Skip to content
KundenreferenzPreiseSicherheitVergleichBlog

Europe

Americas

Oceania

Compliance9 min Lesezeit

Third-Party Risk Management (TPRM): Leitfaden 2026

Vollständiger Leitfaden zum Third-Party Risk Management (TPRM): DORA-Pflichten, BaFin-Anforderungen, Lieferantenbewertung, kontinuierliches Monitoring und GwG-Compliance in Deutschland 2026.

Dr. Katrin Hoffmann, Expertin für regulatorische Compliance
Dr. Katrin Hoffmann, Expertin für regulatorische Compliance·
Illustration for Third-Party Risk Management (TPRM): Leitfaden 2026 — Compliance

Diesen Artikel zusammenfassen mit

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Third-Party Risk Management (TPRM) — die strukturierte Steuerung von Risiken aus externen Lieferanten-, Dienst- und Technologiebeziehungen — ist seit dem 17. Januar 2025 eine verbindliche aufsichtsrechtliche Anforderung für deutsche Finanzinstitute. 35,5 % aller Datenpannen gehen auf die Lieferkette zurück, und die BaFin hat TPRM als zentrales Prüffeld für 2026 identifiziert. Das BAIT-Rundschreiben der BaFin, das bislang die IT-Anforderungen an Kreditinstitute regelte, wird zum 31. Dezember 2026 endgültig durch DORA abgelöst.

Dieser Leitfaden erläutert den regulatorischen Rahmen für Deutschland, die fünf Kernphasen eines wirksamen TPRM-Programms und die konkreten Schritte zur DORA- und GwG-Konformität in 2026.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine rechtliche, finanzielle oder regulatorische Beratung dar. Für organisationsspezifische Fragen wenden Sie sich bitte an einen qualifizierten Fachberater.

Was ist TPRM und warum ist es in Deutschland Pflicht?

Third-Party Risk Management (TPRM) ist der strukturierte Prozess zur Identifikation, Bewertung, Überwachung und Minderung von Risiken aus externen Partnerbeziehungen. Das Spektrum der Risiken reicht weit über IT-Sicherheit hinaus.

Die regulatorische Grundlage für TPRM in Deutschland ist die DORA-Verordnung (EU) 2022/2554, anwendbar seit 17. Januar 2025, die Finanzunternehmen detaillierte Anforderungen an das Management von IKT-Drittparteienrisiken auferlegt. Die BaFin fungiert als nationale Aufsichtsbehörde und erwartet, dass Institute ihre TPRM-Prozesse dokumentieren und auf Verlangen der Aufsicht vorweisen können.

Neben DORA gelten in Deutschland unter anderem:

Regelwerk Anwendungsbereich Relevanz für TPRM
DORA (Verordnung (EU) 2022/2554) Finanzunternehmen IKT-Register, Due Diligence, Vertragsklauseln Art. 30(2)
GwG (Geldwäschegesetz) Finanz- und Verpflichtungssektor Sorgfaltspflichten gegenüber Dritten
DSGVO Alle Verarbeiter personenbezogener Daten Auftragsverarbeitungsverträge mit Lieferanten
MaRisk (BaFin AT 9) Kreditinstitute Auslagerungsmanagement bis BAIT-Ablösung
BAIT (bis 31. Dez. 2026) Nicht-DORA-pflichtige Institute Übergangsregelung bis vollständige DORA-Geltung
NIS2 (außerhalb Finanzsektor) Kritische Sektoren Sicherheit der Lieferkette

Regulatorischer Rahmen: BaFin, DORA und GwG in 2026

DORA-Pflichten für deutsche Finanzunternehmen

Seit dem 17. Januar 2025 gilt DORA für Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister und Anbieter von Kryptowertedienstleistungen in Deutschland. Die BaFin hat als Reaktion auf DORA ihre Rundschreiben KAIT, VAIT und ZAIT mit Wirkung zum 16. Januar 2025 aufgehoben. Das BAIT bleibt noch für Institute gelten, die nicht unter DORA fallen, wird jedoch zum 31. Dezember 2026 vollständig aufgehoben, wenn das nationale Umsetzungsgesetz greift (BaFin, DORA-Aufsichtsmitteilung).

