Robin Schmeisser, Geschäftsführer der Fabasoft Contracts GmbH
I. Einleitung
Finanzunternehmen wie Kreditinstitute, Zahlungsdienstleister und E-Geldinstitute stehen seit einigen Jahren vor einer zunehmenden Herausforderung: Die umfangreichen Anforderungen an Dokumentations- und Berichtspflichten haben sich erheblich verschärft und ausgeweitet. Die Vorgaben richten sich u. a. an das Berichts- und Vertragswesen hinsichtlich ausgelagerter IT-Dienstleistungen. Die Betriebe haben die Aufgabe, sich an die ständig wachsenden und schnell ändernden gesetzlichen Rahmenbedingungen anzupassen. Hinzu kommt: Die Vielschichtigkeit des Vertragswesens nimmt stetig zu. Mithilfe einer einheitlichen Digitalisierung des Auslagerungsmanagements können Finanzunternehmen sicherstellen, dass sie ihre Compliance-Vorgaben verlässlich erfüllen und gleichzeitig ihre Effizienz steigern.
II. Auslagerungs- vs. Informationsregister
Einen maßgeblichen Rahmen für die Dokumentations- und Berichtspflichten setzen u. a. die Outsourcing-Leitlinien der European Banking Authority (EBA)[1]. Am 25.02.2019 hat die Europäische Bankenaufsichtsbehörde dazu die finale Version der „Guidelines on Outsourcing“ (EBA/GL/2019/02)[2] veröffentlicht. Diese Leitlinien sind seit dem 30.09.2019 wirksam und fordern die Finanzinstitute auf, „ein aktualisiertes Register mit Informationen über alle Auslagerungen auf Institutsebene sowie gegebenenfalls auf teilkonsolidierter und konsolidierter Basis zu unterhalten und alle bestehenden Auslagerungsvereinbarungen angemessen zu dokumentieren“. Dieses Auslagerungsregister muss Informationen über alle ausgelagerten IT-Dienstleistungen enthalten. Darunter fallen u. a. Cloud-Dienste, IT-Infrastrukturmanagement, Datenmanagement und -speicherung, Cybersecurity-Dienste, Softwareentwicklung und IT-Support-Dienste. Die Maßnahmen sollen sicherstellen, dass Finanzunternehmen jederzeit einen umfassenden Überblick über ihre ausgelagerten Dienstleistungen haben und deren Risiken effektiv steuern können. Welche Informationen in welchem Detailgrad bereitzuhalten sind, hängt von der Höhe des Auslagerungsrisikos ab. Ist eine kritische oder wesentliche Funktion betroffen, benötigt es neben den Mindestanforderungen zudem eine ausgeweitete Risikoanalyse, aktuelle Revisionsberichte sowie Exitstrategien und alternative Provider. Die Verantwortlichen sind angehalten, jenes Register kontinuierlich zu warten und nach Aufforderung der entsprechenden Behörde bereitzustellen.
Mit dem Digital Operational Resilience Act (DORA), der bis 17.01.2025 EU-weit umgesetzt sein muss, verschärfen sich die bestehenden Vorgaben noch weiter: Alle Finanzunternehmen (darunter auch Versicherungen, Wertpapierfirmen oder Krypto-Dienstleister) sind nun verpflichtet, ein Informationsregister aufzusetzen, welches sämtliche bezogenen IT-Dienstleistungen enthält. Die genauen Inhalte und die Struktur der Berichte geben die technischen Implementierungsstandards (ITS)[3] vor, die die ESAs (Europäische Aufsichtsbehörden) basierend auf der EU-Verordnung vorgelegt haben. Das Informationsregister muss auch jene Services enthalten, die bisher laut EBA-Guidelines als „Fremdbezug“ nicht in das Reporting fielen, wie beispielsweise der reine Bezug einer Software. Die EU-Verordnung DORA stuft alle IT-Leistungen als „Auslagerung“ ein, die im Register aufzuführen sind. Eine weitere wesentliche Neuerung ist, dass die Dokumentation der IKT-Dienstleister nicht nur deren Subunternehmen beinhaltet, sondern auch die gesamten Lieferketten.
