Auslagerungspolitik

Eine Auslagerungspolitik nach MaRisk AT

9 muss folgende Kernelemente enthalten: Strategische Grundsaetze fuer Auslagerungsentscheidungen, Kriterien zur Unterscheidung wesentlicher und nicht-wesentlicher Auslagerungen (Wesentlichkeitskriterien), Anforderungen an die Risikoanalyse vor jeder Auslagerung, Governance-Struktur mit klaren Rollen und Verantwortlichkeiten einschliesslich eines Auslagerungsbeauftragten, Mindestanforderungen an Auslagerungsvertraege gemaess KWG 25b, Vorgaben fuer das Auslagerungsregister sowie Prozesse fuer die laufende Ueberwachung und das jaehrliche Berichtswesen an die Geschaeftsleitung.

Nach MaRisk AT

9 ist eine Auslagerung wesentlich, wenn die ausgelagerte Aktivitaet bei Ausfall oder mangelhafter Durchfuehrung die Finanzlage, die Geschaeftsstrategie oder die Einhaltung regulatorischer Anforderungen des Instituts erheblich beeintraechtigen wuerde. Wesentliche Auslagerungen unterliegen strengeren Anforderungen: umfassende Risikoanalyse, detaillierte Vertragsgestaltung mit Audit- und Zugangsrechten, Meldepflicht an die BaFin ueber das MVP-Portal seit

2023 und laufende Ueberwachung. Nicht-wesentliche Auslagerungen erfordern eine vereinfachte Risikoanalyse und Dokumentation, muessen aber ebenfalls im Auslagerungsregister erfasst werden.

Die BaFin ueberwacht die Einhaltung der Auslagerungsanforderungen durch Kreditinstitute und Finanzdienstleister. Konkret verlangt die BaFin: Eine dokumentierte Auslagerungspolitik als Teil des Risikomanagements, die Meldung wesentlicher Auslagerungen ueber das MVP-Portal (Pflicht seit 01.01.2023 nach FISG), ein aktuelles Auslagerungsregister mit allen wesentlichen und nicht-wesentlichen Auslagerungen, jaehrliche Berichte an die Geschaeftsleitung ueber den Status aller wesentlichen Auslagerungen. Die BaFin prueft im Rahmen von Sonderuntersuchungen und Jahresabschlusspruefungen (Paragraph

44 KWG) die Angemessenheit des Auslagerungsmanagements.

Nach MaRisk liegt eine Auslagerung vor, wenn ein anderes Unternehmen mit der Durchfuehrung von Aktivitaeten und Prozessen beauftragt wird, die im Zusammenhang mit Bankgeschaeften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen stehen und die das Institut ansonsten selbst erbringen wuerde. Fremdbezug (sonstiger Bezug) hingegen betrifft Dienstleistungen, die kein Bankgeschaeft darstellen und keine institutstypischen Taetigkeiten ersetzen, etwa Gebaeudereinigung oder Kantinenbetrieb. Die Abgrenzung ist entscheidend, da nur Auslagerungen den strengen MaRisk-AT-9-Anforderungen unterliegen.

Seit Januar

2025 ergaenzt der Digital Operational Resilience Act (DORA) die MaRisk-Anforderungen bei IKT-Dienstleistungen. DORA verlangt zusaetzlich: Ein IKT-Drittparteiregister (Register of Information), strengere Anforderungen an IKT-Dienstleister mit kritischen Funktionen, Meldepflichten fuer schwerwiegende IKT-Vorfaelle innerhalb von

4 Stunden, regelmaessige Threat-Led Penetration Tests (TLPT) und Exit-Strategien fuer kritische IKT-Auslagerungen. Institute muessen ihre Auslagerungspolitik um DORA-spezifische Regelungen erweitern und die parallele Steuerung von MaRisk-Auslagerungen und DORA-IKT-Drittparteien sicherstellen.

Das Auslagerungsregister ist ein zentrales Pflichtdokument nach MaRisk AT 9. Es muss enthalten: Beschreibung der ausgelagerten Aktivitaet und deren Kritikalitaetseinstufung, Name und Sitz des Auslagerungsunternehmens, Vertragslaufzeit und Kuendigungsfristen, Ergebnisse der Risikoanalyse, Angaben zu Weiterverlagerungen (Sub-Outsourcing), Zuordnung zum verantwortlichen Auslagerungsbeauftragten. Seit der 6. MaRisk-Novelle muss das Register sowohl wesentliche als auch nicht-wesentliche Auslagerungen umfassen und aktuell gehalten werden. Bei IKT-Auslagerungen fordert DORA zusaetzlich ein separates Register of Information.

ADVISORI unterstuetzt Banken und Finanzinstitute bei der Entwicklung und Implementierung einer MaRisk-konformen Auslagerungspolitik: Gap-Analyse der bestehenden Policy gegen MaRisk AT 9, KWG 25b, EBA-Guidelines und DORA-Anforderungen, Erstellung oder Ueberarbeitung der Auslagerungspolitik mit praxistauglichen Wesentlichkeitskriterien, Aufbau des Auslagerungsregisters und der Meldeprozesse an die BaFin, Implementierung von Governance-Strukturen und Ueberwachungsprozessen, Schulung der relevanten Fachbereiche und Abstimmung mit der internen Revision. Unser Ansatz verbindet regulatorische Compliance mit betrieblicher Effizienz.