Skip to main content

Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk: Ein Praxis-Leitfaden

S+P Outsourcing

Die korrekte Abgrenzung von Auslagerungen und Fremdbezug ist eine der zentralen Herausforderungen im modernen Auslagerungsmanagement (AT 9 MaRisk). Fehler bei dieser Abgrenzung von Auslagerungen können zu gravierenden Feststellungen in Sonderprüfungen führen.

Wann liegt eine Auslagerung nach § 25b KWG vor und wann handelt es sich lediglich um sonstigen Fremdbezug? In diesem Beitrag erfahren Sie, welche Kriterien für eine rechtssichere Abgrenzung von Auslagerungen entscheidend sind und wie Sie Ihre Auslagerung MaRisk-konform steuern.

Abgrenzung von Auslagerungen und Fremdbezug nach MaRisk: Ein Praxis-Leitfaden

Was ist eine Auslagerung? Begriffsdefinition nach MaRisk

Nicht jeder Einkauf von Dienstleistungen fällt unter den Begriff der Auslagerung. Gemäß MaRisk AT 9 liegt eine Auslagerung nur dann vor, wenn ein anderes Unternehmen mit der Wahrnehmung von Aktivitäten und Prozessen beauftragt wird, die:

  1. im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen stehen und

  2. ansonsten vom Institut selbst erbracht würden.

Eine detaillierte Anleitung zur Entscheidungsfindung finden Sie in unserem Beitrag: Wann handelt es sich um eine Auslagerung?

Zivilrechtliche Verträge allein schließen das Vorliegen einer Auslagerung nicht aus. Entscheidend für die Abgrenzung von Auslagerungen ist der funktionale Zusammenhang zum Kerngeschäft.

Kriterien für die Einordnung als Auslagerung

Für die Klassifizierung im Rahmen der Abgrenzung von Auslagerungen ist es unerheblich:

  • Welche Rechtsform das Auslagerungsunternehmen besitzt.

  • Ob die Auslagerung dauerhaft oder temporär ist.

  • Ob ein Beteiligungsverhältnis besteht (Konzernprivileg existiert in diesem Sinne nicht pauschal).

  • Ob die Aktivitäten räumlich getrennt erbracht werden.

Abgrenzung: Was ist keine Auslagerung (Fremdbezug)?

Der bloße Fremdbezug von Gütern und Dienstleistungen (Einkauf) ist keine Auslagerung im Sinne des § 25b KWG. Hier gelten „nur“ die allgemeinen Anforderungen an die Geschäftsorganisation (§ 25a KWG), nicht jedoch die strengen Anforderungen des AT 9 MaRisk.

Beispiele für Fremdbezug (Keine Auslagerung):

  • Allgemeine Services: Postzustellung, Reinigungsdienste, Gärtnerei, Kantine, Wachschutz.

  • Infrastruktur: Strom-, Wasser- und Gasversorgung, Abfallentsorgung.

  • Beratung: Rechts- und Steuerberatung (sofern keine Daueraufgabe wie z.B. die komplette Innenrevision ausgelagert wird), einmalige Unternehmensberatung.

  • Handelsübliche Software: Standardsoftware ohne individuelle Anpassung (z.B. Office-Pakete).

  • Marktdaten: Bezug von Informationsdiensten wie Reuters oder Bloomberg (reiner Datenbezug).

  • Pflichtprüfungen: Abschlussprüfungen durch Wirtschaftsprüfer.

  • Zentralbankfunktionen: Nutzung von Clearingstellen im Zahlungsverkehr.

Wichtige Unterscheidung bei Software

Ein häufiges Streitthema bei der Abgrenzung von Auslagerungen in Prüfungen ist die IT. Hier gilt:

  • Fremdbezug: Standard-Software (Commercial off-the-shelf).

  • Auslagerung: Software, die individuell für das Institut angepasst wird oder kritische Bankprozesse (z.B. Kernbanksysteme, Risikomanagement-Tools) abbildet.

Sonderfälle in der Abgrenzung

1. Spezialfonds und KVG-Dienstleistungen

Stellt das Depot-A-Management oder die Nutzung von Risikokennzahlen einer Kapitalverwaltungsgesellschaft (KVG) eine Auslagerung dar?

  • Keine Auslagerung: Die reine Vermögensverwaltung durch die KVG und die Lieferung von Rohdaten (Durchschau-Daten).

