Konsultationspapier zur 9. MaRisk Novelle

Verringerung der Anforderungen an die Auslagerung von Aktivitäten und Prozessen?

Die BaFin hat am 1. April 2026 auf ihrer Website den lange erwarteten Konsultationsentwurf für die 9. Novelle der Mindestanforderungen an das Risikomanagement für Banken (Konsultation 02/2026) (nachfolgend „MaRisk“) veröffentlicht. Ein Blick in die mit veröffentlichte Vergleichsversion zeigt, dass es umfangreiche Änderungen in allen Modulen und mit wenigen Ausnahmen auch in allen Textziffern geben soll. Der vorliegende Blogbeitrag geht schwerpunktmäßig auf die geplanten Änderungen bei den Anforderungen an die Auslagerung von Aktivitäten und Prozessen in AT 9 der MaRisk ein.

Wie bereits im Vorfeld für die Anpassung der MaRisk insgesamt angekündigt wird auch der AT 9  MaRisk stark gekürzt. Nachfolgend wird untersucht, inwieweit damit auch inhaltliche Änderungen verbunden sind bzw. inwieweit damit auch eine Verringerung der Anforderungen an das Outsourcing verbunden ist.

In den Erläuterungen zu AT 9 Tz 1 MaRisk fällt zunächst auf, dass der Katalog der Beispiele für den sonstigen Fremdbezug von Leistungen gestrichen ist. Es erscheint fraglich, ob damit auch eine inhaltliche Änderung verbunden sein soll, da ein entsprechender Katalog in den EBA Guidelines on outsourcing arrangements enthalten ist und auch im Konsultationspapier der perspektivisch an ihre Stelle tretenden „EBA Guidelines on the sound management of third-party risk“ enthalten bleibt. Des Weiteren sollen die Ausführungen zum Bezug von Software entfallen. Hintergrund dafür ist, dass ausgelagerte oder fremdbezogene IKT-Dienstleistungen gemäß Art. 3 Nr. 21 DORA, die dem IKT-Drittparteienrisikomanagement gemäß Art. 28 – 30 DORA unterliegen, nicht mehr in den Anwendungsbereich des AT 9 fallen. Damit übernimmt der Konsultationsentwurf der MaRisk-Novelle eine Abgrenzung aus dem vorerwähnten Konsultationspapier zu den Guidelines on Third Party Risk Management, die dort auf Wunsch der Branchenverbände zur Vermeidung einer Doppelregulierung von Auslagerungstatbeständen getroffen wurde.

Bemerkenswert erscheint dabei, dass die MaRisk zumindest nach derzeitigem Stand eine EU-Guideline umsetzen würden, die noch nicht finalisiert ist. Wie bereits in unserem Blogbeitrag „Next Level - Third Party Risk Management statt Outsourcing Governance“ angekündigt, ist als Folge der Überarbeitung der Guidelines eine Anpassung des AT 9 MaRisk für Banken unumgänglich. Allerdings geht der Konsultationsentwurf der MaRisk-Novelle nicht so weit, die im Konsultationspapier enthaltene Ausweitung des Anwendungsbereichs der bisher nur für Auslagerungen geltenden Anforderungen auf alle von Dritten bezogene Dienstleistungen bzw. Third Party Arrangements auszuweiten. Als Grund hierfür kommt in Betracht, dass in § 25b KWG unverändert nur die Auslagerungen angesprochen sind und dort auch weiterhin die Unterscheidung zwischen wesentlichen und unwesentlichen Auslagerungen vorgegeben ist.

Die Änderungen in dem die Risikoanalyse betreffenden AT 9 Tz. 2 MaRisk sind im Wesentlichen nur redaktioneller Natur. Am auffälligsten erscheint hier die Streichung der Aufzählung der im Einzelnen zu analysierenden Aspekte. Unverändert sind im Rahmen der Risikoanalyse aber „alle im Zusammenhang mit der Auslagerung für das Institut relevanten Aspekte“ zu berücksichtigen.

In den Erläuterungen zu AT 9 Tz. 4 MaRisk ist die Aufzählung der Leitungsaufgaben der Geschäftsleitung gestrichen. In AT 9 Tz. 7 MaRisk selbst wird aber daran festgehalten, dass die Leistungsaufgaben der Geschäftsleitung nicht ausgelagert werden dürfen. Um zu erfahren, welche Aufgaben das sind, könnte alternativ auch ein Blick in § 25c KWG in Betracht kommen.

