• 1000
Article Posted date 19 August 2025
8 Minuten Lesezeit

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 8. Juli 2025 den Entwurf neuer Leitlinien zum sorgfältigen Management von Drittparteirisiken veröffentlicht. Die Konsultation läuft bis zum 8. Oktober 2025. Mit dem Konsultationspapier soll die Governance im Umgang mit Drittparteien auf ein einheitliches, EU-weites Niveau gehoben und der zunehmenden Auslagerung kritischer Funktionen durch Kreditinstitute bzw. Institute gem. CRR, Wertpapierfirmen sowie MiCAR-ART-Emittenten und Nicht-Bank-Kreditgeber gem. Wohnimmobilienrichtlinie Rechnung getragen werden.

Hintergrund

Die EBA reagiert mit diesen Leitlinien auf die stetig wachsende Abhängigkeit von Drittparteien im Finanzsektor, die in den letzten Jahren erheblich zugenommen hat. Finanzinstitute setzen Drittparteien für spezialisiertes Fachwissen, Kostensenkungen, verbesserte Skalierbarkeit und Effizienz sowie die Konzentration auf Kerngeschäftsfelder ein. Diese verstärkte Abhängigkeit birgt jedoch auch erhöhte operationelle Risiken für die Finanzinstitute, deren Kunden und potenziell das gesamte Finanzsystem.

Der Entwurf knüpft an die bestehenden Outsourcing Guidelines von 2019 an, erweitert deren Geltungsbereich aber deutlich: Er umfasst nun auch nicht-IKT-bezogene Dienstleistungen außerhalb der DORA-Verordnung (Digital Operational Resilience Act) sowie komplexere Drittparteibeziehungen. Erfasst sind dabei nicht nur externe Dienstleister, sondern auch konzerninterne Leistungsbeziehungen und gruppenweite Abhängigkeiten.

Während DORA vorrangig IKT-Dienstleister reguliert, adressiert die EBA mit diesen Leitlinien das breite Spektrum der Dienstleister außerhalb der IT, für die zukünftig ähnliche Anforderungen wie für IKT-Dienstleiter gemäß DORA gelten werden. Dadurch erweitert sich das Feld der Drittparteidienstleister, die von europäischen Instituten entsprechend überwacht und gemanagt werden müssen.

Die Leitlinien stellen eine wesentliche Weiterentwicklung der EBA-Leitlinien zu Auslagerungen (EBA GL on outsourcing arrangements – EBA/GL/2019/02) dar. Sie gehen über den Begriff des „Outsourcings“ hinaus und decken das Management von Drittparteirisiken entlang des gesamten Lebenszyklus ab.

EBA-Leitlinien zum Umgang mit Drittparteirisiken

Wesentliche Inhalte der Leitlinien

Leitlinien zum sorgfältigen Management von Drittparteirisiken

Die neuen Leitlinien decken folgende Themengebiete ab und erweitern in fast allen Bereichen die Anforderungen der EBA-Leitlinien zu Auslagerungen von 2019:

  • Governance und Verantwortung:

Die neuen Leitlinien betonen die zentrale Rolle des Leitungsorgans bei der Steuerung von Risiken, die sich aus der Zusammenarbeit mit Drittparteien ergeben. Die Gesamtverantwortung verbleibt beim Leitungsorgan – eine rein formale Governance-Struktur („Empty Shell“), bei der das Finanzinstitut alle Aufgaben an externe Dritte abgibt, entspricht nicht den regulatorischen Anforderungen.

Insbesondere dürfen Entscheidungen nicht an externe Dritte ausgelagert werden, damit einhergehend muss ein gewisser Wissensstandard im Finanzinstitut bestehen bleiben. Dazu gehört auch, dass das Leitungsorgan eine klare Strategie für den Umgang mit Drittparteien festlegt und diese mindestens einmal im Jahr überprüft und bei Bedarf anpasst.

