Finanzinstitute lagern zunehmend Prozesse wie bspw. den IT-Betrieb aus, um sich auf ihr Kerngeschäft zu konzentrieren, Arbeits- und Geldressourcen zu sparen und externe Expertise zu nutzen. Um am Markt weiterhin erfolgreich zu agieren, müssen Finanzinstitute ihre Risiken kennen und steuern – insbesondere beim Fremdbezug und Auslagerungsmanagement. Den Rahmen hierzu bilden die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen MaRisk – die Mindestanforderungen an das Risikomanagement. Mit der 6. MaRisk-Novelle 2021 wurden die Anforderungen an das Auslagerungsmanagement deutlich erweitert.

Was die MaRisk sind, wie sie das Auslagerungsmanagement reglementieren und wie dies am Beispiel der Fernsignatur aussieht, erfährst du in diesem Blogartikel.

Definition: Was sind die MaRisk?

Die Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk, sind Verwaltungsanweisungen, die erstmals 2005 von der BaFin für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Sie konkretisieren die Regelungen einer ordnungsgemäßen Geschäftsorganisation (§ 25a KWG) und sind die Umsetzung der qualitativen Anforderungen aus Basel II bzw. Basel III an das Risikocontrolling von Banken und die entsprechenden bankaufsichtlichen Überprüfungsprozesse in deutsches Recht. Sie sollen der Aufsichtsbehörde eine gleichbleibende Anwendung gegenüber den Finanzinstituten ermöglichen und Rechts- sowie Planungssicherheit schaffen.

Wieso ist gutes Auslagerungsmanagement wichtig?

Im Bestreben, sich nur noch auf das Kerngeschäft zu fokussieren, prüfen viele Finanzinstitute, ob Tätigkeiten wie bspw. Wach-, Reinigungs-, oder IT-Dienste ausgelagert werden können. Die MaRisk beschreiben dabei, welche Bereiche unter welchen Voraussetzungen ausgelagert werden dürfen. Sofern also eine Tätigkeit „verlagert“ werden soll, startet das Auslagerungsmanagement. Es gilt umfangreiche Prüfungen zu vollziehen und auch nachgelagert das beauftragte Unternehmen und den Auslagerungsvertrag ständig zu monitoren und das daraus resultierende operative Risiko zu bewerten. Das Grundprinzip ist dabei, dass weder dem Unternehmen noch der Aufsicht Nachteile durch die Auslagerung entstehen dürfen und volle Durchgriffs- und Kündigungsrechte bestehen müssen, selbst wenn der Subunternehmer die Leistungen an weitere Subunternehmer vergibt.

Wie sind die MaRisk aufgebaut?

Die MaRisk unterteilen sich in einen Allgemeinen Teil (AT) und einen Besonderen Teil (BT), der sich wiederum in Unterkapital für einzelne Unternehmensbereiche der Finanzwirtschaft aufteilt, beispielsweise für das Kredit- oder Handelsgeschäft, aber auch für das Risikomanagement und die Revision. Die Einhaltung der MaRisk zu prüfen, ist eine Aufgabe der Wirtschaftsprüfer im Rahmen ihrer regulären Jahresabschlussprüfung; darüber hinaus ist sie Gegenstand von Sonderprüfungen („44er-Prüfungen“). In den letzten Jahren wurden die MaRisk fortwährend überarbeitet. Zuletzt brachte die 8. Novelle (MaRisk-Rundschreiben aus 2024) beispielsweise neue Vorgaben insbesondere zu Kreditspreadrisiken im Anlagebuch (IRRBB) und sie passte die Anforderungen an das Risikomanagement für Institute an, die dem Zahlungsdiensteaufsichtsgesetz unterliegen. Auch Anforderungen an die IT-Sicherheit und das Nachhaltigkeitsmanagement (ESG) sowie interne Kontrollsysteme und Governance wurden hierin gestärkt und verbessert.

