EBA-Guidelines 2025: Drittparteirisiken im Fokus – Was Finanzinstitute jetzt tun müssen
In Zeiten rasant fortschreitender Digitalisierung, globaler Märkte und einer komplexen Lieferantenlandschaft stellt das Management von Risiken durch Dritte eine der großen strategischen Herausforderungen für europäische Finanzinstitute dar. Die Europäische Bankenaufsichtsbehörde (EBA) trägt dem nun mit einem neuen, sehr umfassenden Leitlinien-Entwurf Rechnung, der ab 2025 das klassische Outsourcing-Regelwerk ablöst und auf das gesamte Management von Drittparteirisiken („Third-Party Risk Management“, TPRM) zielt. Aber was bedeutet das konkret für Banken, Wertpapierinstitute, Zahlungs- und E-Geld-Institute – und welche Unterschiede bringt das neue Regelwerk gegenüber den bisherigen Outsourcing-Guidelines?
Dieser Artikel fasst für dich die wichtigsten Inhalte, Neuerungen und To-dos systematisch zusammen und bietet den schnellen Vergleich zwischen alter und neuer Leitlinie, einen Leitfaden für die Umsetzung sowie einen Überblick, welche Servicearten und Risiken besonders im Fokus stehen.
1. Hintergrund: Warum neue Leitlinien?
Finanzinstitute haben ihre Geschäftsmodelle stetig weiterentwickelt: Flexibilität, Effizienz, Kostenoptimierung und Konzentration auf Kernkompetenzen lassen sich längst nicht mehr ohne Drittdienstleister verwirklichen. Egal ob Cloud-Services, Datenverarbeitung, Kundenmanagement oder innovative Zahlungsdienste – überall entstehen Risiken durch externe Partner innerhalb und außerhalb der EU. Die EBA hatte mit ihren Leitlinien zu Auslagerungen (GL/2019/02) bereits einen klaren Rahmen geschaffen, der aber vor allem klassische Outsourcing-Beziehungen adressierte. Inzwischen ist die Bedeutung von Drittanbietern weit darüber hinausgewachsen: Viele Services sind weder klar als Auslagerung oder reine Dienstleistung zu klassifizieren – ihre Störung kann aber wesentlich werden!
Die neuen EBA-Leitlinien zur soliden Steuerung von Risiken durch Dritte greifen diese Entwicklung auf, harmonisieren regulatorische Vorgaben über Sektoren (inklusive MiCAR, DORA, IFD), setzen auf risikobasiertes, ganzheitliches Management und tragen auch internationalen Entwicklungen (z. B. FSB, BCBS) Rechnung (vgl. CP 2025/12, Hintergründe und Begründung)[1a].CP-on-Draft-Guidelines-on-sound-management-of-third-party-risk-de-1.pdf
2. Der neue Anwendungsbereich: Wer, was, ab wann?
Die neuen Leitlinien gelten umfassend für:
-
Kreditinstitute (unter CRD/CRR)
-
Wertpapierfirmen (außer kleine/nicht vernetzte gem. IFD/IFR)
-
Zahlungsinstitute und E-Geld-Institute (PSD2/EMD)
-
Emittenten von Asset-Referenced Tokens (MiCAR)
-
„Kreditgeber“ nach MCD (Wohnimmobilien)
-
Gruppen/Muttergesellschaften/Institute im Aufsichtsverbund
-
Nicht jedoch für reine Kontoinformationsdienstleister (Acht geben!)
Damit wird klargestellt: Nicht nur „klassisches Outsourcing“, sondern jede relevante Dienstleistungsbeziehung, in der wiederkehrend operative oder ggf. kritische Funktionen an Dritte übertragen werden, ist im Scope! (vgl. Definitionen; vgl. Zusammenfassung)
Übergangsregelungen
-
Leitlinien gelten für alle ab dem noch festzulegenden Startdatum neu geschlossenen oder geänderten Drittparteienvereinbarungen.
-
Bestehende Verträge müssen binnen maximal zwei Jahren überprüft/angepasst werden. Bei Verlängerung früher!
-
Dokumentationspflichten gelten spätestens ab dem ersten Verlängerungsdatum und müssen bis längstens zwei Jahre nach Geltungsbeginn vollständig umgesetzt sein (vgl. Umsetzung/Übergang).
