Outsourcing im Bankensektor: Rechtliche Grundlagen und wirtschaftliche Aspekte

Einführung in das Outsourcing von Bankleistungen

Outsourcing – die Auslagerung von Aufgaben und Prozessen an externe Dienstleister – gewinnt im Bankensektor und bei Unternehmen kontinuierlich an Bedeutung. Banken lagern immer mehr Aktivitäten aus, um Kosten zu senken, Effizienzgewinne zu realisieren und auf spezialisierte externe Expertise zuzugreifen. Eine Studie der BaFin ergab, dass sämtliche befragten Banken vor allem Kostenersparnisse als Hauptmotiv für Outsourcing nannten. Neben Kostendruck spielen auch strategische Gründe eine Rolle: Durch Auslagerung können sich Institute auf ihre Kernkompetenzen konzentrieren und innovative Technologien (z.B. Cloud-Services oder FinTech-Lösungen) nutzen, ohne diese selbst vorhalten zu müssen. Aktuelle Entwicklungen wie die fortschreitende Digitalisierung, der vermehrte Einsatz von Cloud-Computing und strengere regulatorische Vorgaben (etwa neue EBA-Leitlinien zum Outsourcing 2019) tragen dazu bei, dass Outsourcing-Projekte heute komplexer und strategisch wichtiger sind als je zuvor.

Doch Outsourcing bietet nicht nur Vorteile, sondern birgt auch Risiken. Wenn wesentliche Bankfunktionen extern erbracht werden, besteht die Gefahr, dass Risiken nicht mehr vollständig von der Bank identifiziert oder gesteuert werden können. Deshalb unterliegt insbesondere der Bankensektor strengen aufsichtsrechtlichen Anforderungen bei Auslagerungen. Ein Fehltritt kann hier nicht nur finanzielle Folgen haben, sondern auch aufsichtsrechtliche Sanktionen nach sich ziehen. Banken müssen bei jeder Auslagerung sorgfältig prüfen, welche rechtlichen Vorgaben gelten – vor allem nach dem Kreditwesengesetz (KWG) und den bankaufsichtlichen Richtlinien – und wie Verträge gestaltet werden sollten. Aber auch Unternehmen mit Outsourcing-Bedarf außerhalb der Finanzbranche sollten rechtliche und wirtschaftliche Aspekte einer Auslagerung genau beachten. Eine fundierte Beratung durch einen Anwalt für Outsourcing kann helfen, Fallstricke zu vermeiden und die Vorteile des Outsourcings optimal zu nutzen.

Im Folgenden beleuchten wir die wichtigsten rechtlichen Grundlagen – insbesondere § 25b KWG und AT 9 MaRisk – sowie zentrale wirtschaftliche Aspekte bei Outsourcing-Verträgen. Zudem gehen wir auf Besonderheiten der aufsichtsrechtlichen Prüfung im Bankensektor ein. Abschließend wird die Rolle der Kanzlei Hobohm Natalello Giloth in Mainz und die besondere Expertise von Rechtsanwalt Dr. André Natalello im Bereich Outsourcing dargestellt.

Rechtliche Grundlagen: § 25b KWG und MaRisk AT 9

Für Banken bildet § 25b des Kreditwesengesetzes (KWG) die zentrale Vorschrift zur Auslagerung von Aktivitäten und Prozessen. Ergänzend konkretisiert die BaFin in den Mindestanforderungen an das Risikomanagement (MaRisk), insbesondere in AT 9 MaRisk, die organisatorischen Pflichten beim Outsourcing. Diese Vorgaben stellen sicher, dass trotz Auslagerung die ordnungsgemäße Geschäftsorganisation der Bank und die Überwachung durch die Aufsicht gewährleistet bleiben.

Wesentliche und unwesentliche Auslagerungen

§ 25b KWG unterscheidet zwischen wesentlichen und unwesentlichen Auslagerungen. Wesentlich sind Auslagerungen, die einen erheblichen Einfluss auf das Risikoprofil der Bank haben oder die Wahrnehmung der aufsichtsrechtlichen Aufgaben der BaFin beeinträchtigen könnten. Vereinfacht gesagt: Je wichtiger der ausgelagerte Prozess für das Kerngeschäft oder die Stabilität der Bank ist, desto eher gilt er als wesentlich. Für unwesentliche Auslagerungen gelten zwar ebenfalls organisatorische Pflichten, jedoch primär die allgemeinen Anforderungen an eine ordnungsgemäße Geschäftsorganisation nach § 25a Abs. 1 KWG.