In den Erläuterungen zu AT 9 Tz. 4 MaRisk gestrichen sind auch die besonderen Anforderungen an Auslagerungen an Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR). Diese Regelung hatte von Vornerhein aber nur einen sehr eingeschränkten Anwendungsbereich. Denn sie kam nur dann zum Tragen, wenn es sich um eine Auslagerung in einem Umfang handelte, für die im Inland eine Erlaubnis oder Registrierung erforderlich ist. Für die Erbringung von Auslagerungsleistungen gibt es aber auch im Inland keine besondere Erlaubnis- oder Registrierungspflicht. Insoweit erscheint der Wegfall dieser wenig praktikablen Anforderung als echter Beitrag zur Entbürokratisierung. Unverändert wird der Aspekt der Ansiedlung des Auslagerungsunternehmen in einem Drittland aber weiterhin im Rahmen der Risikoanalyse und der Festlegung der zum Management der darin identifizierten Risiken zu berücksichtigen sein.

Die neu in AT 9 Tz. 4 MaRisk und die Erläuterungen hierzu aufgenommenen Ausführungen zur Durchführung der Internen Revision in Bezug auf ausgelagerte Aktivitäten und Prozesse befand sich bisher in BT 2.1 der MaRisk und wurden lediglich umgegliedert. Dies ist vor dem Hintergrund der weiteren Konzentration der Regelungen über Anforderungen an die Auslagerung in AT 9 zu begrüßen.

In AT 9 Tz. 5 MaRisk wird die vollständige Auslagerung der Compliance Funktion oder der Internen Revision nur noch bei sehr kleinen Instituten zugelassen. Bisher war dies für kleine Institute möglich, allerdings mit der Einschränkung einer zusätzlichen Proportionalitätsüberprüfung. Auch insoweit dürfte es daher nicht zu einer praktischen Änderung in der Verwaltungspraxis der BaFin kommen.

In den Erläuterungen zu AT 9 Tz. 6 MaRisk wird die Notwendigkeit zur Festlegung von Handlungsoptionen und Ausstiegsprozessen in Bezug auf Beendigungen des Auslagerungsverhältnisses gestrichen. Beibehalten wird jedoch die Anforderung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Prozesse auch nach Beendigung der Auslagerungsvereinbarung sicher zu stellen.

In den Erläuterungen zu AT 9 Tz. 7 MaRisk kommt es zu kleineren Anpassungen etwa dahingehend, dass auf Weisungsrechte im Falle hinreichend klar im Auslagerungsvertrag spezifizierter Leistungsrechte nicht verzichtet werden kann, sondern diese lediglich nicht ausdrücklich vereinbart werden müssen. Die Streichung der Ausführungen auf die IT-bezogenen sonstigen Sicherheitsanforderungen ist vor dem Hintergrund sehen, dass – wie bereits oben darstellt - die MaRisk auf die DORA unterfallenden IKT-Drittdienstleistungen nicht mehr anwendbar sein sollen. Gestrichen wurde auch die Notwendigkeit im Auslagerungsvertrag den Ort der Leistungserbringung mit Angabe der genauen Anschrift zu vereinbaren, eine Anforderung deren Wert im digitalen Zeitalter bezweifelt werden kann.

In AT 9 Tz. 8 MaRisk ist der Satz gestrichen, wonach im Falle der Weiterverlagerung sichergestellt werden muss, dass das Auslagerungsunternehmen dem auslagernden Institut gegenüber weiterhin berichtspflichtig ist. Es bleibt abzuwarten, ob damit tatsächlich auf eine Anforderung verzichtet werden oder lediglich eine Redundanz beseitigt werden soll.

Die Änderungen in AT 9 Tz. 10 MaRisk betreffend die Aufgaben des Revisionsbeauftragten korrespondieren mit den Ausführungen zur vollständigen Auslagerung der Internen Revision in AT 9 Tz. 5 MaRisk. Ob die Streichung des Eingangssatzes, wonach das Institut für die Dokumentation, Steuerung und Überwachung wesentlicher Auslagerungen klare Verantwortlichkeiten festzulegen hat, einen Verzicht auf diese Anforderung bedeutet, wird man füglich bezweifeln können. Unverändert müssen diese in den gemäß AT 5 MaRisk zu erlassenden Organisationsrichtlinien geregelt sein.