3. Zentrale Begriffe: Was ist jetzt eine „kritische oder wichtige Funktion“?
Die EBA hält konsequent an einem funktionalen und risikobasierten Ansatz fest. Kernfrage: Wäre das Funktionieren des Instituts ernsthaft gefährdet, falls eine fremdvergebene Funktion ausfällt?
Als kritisch oder wichtig gelten Funktionen…
-
… deren Nicht-Erbringung die Einhaltung von Zulassungsbedingungen, regulatorischen Anforderungen, finanzieller Stabilität oder Kontinuität der Dienstleistung wesentlich beeinträchtigen kann.
-
… die operationellen Aufgaben der internen Kontrollfunktionen betreffen.
-
… für die eine behördliche Zulassung erforderlich ist (z.B. bestimmte Zahlungsdienste, Wertpapierhandel).
-
… die direkte Auswirkungen auf Geschäftsfortführung, Risikoprofil, Liquidität, Eigenkapital oder Reputation haben.
Der Scope geht über „klassisches Outsourcing“ hinaus, fokussiert aber besonders auf die kritischen/wichtigen Funktionen. Die Definition wird eng mit MiFID II, DORA, Solvency II etc. verzahnt, um Fragmentierung zu vermeiden (vgl. Begriffsbestimmungen/Definitionen, S. 20 ff.).
4. Vergleich alt vs. neu: Tabellarischer Überblick
Vergleich: EBA Outsourcing 2019 vs. Draft TPRM 2025
| Thema | EBA Outsourcing-Guidelines 2019 | EBA Draft TPRM-Guidelines 2025 | Kommentare / Neuerungen |
|---|---|---|---|
| Anwendungsbereich | CRD-Institute, Wertpapierfirmen (begrenzt) | Alle Finanzinstitute inkl. MiCAR, MCD, Gruppen | Stärkere Harmonisierung und Erweiterung |
| Scope | Klassisches Outsourcing | Jede Drittparteienvereinbarung (inkl. non-IT) | Schließt auch zwischengeschaltete Dritte ein |
| Definition kritisch | Fokus auf bestimmte Auslagerungen | Funktion/Service, deren Ausfall wesentliche Risiken fürs Institut/Zulassung birgt | Risikoorientiert, Split nach „kritisch/wichtig“ entsprechend MiFID/DORA |
| IT-Outsourcing / Cloud | Explizit erfasst, unverändert | IT: Verweisung auf DORA, Non-IT: neue Leitlinien | Klare Trennung IT (DORA) vs. Non-IT |
| Dokumentation | Register über Outsourcing-Vereinbarungen | Zentrales Register für alle Drittparteienvereinbarungen | Erweitert: Leitung, Risiken, Funktion, Kontrollen, Subunternehmer, Kosten |
| Prüf- & Zugangsrechte | Nur für kritische Funktionen gefordert | Jederzeit, auch für Aufsicht & Subunternehmer | Rechte der Behörden deutlich gestärkt |
| Vertragsinhalte | Kernpunkte definiert | Erweitert: Subunternehmer, Exit, Kontinuität, Notfallpläne | Umfassendere Vorgaben mit Fokus auf Resilienz |
| Gruppenanwendung | Separate Vorgaben, oft weniger streng | Gruppeninterne Vereinbarungen explizit im Scope, Kapitel „Proportionalität“ | Umgang mit Interessenkonflikten, Prüfung wie externe Dritte |
5. Zentrale Elemente der neuen Leitlinien – Das solltest du kennen
a) Governance und Verantwortlichkeiten
-
Das Leitungsorgan bleibt immer für alles verantwortlich, auch wenn Dritte eingebunden sind.
-
Für jede Drittparteienbeziehung müssen Rolle, Verantwortliche, Berichtslinien, Prüfungsrechte und Kontrollen klar geregelt sein.
-
Interne Kontrollen, Risikomanagement und eine jährliche Überprüfung der Richtlinie sind Pflicht.
b) Due Diligence & Bewertung
-
Vorvertragliche Prüfung der Drittanbieter auf Zuverlässigkeit, finanzielle Stabilität, Eignung, ESG-Standards etc.
-
Fokus auf Risiken: Operationell, rechtlich, reputativ, Konzentration (z. B. viele Services bei einem Anbieter), Substituierbarkeit.
c) Vertragsphase
-
Klare und umfassende Regelungen zu: Leistungsumfang, Subunternehmern, Kündigung, Audit-, Zugangs-, Informations- und Kontrollrechten.
