Weniger Details, mehr Freiheit: Auslagerungen nach der neuen MaRisk-Novelle

Keyfacts:

• Auch mit Blick auf Auslagerungen enthält die Konsultation der 9. MaRisk-Novelle Neuerungen.
• Durch die künftige Trennung in Nicht-IKT-Dienstleistungen nach MaRisk (AT 9) und IKT-Dienstleistungen nach DORA entfällt eine Doppelregulierung für das Management von Drittdienstleistungen.
• Die entstehenden Freiräume sind auch eine Grauzone – bei der richtigen Kategorisierung in GRC-Tools kann KI wertvolle Dienste leisten.

Die jüngste Konsultation des BaFin-Rundschreibens zu den Mindestanforderungen an das Risikomanagement (MaRisk) markiert einen klaren Richtungswechsel in der Bankenregulierung. Während frühere Versionen stark durch detaillierte Anforderungen und konkrete Umsetzungsvorgaben geprägt waren, rücken nun Prinzipienorientierung und Proportionalität noch stärker in den Vordergrund.

Ein Beispiel hierfür ist der Umfang von Risikoanalysen im Drittparteienrisikomanagement (Third Party Risk Management, TPRM): Während bislang klare Mindestfaktoren (wie Risiken aus Weiterverlagerungen, politische Risiken und ESG-Risiken) in AT 9 zu Auslagerungen (Textziffer 2), beschrieben sind, ist in der Konsultationsfassung nun von allen relevanten Risiken im Zusammenhang mit der Auslagerung die Rede.

Kleinere Institute: DORA regelt Bezug von IKT-Drittdienstleistungen, die MaRisk den Rest

Parallel dazu erfolgt eine klarere Abgrenzung zwischen den für Auslagerungen relevanten Regelwerken. IKT-Dienstleistungen werden künftig primär durch den Digital Operational Resilience Act (DORA) adressiert, während die MaRisk weiter den Rahmen für Auslagerungen und sonstigen Fremdbezug außerhalb des IKT-Bereichs bei kleineren, weniger bedeutenden Instituten (Less Significant Institutions, LSI) bilden.

Für große und bedeutende Institute (Significant Institutions, SI) greifen im Bereich Third Party Arrangements zukünftig nur noch die EBA-Guidelines anstelle der MaRisk. Es entsteht somit keine pauschale Verdrängung nationaler Regelungen, sondern eine funktionale und adressatengerechte Aufteilung der regulatorischen Anforderungen.

Die neuen MaRisk: Weniger Detailregelungen, mehr übergeordnete Prinzipien

Die Folge ist eine stärkere Ausrichtung auf übergeordnete Prinzipien und weniger auf detaillierte Vorgaben innerhalb der MaRisk selbst.

Das zeigt sich in der Konsultationsfassung konkret an weniger Detailregelungen (zum Beispiel bei Stresstests oder Mindestvertragsinhalten) sowie an der Konkretisierung von Öffnungsklauseln auf Institutsklassen und Proportionalitätsprinzipien.

Institute erhalten also größere Spielräume bei der konkreten Ausgestaltung ihrer Prozesse. Gleichzeitig verlagert sich der aufsichtsrechtliche Fokus – auch im Einklang mit europäischen Regelwerken wie DORA und den EBA-Guidelines – stärker auf die nachvollziehbare und konsistente Begründung der gewählten Umsetzungsansätze sowie deren Wirksamkeit im Risikomanagement. Die MaRisk-Novelle ist damit weniger ein regulatorisches Update als ein struktureller Transformationstreiber.

Proportionalität neu gedacht: Chance und Verpflichtung für das TPRM zugleich

Auf den ersten Blick wirkt die stärkere Betonung der Proportionalität wie eine Entlastung: weniger Detailvorgaben, mehr Flexibilität und das insbesondere für kleine und sehr kleine Institute. In der Praxis zeigt sich allerdings ein differenzierteres Bild.

Zwar können Institute ihre Methoden zur Risikoanalyse und zur Frequenz der Steuerung von Dienstleistungen künftig freier gestalten. Gleichzeitig entfällt jedoch für LSI die bisherige Leitplanke konkreter Vorgaben. Entscheidungen müssen stärker eigenständig getroffen und vor allem nachvollziehbar begründet werden. Das gilt vor allem bei der Kategorisierung von Drittdienstleistungen, welche künftig nur noch unter die MaRisk oder die DORA-Regulatorik fallen.

Gerade im TPRM wird dieser Wandel deutlich: Starre Scoring-Modelle verlieren an Aussagekraft, standardisierte Fragebögen greifen zu kurz, und die Qualität der zugrunde liegenden Risikologik rückt in den Mittelpunkt.

Die Proportionalität entwickelt sich damit vom reinen Entlastungsinstrument zu einem zentralen Steuerungshebel. Dieser bringt zugleich neue Prüfungsrisiken mit sich. Mit der stärkeren Prinzipienorientierung der MaRisk verschiebt sich der Fokus im TPRM grundlegend: weg von der regelbasierten Abarbeitung hin zur Frage: Wie treffe und begründe ich regulatorische Entscheidungen in einem Umfeld mit weniger klaren Leitplanken?

Die Grenzen der neuen MaRisk: Viele GRC-Tools müssen angepasst werden

Die neue Ausrichtung der Regulierung eröffnet zwar mehr Spielräume, zeigt in der Praxis jedoch auch klare Grenzen. Während Institute grundsätzlich differenzierter bewerten und Kontext stärker berücksichtigen können, entstehen gleichzeitig neue Grauzonen. Insbesondere die Abgrenzung, wann eine IKT-Komponente wesentlich ist oder lediglich unterstützend wirkt, wird zunehmend zur Auslegungssache.

