Bereits vor dem Inkrafttreten vom Digi tal Operation Resilience Act (DORA) am 17. Januar 2023 existierten regula torische Anforderungen an die Gestaltung von Dienstleisterverträgen im Rahmen des Auslage rungsmanagements bei Finanzinstituten. Diese weiterhin geltenden Verordnungen, Richtlinien und Rundschreiben auf europäischer und natio naler Ebene enthalten konkrete Vorgaben an den Vertrag mit einem Dienstleister abhängig vom jeweiligen Risiko, das der Bezug dieser Dienst leistung mit sich bringt. So müssen Verträge spezielle Mindestinhalte umfassen, um die Risiken zu mitigieren, die mit der Dienstleisterbeziehung einhergehen.
Das Zusammenspiel „Auslagerungsmanagement – Vertragsmanagement“
Der Lebenszyklus einer (externen) Dienstleis tung folgt dem Standard-Risikomanagement prozess und besteht aus den Phasen „Identifi kation“, „Mitigation“ und „Überwachung“. In allen drei Phasen spielt das Vertragsmanagement eine wichtige Rolle.
1. Identifikation:
Das Ergebnis der Klassifikation (zum Beispiel Auslagerung, IKT-Auslagerung oder IKT -Dienstleistung) ist stark von der zu erbringenden Leistung abhängig, die in der Regel in einem An gebot oder einem Vertragsentwurf definiert wird. Als Input für die Risikoanalyse dienen weitere Informationen wie die von dieser Dienstleistung betroffenen Geschäftsprozesse, die durch den Dienstleister zu verarbeitenden beziehungsweise zu speichernden Daten sowie der Speicherort der Daten, der Ort der Leistungserbringung und die Kündigungsfristen. Als Grundlage dient auch hier ein erster Vertragsentwurf.
2. Bewertung & Mitigation:
Die Risikoanalyse muss sich mit allen relevanten Risiken einer Dienstleistungsbeziehung, insbe sondere hinsichtlich Informationssicherheit, Business Continuity Management (BCM) und Datenschutz, befassen. Nachdem diese Risiken bewertet wurden, werden Maßnahmen unter anderem in Form von zusätzlichen Vertragsdo kumenten oder -klauseln mit dem Dienstleister vereinbart, um diese Risiken zu reduzieren.
Beispielsweise werden hinsichtlich des Datenschutzes technische und organisatorische Maßnahmen (TOMs) vereinbart, die durch den Dienstleister umgesetzt werden, um die Daten des Finanzinstituts zu schützen. Diese TOMs werden in der Regel in einer eigenständigen An lage festgelegt.
3. Überwachung:
Während der Vertragsbeziehung können sich einige Parameter wie die zu erbringende Leis tung, die betroffenen Daten oder die relevanten Geschäftsprozesse etc. ändern. Daher ist das Risiko auf Änderungen zu überprüfen und die zugrundeliegenden Verträge mit dem Dienst leister sind entsprechend zu aktualisieren. Ändert sich das Risiko, so müssen auch die vertragli chen Vereinbarungen entsprechend geändert werden. Es versteht sich von selbst, dass diese Änderungen revisionssicher und rollengerecht entsprechend den geltenden internen Richtli nien erfolgen müssen.
Vorteile eines risikoorientierten, integrierten und KI-basierten Vertragsmanagements
Durch DORA steigen die Anforderungen an die Inhalte von Verträgen mit IKT-Dienstleistern. Vor allem müssen Finanzinstitute und deren IKT-Dienstleister dafür sorgen, dass Verträge vollständig inklusive Anlagen und Anhängen in einem Dokument (digital oder in Papierform) zur Verfügung stehen.
Die Einhaltung dieser Anforderungen ist nur durch ein digitales Vertragsmanagement möglich, welches mit dem Auslagerungsma nagement entlang des gesamten Lebenszyklus einer Dienstleistung verzahnt und verknüpft ist. Hieraus ergeben sich Vorteile nicht nur im Bereich Compliance: Finanzinstitute können je derzeit revisionssicher die Verbindung zwischen Dienstleistungen und den relevanten Verträgen herstellen. Beispielsweise können sie nachweisen, welche Version einer Risikoanalyse auf Basis wel cher Version von welchen Vertragsdokumenten durchgeführt wurde. Außerdem spielt ein di gitales Vertragsmanagement auf die Effizienz ein, denn mithilfe generativer KI können nicht nur die Metadaten eines Vertrags automatisiert extrahiert werden.
Auch die Beziehungen zwischen den einzelnen Vertragsdokumenten können erkannt und die Dokumentenhierarchie automatisch abgebildet werden. Die Mindestinhalte eines Vertrags können vor allem KI-basiert in den Vertragsdokumenten gesucht und referenziert werden. Darüber hinaus wirkt das Vorgehen positiv auf die Transparenz. Finanzinstitute haben jederzeit einen gesamthaften hierarchischen Überblick über alle Vertragsdokumente inklusive Abhängigkeiten, Beziehungen und vor allem darüber, welche regulatorisch geforderten Mindestinhalte in welchem Vertragsdokument festgehalten wurden.
Beim Thema Vertragsmanagement kann der Einsatz generativer KI einen großen Mehrwert bei der Analyse von Vertragsdokumenten bieten und den Finanzinstituten ein routiniertes Handling der massenhaften Anzahl von Ver tragsdokumenten ermöglichen.
Hussam Greg ist der Gründer und Geschäftsführer der LeanMind GmbH. Mit ihrer integrierten Software fürs Auslagerungs- und Vertragsmanagement lassen sich Vertragsdokumente hierarchisch strukturieren, Fristen überwachen und vor allem mit Dienstleistungen und deren Risiken in Echtzeit verknüpfen.