EBA Leitlinie zum nicht-IKT bezogenen Drittpar-teienrisiko – Evolution oder Asteroideneinschlag?

01 Oktober 2025

View in English

Der Entwurf der "Guidelines on the sound management of third-party risk" der Europäischen Banken-aufsichtsbehörde (EBA) vom 08. Juli 2025 markiert neben der Verordnung über die digitale operatio-nale Resilienz im Finanzsektor (Verordnung (EU) 2022/2554, "DORA") einen weiteren Paradigmen-wechsel für das Management von Drittparteienrisiken.Während DORA seit Beginn des Jahres gilt und auf die Steuerung und Kontrolle der Nutzung von Informations- und Kommunikationstechnologie (IKT) durch Drittparteien abzielt, nimmt die neue EBA-Leitlinie ausdrücklich die nicht-IKT bezogenen Risiken der Nutzung Dritter in den Blick. Dadurch wird die strukturelle Zweiteilung des Third-Party-Risk-managements (TRPM) etabliert: Während die IKT-bezogenen Dienstleistungen den Anforderungen der DORA unterliegen (Level 1!), soll für die nicht-IKT bezogenen Dienstleistungen die EBA-Leitlinie geschaffen werden (Level 3!).Wird diese so wie in der Konsultation geplant umgesetzt (einschließlich der Ersetzung der Auslage-rungs-Richtlinien), hat dies ganz erhebliche Auswirkungen auf den europäischen und deutschen Fi-nanzmarkt. Insbesondere führt dies – wie bei DORA – dazu, dass Risiken bei Nutzung jedweder Ser-vicepartner (einschließlich Intragroup) (neu) bewertet und kategorisiert sowie Verträge überprüft und ggf. angepasst werden müssen. Diesmal stehen damit nicht "nur" IKT-relevante Vertragsbeziehungen auf dem Prüfstand, sondern alle Vereinbarungen über Dienstleistungen mit konzerninternen oder ex-ternen Drittanbietern, unabhängig davon ob diese die Schwelle der Auslagerung überschreiten oder nicht. EBA spricht hier von: "This increased reliance on TPSPs requires an evolution of the traditional notion of outsourcing to the broader scope of TPSP arrangements." Tatsächlich handelt es sich eher um einen Asterorideneinschlag als um eine Evolution.<h3>Rechtliche Grundlage</h3>Für die Erbringung von IKT-Dienstleistungen durch Drittparteien regelt die DORA als Basisrechtsakt (Level 1) die grundlegenden Anforderungen an das Management von Drittanbieterrisken und ist Er-mächtigungsgrundlagen für die Konkretisierung durch delegierte Rechtsakte, namentlich technische Regulierungsstandards (Regulatory Technical Standard, RTS) und technische Durchführungsstan-dards (Implementing Technical Standard, ITS) (Level 2) sowie gemeinsame Leitlinien (Joint Guidelines) der drei Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA - ESAs) (Level 3).Im Gegensatz dazu handelt es sich bei dem Entwurf EBA Leitlinien für ein solides Management von nicht-IKT bezogenen Drittparteienrisiken bereits um eine EBA-Leitlinie, d.h. um eine Level 3-Regelung.Hinweis: Für die Adressaten der EBA-Leitlinie hat dies zur Folge, dass – anders als bei der Umset-zung der DORA-Anforderungen – keine weiteren, konkretisierende Anforderungen durch RTS, ITS oder weitere Leitlinien hinzutreten können, da es sich hierbei bereits um eine Level 3-Regelung han-delt, die lediglich schon bestehende Regelungen auf Level 1 und Level 2 konkretisieren soll. Vorlie-gend fusst EBA die Level-3 Leitlinien auf die Governanceregelungen für Banken und Wertpapier-dienstleister – die Versicherungen sind aktuell (noch) nicht erfasst.Als Ermächtigungsgrundlage für den Entwurf der Leitlinie gibt die EBA im Bankenbereich Artikel 74 Absatz 3 der Richtlinie 2013/36/EU ("CRD") an, der sie dazu verpflichtet, die Governance-Regelungen, -Prozesse und -Mechanismen von Instituten in der gesamten EU weiter zu harmonisieren. Darüber hinaus verweist die EBA auf Artikel 11 der Richtlinie (EU) 2015/2366/EU ("PSD2"), Artikel 26 der Richt-linie 2019/2034/EU ("IFD"), Artikel 16 der Richtlinie (EU) 2014/65 ("MiFID II"), Artikel 34 der Verord-nung (EU) 2023/1114 ("MiCAR") und Artikel 16 der Verordnung (EU) Nr. 1093/2010 (EBA-Richtlinie).Hinweis: Insbesondere die Kompetenz der EBA im Hinblick auf die Regelung für Wertpapierfirmen unter der MiFID II ist in Frage zu stellen.Grundsätzlich ist die ESMA für Wertpapierfirmen zuständig. In Absprache mit der ESMA kann die EBA im Sinne einer umfassenden, einheitlichen und wirksamen Aufsicht das Mandant der ESMA Ausüben. Hierfür müsste jedoch die ESMA (bzw. die EBA) in der MiFID II eine Befugnis zur Rege-lung auch zur Konkretisierung der Governanceregelungen erhalten haben.Geht man davon aus, dass die MiFID II der EBA mit der Zustimmung der ESMA tätig wird, bezieht sich diese auf die Auslagerung von operativen Funktionen, da Artikel 16 MiFID II nur auf die Ausla-gerung hinweist (nicht aber allgemein auf Drittparteienrisiken).. Das bedeutet, es steht in Frage, ob damit überhaupt Leitlinien für alle Vereinbarungen mit Drittparteien erlassen werden sein können, wenn doch die Auslagerung nur ein Teilbereich der Drittparteienvereinbarungen darstellt (siehe EBA-Leitlinien S. 20 Rn. 16, Stichwort " Third-party arrangement"). Jedenfalls gehen die Voraussetzung der EBA-Leitlinien u.E. in den Fällen über die in der MiFID II enthaltenen Anforderungen an Wertpa-pierfirmen hinaus, wenn sie Aspekte der Organisationsstruktur von Wertpapierfirmen regelt.