Die wesentlichen DORA-Pflichten im Bereich TPRM sind:

  • IKT-Informationsregister: vollständiges Register aller vertraglichen IKT-Vereinbarungen mit Drittparteien (Artikel 28 DORA).
  • Vorvertragliche Due Diligence: Risikobewertung vor Abschluss von Verträgen, die kritische oder wichtige Funktionen betreffen.
  • Vertragliche Mindestanforderungen: Verträge müssen die Klauseln aus Artikel 30(2) DORA enthalten — Prüfrechte, SLAs, Meldung schwerwiegender Vorfälle binnen 4 Stunden, Ausstiegsstrategien.
  • Kontinuierliche Überwachung: Finanzunternehmen können ihre Überwachungsverantwortung nicht auf Dritte übertragen.
  • Konzentrationsrisikomanagement: Bewertung von Alternativen bei übermäßiger Abhängigkeit von einzelnen Anbietern, insbesondere Nicht-EU-Hyperscalern.

Die BaFin hat in ihren 2026 Risks in Focus ein besonderes Augenmerk auf die Abhängigkeit von einer kleinen Zahl nicht-europäischer Hyperscaler gelegt, da diese eine systemische Gefahr für den deutschen Finanzsektor darstellt (BaFin Risks in Focus 2026, PwC Legal-Analyse).

GwG und Sorgfaltspflichten gegenüber Dritten

Das Geldwäschegesetz (GwG) verpflichtet Finanzinstitute, Sorgfaltspflichten nicht nur gegenüber Kunden, sondern auch gegenüber Geschäftspartnern und Dienstleistern anzuwenden. Bei Drittparteien, die Zahlungsverkehrsfunktionen oder andere regulatorisch relevante Tätigkeiten übernehmen, ist eine vertiefte Sorgfaltsprüfung geboten. Die TPRM-Prozesse sollten daher GwG-Elemente integrieren, um redundante Due-Diligence-Prozesse zu vermeiden.

Die fünf Kernphasen des TPRM-Programms

Phase 1: Inventur und Klassifizierung von Drittparteien

Jedes TPRM-Programm beginnt mit einer vollständigen und aktuellen Bestandsaufnahme aller externen Parteien — direkte Lieferanten, Unterauftragnehmer, Technologiepartner und Cloud-Anbieter. Laut Whistic (2025) verwalten Unternehmen im Durchschnitt 286 Lieferanten, mit einer durchschnittlichen Quote von 33,6 Lieferanten pro Risikofachkraft.

Jede Drittpartei wird anhand ihrer Kritikalität eingestuft:

  • Kritisch: Lieferanten, die kritische oder wichtige Funktionen im Sinne von DORA unterstützen, Zugang zu sensiblen Daten, hohe betriebliche Abhängigkeit.
  • Bedeutsam: mittlere Auswirkungen bei Ausfall, eingeschränkter Datenzugang.
  • Standard: periphere Dienstleistungen, geringe betriebliche Auswirkungen.

Diese Klassifizierung bestimmt die Tiefe der Due Diligence, die Prüfungsfrequenz und den erforderlichen Vertragsschutz.

Phase 2: Vorvertragliche Due Diligence

Die vorvertragliche Prüfung für kritische IKT-Drittparteien muss umfassen:

  • Finanzielle Stabilität (geprüfte Jahresabschlüsse, Kreditrating, Versicherungsdeckungen).
  • Sicherheitslage (ISO 27001, SOC 2 Typ II, Ergebnisse von Penetrationstests).
  • Regulatorische Compliance (DSGVO, DORA, sektorspezifisch).
  • Kapazität für Geschäftskontinuität und Notfallwiederherstellung.
  • Ausstiegsstrategie und Datenportabilitätsplan.

