister, eine neue AML-Anforderung und eine verschärfte Berichtspflicht bei Weiterverlagerungen – machen eine gezielte Nacharbeit erforderlich.
Die gute Nachricht: Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, hat den größten Teil der Arbeit bereits geleistet. Es geht jetzt um die Feinarbeit – aber diese Feinarbeit ist aufsichtsrechtlich relevant und wird in Prüfungen sichtbar werden.
Die BaFin hat am 30. Juni 2026 die finale Fassung der 9. MaRisk-Novelle als Rundschreiben 06/2026 (BA) veröffentlicht. Damit endet die Konsultationsphase, die am 1. April 2026 begonnen hatte – und es beginnt die Umsetzungsphase. Ohne Übergangsfristen.
In einem früheren Beitrag haben wir die Konsultationsfassung analysiert und die wesentlichen Änderungen im AT 9 – Auslagerungsmanagement – eingeordnet. Heute geht es um die Frage, die Institute jetzt konkret beschäftigt: Was hat die BaFin zwischen Konsultation und finaler Fassung noch geändert?
Die Antwort: Zehn Änderungen im AT 9 allein – teils redaktionell, teils inhaltlich.
Die finale MaRisk gilt mit Inkrafttreten unmittelbar. Es gibt keine Schonfrist, keine gestaffelte Einführung. Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, ist gut aufgestellt – muss aber die nachfolgenden Änderungen noch einarbeiten. Wer noch nicht begonnen hat, sollte jetzt priorisieren.
In der Konsultationsfassung war die Abgrenzung zu DORA als Fließtext in Tz. 1 integriert – ohne besondere Hervorhebung. Die finale Fassung hebt diese Regelung in einen eigenständigen, benannten Erläuterungskasten: „DORA (Verordnung (EU) 2022/2554)".
Das ist keine kosmetische Änderung. Die BaFin setzt damit ein klares Signal: Die Trennlinie zwischen IKT-Dienstleistungen unter DORA und Non-IKT-Auslagerungen unter AT 9 ist kein Randthema – sie ist strukturprägend für das gesamte Auslagerungsmanagement. Institute, die diese Abgrenzung noch nicht sauber dokumentiert haben, sollten das jetzt nachholen.
Vollständig neu ist ein Erläuterungskasten in Tz. 1 zur Geldwäscheprävention. Die finale Fassung stellt klar: Das Geldwäschegesetz (GwG) und die neue EU-Geldwäsche-Verordnung (AMLR, Verordnung (EU) 2024/1624) sind bei Auslagerungsentscheidungen anzuwenden.
In der Konsultationsfassung fehlte dieser Hinweis im AT 9 vollständig. Die Botschaft ist eindeutig: Auslagerungsentscheidungen sind nicht nur ein Risikomanagement-Thema – sie haben auch eine AML-Dimension. Compliance und Geldwäschebeauftragter müssen bei der Risikoanalyse systematisch einbezogen werden.
Praxishinweis: Prüfen Sie, ob Ihre Auslagerungsstrategie und Ihre Risikoanalyse-Prozesse die GwG- und AMLR-Anforderungen bereits berücksichtigen. Wenn nicht, ist das eine Lücke, die die Aufsicht künftig adressieren wird.
Eine auf den ersten Blick kleine Formulierungsänderung mit erheblicher Wirkung: In Tz. 2 wurden die „in die Arbeitsabläufe eingebundenen Organisationseinheiten" durch die „maßgeblichen Organisationseinheiten" ersetzt.
Der Begriff „maßgeblich" ist weiter als „eingebunden". Er kann auch Risikocontrolling, Datenschutz und Interne Revision erfassen – selbst dann, wenn diese nicht direkt in die ausgelagerten Prozesse eingebunden sind. Institute, die ihre Risikoanalyse bisher auf die unmittelbar betroffenen Fachbereiche beschränkt haben, müssen den Kreis der einzubeziehenden Einheiten überprüfen.
Der Begriff ist nicht legaldefiniert. Hier sind aufsichtliche Klarstellungen oder Prüfungspraxis abzuwarten – bis dahin gilt: im Zweifel breiter einbeziehen und die Entscheidung dokumentieren.
Die Konsultationsfassung formulierte die Pflicht der Internen Revision bei Auslagerungen allgemein. Die finale Fassung präzisiert: „Die Interne Revision des auslagernden Instituts muss sich regelmäßig von der Einhaltung dieser Voraussetzungen überzeugen."
Das ist eine explizite, laufende Monitoring-Pflicht – keine einmalige Prüfung bei Vertragsabschluss. Für die Interne Revision bedeutet das: Die Überwachung der Auslagerungsvoraussetzungen muss als eigenständiger, wiederkehrender Prüfungsgegenstand in den Revisionsplan aufgenommen und dokumentiert werden – sollte es allerdings auch bisher schon.
Völlig neu ist ein Erläuterungskasten in Tz. 6: „Existieren keine Handlungsoptionen, ist zumindest eine angemessene Berücksichtigung in der Notfallplanung erforderlich."
Diese Regelung adressiert eine Realität, die in der Praxis häufig vorkommt: Auslagerungen an Monopoldienstleister oder hochkonzentrierte Cloud-Anbieter, bei denen ein Ausstieg faktisch nicht möglich ist. Bisher war unklar, was in solchen Konstellationen zu tun ist. Die finale Fassung gibt eine klare Mindestantwort: Wenn kein Ausstieg möglich ist, muss das in der Notfallplanung angemessen berücksichtigt werden.