Ob eine Auslagerung wesentlich ist, muss jede Bank durch eine gründliche Risikoanalyse feststellen. Dabei sind Art, Umfang, Komplexität und das Risikopotential der Tätigkeit zu bewerten. Diese Analyse ist nicht nur einmalig bei Vertragsabschluss relevant, sondern sollte laufend überprüft werden, da sich die Bedeutung einer ausgelagerten Tätigkeit im Zeitverlauf ändern kann. MaRisk AT 9 fordert hier ein systematisches Auslagerungsmanagement: Von der Entscheidung über eine Auslagerung, über die Vertragsgestaltung bis zur laufenden Überwachung müssen Institute angemessene Prozesse etablieren. So sind z.B. Szenario-Analysen empfohlen, um die Auswirkungen möglicher Dienstleister-Ausfälle zu bewerten.

Zentrale Pflichten nach § 25b KWG

Auch bei einer Auslagerung bleibt die Bank für die Einhaltung aller gesetzlichen Vorgaben verantwortlich – eine Delegation der Gesamtverantwortung an den Dienstleister ist unzulässig. § 25b Abs. 2 KWG stellt klar, dass die Auslagerung nicht zu einer Übertragung der Leitungspflichten der Geschäftsführung auf das externe Unternehmen führen darf. Die Bank muss also intern weiterhin genügend Know-how und personelle Ressourcen vorhalten, um den Dienstleister steuern und im Notfall ersetzen zu können. Die BaFin betont, dass ein Institut nicht zu einer „leeren Hülle“ (empty shell) werden darf – Leitungsaufgaben der Geschäftsführung dürfen nicht ausgelagert werden. 

Kernfunktionen (wie Risikocontrolling, Compliance oder Interne Revision) dürfen extern allenfalls innerhalb desselben Konzerns übertragen werden und auch das nur unter engen Voraussetzungen.

Zudem darf eine Auslagerung die ordnungsgemäße Durchführung der Bankgeschäfte und die kontrollierte Unternehmensorganisation nicht beeinträchtigen. Praktisch bedeutet das: Trotz Outsourcing muss ein wirksames Risikomanagement gewährleistet bleiben, das die ausgelagerten Aktivitäten mit einschließt. Seit der KWG-Novelle 2021 ist jede Bank verpflichtet, ein Auslagerungsregister zu führen, in dem sämtliche Auslagerungen – wesentliche und unwesentliche – erfasst sind. Dieses Register verschafft der Bank und der Aufsicht einen Überblick über alle extern vergebenen Aufgaben und erleichtert die Risikoüberwachung.

Eine weitere Kernforderung ist, dass die Auslagerung die BaFin und die bankinternen Prüfer nicht an der Ausübung ihrer Prüfungs- und Kontrollrechte hindern darf. Die Bankaufsicht (BaFin und Bundesbank) sowie der bankeigene Interne Revision und der Abschlussprüfer müssen auch beim Outsourcing uneingeschränkten Zugang zu Informationen haben und Prüfungen durchführen können. Besonders herausfordernd ist dies, wenn der Dienstleister im Ausland sitzt. In solchen Fällen muss vertraglich gewährleistet sein, dass die deutschen Aufsichtsbehörden ihre Rechte auch grenzüberschreitend durchsetzen können. § 25b Abs. 3 KWG verlangt daher ausdrücklich eine schriftliche Vereinbarung (Outsourcing-Vertrag), in der der Bank alle notwendigen Auskunfts-, Weisungs- und Kündigungsrechte eingeräumt werden und der Dienstleister entsprechende Pflichten übernimmt. Bei Auslagerungen an Anbieter in Drittländern ist der Dienstleister zudem zu verpflichten, einen Zustellungsbevollmächtigten in Deutschland zu benennen, damit amtliche Schriftstücke (z.B. Anordnungen der BaFin) wirksam zugestellt werden können.

