(openPR) Abgrenzung = Kontrollverlust? – warum Banken mit der parallelen Steuerung von MaRisk und DORA im Alltag ins Straucheln geraten könnten
Die Aufsicht verschärft den Druck, und viele Institute geraten an ihre Grenzen: Seit der Einführung von DORA müssen Banken nicht nur Auslagerungen nach MaRisk prüfen, sondern parallel auch IKT-Dienstleistungen nach DORA steuern. Klingt nach Doppelung – ist in Wahrheit aber ein regulatorischer Spagat, den zahlreiche Häuser bislang nicht beherrschen. Die Folge: widersprüchliche Klassifikationen, unklare Governance, fehlende Risikoanalysen und immer wieder massive Beanstandungen in Prüfungen. Besonders brisant: Der Wegfall der BAIT verschiebt die Anforderungen und verkompliziert die Abgrenzung zusätzlich. Wo endet der „sonstige Fremdbezug“ und wo beginnt die wesentliche Auslagerung oder die kritische IKT-Dienstleistung? Viele Verantwortliche tappen im Dunkeln – und öffnen damit Risiken, die bis in die Geschäftsfortführung hineinreichen.
Genau diese Unsicherheit zeigt sich in der Praxis immer wieder. Verträge enthalten keine eindeutigen Schutzbedarfsanalysen, Exit-Strategien sind unzureichend geregelt, und die Dokumentation der Risikobewertungen ist lückenhaft. Besonders bei Cloud- und Softwarediensten häufen sich die Probleme: Standardisierte Reports werden kritiklos übernommen, Kontrollrechte nicht ausgeübt, Subdienstleister nicht überprüft. Die Aufsicht stößt in ihren Prüfungen regelmäßig auf fehlende Auslagerungs-Governance, schlecht abgegrenzte Dienstleistungsportfolios und nicht belastbare Risikoanalysen. Damit wird deutlich: Ohne saubere Abgrenzung zwischen MaRisk und DORA fehlt den Instituten die Grundlage, Risiken zu steuern und aufsichtsrechtlich sicher aufgestellt zu sein.
Das Online-Seminar „Abgrenzung und parallele Steuerung von Auslagerungen (MaRisk) & IKT-Dienstleistungen (DORA)“ am 24. November 2025 gibt hier Orientierung.
David Rother (Bundesbank) zeigt am Vormittag, welche aufsichtsrechtlichen Erwartungen gelten und welche typischen Schwachstellen bei Prüfungen auffallen. Es geht um Abgrenzungskriterien, die richtige Anwendung von Schutzbedarfsanalysen und die Integration der neuen DORA-Pflichten in die Gesamtsteuerung.
Am Mittag vermittelt Markus Wietzke (Sparkasse Hannover), wie Auslagerungen und IKT-Dienstleistungen praktisch parallel gesteuert werden können. Er berichtet aus einer BaFin-Prüfung, beleuchtet den gesamten Zyklus von Auslagerung und Fremdbezug und zeigt, wie fehlende Governance-Strukturen in der Praxis zu Feststellungen führen – und wie sich diese vermeiden lassen.
Am Nachmittag legt Jürgen Krug (ehem. Frankfurter Sparkasse) den Fokus auf die kritischen Sonderfälle: Software- und Cloud-Dienstleistungen. Er zeigt, wie Risikoanalysen wirklich aussehen müssen, welche Kontrollhandlungen Banken selbst übernehmen müssen und wann eine eigene Revision beim Dienstleister zwingend erforderlich ist. Außerdem verdeutlicht er, welche Mängel bei Due Diligence und Software-Risikoprüfungen immer wieder auftreten – und wie sich diese systematisch beheben lassen.
Das Seminar bietet nicht nur regulatorischen Überblick, sondern konkrete Lösungen für die Praxis: klare Abgrenzungskriterien, wirksame Governance-Modelle, praxiserprobte Exit-Strategien und handfeste Tipps aus Prüfungen. Teilnehmende erhalten damit das Rüstzeug, um ihre Prozesse so aufzustellen, dass sie DORA- und MaRisk-konform agieren und künftige Prüfungen souverän bestehen.
Wer glaubt, die parallele Anwendung von MaRisk und DORA „irgendwie“ nebenbei zu erledigen, unterschätzt die Brisanz. Tatsächlich entscheidet die Qualität der Abgrenzung über die Widerstandsfähigkeit des gesamten Instituts. Dieses Seminar zeigt, wie es geht – praxisnah, prüfungssicher und direkt umsetzbar.
Weitere Informationen und Anmeldung unter: https://www.akademie-heidelberg.de/termin/abgrenzung-und-parallele-steuerung-von-auslagerungen-marisk-ikt-dienstl-dora
