Third-Party Risk Management

Alles, was du über das Management von Risiken durch Drittparteien wissen musst

Third-Party Risk Management (TPRM) ist 2025 kein Kann mehr, sondern ein Muss. Mit den neuen EBA-Leitlinien wächst die Verantwortung – und DORA setzt bei ICT noch einen drauf.

Die Abhängigkeit von externen Dienstleistern wächst rasant – getrieben durch Digitalisierung, Kostendruck und strengere Regulierung. Doch mit den Vorteilen steigen auch die Risiken: Drittparteien können zu operationellen Störungen, rechtlichen Konflikten und Reputationsschäden führen.

Genau hier setzt die Aufsicht an: Mit den EBA Draft Guidelines 2025 wird TPRM zum zentralen Prüfstein – und geht weit über klassisches Outsourcing hinaus. Zusammen mit DORA entsteht ein klarer Rahmen für ICT- und Non-ICT-Dienstleister.

👉 Auf dieser Seite findest du alles, was du brauchst: Grundlagen, regulatorische Anforderungen, praxisnahe Tools und S+P Seminare, damit du dein TPRM zukunftssicher aufstellen kannst.

1. Grundlagen & Regulatorik

Third-Party Risk Management ist mehr als Outsourcing. Während die Leitlinien von 2019 noch stark auf Auslagerungen fokussiert waren, erweitert die EBA nun den Rahmen auf alle Drittparteienbeziehungen.

  • Unterschied Outsourcing vs. Third-Party

  • Abgrenzung zu DORA: ICT vs. Non-ICT

  • Internationale Standards: BCBS-Prinzipien, FSB-Toolkit, EBA Guidelines

👉 Lies mehr in:

Dienstleister & Subdienstleister wirksam überwachen
Third-Party Risk Management Hub

DORA vs. EBA-Leitlinien Third-Party Risk Management

Thema DORA (Third-Party / IKT) EBA-Leitlinien 2025 (Third-Party Guidelines)
Geltungsbereich IKT-Drittparteien; gesamter Lebenszyklus inkl. Exit-Strategien Breitere Drittparteirisiken (nicht nur IKT); gilt für alle neuen/geänderten Verträge ab 2025
Dokumentation Ex-ante-Due-Diligence und Register für IKT-Dienstleister verpflichtend Einheitliche Register für ICT & non-ICT, Übergangsfrist: 2 Jahre
Vertragliche Anforderungen Notfall-/Exit-Pläne verpflichtend; klare vertragliche Pflichten Fokus auf Gesamtprozesse, Governance & Proportionalität
Monitoring / Proportionalität Kontinuierliche Überwachung kritischer Anbieter Wesentlichkeitsprinzip & risikobasierte Steuerung; Übergangsfristen

Third-Party Risk Management wird Pflicht: Die neuen EBA-Leitlinien 2025 gehen weit über klassisches Outsourcing hinaus und erfassen alle Drittparteien.

2. Risikomanagement & Governance

Ein robustes Governance-Framework ist der Kern des TPRM. Das Leitungsorgan bleibt voll verantwortlich für Steuerung, Kontrolle und Einhaltung aller Vorgaben.

  • Einstufung kritischer/wichtiger Funktionen mit klarer Methodik

  • Risikobewertung & Due Diligence vor jeder Vereinbarung

  • Steuerung von Konzentrationsrisiken und Substituierbarkeit

👉 Lies mehr in:

  • Governance im Third-Party Management

  • Konzentrationsrisiken aktiv steuern

DORA-, MaRisk- und EBA-Anforderungen souverän umsetzen

Risikokategorien im Third-Party Risk Management

Kategorie Beispiele Regulatorische Anforderungen
Kritische Auslagerung Cloud-Provider, Kernbankensysteme, Zahlungsverkehr Vertragliche Mindeststandards, Exit-Strategien, Registereintrag, laufendes Monitoring
Wesentliche Auslagerung HR-IT-System, Datenarchivierung Register, Risikobewertung, regelmäßige Überwachung
Nicht-wesentlich Reinigungsdienst, Kantine Basisprüfung, kein Register erforderlich

3. Vertragsanforderungen nach DORA & EBA

Verträge mit kritischen oder wichtigen Drittparteien müssen streng regulierte Inhalte aufweisen:

  • Leistungsbeschreibungen mit KPIs & SLAs

  • Audit- und Zugriffsrechte auch für Subunternehmer

  • Exit-Strategien und Notfallpläne

  • Datenschutz und DSGVO-Konformität

👉 Lies mehr in:

  • Checkliste: Vertragsanforderungen im Third-Party Risk

  • Datenschutz im Drittparteien-Management

ESG-Kriterien & Governance praxisnah integrieren

Pflichten entlang des Auslagerungs-Lebenszyklus

Phase DORA / EBA-Anforderungen
Due Diligence (vorher) Risikobewertung, Wesentlichkeit, Registerpflicht
Vertragsgestaltung Mindestinhalte, Exit-Strategien, Rechte auf Audit & Zugriff
Implementierung Klare Governance, Notfallpläne
Monitoring Laufende Risikoüberwachung, Proportionalitätsprinzip
Exit / Beendigung Exit-Strategien testen, sichere Datenmigration
Kostenfreie Beratung anfordern

Wer jetzt nicht handelt, riskiert Sanktionen und Reputationsschäden – sichere dir dein Know-how mit der S+P Online-Schulung Auslagerung & Third-Party Risk.

4. Register & Dokumentation im Third-Party Risk Management (ICT & Non-ICT)

Institute sind verpflichtet, detaillierte Register über alle Drittparteienbeziehungen zu führen.

  • Trennung, aber Konsistenz von ICT- (DORA) und Non-ICT- (EBA)-Registern

  • Dokumentation von Audit-Ergebnissen, Subunternehmern, Exit-Plänen

  • Elektronische Exportierbarkeit (z. B. CSV) und jederzeitige Vorlage bei der Aufsicht

👉 Lies mehr in:

  • So führst du dein Third-Party-Register richtig

  • Reporting-Pflichten und Aufsichtsdialog

Meldungen über Eigengeschäfte von Führungskräften nach Art. 19 MAR
DORA-Checkliste | S+P Tool Box

5. Schnittstelle zu DORA

Die EBA-Leitlinien und DORA sind klar voneinander abgegrenzt, aber aufeinander abgestimmt:

  • Abgrenzung: ICT-Dienstleistungen fallen unter DORA, Non-ICT unter die neuen Leitlinien

  • Konsistenz: Harmonisierung sorgt für ein Level-Playing-Field

  • Dokumentationspflicht: Register müssen konsistent geführt und ggf. zusammengeführt werden

  • Risikoüberwachung: DORA deckt digitale Resilienz ab, die EBA-Leitlinien sichern Non-ICT-Dienstleistungen ab

👉 Lies mehr in:

DORA-Dokumentation leicht gemacht

6. Praxis & Tools

Mit der S+P Tool Box erhältst du praxisnahe Hilfsmittel für ein effizientes TPRM:

  • Musterberichte und Checklisten für Risikobewertungen

  • Vorlagen für ESG- und Konzentrationsanalysen

  • Vertrags-Toolkits für Audit-Klauseln, Exit-Strategien und Datenschutz

👉 Mehr Infos:

Dienstleister & Subdienstleister wirksam überwachen

Zeitplan & Fristen im Third-Party Risk Management

Regelwerk Start Übergangsfrist Anpassung bestehender Verträge
DORA 17.01.2025 Keine Sofortige Anwendung
EBA Third-Party Guidelines 2025 (für neue Verträge) 2 Jahre Bis 2027 anpassen
MaRisk (DE) Laufend Abhängig von BaFin-Rundschreiben Je nach Institut

Fazit & Handlungsempfehlungen

Third-Party Risk Management entwickelt sich von einer Compliance-Nische zu einem strategischen Schlüsselthema:

  • Ganzheitliches TPRM implementieren – vom Onboarding bis zum Exit
  • Register und Dokumentationen digitalisieren und mit DORA harmonisieren
  • Verträge an neue Anforderungen anpassen (Audit, Datenschutz, Exit)
  • Schulungen für Management & Fachbereiche aufsetzen
  • Proaktiver Aufsichtsdialog statt reaktiver Berichterstattung

Wer jetzt nicht handelt, riskiert Sanktionen und Reputationsschäden.