Konkretisierung durch MaRisk AT 9

Die MaRisk (insbesondere Modul AT 9) übersetzen die gesetzlichen Pflichten in detaillierte organisatorische Anforderungen. Sie gelten für Banken und Finanzdienstleister als verbindliche Verwaltungsvorschriften der BaFin. AT 9 MaRisk fordert u.a.:

• Klare Zuständigkeiten: Institute müssen ein Auslagerungsmanagement etablieren. Bei umfangreichen Auslagerungen ist oft ein Auslagerungsbeauftragter bzw. eine zentrale Stelle zu benennen, die alle Outsourcing-Maßnahmen koordiniert und überwacht (dies entspricht den EBA-Leitlinien 2019, die eine solche Funktion empfehlen).
• Umfassende Risikoanalyse: Vor jeder wesentlichen Auslagerung sind Risiken zu identifizieren und zu bewerten. Gegebenenfalls ist eine Auswirkungsanalyse durchzuführen, was passieren würde, wenn der Dienstleister ausfällt (Exit-Szenarien). Risiken aus Weiterverlagerungen (Sub-Outsourcing) müssen besonders berücksichtigt werden.
• Auslagerungsvertrag-Inhalte: MaRisk AT 9 listet wesentliche Vertragsklauseln auf (siehe nächster Abschnitt), darunter Prüfungsrechte, Weisungsrechte, Berichts- und Informationspflichten des Dienstleisters, Regelungen zu Datenschutz und Notfallplänen. Die MaRisk gestatten in gewissen Fällen Erleichterungen – z.B. kann auf ein ausdrückliches Weisungsrecht verzichtet werden, wenn der Vertrag die Leistungen so eindeutig festlegt, dass eine separate Weisung entbehrlich ist. Auch können Prüfungen unter bestimmten Voraussetzungen gemeinsam mit anderen auslagernden Banken erfolgen (Pooling), etwa bei Cloud-Anbietern. Wichtig ist aber: Die Bank muss jederzeit die Kontrolle über die ausgelagerte Tätigkeit behalten, sei es durch vertragliche Rechte oder durch klare Leistungsbeschreibungen.
• Kontinuitäts- und Notfallplanung: Für wesentliche Auslagerungen verlangt AT 9, dass Notfallkonzepte und Exit-Strategien vorhanden sind. Die Bank sollte vorbereitet sein, die Leistung bei Problemen entweder zurück ins Haus zu holen oder an einen anderen Anbieter zu vergeben. Vertragsklauseln zur Beendigung (siehe unten) und Unterstützung nach Vertragsende (Exit- oder Transition-Klauseln) sind hier entscheidend.
• Laufende Überwachung: Nach Vertragsabschluss hört die Verantwortung nicht auf. Die Bank muss die Leistung des Dienstleisters kontinuierlich überwachen (z.B. mittels Service-Level-Reports), regelmäßige Review-Gespräche führen und bei wesentlichen Outsourcings mind. jährlich eine Überprüfung durchführen. Auch die Interne Revision des Instituts muss Outsourcing-Vereinbarungen regelmäßig prüfen – entweder selbst oder durch geeignete externe Prüfer.

Zusammengenommen sorgen § 25b KWG und MaRisk AT 9 dafür, dass Outsourcing im Bankensektor kontrolliert und sicher abläuft. Die Bank bleibt „Herrin des Verfahrens“, auch wenn externe Spezialisten eingebunden werden. Im nächsten Schritt richtet sich der Blick darauf, wie diese Anforderungen in der Vertragsgestaltung praktisch umgesetzt werden und welche wirtschaftlichen Aspekte zusätzlich zu beachten sind.

Wirtschaftliche Aspekte der Outsourcing-Vertragsgestaltung

Neben den regulatorischen Pflichten muss ein Outsourcing-Vertrag auch wirtschaftliche Interessen und praktische Aspekte abbilden. Eine rechtssichere Vertragsgestaltung ist immer auch ein wirtschaftlicher Balanceakt zwischen der Bank (bzw. dem auslagernden Unternehmen) und dem Dienstleister. Im Folgenden werden einige zentrale Punkte beleuchtet – von Haftungsfragen über Zahlungsbedingungen bis hin zur Akzeptanz kritischer Vertragsklauseln durch den Anbieter. Diese Faktoren entscheiden maßgeblich über den Erfolg und die Stabilität der Outsourcing-Beziehung.

