Auslagerungs-, Ausgliederungs- und Revisionsbeauftragte nach KWG, MaRisk und VAG

Die deutsche und europäische Finanzaufsicht hat in den vergangenen Jahren die Daumenschrauben im Bereich der Unternehmensorganisation drastisch angezogen. Für Geschäftsleiter von Kreditinstituten, Finanzdienstleistern und Versicherern ist eine lückenlose Governance-Struktur längst kein rein formaler Aspekt mehr, sondern eine Frage der existentiellen Risikovorsorge. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert eine transparente, lückenlos dokumentierte und operativ wirksame Kontrollarchitektur. Werden regulatorische Schlüsselfunktionen nicht ordnungsgemäß besetzt oder Aufgaben vernachlässigt, drohen nicht nur empfindliche Bußgelder, sondern auch persönliche Haftungsrisiken für die Geschäftsführung.

Im Zentrum dieser Kontrollarchitektur stehen hochspezialisierte Sonderfunktionen: Auslagerungsbeauftragte, Ausgliederungsbeauftragte und Revisionsbeauftragte. Diese Rollen fungieren als Bindeglied zwischen der operativen Geschäftstätigkeit, der Geschäftsleitung und den Aufsichtsbehörden. Ihre gesetzliche Verankerung im Kreditwesengesetz (KWG) sowie im Versicherungsaufsichtsgesetz (VAG) stellt sicher, dass wesentliche Risikobereiche - insbesondere bei der Einbindung von externen Dienstleistern und der internen Prozessüberwachung - einer permanenten und unabhängigen Kontrolle unterliegen. Diese steigenden Anforderungen betreffen nicht nur klassische Finanzstrukturen, sondern berühren das gesamte Spektrum, das ein moderner Compliance-Beauftragter im Rahmen einer ganzheitlichen Risiko- und Organisationssteuerung überwachen muss.

Eine der größten aktuellen Herausforderungen für Finanz- und Versicherungsinstitute ist die europarechtliche Harmonisierung durch den Digital Operational Resilience Act (DORA). Diese Verordnung überschneidet sich in vielen Bereichen mit den bewährten Vorgaben der MaRisk (AT 9) und des VAG. Während die nationalen Standards wie die MaRisk einen breiten Fokus auf alle Arten von Auslagerungen legen, konzentriert sich DORA spezifisch auf das Management von Risiken, die durch Informations- und Kommunikationstechnologie-Drittdienstleister entstehen. Die BaFin stellt klar, dass DORA-Anforderungen an IKT-Drittparteien parallel zu den bestehenden Vorschriften des KWG und des VAG zu betrachten sind, wodurch sich die Prüfpflichten für Unternehmen weiter verdichten.

Die wachsende Komplexität dieser parallelen Pflichten macht deutlich, warum eine lückenlose Governance für Geschäftsleiter unerlässlich ist. Es genügt nicht mehr, Beauftragte rein pro forma zu ernennen. Um den strengen Anforderungen der BaFin und europäischen Prüfer standzuhalten, müssen die Prozesse zur Überwachung, Berichterstattung und Dokumentation vollständig auditfest gestaltet sein. Im Folgenden werden die gesetzlichen Grundlagen, Aufgabenprofile und Haftungsrisiken der drei zentralen Beauftragtenrollen im Detail beleuchtet, um eine rechtssichere und effiziente Umsetzung in der Unternehmenspraxis zu gewährleisten.

Die Auslagerung von Aktivitäten und Prozessen gehört im modernen Finanzsektor zum Standard, birgt jedoch erhebliche operationelle Risiken. Um diesen Gefahren wirksam zu begegnen, schreibt der deutsche Gesetzgeber in Paragraph 25b des Kreditwesengesetzes (KWG) in Verbindung mit den Mindestanforderungen an das Risikomanagement (MaRisk) ein strukturiertes Auslagerungsmanagement vor. Im Mittelpunkt dieser regulatorischen Vorgaben steht der Auslagerungsbeauftragte, der das zentrale Auslagerungsmanagement (ZAM) leitet. Diese Funktion dient als Schnittstelle zwischen der Geschäftsleitung, den internen Fachbereichen und den externen Dienstleistern, um eine lückenlose Überwachung und Steuerung aller Auslagerungsrisiken zu gewährleisten.

