EBA konsultiert über neue Leitlinien zum Outsourcing von Nicht-IKT-Dienstleistungen

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 8. Juli 2025 eine öffentliche Konsultation zur Überarbeitung ihrer Leitlinien zum Outsourcing und Drittparteienmanagement eingeleitet. Die Grundlage bildet das bestehende Regelwerk aus dem Jahr 2019, das sich auf alle Auslagerungen bezog - unabhängig davon, ob IKT-Dienstleistungen betroffen waren oder nicht. Mit dem aktuellen Konsultationspapier verfolgt die EBA das Ziel, den Anwendungsbereich der Leitlinien klar vom DORA-Regime abzugrenzen, das seit 2025 für IKT-bezogene Dienstleistungen gilt. Die neuen Vorgaben konzentrieren sich daher auf das Outsourcing nicht-IKT-bezogener Leistungen.

Anwendungsbereich und Abgrenzung zu DORA

Während DORA die Anforderungen für IKT-Dienstleistungen umfassend regelt, fokussieren sich die neuen Leitlinien auf nicht-IKT-bezogene Leistungen, etwa Facility Management, HR-Services oder Beratungsleistungen, die von Drittanbietern übernommen werden. Der aktualisierte Rahmen betrifft alle Kreditinstitute, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, die bereits unter das bestehende EBA-Outsourcing-Regime fallen.

Die Leitlinien sind kohärent mit dem DORA-Register konzipiert - sie erlaube es Finanzinstituten, ein einheitliches Register sowohl für IKT- als auch Nicht-IKT-Verträge zu führen.

Wesentliche Neuerungen

Lebenszyklusbasierter Ansatz für Outsourcing

Die Leitlinien beschreiben konkrete Anforderungen für alle Phasen eines Auslagerungsverhältnisses:

• Risikobewertung und Due Diligence

• Vertragsgestaltung (einschließlich Sub-Outsourcing)

• Laufendes Monitoring

• Exit-Strategien und Beendigungsverfahren

Besonders hervorgehoben wird, dass Finanzinstitute auch bei Auslagerung von wesentlichen oder wichtigen Funktionen stets die volle Verantwortung behalten und sicherstellen müssen, dass sie handlungsfähig und kontrollfähig bleiben.

Governance und Rolle des Leitungsorgans

Das Leitungsorgan bleibt für sämtliche Aktivitäten - auch ausgelagerte - verantwortlich. Es muss über ausreichende Ressourcen und Kompetenzen zur Steuerung der Drittparteirisiken verfügen. Eine "Hüllenstruktur", die nur noch auf Dritte angewiesen ist, wäre mit aufsichtsrechtlichen Anforderungen unvermeidbar.

Drittstaaten-Dienstleister im Fokus

Bei der Beauftragung von Anbietern mit Sitz außerhalb der EU gelten erhöhte Anforderungen:

• Einhaltung der EU-Vorgaben zu Datenschutz, Berufsgeheimnis, Datenzugang und Aufsicht

• Sicherstellung effektiver Aufsicht durch die zuständige Behörde - insbesondere bei kritischen Funktionen

Definition kritischer oder wichtiger Funktionen

Die Leitlinien beinhalten Kriterien zur Identifikation kritischer bzw. wichtiger Funktionen. Werden solche ausgelagert, gelten striktere Anforderungen, etwa in Bezug auf Transparenz, Überwachung und Dokumentation.

Anforderungen an Aufsichtsbehörden

Die zuständigen Behörden müssen in der Lage sein, Konzentrationsrisiken bei einzelnen Dienstleistern zu erkennen und zu bewerten, insbesondere bei Zahlungsdiensten, deren Ausfall das Finanzsystem destabilisieren könnte.

Übergangsfrist und Konsultation

Zur Umsetzung der neuen Anforderungen wird es eine Übergangsfrist von zwei Jahren geben. Innerhalb dieses Zeitraums müssen bestehende Auslagerungsverträge und Register angepasst werden.

Die öffentliche Konsultation läuft bis zum 8. Oktober 2025.

💡Hinweis für kleine und mittlere Institute:

Auch wenn viele Anforderungen aus DORA und den EBA-Leitlinien für komplexe Strukturen ausgelegt sind, sollten kleinere Institute die neuen Vorgaben nicht ignorieren. Schon einfache Maßnahmen wie die klare Klassifizierung von Auslagerungen, der ABgleich mit DORA-Kriterien und die strukturierte Dokumentation im Auslagerungsregister helfen, aufsichtsrechtliche Risiken zu minimieren.

Quelle / Eckdaten