Zuständigkeiten, Ressourcen und Kompetenzen sind eindeutig zu definieren. Das gilt nicht nur für externe Dienstleister, sondern ausdrücklich auch für gruppeninterne Services, beispielsweise eine zentrale Compliance-Einheit oder gemeinsame Risikofunktion innerhalb einer Gruppe. Entscheidend sind dabei eine lückenlose Dokumentation, klar definierte Prozesse sowie eine sorgfältige Due-Diligence-Prüfung.

  • Risikobasierter Ansatz:

Analog zu DORA kommt das Proportionalitätsprinzip zur Anwendung: Je nach Risikogehalt, Kritikalität der Funktion und Komplexität der Drittparteibeziehung gelten abgestufte Anforderungen. Damit sollen kleinere Institute entlastet werden, ohne auf eine risikoorientierte Steuerung zu verzichten. Die EBA verweist in ihrer Konsultation dabei auch auf die Anforderungen der EBA-Leitlinien zur internen Governance (EBA/GL/2021/05).

  • Definition kritischer oder wichtiger Funktionen:

Die Definition kritischer oder wichtiger Funktionen ist eng an jene der DORA-Verordnung (Art. 3 Abs. 22) angelehnt. Eine Funktion gilt als kritisch oder wichtig, wenn ihre Störung zu wesentlichen Beeinträchtigungen der Betriebsfähigkeit, Finanzlage oder regulatorischen Konformität führen könnte. Die Harmonisierung der Begriffsdefinition zielt darauf ab, eine einheitliche Bewertung kritischer Funktionen in IKT- und Nicht-IKT-Bereichen sicherzustellen.

Damit der operative Aufwand in Verbindung mit dem Management von Drittparteirisiken nicht zu groß wird, ist es ratsam auch die Definitionen für kritische und wesentliche Funktionen der BRRD bzw. des BaSAG zu berücksichtigen und, sofern möglich, beide Definitionen (EBA GL zu Drittparteirisiken und BaSAG) miteinander zu vereinen.

  • Due Diligence bei Vertragsschließung:

Vor Aufnahme einer Geschäftsbeziehung mit einer Drittpartei ist eine umfassende Due-Diligence-Prüfung durchzuführen. Diese umfasst eine systematische Risikoanalyse, Eignungsbewertung und regulatorische Überprüfung des potenziellen Dienstleisters. Besonders kritisch ist dies bei Funktionen, die als wichtig oder kritisch eingestuft werden.

Wesentliche Prüfungsaspekte sind das Geschäftsmodell, die finanzielle Stabilität, die operative und technische Leistungsfähigkeit sowie Erfahrung und Reputation des Dienstleisters. Für kritische Funktionen muss sichergestellt sein, dass die Drittparteien über ausreichende Fachkenntnisse, personelle und technische Ressourcen sowie geeignete Kontroll- und Risikomanagementprozesse verfügt – insbesondere zur Reduktion von operationellen Risiken und Risiken in der Lieferkette. Zudem sind länderspezifische Risiken am Ort der Dienstleistungserbringung einzubeziehen.

Ebenso gehört die Bewertung angemessener Notfall- und Recovery-Pläne zum Prüfprozess. Wenn erforderlich, ist sicherzustellen, dass der Dienstleister über die notwendigen regulatorischen Genehmigungen verfügt.

  • Vertragliche Anforderungen:

Drittparteiverträge müssen wie unter DORA eindeutige und detaillierte Regelungen enthalten – insbesondere zu Leistungsumfang, Zugriffsrechten, Informationspflichten, Prüfungsrechten, Kündigungsmöglichkeiten und Exit-Bedingungen. Auch die Leistung, die von Subdienstleistern erbracht wird, muss vertraglich präzise geregelt und so ausgestaltet sein, dass wesentliche Änderungen an den Vereinbarungen zwischen Dienstleister und Subdienstleister der vorherigen Genehmigung oder dem Ausbleiben eines Widerspruchs durch die Finanzinstitution bedürfen.

  • Kontinuierliche Überwachung:

Finanzinstitute müssen, wie im Hinblick auf die Anforderungen von DORA für IKT-Risiken, die Leistung und Risiken ihrer Dienstleister laufend überwachen – inklusive Dokumentation, Risikoindikatoren. Zusätzlich sind externe Dienstleister durch interne Audits und relevante Verträge durch jährliche Vertragskontrollen zu überprüfen. Auch gruppenweite Transparenz über Drittparteibeziehungen ist erforderlich.

