Die am 08. Juli 2025 veröffentlichte Entwurfsvorlage der EBA-Leitlinien zum Drittanbieterrisikomanagement aktualisiert und erweitert die bisherigen EBA-Leitlinien für Auslagerungen aus dem Jahr 2019. Im Mittelpunkt steht ein erweiterter Rahmen für das Management von Drittanbieterrisiken, der über die bisherigen Vorgaben aus der MaRisk AT 9 und dem klassischen, engen Auslagerungs-Begriff hinausgeht. 

Im Zuge der Aktualisierung wird auch der Adressatenkreis erweitert. Während IKT-Dienstleistungen bereits den Anforderungen der DORA (Digital Operational Resilience Act) unterliegen, regeln die überarbeiteten EBA-Leitlinien nun explizit alle nicht-IKT-bezogenen Drittanbietervereinbarungen. Die neuen Leitlinien betreffen nun alle klassischen Banken, größere Investmentfirmen (alle größeren, regulierten Wertpapier-, Vermögensverwaltungs- und Wertpapierhandelsunternehmen gemäß EU-Investmentfirmenrichtlinie (IFD)), Zahlungs- und E-Geld-Institute sowie – neu – Asset-Referenced-Token-Emittenten (ART-Emittenten nach MiCAR) und Nicht-Kreditinstitute, die Wohnimmobilienkredite vergeben, aber keine Banken sind. 

Analog zur DORA wird bei nicht-IKT-Dienstleistungen nicht mehr zwischen Auslagerungen und sonstigen (IT-)Fremdbezügen unterschieden, sondern danach, ob die Dienstleistung eine kritische oder wichtige Funktion unterstützt. Als kritisch oder wichtig gelten Funktionen, deren Störung die finanzielle Leistungsfähigkeit, die Geschäftskontinuität oder die Einhaltung regulatorischer Vorschriften wesentlich beeinträchtigen kann. Funktionen werden durch Geschäftsprozesse realisiert, die wiederum von Dienstleistungen unterstützt werden. Kritische oder wichtige Dienstleistungen werden über die an kritische oder wichtige Funktionen gekoppelten Geschäftsprozesse abgeleitet. Unter Berücksichtigung des Proportionalitätsprinzips wird ihre Bedeutung für die zugehörige kritische oder wichtige Funktion anhand einer Wesentlichkeitsprüfung (Größe, Risikoprofil und Komplexität) evaluiert. Grundvoraussetzung ist eine umfassende und detaillierte Prozesssicht in der Organisation.

Struktureller Aufbau und wesentliche Neuerungen

Der strukturelle Aufbau der neuen Leitlinien ist weitgehend analog der Struktur der Leitlinien von 2019. Im Mittelpunkt steht die durchgängige Steuerung von nicht-IKT-Dienstleistungsvereinbarungen über ihren gesamten Lebenszyklus: Von der Risikoanalyse über die Due-Diligence-Prüfung, vertragliche Vorgaben und Absicherung (inkl. Key Performance Indicators und Audit-Rechten) sowie laufende Überwachung bis hin zu Notfallplanung und Exit-Strategien.

Darüber hinaus enthalten die Leitlinien folgende wesentliche Neuerungen:

  • Zentrales Register für alle Vereinbarungen mit nicht-IKT-Dienstleistern: Institute müssen ein einheitliches, umfassendes Register mit fest definierten Mindestinhalten für alle existierenden Vereinbarungen (Verträge) mit nicht-IKT-Dienstleistern führen. Sofern das Register für derartige Vereinbarungen (Verträge) nicht bereits in einem vorhandenen Informationsregister gemäß DORA enthalten ist, ist Form und Umfang am Informationsregister zu orientieren, um eine spätere Zusammenführung zu gewährleisten. Der Aufsicht ist außerdem ein maschinenlesbarer Zugriff zu ermöglichen.
  • Erweiterte Risikoanalyse: Die bisherige Risikoanalyse ist um neue Risikodimensionen wie politische Risiken, geografische Risiken (insbesondere im Hinblick auf Drittlandregelungen), ESG-Faktoren und menschenrechtliche Aspekte zu ergänzen und stärker in der Due-Diligence-Prüfung (vor Vertragsabschluss) zu verankern.
  • Governance Anforderungen: Analog zu DORA werden im Rahmen der EBA-Leitlinien auch die Governance-Anforderungen verschärft. Explizit werden u.a. die Vorstandspflichten weiter spezifiziert und Genehmigungs- und Berichts-Prozessen sowie die Verantwortung der Überwachung aller Vereinbarungen mit nicht-IKT-Drittanbietervereinbarungen stärker konkretisiert.  
  • Vertragliche Mindestanforderungen: Diese werden geschärft und um Aspekte wie Business-Continuity-Tests und erweiterte Audit-Rechte (inkl. verpflichtender Pooled Audits bei kritischen oder wichtigen Funktionen) ergänzt. Zudem wird Organisationen das Recht eingeräumt, im Falle eines Notfalls oder einer Krise, die eine Ankündigung unmöglich macht, auch ohne rechtzeitige Ankündigung ein Audit durchzuführen. Die Anforderungen an Subunternehmer werden umfassend konkretisiert (Dokumentation, Meldepflichten, Zustimmungserfordernisse, Kündigungsrechte). Bei Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen, gilt zusätzlich die Pflicht zur vertraglichen Durchreichung von Kontroll- und Audit-Rechten über die gesamte Subdienstleisterkette. Damit erhalten Dienstleistungsnehmer eine stärkere Kontrolle bis ins letzte Glied der Lieferkette.
  • Erweiterte Exit-Vorgaben: Die Anforderungen an Exit-Strategien und -Pläne wurden ausgeweitet; nun müssen unter anderem Konzentrationsrisiken sowie das Risiko eines vollständigen Ausfalls oder wesentlichen Gesetzesverstoßes eines Drittdienstleisters verpflichtend mitberücksichtigt werden.