Leistungsbeschreibung und Service Level

Klar definierte Leistungen sind die Basis jedes Outsourcing-Vertrags. Beide Parteien müssen genau wissen, welcher Leistungsumfang geschuldet ist und welche Qualitätsstandards gelten. Dies umfasst detaillierte Servicebeschreibungen und messbare Service Level Agreements (SLAs) für Verfügbarkeit, Reaktionszeiten, Durchsatz etc.. Ebenso wichtig ist die Festlegung von Mitwirkungspflichten der Bank und die Abgrenzung zu anderen Dienstleistern, falls mehrere Provider parallel agieren. Eine klare Leistungsbeschreibung verhindert Missverständnisse und erleichtert es, bei Leistungsstörungen konkrete Abweichungen festzustellen. Wirtschaftlich gesehen schafft sie Planungssicherheit: Die Bank kann sich darauf verlassen, welche Dienste sie für ihr Geld erhält, und der Dienstleister weiß, welche Leistungen im vereinbarten Preis enthalten sind.

Haftungsregelungen und Risikoverteilung

Haftungsfragen gehören zu den kritischsten Punkten bei Outsourcing-Verträgen. Aus Sicht der Bank ist entscheidend, in welchem Umfang der Dienstleister für Schäden haftet, die aus Leistungsstörungen, Verzögerungen oder Fehlern resultieren. Hier prallen häufig gegensätzliche Interessen aufeinander: Der auslagernde Auftraggeber wünscht im Idealfall eine umfassende Haftung des Dienstleisters (möglichst unbegrenzt oder in Höhe des potenziellen Schadens), während der Anbieter seine Haftung begrenzen will (etwa auf einen bestimmten Betrag oder auf direkte Schäden). Üblich sind Kompromisse, etwa eine Haftungsobergrenze in Höhe eines Vielfachen des Jahresauftragswerts und der Ausschluss von indirekten Schäden. Allerdings sieht das Gesetz vor, dass bei Vorsatz oder grober Fahrlässigkeit eine Haftungsbegrenzung unwirksam sein kann – in solchen Fällen haftet der Dienstleister ohnehin unbeschränkt. In der Praxis werden häufig differenzierte Regelungen getroffen: unbegrenzte Haftung für Kernpflichtverletzungen und Datenverlust, aber Deckelung für weniger kritische Fälle. Wichtig für Banken: Auch wenn der Dienstleister haftet, bleibt die Bank gegenüber Kunden und Aufsicht in der Verantwortung (siehe oben). Daher sollten vertragliche Haftungsregelungen so gestaltet sein, dass die Bank im Ernstfall angemessen entschädigt wird. Gegebenenfalls empfiehlt es sich, vom Dienstleister den Nachweis einer ausreichenden Versicherung (z.B. Berufshaftpflicht) zu verlangen, um die Haftungsansprüche abzusichern.

Zahlungsbedingungen und Vertragslaufzeit

Die Zahlungsmodalitäten in Outsourcing-Verträgen haben direkte wirtschaftliche Auswirkungen. Klar geregelte Zahlungsfristen und -bedingungen sorgen dafür, dass es nicht zu Liquiditätsengpässen oder Streit über Rechnungen kommt. Beispielsweise kann vereinbart werden, dass der Dienstleister monatlich im Nachhinein abrechnet und die Bank innerhalb von 30 Tagen nach Rechnungseingang zahlt. Zu lange Zahlungsfristen möchte der Dienstleister vermeiden, da sie seine Liquidität belasten; andererseits sind Banken oft bestrebt, Zahlungsziele auszuschöpfen. Hier ist ein fairer Ausgleich wichtig. Ebenso sollte geregelt sein, ob variable Vergütungsanteile bestehen (etwa Bonus/Malus bei Über- oder Unterschreitung von Servicelevels) und wie mit Indexierungen (Inflationsausgleich) umgegangen wird, insbesondere bei langfristigen Verträgen.