  • Exit-Strategien und Business Continuity:

Ein zentrales Element der neuen EBA-Leitlinien ist die Anforderung an Finanzinstitute, belastbare Exit-Strategien für kritische oder wichtige Funktionen vorzusehen, die von Drittparteien erbracht werden. Ziel ist es, sicherzustellen, dass der Ausstieg aus solchen Geschäftsbeziehungen ohne wesentliche Beeinträchtigung des Geschäftsbetriebs des Finanzinstituts erfolgen kann.

Exit-Strategien sollen dabei nicht isoliert betrachtet werden, sondern im Einklang mit der übergeordneten Strategie zum Management von Drittparteirisiken und mit den bestehenden Notfall- und Recovery-Plänen stehen. Die Leitlinien fordern, dass Finanzinstitute im Vorfeld bewerten, wie eine Migration zu einem anderen Dienstleister oder eine Re-Integration der ausgelagerten Funktion intern organisiert werden kann.  Darüber hinaus ist festgelegt, dass die Drittpartei im Fall einer Abwicklung des Instituts verpflichtet ist, die Funktion über einen angemessenen Übergangszeitraum hinweg weiter bereitzustellen, um eine wirksame Sanierung oder geordnete Abwicklung des Finanzinstituts zu ermöglichen. Diese Anforderungen stehen im engen Zusammenhang mit den Vorgaben aus der BRRD bzw. dem BaSAG und sind zudem konsistent mit den Zielen der DORA-Verordnung zur Stärkung der digitalen operativen Resilienz.

  • Konzentrationsrisiken und Aufsichtsinformation:

Wie schon in DORA gefordert, müssen Finanzinstitute auf Gruppenebene erfassen, welche Drittparteien kritische Funktionen für sie übernehmen.

Wenn sich Konzentrationsrisiken durch die Einbindung derselben Dienstleister zeigen, haben Aufsichtsbehörden diese genau zu überwachen und müssen mögliche Auswirkungen auf andere Banken und das Finanzsystem prüfen. Bei Bedarf informieren sie auch die Abwicklungsbehörden über neu erkannte kritische Funktionen. So sollen systemische Risiken frühzeitig erkannt und gemanagt werden.

Handlungsbedarf für Finanzinstitute

Für Finanzinstitute ergibt sich akuter Handlungsbedarf. Die bestehenden Prozesse zur Steuerung externer Dienstleister müssen überprüft und an die neuen Vorgaben angepasst werden – insbesondere in Bezug auf Governance, Risikoanalyse und Dokumentation. Ein isolierter Fokus auf DORA genügt nicht mehr: Drittparteirisiken müssen ganzheitlich betrachtet und übergreifend gesteuert werden.

Ausblick

Noch bis zum 8. Oktober 2025 können Finanzinstitute und Branchenvertreter ihre Stellungnahmen einreichen. Die EBA wird die Rückmeldungen aus der Konsultation bei der finalen Ausarbeitung der Leitlinien berücksichtigen.

Die EBA macht deutlich: Wer Drittparteirisiken nicht aktiv und strategisch steuert, gefährdet langfristig Stabilität und Wettbewerbsfähigkeit. Die neuen Leitlinien schaffen den Rahmen für ein zukunftsfähiges Risikomanagement in einer zunehmend ausgelagerten Wertschöpfungskette.

Den regulatorischen Entwurf finden Sie hier: Consultation Paper on draft Guidelines on the sound management of third-party risk

Wie wir Sie unterstützen können?