<h3>Zielsetzung der Leitlinien</h3>Mit der Leitlinie verfolgt die EBA das Ziel, die Governance und das Risikomanagement von Drittpar-teibeziehungen im Finanzsektor zu harmonisieren, um gleiche Wettbewerbsbedingungen zu gewähr-leisten und die Konvergenz der Aufsicht zu fördern (auch wenn für die Erfassung auch der Versiche-rungen eine ESA-Guideline erforderlich wäre). Dadurch soll sichergestellt werden, dass die Adressa-ten jederzeit in der Lage sind, die mit der Nutzung externer Dienstleister verbundenen Risiken (alle!) angemessen zu identifizieren, zu steuern, zu überwachen und zu begrenzen. Die EBA reagiert mit den Leitlinien auf die zunehmende Abhängigkeit der Institute von spezialisierten Drittanbietern, die zwar Effizienzgewinne und Flexibilität ermöglichen, aber auch neue Risiken mit sich bringen – etwa Kon-zentrationsrisiken oder den Verlust der Steuerungsfähigkeit von Kernfunktionen.Hinweis: Zu den berücksichtigenden Risiken gehören laut EBA unter anderem auch Konzentrations-risiken, die durch die Erbringung kritischer oder wichtiger Funktionen durch eine begrenzte Anzahl von Drittparteien oder mit eng verbundenen Drittparteien (Intra-group) entsteht (siehe S. 11 f. Rn. 21). Damit greift sie das wesentliche Argument für die Notwendigkeit von DORA auf: die marktbe-herrschende Stellung von Hypersalern. Jedoch ist die Ausgangslage vorliegend eine andere, denn es gibt ein viel breiteres Angebot für nicht-IKT Dienstleistungen (z.B. Buchhaltung, HR) und die Ab-hängigkeit von z.B. sehr großen global aktiven IT-Dienstleistern ist bei weitem nicht so stark. Dadurch wird es unwahrscheinlicher, dass mehrere Finanzinstitute durch den Ausfall eines Drittan-bieters ausfallen könnten und somit die Finanzmarktstabilität ins Wanken kommen würde. Es sei dahingestellt, ob die Finanzmarktstabilität durch den Ausfall beispielsweise eines Buchhalter-Drittdienstleisters selbst bei einer hohen Konzentration im Finanzmarkt überhaupt tangiert werden würde. Die EBA-Leitlinien tragen diesem auch insofern Rechnung als dass eine Regelung wie Art. 31 DORA fehlt – da für einen solchen Eingriff mit extraterritorialem Effekt aber auch ein Gesetz (z.B. eine EU-Verordnung) erforderlich wäre, ist die Nichtregelung in einer Level-3-Richtlinie konsequent.<h3>Anwendungsbereich</h3>Der Anwendungsbereich der EBA-Leitlinie erstreckt sich auf Kreditinstitute gemäß der Richtlinie 2013/36/EU ("CRD"), Wertpapierfirmen, aktuell mit Ausnahme kleiner und nicht vernetzter Institute, Zahlungsinstitute und E-Geld-Institute, Emittenten von Asset-Referenced-Token gemäß der Verord-nung (EU) 2023/1114 ("MiCAR"), sowie Kreditgeber im Sinne von Artikel 4 Nummer 2 der Richtlinie 2014/17/EU ("MCD") (im Folgenden zusammenfassend als "Finanzinstitute" bezeichnet).Die Leitlinien richten sich nicht direkt an Kreditvermittler oder Kontoinformationsdienstleister. Auch Versicherungen sind nicht erfasst.Hinweis: Die EBA möchte mit ihren Leitlinien im Hinblick auf die Geltung von DORA für IKT-Dienstleistungen gleiche Wettbewerbsbedingungen für nicht IKT-bezogene Dienstleistungen gewähr-leisten und die Konvergenz der Aufsicht fördern (siehe EBA-Leitlinien S. 10 Rn. 15). Es ist damit eher eine Frage der Zeit, bis auch EIOPA sich diesem Thema für den Versicherungssektor anneh-men wird.Die EBA-Leitlinien sollen nach aktuellem Entwurf nicht für kleine und nicht vernetzte Institute gel-ten, was zu begrüßen ist. Es wurden jedoch schon Stimmen laut, dass entgegen des Proportionali-tätsgrundsatzes mitunter auch diese in den Anwendungsbereich einbezogen werden sollen, nach dem Motto: "same risk – same rules".Die EBA-Leitlinie soll für sämtliche Vereinbarungen zwischen einem Finanzinstitut und Drittpar-teien gelten, bei denen Funktionen oder Dienstleistungen – insbesondere kritische oder wichtige Funktionen – ausgelagert oder in sonstiger Weise von Dritten erbracht werden. Dabei fällt die Erbrin-gung von IKT-Dienstleistungen nicht in den Anwendungsbereich dieser Leitlinie, denn diese sind Ge-genstand der DORA. Vom Anwendungsbereich umfasst sind demzufolge, nicht IKT-bezogene Dienst-leistungen eines Drittanbieters unabhängig davon, ob diese Dienstleistung von einem externen oder einem konzerninternen Drittanbieter erbracht wird.Besonders hervorzuheben ist, dass die Leitlinie auf Vereinbarungen jeglicher Form zwischen einem Finanzinstitut und einem Drittanbieter, über die Erbringung einer oder mehrerer Funktionen für das Finanzinstitut anwendbar sein soll und damit deutlich über die Auslagerungsrichtlinien hinausgehen wird. Auslagerungsvereinbarungen stellen lediglich einen Teilbereich der Drittanbieter-Vereinbarungen dar (siehe S. 20 Rn. 16, Stichwort " Third-party arrangement").Hinweis: Zwar erkennt die EBA an, dass Finanzinstitute über konzerninterne Drittanbieter ein höhe-res Maß an Kontrolle ausüben können. Dies können Finanzinstitute bei der Risikobewertung berück-sichtigen, ändert jedoch nichts am initialen Anforderungsumfang an das Risikomanagement.

