- Seminare News
- Lehrgang mit Zertifizierung
Auslagerungen, DORA und Third Party Risk Management: Was gilt ab 2025 – und wo geht die Reise hin?
Die regulatorischen Spielregeln im Umgang mit Auslagerungen und Drittparteien haben sich 2025 grundlegend geändert. Für dich als Finanzinstitut heißt das: Das klassische Outsourcing-Management auf Basis von Aufsichtsrecht und MaRisk reicht nicht mehr aus. Neue Regularien wie DORA und die EBA-Guidelines TPRM verändern die Systematik, schaffen neue Pflichten und einen radikal erweiterten Anwendungsbereich.
8 Punkte für ein modernes Drittparteien-Risikomanagement
| Schwerpunkt | Kernaussage für modernes TPRM |
|---|---|
| Paradigmenwechsel – Risiko statt Kategorie | Steuerungsfokus liegt ausschließlich auf Risikograd und Bedeutung einer Funktion, nicht der rechtlichen Einordnung. |
| Harmonisierung mit DORA | Kein Doppelregime – DORA-Standards für IKT gelten vorrangig, EBA-Leitlinien ergänzen nur Non-IKT-Dienstleistungen. |
| Proportionalität als Leitprinzip | Regeln müssen sich dem Institut und Risiko anpassen – maßgeschneidert, besonders für kleine Institute. |
| Einheitliche Definition kritischer Funktionen | Kritikalität eindeutig und prozessorientiert bestimmen; Unterschiede der Regelwerke beseitigen. |
| Vermeidung regulatorischer Fragmentierung | Einheitliche, anschlussfähige Regelungen auf EU- und internationaler Ebene, keine nationalen Sonderwege. |
| Erleichterungen für konzerninterne Dienstleister | Risikoorientierte Differenzierung: interne Servicegesellschaften brauchen weniger Auflagen als externe Dienstleister. |
| Transparente und angemessene Steuerung Unterauftragnehmer | Fokus auf wesentliche Subunternehmer, risikobasierte Auswahl und Kontrolle, keine Überregulierung. |
| Einheitliches, schlankes Registersystem | Ein Register für alle Drittparteien, abgestimmt auf Risiko und Funktion, ohne doppelte Bürokratie. |
Was gilt jetzt? Die neue Regulierungsarchitektur
1. Doppelter Rahmen – Zwei-Welten-Modell:
Für alle IKT-bezogenen Dienstleister wie Cloud, Software, Infrastructure-as-a-Service oder Datenplattformen gilt ab 2025 die DORA-Verordnung direkt. Sie schreibt europaweit einheitliche Anforderungen an Risikomanagement, Vertragsinhalte, Registerpflicht, Exit-Strategien und insbesondere digitale Resilienz vor. Du bist verpflichtet, ein robustes IKT-Risikomanagement zu etablieren, regelmäßige Tests durchzuführen, schwerwiegende Vorfälle zu melden und klare Business-Continuity-Pläne sowie Notfall- und Wiederanlaufstrategien zu dokumentieren.
Alle übrigen Drittparteien – also Non-ICT-Anbieter wie Beratung, ESG-Prüfung, Datenarchivierung oder Facility Management – fallen eindeutig in den Anwendungsbereich der neuen EBA-Guidelines 2025. Auch hier gilt: Für jede kritische oder wichtige Funktion gelten Governance-Vorgaben, umfassende Due Diligence, laufende Risikoüberwachung und eine vollständige Register- und Dokumentationspflicht.
2. MaRisk und § 25b KWG als Basis:
Die deutschen MaRisk (insbesondere AT 9) und § 25b KWG bleiben weiter die maßgeblichen Grundlagen für Outsourcing und Auslagerungen. Sie werden jedoch jetzt durch die europäische Überlagerung aus DORA und den EBA-Guidelines teilweise neu definiert – und müssen auf das Zwei-Welten-Modell (IKT / Non-IKT) angepasst werden.
