top of page

Basler Ausschuss veröffentlicht neue Grundsätze zum Management von Drittparteirisiken

Der Basler Ausschuss für Bankenaufsicht hat am 10. Dezember 2025 neue Grundsätze für das solide Management von Drittparteirisiken im Bankensektor veröffentlicht und löst damit die bisherigen Empfehlungen des Joint Forums aus dem Jahr 2005 ab. Parallel dazu hat die Europäische Bankenaufsichtsbehörde (EBA) am 8. Juli 2025 einen Konsultationsentwurf für Leitlinien zum soliden Management von Drittparteirisiken vorgelegt, der die bestehenden EBA-Leitlinien zum Outsourcing aus dem Jahr 2019 aktualisiert und erweitert.

Hintergrund: Digitalisierung verändert Risikolandschaft

Die fortschreitende Digitalisierung hat zu einer raschen Einführung innovativer Ansätze geführt und die Abhängigkeit der Finanzinstitute von Drittanbietern erheblich erhöht. Diese wachsende Abhängigkeit erfordert eine Weiterentwicklung des traditionellen Outsourcing-Konzepts hin zu einem umfassenderen Ansatz für Vereinbarungen mit Drittdienstleistern. Sowohl die Basel-Grundsätze als auch die EBA-Leitlinien reflektieren ein größeres und diversifiziertes Umfeld von Dienstleistern im Finanzsektor.


Europäische Perspektive: EBA-Leitlinien im Kontext von DORA

Die EBA-Leitlinen erweitern den Anwendungsbereich der bisherigen Outsourcing-Leitlinien erheblich. Sie gelten nun nicht nur für Kreditinstitute und Wertpapierfirmen, sondern auch für Zahlungsinstitute, E-Geld-Institute, Emittenten von wertreferenzierte Token (ARTs) unter MiCAR. Ein wesentlicher Unterschied zu den Basel-Grundsätzen besteht darin, dass die EBA-Leitlinien ausschließlich Nicht-IKT-Dienstleistungen abdecken, während IKT-Dienstleistungen seit Januar 2025 unter die Digital Operational Resilience Act (DORA) fallen.

Die EBA betont ausdrücklich, dass eine enge Abstimmung zwischen dem DORA-Rahmenwerk und den neuen Leitlinien erforderlich ist, um die aufsichtliche Konvergenz zu fördern. Finanzinstitute werden ermutigt, Diskrepanzen zwischen dem DORA-Register für IKT-Dienstleistungen und dem Register für Nicht-IKT-Drittparteivereinbarungen zu vermeiden.

Zwölf Grundsätze entlang des gesamten Lebenszyklus (Basel)

Das Basel-Dokument enthält insgesamt zwölf Grundsätze: Die Grundsätze 1 bis 9 richten sich an Banken, während die Grundsätze 10 bis 12 Leitlinien für Aufsichtsbehörden bereitstellen. Die Grundsätze folgen dem Lebenszyklus einer Drittanbietervereinbarung und umfassen folgende Phasen:

  • Governance, Risikomanagement und Strategie: Das Leitungsorgan trägt die Gesamtverantwortung für die Überwachung der Drittparteirisiken

  • Risikobewertung: Umfassende Bewertung sowohl vor Vertragsabschluss als auch während des gesamten Lebenszyklus

  • Due Diligence: Angemessene Sorgfaltsprüfung potenzieller Drittanbieter

  • Vertragsgestaltung: Rechtlich bindende schriftliche Verträge mit klaren Rechten und Pflichten

  • Onboarding und laufende Überwachung: Kontinuierliche Bewertung der Leistung und Änderungen bei Risiken

  • Exit-Strategien: Pläne für geplante und ungeplante Beendigungen

EBA-Schwerpunkte: Kritische oder wichtige Funktionen

Die EBA-Leitlinien definieren detailliert, wann eine Funktion als kritisch oder wichtig einzustufen ist. Eine Funktion gilt als kritisch oder wichtig, wenn deren Störung, Unterbrechung oder fehlerhafter Betrieb Folgendes wesentlich beeinträchtigen würde:

  • Die fortlaufende Erfüllung der Zulassungsbedingungen durch das Finanzinstitut

  • Die finanzielle Leistungsfähigkeit des Instituts

  • Die Solidität oder Kontinuität der Dienstleistungen und Tätigkeiten

Automatisch als kritisch oder wichtig gelten:

  • Operative Aufgaben interner Kontrollfunktionen (sofern die Bewertung nicht zu einem anderen Ergebnis kommt)

  • Funktionen, die eine eigene Zulassung durch die Aufsichtsbehörde erfordern würden

  • Funktionen im Zusammenhang mit kritischen Funktionen gemäß der Sanierungs- und Abwicklungsrichtlinie (BRRD)

Besondere Anforderungen für kritische Dienstleistungen

Beide Regelwerke heben zusätzliche Erwartungen für kritische Drittanbietervereinbarungen hervor. Die EBA-Leitlinien präzisieren dabei:

