LLegal

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement 1/2

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement • Teil 1: Überblick über die wichtigsten Neuerungen
0
Shares
0
0
0
0
0
0

Teil 1: Überblick über die wichtigsten Neuerungen

Am 08.07.2025 hat die European Banking Authority (EBA) ihr neues Konsultationspapier über Richtlinien zum soliden Management von Drittparteienrisiken (Draft „Guidelines on the sound management of third-party risk“) veröffentlicht. Mit diesem Entwurf wird ein deutlicher Schritt über die bisherigen Outsourcing Guidelines aus dem Jahr 2019 hinaus vollzogen.

Die Neuerungen sind weitreichend: Sowohl der Anwendungsbereich als auch die Tiefe der Anforderungen wurden erheblich erweitert. Ziel ist die Schaffung eines kohärenten, europaweit einheitlichen Rahmens für das Drittparteienrisikomanagement, der mit anderen Regelwerken – insbesondere dem Digital Operational Resilience Act (DORA)  – harmonisiert wird.

Dieser erste Teil unserer Analyse der neuen Guidelines zum Drittparteienmanagement gibt einen Überblick über die zentralen Inhalte und Neuerungen. In Teil 2 folgt anschließend eine Bewertung der praktischen Bedeutung für Finanzunternehmen.


Die wesentliche Neuerungen im Überblick:

Abgrenzung zu DORA: Nur Non-ICT-Services erfasst

Die neuen Guidelines gelten nur noch für Dienstleistungen, die nicht unter den Anwendungsbereich des DORA fallen. Das ist eine wesentliche Neuerung, denn in der Vergangenheit fanden die EBA-Guidelines auch für IKT-Dienstleistungen Anwendung. Mit dem geschärften Anwendungsbereich soll eine Doppelregulierung verhindert werden, denn DORA regelt bekanntlich bereits umfassend das Management des IKT-Drittdienstleisterrisikos.

Eine Besonderheit findet sich jedoch in Randziffer 31 des Konsultationsentwurfs: In einer Fußnote wird klargestellt, dass das Institut bei einer „non-ICT“-Dienstleistung, die zugleich Elemente von IKT-Dienstleistungen umfasst, selbst entscheiden muss, welche Vorgaben (DORA oder Guidelines) gelten. Maßgeblich ist dabei – so ausdrücklich der Wortlaut – die „Materialität“ des IKT-Anteils der Leistung („whether the use of ICT service is material for the provision of the services”).

Neue Terminologie

Die EBA reagiert mit den neuen Leitlinien auf die bislang bestehende Doppelregulierung im Bereich IT-Auslagerungen: Seit Inkrafttreten der DORA mussten verpflichtete Institute neben den DORA-Vorgaben auch die Outsourcing-Guidelines der EBA erfüllen. Um diese Überschneidungen zu entschärfen, führt die EBA nun neue Grundbegriffe ein:

Künftig knüpfen die Anforderungen an sogenannte „Third Party Arrangements“ (TPAs) an – ein übergreifender Begriff, der den bisherigen Terminus „Outsourcing“ ersetzt. Gleiches gilt für die Bezeichnung der Dienstleister: Diese werden nun als „Third Party Service Provider“ (TPSPs) definiert und ersetzen damit den bislang verwendeten Begriff „Service Provider“. Mit der Anpassung der Begriffe verfolgt die EBA das Ziel, die Terminologie mit anderen Regelwerken, etwa der DORA, zu harmonisieren und dadurch eine einheitliche Begriffswelt zu schaffen.

Erweiterter Anwendungsbereich

Eine der gravierendsten Änderungen betrifft den Anwendungsbereich der Guidelines: Künftig gelten die Leitlinien nicht nur für Kredit- und Wertpapierinstitute im Sinne der CRD IV sowie für Zahlungs- und E-Geldinstitute, sondern auch für

  • nicht der CRD unterfallende Wertpapierinstitute, soweit sie nicht klein und nicht verflochten im Sinne der Regulation (EU) 2019/2033 (IFR) sind,
  • Emittenten von Asset-Referenced Tokens nach MiCAR, die der Regulation (EU) 2023/1114 (MiCAR) unterfallen, und
  • Kreditgeber im Sinne der Wohnimmobilienkreditrichtlinie (Richtlinie 2014/17/EU (MCD)).