Was „angemessen" bedeutet, bleibt interpretationsbedürftig. Hier sind aufsichtliche Konkretisierungen zu erwarten. Bis dahin empfiehlt sich eine dokumentierte Analyse der betroffenen Auslagerungen und eine explizite Einbindung in das Notfallkonzept nach AT 7.3.
Eine rechtlich relevante Präzisierung in Tz. 7: Statt „schriftlich" gilt nun „in Textform" als Formvorschrift für den Auslagerungsvertrag.
Der Unterschied ist nicht trivial: „Schriftlich" im Sinne von § 126 BGB erfordert eine eigenhändige Unterschrift. „Textform" nach § 126b BGB genügt einer lesbaren Erklärung in dauerhafter Wiedergabe – also auch E-Mail oder PDF ohne qualifizierte elektronische Signatur.
Für bestehende Verträge, die schriftlich geschlossen wurden, besteht kein Anpassungsbedarf – die höhere Form erfüllt die niedrigere. Für neue Verträge und Musterverträge sollten die Formulierungen angepasst werden. Offen bleibt, ob bestimmte kritische Klauseln weiterhin der Schriftform bedürfen – das ist institutsspezifisch zu bewerten.
In der Konsultationsfassung waren die Anforderungen an Notfallkonzepte mit Dienstleistungsgüte und Versicherungsnachweis in einem kombinierten Buchstaben zusammengefasst. Die finale Fassung macht daraus einen eigenständigen Buchstaben g): „Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten."
Das erhöht die Aufmerksamkeit auf dieses Thema bei der Vertragsgestaltung und bei Prüfungen. Wer Notfallkonzepte bisher nur am Rande im Auslagerungsvertrag adressiert hat, sollte seine Musterverträge anpassen.
In Tz. 8 wurde ein neuer Satz aufgenommen: Das Auslagerungsunternehmen muss auch nach einer Weiterverlagerung auf ein Subunternehmen gegenüber dem auslagernden Institut berichtspflichtig bleiben.
Das stärkt die Kontrolle über mehrstufige Auslagerungsketten erheblich. Bestehende Auslagerungsverträge, die Weiterverlagerungen erlauben, sollten daraufhin geprüft werden, ob diese Berichtspflicht explizit vereinbart ist. Wenn nicht, ist nachzuverhandeln.
In Tz. 12 b) wurde der fehlerhafte Verweis auf „§ 25 KWG" auf § 25b Abs. 1 Satz 4 KWG korrigiert. Zudem wird das Register nun explizit als „Auslagerungsregister" bezeichnet.
Inhaltlich ändert sich nichts – aber die Korrektur der Rechtsgrundlage ist relevant für die Dokumentation und für Prüfungen. Wer in internen Richtlinien oder Registervorlagen auf den alten Paragraphen verwiesen hat, sollte das anpassen.
Die bedeutendste strukturelle Neuerung gegenüber der Konsultation: Eine vollständig neue Tz. 14 e) erlaubt es Gruppen und Finanzverbünden, ein zentrales Auslagerungsregister auf Gruppen- oder Verbundebene einzurichten und zu führen.
Voraussetzung: Das einzelne Institut und die zuständige Behörde müssen das individuelle Register ohne größere Verzögerung abrufen können. Was „ohne größere Verzögerung" bedeutet, ist nicht definiert – Institute sollten intern SLAs für die Bereitstellung festlegen und dokumentieren.
Für Bankengruppen, Finanzholding-Gruppen und Finanzverbünde – etwa Sparkassen oder Genossenschaftsbanken – ist das eine erhebliche Vereinfachung. Die Möglichkeit sollte geprüft und, wo sinnvoll, genutzt werden.
Die finale MaRisk gilt ab sofort. Auf Basis der Delta-Analyse ergeben sich folgende Prioritäten:
Die finale MaRisk ist keine bloße Bestätigung der Konsultationsfassung. Zehn Änderungen im AT 9 – darunter eine vollständig neue Regelung zum gruppenweiten Auslagerungsregister, eine neue AML-Anforderung und eine verschärfte Berichtspflicht bei Weiterverlagerungen – machen eine gezielte Nacharbeit erforderlich.
Die gute Nachricht: Wer die Konsultationsfassung bereits als Arbeitsgrundlage genutzt hat, hat den größten Teil der Arbeit bereits geleistet. Es geht jetzt um die Feinarbeit – aber diese Feinarbeit ist aufsichtsrechtlich relevant und wird in Prüfungen sichtbar werden.

Am 30. Juni 2026 hat die BaFin die finale Fassung der 9. MaRisk-Novelle als Rundschreiben 06/2026 (BA) veröffentlicht. Die Novelle gilt ohne Übergangsfristen – und enthält im AT 9 zehn konkrete Änderungen mit unmittelbarem Handlungsbedarf für betroffene Institute. Neu ist unter anderem eine explizite AML-Anforderung im Auslagerungsmanagement, eine verschärfte Berichtspflicht bei Weiterverlagerungen auf Subunternehmen sowie eine vollständig neue Erleichterung für gruppenweite Auslagerungsregister. Was sich konkret geändert hat – und was Institute jetzt priorisieren müssen.