Die Pflicht zur Einrichtung eines zentralen Auslagerungsmanagements betrifft grundsätzlich alle Kredit- und Finanzdienstleistungsinstitute im Sinne des KWG, sofern sie wesentliche Auslagerungen vornehmen. Gemäß dem BaFin-Rundschreiben 06/2024 zur MaRisk (insbesondere Modul AT 9) müssen betroffene Unternehmen eine organisatorische Struktur schaffen, die den zentralen Auslagerungsbeauftragten bei seinen weitreichenden Kontroll- und Berichtspflichten unterstützt. Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) erweitern sich diese Pflichten für viele Akteure im Finanzbereich um spezifische Vorgaben für das Risikomanagement von IKT-Drittparteien, was eine noch engere Verzahnung von IT-Sicherheit und klassischen Auslagerungsprozessen erfordert.

Das Aufgabenspektrum des Auslagerungsbeauftragten umfasst den gesamten Lebenszyklus einer Auslagerung. Bereits vor dem Vertragsabschluss muss im Rahmen einer Risikoanalyse bewertet werden, ob eine Auslagerung als wesentlich einzustufen ist und welche Risiken damit für die Betriebsstabilität des Instituts einhergehen. Während der laufenden Zusammenarbeit obliegt dem Beauftragten das kontinuierliche Dienstleistermonitoring, bei dem Leistungskennzahlen (KPIs) überwacht, Kontrollberichte ausgewertet und regelmäßige Audits durchgeführt werden. Ein zentrales Element ist zudem das Führen eines vollständigen Auslagerungsregisters sowie die Definition tragfähiger Ausstiegsstrategien, um im Ernstfall eine reibungslose Rückverlagerung oder den Wechsel zu einem alternativen Anbieter zu ermöglichen.

Für die Ausübung dieser anspruchsvollen Rolle müssen Auslagerungsbeauftragte über eine fundierte Sachkunde verfügen. Neben tiefgehenden Kenntnissen des Bankaufsichtsrechts, insbesondere der MaRisk und des KWG, sind praktische Erfahrungen im Risikomanagement und im Controlling von Verträgen zwingend erforderlich. Durch die zunehmende Digitalisierung und die Einführung von DORA rücken zudem IT-Sachverstand und Kenntnisse im Bereich der Informationssicherheit immer stärker in den Fokus. Eine kontinuierliche Fortbildung ist gesetzlich gefordert, um mit den sich ständig ändernden regulatorischen Rahmenbedingungen Schritt zu halten.

• Gesetzliche Grundlage: Paragraph 25b KWG in Verbindung mit MaRisk AT 9 sowie DORA für IKT-Dienstleistungen.
• Kernaufgaben: Durchführung von Risikoanalysen, Pflege des Auslagerungsregisters, kontinuierliches Monitoring der Dienstleister und Erarbeitung von Ausstiegsstrategien.
• Qualifikationsprofil: Fundierte bank- und aufsichtsrechtliche Kenntnisse, Risikomanagement-Kompetenz und zunehmend technisches IKT-Verständnis.
• Berichtsweg: Direkte Eskalations- und Berichtsleitung an die Geschäftsführung zur Gewährleistung einer schnellen Reaktionsfähigkeit.

Die Verantwortung des Auslagerungsbeauftragten ist direkt mit erheblichen Haftungs- und Bußgeldrisiken für das Institut und dessen Geschäftsleitung verknüpft. Mängel im Auslagerungsmanagement, fehlerhafte Risikoanalysen oder ein unvollständiges Register können im Rahmen von Sonderprüfungen durch die BaFin zu schwerwiegenden Beanstandungen, empfindlichen Bußgeldern oder gar Einschränkungen des Geschäftsbetriebs führen[1]. Um diese Risiken zu minimieren, setzen zukunftsorientierte Institute auf strukturierte Softwarelösungen wie den CIVAC Workspace. Eine solche digitale Unterstützung erleichtert die kontinuierliche Dokumentation und Aufgabenverwaltung im Sinne eines ganzheitlichen Compliance-Rahmens, der auch für Rollen wie den Compliance-Beauftragter maßgeblich ist.