Erweiterter Regelungsgegenstand

Auch der Regelungsgegenstand der Guidelines wird erheblich ausgeweitet. Während sich die bisherigen Guidelines auf „Outsourcing Arrangements“ konzentrierten, sollen nunmehr alle TPAs erfasst sein. Damit wird auch der in der MaRisk bisher bekannte „sonstige Fremdbezug von Dienstleistungen“ mit den Auslagerungen gleichgestellt. Outsourcing ist zukünftig nur noch ein Unterfall des breiteren Begriffs des Third Party Arrangements.

Ausdrücklich ausgenommen bleiben bestimmte Dienstleistungen wie Abschlussprüfungen, Clearing oder globale Netzwerke. Dennoch: Für die Mehrheit der bisherigen Fremdbezüge (und insbesondere auch für Marktinformationsdienstleister, die bisher wohl nicht unter DORA fallen) bedeutet diese Ausweitung einen Sprung in die Regulierungspflicht.

Kritisch-wichtige Funktionen

Zentral ist nach wie vor die Frage, ob ein TPA als kritische oder wichtige Funktion einzustufen ist – diese Abgrenzung ist auch unter DORA maßgeblich. Von dieser Einstufung hängen sämtliche nachgelagerten Maßnahmen ab, etwa im Hinblick auf die Risikoanalyse, die vertragliche Ausgestaltung oder die Anforderungen an die Exit-Strategie. Die im Konsultationsentwurf enthaltene Definition bleibt im Wesentlichen unverändert und sorgt damit für eine weitgehende Harmonisierung mit DORA.

Governance und Verantwortung

Die EBA unterstreicht ausdrücklich, dass das Management-Board die Letztverantwortung für den Umgang mit Drittparteienrisiken trägt. Eine Delegation an einzelne Abteilungen entlastet nicht von der Gesamtverantwortung. Damit wird das Thema auf die strategische Agenda der Geschäftsleitungen gehoben. Institute sollen nicht nur operative Prozesse einrichten und eine TPA-Richtlinie (vormals Auslagerungsrichtlinie) vorhalten, sondern auch eine übergeordnete Third-Party-Strategie beschließen und überwachen.

Drittparteien-Register (TPA-Register)

In Angleichung an das nach DORA geforderte Informationsregister wird das bisherige Auslagerungsregister wird zum Third-Party-Arrangement-Register („TPA-Register“ oder auch „EBA-Register“) ausgebaut. Dieses Register dient als Grundlage sowohl für interne Überwachung als auch für die Aufsicht. Die inhaltlichen Anforderungen gehen dabei über das hinaus, was viele Institute bislang umgesetzt haben. Verpflichtende Inhalte in dem TPA-Register sind u.A.:

  • detaillierte Angaben zu Vertragstyp, Gruppenzugehörigkeit und Nutzung durch andere verbundene Unternehmen,
  • verpflichtende Kategorisierung der Dienstleistung anhand von Annex 1 der Guidelines,
  • zusätzliche Identifikationsmerkmale des Dienstleisters (LEI, EUID, Registernummer, USt-ID etc.),
  • Kostentransparenz, inklusive Schätzung jährlicher Kosten und Bezahlwährung,
  • Für Dienstleistungen, die kritische oder wichtige Funktionen betreffen, müssen die Angaben zur Exit-Strategie künftig detaillierter erfolgen: Es ist getrennt darzustellen, inwieweit eine Ersetzung oder eine Reintegration möglich ist und welche Kosten im Falle des Scheiterns der jeweiligen Alternative entstehen würden. Zudem sind die Gesamtkosten des Arrangements für das letzte Jahr sowie die verwendete Bezahlwährung offenzulegen.