III. Mehrfachen Arbeitsaufwand vermeiden
Der inhaltliche Überschneidungsgrad von Informations- und Auslagerungsregister ist sehr hoch. So enthalten beide Register teilweise sehr ähnliche oder gar dieselben Informationen. Dazu zählen u. a. die vollständige Auflistung der Auslagerungsverträge, Vertragsmetadaten wie Laufzeit und Kündigungsfristen, Lieferanteninformationen und Konzernstrukturen, Wesentlichkeits- und Kritikalitätsbewertungen sowie Angaben zur Auslagerung (z. B. Funktion und Art/Zuordnung). Das Problem: Die Verantwortung und Pflege der Register fallen in der Praxis häufig in unterschiedliche Zuständigkeitsbereiche innerhalb eines Unternehmens. Zum einen bedeutet dies doppelten Arbeitsaufwand. Zum anderen birgt es ein erhebliches Fehlerpotenzial: Bei nicht vorhandener Abstimmung der Daten zwischen den Verantwortlichen kann es zu Redundanzen und Übertragungsfehlern kommen. Zusätzlich obliegt die Aufsicht in beiden Fällen derselben Behörde – in Deutschland der BaFin[4] (Bundesanstalt für Finanzdienstleistungsaufsicht) und in Österreich der FMA[5] (Finanzmarktaufsichtsbehörde). Im Zweifel könnte es also soweit kommen, dass Entitäten unterschiedliche Informationen zu derselben Auslagerung berichten.
IV. Synergien mit digitalen Prozessen schaffen
Um sicherzustellen, dass beide Register konsistente und vollständige Daten enthalten, muss daher eine kontinuierliche Abstimmung von Auslagerungs- und Informationsregister stattfinden. Finanzunternehmen sind dabei gefordert, das Silodenken innerhalb der Abteilungen zu durchbrechen und einen „Single Point of Truth“ zu schaffen.
Dafür benötigt es einen durchgängigen, digitalen Geschäftsprozess, der sich am Aufbau und Ablauf innerhalb des jeweiligen Betriebs orientiert und sämtliche interne wie externe Stakeholder integriert, die über die benötigten Informationen verfügen. Angefangen bei der Erstklassifizierung einer möglichen Auslagerung und dem Einholen aller erforderlichen Unterlagen, dem anschließenden Bewerten des IKT-Dienstleisters (Due-Diligence-Prüfung, Risikoassessment, Exitstrategie), über die Vertragsverhandlungen mit dem Lieferanten, bis hin zum damit verbundenen Berichtswesen.
Die digitale Erfassung sämtlicher Daten ab Beginn des Geschäftsprozesses ist dabei entscheidend, um Mehrfacharbeiten und Fehler zu vermeiden, die beispielsweise beim händischen Aufsetzen und Warten von Listen, Kalendereinträgen und Auswertungen auftreten. Sind die Daten einmal digital hinterlegt, stehen sie jederzeit revisionssicher für Auswertungen zur Verfügung. So greifen alle Beteiligten aus den unterschiedlichen Abteilungen auf eine einheitliche Datenbasis zu und können die erforderlichen Prüfberichte wie das Auslagerungs- oder das Informationsregister einfach generieren.
V. Auf DORA spezialisierte Software verwenden
Um die mit dem Auslagerungsmanagement verbundenen Dokumentations- und Berichtspflichten schnell und effizient zu erfüllen, hat das Softwareunternehmen Fabasoft ein eigenes, auf Künstlicher Intelligenz (KI) basierendes Produkt entwickelt. Die Standardsoftware „Fabasoft DORA[6]“ nutzt ein smartes Datenmodell zur Digitalisierung des gesamten Auslagerungszyklus – einschließlich des aus regulatorischer Sicht erforderlichen Berichtswesens. Eine der Kernfunktionen ist dabei der automatisierte Informationsregistergenerator, der auf Knopfdruck die benötigten Berichte gemäß DORA erstellt.