Der Entwurf der "Guidelines on the sound management of third-party risk" der Europäischen Banken-aufsichtsbehörde (EBA) vom 08. Juli 2025 markiert neben der Verordnung über die digitale operatio-nale Resilienz im Finanzsektor (Verordnung (EU) 2022/2554, "DORA") einen weiteren Paradigmen-wechsel für das Management von Drittparteienrisiken.

Während DORA seit Beginn des Jahres gilt und auf die Steuerung und Kontrolle der Nutzung von Informations- und Kommunikationstechnologie (IKT) durch Drittparteien abzielt, nimmt die neue EBA-Leitlinie ausdrücklich die nicht-IKT bezogenen Risiken der Nutzung Dritter in den Blick. Dadurch wird die strukturelle Zweiteilung des Third-Party-Risk-managements (TRPM) etabliert: Während die IKT-bezogenen Dienstleistungen den Anforderungen der DORA unterliegen (Level 1!), soll für die nicht-IKT bezogenen Dienstleistungen die EBA-Leitlinie geschaffen werden (Level 3!).

Wird diese so wie in der Konsultation geplant umgesetzt (einschließlich der Ersetzung der Auslage-rungs-Richtlinien), hat dies ganz erhebliche Auswirkungen auf den europäischen und deutschen Fi-nanzmarkt. Insbesondere führt dies – wie bei DORA – dazu, dass Risiken bei Nutzung jedweder Ser-vicepartner (einschließlich Intragroup) (neu) bewertet und kategorisiert sowie Verträge überprüft und ggf. angepasst werden müssen. Diesmal stehen damit nicht "nur" IKT-relevante Vertragsbeziehungen auf dem Prüfstand, sondern alle Vereinbarungen über Dienstleistungen mit konzerninternen oder ex-ternen Drittanbietern, unabhängig davon ob diese die Schwelle der Auslagerung überschreiten oder nicht. EBA spricht hier von: "This increased reliance on TPSPs requires an evolution of the traditional notion of outsourcing to the broader scope of TPSP arrangements." Tatsächlich handelt es sich eher um einen Asterorideneinschlag als um eine Evolution.

Rechtliche Grundlage

Für die Erbringung von IKT-Dienstleistungen durch Drittparteien regelt die DORA als Basisrechtsakt (Level 1) die grundlegenden Anforderungen an das Management von Drittanbieterrisken und ist Er-mächtigungsgrundlagen für die Konkretisierung durch delegierte Rechtsakte, namentlich technische Regulierungsstandards (Regulatory Technical Standard, RTS) und technische Durchführungsstan-dards (Implementing Technical Standard, ITS) (Level 2) sowie gemeinsame Leitlinien (Joint Guidelines) der drei Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA - ESAs) (Level 3).

Im Gegensatz dazu handelt es sich bei dem Entwurf EBA Leitlinien für ein solides Management von nicht-IKT bezogenen Drittparteienrisiken bereits um eine EBA-Leitlinie, d.h. um eine Level 3-Regelung.

