Wie ein effizientes und DORA-konformes Vertragsmanagement bei Finanzinstituten gelingen kann

Bereits vor dem Inkrafttreten vom Digital Operation Resilience Act (DORA) am 17. Januar 2023 existierten regulatorische Anforderungen an die Gestaltung von Dienstleisterverträgen im Rahmen des Auslagerungsmanagements bei Finanzinstituten. Diese weiterhin geltenden Verordnungen, Richtlinien und Rundschreiben auf europäischer und nationaler Ebene enthalten konkrete Vorgaben an den Vertrag mit einem Dienstleister abhängig vom jeweiligen Risiko, das der Bezug dieser Dienstleistung mit sich bringt. So müssen Verträge spezielle Mindestinhalte umfassen, um die Risiken zu mitigieren, die mit der Dienstleisterbeziehung einhergehen.

Das Zusammenspiel „Auslagerungsmanagement – Vertragsmanagement“

Der Lebenszyklus einer (externen) Dienstleistung folgt dem Standard-Risikomanagementprozess und besteht aus den Phasen „Identifikation“, „Mitigation“ und „Überwachung“. In allen drei Phasen spielt das Vertragsmanagement eine wichtige Rolle.

1. Identifikation:

Das Ergebnis der Klassifikation (zum Beispiel Auslagerung, IKT-Auslagerung oder IKT-Dienstleistung) ist stark von der zu erbringenden Leistung abhängig, die in der Regel in einem Angebot oder einem Vertragsentwurf definiert wird. Als Input für die Risikoanalyse dienen weitere Informationen wie die von dieser Dienstleistung betroffenen Geschäftsprozesse, die durch den Dienstleister zu verarbeitenden beziehungsweise zu speichernden Daten sowie der Speicherort der Daten, der Ort der Leistungserbringung und die Kündigungsfristen. Als Grundlage dient auch hier ein erster Vertragsentwurf.

2. Bewertung & Mitigation:

Die Risikoanalyse muss sich mit allen relevanten Risiken einer Dienstleistungsbeziehung, insbesondere hinsichtlich Informationssicherheit, Business Continuity Management (BCM) und Datenschutz, befassen. Nachdem diese Risiken bewertet wurden, werden Maßnahmen unter anderem in Form von zusätzlichen Vertragsdokumenten oder -klauseln mit dem Dienstleister vereinbart, um diese Risiken zu reduzieren.

Beispielsweise werden hinsichtlich des Datenschutzes technische und organisatorische Maßnahmen (TOMs) vereinbart, die durch den Dienstleister umgesetzt werden, um die Daten des Finanzinstituts zu schützen. Diese TOMs werden in der Regel in einer eigenständigen Anlage festgelegt.

3. Überwachung:

Während der Vertragsbeziehung können sich einige Parameter wie die zu erbringende Leistung, die betroffenen Daten oder die relevanten Geschäftsprozesse etc. ändern. Daher ist das Risiko auf Änderungen zu überprüfen und die zugrundeliegenden Verträge mit dem Dienstleister sind entsprechend zu aktualisieren. Ändert sich das Risiko, so müssen auch die vertraglichen Vereinbarungen entsprechend geändert werden. Es versteht sich von selbst, dass diese Änderungen revisionssicher und rollengerecht entsprechend den geltenden internen Richtlinien erfolgen müssen.

Vorteile eines risikoorientierten, integrierten und KI-basierten Vertragsmanagements

Durch DORA steigen die Anforderungen an die Inhalte von Verträgen mit IKT-Dienstleistern. Vor allem müssen Finanzinstitute und deren IKT-Dienstleister dafür sorgen, dass Verträge vollständig inklusive Anlagen und Anhängen in einem Dokument (digital oder in Papierform) zur Verfügung stehen.

Die Einhaltung dieser Anforderungen ist nur durch ein digitales Vertragsmanagement möglich, welches mit dem Auslagerungsmanagement entlang des gesamten Lebenszyklus einer Dienstleistung verzahnt und verknüpft ist. Hieraus ergeben sich Vorteile nicht nur im Bereich Compliance: Finanzinstitute können jederzeit revisionssicher die Verbindung zwischen Dienstleistungen und den relevanten Verträgen herstellen. Beispielsweise können sie nachweisen, welche Version einer Risikoanalyse auf Basis welcher Version von welchen Vertragsdokumenten durchgeführt wurde. Außerdem spielt ein digitales Vertragsmanagement auf die Effizienz ein, denn mithilfe generativer KI können nicht nur die Metadaten eines Vertrags automatisiert extrahiert werden.

Auch die Beziehungen zwischen den einzelnen Vertragsdokumenten können erkannt und die Dokumentenhierarchie automatisch abgebildet werden. Die Mindestinhalte eines Vertrags können vor allem KI-basiert in den Vertragsdokumenten gesucht und referenziert werden. Darüber hinaus wirkt das Vorgehen positiv auf die Transparenz. Finanzinstitute haben jederzeit einen gesamthaften hierarchischen Überblick über alle Vertragsdokumente inklusive Abhängigkeiten, Beziehungen und vor allem darüber, welche regulatorisch geforderten Mindestinhalte in welchem Vertragsdokument festgehalten wurden.

Beim Thema Vertragsmanagement kann der Einsatz generativer KI einen großen Mehrwert bei der Analyse von Vertragsdokumenten bieten und den Finanzinstituten ein routiniertes Handling der massenhaften Anzahl von Vertragsdokumenten ermöglichen.

Hussam Greg

Hussam Greg ist der Gründer und Geschäftsführer der LeanMind GmbH. Mit ihrer integrierten Software fürs Auslagerungs- und Vertragsmanagement lassen sich Vertragsdokumente hierarchisch strukturieren, Fristen überwachen und vor allem mit Dienstleistungen und deren Risiken in Echtzeit verknüpfen.