Bereits heute können Sie mit Umsetzungsplänen die zukünftigen regulatorischen Entwicklungen vorwegnehmen und strategische Schritte planen:

  1. Durchführung einer Gap-Analyse zu den Anforderungen des Konsultationspapiers der EBA zu Drittparteirisiken
  2. Überprüfung und Aktualisierung der erweiterten Anforderungen für Drittparteidienstleister, damit Sie Risiken frühzeitig identifizieren und managen können
  3. Durchführung von Due Diligence Assessments von Drittparteidienstleistern
  4. Challenge der relevanten Verträge mit Drittanbietern, um die Compliance mit den Anforderungen der EBA zu überprüfen
  5. Entwicklung von Exit-Strategien und Einbettung in Business Continuity, unter Berücksichtigung der Anforderungen aus der Abwicklungsplanung

Unser Anliegen ist es, Sie stets auf dem neuesten Informationsstand zu halten. Auch in herausfordernden Zeiten sind wir ein verlässlicher Partner für Sie und stehen mit Rat und Tat zur Seite.

Unsere Experten

Tim Schabert

Partner Advisory, KPMG 

Manuel Mairhuber

Senior Manager, KPMG Austria

Bernhard Pechlaner

Senior Manager, KPMG Austria

Mehr erfahren

Cybersecurity - DORA
Cybersecurity - DORA
Digital Operational Resilience Act: In eine sichere und resiliente Zukunft der Finanzbranche
Digital Operational Resilience Act: In eine sichere und resiliente Zukunft der Finanzbranche
Digital Operational Resilience Act: In eine sichere und resiliente Zukunft der Finanzbranche
3 Minuten Lesezeit

Gewährleistung der Geschäftskontinuität während IKT-Vorfällen: Umsetzung der Anforderungen und Unterstützung durch KPMG

Gewährleistung der Geschäftskontinuität während IKT-Vorfällen: Umsetzung der Anforderungen und Unterstützung durch KPMG

Gewährleistung der Geschäftskontinuität während IKT-Vorfällen

Das Bild zeigt die Innenansicht eines bunten Regenschirms, der in einem Regenbogenmuster gestaltet ist. Die Farben verlaufen von Violett über Rot, Orange, Gelb, Grün bis hin zu Blau. Die Streben des Schirms sind deutlich sichtbar und erstrecken sich von der Mitte nach außen. Das Licht scheint durch den Stoff des Schirms, wodurch die Farben lebendig und strahlend wirken. Der zentrale Stab des Schirms ist ebenfalls zu sehen und verleiht dem Bild eine geometrische Struktur.
Das Bild zeigt die Innenansicht eines bunten Regenschirms, der in einem Regenbogenmuster gestaltet ist. Die Farben verlaufen von Violett über Rot, Orange, Gelb, Grün bis hin zu Blau. Die Streben des Schirms sind deutlich sichtbar und erstrecken sich von der Mitte nach außen. Das Licht scheint durch den Stoff des Schirms, wodurch die Farben lebendig und strahlend wirken. Der zentrale Stab des Schirms ist ebenfalls zu sehen und verleiht dem Bild eine geometrische Struktur.
Delegierte Verordnung und Durchführungsverordnung zu DORA i. Z. m. IKT-bezogenen Vorfällen veröffentlicht
Delegierte Verordnung und Durchführungsverordnung zu DORA i. Z. m. IKT-bezogenen Vorfällen veröffentlicht
Delegierte Verordnung und Durchführungsverordnung zu DORA i. Z. m. IKT-bezogenen Vorfällen veröffentlicht
1 Minute Lesezeit

Insurance News

Insurance News

Insurance News

Börsenkurse
Börsenkurse
Financial Services
Financial Services
Financial Services

Die Stabilität des Finanzsektors ist wichtig für das Wirtschaftssystem. Die entwickelten, regulatorischen Anforderungen sollen den Prozess fördern.

Die Stabilität des Finanzsektors ist wichtig für das Wirtschaftssystem. Die entwickelten, regulatorischen Anforderungen sollen den Prozess fördern.

Die Stabilität des Finanzsektors ist wichtig für das Wirtschaftssystem.

Monitore
Monitore
Due Diligence
Due Diligence
Due Diligence

Detaillierte und systematische Analyse Ihrer Daten

Detaillierte und systematische Analyse Ihrer Daten

Detaillierte und systematische Analyse Ihrer Daten