  • Potenzielle Auslagerung: Wenn das Institut Risikokennzahlen (z.B. Value at Risk), die von der KVG geliefert werden, ungeprüft und unvalidiert in die eigene Risikotragfähigkeitsrechnung übernimmt. Hier fehlt die eigene gedankliche Leistung des Instituts.

2. Cloud-Dienstleistungen

Die Nutzung von Cloud-Services wird von der Aufsicht (BaFin und EBA) zunehmend kritisch beleuchtet. Handelt es sich um wesentliche Daten oder Prozesse, ist die Cloud-Nutzung bei der Abgrenzung von Auslagerungen fast immer als wesentliche Auslagerung einzustufen.

Pflichten bei Vorliegen einer Auslagerung

Wurde eine Dienstleistung im Prozess der Abgrenzung von Auslagerungen eindeutig als solche identifiziert, greifen die Pflichten nach § 25b KWG und MaRisk AT 9. Ein robustes Third Party Risk Management (Governance Regelungen) ist hierfür unerlässlich.

  1. Risikoanalyse: Vor Beginn der Auslagerung muss eine detaillierte Risikobewertung von Auslagerungsvereinbarungen durchgeführt werden.

  2. Auslagerungsvertrag: Schriftliche Fixierung von Zugangs-, Informations- und Prüfungsrechten sowie Kündigungsrechten. Dies sichert Ihre Kontrollfähigkeit.

  3. Zentrales Auslagerungsmanagement: Steuerung und Überwachung der Risiken, inklusive der Prüfung potenzieller Interessenkonflikte gemäß EBA-Guidelines.

  4. Integration in das IKS: Die Prozesse der Auslagerung müssen in das interne Kontrollsystem einbezogen werden.

  5. Notfallkonzept: Strategien für den Fall, dass der Dienstleister ausfällt. Hierfür sind klare Ausstiegsstrategien (Exit Strategies) zu definieren.

EBA Guidelines & MaRisk: Verschärfte Anforderungen

Die EBA Guidelines on Outsourcing haben den Begriff der Auslagerung europäisch harmonisiert. Besonders wichtig ist die Unterscheidung in „kritische/wesentliche“ Funktionen.

Wann genau eine Funktion als kritisch gilt, erfahren Sie in unserem Artikel: Kritische oder wesentliche Funktionen bei Auslagerungen.

Eine Auslagerung gilt als wesentlich/kritisch, wenn ein Ausfall der Dienstleistung:

  • die Einhaltung der Zulassungsvoraussetzungen gefährdet,

  • die finanzielle Performance oder Solidität wesentlich beeinträchtigt,

  • die Kontinuität der Bankdienstleistungen stört.

Die operative Auslagerung von internen Kontrollfunktionen (Compliance, Risikocontrolling, Interne Revision) gilt laut EBA und MaRisk stets als wesentliche Auslagerung.

Checkliste: Auslagerung vs. Fremdbezug

Kriterium Spricht für Fremdbezug Spricht für Auslagerung
Bezug zum Kerngeschäft Kein direkter Bezug (z. B. Gebäudereinigung) Direkter Bezug (z. B. Kreditbearbeitung, IT-Betrieb)
Individualität Standardprodukt für viele Marktteilnehmer Individuelle Anpassung für das Institut erforderlich
Dauer Einmalig oder gelegentlich Dauerhaft oder wiederkehrend
Erbringung intern möglich? Nein, typischerweise extern (z. B. Strom) Ja, könnte vom Institut selbst erbracht werden
Risikogehalt Niedrig / allgemeines Geschäftsrisiko Hoch / operatives Risiko, Reputationsrisiko

Fazit

Die Abgrenzung von Auslagerungen ist kein einmaliger Vorgang. Sie muss regelmäßig im Rahmen der Risikoinventur überprüft werden. Dokumentieren Sie Ihre Entscheidung („Warum ist das Fremdbezug?“), um in Prüfungen auskunftsfähig zu sein.

Ein zentrales Instrument hierfür ist das Auslagerungsregister als Basis des Risikomanagements. Es schafft Transparenz über alle Fremdbezüge und Auslagerungen. Ein starkes Auslagerungsmanagement schützt das Institut vor Sanktionen und sichert die operative Stabilität.

Nächster Schritt: Überprüfen Sie Ihr aktuelles Auslagerungsregister auf „Fremdbezüge“, die aufgrund neuerer MaRisk-Novellen eventuell umklassifiziert werden müssen.

