Auslagerungsmanagement

Auslagerungsmanagement nach MaRisk AT

9 umfasst die systematische Steuerung aller ausgelagerten Aktivitaeten und Prozesse eines Finanzinstituts. Die BaFin verlangt eine Risikoanalyse vor jeder Auslagerungsentscheidung, die Klassifizierung in wesentliche und unwesentliche Auslagerungen, die Bestellung eines zentralen Auslagerungsbeauftragten sowie die Fuehrung eines vollstaendigen Auslagerungsregisters. Ziel ist es, trotz Auslagerung die volle Kontrolle und regulatorische Verantwortung im Institut zu behalten.

Eine wesentliche Auslagerung liegt vor, wenn die ausgelagerte Taetigkeit fuer die Durchfuehrung von Bankgeschaeften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen von erheblicher Bedeutung ist. Die Einstufung erfolgt auf Basis einer Risikoanalyse unter Beruecksichtigung von Faktoren wie Kritikalitaet fuer den Geschaeftsbetrieb, Substituierbarkeit des Dienstleisters und Auswirkungen auf das Risikoprofil. Wesentliche Auslagerungen unterliegen verschaerften Anforderungen an Vertrag, Steuerung und BaFin-Meldung.

Der zentrale Auslagerungsbeauftragte buendelt die Steuerung und Ueberwachung aller Auslagerungsrisiken im Institut. Er muss organisatorisch in einer Einheit angesiedelt sein, die direkt an die Geschaeftsleitung berichtet. Zu seinen Aufgaben gehoeren die Koordination der Risikoanalysen, die Pflege des Auslagerungsregisters, die laufende Ueberwachung der Dienstleister und die Berichterstattung an die Geschaeftsleitung. Die MaRisk 6.0 hat diese Rolle explizit verankert.

Die 9. MaRisk-Novelle

2026 fuehrt eine verbindliche Trennung ein: IKT-Drittparteien werden kuenftig ausschliesslich nach DORA-Logik gesteuert (mit DORA-spezifischen Vertraegen, Risikoanalysen, Resilienztests und Meldekanaelen), waehrend sonstige Dienstleister weiterhin der MaRisk/EBA-Logik unterliegen. Zudem wird die Moeglichkeit geschaffen, Dienstleisterbewertungen auf Gruppen- oder Verbandsebene durchzufuehren. Institute muessen hunderte bestehende Auslagerungsvertraege entsprechend anpassen.

Das Auslagerungsregister ist eine zentrale Dokumentation aller Auslagerungen eines Instituts. Pflichtinhalte umfassen: Vertragsparameter, geschaetzte Kosten und Budgets (jaehrlich zu aktualisieren), Informations-, Pruefungs- und Zugangsrechte bei wesentlichen Auslagerungen, Klassifizierung als wesentlich oder unwesentlich, Risikoanalyseergebnisse sowie Angaben zur Exit-Strategie. Das Register muss der BaFin auf Anforderung jederzeit vorgelegt werden koennen und ist jaehrlich zu aktualisieren.

DORA (Digital Operational Resilience Act, Art. 28‑44) regelt spezifisch IKT-Drittparteirisiken und ergaenzt MaRisk AT

9 fuer den IT-Bereich. Waehrend MaRisk AT

9 alle Auslagerungen abdeckt, fokussiert DORA auf digitale Betriebsstabilitaet mit Anforderungen an IKT-Risikomanagement, Resilienztests und ein EU-weites Informationsregister. Ab

2026 muessen Institute klar trennen: IKT-Dienstleister fallen unter DORA, nicht-IKT-Dienstleister unter MaRisk. Die EBA aktualisiert zudem ihre Outsourcing-Guidelines fuer nicht-IKT-Drittparteien.

ADVISORI begleitet Banken und Finanzinstitute beim gesamten Auslagerungsmanagement: von der Entwicklung der Auslagerungspolitik und -strategie ueber die Durchfuehrung von Risikoanalysen und Due-Diligence-Pruefungen bis zur Implementierung des Auslagerungsregisters und der laufenden Dienstleistersteuerung. Wir stellen die Konformitaet mit MaRisk AT 9, BAIT, DORA und den EBA-Guidelines sicher und bereiten Sie gezielt auf BaFin-Pruefungen vor. Unser Health-Check identifiziert Luecken in bestehenden Auslagerungsstrukturen.