CheckFile automatisiert die Erfassung und Prüfung der von Lieferanten bereitgestellten Dokumente in dieser Phase — Zertifizierungen, Jahresabschlüsse, Versicherungsnachweise, Handelsregisterauszüge — und markiert automatisch fehlende oder abgelaufene Dokumente.

Phase 3: DORA-konforme Vertragsgestaltung

Verträge mit kritischen IKT-Lieferanten müssen die Klauseln aus Artikel 30(2) DORA enthalten, da sonst das Risiko aufsichtsrechtlicher Beanstandungen durch die BaFin besteht. Die Mindestanforderungen umfassen:

  • Präzise Beschreibung der Leistungen und Leistungsniveaus (SLA).
  • Prüf- und Inspektionsrechte für das Finanzunternehmen und seine Aufsichtsbehörden.
  • Meldung schwerwiegender Vorfälle binnen 4 Stunden.
  • Kündigungsbedingungen und dokumentierte Ausstiegsstrategie.
  • Beschränkungen für die Unterbeauftragung kritischer Funktionen ohne vorherige Genehmigung.
  • Datenspeicherort und anwendbares Recht.

Phase 4: Kontinuierliche Überwachung

Punktuelle Bewertungen genügen nicht mehr. 70 % der Stakeholder haben keinen Überblick über die Risiken ihrer Lieferanten (Gartner, 2025). Die BaFin und die Europäischen Aufsichtsbehörden (ESAs) erwarten Echtzeiteinblick, keine statischen jährlichen Selbsteinschätzungen.

Wirksame kontinuierliche Überwachung umfasst:

  • Regelmäßige Neubewertung von Fragebögen, abgestimmt auf die Kritikalität (vierteljährlich für kritische, jährlich für Standardlieferanten).
  • Externe Sicherheitsüberwachung (Angriffsflächen-Monitoring, CVE-Warnungen).
  • Überwachung der finanziellen Gesundheit kritischer Lieferanten.
  • Verfolgung regulatorischer und geopolitischer Veränderungen, die Lieferanten betreffen.
  • Automatische Meldungen bei Ablauf von Zertifizierungen und aufsichtsrechtlichen Genehmigungen.

CheckFile zentralisiert die Compliance-Dokumentation von Lieferanten und sendet automatische Warnmeldungen, wenn ein ISO-Zertifikat, eine Versicherungspolice oder eine regulatorische Lizenz abzulaufen droht.

Phase 5: Vorfallmanagement und Ausstiegsstrategien

DORA verlangt dokumentierte und getestete Ausstiegsstrategien für alle kritischen IKT-Lieferanten. Die BaFin erwartet, dass Finanzunternehmen den Nachweis erbringen können, dass Ausstiegspläne tatsächlich erprobt wurden. Eine wirksame Ausstiegsstrategie umfasst:

  • Identifizierte Alternativanbieter oder Internalisierungspläne.
  • Dokumentierte Verfahren für Datenmigration und Systemübergang.
  • Vertragliche Kündigungsfristen, die der Komplexität des Übergangs angepasst sind.
  • Vollständiges Register technischer Abhängigkeiten und Datenflüsse.

Unseren Leitfaden zu DORA 2026 und Dokumentenprüfung im Finanzsektor finden Sie detaillierte Anforderungen zu Vorfallmeldungen und TLPT-Tests.

Praxisherausforderungen beim TPRM in Deutschland

Compliance-Experten und Fachforen im deutschsprachigen Raum benennen immer wieder dieselben Hindernisse bei der Implementierung eines reifen TPRM-Programms.

Herausforderung 1: Die richtige Dokumentation von Lieferanten erhalten. 48 % der Compliance-Teams nennen dies als größtes Hindernis (ISACA, 2020). Viele Lieferanten — insbesondere mittelständische Unternehmen — verfügen nicht über strukturierte Compliance-Programme und haben Schwierigkeiten, die geforderten Dokumente bereitzustellen. Automatisierte Dokumentenerfassung eliminiert zeitraubende E-Mail-Schleifen.