Vertragliche Anforderungen:

  • Präzise quantitative und qualitative Leistungsziele

  • Umfassende Berichtspflichten des Drittanbieters

  • Verpflichtende Versicherungsdeckung für bestimmte Risiken

  • Anforderungen an Business-Continuity-Pläne und deren Tests

  • Uneingeschränkte Prüfungs- und Zugriffsrechte für Institute und Aufsichtsbehörden

Subcontracting-Regelungen:

  • Klare Spezifikation, ob Subcontracting kritischer Funktionen erlaubt ist

  • Wenn erlaubt: detaillierte Bedingungen und Meldeverpflichtungen

  • Finanzinstitute müssen prüfen, ob die ausgelagerte Teilfunktion selbst kritisch oder wichtig ist

  • Gleiche Zugangs- und Prüfungsrechte müssen auch gegenüber Subauftragnehmern gewährleistet sein


Drittstaaten-Regelungen: Verschärfte Anforderungen

Die EBA-Leitlinien enthalten besonders strenge Vorgaben für die Nutzung von Drittanbietern in Drittstaaten zur Erbringung von Bank-, Zahlungs- oder Wertpapierdienstleistungen, die eine Zulassung erfordern würden:

  1. Der Drittanbieter muss im Drittstaat zugelassen und beaufsichtigt sein

  2. Es muss eine angemessene Kooperationsvereinbarung zwischen den zuständigen Behörden bestehen

  3. Die Kooperationsvereinbarung muss sicherstellen, dass die EU-Aufsichtsbehörden:

    1. Zugang zu erforderlichen Informationen erhalten

    2. Zugang zu Daten, Dokumenten, Räumlichkeiten und personal im Drittstaat haben

    3. Informationen über potenzielle Verstöße erhalten

    4. Mit den Drittstaaten-Aufsichtsbehörden bei Durchsetzungsmaßnahmen kooperieren können

Zentrale Querschnittsthemen

Beide Rahmenwerke behandeln übergreifende Themen:

  • Proportionalität: Die Risikomanagementprozesse sollten der Größe, Komplexität, dem Geschäftsmodell und Risikoprofil des Instituts sowie den Risiken der Drittanbietervereinbarungen angemessen sein.

  • Konzentrationsrisiken: Banken müssen sowohl institutsinterne als auch systemische Konzentrationsrisiken identifizieren und überwachen. Die EBA fordert ausdrücklich die Bewertung von Konzentrationen auf mehrere Vereinbarungen mit demselben Drittanbieter oder eng verbundenen Drittanbietern.

  • Intragroup-Vereinbarungen: Konzernverbundene Dienstleister sollten nicht automatisch als weniger risikoreich behandelt werden. Die EBA betont, dass Konditionen auf "Arms's Length"-Basis festgelegt werden müssen und potenzielle Interessenkonflikte adressiert werden müssen.

  • "Empty Shell"-Verbot: Die EBA stellt klar, dass Finanzinstitute jederzeit ausreichende Substanz aufweisen müssen und nicht zu bloßen Briefkastenfirmen werden dürfen. Institute müssen:

    • Alle Zulassungsbedingungen jederzeit erfüllen

    • Eine klare und transparente Organisationsstruktur beibehalten

    • Angemessene Aufsicht über ausgelagerte Kontrollfunktionen ausüben

    • Über ausreichendes Wissen, Ressourcen und Kapazitäten verfügen

Dokumentation- und Meldepflichten

Die EBA-Leitlinien enthalten detaillierte Anforderungen an die Dokumentation:

Register aller Drittparteivereinbarungen muss mindestens enthalten:

  • Referenznummer und Art der Vereinbarung

  • Start-, Verlängerungs- und Enddaten

  • Beschreibung der erbrachten Funktionen

  • Kategorisierung

  • Name, LEI/EUID und weitere Identifikatoren des Drittanbieters

  • Land der Leistungserbringung und Datenverarbeitung

  • Einstufung als kritisch/wichtig mit Begründung

  • Datum der letzten Kritikalitätsbewertung

  • Jährliche Kosten

Zusätzlich für kritische/wichtige Funktionen:

  • Anwendbares Recht

  • Daten der letzten Prüfungen

  • Informationen über Subauftragnehmer

  • Beurteilung der Substituierbarkeit

  • Beurteilung der Reintegrationsmöglichkeit

  • Existenz eines Exit-Plans

  • Identifikation alternativer Drittanbieter

  • Geschätzte jährliche Budgetkosten

Meldepflichten: Finanzinstitute müssen Aufsichtsbehörden rechtzeitig informieren über:

  • Geplante Vereinbarungen über kritische/wichtige Funktionen

  • Wenn eine Funktion kritisch/wichtig wird

  • Wesentliche Änderungen und schwerwiegende Ereignisse

Geschäftsfortführungsmanagement und Exit-Strategien

Beide Regelwerke verlangen robuste robuste Geschäftsfortfürhungspläne. Die EBA spezifiziert, dass:

  • Business Continuity-Pläne regelmäßig getestet werden müssen

  • Der Drittanbieter in Tests einbezogen werden sollte

  • Pläne die mögliche Insolvenz des Drittanbieters berücksichtigen müssen

  • Bei Drittstaaten-Anbietern auch politische Risiken einzubeziehen sind

Exit-Strategien müssen sowohl für geplante als auch ungeplante Beendigungen bestehen:

  • Angemessene Übergangsfristen

  • Prozesse zur Übertragung von Daten und Assets

  • Klare Verantwortlichkeiten

  • Budgetallokation für ungeplante Exits

  • Für kritische Funktionen: detaillierte Prozesse und Eskalationsgruppen

Rolle der Aufsichtsbehörden

Die Basel-Grundsätze definieren drei Prinzipien für Aufsichtsbehörden, während die EBA-Leitlinien spezifische Überwchungsanforderungen festlegen:

Überwachungsaufgaben der Aufsichtsbehörden:

  • Bewertung des Drittparteirisikomanagements als integraler Bestandteil der laufenden Aufsicht

  • Analyse verfügbarer Informationen zur Identifizierung systemischer Risiken

  • Identifizierung und Überwachung von Konzentrationsrisiken bei einzelnen Drittanbietern

  • Beurteilung, ob Konzentrationen ein Risiko für die Finanzstabilität darstellen

Grenzüberschreitende Zusammenarbeit: Beide Regelwerke betonen die Notwendigkeit sektorübergreifender und grenzüberschreitender Koordination zur Überwachung systemischer Risiken kritischer Drittanbieter.

Übergangsregelungen der EBA

Der EBA-Konsultationsentwurf sieht folgende Übergangsfristen vor:

  • Bestehende Drittparteivereinbarungen müssen bei erster Verlängerung dokumentiert werden, spätestens aber 2 Jahre nach Inkrafttreten

  • Überprüfung bestehender Vereinbarungen über kritische/wichtige Funktionen muss abgeschlossen sein, ebenfalls innerhalb von 2 Jahren

  • Bei Nichtvervollständigung müssen Institute die Aufsichtsbehörde informieren und Maßnahmen/Exit-Strategien darlegen

  • Die alten EBA-Outsourcing-Leitlinien von 2019 werden mit Inkrafttreten aufgehoben

💡 Hinweis für kleinere Banken:

Beide Regelwerke sind proportional anzuwenden. Kleine Institute sollten ihre Risikomanagementprozesse auf die tatsächlichen Risiken und die Kritikalität ihrer Drittanbietervereinbarungen abstimmen. Die EBA betont, dass weniger komplexe Institute qualitative Risikobewertungsansätze verwenden können, während große oder komplexe Institute einen ausgefeilteren Ansatz benötigen. Ein vollständiges Register aller Drittanbietervereinbarungen sowie eine klare Klassifizierung nach Kritikalität bilden jedoch für alle Institute die unverzichtbare Grundlage. Besonders wichtig: Achten Sie auf die Konsistenz zwsichen dem DORA-Register für IKT-Dienstleistungen und dem Register für Nicht-IKT-Drittparteivereinbarungen, um Doppelarbeit zu vermeiden und die Aufsicht zu erleichtern.

Quelle / Eckdaten

Basel Comittee Principles

👉 Link zum Dokument

Principles for the sound management of third-party risk

📅 Veröffentlichung

10. Dezember 2025

Art des Dokuments

Grundsätze (Principles)

Herausgeber

Basel Committee on Banking Supervision (BCBS)

⚖️ Rechtsgrundlage

Basel Core Principles for effective banking supervision

Adressaten

Banken und Aufsichtsbehörden in BCBS-Mitgliedstaaten, insbesondere große international tätige Banken

Status

Grundsätze (principles-based approach)

📅 Datum Erstanwendung

Ersetzt die Joint Forum-Empfehlungen von 2005 für den Bankensektor

EBA Draft Guidelines

👉 Link zum Dokument

Draft Guidelines on the sound management of third-party risk

📅 Veröffentlichung

8. Juli 2025

Art des Dokuments

Konsultationspapier zu Leitlinien

Herausgeber

Europäische Bankenaufsichtsbehörde (EBA)

⚖️ Rechtsgrundlage

CRD (Art. 74 (3)), IFD, PSD2, EMD, MiCAR, MCD; ergänzend zu DORA

Adressaten

Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, E-Geld-Institute, ART-Emittenten

Status

Konsultationsentwurf

📅 Datum Erstanwendung

Noch festzulegen; Übergangsfristen von 2 Jahren vorgesehen; ersetzt EBA-Outsourcing-Leitlinien von 2019


bottom of page