Hinweis: Für die Adressaten der EBA-Leitlinie hat dies zur Folge, dass – anders als bei der Umset-zung der DORA-Anforderungen – keine weiteren, konkretisierende Anforderungen durch RTS, ITS oder weitere Leitlinien hinzutreten können, da es sich hierbei bereits um eine Level 3-Regelung han-delt, die lediglich schon bestehende Regelungen auf Level 1 und Level 2 konkretisieren soll. Vorlie-gend fusst EBA die Level-3 Leitlinien auf die Governanceregelungen für Banken und Wertpapier-dienstleister – die Versicherungen sind aktuell (noch) nicht erfasst.

Als Ermächtigungsgrundlage für den Entwurf der Leitlinie gibt die EBA im Bankenbereich Artikel 74 Absatz 3 der Richtlinie 2013/36/EU ("CRD") an, der sie dazu verpflichtet, die Governance-Regelungen, -Prozesse und -Mechanismen von Instituten in der gesamten EU weiter zu harmonisieren. Darüber hinaus verweist die EBA auf Artikel 11 der Richtlinie (EU) 2015/2366/EU ("PSD2"), Artikel 26 der Richt-linie 2019/2034/EU ("IFD"), Artikel 16 der Richtlinie (EU) 2014/65 ("MiFID II"), Artikel 34 der Verord-nung (EU) 2023/1114 ("MiCAR") und Artikel 16 der Verordnung (EU) Nr. 1093/2010 (EBA-Richtlinie).

Hinweis: Insbesondere die Kompetenz der EBA im Hinblick auf die Regelung für Wertpapierfirmen unter der MiFID II ist in Frage zu stellen.

Grundsätzlich ist die ESMA für Wertpapierfirmen zuständig. In Absprache mit der ESMA kann die EBA im Sinne einer umfassenden, einheitlichen und wirksamen Aufsicht das Mandant der ESMA Ausüben. Hierfür müsste jedoch die ESMA (bzw. die EBA) in der MiFID II eine Befugnis zur Rege-lung auch zur Konkretisierung der Governanceregelungen erhalten haben.

Geht man davon aus, dass die MiFID II der EBA mit der Zustimmung der ESMA tätig wird, bezieht sich diese auf die Auslagerung von operativen Funktionen, da Artikel 16 MiFID II nur auf die Ausla-gerung hinweist (nicht aber allgemein auf Drittparteienrisiken).. Das bedeutet, es steht in Frage, ob damit überhaupt Leitlinien für alle Vereinbarungen mit Drittparteien erlassen werden sein können, wenn doch die Auslagerung nur ein Teilbereich der Drittparteienvereinbarungen darstellt (siehe EBA-Leitlinien S. 20 Rn. 16, Stichwort " Third-party arrangement"). Jedenfalls gehen die Voraussetzung der EBA-Leitlinien u.E. in den Fällen über die in der MiFID II enthaltenen Anforderungen an Wertpa-pierfirmen hinaus, wenn sie Aspekte der Organisationsstruktur von Wertpapierfirmen regelt.

Zielsetzung der Leitlinien

Mit der Leitlinie verfolgt die EBA das Ziel, die Governance und das Risikomanagement von Drittpar-teibeziehungen im Finanzsektor zu harmonisieren, um gleiche Wettbewerbsbedingungen zu gewähr-leisten und die Konvergenz der Aufsicht zu fördern (auch wenn für die Erfassung auch der Versiche-rungen eine ESA-Guideline erforderlich wäre). Dadurch soll sichergestellt werden, dass die Adressa-ten jederzeit in der Lage sind, die mit der Nutzung externer Dienstleister verbundenen Risiken (alle!) angemessen zu identifizieren, zu steuern, zu überwachen und zu begrenzen. Die EBA reagiert mit den Leitlinien auf die zunehmende Abhängigkeit der Institute von spezialisierten Drittanbietern, die zwar Effizienzgewinne und Flexibilität ermöglichen, aber auch neue Risiken mit sich bringen – etwa Kon-zentrationsrisiken oder den Verlust der Steuerungsfähigkeit von Kernfunktionen.

Hinweis: Zu den berücksichtigenden Risiken gehören laut EBA unter anderem auch Konzentrations-risiken, die durch die Erbringung kritischer oder wichtiger Funktionen durch eine begrenzte Anzahl von Drittparteien oder mit eng verbundenen Drittparteien (Intra-group) entsteht (siehe S. 11 f. Rn. 21). Damit greift sie das wesentliche Argument für die Notwendigkeit von DORA auf: die marktbe-herrschende Stellung von Hypersalern. Jedoch ist die Ausgangslage vorliegend eine andere, denn es gibt ein viel breiteres Angebot für nicht-IKT Dienstleistungen (z.B. Buchhaltung, HR) und die Ab-hängigkeit von z.B. sehr großen global aktiven IT-Dienstleistern ist bei weitem nicht so stark. Dadurch wird es unwahrscheinlicher, dass mehrere Finanzinstitute durch den Ausfall eines Drittan-bieters ausfallen könnten und somit die Finanzmarktstabilität ins Wanken kommen würde. Es sei dahingestellt, ob die Finanzmarktstabilität durch den Ausfall beispielsweise eines Buchhalter-Drittdienstleisters selbst bei einer hohen Konzentration im Finanzmarkt überhaupt tangiert werden würde. Die EBA-Leitlinien tragen diesem auch insofern Rechnung als dass eine Regelung wie Art. 31 DORA fehlt – da für einen solchen Eingriff mit extraterritorialem Effekt aber auch ein Gesetz (z.B. eine EU-Verordnung) erforderlich wäre, ist die Nichtregelung in einer Level-3-Richtlinie konsequent.