Zu den weiteren Features zählen gestaltbare Vorlagen und Checklisten für die Bewertung von IKT-Drittdienstleistern. Außerdem ermöglicht die Software normierte Prüfprozesse inklusive elektronischer Unterschriften, Klauselbibliotheken, DORA-konforme Vertragsvorlagen sowie digitale Workflows zur verlässlichen Durchführung wiederkehrender (tourlicher) Prüfungen. Zusätzlich unterstützt der Einsatz von KI eine automatisierte Compliance-Analyse des Vertragsbestands. Das System identifiziert selbstständig Abweichungen hinsichtlich der DORA-Regulatorik und bereitet die Ergebnisse je Vertragsakte übersichtlich auf. Bei jenen Verträgen, die Handlungsbedarf aufweisen, erzeugt das Tool automatisiert die richtigen Ergänzungsvereinbarungen auf Basis der Klauselbibliothek. Zudem startet es die notwendigen Genehmigungs- und Zeichnungsprozesse unter direkter Einbindung der externen Partner.
Das vordefinierte Datenmodell, revisionssichere Workflow-Unterschriften und Audit-Logs sowie verlässliche Reminder stellen die Einhaltung der EU-Vorgaben nachweislich sicher. Gleichzeitig minimieren sie den Ressourceneinsatz und ermöglichen eine jederzeitige Auskunftsfähigkeit, auch bei Ad-hoc-Anfragen der Behörden. Die Software erfüllt dabei höchste Sicherheitsstandards, da die Datenspeicherung in der international zertifizierten Fabasoft PROCECO Cloud (vormals Fabasoft Cloud) erfolgt.
Aufgrund des hohen Standardisierungsgrades und eines Selfservice-Ansatzes lässt sich die Implementierung der Software in wenigen Wochen vornehmen.
VI. Fabasoft DORA als Teil des EU-Projekts „EMERALD“
In einem weiteren Schritt engagiert sich Fabasoft auf europäischer Ebene: Im Rahmen des EU-Projekts „EMERALD[7]“ beschäftigt sich ein Forschungsteam in einem Anwendungsfall mit der Entwicklung eines digitalen Zertifizierungsprozesses von Cloud-Diensten im Kontext von DORA, auch genannt: „Certification as a Service“ (CaaS). Fabasoft unterstützt das Programm als Technologie- und Use-Case-Partner.
Ziel des Forschungsprojektes ist es, Sicherheitsstandards und Compliance-Anforderungen der Cloud-Dienste kontinuierlich und automatisiert zu überprüfen und zu validieren. Die Entwicklung von Softwarekomponenten soll eine effiziente Arbeitsweise mit maximaler Transparenz und Nachvollziehbarkeit sowie insbesondere die Risikobewertung und -abschätzung von auditrelevanten Inhalten sicherstellen. Wie sich im Finanzsektor die praktische Umsetzbarkeit der Forschungsergebnisse von EMERALD gestaltet, überprüft das Team des DORA-Piloten anhand des Anwendungsfalls der CaixaBank, die ebenfalls Teil des EMERALD-Konsortiums ist. Dafür definiert die Bank Vorgehensweisen und Anforderungen, die bei der Informationseinholung, Bewertung und Kontrolle von Cloud-Dienstleistern einzuhalten sind. Dazu zählen Due-Diligence-Prüfungen, Risikobewertungen und die Erstellung von Exitstrategien. Zur technischen Umsetzung jener Vorgaben verwendet das Projektteam die Software Fabasoft DORA.