3. Schärfere Pflichten für dich:
Ganz gleich, ob du mit ICT- oder Non-ICT-Dienstleistern arbeitest: Du musst für alle kritischen und wichtigen Funktionen detaillierte Risikobewertungen durchführen, Verträge mit verpflichtenden Mindestanforderungen abschließen, vollständige Dienstleisterregister führen und dokumentierte Notfall- und Exitpläne umsetzen. Die Gesamtverantwortung verbleibt immer bei der Geschäftsleitung.
Die Unterscheidung zwischen ICT und Non-ICT ist künftig der unmittelbare erste Entscheidungsschritt bei jeder Drittparteivergabe – darauf baut dein gesamtes Risikomanagement- und Outsourcing-Framework ab.
Regulatorische Anforderungen an Auslagerungen – Finanzsektor & Krypto
| Regelwerk | Adressaten | Wesentliche Auslagerungsregeln / Fokus | Paragraf / Norm |
|---|---|---|---|
| § 25b KWG | Kreditinstitute, CRR/Non-CRR-Banken | Risikoorientierte Steuerung, Anzeige- und Registerpflicht, Verantwortung der Geschäftsleiter | KWG § 25b |
| § 40 WpIG | Wertpapierinstitute | Fast wortgleiche Anforderungen wie § 25b KWG, eigene Anzeigepflichten, Auslagerungsregister | WpIG § 40 |
| § 36 KAGB | Kapitalverwaltungsgesellschaften (KVGs) | Risikomessung, Steuerung, Berichte an Aufsicht, Outsourcing-Governance, Organisationspflichten | KAGB § 36, §§ 36–37, Art. 21–24 AIFM-/OGAW-VO |
| § 32 VAG | Versicherungen, Rückversicherer | Risikoorientiertes Outsourcingmanagement für alle „wesentlichen“ Dienstleistungen, Lageberichterstattung | VAG § 32 (i.V.m. VAIT) |
| § 17 ZAG | Zahlungs- und E-Geld-Institute | Registerpflicht, Kontroll- und Steuerungspflichten bei Auslagerung, Zustimmungspflichten | ZAG § 17, MaRisk, EBA-Guidelines |
| MiCAR (Reg. EU 2023/1114) | Krypto-Dienstleister (CASP), Kryptowerte-Emittenten | Organisatorische Pflichten, Governance, Auslagerungsmanagement, Risikoanalyse, Kontroll- & Anzeigepflichten | MiCAR Art. 51, 62, 64, 68 ff. |
| § 1a Abs. 1 Nr. 6 KWG | Anbieter Kryptoverwahrgeschäft | Outsourcing/TPRM-Pflichten analog zu Banken; nationale Ergänzung zur MiCAR | KWG § 25b i.V.m. MiCAR |
| DORA | Alle Krypto-Dienstleister, Wallet-Anbieter, Handelsplattformen | IKT-/Cyber-Risk-Anforderungen, Register, Exit-Strategien, Prüf- & Meldepflichten | DORA Art. 2–3, 5, 28 ff. |
Praxis: Was bedeutet das für dein Institut?
-
Strategische Einordnung:
Stelle deine Prozesse so um, dass du künftig jede Dienstleisterbeziehung zuerst nach IKT- oder Non-IKT-Zuordnung steuerst. Was bisher oft nur für große Cloud-Projekte galt, betrifft jetzt jede kritische oder wichtige Drittparteienbeziehung – auch in zuvor wenig beachteten Bereichen. Die Identifikation und Priorisierung aller ausgelagerten und fremdbezogenen Aktivitäten ist der neue Maßstab für deine Compliance. -
Governance neu denken:
Du brauchst eine robuste, funktionsbezogene Third-Party-Risikosteuerung. Zukünftig zählt für die Aufsicht nicht mehr nur, was im Vertrag steht, sondern vor allem, welche Funktion ein Dritter ausübt und welches Risiko dadurch für das Institut entsteht. Die Verantwortung für Risikosteuerung, Monitoring und Notfallmanagement bleibt beim Institut.bankenverband -
Laufendes, struktur- und risikoorientiertes Register:
Für alle wesentlichen Drittparteienbeziehungen musst du fortlaufend dokumentieren können:-
welche Risiken bestehen,
-
welche Überwachungs- und Testmaßnahmen laufen (zum Beispiel Bedrohungs- und Belastungstests bei IKT-Diensten),
-
welche Exit- und Substitutionsmöglichkeiten vorhanden sind.
