Die bisherigen regulatorischen Vorgaben, etwa die EBA-Leitlinien zur Auslagerung (2019) und die MaRisk, unterschieden primär zwischen wesentlichen und nicht-wesentlichen Auslagerungen sowie dem Fremdbezug von Leistungen. In der Praxis zeigte sich, dass Institute und Dienstleister mit einer Vielzahl an Herausforderungen konfrontiert waren. Unterschiedliche Vertragsanforderungen zwischen MaRisk, EBA-Guidelines und DORA führten zu Unsicherheiten in der Vertragsgestaltung. Die Klassifizierungsmethodik war uneinheitlich und sorgte für Interpretationsspielräume. Hinzu kamen abweichende Anforderungen an die Registerführung, was zu doppeltem Aufwand und Inkonsistenzen in der Dokumentation führte. Diese Fragmentierung erschwerte nicht nur die praktische Umsetzung, sondern erhöhte auch das Risiko von Beanstandungen im Rahmen von Prüfungen.

Mit dem Inkrafttreten neuer europäischer Rechtsakte, insbesondere der Richtlinie (EU) 2024/1619 (CRD), der Richtlinie (EU) 2019/2034 (IFD), der Verordnung (EU) 2023/1114 (MiCAR) und besonders der Verordnung (EU) 2022/2554 (DORA) sah die EBA die Notwendigkeit, die bestehenden Leitlinien weiterzuentwickeln. Ziel der EBA ist es, einen übergreifenden und kohärenten Ansatz für das Management von Drittparteirisiken zu schaffen, der eine konsistente Anwendung aufsichtsrechtlicher Vorgaben gewährleistet und zur Stärkung der aufsichtlichen Konvergenz im europäischen Finanzsektor beiträgt.

Gerade fehlende Harmonisierung zwischen DORA (ausschließlich IKT-bezogen) und den bisherigen Anforderungen an das Auslagerungsmanagement (fachliche und IT-Auslagerungen) haben in der Praxis zu erheblichen Unsicherheiten geführt. 

Weitere Informationen finden Sie im Regupedia-Steckbrief.

Im Unterschied zur DORA-Verordnung, die ausschließlich auf IKT-Dienstleistungen und -Risiken abzielt, schafft die EBA-Leitlinie nun einen parallelen, aber konsistent ausgerichteten Rahmen für alle Drittparteienbeziehungen. Beide Regelwerke sind inhaltlich aufeinander abgestimmt, insbesondere im Hinblick auf die Anforderungen an das Risikomanagement, die Governance-Strukturen und vertragliche Mindestinhalte. 

Für Institute, die in den Anwendungsbereich fallen, bedeutet dies, dass sie künftig in der Lage sein müssen, IKT- und Nicht-IKT-Dienstleistungen systematisch voneinander zu klassifizieren, gleichzeitig aber innerhalb eines übergreifenden Governance- und Kontrollrahmens zu steuern.

Mit den neuen EBA-Leitlinien wird der Anwendungsbereich deutlich ausgeweitet:

• Kreditinstitute (z. B. Banken)
• Wertpapierfirmen, die nicht als „klein und nicht verbunden“ im Sinne der IFR gelten (z. B. größere Wertpapierdienstleistungsunternehmen, die bislang nicht unter das KWG oder die MaRisk fielen)
• Zahlungsinstitute und E-Geld-Institute
• Emittenten von Asset-Referenced Tokens (ART) nach MiCAR
• Wohnimmobilienkreditgeber, sofern sie als Finanzinstitute eingestuft werden

Auch Wertpapierdienstleister, die bisher nicht unter MaRisk fielen, müssen aufgrund von Größe und Vernetzung künftig die neuen Anforderungen zum Drittparteienrisikomanagement umsetzen. Dies betrifft auch Nicht-IKT-Dienstleistungen wie Facility Management, Personalvermittlung, Beratung, Gebäudereinigung, Logistik und andere bislang als Fremdbezug oder sonstige Dienstleistungen eingestufte Bereiche.

Die EBA-Leitlinie definiert eine Reihe zentraler Anforderungen, die Finanzinstitute im Rahmen eines wirksamen Managements gegenüber Drittparteien erfüllen müssen. Die wichtigsten Umsetzungsflichten sind:

Konkret zeigt sich, dass die Gesamtverantwortung des Instituts betont und auf sämtliche Drittparteienbeziehungen ausgedehnt wird. Die Anforderungen an Verträge, Register und Kontrollmechanismen gelten explizit auch für Nicht-IKT-Dienstleister und die risikobasierte Steuerung und die Einbindung der Kontrollfunktionen werden deutlich ausgeweitet. 

Damit entfällt künftig die bisherige Unterscheidung zwischen Auslagerung und Fremdbezug. Auch bislang als Fremdbezug klassifizierte Dienstleistungen werden nun als Drittparteienbeziehungen erfasst und unterliegen somit den neuen Anforderungen vollständig.