Anwendungsbereich

Der Anwendungsbereich der EBA-Leitlinie erstreckt sich auf Kreditinstitute gemäß der Richtlinie 2013/36/EU ("CRD"), Wertpapierfirmen, aktuell mit Ausnahme kleiner und nicht vernetzter Institute, Zahlungsinstitute und E-Geld-Institute, Emittenten von Asset-Referenced-Token gemäß der Verord-nung (EU) 2023/1114 ("MiCAR"), sowie Kreditgeber im Sinne von Artikel 4 Nummer 2 der Richtlinie 2014/17/EU ("MCD") (im Folgenden zusammenfassend als "Finanzinstitute" bezeichnet).Die Leitlinien richten sich nicht direkt an Kreditvermittler oder Kontoinformationsdienstleister. Auch Versicherungen sind nicht erfasst.

Hinweis: Die EBA möchte mit ihren Leitlinien im Hinblick auf die Geltung von DORA für IKT-Dienstleistungen gleiche Wettbewerbsbedingungen für nicht IKT-bezogene Dienstleistungen gewähr-leisten und die Konvergenz der Aufsicht fördern (siehe EBA-Leitlinien S. 10 Rn. 15). Es ist damit eher eine Frage der Zeit, bis auch EIOPA sich diesem Thema für den Versicherungssektor anneh-men wird.

Die EBA-Leitlinien sollen nach aktuellem Entwurf nicht für kleine und nicht vernetzte Institute gel-ten, was zu begrüßen ist. Es wurden jedoch schon Stimmen laut, dass entgegen des Proportionali-tätsgrundsatzes mitunter auch diese in den Anwendungsbereich einbezogen werden sollen, nach dem Motto: "same risk – same rules".

Die EBA-Leitlinie soll für sämtliche Vereinbarungen zwischen einem Finanzinstitut und Drittpar-teien gelten, bei denen Funktionen oder Dienstleistungen – insbesondere kritische oder wichtige Funktionen – ausgelagert oder in sonstiger Weise von Dritten erbracht werden. Dabei fällt die Erbrin-gung von IKT-Dienstleistungen nicht in den Anwendungsbereich dieser Leitlinie, denn diese sind Ge-genstand der DORA. Vom Anwendungsbereich umfasst sind demzufolge, nicht IKT-bezogene Dienst-leistungen eines Drittanbieters unabhängig davon, ob diese Dienstleistung von einem externen oder einem konzerninternen Drittanbieter erbracht wird.

Besonders hervorzuheben ist, dass die Leitlinie auf Vereinbarungen jeglicher Form zwischen einem Finanzinstitut und einem Drittanbieter, über die Erbringung einer oder mehrerer Funktionen für das Finanzinstitut anwendbar sein soll und damit deutlich über die Auslagerungsrichtlinien hinausgehen wird. Auslagerungsvereinbarungen stellen lediglich einen Teilbereich der Drittanbieter-Vereinbarungen dar (siehe S. 20 Rn. 16, Stichwort " Third-party arrangement").

Hinweis: Zwar erkennt die EBA an, dass Finanzinstitute über konzerninterne Drittanbieter ein höhe-res Maß an Kontrolle ausüben können. Dies können Finanzinstitute bei der Risikobewertung berück-sichtigen, ändert jedoch nichts am initialen Anforderungsumfang an das Risikomanagement.