Die Vertragslaufzeit selbst und Verlängerungsoptionen sind ebenfalls ökonomisch relevant. Kurze Laufzeiten bieten Flexibilität, können aber dazu führen, dass hohe Initialkosten (Transition, Einrichtungsaufwand) sich für den Dienstleister kaum amortisieren – was dieser durch höhere Preise einpreisen könnte. Lange Laufzeiten schaffen Stabilität und oft preisliche Vorteile, binden aber beide Seiten langfristig. Ein üblicher Mittelweg sind mehrjährige Grundlaufzeiten (z.B. 3–5 Jahre) mit Verlängerungsoptionen. Kündigungsfristen und -bedingungen (ordentlich und außerordentlich) sollten so gestaltet sein, dass die Bank im Problembereich rasch reagieren kann, aber der Dienstleister nicht unvermittelt seine Planungssicherheit verliert. Bei wesentlichen Auslagerungen schreibt § 25b KWG ohnehin Kündigungsrechte für die Bank vor, inkl. außerordentlicher Kündigung bei schweren Verstößen. In der Vertragspraxis werden häufig detaillierte Kündigungsgründe definiert (z.B. anhaltende SLA-Verletzungen, Insolvenz des Dienstleisters, Entzug einer behördlichen Genehmigung etc.), um Rechtssicherheit zu schaffen.

Akzeptanz von Klauseln durch den Dienstleister

Banken – insbesondere große Institute – verfügen oft über standardisierte Outsourcing-Verträge oder Musterklauseln, die alle regulatorischen Vorgaben erfüllen. Dazu zählen umfassende Prüfungsrechte der BaFin und der Revision, weitgehende Weisungsrechte der Bank, strikte Datenschutzvorgaben, Zustimmungsrechte bei Subunternehmern und detaillierte Reporting-Pflichten des Dienstleisters. Aus Sicht der Bank sind diese Klauseln unverzichtbar, um Compliance mit § 25b KWG und MaRisk AT 9 zu gewährleisten. Allerdings stößt man in Vertragsverhandlungen vor allem mit internationalen Anbietern oder technologischen Großkonzernen (z.B. Cloud-Service-Providern) gelegentlich auf Widerstand. Nicht jeder Dienstleister ist ohne Weiteres bereit, Prüfungsrechte für fremde Auditoren oder Aufseher einzuräumen oder uneingeschränkte Weisungsrechte zu akzeptieren. Hier müssen Verhandlungen geführt werden, in denen der Zweck dieser Klauseln erläutert und eventuelle Bedenken ausgeräumt werden. Oft lässt sich ein Konsens finden, etwa durch praktische Beschränkungen (z.B. Ankündigungsfristen für Prüfungen, Vertraulichkeitsvereinbarungen für Prüfer) ohne den materiellen Gehalt der Rechte zu verwässern. Letztlich gilt: Bei wesentlichen Auslagerungen sind bestimmte Vertragsinhalte nicht verhandelbar – die Bank darf auf diese nicht verzichten, da sie sonst selbst gegen aufsichtsrechtliche Pflichten verstieße. Unternehmen mit weniger kritischen Outsourcing-Vorhaben haben hier etwas mehr Spielraum, sollten aber ebenfalls darauf achten, essenzielle Schutzklauseln (z.B. Datenschutz, Mindeststandards, Haftung) nicht zu stark zu verwässern. Die Kunst liegt darin, einen Vertrag zu formen, der für beide Seiten akzeptabel ist und trotzdem den strengen Anforderungen genügt. Eine gute Kenntnis der Marktpraxis (welche Klauseln sind üblich, welche nicht?) ist dabei hilfreich – erfahrene Anwälte für Wirtschaftsrecht können einschätzen, wo Kompromisse möglich sind und wo nicht.