So konkretisiert die MaRisk Novelle 2021 Regelungen in Bezug auf das Auslagerungsmanagement

Da sich Finanzinstitute mehr und mehr für Ihren IT-Betrieb in fremden Rechenzentren (Hosting) entschieden und Cloudstrategien verfolgen, sah sich die BaFin im Jahr 2021 in der Verantwortung, die MaRisk hinsichtlich der Regelungen zum Auslagerungsmanagement zu konkretisieren (AT 9 MaRisk). Die Novelle schreibt dabei viele Sachverhalte fest, die ohnehin Gegenstand der Prüfungspraxis waren. Sie wurden bereits in Publikationen wie dem „Merkblatt der BaFin zu Auslagerungen an Cloud-Anbieter“, den „Bankaufsichtliche Anforderungen an die IT“ (BAIT) oder den „EBA Guidelines on Outsourcing Arrangements“ („EBA Leitlinien zu Auslagerungen“ – EBA/GL/2019/02) veröffentlicht und – zumindest in Teilen – schon von den Finanzinstituten aus eigenem Interesse eingehalten.

Verstärktes Berichtswesen und verbessertes Monitoring beim Auslagerungsmanagement

Die 6. MaRisk-Novelle konkretisiert zentrale Elemente des Auslagerungsmanagements, insbesondere die folgenden:

Die Rolle des/der Auslagerungsbeauftragten

Festgehalten ist, wonach ein:e zentrale:r Auslagerungsbeauftragte:r einzurichten ist, die/der auch die Überwachung und Steuerung von Auslagerungen zu übernehmen hat. Je nach Bedeutung und Größe des Finanzinstituts ist der:die Auslagerungsbeauftragte durch ein weitergehendes Auslagerungsmanagement zu unterstützen. Aufgabe des:der Auslagerungbeauftragte:n ist neben der Erstellung des jährlichen – sowie neu – anlassbezogenen Auslagerungsberichts auch, ihn/sie bei der Überwachung und Steuerung von nicht wesentlichen Auslagerungen einzubinden. Der/die Auslagerungsbeauftragte sollte mindestens einer Organisationseinheit angehören, die direkt der Geschäftsleitung unterstellt ist. In kleineren Instituten kann diese Funktion auch direkt von einem Mitglied der Geschäftsleitung übernommen werden und bei wenig komplexen Instituten genügt sogar eine Berichterstattung im Rahmen einer Vorstandssitzung.

Durchführung einer Risikoanalyse

Schon vor der MaRisk-Novelle 2021 sahen die MaRisk vor, dass vor (und natürlich auch während) einer Auslagerung eine Risikoanalyse vorzunehmen ist. Hierbei ist u.a. festzustellen, ob es sich um eine wesentliche oder eine nicht wesentliche Auslagerung (für die dann die Regularien der MaRisk nicht bzw. nur abgemindert gelten) handelt. Bei der Risikoanalyse stellt die Aufsicht nun nochmals die Vollumfänglichkeit klar: Im Sinne einer echten 360-Grad-Risikobetrachtung sind alle relevanten Punkte „abzuklopfen“, einschließlich einer Szenarioanalyse. Auslagerungen sollen eben nicht zu einer Aushöhlung der Unternehmenshülle führen, weswegen gewisse Unternehmensteile grundsätzlich nicht auslagerbar sind.

Führung eines Auslagerungsregisters

Schlussendlich hat das Finanzinstitut neben dem schon beschriebenen Auslagerungsbericht ein Auslagerungsregister zu führen, das alle Auslagerungstatbestände, inklusive der verbandsinternen Auslagerungen, ausweist. Die MaRisk-Novellierung verweist im Hinblick auf den Inhalt des Auslagerungsregisters auf die Textziffern 54 (für alle Auslagerungen) bzw. 55 (für wesentliche Auslagerungen) der EBA-Leitlinien zu Auslagerungen (EBA/GL/2019/02). Allein schon für externe wie interne Prüfungszwecke, wie auch der Vollständigkeitsprüfung im Sinne der Risikoanalyse sollte ein derartiges Register sinnvoll sein, wenngleich es nun explizit gefordert wird. In der Praxis sollten Finanzinstitute zumindest eine professionelle Vertragsmanagementlösung einsetzen, die mit ein paar ergänzenden Feldern den Anforderungen einer EBA-Leitlinien-konformen Datenhaltung gerecht werden kann.