Das bedeutet, es werden nicht – wie bisher1  – nur Auslagerungsvereinbarungen von der EBA-Leitlinie umfasst, sondern auch jede, in sonstiger Weise erbrachte nicht IKT-bezogene Dienstleistung durch einen Drittanbieter. Darunter fallen somit auch Dienstleistungen ohne wesentlichen Einfluss auf das Risikoprofil und die Resilienz einen Finanzinstituts, wie die Beschaffung von Büromaterialien oder der Vertrag mit dem Reinigungsunternehmen für Reinigung der Büroflächen; diese dürften aber zumindest nicht als kritisch gelten, so dass "nur" vereinfachte Anforderungen gelten, die ähnlich sind, wie die aktuellen in Bezug auf eine ordnungsgemäße Geschäftsorganisation.Hinweis: Es stellt sich die Frage, ob eine über die Auslagerung hinausgehende Regelung aller Ver-einbarungen mit nicht-IKT bezogenen Drittparteien im Hinblick auf die daraus entstehenden bzw. gerade nicht entstehenden wesentlichen operationellen Risiken überhaupt erforderlich ist. Gegebe-nenfalls könnte eine Anpassung der Auslagerungsleitlinie der EBA ebenso zielführend sein.<h3>Wesentliche Anforderungen der EBA-Leitlinie</h3>Im Allgemeinen ähneln die Anforderungen der EBA-Leitlinie jenen der DORA in Bezug auf IKT-Dienstleistungen und den Leitlinien zur Auslagerung. Dabei handelt es sich um folgende Kernaspekte:Fokus auf kritische und wichtige Funktionen: Zentrales Merkmal ist wie bei DORA die Identifikation und Bewertung kritischer oder wichtiger Funktionen, unabhängig davon, ob diese operativ, strate-gisch oder technisch relevant sind. Eine Funktion gilt als kritisch oder wichtig, wenn ihre Störung zu wesentlichen Beeinträchtigungen der Betriebsfähigkeit, Finanzlage oder regulatorischen Konformität führen könnte. Die Harmonisierung der Begriffsdefinition zielt darauf ab, eine einheitliche Bewertung kritischer Funktionen in IKT- und nicht-IKT-Bereichen sicherzustellen. Die Ableitung erfolgt aus dem Geschäftsmodell des Instituts und nicht mehr nur anhand zeitlicher oder operativer Kritikalität. Diese funktionsbasierte Risikobewertung wird zur strategischen Aufgabe und muss auf Vorstandsebene verantwortet und dokumentiert werden. Die Guideline fordert eine umfassende Risikoanalyse, die alle mit der Auslagerung verbundenen Risiken abdeckt, und verlangt eine detaillierte Due-Diligence-Prüfung vor Vertragsabschluss.Due Diligence vor Vertragsschluss: Vor Aufnahme einer Geschäftsbeziehung mit einer (jeder!) Dritt-partei ist eine umfassende Due-Diligence-Prüfung durchzuführen. Diese umfasst eine systematische Risikoanalyse, Eignungsbewertung und regulatorische Überprüfung des potenziellen Dienstleisters. Besonders kritisch ist dies bei Funktionen, die als wichtig oder kritisch eingestuft werden.Vertragliche Anforderungen: Drittparteiverträge müssen vergleichbar mit DORA eindeutige und de-taillierte Regelungen enthalten – insbesondere zu Leistungsumfang, Ort der Leistungserbringung Zu-griffsrechten, Informationspflichten, Prüfungsrechten, Kündigungsmöglichkeiten und Exit-Bedingungen. Auch die Leistung, die von Subdienstleistern für wesentliche oder kritische Dienste erbracht wird, muss vertraglich präzise geregelt und so ausgestaltet sein, dass wesentliche Änderun-gen an den Vereinbarungen zwischen Dienstleister und Subdienstleister der vorherigen Genehmigung oder dem Ausbleiben eines Widerspruchs durch die Finanzinstitution bedürfen. Die vertraglichen An-forderungen sind inhaltlich gleich mit den DORA-Anforderungen – wer in den DORA-Projekten ver-handelt weiß, dass selbst große Unternehmen mit der Implementierung (insbesondere "down the chain obligations" Schwierigkeiten hatten oder aufgefordert worden sind, die Kosten der Umsetzung zu tragen.Governance und Kontrollmechanismen: Zudem wird die Professionalisierung der Governance und Risikosteuerung verlangt. Dazu gehören klare Verantwortlichkeiten für jede Drittparteienbeziehung, die Einführung risikobasierter Kontrollsysteme, kontinuierliche Performance-Überwachung und strukturier-te Risikoberichte. Die Verträge mit Drittparteien müssen präzise Regelungen zu Leistungsumfang, Kontrollrechten, Auditmöglichkeiten und Exit-Strategien enthalten. Insbesondere bei kritischen oder wichtigen Funktionen sind regelmäßige Audits und die vertragliche Absicherung von Prüfungsrechten – auch bei Subunternehmern – vorgeschrieben.Informationsregister und Berichterstattung: Die Berichterstattung wird unter der EBA-Leitlinie struk-turierter und muss sowohl für interne Governance-Zwecke als auch für die Aufsicht verfügbar sein. Im Gegensatz zu DORA, das ein zentrales Register für alle IKT-Dienstleister und direkte Meldepflichten bei Vorfällen vorsieht, ist die EBA-Guideline flexibler und orientiert sich am Proportionalitätsprinzip.Vergleich zu MaRisk AT 9: Gegenüber den bisherigen Anforderungen der MaRisk AT 9 erweitert die EBA-Guideline den Fokus von der reinen Auslagerung auf sämtliche Drittparteienbeziehungen. Für deutsche Institute bedeutet dies eine tiefgreifende Re-Evaluation der bestehenden Auslagerung-Governance und eine stärkere Integration des Drittparteienrisikomanagements in ihre Gesamtstrategie.<h3>Ausblick</h3>Bis zum Ende der Konsultationsphase am 8. Oktober 2025 können Finanzinstitute und Branchenver-treter ihre Stellungnahmen zu dem Entwurf bei der EBA einreichen. Die finale Fassung der Leitlinie wird bis April 2026 veröffentlicht. Die BaFin hat zwei Monate nach der Veröffentlichung der Leitlinie entschieden, ob sie dieser nachkommt oder nachzukommen beabsichtigt. Die Anwendung der Leitli-nie der EBA in der dann finalen Fassung durch die BaFin ist zu erwarten.Für neue Vereinbarungen mit Drittanbietern gilt die Leitlinie ab dem Datum des Inkrafttretens. Beste-hende Vereinbarungen mit (konzerneigenen) Drittanbietern müssen innerhalb einer Übergangsfrist von zwei Jahren nach Inkrafttreten der Leitlinien die erforderlichen Anpassungen vornehmen (einschließlich Risikoüberprüfung).Egal ob Evolution, Revolution oder Asteroideneinschlag: Der Erlass einer weiteren Level-3-Leitlinie zum aktuellen Zeitpunkt, wo Politik und Markt nach einem Bürokratieabbau rufen, ist nicht zweckdien-lich. Zudem stellt sich die Frage, ob sich in den nunmehr erfassten Bereichen (d.h. Nicht-IKT, nicht bereits geregelte Auslagerung) überhaupt ein relevantes Risiko zeigen kann; bislang ist ein solches nicht ersichtlich geworden.Wir werden nach Veröffentlichung der halbwegs finalen EBA-Leitlinie die einzelnen Regelungsbereiche in weiteren Client Papers im Detail beleuchten. Sprechen Sie uns an.<div class="rte-footnote"> <hr /><ol><li><a rel="noopener noreferrer" href="https://www.eba.europa.eu/sites/default/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA revised Guidelines on outsourcing arrangements.pdf" target="_blank">Final Report on EBA Guidelines on outsourcing arrangements</a>, 25 February 2019.</li></ol></div>