Herausforderung 2: Personalmangel. 62 % der Risikoexperten berichten, dass ihr TPRM-Programm nicht ausreichend personell besetzt ist. Bei einem Verhältnis von 33,6 Lieferanten pro Risikofachkraft ist Automatisierung keine Option, sondern Notwendigkeit.

Herausforderung 3: Vorstandsunterstützung gewinnen. Nur 40 % der Unternehmen berichten dem Vorstand regelmäßig über Drittparteienrisiken. Die Geschäftsargumentation ist eindeutig: Die durchschnittlichen Kosten eines Datenlecks beliefen sich 2024 auf 4,88 Mio. USD (IBM Cost of a Data Breach Report 2024), und DORA-Strafen für kritische IKT-Drittparteien können bis zu 1 % des täglichen weltweiten Umsatzes betragen.

Für einen Überblick darüber, wie TPRM in den Governance-Rahmen eingebettet ist, lesen Sie unseren GRC-Leitfaden und den Leitfaden zu Dokumenten-Compliance.

TPRM-Reifegrad: Vier Stufen im Überblick

Finanzinstitute befinden sich auf unterschiedlichen Reifegradstufen bei der Umsetzung des TPRM. Das folgende Modell zeigt, wo Unternehmen stehen und welche Schritte für die vollständige DORA-Konformität erforderlich sind.

Stufe Merkmale BaFin-Risiko
1 — Ad hoc Kein formales Konzept, keine vollständige Inventur, Verträge ohne Prüfrechte Sehr hoch: nicht DORA-konform
2 — Wiederholend Konzept vorhanden, teilweise Inventur, jährliche Bewertungen, keine Ausstiegsstrategien Hoch: kritische Lücken
3 — Definiert Vollständige Inventur, Risikoeinstufung, vertragliche Mindestanforderungen, regelmäßige Überwachung Mittel: weitgehend DORA-konform
4 — Optimiert Kontinuierliche Überwachung, getestete Ausstiegsstrategien, Viert-Partei-Risikomanagement, automatisierte Dokumentenüberwachung Niedrig: vollständig DORA-konform

Laut dem Bericht Third-Party Risk Insights 2026 von Netrin haben 46 % der Unternehmen noch kein ausgereiftes TPRM-Programm — Stufe 1 oder 2 im obigen Modell. Für deutsche Finanzinstitute, die seit dem 17. Januar 2025 unter DORA fallen, sind Stufe 1 und 2 nicht mehr akzeptabel.

Der Schritt von Stufe 2 auf Stufe 3 erfordert in der Regel: Aufbau eines vollständigen IKT-Registers, Nachverhandlung von Verträgen um DORA-Klauseln zu ergänzen, und Einführung automatisierter Dokumentenüberwachung. BaFin-Prüfer erwarten im Rahmen von DORA-Aufsichtsmaßnahmen 2026, dass Institute diesen Nachweis erbringen können — nicht nur erklären, dass sie daran arbeiten. CheckFile unterstützt diese Transition durch automatisierte Lieferantendokumentenerfassung und erstellt ein auditfähiges Dossier, das BaFin-Prüfern unmittelbar zur Verfügung gestellt werden kann.

Operative TPRM-Checkliste

Ein reifes TPRM-Programm enthält folgende Elemente:

  • Schriftliche TPRM-Richtlinie, genehmigt durch die Geschäftsleitung.
  • Vollständige und aktuelle Bestandsaufnahme aller Drittparteien mit Kritikalitätseinstufung.
  • Bewertungsfragebögen, abgestimmt auf das Risikoniveau.
  • IKT-Informationsregister gemäß Artikel 28 DORA.
  • Vertragsklauseln gemäß Artikel 30(2) DORA für kritische Lieferanten.
  • Dokumentierter Prozess zur kontinuierlichen Überwachung.
  • Getestete Ausstiegsstrategien für kritische Lieferanten.
  • Jährlicher TPRM-Bericht dem Vorstand oder dem Risikoausschuss vorgelegt.
  • Konzentrationsrisikokarte.
  • Vorfallreaktionsverfahren für drittparteibedingte Ereignisse.