Weitere wirtschaftliche Vertragsaspekte

Darüber hinaus gibt es eine Reihe weiterer Punkte, die in Outsourcing-Verträgen aus wirtschaftlicher Sicht geregelt sein sollten. Zu nennen sind etwa Gewährleistungspflichten (Haftung für Mängel und Fehler, z.B. bei IT-Auslagerungen), Vereinbarungen zur Vertraulichkeit und Datensicherheit, Regelungen zum Know-how-Schutz (damit beim Dienstleister erworbenes Wissen bei Vertragsende zurückfließt) sowie Compliance-Klauseln (z.B. Verpflichtung des Dienstleisters, bestimmte regulatorische oder ethische Standards einzuhalten). Auch Schlussbestimmungen wie Gerichtsstand, anwendbares Recht (bei internationalen Verträgen) und Streitbeilegungsmechanismen (Schiedsgericht vs. staatliche Gerichte) sind relevant. Die meisten dieser Punkte – von Haftung über Zahlungsbedingungen bis Kündigung – werden in der Praxis in jedem gut ausgearbeiteten Outsourcing-Vertrag behandelt. Wichtig ist, dass der Vertrag in seiner Gesamtheit ein ausgewogenes Risiko-Profil ergibt: Er muss der Bank genügend Rechte und Sicherheiten geben, darf aber den Dienstleister nicht mit unkalkulierbaren Risiken überfrachten (was entweder zu höheren Kosten oder gar zur Verweigerung der Vertragsannahme führen könnte). Schließlich soll der Vertrag die Grundlage für eine langfristig stabile Zusammenarbeit bilden. Eine klare und faire Regelung der wirtschaftlichen Aspekte trägt wesentlich dazu bei, spätere Konflikte zu vermeiden und eine win-win-Situation für beide Seiten zu schaffen.

Aufsichtsrechtliche Prüfung und Kontrolle von Outsourcing-Vorhaben

Angesichts der Bedeutung von Outsourcing für die Stabilität eines Instituts ist es nicht verwunderlich, dass Aufsichtsbehörden und Prüfer besonderes Augenmerk auf ausgelagerte Aktivitäten legen. Für Banken in Deutschland gibt es etablierte Prüfungsmechanismen, um die Einhaltung der gesetzlichen Vorgaben bei Auslagerungen sicherzustellen.

Interne und externe Prüfungen

Zunächst ist jede Bank selbst in der Pflicht, ihre Auslagerungen intern zu überwachen. Die Interne Revision muss gemäß MaRisk prüfen, ob die Vorgaben des § 25b KWG und der AT 9 MaRisk eingehalten werden. Bei wesentlichen Auslagerungen kann die Interne Revision auch externe Prüfungsberichte (etwa vom Dienstleister beauftragte SAS-70/ISAE-3402 Reports oder vergleichbare Zertifikate) auswerten oder Vor-Ort-Prüfungen beim Dienstleister durchführen. MaRisk BT 2.1 Tz. 3 erlaubt es der Internen Revision im Fall wesentlicher Auslagerungen sogar, auf eigene Prüfungshandlungen zu verzichten, wenn z.B. eine angemessene Prüfung durch andere Stellen erfolgt wird ein abgestimmter Prüfungsplan mit dem Dienstleister vereinbart, um die Aufwände planbar zu machen.

Ein zentrales Element der aufsichtsrechtlichen Kontrolle ist die jährliche Abschlussprüfung der Bank durch einen Wirtschaftsprüfer. Gemäß § 29 KWG i.V.m. § 9 Abs. 3 der Prüfungsberichtsverordnung (PrüfV) hat der Abschlussprüfer in seinem Bericht gesondert auf Auslagerungen einzugehen. Insbesondere muss er beurteilen, ob wesentliche Auslagerungen den Anforderungen des § 25b KWG genügen. Hierbei prüft der Wirtschaftsprüfer z.B., ob die Risikoanalysen plausibel sind, ob ein vollständiges Auslagerungsregister geführt wird und ob die Verträge die erforderlichen Klauseln enthalten. Etwaige Mängel oder Verstöße werden im Prüfungsbericht festgehalten. Die BaFin liest diese Berichte sehr aufmerksam und kann bei Beanstandungen Nachfragen stellen oder Maßnahmen einleiten.

Neben der planmäßigen Abschlussprüfung kann die Aufsicht auch Sonderprüfungen anordnen, etwa im Rahmen des § 44 KWG. In solchen Prüfungen, die oft kurzfristig und tiefgehend sind, nehmen BaFin und Bundesbank bestimmte Bereiche der Bank unter die Lupe – Outsourcing gehört hierbei regelmäßig zu den Prüfschwerpunkten, besonders bei IT-Auslagerungen oder beim Einsatz von Cloud-Diensten. Die BaFin hat mit den BAIT (Bankaufsichtliche Anforderungen an die IT) weitere Richtlinien erlassen, die u.a. für IT-Outsourcing spezielle Vorgaben machen und ebenfalls geprüft werden.