Das bedeutet, es werden nicht – wie bisher¹ – nur Auslagerungsvereinbarungen von der EBA-Leitlinie umfasst, sondern auch jede, in sonstiger Weise erbrachte nicht IKT-bezogene Dienstleistung durch einen Drittanbieter. Darunter fallen somit auch Dienstleistungen ohne wesentlichen Einfluss auf das Risikoprofil und die Resilienz einen Finanzinstituts, wie die Beschaffung von Büromaterialien oder der Vertrag mit dem Reinigungsunternehmen für Reinigung der Büroflächen; diese dürften aber zumindest nicht als kritisch gelten, so dass "nur" vereinfachte Anforderungen gelten, die ähnlich sind, wie die aktuellen in Bezug auf eine ordnungsgemäße Geschäftsorganisation.

Hinweis: Es stellt sich die Frage, ob eine über die Auslagerung hinausgehende Regelung aller Ver-einbarungen mit nicht-IKT bezogenen Drittparteien im Hinblick auf die daraus entstehenden bzw. gerade nicht entstehenden wesentlichen operationellen Risiken überhaupt erforderlich ist. Gegebe-nenfalls könnte eine Anpassung der Auslagerungsleitlinie der EBA ebenso zielführend sein.

Wesentliche Anforderungen der EBA-Leitlinie

Im Allgemeinen ähneln die Anforderungen der EBA-Leitlinie jenen der DORA in Bezug auf IKT-Dienstleistungen und den Leitlinien zur Auslagerung. Dabei handelt es sich um folgende Kernaspekte:

Fokus auf kritische und wichtige Funktionen: Zentrales Merkmal ist wie bei DORA die Identifikation und Bewertung kritischer oder wichtiger Funktionen, unabhängig davon, ob diese operativ, strate-gisch oder technisch relevant sind. Eine Funktion gilt als kritisch oder wichtig, wenn ihre Störung zu wesentlichen Beeinträchtigungen der Betriebsfähigkeit, Finanzlage oder regulatorischen Konformität führen könnte. Die Harmonisierung der Begriffsdefinition zielt darauf ab, eine einheitliche Bewertung kritischer Funktionen in IKT- und nicht-IKT-Bereichen sicherzustellen. Die Ableitung erfolgt aus dem Geschäftsmodell des Instituts und nicht mehr nur anhand zeitlicher oder operativer Kritikalität. Diese funktionsbasierte Risikobewertung wird zur strategischen Aufgabe und muss auf Vorstandsebene verantwortet und dokumentiert werden. Die Guideline fordert eine umfassende Risikoanalyse, die alle mit der Auslagerung verbundenen Risiken abdeckt, und verlangt eine detaillierte Due-Diligence-Prüfung vor Vertragsabschluss.

Due Diligence vor Vertragsschluss: Vor Aufnahme einer Geschäftsbeziehung mit einer (jeder!) Dritt-partei ist eine umfassende Due-Diligence-Prüfung durchzuführen. Diese umfasst eine systematische Risikoanalyse, Eignungsbewertung und regulatorische Überprüfung des potenziellen Dienstleisters. Besonders kritisch ist dies bei Funktionen, die als wichtig oder kritisch eingestuft werden.