👉 Sichere dir dein Know-how mit der S+P Online-Schulung Auslagerung & Third-Party Risk

Quick-Check: To-Dos für das Management

Aufgabe Status prüfen
Register für alle Auslagerungen vorhanden? ✅ / ❌
Risikobewertung nach Wesentlichkeit durchgeführt? ✅ / ❌
Verträge auf Mindestinhalte geprüft? ✅ / ❌
Notfall- und Exit-Strategien vorhanden? ✅ / ❌
Monitoring-Prozess etabliert? ✅ / ❌

Dein 90-Tage-Plan für erfolgreiches Third-Party Risk Management

  1. Analyse starten: Alle Drittparteien erfassen und nach Wesentlichkeit einstufen.

  2. Register & Verträge prüfen: Mindestanforderungen, Exit-Strategien und DSGVO-Checks implementieren.

  3. Monitoring aufsetzen: Laufende Risikoüberwachung etablieren und Management-Reporting vorbereiten.

➡️ „Starte jetzt mit der S+P Online-Schulung Auslagerung & Third-Party Risk“

FAQ: Third-Party Risk Management (TPRM)

  • Was ist TPRM – und wie unterscheidet es sich vom Outsourcing?

    TPRM umfasst alle Risiken aus Drittparteienbeziehungen – nicht nur Auslagerungen. Outsourcing ist ein Teilbereich mit besonderen Anforderungen; TPRM deckt zusätzlich Beratung, Zwischenhändler, Datenlieferanten, Logistik, Facility, ESG-Risiken u.v.m. ab.

  • Was ändert sich mit den EBA Draft Guidelines 2025?

    Der Rahmen wird erweitert: Einstufung aller Drittparteien, klare Kritikalitätsmethodik, Registerpflichten, Governance durch das Leitungsorgan, stärkere Konzentrationsrisiko-Steuerung und Mindestvertragsinhalte auch jenseits klassischer Auslagerungen.

  • Wie grenzt sich TPRM zu DORA ab (ICT vs. Non-ICT)?

    DORA gilt für ICT-Drittparteien (z. B. Cloud, Software, Security). Die EBA-Leitlinien adressieren Non-ICT. Wichtig: konsistente Register, abgestimmte Due-Diligence-Prozesse und zusammenhängende Reporting- und Exit-Konzepte.

  • Welche Governance brauchst du – wer trägt Verantwortung?

    Das Leitungsorgan bleibt verantwortlich. Etabliere ein TPRM-Committee, klare Rollen (Owner je Drittpartei), Policy/Standard, OKRs und Reporting an Vorstand/Aufsicht – inkl. Eskalations- und Freigabewegen (Onboarding, Materiality, Exit).

  • Wie stufst du kritische/wichtige Drittparteien ein?

    Nutz eine Scoring-Methodik (Auswirkungs- und Eintrittswahrscheinlichkeit, Substituierbarkeit, Kunden-/Prozessrelevanz, Daten-/Compliance-Risiken). Ergebnis: kritisch/wichtig/sonstig mit abgestuften Due-Diligence- und Monitoring-Anforderungen.

  • Welche Due Diligence ist vor Vertragsabschluss Pflicht?

    Finanzielle Stabilität, Compliance/Regulatory Fit, Informationssicherheit & Datenschutz, Resilienz/BCM, ESG, Subunternehmer-Kette. Ergebnis ist ein Risiko-Score mit Auflagen, Tests oder Alternativen/Substituten.

  • Welche Mindestanforderungen gehören in Verträge?

    KPIs/SLAs, Audit- und Zugriffsrechte (inkl. Subunternehmer), Datenschutz/DSGVO, Sicherheits- und Incident-Pflichten, Exit-Strategien und Notfallpläne, Berichts- & Meldefristen, Rechte der Aufsicht, Änderungsmanagement.

  • Wie führst du das Third-Party-Register korrekt?

    Pflege ein vollständiges Register (Leistung, Kritikalität, Datenarten, Subunternehmer, Audit-/Prüfstatus, Exit-Readiness). ICT-Register (DORA) und Non-ICT-Register (EBA) müssen konsistent und exportierbar (z. B. CSV) sein – aufsichtsbereit jederzeit.

  • Wie steuerst du Konzentrationsrisiken & Substituierbarkeit?

    Analysiere Cluster (Provider, Region, Technologie), definiere Obergrenzen, halte Second-Source-Optionen, plane Exit/Switch (Datenportabilität, Übergabe, Know-how), simuliere Störfälle und teste Fallbacks regelmäßig.

  • Welche KPIs & Reports brauchst du für laufendes Monitoring?