Diese Unschärfen machen deutlich, dass die neue Freiheit nicht beliebig genutzt werden kann. Ein Beispiel dafür ist die Auslagerung von Callcenter-Tätigkeiten. Institute können angeben, dass für die Dienstleistung IT-Komponenten genutzt werden müssen. Damit würde die vorher (wesentliche) Auslagerung nur zu einer (nicht kritischen oder wichtigen) IKT-Dienstleistung nach DORA und fällt gemäß AT 9 Textziffer 1 der MaRisk nicht in den Anwendungsbereich.

Die Auswirkungen wären gravierend, da die Leistung automatisch geringeren Anforderungen unterliegt. Genau hier greift dann das Proportionalitätsprinzip: Die Verantwortung für die Einordnung liegt beim Institut. Die Kategorisierung innerhalb der Tools für Governance, Risk und Compliance (GRC) muss überarbeitet werden.

Die geforderte klare Trennung zwischen IKT-Dienstleistungen nach DORA und klassischen Auslagerungen nach MaRisk kann grundsätzlich auch in bestehenden GRC-Tools erfolgen. Das erfordert aber eine Überarbeitung der zugrunde liegenden Kategorisierung und Logik. Klassische Systeme sind meist auf einfache, eindimensionale Klassifikationen ausgelegt.

In der Praxis müssen Dienstleistungen jedoch differenzierter eingeordnet werden, insbesondere bei hybriden Leistungen mit fachlichen und IKT-Komponenten. Durch die klare Trennung von IKT-Dienstleistungen (welche unter DORA fallen) und Auslagerungen gemäß MaRisk muss ermöglicht werden, die jeweilige Komponente zu gewichten, um die Kategorisierung nachvollziehbar in die eine oder andere Richtung gewährleisten zu können.

Dafür reichen bestehende gemischte Kategorien und Entscheidungsstrukturen häufig nicht aus. Die Herausforderung liegt somit weniger in der technischen Möglichkeit der Einordnung, sondern in der fehlenden inhaltlichen Ausgestaltung im Tool. Ohne angepasste Kategorisierungen, klare Entscheidungslogiken und unterstützende Leitfragen entstehen inkonsistente Bewertungen und mangelnde Nachvollziehbarkeit.

Künstliche Intelligenz kann als neues TPRM-Steuerungsinstrument dienen

Mit den Öffnungsklauseln und der dadurch entstandenen Flexibilität nimmt künstliche Intelligenz eine neue Rolle ein: KI dient nicht mehr nur der Effizienzsteigerung, sondern wird zum zentralen Ermöglicher für das Umsetzen der neuen, stärker prinzipienorientierten Logik entlang des kompletten TPRM-Lifecycles.

Dabei ist zu berücksichtigen, dass der sachgerechte Einsatz von KI wiederum selbst regulatorischen Anforderungen unterliegt und somit stets nachvollziehbar sein muss. Aber KI kann es ermöglichen, Leistungsbeschreibungen semantisch zu analysieren, fachliche und technische Komponenten zu unterscheiden und – darauf aufbauend – differenzierte regulatorische Einordnungen vorzuschlagen. Entscheidend ist dabei weniger das Ergebnis selbst als die Fähigkeit, diese Einordnung strukturiert zu begründen und konsistent über das gesamte Portfolio hinweg anzuwenden.

Besonders bei hybriden Dienstleistungen zeigt sich der Mehrwert deutlich. KI unterstützt dabei, Grauzonen systematisch aufzulösen, vergleichbare Sachverhalte einheitlich zu bewerten und unterschiedliche regulatorische Perspektiven aus Kreditwesengesetz (KWG), MaRisk, DORA und EBA-Guidelines zusammenzuführen. Dadurch entsteht eine deutlich höhere Konsistenz und Nachvollziehbarkeit.

Die finale Entscheidung muss bei der ersten und zweiten Verteidigungslinie (First und Second Line of Defense) verbleiben, allerdings auf Basis einer fundierten, konsistenten und prüfungssicheren Entscheidungsgrundlage.

Die Freiräume der neuen MaRisk zu nutzen heißt, Einordnung und Steuerung neu zu denken

Die neue MaRisk eröffnet Spielräume, z.B. in der Kategorisierung von Leistungen und Mindestvertragsinhalten. Sie macht jedoch gleichzeitig deutlich, dass diese nur dann wirksam genutzt werden können, wenn Institute ihre Einordnungs- und Steuerungslogik grundlegend weiterentwickeln.

Die klare Trennung zwischen IKT-Dienstleistungen nach DORA und klassischen Auslagerungen schafft zwar regulatorische Struktur. Sie löst aber nicht die zunehmende Komplexität in der Praxis. Gerade hybride Dienstleistungen und Interpretationsspielräume erfordern eine differenzierte, konsistente und nachvollziehbare Bewertung.

Damit verschiebt sich für Verantwortliche in der Branche der Fokus: Nicht die Abbildung regulatorischer Anforderungen steht im Mittelpunkt, sondern die Fähigkeit, Entscheidungen strukturiert herzuleiten und prüfungssicher zu begründen.

Künstliche Intelligenz kann dabei unterstützen: KI ermöglicht es, die Komplexität an dieser Stelle beherrschbar zu machen, Grauzonen systematisch aufzulösen und Entscheidungen konsistent zu managen.

Institute, die ihre Tools, Daten und Entscheidungslogiken entsprechend weiterentwickeln, können die neuen Freiräume gezielt nutzen.

Dieser Artikel entstand unter Mitwirkung von Christian Wächter.