Vertragliche Anforderungen: Drittparteiverträge müssen vergleichbar mit DORA eindeutige und de-taillierte Regelungen enthalten – insbesondere zu Leistungsumfang, Ort der Leistungserbringung Zu-griffsrechten, Informationspflichten, Prüfungsrechten, Kündigungsmöglichkeiten und Exit-Bedingungen. Auch die Leistung, die von Subdienstleistern für wesentliche oder kritische Dienste erbracht wird, muss vertraglich präzise geregelt und so ausgestaltet sein, dass wesentliche Änderun-gen an den Vereinbarungen zwischen Dienstleister und Subdienstleister der vorherigen Genehmigung oder dem Ausbleiben eines Widerspruchs durch die Finanzinstitution bedürfen. Die vertraglichen An-forderungen sind inhaltlich gleich mit den DORA-Anforderungen – wer in den DORA-Projekten ver-handelt weiß, dass selbst große Unternehmen mit der Implementierung (insbesondere "down the chain obligations" Schwierigkeiten hatten oder aufgefordert worden sind, die Kosten der Umsetzung zu tragen.

Governance und Kontrollmechanismen: Zudem wird die Professionalisierung der Governance und Risikosteuerung verlangt. Dazu gehören klare Verantwortlichkeiten für jede Drittparteienbeziehung, die Einführung risikobasierter Kontrollsysteme, kontinuierliche Performance-Überwachung und strukturier-te Risikoberichte. Die Verträge mit Drittparteien müssen präzise Regelungen zu Leistungsumfang, Kontrollrechten, Auditmöglichkeiten und Exit-Strategien enthalten. Insbesondere bei kritischen oder wichtigen Funktionen sind regelmäßige Audits und die vertragliche Absicherung von Prüfungsrechten – auch bei Subunternehmern – vorgeschrieben.

Informationsregister und Berichterstattung: Die Berichterstattung wird unter der EBA-Leitlinie struk-turierter und muss sowohl für interne Governance-Zwecke als auch für die Aufsicht verfügbar sein. Im Gegensatz zu DORA, das ein zentrales Register für alle IKT-Dienstleister und direkte Meldepflichten bei Vorfällen vorsieht, ist die EBA-Guideline flexibler und orientiert sich am Proportionalitätsprinzip.

Vergleich zu MaRisk AT 9: Gegenüber den bisherigen Anforderungen der MaRisk AT 9 erweitert die EBA-Guideline den Fokus von der reinen Auslagerung auf sämtliche Drittparteienbeziehungen. Für deutsche Institute bedeutet dies eine tiefgreifende Re-Evaluation der bestehenden Auslagerung-Governance und eine stärkere Integration des Drittparteienrisikomanagements in ihre Gesamtstrategie.

Ausblick

Bis zum Ende der Konsultationsphase am 8. Oktober 2025 können Finanzinstitute und Branchenver-treter ihre Stellungnahmen zu dem Entwurf bei der EBA einreichen. Die finale Fassung der Leitlinie wird bis April 2026 veröffentlicht. Die BaFin hat zwei Monate nach der Veröffentlichung der Leitlinie entschieden, ob sie dieser nachkommt oder nachzukommen beabsichtigt. Die Anwendung der Leitli-nie der EBA in der dann finalen Fassung durch die BaFin ist zu erwarten.

Für neue Vereinbarungen mit Drittanbietern gilt die Leitlinie ab dem Datum des Inkrafttretens. Beste-hende Vereinbarungen mit (konzerneigenen) Drittanbietern müssen innerhalb einer Übergangsfrist von zwei Jahren nach Inkrafttreten der Leitlinien die erforderlichen Anpassungen vornehmen (einschließlich Risikoüberprüfung).

Egal ob Evolution, Revolution oder Asteroideneinschlag: Der Erlass einer weiteren Level-3-Leitlinie zum aktuellen Zeitpunkt, wo Politik und Markt nach einem Bürokratieabbau rufen, ist nicht zweckdien-lich. Zudem stellt sich die Frage, ob sich in den nunmehr erfassten Bereichen (d.h. Nicht-IKT, nicht bereits geregelte Auslagerung) überhaupt ein relevantes Risiko zeigen kann; bislang ist ein solches nicht ersichtlich geworden.

Wir werden nach Veröffentlichung der halbwegs finalen EBA-Leitlinie die einzelnen Regelungsbereiche in weiteren Client Papers im Detail beleuchten.

Sprechen Sie uns an.

Final Report on EBA Guidelines on outsourcing arrangements, 25 February 2019.

EBA Leitlinie zum nicht-IKT bezogenen Drittpar-teienrisiko – Evolution oder Asteroideneinschlag?

Rechtliche Grundlage

Zielsetzung der Leitlinien

Anwendungsbereich

Wesentliche Anforderungen der EBA-Leitlinie

Ausblick

Key Contacts

Detmar Loff

Tobias Bauerfeind

Natalie Fischer

Nadja Reiß