Wenn Versicherungsunternehmen Geschäftsprozesse oder ganze Abteilungen auf Dienstleister übertragen, entlastet dies zwar das operative Geschäft, wirft jedoch erhebliche aufsichtsrechtliche Kontrollfragen auf. Nach § 32 Abs. 1 des Versicherungsaufsichtsgesetzes (VAG) bleibt das ausgliedernde Unternehmen stets vollumfänglich für die Einhaltung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich[2]. Um dieser fortlaufenden Verantwortung gerecht zu werden, schreiben die Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) unter Tz. 13.5 zwingend die Bestellung eines Ausgliederungsbeauftragten vor, sobald Schlüsselfunktionen oder strategisch bedeutsame Aufgaben ausgelagert werden[3]. Diese Rolle fungiert als das interne Kontrollorgan gegenüber dem externen Dienstleister.

Die primäre Aufgabe des Ausgliederungsbeauftragten besteht darin, die Leistung des externen Dienstleisters kontinuierlich, unabhängig und objektiv zu beurteilen[3]. Hierfür müssen klare, transparente Berichtslinien etabliert werden: Der Dienstleister übermittelt seine Berichte an den Ausgliederungsbeauftragten, welcher die Dokumente prüft, kommentiert und an die Geschäftsleitung weiterleitet. Eine direkte Personenidentität zwischen dem Beauftragten und der verantwortlichen Person beim Dienstleister ist strengstens untersagt, um schwere Interessenkonflikte von vornherein auszuschließen.

Als verantwortliche Person im Sinne des § 47 Nr. 1 VAG unterliegt der Ausgliederungsbeauftragte strengen Anforderungen an die fachliche Eignung und persönliche Zuverlässigkeit, dem sogenannten Fit and Proper-Prinzip[3]. Er muss nachweislich über versicherungsspezifische Fachkenntnisse, tiefgehendes Wissen im Risikomanagement sowie über ausreichende zeitliche Kapazitäten verfügen, um die Überwachungsfunktion effektiv auszuüben. Jede Bestellung muss der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) formell gemeldet und von dieser freigegeben werden.

Ein zentrales Element der aufsichtsrechtlichen Compliance ist das Ausgliederungsregister. Darin müssen alle Verträge, Risikoanalysen, Leistungskennzahlen (KPIs) und Kontrollergebnisse lückenlos dokumentiert werden. Fehlen diese Nachweise oder werden Risiken bei der Ausgliederung wichtiger Funktionen nicht nachweislich minimiert, drohen dem Vorstand erhebliche Haftungsrisiken. Neben aufsichtsrechtlichen Sanktionen und Bußgeldern gemäß VAG droht bei Pflichtverletzungen eine persönliche zivilrechtliche Innenhaftung der Geschäftsleiter.

Die ordnungsgemäße Koordination dieser Schnittstellen lässt sich manuell kaum noch fehlerfrei bewältigen, besonders wenn parallel andere aufsichtsrechtliche Rollen wie ein Compliance-Beauftragter koordiniert werden müssen. Eine strukturierte Lösung wie die CIVAC Compliance-Plattform stellt sicher, dass alle Risikoanalysen, Berichte und BaFin-Meldungen zentral, revisionssicher und auditfest an einem Ort verwaltet werden. Dies reduziert das Haftungsrisiko der Geschäftsführung erheblich und schafft die nötige Transparenz bei der Dienstleistersteuerung.