Versicherungen im digitalen Wandel: Treiber, Hemmnisse, Lösungsansätze & der Nutzen von KI

Jetzt lesen

Konkretere Anforderungen an den Auslagerungsvertrag und Schaffung eines Auslagerungsregisters

Zum Inhalt des Auslagerungsvertrages gibt es ebenfalls Konkretisierungen. Neben Selbstverständlichkeiten wie der Dauer, der Textform oder dem anzuwendenden Recht des Vertrages erwartet die BaFin auch Vereinbarungen über

den Standort, an dem Dienstleistungen erbracht oder Daten gespeichert und verarbeitet werden,
die Dienstleistungsgüte mit eindeutigen Leistungszielen,
die Angabe, ob für gewisse Risiken Versicherungen des Auslagerungsunternehmens vorliegen,
die vorliegenden Notfallkonzepte und
Regelungen, inwieweit die Verhaltenskodexe der Vertragsparteien im Einklang zueinanderstehen.

Weiter wird in den Erläuterungen des MaRisk-Rundschreibens von 2021 konkretisiert, dass Informations- und Prüfungsrechte vorausschauend auch für nicht wesentliche Auslagerungen zu vereinbaren sind, sofern absehbar ist, dass sich diese in wesentliche Auslagerungen wandeln können. Diese Rechte müssen dabei auch Zugangs- und Prüfungsrechte bei den Auslagerungsunternehmen umfassen. Das heißt, wenn man hier einmal das Hosting- und Cloudgeschäft betrachtet, dass zum Beispiel in den Rechenzentren der Software-Anbieter MaRisk-konforme Zugangsrechte gelten.

Und schließlich müssen einerseits das Auslagerungsunternehmen beim Fall einer Vertragskündigung bei der Re-Transformation unterstützen und andererseits die ausgelagerten Daten auch im Falle einer Insolvenz oder einer Geschäftsbeendigung zur Verfügung stehen.

Weiterverlagerungen von Auslagerungen – also „Sub-Subunternehmensverhältnisse“ – entbinden das ursprüngliche Auslagerungsunternehmen nicht von seinen Berichtspflichten. Dabei sind auch alle sonstigen eingegangenen Verpflichtungen auf den Subunternehmer zu übertragen, damit durch derartige Vertragskonstruktionen keine Aushöhlung erfolgt. Aufgrund des umfangreichen Berichtswesens müssen solche Vertragsketten transparent sein.

Im Rahmen des Risikomonitorings sind dabei übrigens neben der Qualität der erbrachten Leistungen auch die durch das Auslagerungsunternehmen erbrachten Informationen zu bewerten. Für Finanzverbünde gelten dabei Erleichterungen, sofern auf Verbandsebene ein einheitliches Risiko– bzw. Auslagerungsmanagement betrieben und die Risiken auf Verbandsebene reduziert bzw. übertragen werden.

Digitales Dokumentenmanagement für Ihr Finanzunternehmen: so einfach geht’s

Jetzt ansehen

Konkretisierung von nicht wesentlichen Auslagerungen und sonstigem Fremdbezug

Hier konkretisieren die bankaufsichtlichen Erläuterungen zum Rundschreiben 10/2021, dass ohnehin kaum als Auslagerung klassifizierte Tätigkeiten, wie die Übermittlung von Zahlungsverkehrsdaten oder die Nutzung von Marktinformationsdiensten, einen „sonstigen Fremdbezug“ darstellen, für den die Regelungen der MaRisk nicht gelten. Hier schafft die BaFin insofern mehr Klarheit und Erleichterungen, dass die beaufsichtigten Finanzinstitute sich auf die „wesentlichen Auslagerungen“ fokussieren können. Dies bedeutet jedoch nicht, dass Finanzinstitute ihrer Verpflichtung, der Prüfung derartiger Fremdbezugsleistungen und die vertraglichen Grundlagen verantwortungsvoll und im Sinne einer Risikominderungsstrategie zu prüfen, nicht nachkommen müssen. Als deutscher Anbieter liegen uns diese Anforderungen ebenfalls am Herzen.

Eine zentrale Frage im Auslagerungsmanagement: Liegt bei der Einführung neuer Softwarekomponenten eine Auslagerung vor?

Eine wichtige Frage, die es bei der Einführung neuer, insbesondere cloudbasierter Softwarekomponenten zu prüfen gilt, ist, ob hierbei eine Auslagerung vorliegt.

