77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
civac.
ENDE
Jetzt starten
Alle Beauftragten-Rollen
OUT

Auslagerungsbeauftragte

Zentrale Steuerung aller wesentlichen Auslagerungen: Risikoanalyse, Exit-Strategien, Dienstleisterüberwachung und Auslagerungsregister. Hält das Institut prüfungssicher nach MaRisk AT 9 und dem DORA-IKT-Drittparteienregime.

Schwerpunkte
AuslagerungsregisterMaRisk AT 9Exit-StrategieDORA
Rechtsgrundlage

§ 25b KWG · MaRisk AT 9 · DORA (EU) 2022/2554

Schnellkontakt

Auslagerungsbeauftragte: Mit uns sprechen

Drei Zeilen und Sie sind in unserem Posteingang. Antwort innerhalb eines Werktags.

Mit dem Absenden stimmen Sie unserer Datenschutzerklärung zu. Wir verwenden Ihre Daten nur für die Rückantwort.

Was ist eine Auslagerungsbeauftragte?

Die Auslagerungsbeauftragte sorgt für die zentrale Steuerung der Auslagerungen eines Finanzinstituts. Die Rolle besteht, weil beaufsichtigte Institute für ausgelagerte Funktionen voll verantwortlich bleiben und daher einen gesteuerten Überblick über jede wesentliche Auslagerung, ihre Risiken, ihre Überwachung und ihren Ausstiegspfad brauchen.

Rechtlicher Anker ist Paragraf 25b des Kreditwesengesetzes (KWG), der von Instituten verlangt, sicherzustellen, dass Auslagerungen die ordnungsgemäße Geschäftsführung, die internen Kontrollen oder die Prüfbarkeit durch die Aufsicht nicht beeinträchtigen. Die aufsichtliche Konkretisierung liefern die Mindestanforderungen an das Risikomanagement (MaRisk), insbesondere Modul AT 9 zur Auslagerung, das Erwartungen an Risikoanalyse, Auslagerungsvertrag, laufende Überwachung, zentrales Auslagerungsmanagement und Auslagerungsregister festlegt. MaRisk hat das zentrale Auslagerungsmanagement eingeführt, und die Auslagerungsbeauftragte führt es typischerweise.

Für Informations- und Kommunikationstechnik ergänzt der EU-Digital-Operational-Resilience-Act (Verordnung (EU) 2022/2554, DORA) ein unmittelbar geltendes Regime für IKT-Drittparteienrisiken: ein Informationsregister über alle IKT-Dienstleistungen, verpflichtende Vertragsinhalte, Bewertung von Konzentration und Substituierbarkeit sowie strengere Regeln für Dienste, die kritische oder wichtige Funktionen stützen. DORA und MaRisk AT 9 überschneiden sich, sodass die Beauftragte ein kohärentes Auslagerungs- und IKT-Drittparteienrahmenwerk führt statt zweier paralleler.

In der Praxis pflegt die Beauftragte das Register, koordiniert Risikoanalysen vor und während der Auslagerung, überwacht Dienstleisterleistung und Weiterverlagerung, stellt dokumentierte und bei wesentlichen Auslagerungen getestete Exit-Strategien sicher und hält das Institut prüfungssicher für die Aufsicht.

Kernaufgaben der Auslagerungsbeauftragten

  • Auslagerungsregister nach MaRisk AT 9 und das DORA-Informationsregister pflegen.
  • Risikoanalyse koordinieren, die über die Wesentlichkeit einer Auslagerung entscheidet.
  • Auslagerungsverträge auf die nach Paragraf 25b KWG, MaRisk AT 9 und DORA geforderten Inhalte prüfen.
  • Dienstleisterleistung, Service-Level und wesentliche Weiterverlagerungen überwachen.
  • Dokumentierte und bei wesentlichen Fällen getestete Exit-Strategien sicherstellen.
  • Konzentrationsrisiko und Substituierbarkeit der IKT-Drittparteien nach DORA bewerten.
  • Das zentrale Auslagerungsmanagement führen und an die Geschäftsleitung berichten.
  • Prüf- und Informationsrechte von Aufsicht und Innenrevision sichern.
  • Vertragspflichten, Verlängerungen und Behebung von Dienstleisterbefunden verfolgen.
  • Mit Risiko, Compliance, Informationssicherheit und IKT-Funktion abstimmen.

Wann ist eine Bestellung erforderlich?