-
-
Dokumentationspflicht für alles:
Künftig ist bei jedem Audit ein vollständiges und digitales Register vorzulegen: Risikoanalysen, Überprüfungsprotokolle, Verträge, Ausstiegspläne und Monitoringberichte müssen jederzeit abrufbar und aktuell sein. -
Kontrollverlust verhindern:
Auch wenn bestimmte kritische IKT-Drittanbieter künftig direkt der EU-Aufsicht unterliegen, bleibt die operative Verantwortung bei deinem Institut. Laufendes Monitoring, Resilienztests sowie die Pflicht zur Sofortmeldung bei schwerwiegenden Incidents oder Abweichungen sind essenziell.
Wo geht die Reise hin? Die wichtigsten Trends
-
Erweiterung des Anwendungsbereichs:
In kurzer Zeit werden nicht nur Banken, sondern auch Kapitalverwaltungsgesellschaften, größere Investmentfirmen, Zahlungsinstitute, E-Geld-Emittenten und MiCAR-Institute sowie Gruppen- und Muttergesellschaften in den vollen regulatorischen Scope fallen. -
Konzentrations- und Systemrisiken im Fokus:
Die Aufseher erwarten von dir, dass du Abhängigkeiten von einzelnen oder wenigen Anbietern früh erkennst, systematisch aufbereitest und regelmäßig berichtest. Insbesondere Cloud-Oligopole und Lieferkettenabhängigkeiten rücken in den Mittelpunkt. -
Funktionsbezogene Bewertung statt „Vertragsdenken“:
Nicht mehr der Vertragsstatus zählt, sondern das tatsächliche Risiko und die jeweilige Bedeutung der ausgelagerten Funktion für dein Institut. -
Fortlaufende, automatisierte und KI-unterstützte Risikomessung:
Echtzeitüberwachung, Risiko-Dashboards, Continuous Audits und KI-gestützte Frühwarnsysteme ersetzen die klassische, periodische Einzelprüfung. -
Gruppenweite Harmonisierung:
Zukünftig muss das Third-Party Risk Management nicht nur je Einzelinstitut, sondern auch konsolidiert auf Gruppenebene ausgerollt werden. -
Neue Prüfungen und Meldepflichten:
Sowohl nach DORA als auch nach EBA-Guidelines musst du schwerwiegende Vorkommnisse und erhebliche Abweichungen sofort melden, Notfallübungen regelmäßig nachweisen und Penetrationstests dokumentieren.
EuroCapital AG – Schlankes & risikoorientiertes Third-Party-Risk-Register
Ausgangslage: Internationale Bank mit komplexer Wertschöpfungskette, zahlreichen Drittparteien (Cloud, ESG, Shared Services). Nach DORA und neuen EBA-Guidelines wird das Auslagerungsregister vollständig neu aufgesetzt.
1. Datenmodell & Struktur Ein Register für alle Drittparteien
Ein zentrales, risikoorientiertes Register für IKT und Non-IKT – ohne Doppelbürokratie.