Der Austausch von sensiblen Informationen via Mail, u. a. in Form von Due-Diligence-Unterlagen und Cybersecurity-Fragebögen, stellt Angriffsvektoren bei Cyberattacken und somit ein erhebliches Sicherheitsrisiko dar. Für eine sichere Zusammenarbeit mit Externen können Finanzunternehmen mit Fabasoft DORA die Einholung aller benötigen Informationen von ihren IKT-Dienstleistern sowie die Vertragsverhandlungen in sicheren, digitalen Räumen durchführen, ohne dass die Daten die geschützte Umgebung verlassen. Zusätzlich reduzieren Vorlagen für Due-Diligence-Fragebögen und Risikobewertungen den manuellen Aufwand sowie das Fehlerrisiko. Über digitale Workflows erfolgt die Einbindung sämtlicher interner wie externer Stakeholder automatisiert. Dabei können die Prozessverantwortlichen den Fortschritt jederzeit verfolgen. Auch beim laufenden Monitoring unterstützt die Software mittels automatisiert wiederkehrender Prüfungen. Elektronische Workflowunterschriften dokumentieren die durchgeführten Kontrollen.
Neben Fabasoft und der CaixaBank arbeiten bei EMERALD neun weitere akademische und industrielle Partner aus sechs europäischen Ländern mit, darunter Forschungszentren, Großunternehmen sowie kleine und mittelständische Unternehmen (KMU). Das Forschungsteam ist auf Bereiche wie Cybersicherheitszertifizierung, Cloud-Computing, KI, UX/UI-Design und Auditverfahren spezialisiert. Das breite Fachwissen sorgt für eine verlässliche Erreichung der EMERALD-Ziele, mit besonderem Fokus auf die praktische Anwendbarkeit und schnelle Umsetzung der Ergebnisse. Die Förderung des EU-Forschungsprojekts läuft bis Ende Oktober 2026.
VII. Fazit
Da die Umsetzungsfrist von DORA am 17.01.2025 bereits in greifbare Nähe rückt, ist es unerlässlich für Finanzunternehmen, ihre bestehenden Geschäftsprozesse umfassend zu betrachten und weiterzuentwickeln. Dabei spielt der Einsatz geeigneter digitaler Werkzeuge eine entscheidende Rolle. Diese optimieren nicht nur die Arbeitsabläufe, sondern unterstützen die Betriebe auch bei der verlässlichen und ressourcenschonenden Erfüllung der neuen regulatorischen Vorgaben und Sorgfaltspflichten. Eine smarte Software wie Fabasoft DORA stellt u. a. mit elektronischen Workflow-Unterschriften und revisionssicheren Audit-Logs eine lückenlose Dokumentation aller Prozessschritte und Tätigkeiten sicher, was insbesondere in Auditsituationen von Vorteil ist. Die automatisierte Berichterstellung ermöglicht die schnelle und effiziente Generierung benötigter Auswertungen wie das Auslagerungs- oder Informationsregister. Damit erhalten Finanzunternehmen jederzeit eine Übersicht über sämtliche bezogenen IKT-Dienstleistungen und sind in der Lage, Ad-hoc-Anfragen zügig zu beantworten.
PRAXISTIPPS
- Digitalisieren Sie Ihre Daten lückenlos, um Ihren Arbeitsaufwand zu reduzieren und bei Anfragen der Behörden schnell auskunftsfähig zu sein.
- Schaffen Sie mithilfe der Digitalisierung Synergien, um eine einheitliche Datenbasis des Auslagerungs- und Informationsregisters sicherzustellen.
[1] Webseite EBA, European Bank Authority.
[2] Abschlussbericht zu den Leitlinien zu Auslagerungen, EBA/GL/2019/02, 25.02.2019.
[3] Final report on draft ITS (Implementing Technical Standards) on Register of Information, European Supervisory Authorities – ESAs, 10.01.2024.
[4] Webseite BaFin, Bundesanstalt für Finanzdienstleistungsaufsicht.
[5] Webseite FMA, Österreichische Finanzmarktaufsicht.
[6] Webseite Fabasoft DORA: Digitales Auslagerungsmanagement – DORA-Compliance leicht gemacht.
[7] Webseite EMERALD, Evidence Management For Continuous Certification As A Service In The Cloud.
Beitragsnummer: 22731