Das TPA-Register wird so zu einem zentralen Aufsichtsinstrument.       Zu beachten ist, dass das TPA-Register nur noch TPAs ohne IKT-Dienstleistungen enthalten soll – auch, um eine mögliche Doppelmeldung an die Aufsicht zu vermeiden. Anders als im DORA-Informationsregister müssen TPAs bis zu fünf Jahre nach ihrer Kündigung weiterhin im TPA-Register gemeldet werden.

Konkretisierung der Aufgaben von Internal Audit

Die neuen Guidelines konkretisieren auch die Rolle der Internen Revision. Künftig muss sie risikobasiert insbesondere kritische und wichtige TPAs in ihren Prüfungsplan aufnehmen. Dabei hat sie sicherzustellen, dass das Rahmenwerk für das Drittparteienmanagement wirksam umgesetzt ist, die Einstufung von Funktionen und Risikoanalysen angemessen erfolgen und eine ausreichende Governance sowie laufende Überwachung besteht. Zudem verlangen die Leitlinien einen formalen Follow-up-Prozess, damit festgestellte Mängel zeitnah behoben werden.

Verschärfung der Anforderungen an die Risikoanalyse

In den neuen Guidelines werden die Anforderungen an die TPA-Risikoanalyse deutlich ausgeweitet und verschärft. Während bislang eine Bewertung der Risiken der Auslagerungen erforderlich war, verlangt der Entwurf nun eine ganzheitliche Betrachtung sämtlicher Risikodimensionen – einschließlich operationeller, rechtlicher, reputationsbezogener und konzentrationsbedingter Risiken.

Institute müssen prüfen, wie sich ein TPA auf ihre Fähigkeit auswirkt, Risiken zu identifizieren und zu steuern, regulatorische Vorgaben einzuhalten und Prüfungen durchzuführen. Ebenso sind Auswirkungen auf Kundenleistungen, die Größe und Komplexität betroffener Geschäftsbereiche sowie Skalierbarkeit und Übertragbarkeit (Substituierbarkeit) zu berücksichtigen.

Die Guidelines verpflichten auch zu einer Szenarioanalyse potenzieller Risikoevents, auch schwerwiegender operationeller Störungen. Dabei sollen Institute die Folgen unzureichender Leistungen sowie Risiken aus Prozessen, Systemen, Personal oder externen Ereignissen simulieren.  Es reicht außerdem nicht mehr, Risiken isoliert zu betrachten. Vielmehr sollen Institute Kosten und Vorteile eines Arrangements gegeneinander abwägen – einschließlich Konzentrationsrisiken (z.B. Abhängigkeit von schwer ersetzbaren TPSPs oder Mehrfachverträgen mit demselben Anbieter) sowie gruppenweiter aggregierter Risiken.

Im Rahmen der Anwendung des Proportionalitätsgrundsatzes dürfen kleinere Institute vereinfachte Verfahren für die Risikoanalysen nutzen, müssen aber die Ergebnisse dokumentieren. Größere Häuser haben dagegen umfassendere Methoden einzusetzen, etwa unter Einbeziehung interner und externer Schadensfalldaten

Vertragsgestaltung

Das bislang zwingend geltende Schriftformerfordernis entfällt und wird durch die Möglichkeit ersetzt, Verträge in elektronischer Form zu führen, sofern diese für alle Parteien dauerhaft zugänglich bleiben. Für die Umsetzung in deutsches Recht ist jedoch eine Anpassung von § 25b Abs. 3 Satz 3 KWG erforderlich.