| Attribut | Beschreibung |
|---|---|
| Name & Rolle | Drittpartei, rechtliche Einheit, Rolle im Prozess |
| Kritikalität / Wesentlichkeit | Prozessorientierte Einstufung (kritisch, wichtig, sonstig) |
| Zuordnung | IKT / Non-IKT |
| Hauptfunktion | Z. B. Cloud-Datenhaltung, Backoffice, ESG-Beratung |
| Risikograd | hoch / mittel / niedrig – auf Basis standardisierter Skala |
| Vertragsstatus & Laufzeit | Aktiv, in Verhandlung, gekündigt; Start-/Enddatum |
| Verantwortliche Kontakte | Interner Owner & externer Ansprechpartner |
| Status Monitoring / Audit | Letzter Review, Findings, Maßnahmenstatus |
| Notfall- & Exitplan | Dokumentiert (ja/nein), letztes Testdatum |
| Subdienstleister | Erfassung nur, sofern wesentlich (Materiality-Prinzip) |
2. Technologie & Integration
- Digitale Plattform, integriert in Risk Dashboard und Compliance-System
- Automatisches Update bei Vertragsänderungen, DD-Ergebnissen, Monitoring-Events
- Schnittstellen zu Lieferantenmanagement, Prüfungsplanung, IT-Security
- KI-Modul prüft proaktiv regulatorische Änderungen & neue Risikotreiber
3. Proportionalität & Flexibilität
- Standard-Templates und vordefinierte Risikobausteine für kleinere Institute
- Systemseitige Automatik für Prüfungstiefe & Monitoring je Schwellenwert
- Gruppenweite Harmonisierung: Einheitliches Register, keine Doppelstrukturen
4. Governance & Reporting
Echtzeit-Transparenz
Übersicht aller kritischen Funktionen & Drittparteien für Aufsichtsrat, Management, Compliance.
Automatisierte Berichte
Wesentliche Kennzahlen, Risikotests, Vorfälle – rollierend und revisionssicher.
Aufsichts-Ready
Validierte Exporte (CSV/PDF) für Aufsicht & Jahresabschlussprüfer – jederzeit abrufbar.
Owner & Eskalation
Klarer Service-Owner, definierte Eskalationswege, regelmäßige Reviews.
5. Ergebnis & Mehrwert
Harmonisierung
Keine Mehrfachregister; international anschlussfähig (DORA & EBA-konform).
Effizienz
Weniger Aufwand bei Prüfungen, Vertragsmanagement, Risikoberichten.
Compliance
Klare, risikoorientierte Steuerung – schnelle Reaktion auf neue Anforderungen.
Fazit
EuroCapital AG vollzieht den Paradigmenwechsel: Weg von isolierten Auslagerungs-Kategorien, hin zu einem schlanken, flexiblen, risikoorientierten Third-Party-Risk-Register. So werden § 25b KWG, DORA und EBA erfüllt – und gleichzeitig Effizienz und Wettbewerbsfähigkeit gesteigert.
Dein Compliance-Check 2025: Was du jetzt tun solltest
-
Das gesamte Drittparteien-Portfolio sichten und konsequent nach ICT/Non-ICT klassifizieren.
-
Register für alle kritischen und wichtigen Dienstleister anlegen und konsolidieren – stets digital, einheitlich und prüfbar.
-
Sämtliche relevanten Verträge auf Mindestanforderungen wie Exit-Klauseln, Auditrechte, Dokumentation und Meldewege prüfen und aktualisieren.
-
Risikobewertung und Due Diligence für jeden Anbieter systematisch standardisieren und regelmäßig auf Aktualität prüfen.
-
Notfall- und Exit-Szenarien prozessual und praktisch umsetzen und regelmäßig testen.
-
Umfassende Schulungen und Awareness-Maßnahmen für Fach- und Führungskräfte durchführen.
Die Trennung zwischen DORA (IKT-Drittparteirisiken) und den neuen EBA-Guidelines (Non-ICT), ergänzt durch MaRisk und § 25b KWG, markiert einen Neustart im Outsourcing- und Drittparteienmanagement. Für dich entsteht nun die Pflicht zu einem durchgängigen, funktionsbezogenen und technikgestützten TPRM-Framework, das weit über klassische Auslagerungsmodelle hinausgeht. Nur so sicherst du Resilienz, Transparenz, Prüfungsfähigkeit und Wettbewerbsstärke deines Instituts – heute und in der Zukunft.compliance-advisor+2
Alpha Securities – Risikoorientiertes Auslagerungsregister nach WpIG § 40
Ausgangslage: Das mittelgroße Wertpapierinstitut „Alpha Securities“ lagert das Management und die Wartung seiner Handelsplattform an einen Cloud-Dienstleister aus. Nach WpIG § 40 und den WpI-MaRisk 2025 muss ein vollständig risikoorientiertes Register geführt werden.
