Bereits vor dem Inkrafttreten vom Digi tal Operation Resilience Act (DORA) am 17. Januar 2023 existierten regula torische Anforderungen an die Gestaltung von Dienstleistervertrรคgen im Rahmen des Auslage rungsmanagements bei Finanzinstituten. Diese weiterhin geltenden Verordnungen, Richtlinien und Rundschreiben auf europรคischer und natio naler Ebene enthalten konkrete Vorgaben an den Vertrag mit einem Dienstleister abhรคngig vom jeweiligen Risiko, das der Bezug dieser Dienst leistung mit sich bringt. So mรผssen Vertrรคge spezielle Mindestinhalte umfassen, um die Risiken zu mitigieren, die mit der Dienstleisterbeziehung einhergehen.
Das Zusammenspiel โAuslagerungsmanagement โ Vertragsmanagementโ
Der Lebenszyklus einer (externen) Dienstleis tung folgt dem Standard-Risikomanagement prozess und besteht aus den Phasen โIdentifi kationโ, โMitigationโ und โรberwachungโ. In allen drei Phasen spielt das Vertragsmanagement eine wichtige Rolle.
1. Identifikation:
Das Ergebnis der Klassifikation (zum Beispiel Auslagerung, IKT-Auslagerung oder IKT -Dienstleistung) ist stark von der zu erbringenden Leistung abhรคngig, die in der Regel in einem An gebot oder einem Vertragsentwurf definiert wird. Als Input fรผr die Risikoanalyse dienen weitere Informationen wie die von dieser Dienstleistung betroffenen Geschรคftsprozesse, die durch den Dienstleister zu verarbeitenden beziehungsweise zu speichernden Daten sowie der Speicherort der Daten, der Ort der Leistungserbringung und die Kรผndigungsfristen. Als Grundlage dient auch hier ein erster Vertragsentwurf.
2. Bewertung & Mitigation:
Die Risikoanalyse muss sich mit allen relevanten Risiken einer Dienstleistungsbeziehung, insbe sondere hinsichtlich Informationssicherheit, Business Continuity Management (BCM) und Datenschutz, befassen. Nachdem diese Risiken bewertet wurden, werden Maรnahmen unter anderem in Form von zusรคtzlichen Vertragsdo kumenten oder -klauseln mit dem Dienstleister vereinbart, um diese Risiken zu reduzieren.
Beispielsweise werden hinsichtlich des Datenschutzes technische und organisatorische Maรnahmen (TOMs) vereinbart, die durch den Dienstleister umgesetzt werden, um die Daten des Finanzinstituts zu schรผtzen. Diese TOMs werden in der Regel in einer eigenstรคndigen An lage festgelegt.
3. รberwachung:
Wรคhrend der Vertragsbeziehung kรถnnen sich einige Parameter wie die zu erbringende Leis tung, die betroffenen Daten oder die relevanten Geschรคftsprozesse etc. รคndern. Daher ist das Risiko auf รnderungen zu รผberprรผfen und die zugrundeliegenden Vertrรคge mit dem Dienst leister sind entsprechend zu aktualisieren. รndert sich das Risiko, so mรผssen auch die vertragli chen Vereinbarungen entsprechend geรคndert werden. Es versteht sich von selbst, dass diese รnderungen revisionssicher und rollengerecht entsprechend den geltenden internen Richtli nien erfolgen mรผssen.
Vorteile eines risikoorientierten, integrierten und KI-basierten Vertragsmanagements
Durch DORA steigen die Anforderungen an die Inhalte von Vertrรคgen mit IKT-Dienstleistern. Vor allem mรผssen Finanzinstitute und deren IKT-Dienstleister dafรผr sorgen, dass Vertrรคge vollstรคndig inklusive Anlagen und Anhรคngen in einem Dokument (digital oder in Papierform) zur Verfรผgung stehen.
Die Einhaltung dieser Anforderungen ist nur durch ein digitales Vertragsmanagement mรถglich, welches mit dem Auslagerungsma nagement entlang des gesamten Lebenszyklus einer Dienstleistung verzahnt und verknรผpft ist. Hieraus ergeben sich Vorteile nicht nur im Bereich Compliance: Finanzinstitute kรถnnen je derzeit revisionssicher die Verbindung zwischen Dienstleistungen und den relevanten Vertrรคgen herstellen. Beispielsweise kรถnnen sie nachweisen, welche Version einer Risikoanalyse auf Basis wel cher Version von welchen Vertragsdokumenten durchgefรผhrt wurde. Auรerdem spielt ein di gitales Vertragsmanagement auf die Effizienz ein, denn mithilfe generativer KI kรถnnen nicht nur die Metadaten eines Vertrags automatisiert extrahiert werden.
Auch die Beziehungen zwischen den einzelnen Vertragsdokumenten kรถnnen erkannt und die Dokumentenhierarchie automatisch abgebildet werden. Die Mindestinhalte eines Vertrags kรถnnen vor allem KI-basiert in den Vertragsdokumenten gesucht und referenziert werden. Darรผber hinaus wirkt das Vorgehen positiv auf die Transparenz. Finanzinstitute haben jederzeit einen gesamthaften hierarchischen รberblick รผber alle Vertragsdokumente inklusive Abhรคngigkeiten, Beziehungen und vor allem darรผber, welche regulatorisch geforderten Mindestinhalte in welchem Vertragsdokument festgehalten wurden.
Beim Thema Vertragsmanagement kann der Einsatz generativer KI einen groรen Mehrwert bei der Analyse von Vertragsdokumenten bieten und den Finanzinstituten ein routiniertes Handling der massenhaften Anzahl von Ver tragsdokumenten ermรถglichen.
Hussam Greg ist der Grรผnder und Geschรคftsfรผhrer der LeanMind GmbH. Mit ihrer integrierten Software fรผrs Auslagerungs- und Vertragsmanagement lassen sich Vertragsdokumente hierarchisch strukturieren, Fristen รผberwachen und vor allem mit Dienstleistungen und deren Risiken in Echtzeit verknรผpfen.