FAQ – Häufige Fragen zur Abgrenzung nach MaRisk

  • Wann liegt eine Auslagerung gemäß § 25b KWG vor?

    Eine Auslagerung liegt vor, wenn ein Institut ein anderes Unternehmen damit beauftragt, banktypische Aktivitäten oder Prozesse zu übernehmen, die das Institut ansonsten selbst erbringen würde.

    Entscheidend ist der funktionale Zusammenhang zum Bankgeschäft bzw. zur Finanzdienstleistung.

  • Was gilt als „sonstiger Fremdbezug“?

    Sonstiger Fremdbezug liegt vor, wenn Güter oder Dienstleistungen nicht das bankfachliche Kerngeschäft betreffen.

    Typische Beispiele:

    • Strom- und Wasserversorgung
    • Reinigungsdienste
    • Gärtner- und Gebäude-Service
    • einmalige Beratungsleistungen

    Hier greift § 25b KWG nicht.

  • Zählt der Einkauf von Software immer als Auslagerung?

    Nein. Der Bezug von Standardsoftware (z. B. Office, Standard-Buchhaltung) ist in der Regel Fremdbezug.

    Eine Auslagerung liegt jedoch vor, wenn die Software:

    • für das Institut individuell angepasst wird oder
    • kritische Prozesse abbildet (z. B. Kernbanksystem, Risikomanagement).

    Solche Fälle gelten oft als wesentliche Auslagerung.

  • Wie sind Cloud-Dienstleistungen einzustufen?

    Die Aufsicht (BaFin & EBA) stuft Cloud-Services für relevante Bankprozesse regelmäßig als Auslagerung ein.

    Grund:

    • Verarbeitung sensibler Daten
    • Abhängigkeit von IKT-Dienstleistern
    • erhöhte Anforderungen an IT-Sicherheit & Notfallmanagement

    Oft handelt es sich um eine wesentliche Auslagerung.

  • Kann ich die Verantwortung für ausgelagerte Prozesse abgeben?

    Nein. Auch bei einer Auslagerung bleibt die Gesamtverantwortung bei der Geschäftsleitung des Instituts.

    Eine Übertragung der Haftung auf den Dienstleister ist aufsichtsrechtlich ausgeschlossen.

  • Was ist der Unterschied zwischen „wesentlicher“ und „nicht wesentlicher“ Auslagerung?

    Eine Auslagerung ist wesentlich, wenn Risiken die:

    • finanzielle Lage,
    • Solvenz oder
    • Geschäftskontinuität

    des Instituts gefährden können.

    Bei wesentlichen Auslagerungen greifen strenge Anforderungen des MaRisk AT 9, u. a.:

    • Benennung eines Auslagerungsbeauftragten
    • detaillierte Exit-Strategie
    • erweiterte Vertrags- & Prüfpflichten

Weitere relevante Themen

Vertiefen Sie Ihr Wissen zu den regulatorischen Anforderungen und nutzen Sie unsere Praxis-Leitfäden für eine sichere Governance-Struktur:

  • Auslagerung der Internen Revision bei Banken Direkt zu unserem Leistungsangebot: Erfahren Sie, wie wir als externe Revision Ihre Compliance sicherstellen und Sie bei der Umsetzung der MaRisk-Anforderungen (BT 2) effizient entlasten.

  • Auslagerung der besonderen Funktion Die Interne Revision zählt (neben Compliance und Risikocontrolling) zu den „besonderen Funktionen“. Lesen Sie hier, welche spezifischen Hürden und Genehmigungspflichten bei deren Auslagerung gelten.

  • Die 9 Top Findings im Auslagerungscontrolling Lernen Sie aus den Fehlern anderer: Dieser Artikel fasst die häufigsten Feststellungen aus Sonderprüfungen zusammen – von fehlenden Notfallkonzepten bis zur mangelhaften Steuerung von Sub-Dienstleistern.

  • Auslagerungscontrolling: Ausfall des Dienstleisters Was passiert, wenn Ihr Auslagerungspartner ausfällt? Die MaRisk fordern konkrete Ausstiegsszenarien und Notfallpläne. Hier erfahren Sie, wie Sie diese Exit-Strategien revisionssicher dokumentieren.

  • MaRisk: Was ändert sich beim Auslagerungsmanagement? Die regulatorischen Anforderungen sind im stetigen Wandel. Dieser Beitrag gibt Ihnen einen Überblick über die verschärften Pflichten im zentralen Auslagerungsmanagement (ZAM) und Risikoregister.