Outsourcing ist tot? Warum die EBA das Third-Party-Management neu erfindet

Der Paradigmenwechsel der EBA: Third-Party Risk statt isoliertem Outsourcing-Management

Die European Banking Authority (EBA) hat am 8. Juli 2025 ein Konsultationspapier zu neuen Guidelines für das Management von Third-Party Risk veröffentlicht – mit klarem Fokus auf non-IKT-Leistungen und einer bewussten Ausrichtung an den Governance-Prinzipien von DORA.

Der Kern der Leitlinie ist ein Paradigmenwechsel: Outsourcing wird nur noch als Teilmenge verstanden. Künftig sollen Institute alle „Third-Party Arrangements“ bzw. Drittbeziehungen (nicht nur „formale Auslagerungen“) in ein einheitliches Steuerungsmodell über den gesamten Lebenszyklus überführen.

Wenn die angekündigte MaRisk-Neuerung sich wie erwartet an die EBA-Third-Party-Guidelines angleicht, trifft das inhaltlich zu: Dann ist „Outsourcing“ nicht mehr das leitende Ordnungsprinzip, sondern auch im deutschen Markt nur noch eine Unterkategorie im breiten Third-Party-Risk-Framework. Entscheidend wird nicht mehr das Label im Vertrag, sondern die steuerbare End-to-End-Governance über alle Drittbezüge: Registerqualität, Lieferkette/Subdienstleister, Audit-/Informationsrechte und nachweisbare Exit-Fähigkeit. Kurz: Outsourcing stirbt als Begriff und Third-Party Risk wird die neue Disziplin.

Was sich ändert: Von Auslagerungslogik zu Third-Party Risk Framework

Bisher war „Auslagerungsmanagement“ häufig ein Spezialprozess für wenige, als Outsourcing klassifizierte Verträge. Die EBA dreht das Denken um: Third-Party Arrangements sind der Regelfall, Outsourcing eine besondere Unterkategorie.

Das ist mehr als Semantik: Es zwingt Institute, Risiken aus Dienstleister-Ökosystemen, Subdienstleisterketten und Konzentrationen systematisch zu erfassen und inklusive nachweisbarer Exit-Fähigkeit zu steuern.

1) Die Kernanforderungen der EBA an Third-Party Risk Management

Ganzheitlicher Scope: Institute sollen sämtliche Third-Party Arrangements erfassen und steuern, unabhängig davon, ob sie bislang als Outsourcing gelabelt wurden. Kritische/wichtige Funktionen stehen besonders im Fokus.

Third-Party Risk ist end-to-end zu managen – von der Risikoprüfung vor Beauftragung über Due Diligence, laufendes Monitoring bis zur Beendigung/Exit-Umsetzung. Tiefe und Aufwand richten sich nach Kritikalität, Art der Leistung, Abhängigkeiten sowie Konzentrations- und Subdienstleisterrisiken. Dies soll risikobasiert und proportional erfolgen.

2) Register, Transparenz, Verträge: EBA und DORA wachsen zusammen

DORA gilt seit 17. Januar 2025 und setzt für IKT-Drittbezüge u. a. stark auf ein Register of Information. Die EBA-Draft-Guidelines zielen darauf, für non-IKT-Leistungen ein vergleichbar steuerbares Modell (perspektivisch) mit integrierter Registerlogik statt paralleler Silos zu etablieren. Das Register wird nicht nur „Dokumentation“, sondern zentrales Steuerungsinstrument: Kritikalität, Abhängigkeiten, Subdienstleister, Konzentration, Exit-Optionen; Alles muss, nachvollziehbar, konsistent und auditierbar dokumentiert sein.

