DORA und die konsultierten Guidelines on the sound management of third-party risk

Einordnung und Bewertung

Die künstliche Trennung in „Auslagerung“ und „sonstigen Fremdbezug“ war fachlich häufig schon kontraproduktiv. Jetzt kommen „IKT“ vs. „Non-IKT“, „Third-Party Services“ (TPS) vs. „Outsourcing“ hinzu.

Diese zunehmende „Schubladisierung“ führt dazu, dass Organisationen zunächst viel Energie darauf verwenden müssen, überhaupt zu definieren, was etwas ist, anstatt sich direkt mit der Frage der Wesentlichkeit – also dem Wertbeitrag des Prozesses und der dafür beanspruchten Drittleistung –, der Risikoexposition und dem daraus resultierenden Steuerungsbedarf zu befassen.

Normenhierarchie und Zuständigkeiten

Der Digital Operational Resilience Act (DORA) – Verordnung (EU) 2022/2554 – ist unmittelbar geltendes EU-Recht und enthält spezifische Vorgaben zum Umgang mit IKT-Risiken in Finanzunternehmen. DORA schafft einen EU-weit einheitlichen Rahmen für IKT-Risiken und IKT-Drittparteien. Demgegenüber sind die konsultierten EBA-Leitlinien zum Drittparteienrisiko (EBA/CP/2025/12, Abruf hier) lediglich „Soft Law“, das von den nationalen Aufsichtsbehörden auf „comply or explain“-Basis angewendet wird.

Aufgrund dieser Normenhierarchie musste ein Konflikt zwischen verbindlichem EU-Recht und EBA-Leitlinien vermieden werden. Folgerichtig konzentrieren sich die Leitlinien auf Nicht-IKT-bezogene Drittleistungen, während DORA als lex specialis sämtliche IKT-Dienstleistungen erfasst.

Diese Zuständigkeitsabgrenzung reflektiert die Entscheidung des EU-Gesetzgebers, digitale Risiken über einen eigenen, sektorübergreifend geltenden Rechtsakt zu harmonisieren, während „klassische“ Drittleistungen weiterhin durch sektorale Rahmenwerke wie die EBA-Guidelines on the Sound Management of Third-Party Risk geregelt bleiben.

Komplementarität und Kohärenz der Regelungswerke

Obwohl formal getrennt, sollen die Vorgaben aus den EBA-Leitlinien und DORA inhaltlich kohärent und aufeinander abgestimmt sein. Die EBA betont selbst, dass eine enge Angleichung der Drittparteienrisiko-Vorgaben an DORA erforderlich ist, um ein Level Playing Field zu gewährleisten und widersprüchliche Anforderungen zu vermeiden.

Die ausdrückliche Ausklammerung von IKT-Aspekten in den EBA-Leitlinien dient dem Zweck, eine Doppelregulierung derselben Materie zu vermeiden. Die formale Arbeitsteilung ist somit eindeutig.

Vor diesem Hintergrund bestehen in den Grundprinzipien beider Regelwerke viele Parallelen: Zentrale Tätigkeiten im Rahmen der Auswahl und Beauftragung, der Steuerung und des Risikomanagements von Drittleistungen finden sich sinngemäß in beiden Normkörpern wieder – allerdings zumeist nicht wort- und nicht detailgleich.

Praktische Auswirkungen für Institute

Aus Sicht der beaufsichtigten Institute bringt die Trennung in allgemeine und IKT-spezifische Drittparteienanforderungen weniger Vor- als Nachteile mit sich. Positiv ist zwar, dass die Zuständigkeiten klar umrissen sind: Für Auslagerungen im IKT-Bereich gilt eindeutig DORA, während für andere Dienstleistungen die Prozesse auf Grundlage der EBA-Leitlinien greifen.

Gleichzeitig entsteht ein erheblicher Mehraufwand, beide Regime nebeneinander zu implementieren und laufend koordinieren zu müssen. Institute müssen ihr Third-Party-Risk-Management an zwei unterschiedlichen Normwerken ausrichten. Zwar ähneln sich viele Anforderungen – etwa Due Diligence, Vertragsgestaltung, Überwachung –, doch Unterschiede in den Detailvorgaben führen zu Auslegungsunsicherheit, mitunter doppelter Dokumentation und schlimmstenfalls zu Aufschaukelungseffekten – insbesondere dann, wenn die Aufsicht das bekannte „Versteht sich doch von selbst“-Spiel spielen möchte.

Diese Umsetzungskomplexität wird zusätzlich verschärft durch die schwer praktikable Trennung in „IKT“ und „Nicht-IKT“. In modernen Geschäftsmodellen sind viele Leistungen digital durchdrungen.

Die Verantwortung für die richtige Einordnung liegt bei den Instituten – bei unklarer Definition und ohne klare Guidance. Beachtlich, tut sich doch selbst die Aufsicht offenkundig mit der richtigen Einordnung so mancher IKT-Drittdienstleistung schwer (siehe Kommentar). Auch Annex I der EBA-Leitlinien verschlimmbessert die Lage eher: Die nicht abschließende Liste möglicher Drittleistungen umfasst nahezu ausschließlich gemischte Leistungen – also solche, die gerade nicht ohne Weiteres dem EBA-Regime unterworfen sind.

Hinzu kommt die Gefahr organisatorischer Silos: Wenn IKT-Risiken und sonstige Drittparteienrisiken institutionell getrennt behandelt werden, drohen Brüche im Risiko- und Kontrollverständnis. Regulatorische Trennung darf nicht zu operativer Segmentierung führen – doch genau das droht aktuell, wenngleich die EBA selbst fordert: “[…] financial entities should have a holistic institution-wide risk management framework […]”.

Kritisches Fazit

Die Trennung zwischen den EBA-Leitlinien zum Drittparteienrisiko und den DORA-Vorgaben für IKT-Dienstleistungen mag regulatorisch nachvollziehbar und dogmatisch korrekt sein – praxisnah ist sie nicht. Die formale Kohärenz kaschiert, dass der Aufsichtsrahmen aus Sicht der umsetzenden Institute fragmentiert und schwerfällig ist. Es entstehen überlappende Anforderungen, Redundanzen in der Umsetzung und ein erheblicher Interpretationsbedarf. Dies ist nicht nur eine theoretische Abgrenzungsfrage, sondern ein reales Umsetzungsrisiko für Institute, das aufsichtsrechtlichen Maßnahmen einhergehen kann.

In einer Finanzwelt, in der kaum noch ein Prozess ohne IT-Komponente funktioniert, erscheint die strikte Abgrenzung in „IKT“ vs. „Nicht-IKT“ zunehmend künstlich und entspricht nicht der Lebenswirklichkeit der Institute.

Auch die Vorstellung, dass sich Risiken sauber in zwei Regime sortieren lassen, entspricht schlicht nicht der Realität.

Anstatt Institute mit zwei sich überschneidenden Regimen zu belasten, wäre ein integrierter Ansatz zielführender gewesen – einer, der sämtliche Drittparteienrisiken (IKT und Nicht-IKT) ganzheitlich abbildet und die digitale Komponente nicht künstlich herauslöst, sondern konsequent integriert.

Wenn Aufsicht modernen Drittparteienrisiken wirklich gerecht werden will, muss sie weg von regulatorischen Silo-Ansätzen und hin zu einem integrierten, risikobasierten Gesamtbild. Die jetzige Trennung ist kontraproduktiv.