    SLA-Erfüllung, Incidents & Time-to-Recover, Audit-Findings & Remediation, Datenschutz-/Security-Events, Wechselrisiko, ESG-Status. Monatliche Provider-Reviews und Quartalsberichte an das Leitungsorgan sind Best Practice.

  • Wie integrierst du ESG & Datenschutz in TPRM?

    ESG-Kriterien (z. B. Umwelt, Arbeitsstandards, Lieferkette) in Due Diligence, DSGVO in Verträgen (AVV, TOMs), Datentransfer (SCCs), Privacy by Design, Audits und Nachweisführung im Register verankern.

  • Welche Tools & Templates beschleunigen dich?

    S+P Tool Box mit Checklisten für Due Diligence & Monitoring, ESG- & Konzentrations-Analysen, Vertrags-Toolkits (Audit-Klauseln, Exit, Datenschutz), Register-Vorlagen und Schulungspakete für Fachbereiche & Management.

  • Wie startest du pragmatisch – Roadmap in 90 Tagen?

    1) TPRM-Policy & Rollen aufsetzen. 2) Kritikalitäts-Methodik definieren. 3) Register initial befüllen. 4) Due Diligence-Templates & Vertragstemplates live nehmen. 5) KPIs/Reporting etablieren. 6) Schulungen durchführen & Aufsichtsdialog vorbereiten.

  • Wie unterstützen dich S+P Seminare & Zertifizierung?

    Praxis-Training mit Cases, S+P Tool Box für schnelle Umsetzung und S+P Certified mit Digital Badge. Ideal für DORA-, MaRisk- und EBA-konforme TPRM-Prozesse – vom Onboarding bis zum Exit.

Führungskräfte-Zertifizierung für nachhaltigen Erfolg: Warum S+P Certified überzeugt

Das Digitale Karriere-Zertifikat, auch bekannt als Digital Badge, ist eine moderne Form der Zertifizierung, die dir digital verliehen wird. Es bestätigt deine Teilnahme an einem unserer Lehrgänge und die erfolgreiche Aneignung spezifischer Kompetenzen.

Mit diesem Badge kannst du einfach und effektiv in digitalen Netzwerken, auf deinem LinkedIn-Profil oder in deinem Lebenslauf zeigen, dass du proaktiv an deiner beruflichen Entwicklung arbeitest.

„Das Digitale Badge von S+P ist eine großartige Ergänzung. Es ermöglicht mir, meine neuen Qualifikationen auf LinkedIn und in meinem Lebenslauf sichtbar zu machen. So kann ich meinem Netzwerk zeigen, dass ich aktiv an meiner beruflichen Weiterentwicklung arbeite – ein echter Karrierebooster!“

S+P Certified

Dein Weg zu S+P Certified

  1. Anmeldung zum Lehrgang: Wähle aus unserem Angebot den passenden Lehrgang aus.
  2. Vorbereitung mit S+P Toolbox: Nutze praxisnahe Tools, die dir beim Lernen helfen.
  3. Prüfung und Zertifikat: Zeige dein Wissen und erhalte dein Zertifikat als Nachweis deiner Kompetenz.
Starte jetzt deine Zertifizierung und mach den nächsten Karriereschritt!
Dein Weg zu S+P Certified

Erfolgreiche Absolventen berichten

„Die praxisnahen Inhalte und die strukturierte Prüfungsvorbereitung haben mich bestens auf die Herausforderungen meines Berufs vorbereitet.“

„Mit dem S+P Certified Zertifikat habe ich nicht nur mein Wissen erweitert, sondern auch meine Karriere vorangetrieben.“

Die S+P Idee hat schon viele begeistert – werde auch du Teil unserer Erfolgsgeschichte!
Einzigartigkeit der S+P Certified Zertifizierung

Warum S+P Certified?

  • Praxisnah: Direkt anwendbare Inhalte, die auf reale berufliche Herausforderungen zugeschnitten sind.
  • Exklusives Netzwerk: Zugang zu einem Netzwerk von Fach- und Führungskräften.
  • Renommierte Zertifizierung: Anerkannt von führenden Unternehmen und Branchenexperten.
Vergleiche S+P Certified mit anderen Programmen und finde deinen optimalen Einstieg.
Direkt anfragen
Dein bester Karriere-Booster
S&P Unternehmerforum GmbH 767 Bewertungen auf ProvenExpert.com