-
Sicherstellen, dass Notfallpläne, Exit-Strategien und Wiederaufnahmepläne für jede kritische/ wichtige Funktion vorhanden sind.
d) Laufende Überwachung
-
Performance-Messung, Risiko- und Compliance-Monitoring auf Basis klarer KPIs/KCIs.
-
Regelmäßige Aktualisierung der Risiko- und Kritikalitätsbewertung, fortlaufende Schulung und Sensibilisierung.
-
Dokumentations- und Meldepflichten (Register, Änderungsanzeigen, wesentliche Vorfälle).
e) Übergangs- und Ausstiegsstrategien
-
Für jede relevante Funktion: Durchdachte, getestete Exit-Pläne (alternative Anbieter identifizieren, Datenübertragungen vorbereiten, Notfallszenarien spielen).
-
Die Vertragsklausel muss Übertragbarkeit an neue Anbieter oder Reintegration sicherstellen.
6. Umsetzung in der Praxis: Schritt-für-Schritt-Checkliste
Umsetzungsschritte: TPRM-Guidelines 2025
| Umsetzungsschritt | Wichtig für diese Rollen | Fristen / Hinweise |
|---|---|---|
| Erstellung/Abgleich TPRM-Richtlinie | Management, Compliance | 1 Jahr ab Inkrafttreten, jährliches Review |
| Identifikation und Bewertung aller Drittdienstleister | Einkauf, Fachbereich, IT | Laufende Anpassung, Registerpflicht |
| Kritikalität-/Wichtigkeitsbewertung | Risikomanager, interne Kontrolle | Pflicht für jede Funktion, bei Änderung aktualisieren |
| Vertragsüberarbeitung | Recht, Einkauf | Bei Neuabschluss, Änderung, Verlängerung |
| Einrichtung/Migration TPRM-Register | Compliance, IT, Risikomanagement | Bis spätestens 2 Jahre nach Gültigkeit, fortlaufend pflegen |
| Prüfungen (intern/extern) | Interne Revision, Risikomanagement | Mindestens jährlich, risikobasiert |
| Kommunikations-/Meldeprozesse | Meldewesen, Management | Bei Änderungen/Vorfällen unverzüglich Info |
| Ausstiegs-/Kontinuitätsplanung | Notfallmanagement, IT, Legal | Für jede kritische/wichtige Funktion |
7. Servicearten und Risikofaktoren: Überblickstabelle
Servicearten & typische Risiken im TPRM
| Serviceart | Beispiel | Typische Risiken | Besonderheiten |
|---|---|---|---|
| IT/Cloud Outsourcing | Cloud-Provider, SaaS-Plattform | Datenverlust, Zugriffsausfall, IT-Security, Datenschutz | DORA-Regime für IT, EBA-Leitlinien für non-IT |
| Operations Dienstleistungen | Dokumentenarchivierung, Payroll | Fehlerhafte Durchführung, Reputations- & Compliance-Risiken | Oft kritische interne Kontrollen |
| Kundendienst / Callcenter | Externes Callcenter, Chat-Bots | Falsche Beratung, Datenschutz | Sensibilität personenbezogener Daten |
| Zahlungsverkehr / Abwicklung | Externalisierung Clearing/Treasury | Liquiditäts-, Kredit-, Markt-, IT-Risiko | Kumulierte Konzentrationsrisiken |
| Back-Office-Services | Accounting, Compliance | Fehler, Versäumnisse, Haftungsfälle | Kritisch bei Auslagerung gesamter Prozesse |
| Investment-Services & Beratung | Portfolioverwaltung, Research | Fehleinschätzungen, Interessenkonflikt | Marktübliche Bedingungen beachten |
| Marketing & HR-Services | Recruitment, externe Werbung | Daten-/Imageverlust | Meist nicht kritisch, Ausnahme: Sicherheitsüberprüfung |
8. Typische Stolperfallen & Empfehlungen
-
Reiner Fokus auf Vertrag reicht nicht: Die laufende wirksame Steuerung, Überwachung und Nachsteuerung ist das Herzstück der neuen Leitlinien.
-
Konzentrationsrisiken nicht unterschätzen: Zu viele Funktionen/Dienstleistungen bei einem Anbieter oder miteinander verbundenen Dritten können im Krisenfall zu massiven Problemen führen (z. B. Systemausfall, Insolvenz, politische Risiken bei Drittstaaten).