Treiber ist der beaufsichtigte Status in Verbindung mit Auslagerung. Institute nach Paragraf 25b KWG und MaRisk müssen ihre Auslagerungen nach Modul AT 9 steuern, und MaRisk erwartet von Instituten relevanter Größe und Komplexität ein zentrales Auslagerungsmanagement. Die Auslagerungsbeauftragte ist die natürliche Leitung dieser Funktion. Die Pflicht verstärkt sich mit Umfang und Wesentlichkeit der Auslagerungen, nicht an einer einzelnen Schwelle.

Auslöser der zugrunde liegenden Pflichten ist jede Auslagerung von Aktivitäten und Prozessen, wobei die strengsten Anforderungen an wesentliche Auslagerungen anknüpfen, wie sie die Risikoanalyse feststellt. Für Informations- und Kommunikationstechnik gilt DORA unmittelbar für ein breites Spektrum von Finanzunternehmen und verlangt Informationsregister und IKT-Drittparteienrisikomanagement unabhängig von der KWG- und MaRisk-Ebene, was den Kreis der Institute mit Bedarf an strukturierter Auslagerungssteuerung erweitert.

Das Institut sollte die Funktion und ihre Befugnis dokumentieren, der Beauftragten Zugang zu allen relevanten Auslagerungen und die Stellung zu ihrer Hinterfragung geben und Interessenkonflikte mit den verantwortlichen Geschäftseinheiten vermeiden. Die Verantwortung für die ausgelagerten Funktionen bleibt bei Institut und Geschäftsleitung; die Beauftragte liefert die zentrale Steuerung, das Register und die Überwachung, die diese Verantwortung gegenüber der Aufsicht nachweisbar machen.

  • Status als Institut nach Paragraf 25b KWG und MaRisk
  • Jede wesentliche Auslagerung nach Risikoanalyse gemäß MaRisk AT 9
  • Nutzung von IKT-Drittparteien im Anwendungsbereich von DORA
  • Auslagerung zur Stützung kritischer oder wichtiger Funktionen nach DORA
  • Wachstum von Auslagerungsvolumen oder Konzentration auf einen Dienstleister
  • Aufsichtlicher Befund zur Auslagerungssteuerung oder zum Register

Bereiche, die diese Rolle benötigen

  • Banken und Kreditinstitute nach dem KWG
  • Finanzdienstleister und Wertpapierfirmen
  • Zahlungs- und E-Geld-Institute
  • Versicherungsunternehmen im Anwendungsbereich von DORA
  • Vermögens- und Fondsverwaltungsgesellschaften
  • Leasing- und Factoringinstitute
  • Kryptowerte-Dienstleister im Anwendungsbereich der Finanzaufsicht
  • Konzern-IKT- und Shared-Service-Einheiten für Finanzunternehmen
  • Zentrale Gegenparteien und Marktinfrastruktur
CIVAC

Wie CIVAC die Auslagerungsbeauftragten-Rolle unterstützt

CIVAC gibt der Auslagerungsbeauftragten einen Ort, um das zentrale Auslagerungsmanagement zu führen. Auslagerungsregister und DORA-Informationsregister liegen in der Dokumentationssäule als strukturierte, versionierte Nachweise, verknüpft mit Risikoanalyse, Vertragsprüfung und Exit-Strategie je Dienstleister. Wiederkehrende Pflichten, Dienstleisterüberwachung, Vertragsverlängerungen, Tests der Exit-Strategie und Prüfungen der Weiterverlagerung, werden zu terminierten Aufgaben mit Verantwortlichen und Fälligkeiten, sodass wesentliche Auslagerungen nicht erst bei Problemen geprüft werden. Befunde aus Überwachung oder Prüfung werden zu verfolgten Behebungsaufgaben. Prüft die Aufsicht die Auslagerungssteuerung nach Paragraf 25b KWG, MaRisk AT 9 oder DORA, kann das Institut Register, Analysen und Überwachungsspur in einer kohärenten, prüfungssicheren Sicht zeigen.

Häufige Fragen

Diese Rolle für Ihr Unternehmen besetzen?

Bestellen Sie unsere Experten als externe Beauftragten oder lizenzieren Sie CIVAC für Ihr eigenes Team. Wir besprechen mit Ihnen, was zu Ihrem Aufbau passt.

Mit CIVAC sprechenAlle 77 Rollen ansehen
Weitere Beauftragten-Rollen