Die kurze Antwort: Es kommt drauf an

Mit der eben genannten Konkretisierung, dass ein „sonstiger Fremdbezug von Leistungen“ keine Auslagerung im Sinne von AT 9 MaRisk darstellt, ist wichtig, dass der Bezug von Software, auch soweit sie an die Bedürfnisse des Instituts angepasst wird, keine Auslagerung darstellt; dies gilt jedoch nicht für „Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist“ (Erläuterungen zum Rundschreiben der BaFin). Sprich: Hier ist weiter von einer Auslagerung auszugehen, auch soweit der Betrieb der Software durch einen externen Dritten erfolgt. Womit wir wieder beim Thema „Hosting“ bzw. „Cloud“ wären. Also ist eine Software – zumindest im Kontext der Nutzung als Archiv bzw. Dokumenten-/Enterprise Contentmanagement und Workflowplattform – als wesentliche Auslagerung zu bewerten.

Die Fokussierung auf die „bankgeschäftlichen Aufgaben“ bedeutet im Umkehrschluss aber auch die Klarstellung, dass Softwarekomponenten, die für die Abwicklung des Bankgeschäfts oder des Risikomonitorings nicht notwendig bzw. nicht von wesentlicher Bedeutung sind, nicht unter die engen Regelungen des Auslagerungsmanagements fallen.

Auslagerungsmanagement am Beispiel der Fernsignatur

Eine im Finanz- und Versicherungsumfeld typische Tätigkeit, ist das Unterschreiben von Verträgen. Anders als in vielen anderen Branchen werden hier die Verträge üblicherweise schriftlich geschlossen, auch wenn eine Schriftformerfordernis meist nicht vorliegt. Die Aufsicht verlangt inzwischen zudem, dass Meldungen digital signiert eingereicht werden. Eine bequeme Art ist dabei die Nutzung einer cloudbasierten Fernsignatur.

Wie funktioniert die Fernsignatur?

Bei der Fernsignatur wird ein Dokument über den Browser in eine Signaturlösung hochgeladen. Dort wird die Signaturposition festgelegt und das Dokument an einen Signaturserver übermittelt. Dieser erstellt einen Hashwert und sendet ihn an einen zertifizierten Vertrauensdiensteanbieter (z. B. d.trust). Nach erfolgreicher Authentifizierung wird das Signaturzertifikat erzeugt und mit dem Dokument verknüpft. Das signierte Dokument steht anschließend zum Download bereit – der gesamte Vorgang erfolgt automatisiert und dauert nur wenige Sekunden.

Das Unterzeichnen gehört in der Finanzbranche zum Kerngeschäft und es wird eine Cloudlösung genutzt. Handelt es sich hierbei also um eine Auslagerung?

Gilt die Nutzung einer Fernsignatur als Auslagerung?

Es ist demnach zu prüfen, ob es sich um eine „institutionstypische“ Tätigkeit handelt. Hierunter können beispielsweise Analysetätigkeiten im Rahmen von Kreditmarktfolgetätigkeiten fallen. Das Unterschreiben hingegen ist eine allgemeine Tätigkeit, die nicht typisch für ein Finanzinstitut ist, sodass die Nutzung der Fernsignatur eher nicht als wesentliche Auslagerung zu werten ist. Nichtsdestotrotz sollte es Finanzinstituten am Herzen liegen, ihre zu signierenden Dokumente nicht jedem anzuvertrauen, sondern den Partner sorgfältig auszuwählen und datenschutzrechtliche Fragen wie zum Beispiel zur Verschlüsselung oder zu Berichtigungsmöglichkeiten genauestens zu prüfen.

Auswirkungen neuer EBA-Guidelines auf das Auslagerungsmanagement

Offenkundig ist es so, dass sich die BaFin-Regularien immer stärker an den Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) orientieren.

Es ist davon auszugehen, dass mit einer nächsten Novellierung der MaRisk die Anforderungen aus den EBA-Guidelines übernommen und angepasst werden. Damit verbunden ist eine stärkere Angleichung an europäische Vorgaben, was das bisherige Verständnis von „Auslagerung“ erheblich erweitern wird.
Deggendorfer Notiz 2025/06 | Juli 2025

Was gilt ab 2025?