-
Substituierbarkeit sicherstellen: Im Register und Risikovorfall muss schnell klar sein: Kann ich diese Funktion kurzfristig auf eine Alternative umstellen/reintegrieren?
-
Kultur & ESG rücken ins Zentrum: Menschenrechts- und Nachhaltigkeitsaspekte in der Partnerauswahl sind erstmals zwingende Prüffelder.
-
Interne Kontrollfunktion & Revision: Prüft regelmäßig mit risikobasierter Tiefe, wird dabei oft zum Key Player der TPRM-Governance.
9. Fazit: Ein neuer Standard für nachhaltige Wertschöpfung – und mehr Aufwand
Die neuen EBA-Leitlinien schaffen erstmals einen europaweit harmonisierten, umfassenden Rahmen für das Management von Drittparteirisiken. Die Anforderungen steigen deutlich – nicht nur an Compliance und Vertragsgestaltung, sondern vor allem an Governance, laufende Steuerung, Dokumentation und die Fähigkeit, auch unter Stress oder im Krisenfall handlungsfähig zu bleiben. Institute, die ihr TPRM bisher als „Pflichtthema“ betrachtet haben, sollten spätestens jetzt in einen ehrgeizigen Verbesserungsprozess starten. Die Digitalisierung und geopolitische Unsicherheit werden das Thema weiter treiben – der neue Rahmen macht alles robuster, aber kurzfristig komplexer.
Du möchtest wissen, wie dein Institut die neuen Anforderungen effizient umsetzen kann? Nutze die Checklisten und Tabellen aus diesem Artikel als ersten Leitfaden – aber setze frühzeitig auf ein stringentes Register, lückenlose Verträge und gelebtes Risikomanagement!
10. Weiterführende Ressourcen
-
„Entwurf der EBA-Leitlinien zur soliden Steuerung von Risiken durch Dritte“, Konsultationspapier CP/2025/12 (8. Juli 2025): Detaillierter Regelungstext, Übergangsbestimmungen, Definitionen.
-
„Leitlinien zu Auslagerungen“, EBA/GL/2019/02 (25.02.2019)
Hinweis: Die konkrete Umsetzung sollte individuell an die Risikostruktur, Größe und Prozesse deines Instituts angepasst werden. Die neuen Guidelines verlangen einen spürbaren kulturellen Wandel in Banken und Finanzdienstleistern – und lohnen sich, wenn sie zum robusten, proaktiven Risikomanagement führen.
FAQ: EBA-Guidelines 2025 – Third-Party Risk Management (TPRM)
-
Was ändert sich grundsätzlich mit den EBA-Leitlinien 2025?
Die neuen Leitlinien lösen das reine Outsourcing-Regelwerk ab und erweitern den Fokus auf alle Drittparteirisiken (TPRM) – inkl. non-IT-Services, Gruppenbeziehungen und zwischengeschalteten Dritten. IT-Themen verweisen explizit auf DORA; non-IT wird in den neuen Guidelines geregelt.
-
Wer ist vom neuen Anwendungsbereich betroffen?
Kreditinstitute, Wertpapierfirmen (ausgenommen kleine/nicht vernetzte), Zahlungs- und E-Geld-Institute, MiCAR-Emittenten von ART, MCD-Kreditgeber sowie Gruppen/Verbund. Nicht erfasst: reine Kontoinformationsdienstleister.
-
Ab wann gilt was? (Übergangsfristen)
Neue oder geänderte Vereinbarungen gelten ab dem Startdatum. Bestandsverträge sind grundsätzlich binnen max. 2 Jahren anzupassen (bei Verlängerung früher). Register- und Dokumentationspflichten müssen spätestens bis zum ersten Verlängerungsdatum, spätestens binnen 2 Jahren, vollständig umgesetzt sein.
-
Was gilt als „kritische oder wichtige Funktion“?
Funktionen, deren Ausfall Zulassung, regulatorische Pflichten, Stabilität, Kontinuität wesentlich beeinträchtigt, die interne Kontrollfunktionen betreffen oder die zulassungspflichtig sind. Die Definition ist mit MiFID II/DORA u. a. verzahnt.
-
Welche Governance-Anforderungen gelten?
Das Leitungsorgan bleibt verantwortlich. Rollen, Verantwortliche, Berichtslinien, Prüfungsrechte und Kontrollen müssen je Beziehung klar geregelt sein. Jährlicher Richtlinien-Review und Einbindung von Risikomanagement, internen Kontrollen und Revision sind Pflicht.