Während operative Rollen der ersten Verteidigungslinie und kontrollierende Funktionen wie ein Compliance-Beauftragter der zweiten Verteidigungslinie angehören, agiert der Revisionsbeauftragte als unabhängige dritte Säule. Für Kreditinstitute bildet das Modul BT 2 der Mindestanforderungen an das Risikomanagement (MaRisk) die verbindliche Leitlinie für diese Funktion. Im Bereich der Versicherungsunternehmen verlangt das Gesetz über die Beaufsichtigung der Versicherungsunternehmen in Paragraf 30 VAG eine wirksame und eigenständige interne Revision[4]. Ziel beider Vorschriften ist es, der Geschäftsleitung ein objektives Prüfungs- und Beratungswerkzeug an die Hand zu geben, das frei von operativer Einflussnahme ist.

Die Aufgaben des Revisionsbeauftragten erstrecken sich auf alle betrieblichen Abläufe und das gesamte interne Kontrollsystem. Auf Basis einer systematischen Risikoanalyse erstellt der Leiter der Internen Revision einen jährlichen, risikoorientierten Prüfungsplan. Dieser Plan wird von der Geschäftsführung freigegeben und dient als Arbeitsgrundlage. Die Berichterstattung erfolgt direkt und ohne Umwege an das Management sowie den Aufsichtsrat. Bei der methodischen Durchführung greifen Revisionsbeauftragte üblicherweise auf etablierte berufsständische Regelwerke wie die Standards des Deutschen Instituts für Interne Revision (DIIR) oder des Institute of Internal Auditors (IIA) zurück.

Um die anspruchsvollen Kontrollen verlässlich durchführen zu können, müssen Revisionsbeauftragte ausgeprägte fachliche Sachkunde vorweisen. Im regulatorischen Kontext der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wird dies unter dem Begriff Fit and Proper zusammengefasst. Neben fundierten betriebswirtschaftlichen und rechtlichen Kenntnissen ist tiefgehendes Verständnis für die geprüften Geschäftsbereiche und das Risikomanagement zwingend erforderlich. Da sich Gesetze und technologische Anforderungen ständig weiterentwickeln, ist eine regelmäßige Fortbildung gesetzlich vorgeschrieben. Zudem muss absolute Unbefangenheit herrschen: Wer eine Abteilung prüft, darf in dieser nicht selbst operativ tätig gewesen sein.

Die formelle Bestellung und Abberufung des Revisionsbeauftragten muss lückenlos dokumentiert und der Finanzaufsicht gemeldet werden. Da die Integrität der Revisionsarbeit für die Stabilität des Finanzsektors entscheidend ist, drohen bei Organisationsmängeln oder einer fehlenden Revisionsfunktion empfindliche Geldbußen für das Unternehmen sowie persönliche Haftungskonsequenzen für die Geschäftsleitung. Um diesen Risiken wirksam zu begegnen, greifen moderne Organisationen auf eine strukturierte Compliance-Platform zurück. Damit lassen sich alle Prüfungszyklen koordinieren, Berichte manipulationssicher archivieren und die vorgeschriebenen Revisionsakten auditfest aufbewahren.

• Gesetzliche Grundlagen: MaRisk BT 2 für Kreditinstitute, § 30 VAG für Versicherungsunternehmen.
• Positionierung: Prozessunabhängige dritte Verteidigungslinie (Third Line of Defense) mit direktem Berichtsweg zur Geschäftsführung.
• Kernwerkzeuge: Risikoorientierter Prüfungsplan und detaillierte Revisionsberichte gemäß DIIR-Standards.
• Eignungskriterien: Nachgewiesene fachliche Sachkunde (Fit and Proper) sowie fortlaufende Weiterbildung.
• Sanktionsrisiko: Persönliche Haftung der Geschäftsleitung bei Pflichtverletzungen und empfindliche Bußgelder der BaFin.

Die gesetzlichen Vorgaben für Auslagerungen, Ausgliederungen und die Interne Revision nach KWG, MaRisk und VAG stellen deutsche Unternehmen vor erhebliche operative Herausforderungen. Die ständige Überwachung von Dienstleistern, die Dokumentation detaillierter Risikoanalysen und die Sicherstellung der geforderten fachlichen Eignung erfordern erhebliche Ressourcen. Um diese administrativen Lasten zu minimieren und Haftungsrisiken für die Geschäftsleitung effektiv zu reduzieren, bietet CIVAC maßgeschneiderte Lösungen für Geschäftsführer sowie Compliance- und Fachverantwortliche.