Typische Prüfschwerpunkte und Fallstricke

Bei aufsichtsrechtlichen Prüfungen im Outsourcing-Kontext stehen häufig folgende Punkte im Fokus:

• Dokumentation: Die Bank muss alle Auslagerungen lückenlos dokumentieren (Auslagerungsregister) und wichtige Entscheidungen nachvollziehbar festhalten. Fehlt z.B. die Dokumentation der Wesentlichkeitsbewertung oder der Risikoanalyse, führt dies regelmäßig zu Prüffeststellungen.
• Vertragsinhalte: Die Prüfer verlangen Einsicht in Outsourcing-Verträge, insbesondere bei wesentlichen Auslagerungen. Sie prüfen, ob die Verträge die vorgeschriebenen Klauseln (Prüfungsrechte, Weisungsrechte, Kündigungsrechte, usw.) enthalten. Fehlen solche Klauseln oder sind sie unzureichend formuliert, gilt dies als Verstoß gegen § 25b KWG. Auch die Aktualität der Verträge wird geprüft – bei langen Laufzeiten muss der Vertrag bei geänderten Gesetzen oder MaRisk-Novellen angepasst worden sein.
• Überwachung des Dienstleisters: Die Aufsicht möchte sehen, dass die Bank ihren Dienstleister aktiv steuert. Dazu gehören regelmäßige Berichte des Dienstleisters (z.B. zu KPI, Vorfällen), jährliche Auswertung dieser Berichte durch das Institut und klare Ansprechpartner („Key Account Manager“) auf beiden Seiten. Nachweise über Jour-fixe Meetings, Audit-Protokolle oder Prüfungsberichte dienen hier als Beleg.
• Notfallkonzepte: Gerade bei kritischen Auslagerungen erwarten Prüfer einen Exit-Plan. Die Bank sollte zeigen können, wie sie im Notfall die ausgelagerte Funktion weiterführen kann – sei es intern oder durch Wechsel zu einem anderen Anbieter. Existieren Beendigungsunterstützungsklauseln im Vertrag (d.h. der alte Dienstleister muss beim Übergang helfen), werden auch diese betrachtet. Fehlt ein Notfallkonzept, werten Aufseher dies als erhebliches Manko.
• Sub-Outsourcing: Wenn der Dienstleister selbst Teile an Unterauftragnehmer weitergibt, prüfen BaFin und Prüfer, ob die Bank darüber informiert ist und zugestimmt hat, und ob die Kontrollrechte auch gegenüber den Subunternehmern gelten. Lange Auslagerungsketten erhöhen die Komplexität und werden kritisch gesehen. Die Bank muss hier nachweisen, dass sie dennoch den Überblick behält.

Die Konsequenzen von Prüfungsfeststellungen reichen von Auflagen und Nachbesserungsanforderungen bis hin zu der Forderung, eine Auslagerung rückgängig zu machen, wenn gravierende Mängel bestehen. In Extremfällen kann die BaFin nach § 25b Abs. 4 KWG sogar Verfügungen direkt gegenüber dem Dienstleister erlassen, um Missstände zu beseitigen. Dies zeigt, wie ernst das Thema genommen wird. Für Banken und auslagernde Unternehmen zahlt es sich deshalb aus, proaktiv für Compliance zu sorgen. Eine enge Abstimmung mit Anwälten für Bankrecht und erfahrenen Outsourcing-Experten bereits in der Planungs- und Verhandlungsphase kann spätere Konflikte mit der Aufsicht verhindern.

Rolle und Expertise der Kanzlei Hobohm Natalello Giloth (Mainz) im Outsourcing

Die Kanzlei Hobohm Natalello Giloth mit Sitz in Mainz ist spezialisiert auf Wirtschaftsrecht und Bankrecht und verfügt über besondere Erfahrung im Bereich Outsourcing. Unser Team – bestehend aus erfahrenen Anwälten für Outsourcing und IT-Recht – berät sowohl Banken als auch andere Unternehmen bei der rechtssicheren Gestaltung ihrer Auslagerungsprojekte. Von der ersten Risikoanalyse über die Vertragsverhandlung bis zur Prüfung von laufenden Outsourcing-Beziehungen stehen wir unseren Mandanten mit fachlich fundiertem Rat zur Seite. Durch die Kombination von bankaufsichtsrechtlichem Know-how und wirtschaftsrechtlicher Vertragsexpertise können wir sicherstellen, dass Outsourcing-Vorhaben vertraglich sauber und zugleich praxistauglich umgesetzt werden.

