Dienstleisterauswahl

Eine strukturierte Dienstleisterauswahl ist ein systematischer Prozess zur Bewertung und Auswahl von Auslagerungspartnern anhand definierter Kriterien. Sie umfasst Anforderungsanalyse, Marktscreening, RFI/RFP-Verfahren, Due Diligence, Scoring und Vertragsverhandlung. Der Prozess ist entscheidend, weil Fehlentscheidungen bei der Dienstleisterwahl zu Leistungsdefiziten, Compliance-Verstoessen und finanziellen Verlusten fuehren. In regulierten Branchen wie dem Finanzsektor fordert die BaFin ueber MaRisk AT

9 eine nachvollziehbare, risikoorientierte Auswahlentscheidung.

Die wichtigsten Auswahlkriterien sind: fachliche und technische Kompetenz (Branchenerfahrung, Referenzprojekte, Zertifizierungen), Informationssicherheit (ISO 27001, TISAX, Datenschutz-Compliance), finanzielle Stabilitaet (Bonitaet, Eigentuemerstruktur), Skalierbarkeit und Ressourcenverfuegbarkeit, kulturelle Passung und Kommunikationsfaehigkeit sowie ESG-Kriterien. In regulierten Branchen kommen regulatorische Anforderungen hinzu: DORA-konforme Vertragsklauseln, MaRisk-AT-9-Nachweise und Business-Continuity-Konzepte.

MaRisk AT

9 fordert von Finanzinstituten eine Risikoanalyse vor Auslagerungen, angemessene Steuerungs- und Kontrollrechte sowie Exit-Strategien. Seit Januar

2025 verschaerft DORA diese Anforderungen fuer IKT-Drittdienstleister: Finanzunternehmen muessen ein Informationsregister fuehren, detaillierte Ueberwachungs- und Meldepflichten einhalten und Resilienztests durchfuehren. Die Vertraege mit IKT-Dienstleistern muessen DORA-konforme SLAs, KPIs, Audit-Rechte und Kuendigungsklauseln enthalten.

Eine Due Diligence prueft den Dienstleister in mehreren Dimensionen: finanzielle Stabilitaet (Jahresabschluesse, Bonitaet), Compliance und Zertifizierungen (ISO 27001, SOC 2, DSGVO), technische Leistungsfaehigkeit (Infrastruktur, Notfallplaene, Recovery-Tests), Referenzen (Kundengespraeche, Fallstudien) und rechtliche Aspekte (Subunternehmer, Haftung, Datenschutzvereinbarungen). Fuer regulierte Unternehmen ist die Due Diligence nach MaRisk und DORA verpflichtend und muss dokumentiert werden.

Ein Scoring-Modell objektiviert die Dienstleisterbewertung durch gewichtete Kriterien und standardisierte Bewertungsskalen. Typische Kategorien sind: Preis (20‑30%), technische Kompetenz (25‑35%), Sicherheit und Compliance (15‑25%), Skalierbarkeit (10‑15%) und kulturelle Passung (5‑10%). Jeder Shortlist-Kandidat wird von einem cross-funktionalen Team (IT, Fachbereich, Compliance, Recht, Datenschutz) bewertet. Das Ergebnis ist eine transparente, nachvollziehbare Entscheidungsgrundlage, die regulatorischen Anforderungen standhaelt.

Cloud-Service-Provider stellen besondere Anforderungen: Datenlokalisierung (EU-Rechenzentren, Schrems-II-Konformitaet), geteilte Verantwortung (Shared Responsibility Model), Vendor-Lock-in-Risiken, Multi-Cloud-Faehigkeit und Exit-Strategien. Regulatorisch gelten DORA-Anforderungen an kritische IKT-Drittdienstleister, die BaFin-Orientierungshilfe zu Auslagerungen an Cloud-Anbieter und die EBA-Leitlinien zu Cloud-Outsourcing. Zertifizierungen wie C5, ISO

27017 und SOC

2 Type II sind Mindestanforderungen.

ADVISORI begleitet Sie durch den gesamten Auswahlprozess: von der Anforderungsdefinition ueber Marktanalyse, RFI/RFP-Erstellung, Due Diligence bis zur Vertragsverhandlung. Unsere Berater bringen Erfahrung aus regulierten Branchen (Banken, Versicherungen, Finanzdienstleister) und kennen die Anforderungen von MaRisk, DORA, BAIT und EBA-Leitlinien. Wir entwickeln massgeschneiderte Scoring-Modelle, fuehren Risikoanalysen durch und stellen sicher, dass die Auswahlentscheidung BaFin-Pruefungen standhaelt.