Praktische Implikationen und zusätzliche Trends

In der Praxis gibt es zahlreiche inhaltliche Überschneidungen zwischen den Anforderungen gemäß DORA und den EBA-Leitlinien – etwa bei der Bewertung der Kritikalität oder der Vertragsgestaltung. DORA ist in fast allen Aspekten, die IKT, Informationssicherheit, Vertragsgestaltung und Beaufsichtigung betreffen, strenger als die künftig für nicht-IKT-Dienstleister geltenden EBA-Leitlinien. Außerdem sind die Anforderungen technischer, expliziter, auf regelmäßiges Testen und Monitoring ausgerichtet – und werden schärfer überwacht und sanktioniert. In der Praxis müssen Finanzinstitute in der Umsetzung allerdings häufig beide regulatorischen Vorgaben miteinander verzahnen. So kann z.B. ein Cloud-Service Anbieter für Datenverarbeitung unter die DORA-Verordnung fallen, und derselbe Anbieter im Rahmen von Back-Office-Leistungen den EBA-Leitlinien unterliegen. Für deutsche Institute bedeutet dies konkret: Bestehende, AT-9-konforme Prozesse müssen um die neuen EU-Vorgaben erweitert und funktionskritische Abhängigkeiten integriert werden.

Neben den formalen Vorgaben betont die EBA, dass Drittanbieterrisiken strategisch in die Governance des Instituts integriert werden müssen. Sämtliche wesentliche Drittdienstleistervereinbarungen müssen Bestandteil der institutsweiten Risikoinventur sein, um die organisatorische Resilienz zu stärken. Dabei stehen Kriterien wie Funktionskritikalität, Konzentrationsrisiken (z. B. Abhängigkeit von wenigen Anbietern), Versorgungssicherheit sowie Nachhaltigkeit im Fokus. Auch bei der Auswahl von Dienstleistern spielen ESG-, Menschenrechts- und Arbeitsrechts-Checks eine immer größere Rolle. Technisch verlangt die neue Regulierung moderne Lösungen: Manuelle Excel-Listen oder fragmentierte Dokumentation reichen zukünftig nicht mehr aus.

Besonderes Augenmerk gilt der Fähigkeit der Institute, kritische oder wichtige Prozesse eigenständig zu steuern – eine Reaktion auf die Gefahr, dass Institute zur „leeren Hülle“ werden. Der Proportionalitätsgrundsatz bleibt leitend: Die Dokumentationsanforderungen sollen, wo möglich, verhältnismäßig bleiben.

Fazit

Mit den EBA-Leitlinien 2025 verschiebt sich der Fokus, Hand in Hand mit DORA, hin zu einem strategischen, ganzheitlichen Drittanbieterrisikomanagement und weg vom rein vertraglichen Auslagerungsmanagement. Institute sind gefordert, ihre Governance-Strukturen anzupassen, kritische oder wichtige Funktionen zu identifizieren und sämtliche nicht-IKT- sowie IKT-Drittdienstleistungen in einem zentralen Register zu erfassen. Wer frühzeitig die neuen Anforderungen auch für nicht-IKT-Dienstleistungen umsetzt, schafft nicht nur regulatorische Compliance, sondern stärkt vor allem die digitale Resilienz und Zukunftsfähigkeit der eigenen Organisation.

Unsere Expertinnen und Experten bei BDO verfügen über umfassendes Know-how zu allen relevanten regulatorischen Anforderungen – von branchenspezifischem Wissen bis hin zu erprobten Best Practices. Wir bringen langjährige Erfahrung in der Analyse und Optimierung von Prozessen sowie in der Herstellung regulatorischer Compliance mit und begleiten Sie kompetent in Ihren Projekten. Sprechen Sie uns gerne an und profitieren Sie von unserer fachlichen und methodischen Expertise.

Autoren