-
Wie läuft Due Diligence & Bewertung ab?
Vorvertragliche Prüfung auf Finanzstabilität, Eignung, Zuverlässigkeit, ESG; Analyse von operationellen, rechtlichen, Reputations-, Konzentrations- und Substitutionsrisiken. Laufende Re-Bewertungen sind vorgesehen.
-
Welche Mindestinhalte müssen Verträge abdecken?
Leistungsumfang, Subunternehmer, Audit-/Zugangs-/Informationsrechte, Kündigung/Exit, Notfall- und Wiederaufnahmepläne sowie Kontinuitätsregeln. Für IT gilt die DORA-Verweisung; non-IT folgt diesen Leitlinien.
-
Was ist in der laufenden Überwachung gefordert?
KPIs/KCIs zur Performance und Compliance, laufende Risiko- & Kritikalitätsbewertungen, Schulungen, Registerpflege und Meldeprozesse bei Änderungen oder Vorfällen. Prüfungen mind. jährlich risikobasiert.
-
Welche typischen Servicearten & Risiken stehen im Fokus?
u. a. IT/Cloud (Datenverlust, Ausfall; DORA-Regime), Operations (Fehler, Compliance), Callcenter (Beratungsfehler, Datenschutz), Zahlungsverkehr (Liquiditäts-/Markt-/IT-Risiko), Back-Office (Haftung), Investment-Services (Interessenkonflikte), Marketing/HR (Daten-/Imageverlust).
-
Was sind häufige Stolperfallen – und wie vermeide ich sie?
Nur Vertrag reicht nicht – Kern ist wirksame, laufende Steuerung; Konzentrationsrisiken aktiv managen; Substituierbarkeit planen und testen; ESG & Kultur früh prüfen; Revision als Key Player einbinden.
-
Welche To-dos haben Priorität?
TPRM-Richtlinie aktualisieren (1 Jahr), Drittparteien inventarisieren & bewerten, Kritikalität bestimmen, Verträge updaten, TPRM-Register einrichten/migrieren (spätestens 2 Jahre), Prüfungen & Meldewege aufsetzen, Exit/BCP pro kritischer/wichtiger Funktion.
S+P Compliance Services Studien – Überblick 2025/2026
| Studientitel | Fokus & Thema | Keyword / Themenfeld | Autor / Quelle |
|---|---|---|---|
| Kritische IT-Prozesse im Finanzsektor 2026 | DORA, IKT-Risiken und digitale Resilienz im Finanzsektor | DORA, ICT Risk Management | S+P Compliance Services |
| Private Equity 2026 – Innovationsmotor oder Innovationsbremse? | Internationale Benchmark-Analyse zu Innovation, Kapitalmarkt und Wachstum | Private Equity, Innovation, Benchmark | S+P Compliance Services |
| Der wahre Wettbewerbsvorteil 2030 – KI-Governance | Künstliche Intelligenz, Regulierung und Governance-Frameworks im globalen Vergleich | AI Act, KI-Governance, Compliance | S+P Compliance Services – KI Hub |
| From Industry 4.0 to Education 4.0 – The Future of Learning | Digitalisierung, Bildungssysteme und Future-Skills im internationalen Vergleich | Transformation, Education 4.0, Future Skills | S+P Compliance Services – Leadership Hub |
| Digital Currencies & Blockchain Compliance | MiCA-Verordnung, Blockchain-Regulierung und Krypto-Compliance | MiCA, Blockchain, Crypto-Compliance | S+P Compliance Services – Crypto Hub |
| Crossborder Expansion von FinTechs | Grenzüberschreitende Geschäftsmodelle, Lizenzierung und Aufsichtsrecht | FinTech, MiCA, Crossborder-Compliance | S+P Compliance Services – FinTech Hub |
| Der internationale Wettbewerb – Wie sich deutsche FinTechs behaupten | Marktpositionierung, Kapitalzugang und regulatorischer Vergleich EU–USA–Asien | FinTech, Marktvergleich, MiCA | S+P Compliance Services – FinTech Hub |
| FinTech-Marktstudie 2025–2030 – Deutschland, Europa & UK | Marktentwicklung, Kapitalströme und Regulierungsumfeld für FinTechs | FinTech, Regulation, Market Analysis | S+P Compliance Services – FinTech Hub |