Ebenso wenig wird man aus den Streichungen in den Erläuterungen zu AT 9 Tz. 11 MaRisk eine Verringerung der Anforderungen an Weiterverlagerungen ableiten können.

In AT 9 Tz. 12 MaRisk ist die Anforderung zur Bestellung eines zentralen Auslagerungebeauftragten gestrichen. Dabei handelte es sich um eine Anforderung, die so in den EBA Guidelines on outsourcing arrangements schon bisher nicht enthalten war. Die Streichung dürfte daher als Angleichung an die EBA Guidelines zu sehen sein. Analog der EBA Guidelines muss aber weiterhin ein zentrales Auslagerungsmanagement eingerichtet werden und benötigt dieses wie jede Organisationeinheit eine Führungsperson. In den meisten Instituten wird es daher faktisch weiterhin einen Zentralen Auslagerungsbeauftragten geben.  Auch ein mindestens jährlicher und zusätzlich anlassbezogener Bericht über wesentliche Auslagerungen muss selbstverständlich weiterhin erstellt werden. Wiederum lediglich bei sehr keinen Instituten reicht eine Berichterstattung im Rahmen einer Vorstandssitzung aus.

Die Ausführungen zum Auslagerungsregister in AT 9 Tz. 14 MaRisk sind komplett gestrichen und ebenso die Erleichterungen in AT 9 Tz. 14 e) zur Führung eines gruppenweiten Auslagerungsregisters. Diese wirft die Frage auf, ob die Institute künftig keine Auslagerungsregister mehr führen müssen. Insoweit ist festzuhalten, dass das Konsultationspapier zu den EBA Guidelines on the sound management of third-party risk weiterhin die Verpflichtung zur Führung eines Auslagerungsregister vorsieht und lediglich eine potenziellen Zusammenlegung mit dem DORA-IKT-Drittdienstleistungsregister anregt – ohne allerdings darauf einzugehen, wie dies technisch möglich sein soll. Insgesamt ist jedenfalls kaum davon auszugehen, dass auf ein Auslagerungsregister nach Maßgabe der EBA Guidelines künftig verzichtet werden kann.

Zusammenfassend ist festzuhalten, dass es nach dem Konsultationsentwurf für die 9. MaRisk Novelle zu einer Vielzahl von Änderungen im AT 9 der MaRisk kommen und in erheblichem Umfang Text gestrichen werden soll. Eine wesentliche Verringerung der regulatorischen Anforderungen an die Auslagerung von Aktivitäten und Prozessen ist damit jedoch nicht verbunden. Die bemerkenswerteste Veränderung besteht darin, dass die MaRisk nicht mehr auf die DORA unterfallenden IKT-Drittdienstleitungen anwendbar sein sollen. Auch insoweit ist eine Erleichterung aber nicht zu erwarten, da die DORA-Anforderungen an IKT-Drittdienstleitungen keinesfalls geringer sind als die an wesentliche Auslagerungen nach den MaRisk.

Auch wenn es durch die 9. MaRisk-Novelle nicht zu wesentlichen Änderungen bei den inhaltlichen Anforderungen an Auslagerungen kommt, sollten die Institute die geplante Abgrenzung zwischen den DORA unterfallenden IKT-Drittdienstleistungen und den MaRisk unterfallenden Non-IKT-Drittdienstleistungen zum Anlass nehmen, ihre diesbezügliche die Aufbau- und Ablauforganisation einer Überprüfung zu unterziehen. Wo möglich sollten Synergien gehoben und Redundanzen beseitigt werden. Wo nötig sollte bei der Abgrenzung nachgeschärft und die bestehende Organisation an die sich abzeichnenden veränderten Bedürfnisse angepasst werden. In diese Überlegungen sollten auch bereits die weiterführenden Gedanken des EBA-Konsultationspapiers zur Schaffung eines umfassenden Third Party Risk Management einbezogen werden. Sollten Sie Unterstützung bei der Überprüfung Eignung und Wirksamkeit der bestehenden Organisation und bei ihren weiterführenden Überlegungen haben, so stehen wir hierfür selbstverständlich sehr gerne zur Verfügung.