Insbesondere Rechtsanwalt Dr. André Natalello – Partner der Kanzlei in Mainz – ist ein anerkannter Experte für Outsourcing und Bankrecht. Dr. Natalello hat zu diesem Thema promoviert und seine umfassende Expertise sowohl in der Theorie als auch in der Praxis erworben. So war er mehrere Jahre in der Rechtsabteilung einer großen deutschen Bank (Commerzbank) tätig, wo er wertvolle Erfahrungen mit Auslagerungen in der Finanzbranche gesammelt hat. Als Anwalt für Bankrecht kennt Dr. Natalello die aufsichtsrechtlichen Anforderungen (KWG, MaRisk, EBA-Guidelines) aus erster Hand. Gleichzeitig ist er als Anwalt für Outsourcing-Verträge versiert in der Verhandlung komplexer Verträge mit IT-Dienstleistern, Cloud-Providern und anderen Serviceunternehmen. Diese Doppelkompetenz kommt unseren Mandanten zugute: Wir verstehen sowohl die rechtliche Seite (Compliance, Haftung, Regulierung) als auch die wirtschaftlichen und technischen Aspekte eines Outsourcing-Projekts.

Unsere Kanzlei unterstützt Banken dabei, Auslagerungsverträge und interne Richtlinien an die aktuellen regulatorischen Vorgaben (z.B. § 25b KWG, MaRisk AT 9) anzupassen und optimal auszugestalten. Gerade Institute in Mainz und Rhein-Main-Gebiet schätzen unsere regionale Nähe und Fachkenntnis im Bankaufsichtsrecht. Zugleich beraten wir Unternehmen mit Outsourcing-Bedarf – etwa im IT-Bereich oder im Finanzdienstleistungssektor – bei der Vertragsgestaltung und Risikoverteilung. Wir prüfen Verträge auf Fallstricke, verhandeln Haftungsklauseln, Leistungsbeschreibungen und Service Level und sorgen dafür, dass Ihre Interessen gewahrt werden. Durch unsere Erfahrung wissen wir, welche Klauseln ein Dienstleister akzeptieren kann und wo erfahrungsgemäß Anpassungen nötig sind, um einen tragfähigen Vertrag zu schließen.

Mainz als Standort unserer Kanzlei ist für viele Mandanten aus dem Rhein-Main-Gebiet gut erreichbar. Doch wir beraten selbstverständlich überregional und unterstützen Ihr Outsourcing-Projekt unabhängig vom Sitz. Entscheidend ist für uns, dass Sie eine maßgeschneiderte Lösung erhalten: Jede Auslagerung ist anders, und wir legen Wert darauf, individuelle Risiken und Bedürfnisse zu berücksichtigen.

Fazit und Ausblick

Outsourcing im Bankensektor ist ein komplexes Unterfangen im Spannungsfeld von Effizienz und Regulierung. Einerseits können durch Auslagerungen erhebliche wirtschaftliche Vorteile erzielt werden; andererseits müssen strikte rechtliche Vorgaben – insbesondere aus § 25b KWG und den MaRisk – beachtet werden, um die Stabilität des Finanzsystems und den Kundenschutz zu gewährleisten. Eine sorgfältige Planung, Vertragsgestaltung und Überwachung sind der Schlüssel, um die Vorteile des Outsourcings zu realisieren, ohne die Compliance zu gefährden.

Für Banken und Unternehmen, die Outsourcing erwägen, empfiehlt es sich, frühzeitig fachkundigen Rat einzuholen. Ein Anwalt für Outsourcing und Wirtschaftsrecht kann dabei helfen, Fallstricke zu umgehen und Verhandlungen mit Dienstleistern auf Augenhöhe zu führen. Die Kanzlei Hobohm Natalello Giloth in Mainz steht Ihnen hierbei mit ihrer spezialisierten Expertise zur Seite. Rechtsanwalt Dr. André Natalello und sein Team unterstützen Sie gern bei allen Fragen rund um Outsourcing, Bankrecht und Wirtschaftsrecht – von Mainz aus und bundesweit. Kontaktieren Sie uns, um Ihr Outsourcing-Projekt rechtlich wie wirtschaftlich auf ein solides Fundament zu stellen.