Tschüss „Auslagerung“? – Die neue EBA-Konsultation im Fokus

Die Europäische Bankenaufsichtsbehörde (EBA) hat eine Konsultation gestartet, um ein Rahmenwerk für den Umgang mit Non-IKT-Dienstleistungen zu schaffen. Ziel ist es, die bislang bestehende Regulierungslücke im Vergleich zu DORA zu schließen und ein einheitliches Fundament für Finanzinstitute in Europa zu etablieren.

Damit wird die derzeit noch gültige EBA-Leitlinie zur Auslagerung ersetzt – mit einer deutlichen Ausweitung des Anwendungsbereichs im Auslagerungsmanagement von Finanzinstituten.

Grundsätzlich ist dieser Ansatz nachvollziehbar: Die wachsende Abhängigkeit von externen Dienstleistern zeigt, dass auch Non-IKT-Services in ein stringentes Risikomanagement eingebettet werden müssen.

Nach bisheriger Rechtslage fielen ausschließlich Auslagerungen in den Anwendungsbereich der EBA-Leitlinien. Darunter versteht man Tätigkeiten oder Dienstleistungen, die ein Dienstleister dauerhaft und im Auftrag des Instituts übernimmt und die ansonsten vom Institut selbst erbracht würden. Dienstleistungen, die weder als Auslagerungen noch als IKT-Services im Sinne von DORA einzustufen waren, galten bislang als sonstige Fremdbezüge – und wurden im Auslagerungsmanagement der Institute nicht weiter berücksichtigt.

Auslagerung vs. Third-Party Arrangements: Was ändert sich?

Künftig gilt:

• Third-Party Arrangement (TPA) wird der Oberbegriff für jede Vertragsbeziehung zu Dritten (inkl. Intragroup).
• Auslagerungen bleiben eine Untergruppe davon. Zudem erfolgt keine Differenzierung mehr zwischen Non-IKT-Dienstleistungen und Auslagerungen hinsichtlich der Anforderungen.

Für Non-IKT-Dienstleistungen sollen künftig vergleichbare Anforderungen wie bisher für Auslagerungen gelten: Identifikation, Klassifizierung als kritisch/nicht-kritisch, Risikoanalysen, Due Diligence, Exit-Strategien und laufende Dienstleistersteuerung.

Wesentliche Änderungen im Überblick:

• ‍Registerführung: Das bisherige Auslagerungsregister dürfte entfallen. Non-IKT-Dienstleistungen werden in das bestehende Informationsregister gemäß DORA integriert – künftig gibt es also ein gemeinsames Register für IKT- und Non-IKT-Dienstleistungen.
• Mehr Aufwand: Die Zahl der TPAs wird unweigerlich höher liegen als die bisherigen Auslagerungen, da das Kriterium „wäre ansonsten vom Institut selbst erbracht worden“ entfällt. Damit steigt der Dokumentations- und Steuerungsaufwand erheblich.
• Rahmenwerk anpassen: Institute müssen ihr bisheriges „Auslagerungsmanagement“ in Richtung eines umfassenden Third-Party Risk Managements (TPRM) erweitern – inklusive Tools, Richtlinien und Prozessen.
• Meldepflichten: Der Umfang der Datenmeldungen an Aufsichtsbehörden wächst. Auch Non-IKT-Services müssen künftig erfasst, gepflegt und berichtet werden.
• Verträge: Für Non-IKT-Services gelten künftig ebenfalls spezifische vertragliche Anforderungen, die mit Dienstleistern nachverhandelt werden müssen.
• Bewertung der Wesentlichkeit bzw. Kritikalität: Die Einstufung erfolgt auf Basis der von der Dienstleistung unterstützten Funktionen, ähnlich wie bei DORA.

Zeitplan und Umsetzung

• Die Konsultation läuft bis 08.10.2025.
• Die finale Fassung wird für April 2026 erwartet.
• Finanzinstitute haben anschließend eine Umsetzungsfrist von zwei Jahren.

Klingt komfortabel – in der Praxis dürfte diese Frist jedoch knapp sein. Besonders herausfordernd wird die Anpassung von Verträgen mit Dienstleistern, die bisher als „Out-of-Scope der Regulatorik“ galten.

Empfehlung: Jetzt aktiv werden

Wer wartet, bis die finale Fassung vorliegt, riskiert Zeitdruck. Sinnvolle Schritte sind daher:

• Jetzt mit der Analyse der neuen Anforderungen beginnen.
• Ab Anfang 2026 eine Gap-Analyse starten, um den Anpassungsbedarf klar zu identifizieren.
• Frühzeitig Prozesse, Rollen und Vertragswerke anpassen – insbesondere dort, wo Drittparteien bislang nicht unter die Outsourcing-Regularien gefallen sind.

Fazit

Die neue EBA-Konsultation ist ein wichtiger Schritt, um das Risikomanagement von Finanzinstituten ganzheitlich zu stärken. Gleichzeitig wirft sie zahlreiche Detailfragen auf, die schnellstmöglich beantwortet werden müssen.

Klar ist schon heute: Die Erweiterung auf alle Third-Party Arrangements wird die Arbeit von Compliance-, Sourcing- und Risikomanagement-Abteilungen tiefgreifend verändern.

Deshalb gilt: Frühzeitig starten – nicht warten.