Konsultation der 9. MaRisk-Novelle: Auslagerung soll prinzipienorientierter ausgestaltet werden

veröffentlicht am 02.04.2026 | Lesezeit: ca. 2 Minuten
Caroline Sieveritz
Caroline Sieveritz
Olaf Rösener
Olaf Rösener
Kathrin Hellmich
Kathrin Hellmich

Die BaFin hat den Entwurf zur 9. Novelle der „Mindestanforderungen an das Risikomangement“ (MaRisk) zur Konsultation gestellt. Mit der Konsultation wird der Allgemeine Teil (AT) 9 Auslagerung überarbeitet und insgesamt stärker prinzipienorientiert ausgestaltet. Detailvorgaben werden an mehreren Stellen reduziert – die Institute erhalten bei der praktischen Umsetzung mehr Flexibilität. Gleichzeitig wird die Abgrenzung zwischen klassischer Auslagerungssteuerung nach MaRisk und dem IKT-Drittparteienrisikomanagement nach DORA klarer gezogen.

Klarere Trennung zwischen MaRisk und DORA 

IKT-Drittdienstleistungen, die dem IKT-Drittparteienrisikomanagement nach Artikel 28 bis 30 von DORA unterliegen, fallen nicht in den Anwendungsbereich des AT 9. Damit wird deutlicher zwischen Auslagerungen im Sinne der MaRisk und DORA-relevanten IKT-Fremdbezügen unterschieden. Für Institute erhöht das die Notwendigkeit, beide Regime sauber voneinander abzugrenzen. 

Beispielsweise kann bei einem neuen Cloud-Anbieter künftig bereits in der Klassifizierungsphase klar festgelegt werden, ob er unter AT 9 oder DORA fällt. So werden Doppelregulierung und Doppelsteuerung sowie Abgrenzungsprobleme vermieden. 

Mehr Prinzipienorientierung in der Risikoanalyse und der Weiterverlagerung

Die Konsultationsfassung verzichtet in mehreren Bereichen auf frühere Detailvorgaben und eröffnet damit mehr Gestaltungsspielraum auf der Institutsebene. Das betrifft insbesondere die Risikoanalyse, die sich nun allgemeiner an allen relevanten Aspekten der Auslagerung orientieren soll – und die Bewertung von Weiterverlagerungen. Gleichzeitig bleiben vertragliche Absicherungen und eine risikoorientierte Überwachung erforderlich.

Erleichterungen für kleine und sehr kleine Institute 

Die 9. MaRisk-Novelle hebt die proportionale Anwendung der Anforderungen stärker hervor und definiert kleine und sehr kleine Institute nun ausdrücklich: 

  • Institute dürfen die Risikoanalyse nur alle drei Jahre überprüfen und dabei auch qualitative Ansätze nutzen. 
  • Für sehr kleine Institute ist die vollständige Auslagerung der Compliance-Funktion oder der Internen Revision ausdrücklich möglich. 
  • Zudem reicht bei sehr kleinen Instituten für den Bericht über wesentliche Auslagerungen eine Berichterstattung im Rahmen einer Vorstandssitzung aus. 

Insgesamt werden die Anforderungen damit für kleinere Häuser pragmatischer und proportionaler ausgestaltet. 

Interne Revision bleibt flexibel – nicht allein auf Zertifikate verlassen 

Die Interne Revision kann bei Auslagerungen auf eigene Prüfungshandlungen verzichten, sofern anderweitig eine aufsichtsrechtlich ausreichende Revisionstätigkeit durchgeführt wird. Möglich ist dies etwa über andere auslagernde Institute oder beauftragte Dritte. Gleichzeitig wird klargestellt, dass sich Institute bei wesentlichen Auslagerungen nicht allein auf Zertifikate oder Nachweise gängiger Standards stützen dürfen. 

Ein Institut kann bei einer wesentlichen Auslagerung vorhandene ISAE- oder ISO-Nachweise des Dienstleisters weiterhin nutzen, muss diese aber um eigene Review-Gespräche, KPI-Auswertungen oder stichprobenhafte Kontrollhandlungen ergänzen. 

Governance wird gestrafft und stärker auf das Wesentliche fokussiert 

Die Konsultationsfassung rückt von einzelnen detaillierten Governance-Vorgaben ab und stellt stattdessen stärker auf ein angemessenes zentrales Auslagerungsmanagement ab. Auch die Vorgaben zum Auslagerungsregister treten im Wortlaut weniger detailliert hervor. Damit passt sich AT 9 in die generelle Stoßrichtung der 9. Novelle ein: weniger Komplexität im Normtext, aber unverändert hohe Erwartungen an eine nachvollziehbare und wirksame Steuerung von Auslagerungen.  

Fazit 

AT 9 folgt der übergeordneten Logik der 9. MaRisk-Novelle: mehr Proportionalität, mehr Prinzipienorientierung und eine klarere Abgrenzung zu DORA. Für Institute entsteht daraus mehr Umsetzungsfreiheit, zugleich aber auch mehr Verantwortung, die eigene AuslagerungsGovernance belastbar, risikoorientiert und dokumentierbar auszugestalten. 

Den Entwurf zur Novelle und weitere Informationen gibt es hier auf den Seiten der BaFinStellungnahmen können Finanzinstitute bis zum 8. Mai 2026 abgeben. 

 

Dieser Artikel entstand unter Mitwirkung von Erik Jeschke.