Über die digitale CIVAC Compliance-Plattform erhalten Unternehmen Zugriff auf den CIVAC Workspace, der das interne Compliance-Management strukturiert und vereinfacht. Die Software bündelt alle anfallenden Aufgaben, gesetzlich geforderten Pflichtschulungen, Audits und Vorlagen in einer zentralen Benutzeroberfläche. Interne Auslagerungs- oder Revisionsbeauftragte können damit Fristen lückenlos überwachen und Berichte anlassbezogen oder jährlich erstellen. Dies erleichtert die kontinuierliche Audit-Vorbereitung erheblich, da sämtliche Nachweise revisionssicher hinterlegt sind und bei aufsichtsrechtlichen Prüfungen durch die BaFin direkt exportiert werden können.

Fehlen im Unternehmen die internen Ressourcen oder die für KWG- und VAG-Rollen geforderte theoretische und praktische Sachkunde, bieten die Leistungen von CIVAC eine ideale Alternative. Über das Modell CIVAC Externe Beauftragte stellt CIVAC qualifizierte, namentlich bestellte Experten zur Verfügung, welche die gesetzlichen Anforderungen vollständig erfüllen. Diese externen Spezialisten übernehmen die operative Arbeit, das Risikomanagement sowie die gesetzlichen Berichtspflichten und entlasten die Geschäftsführung damit rechtssicher. Das Risiko von Bußgeldern oder Rügen durch die Aufsichtsbehörden wird dadurch auf ein Minimum reduziert, während gleichzeitig ein vollwertiger Officer-as-a-Service zur Verfügung steht.

Unabhängig davon, ob ein Unternehmen eine softwaregestützte Selbstverwaltung über den CIVAC Workspace wählt oder auf die vollständige operative Entlastung durch CIVAC Externe Beauftragte setzt: Beide Ansätze stellen sicher, dass deutsche Institute und Versicherungsunternehmen die komplexen Anforderungen von KWG, MaRisk und VAG lückenlos erfüllen. Die Kombination aus regulatorischer Fachkompetenz und moderner Technologie verwandelt Compliance von einem unübersichtlichen Haftungsrisiko in einen transparenten und steuerbaren Unternehmensprozess. Die Plattform deckt neben finanzregulierten Rollen bis zu 25 verschiedene gesetzliche Beauftragten-Rollen ab, um Unternehmen eine ganzheitliche Compliance-Abdeckung aus einer Hand zu bieten.

Institute und Finanzunternehmen, die wesentliche Aktivitäten oder Prozesse auf externe Dienstleister auslagern, müssen nach § 25b KWG und MaRisk AT 9 einen Auslagerungsbeauftragten bestellen, um die Überwachung und das Risikomanagement sicherzustellen.

Der Digital Operational Resilience Act (DORA) verschärft die Anforderungen an IKT-Dienstleister. Der Auslagerungsbeauftragte muss die Einhaltung digitaler Sicherheitsstandards und das Management von IKT-Drittparteienrisiken steuern.

Nach § 32 VAG und den MaGo-Vorgaben müssen Versicherungsunternehmen bei der Ausgliederung wichtiger Funktionen oder Schlüsselfunktionen einen Ausgliederungsbeauftragten einsetzen, der den Dienstleister kontinuierlich kontrolliert.

Der Revisionsbeauftragte beziehungsweise Leiter der Internen Revision nach MaRisk BT 2 und § 30 VAG arbeitet prozessunabhängig. Seine Hauptaufgabe ist die neutrale Prüfung aller betrieblichen Abläufe im Auftrag der Geschäftsführung.

Bei grober Pflichtverletzung oder Organisationsverschulden können sowohl die Geschäftsführung als auch die Beauftragten persönlich haftbar gemacht werden. Zudem drohen empfindliche Bußgelder durch Aufsichtsbehörden wie die BaFin.