Teil 2: Bewertung und Auswirkungen für Finanzunternehmen
Im ersten Teil unserer Analyse haben wir die zentralen Inhalte und Neuerungen des EBA-Konsultationsentwurfs zu den „EBA Guidelines on the sound management of third-party risk“ vorgestellt. Dabei wurde deutlich, dass die Leitlinien den bisherigen Outsourcing-Rahmen erheblich erweitern.
Inhaltsverzeichnis
In diesem zweiten Teil richten wir den Blick auf die praktischen Implikationen: Was bedeuten die neuen Vorgaben konkret für Banken, Zahlungs- und E-Geldinstitute sowie weitere betroffene Unternehmen? Wo entstehen die größten Herausforderungen – und welche Chancen ergeben sich durch die Harmonisierung mit DORA und anderen Regelwerken?
Handlungsempfehlungen
Die neuen EBA-Guidelines sind weit mehr als ein technisches Update. Sie verändern die Art und Weise, wie Institute ihre Drittparteienrisiken steuern müssen – sowohl auf strategischer als auch auf operativer Ebene. Um die zweijährige Übergangsfrist effektiv nutzen zu können, sollten Finanzunternehmen frühzeitig handeln und ihre bestehenden Strukturen anpassen. Besonders wichtig ist dabei, Doppelarbeiten zwischen den EBA-Leitlinien und DORA zu vermeiden und stattdessen ein integriertes Risikomanagement aufzubauen.
Konkret lassen sich aus den neuen Vorgaben folgende Handlungsfelder ableiten:
- Strategische Verankerung: Entwicklung oder Aktualisierung einer Third-Party-Strategie auf Vorstandsebene; klare Dokumentation der Leitungsverantwortung.
- Organisation und Prozesse: Anpassung der internen Richtlinien auf sämtliche Third Party Arrangements; Einrichtung klarer Schnittstellen zwischen DORA-IKT-Prozessen und den EBA-Leitlinien.
- Risikobewertung: Durchführung ganzheitlicher Risikoanalysen einschließlich rechtlicher, operationeller, reputationsbezogener und konzentrationsbedingter Risiken; Etablierung von Szenarioanalysen und Stresstests; Prüfung von Substituierbarkeit und Reintegration.
- Register und Dokumentation: Ausbau des bisherigen Auslagerungsregisters zum TPA-Register; Erfassung zusätzlicher Daten wie Kosten, Identifikationsmerkmale der Dienstleister und Kategorisierung nach Annex I; Verknüpfung mit dem DORA-Register prüfen, um Doppelmeldungen zu vermeiden.
- Vertragsgestaltung und Exit-Strategien: Anpassung bestehender Verträge an die neuen formalen und materiellen Anforderungen; Sicherstellung erweiterter Prüfungsrechte; vertragliche Vereinbarung von Übergangsphasen; detaillierte und getestete Exit-Strategien für TPAs, die kritisch-wichtige Funktionen unterstützen.
Diese Maßnahmen zeigen: Das Third-Party-Risk-Management wird künftig ein zentrales Steuerungsinstrument im aufsichtsrechtlichen Rahmenwerk der Institute. Wer die Übergangsfrist nutzt, um Lücken systematisch zu schließen, wird nicht nur regulatorisch auf der sicheren Seite sein, sondern kann auch interne Resilienz und Effizienz im Umgang mit externen Dienstleistern stärken.
Bedeutung für die Praxis:
Die neuen Leitlinien tragen dem Umstand Rechnung, dass sich regulierte Unternehmen in einem zunehmend komplexen Ökosystem von Dienstleistern bewegen. Die EBA greift Entwicklungen auf, die in den letzten Jahren an Relevanz gewonnen haben: die wachsende Abhängigkeit von externen Anbietern sowie die klare Erwartung der Aufsicht an eine ganzheitliche Resilienzstrategie.
Während DORA als EU-Verordnung einen verbindlichen, europaweit einheitlichen Rahmen für IKT-Drittparteienrisiken geschaffen hat, bleiben die EBA-Guidelines „nur“ Soft Law, das auf comply or explain-Basis von den nationalen Aufsichtsbehörden angewendet wird. Aus diesem Grund konzentrieren sich die neuen Leitlinien auf „Nicht-IKT-Dienstleistungen“, während DORA als lex specialis alle IKT-Leistungen erfasst.
Unschärfe bei der Abgrenzung
Die formale Zuständigkeitsabgrenzung mag auf den ersten Blick Vorteile bringen: Für Auslagerungen im IKT-Bereich gilt eindeutig DORA, für alle anderen Dienstleistungen gelten die EBA-Guidelines. Doch in der Praxis überwiegen die Nachteile:
Die parallele Umsetzung zweier Regimes verursacht erheblichen Mehraufwand für die betroffenen Finanzunternehmen: Prozesse müssen an zwei Normwerken ausgerichtet, laufend koordiniert und dokumentiert werden. Überschneidungen – etwa bei Due Diligence, Vertragsgestaltung oder Überwachung – führen zu Doppelarbeit und Unsicherheiten.