Die MaRisk – insbesondere Abschnitt AT 9 – sowie § 25b KWG bleiben weiterhin zentrale rechtliche Grundlagen für das Auslagerungsmanagement von Finanzinstituten. Mit dem Inkrafttreten der DORA-Verordnung (Digital Operational Resilience Act) am 17. Januar 2025 und der neuen EBA-Guidelines zum Drittparteien-Risikomanagement (TPRM) wird das bestehende Rahmenwerk jedoch deutlich erweitert und teilweise neu definiert.

DORA gilt vorrangig für alle IKT-bezogenen Auslagerungen (z. B. Cloud-Dienste, Software, Infrastruktur), während die EBA-Guidelines ergänzend für Non-IKT-Dienstleistungen (z. B. Beratung, ESG-Prüfung, Facility Management) Anwendung finden. Beide Regelwerke bringen neue Anforderungen an Governance, Risikoüberwachung, Dokumentation und Registerführung mit sich. Die bisherigen nationalen Regelungen werden durch diese europäische Vorgaben überlagert, wobei DORA in vielen Fällen Vorrang genießt.

Bezogen auf das Auslagerungsmanagement können sich Finanzinstitute an der MaRisk Novelle 2021 orientieren, die einen Schwerpunkt auf diese Regelungen (AT 9) gelegt hat. Zusammenfassend müssen sie heute jedoch auch:

DORA-konforme Prozesse etablieren
ESG-Risiken berücksichtigen
IKT-Dienstleistungen differenziert bewerten
Vertragliche und organisatorische Anforderungen regelmäßig aktualisieren

Fazit: Auslagerungsmanagement als Chance für mehr Effizienz und Sicherheit

Natürlich kann man Verantwortung nicht outsourcen. Und natürlich muss ein Dienstleister darlegen, wo er mit den ihm anvertrauten Daten verbleibt und wie der Zugriff darauf erfolgt. Dadurch, dass einzelne Regelungen nun auf den Rang einer normeninterpretierenden Verwaltungsvorschrift gehoben werden, müssen sich auch Hosting- wie Cloudanbieter diesen Themenstellungen widmen und die Anforderungen erfüllen. Dies kann dazu führen, dass das Systemhosting wie auch das Cloudgeschäft für die Finanzwirtschaft einfacher wird, wenngleich sich Monitoring- und Berichtspflichten hierdurch nicht gerade reduzieren. Durch die verschärften Berichtspflichten sowie das verpflichtende Auslagerungsregister wird aber die Transparenz deutlich gesteigert und die Überwachung insgesamt vereinfacht. Hiervon kann das Risikomanagement auch profitieren und die Effizienz für das laufende Monitoring steigen.

Es bleibt festzuhalten: aufsichtliche Hemmnisse für die digitale Signatur sollten nicht bestehen und die Vorteile liegen auf der Hand. Mit d.velop setzen Sie auf einen in der Finanzbranche fest verankerten Partner, der Ihre Herausforderungen kennt. Und mit Produkten wie beispielweise der einem cloudbasierten und auf Ihre Bedürfnisse anpassbaren Dokumentenmanagement-System, einer elektronischen Signatur Software oder dem professionellen Vertragsmanagement Software nutzen Sie sichere, hochverfügbare und intuitiv zu bedienende Softwarelösungen.

Eine Reihe von Finanzinstituten setzt bereits d.velop sign ein. Wie das aussehen kann? Die Bürgschaftsbank Hessen macht es vor.

Zur Erfolgsgeschichte

Unverbindliches Beratungsgespräch buchen

Fordern Sie mit wenigen Klicks Ihr individuelles Beratungsgespräch zur Umsetzung von Compliance Anforderungen mit der Software von d.velop an.

Gesprächstermin vereinbaren

Einblicke in die Partnerschaft mit d.velop: Dominik Stange von addhucate im Interview

Registermodernisierungsgesetz (RegMoG): Smarte Verwaltung statt verstaubter Behörde

Verjährungsfristen von Rechnungen – Das gilt es zu wissen!

SAP Invoice – 5 Vorteile der digitalen Rechnungsverarbeitung in SAP

MaRisk AT 9: Auslagerungsmanagement im Überblick am Beispiel der Fernsignatur