Mindestanforderungen an Vertragsinhalte

Die EBA koppelt Transparenz an durchsetzbare Rechte im Vertrag. Typische Mindestbausteine (insb. bei critical/important functions):

  • klare Leistungs- und Verantwortlichkeitsdefinition, ggf. SLA/Qualitätsparameter
  • Informations-, Prüf- und Auditrechte (inkl. Remote-Audits)
  • Subcontracting-Regeln inkl. Transparenz über die Lieferkette und „Flow-down“ relevanter Rechte
  • Daten-/Sicherheits-/Verfügbarkeitsregeln und Meldepflichten bei Störungen
  • Exit- & Beendigungsfähigkeit (Transition Support, Datenrückgabe/Migration/Löschung, BC-Absicherung)
  • Anpassungsmechanismen für regulatorische/risikorelevante Änderungen

3) Verhältnis zu DORA: Ein Zielbild statt Doppelstrukturen

  • DORA definiert detaillierte Anforderungen für IKT-Drittparteien inkl. Register-Pflichten und Oversight-Mechanik.
  • EBA-Guidelines erweitern diese Governance-Logik auf non-IKT-Drittbezüge und schaffen ein übergreifendes Third-Party-Risk-Rahmenwerk.

Praktisch heißt das: Der angestrebte Zielzustand ist ein integriertes Third-Party Risk Framework, in dem DORA die IKT-Spezialdisziplin bildet – nicht einen separaten Nebenprozess.

4) Zeitplan: Konsultation, Finalisierung, Übergang

Die Konsultation lief bis 8. Oktober 2025. In der Fachöffentlichkeit wird u. a. eine Veröffentlichung der finalen Leitlinie bis April 2026 diskutiert; für Bestandsarrangements ist ein Übergangszeitraum von zwei Jahren vorgesehen (insbesondere für Vertrags- und Registeranpassungen).

5) BaFin & MaRisk: Was Institute in Deutschland erwarten sollten

Auch wenn EBA-Leitlinien europäisch wirken, werden sie in der Praxis typischerweise über Aufsichtserwartungen, Prüfungsfokus und Auslegung schnell wirksam. Für deutsche Institute ist daher plausibel, dass BaFin-Prüfungen stärker auf Registerqualität, Vertragsrechte, Lieferketten-Transparenz und Exit-Fähigkeit zielen – auch jenseits der klassischen Auslagerungsdefinition. Gleichzeitig bleibt MaRisk AT9 der nationale Referenzrahmen für Auslagerungen.

Fazit: Third-Party Risk wird zur Kernfunktion

Die EBA macht deutlich: „Outsourcing“ reicht als Steuerungsbrille nicht mehr. Institute sollten jetzt die Weichen stellen, um Third-Party Risk integriert, steuerbar und resilient aufzubauen:

  • Transparenz über alle Drittbezüge (IKT und non-IKT)
  • einheitliche Vertragsstandards mit echten Steuerungsrechten (Durchgriff- und Exit-Rechte)
  • Register & Governance DORA-kompatibel, aber ohne Silostrukturen

Wer früh konsolidiert, reduziert nicht nur regulatorische Risiken, sondern gewinnt operative Resilienz und echte Steuerbarkeit im Dienstleister-Ökosystem.

Praxis-Check: In 5 Schritten den eigenen Status quo prüfen

Führen Sie diese fünf kurzen Checks durch und bewerten Sie ehrlich, wo Ihr Institut heute steht und identifizieren Sie ihren Handlungsbedarf:

  1. Gibt es eine vollständige, aktuelle Übersicht aller Drittbezüge, inklusive non-IKT Leistungen, Subdienstleister und interner Provider?
  2. Sind kritisch/wichtige Funktionen klar definiert und einheitlich über alle Third-Party-Arrangements angewendet oder existieren parallele Logiken?
  3. Enthalten Ihre Verträge risikobasierte und prüfbare Steuerungsrechte (Audit, Informationspflichten, Subdienstleister-Transparent, Exit-Support)?
  4. Können Sie realistisch erklären, wie en kritischer Dienstleister ersetzt oder beendet wird, inklusive Übergang, Datenmigration und Business Continuity Absicherung?
  5. Gibt es ein integriertes Third-Party-Risk-Framework, in dem DORA die IKT-Spezialdisziplin ist oder haben Sie getrennte Register, Prozesse und Verantwortlichkeiten?

Ancarix Consulting
Responsible by Design

Weitere Artikel zu anderen spannenden Themenbereichen finden sie auf unserer Website:

zu weiteren Blogbeiträgen
zu unseren Projektreferenzen
ancarix ancarix