Eine umfassende und systematische Steuerung Nicht-IKT-bezogener Drittparteienbeziehungen ist für die Sicherstellung der operativen Stabilität und regulatorischen Compliance unerlässlich. Die Konsultation der EBA-Leitlinie für ein solides Management von Risiken Dritter ist seit dem 08.10.2025 abgeschlossen. Folgende Schwerpunkte und Handlungsfelder sind dabei zu beachten: 

• Systematische Erfassung und Risikobewertung: Alle Nicht-IKT-Drittparteienbeziehungen, einschließlich konzerninterner Leistungen und bisher nicht als Auslagerung eingestufter Dienstleistungen, sind systematisch zu erfassen, hinsichtlich Kritikalität und Wesentlichkeit zu bewerten und einheitlich zu dokumentieren.
• Vertragliche Anpassungen: Bestehende Verträge mit Nicht-IKT-Dienstleistern sind durch eine Gap-Analyse zu prüfen und insbesondere in Bezug auf Auditrechte, Informationspflichten, Unterauftragsvergabe, Exit-Regelungen sowie Datenschutz anzupassen.
• Systematische Erfassung und Risikobewertung: Alle Nicht-IKT-Drittparteienbeziehungen, einschließlich konzerninterner Leistungen und bisher nicht als Auslagerung eingestufter Dienstleistungen, sind systematisch zu erfassen, hinsichtlich Kritikalität und Wesentlichkeit zu bewerten und einheitlich zu dokumentieren.
• Vertragliche Anpassungen: Bestehende Verträge mit Nicht-IKT-Dienstleistern sind durch eine Gap-Analyse zu prüfen und insbesondere in Bezug auf Auditrechte, Informationspflichten, Unterauftragsvergabe, Exit-Regelungen sowie Datenschutz anzupassen.
• Stärkung der Governance-Strukturen: Das Leitungsorgan ist aktiv einzubinden, Verantwortlichkeiten im Drittparteienrisikomanagement sind klar zuzuordnen und verbindliche Berichtslinien sowie Eskalationsmechanismen bis zur Leitung einzurichten.
• Integration der Kontrollfunktionen: Risikomanagement, Compliance, IKS, Revision und Fachbereiche sind systematisch in Auswahl, Steuerung und Überwachung von Drittparteien einzubeziehen.
• Standardisierung von Auswahl und Prüfung: Risikoanalysen, Due-Diligence-Prüfungen und Genehmigungsverfahren sind zu standardisieren und durch Mindestanforderungen an Verträge, Kontinuitäts- und Notfallpläne zu ergänzen.
• Überwachung und Exit: Die Leistungserbringung, Risikolage und Vertragstreue der Drittparteien sind laufend zu überwachen, Entscheidungen zu dokumentieren und für kritische Funktionen belastbare Exit- und Wiederanlaufstrategien regelmäßig zu testen.

Wir gehen davon aus, dass die Verabschiedung der Leitlinie zeitnah erfolgt, um eine europaweite Harmonisierung der Anforderungen aus aufsichtlicher Sicht zu erreichen. Institute sollten sich frühzeitig mit den neuen Vorgaben und dem daraus resultierenden Handlungsbedarf auseinandersetzen, um ausreichend Zeit für die Umstellung zu nutzen. Die finalisierten Leitlinien gelten ab dem Zeitpunkt ihres Inkrafttretens verbindlich für alle neu abgeschlossenen Verträge mit Nicht-IKT-Drittparteien. Bereits bestehende Nicht-IKT-Drittparteienbeziehungen haben eine zweijährige Übergangsfrist, beginnend mit dem Inkrafttreten der Leitlinien – erfahrungsgemäß ist aber auch dieser Zeitrahmen ambitioniert. 

Im Rahmen der Konsultation zu den EBA-Leitlinien zum Drittparteienrisikomanagement haben verschiedene Branchenverbände und Marktteilnehmer ihre Positionen und Einschätzungen eingebracht. Die folgende Übersicht fasst die zentralen Standpunkte und Begründungen wichtiger Akteure im Markt auf einen Blick zusammen.

Das Branchenfeedback macht deutlich: Die EBA ist aufgefordert, die Leitlinien so auszugestalten, dass einerseits die Resilienz des Finanzsektors gestärkt wird und andererseits die Umsetzbarkeit und Proportionalität für die Institute gewährleistet wird.

Severn unterstützt zahlreiche Kunden bei der Umsetzung regulatorischer Anforderungen im Kontext des Drittparteienrisikomanagements. Dabei profitieren Kunden von standardisierten Templates, Ausfüllhilfen sowie einem mehrstufigen Qualitätssicherungsprozess, der die aufsichtsrechtliche Prüfungsfähigkeit nachhaltig sicherstellt.