Erschwert wird dies durch die in der Praxis kaum handhabbare Trennung in IKT- und Nicht-IKT-Dienstleistungen: Moderne Dienstleistungen sind meist digital durchdrungen und lassen sich nicht eindeutig zuordnen. Die Verantwortung für die richtige Einstufung liegt allein bei den Instituten – bei unklarer Definition und ohne klare Abgrenzung durch die Aufsicht. Selbst die EBA gerät bei der Abgrenzung ins Straucheln: Annex I der neuen Leitlinien sollen Nicht-IKT-Dienstleistungen näher konkretisieren, listet aber (nicht abschließend) fast ausschließlich hybride Dienstleistungen auf, die sich nicht ohne Weiteres einem der beiden Regimes zuordnen lassen.
Gefahr der Zersplitterung des Risikomanagements
Diese regulatorische Aufspaltung birgt die Gefahr, dass Institute Risiken getrennt betrachten und damit Brüche im Risiko- und Kontrollverständnis entstehen. Damit droht ein Auseinanderfallen von IKT-Drittparteien-Risikomanagement einerseits und sonstigem Drittparteien-Risikomanagement andererseits.
Die EBA fordert zwar selbst ein holistisches, institutseinheitliches Risikomanagement, schafft aber durch die Trennung in IKT- und Nicht-IKT-Dienstleistungen faktisch die Grundlage für organisatorische Silo-Strukturen. Für die Institute bedeutet das: überlappende Anforderungen, Redundanzen in der Umsetzung und ein erheblicher Interpretationsbedarf – allesamt reale Umsetzungsrisiken, die auch zu aufsichtsrechtlichen Maßnahmen führen können.
Auswirkung auf nationaler Ebene
Die Vorgaben der neuen Guidelines müssten jeweils in nationales Recht integriert werden, was in Deutschland z.B. über § 25b KWG erfolgen könnte. Dieser sieht die Unterscheidung zwischen IKT- und Nicht-IKT-Dienstleistungen bislang nicht vor. Andererseits ist der praktische Bedarf für eine Klärung des Verhältnisses zwischen der Regulierung der IKT-Drittdienstleistungsverhältnisse durch DORA und des Outsourcings durch die anderen Regulierungen unabweisbar.
Darüber hinaus erscheint eine Überarbeitung des AT 9 der diversen MaRisk unvermeidlich. Der von der BaFin erst im August 2025 konsultierte Entwurf für Wertpapierinstitute orientiert sich noch strikt am bisherigen AT 9 und wirkt damit bereits überholt. Offen bleibt, ob die BaFin ihre Vorgaben künftig stärker an den EBA-Guidelines ausrichten und eigene nationale Besonderheiten zurücknehmen wird.
Ausblick
Mit ihrer Unterscheidung zwischen IKT- und Nicht-IKT-Dienstleistungen folgt die EBA der Linie anderer europäischer Aufsehen, etwa den unter dem 12. 06.2025 veröffentlichten „Principles on third-party risks supervision“ der ESMA, und greift zudem Forderungen aus der Praxis auf. In ihrem Konsultationspapier zur Überarbeitung ihrer Guidelines on Internal Governance vom 07.08.2025 hat die EBA noch einmal nachgelegt und auch dort die entsprechende Abgrenzung neu eingefügt. Mithin ist davon auszugehen, dass dieser Weg auf jeden Fall weiter beschritten werden wird.
Offen bleibt jedoch, wie schnell die überarbeiteten Guidelines tatsächlich in Kraft treten. Angesichts der laufenden Konsultationsfrist und der geplanten zweijährigen Übergangsfrist ist absehbar, dass Institute frühzeitig mit den Vorbereitungen beginnen müssen. Die größte Herausforderung dürfte dabei in der Abgrenzungspraxis liegen: Welche Dienstleistungen fallen unter DORA, welche unter die EBA-Leitlinien – und wie lassen sich Doppelstrukturen vermeiden?
Langfristig wird sich zeigen, ob die Aufsicht bei der starren Trennung zwischen IKT- und Nicht-IKT-Dienstleistungen bleibt oder ob sich ein integrierter Ansatz durchsetzt, der sämtliche Drittparteienrisiken in einem Rahmenwerk zusammenführt. Aus Sicht der Institute wäre dies die praxisgerechtere Lösung. Bis dahin gilt: Wer jetzt mit der Umsetzung beginnt, kann regulatorische Risiken vermeiden und zugleich die eigene Resilienz im Umgang mit Drittparteien nachhaltig stärken.