1. Datenmodell & Struktur
| Attribut | Beschreibung |
|---|---|
| Name & Rolle | Cloud-Dienstleister, rechtliche Einheit, Rolle: IT-Betrieb Handelsplattform |
| Kritikalität | Kritisch – betrifft Kernsystem für Handel & Abwicklung |
| Zuordnung | IKT-Dienstleistung |
| Risikograd | Hoch (Geschäftsfortführung, Datenschutz, Cyber) |
| Vertragsstatus | Aktiv, Laufzeit 3 Jahre, Kündigungsfrist 12 Monate |
| Verantwortliche Kontakte | Interner Auslagerungsbeauftragter & Key Account Manager Cloud-Provider |
| Status Monitoring / Audit | Quartalsweise Prüfungen, jährliches IT-Audit |
| Notfall- & Exitplan | Dokumentiert, Exit-Test zuletzt 2024 erfolgreich |
- Register integriert ins Risikomanagement- & Compliance-System
- Automatische Updates bei Vertragsänderungen, Monitoring-Findings
- Schnittstellen zu IT-Security und Prüfungsplanung
3. Proportionalität & Besonderheiten
Kleinere Auslagerungen (z. B. Facility Services) werden mit vereinfachten Anforderungen erfasst. Für kritische IKT-Auslagerungen gelten hingegen volle Berichtspflichten.
4. Governance & Reporting- Zentraler Auslagerungsbeauftragter mit direkter Anbindung an Geschäftsleitung
- Echtzeitübersicht über alle kritischen Auslagerungen
- Automatisierte Berichte an Vorstand und Aufsicht
BlockVault AG – Wallet-Verwahrung nach MiCAR & DORA
Ausgangslage: Die „BlockVault AG“, ein CASP nach MiCAR, integriert einen Drittanbieter für Cold-Wallet-Verwahrung. Es greifen MiCAR (Art. 51 ff.) und DORA.
1. Datenmodell & Struktur| Attribut | Beschreibung |
|---|---|
| Name & Rolle | Drittanbieter Wallet-Provider, Rolle: Cold-Wallet-Verwahrung |
| Kritikalität | Kritisch – Verwahrung von Kundengeldern (Assets) |
| Zuordnung | Krypto / IKT-Dienstleistung |
| Risikograd | Hoch (Sicherheits- und Resilienzrisiken) |
| Vertragsstatus | Neu abgeschlossen, Laufzeit 2 Jahre |
| Verantwortliche Kontakte | Compliance-Officer BlockVault & CTO Wallet-Provider |
| Status Monitoring / Audit | Halbjährliche Penetration Tests, jährliche Notfallübung |
| Notfall- & Exitplan | Dokumentiert, Exit-Strategie getestet (Fallback Wallets) |
- MiCAR-Zulassung des Dienstleisters (Art. 59 MiCAR) als Voraussetzung
- Automatisiertes Monitoring von Sicherheitsereignissen
- DORA-konforme Prüfungen: Penetration Tests, IT-Resilienz, Meldungen
Auch bei kleineren Kryptodienstleistern gilt: Kritische Funktionen wie Wallet-Verwahrung unterliegen vollen regulatorischen Anforderungen. Vereinfachungen sind hier kaum möglich.
4. Governance & Reporting- Register- & Meldepflicht für alle wesentlichen Verträge und Änderungen
- Due Diligence zu Sicherheit, Resilienz und Notfallmanagement
- Echtzeit-Transparenz für Aufsicht und interne Governance
Weitere Informationen und aktuelle Aufsichtshinweise
Wenn du dich tiefergehend mit den regulatorischen Vorgaben, den praktischen Auslegungshinweisen sowie aktuellen Entwicklungen beschäftigen möchtest, bieten insbesondere die folgenden offiziellen Quellen einen umfassenden Überblick:
-
BaFin informiert regelmäßig über die nationale Umsetzung und Auslegung von DORA, MaRisk sowie § 25b KWG. Die BaFin veröffentlicht spezifische Umsetzungshinweise, FAQ und Aufsichtsmitteilungen – zuletzt im August und Juni 2025 mit Fokus auf Drittparteien, vereinfachte IKT-Rahmen und die Überschneidung von BAIT/VAIT und DORA. Hier findest du auch praxisrelevante Übersichten zu Mindestvertragsinhalten, Prüfpflichten und zeitlichen Vorgaben für Anpassungen.