Entdecken Sie CheckFile für die Zentralisierung der Lieferantendokumentation und die Automatisierung des Zertifizierungs- und Vertragsmonitorings.

Häufig gestellte Fragen

Was ist Third-Party Risk Management (TPRM)?

TPRM ist der strukturierte Prozess zur Identifikation, Bewertung und Steuerung von Risiken aus Lieferanten-, Dienst- und Technologiepartnerbeziehungen. Es umfasst operative Risiken, Cyberrisiken, Compliance-Risiken, Reputationsrisiken, Konzentrationsrisiken und geopolitische Risiken über den gesamten Lebenszyklus der Drittparteibeziehung.

Welche deutschen Unternehmen fallen unter DORA?

DORA gilt für Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, E-Geld-Institute, Kryptowerteanbieter und relevante IKT-Drittparteien, die in der EU tätig sind. Die BaFin ist die nationale Aufsichtsbehörde in Deutschland. Unternehmen außerhalb des Finanzsektors fallen unter NIS2.

Was ist der Unterschied zwischen TPRM und Lieferantenmanagement?

Lieferantenmanagement konzentriert sich auf operative Leistung und kommerzielle Bedingungen. TPRM ergänzt dies um eine strukturierte Risikokomponente: Sicherheitsbewertung, regulatorische Compliance, finanzielle Stabilität und Resilienz, mit Dokumentation für Aufsichtsbehörden.

Wie oft sollten Lieferantenrisikobewertungen durchgeführt werden?

Die Bewertungsfrequenz sollte proportional zur Kritikalität des Lieferanten sein. Kritische Lieferanten erfordern in der Regel vierteljährliche Bewertungen und eine kontinuierliche externe Überwachung. Standardlieferanten können jährlich bewertet werden. Auslöser — schwerwiegende Vorfälle, finanzielle Schwierigkeiten, regulatorische Änderungen — erfordern eine sofortige Neubewertung.

Welche Sanktionen drohen bei DORA-Verstößen im Bereich TPRM?

Bei Verstößen gegen DORA kann die BaFin Durchsetzungsmaßnahmen einleiten, darunter Verwaltungssanktionen, Anweisungen zur Beseitigung der Mängel und Einschränkungen des Geschäftsbetriebs. Für kritische IKT-Drittparteien, die direkt von den ESAs beaufsichtigt werden, können periodische Sanktionen bis zu 1 % des durchschnittlichen täglichen weltweiten Jahresumsatzes betragen, bis die Konformität wiederhergestellt ist.

Bereit, Ihre Prüfungen zu automatisieren?

Kostenloses Pilotprojekt mit Ihren eigenen Dokumenten. Ergebnisse in 48h.

Verwandte Artikel

Compliance11 min

Compliance-Risikobewertung: Leitfaden für deutsche Unternehmen 2026

Wie Sie regulatorische Risiken identifizieren, bewerten und minimieren. Praxisleitfaden zum Compliance-Risikomanagement nach BaFin-Anforderungen und GwG § 5.

Lesen
Compliance8 min

GRC: Governance, Risikomanagement und Compliance — Leitfaden 2026

Was ist Governance Risk Management Compliance (GRC)? Die drei Säulen, BaFin-Anforderungen in Deutschland und wie Sie ein effektives GRC-Framework aufbauen.

Lesen
Compliance11 min

Dokumenten-Compliance 2026: Der vollständige Leitfaden

Dokumenten-Compliance für Unternehmen: KYC, GwG, DSGVO, eIDAS 2, DORA. Gesetzliche Pflichten, BaFin-Sanktionen und Automatisierung. Aktueller Leitfaden 2026.

Lesen