Mit der Ausweitung des Anwendungsbereichs auf sämtliche TPAs verschärfen sich die Vorgaben nun auch für nicht-kritische bzw. nicht-wesentliche Auslagerungen und sonstige Fremdbezüge. Viele Anforderungen, die bislang ausschließlich für wesentliche Auslagerungen galten, finden künftig auch auf alle TPAs Anwendung. Lediglich wenige Pflichten – etwa die laufende Berichtspflicht des Dienstleisters, der Abschluss einer Haftpflichtversicherung, regelmäßige Tests von Notfallplänen sowie das uneingeschränkte Prüfungsrecht des Instituts und der Aufsichtsbehörden – bleiben weiterhin den TPAs vorbehalten, mit denen kritisch-wichtige Funktionen unterstützt werden.

Bei TPAs zur Unterstützung kritisch-wichtiger Funktionen werden die Prüfungsrechte der Institute und der Aufsichtsbehörden ausgeweitet. Dazu gehören nun ausdrücklich auch Onsite-Inspektionen sowie eine Kollisionsregel für den Fall, dass Rechte anderer Kunden berührt sind. Außerdem ist künftig verpflichtend eine Übergangsphase zu vereinbaren, in der der Dienstleister im Falle der Beendigung des Arrangements die Leistungen für einen bestimmten Zeitraum fortführt. Ein weiterer Schwerpunkt liegt auf den Exitplänen und Ausstiegsstrategien. Institute müssen sicherstellen, dass sie im Falle eines Ausfalls oder einer Beendigung einer Beziehung mit Dienstleistern zur Unterstützung von kritisch-wichtigen Funktionen handlungsfähig bleiben. Die Exitpläne sind nicht nur vorzuhalten, sondern auch regelmäßig zu testen – ein Punkt, der in der Praxis bislang häufig unterschätzt wurde.

Für die Unterauftragsvergabe von kritisch-wichtigen Funktionen stellt die EBA mit den neuen Leitlinien klar, dass die Verantwortung des Managements unabhängig von der Einschaltung von Unterauftragnehmern bestehen bleibt. Das Institut ist verpflichtet, die Risiken von Weiterverlagerungen holistisch zu steuern, zu mitigieren und zu überwachen.
Zudem verschärfen sich die Anforderungen an die Nutzung von pooled audits: Vor ihrer Anwendung müssen Institute eingehend prüfen, ob diese Prüfungen tatsächlich alle relevanten Informationen liefern, die sie zur Erfüllung ihrer eigenen Aufsichts- und Steuerungspflichten benötigen.

Drittlandbeziehungen

Bei der Inanspruchnahme von Dienstleistern aus Drittstaaten betont die EBA die Pflicht der Institute, die jeweilige lokale Rechtslage sorgfältig zu berücksichtigen. Dies gilt insbesondere für Anforderungen im Bereich Datenschutz, die häufig erhebliche Unterschiede zum EU-Recht aufweisen. Institute müssen sicherstellen, dass auch bei grenzüberschreitenden Arrangements ein gleichwertiges Schutzniveau gewährleistet ist.

 

Nächste Schritte und Fristen

  • Die öffentliche Konsultation zum Entwurf läuft noch bis zum 08.10.2025
  • Am 05.09.2025 fand eine öffentliche, virtuelle Anhörung der EBA statt. Aus den bislang verfügbaren Unterlagen ergibt sich jedoch nicht, wann genau mit dem Inkrafttreten der überarbeiteten Guidelines zu rechnen ist.
  • Nach ihrem Inkrafttreten gilt für die Institute eine Übergangsfrist von zwei Jahren: Innerhalb dieses Zeitraums müssen sämtliche TPAs an die neuen Vorgaben angepasst oder (falls dies nicht rechtzeitig möglich ist) der Aufsichtsbehörde gemeldet werden.

Mit den Änderungen setzt die EBA ein deutliches Signal: Das Management von Drittparteienrisiken wird künftig noch stärker reguliert, vereinheitlicht und in den Fokus der Aufsicht gerückt. Welche praktischen Folgen sich daraus für Banken, Zahlungs- und E-Geldinstitute ergeben und wo die größten Herausforderungen und Chancen liegen, beleuchten wir in Teil 2 dieser Artikelreihe

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like