Was ist Third-Party Risk Management?
Third-Party Risk Management (TPRM) erklärt: Warum regulierte Unternehmen ihre Dienstleister systematisch managen müssen.
Drittparteienmanagement in einem Satz
Third-Party Risk Management (TPRM) ist der systematische Prozess, mit dem Unternehmen die Risiken identifizieren, bewerten und steuern, die durch externe Dienstleister, Lieferanten und Partner entstehen.
In regulierten Branchen — Finanzwesen, Energie, Gesundheit, kritische Infrastruktur — ist TPRM keine Option, sondern eine regulatorische Pflicht.
Warum Drittparteienmanagement heute unverzichtbar ist
Jedes Unternehmen arbeitet mit externen Dienstleistern. Cloud-Provider, IT-Dienstleister, Softwareanbieter, Berater, Outsourcing-Partner. In vielen Unternehmen sind es 20, 50 oder mehr.
Das Problem: Jeder dieser Dienstleister bringt Risiken mit.
- Operationelle Risiken: Was passiert, wenn Ihr Cloud-Provider ausfällt?
- Compliance-Risiken: Erfuellt Ihr IT-Dienstleister die regulatorischen Anforderungen, die für Sie gelten?
- Datenrisiken: Wer hat Zugriff auf Ihre sensiblen Daten — und wer hat Zugriff auf deren Systeme?
- Konzentrationsrisiken: Hängen kritische Geschäftsprozesse von einem einzigen Anbieter ab?
- Lieferkettenrisiken: Welche Sub-Dienstleister stecken hinter Ihren direkten Anbietern?
Als ich eine regulierte Bank aufgebaut habe, wurde mir schnell klar: Die Aufsichtsbehörde interessiert sich nicht nur dafür, ob Sie Ihre eigenen Systeme im Griff haben. Sie will wissen, ob Sie Ihre gesamte Dienstleisterkette kontrollieren.
Die vier Phasen des TPRM-Lebenszyklus
1. Identifikation und Erfassung
Bevor Sie Risiken bewerten können, müssen Sie wissen, mit wem Sie arbeiten. Klingt trivial — ist es nicht. In vielen Unternehmen gibt es keine vollständige Liste aller Dienstleister, geschweige denn eine Klassifizierung nach Kritikalität.
Was Sie brauchen:
- Vollständiges Register aller Dienstleister
- Kategorisierung (IT, Beratung, Outsourcing, Cloud etc.)
- Kritikalitätsbewertung (kritisch, wichtig, unkritisch)
2. Risikobewertung
Nicht jeder Dienstleister trägt das gleiche Risiko. Ein Anbieter, der Ihre Kern-IT betreibt, ist anders zu bewerten als ein Büroausstatter.
Systematische Risikobewertung umfasst:
- Vertragsprüfung: Sind die notwendigen Klauseln enthalten?
- Sicherheitsbewertung: Welche Zertifizierungen hat der Anbieter?
- Finanzielle Stabilität: Kann der Anbieter langfristig liefern?
- Compliance-Status: Erfuellt der Anbieter die für Sie relevanten Regulierungen?
Mehr dazu in unserem Artikel Lieferantenrisiken bewerten.
3. Laufende Überwachung
Risikobewertung ist kein einmaliges Projekt. Dienstleister ändern sich, Verträge laufen aus, neue Risiken entstehen. Effektives TPRM erfordert:
- Regelmäßige Neubewertung (mindestens jährlich, kritische Anbieter häufiger)
- Monitoring von Vertragslaufzeiten und -änderungen
- Tracking von Sicherheitsvorfällen beim Anbieter
- Aktualisierung der Kritikalitätsbewertung bei Änderungen
4. Exit-Management
Was passiert, wenn Sie einen kritischen Dienstleister wechseln müssen — ob geplant oder ungeplant? Ohne Exit-Strategie kann ein Anbieterwechsel den Geschäftsbetrieb gefährden.
Eine gute Exit-Planung umfasst:
- Dokumentierte Ausstiegspläne für kritische Anbieter
- Definierte Übergangsfristen
- Identifizierte Alternativanbieter
- Regelmäßige Überprüfung der Exit-Fähigkeit
TPRM in regulierten Branchen
In regulierten Branchen ist TPRM nicht nur Best Practice, sondern gesetzliche Pflicht:
| Regulierung | Betroffene Unternehmen | TPRM-Anforderung |
|---|---|---|
| DORA | Finanzinstitute (EU) | ICT-Drittparteirisikomanagement, Register of Information, vertragliche Pflichtklauseln |
| NIS2 | Kritische Infrastruktur, 18 Sektoren (EU) | Sicherheit der Lieferkette, Risikomanagement für Dienstleister |
| DSGVO Art. 28 | Alle Unternehmen mit Auftragsverarbeitern | Vertragliche Absicherung der Datenverarbeitung durch Dritte |
Die regulatorischen Anforderungen überschneiden sich stark. Ein Unternehmen, das DORA-konformes Drittparteienmanagement aufbaut, hat bereits wesentliche Teile der NIS2- und DSGVO-Anforderungen erfuellt.
Typische Fehler im Drittparteienmanagement
In meiner Erfahrung sehe ich immer wieder dieselben Fehler:
- Excel als Dauerlösung: Funktioniert bei 10 Anbietern. Bei 50+ wird es zum Vollzeitjob — und prüfungssicher ist es nicht.
- Einmalige Bewertung: Risikobewertung beim Onboarding, danach nie wieder angefasst.
- Fehlende Kritikalität: Alle Anbieter gleich behandelt, statt nach Risiko zu priorisieren.
- Kein Exit-Plan: Erst beim Anbieterwechsel merken, dass es keinen Plan gibt.
- Sub-Dienstleister ignoriert: Nur direkte Anbieter erfasst, die Lieferkette dahinter ist unsichtbar.
Nächste Schritte
Wenn Sie wissen möchten, wie eine systematische Risikobewertung Ihrer Dienstleister konkret aussieht, lesen Sie unseren Praxis-Guide Lieferantenrisiken bewerten.
Für den regulatorischen Kontext empfehlen wir:
- Was ist DORA? — wenn Sie im Finanzsektor tätig sind
- Was ist NIS2? — wenn Sie in einem der 18 NIS2-regulierten Sektoren arbeiten