BaFin – Themenportal Auslagerungen & DORA -
EBA (European Banking Authority) bündelt die zentrale Regulierung zu Auslagerungen und TPRM auf ihrer Webseite mit Zugriff auf die aktuellen Leitlinien, Konsultationsdokumente, Final Reports sowie branchenspezifische FAQs. Hier findest du die Draft Guidelines 2025, den konsolidierten Auslagerungsrahmen und sektorenübergreifende Erklärungen zum Zusammenspiel mit DORA.
EBA – Third Party Risk Management & Outsourcing -
ESMA (European Securities and Markets Authority) ist insbesondere für Wertpapierfirmen und -dienstleister relevant. Sie veröffentlicht eigene Guidelines sowie Q&As zu ICT Risks, Outsourcing und Third Party Risk im Wertpapiersektor – mit Bezug auf die europäischen DORA- und MiFID-Vorgaben.
ESMA – ICT and Security Risk Management
FAQ: Modernes Drittparteien-Risikomanagement
-
Was ist der zentrale Unterschied zwischen Auslagerungsregulierung und Third-Party Risk Management ab 2025?
Der bisherige Fokus auf „Auslagerung“ wird abgelöst durch einen ganzheitlichen, risikobasierten Ansatz für alle wesentlichen Drittparteienbeziehungen. Entscheidend ist nicht mehr die rechtliche Kategorie, sondern die Bedeutung und das Risiko der durch die Drittpartei übernommenen Funktion.
-
Wann gilt DORA, wann die EBA-Guidelines?
DORA gilt vorrangig für alle IKT-bezogenen Dienstleistungen, z. B. Cloud, Software, Datendienstleister. Die EBA-Guidelines (ab 2025) erfassen alle übrigen Non-ICT-Drittparteien und regeln dort Register, Due Diligence und Monitoring.
-
Müssen für alle Dienstleister die gleichen Pflichten erfüllt werden?
Nein, das Prinzip der Proportionalität erlaubt es, Anforderungen an Größe, Risikograd und Komplexität des Instituts sowie die Kritikalität der Dienstleistung anzupassen. Besonders für kleine Institute gibt es Erleichterungen, solange die Risiken angemessen adressiert sind.
-
Was ist bei konzerninternen Dienstleistern zu beachten?
Interne Servicegesellschaften benötigen keine gleich starken Regulierungs- und Kontrollmaßnahmen wie externe Anbieter. Die Steuerung erfolgt risikoorientiert und differenziert.
-
Wie wird entschieden, ob eine Funktion „kritisch“ oder „wesentlich“ ist?
Kritikalität wird anhand der Bedeutung für die Betriebs- und Geschäftsprozesse beurteilt. Einheitliche, prozessorientierte Definitionen sind in Arbeit, um branchenweit Klarheit zu schaffen.
-
Ist künftig ein zentrales Register für Drittparteien Pflicht?
Ja, jedes Institut muss ein risikoorientiertes, fortlaufend gepflegtes Register für alle wesentlichen Drittparteien führen – egal ob IKT oder Non-IKT. Doppelstrukturen sollen vermieden werden.
-
Welche Rolle spielen Unterauftragnehmer und Weiterverlagerungen?
Schwerpunkt liegt auf Transparenz und Steuerung von wirklich wesentlichen Subdienstleistern. Überregulation für unwesentliche Subunternehmer soll vermieden werden.
-
Was verlangt die Aufsicht beim Reporting und der Kontrolle?
Aufsicht und Prüfer erwarten digitale Nachvollziehbarkeit: Risiken, Verträge, Überwachung und Notfallpläne müssen jederzeit aktuell vorgelegt werden. Wesentliche Vorfälle und Änderungen sind zeitnah zu melden.
