Erfahrungsbericht eines Berufseinsteigers zu einem Umsetzungsprojekt zur DORA-Vertragskonformität

Der Digital Operational Resilience Act (DORA) verpflichtet Finanzinstitute, seit dem Inkrafttreten am 17. Januar 2025, neue vertragliche Mindestanforderungen für IKT-Verträge (Informations- und Kommunikationstechnologie) bei ihren IKT-Dienstleistern durchzusetzen. Seit dem Beginn meiner Berufslaufbahn begleitet mich das Thema DORA. Mein Projektteam und ich wurden von einem deutschen Finanzinstitut damit beauftragt, dessen DORA-Vertragskonformität herzustellen. Auf Basis dieser Projekterfahrung möchte ich in diesem Beitrag von unserer Vorgehensweise im Projekt und den gewonnenen Erkenntnissen berichten.

Um die vertragliche DORA-Konformität für die IKT-Verträge des Finanzinstituts herzustellen, mussten wir zunächst ein Projektvorgehen festlegen. Dies beinhaltete die Bestimmung eines Ist- und Soll-Zustands sowie die Benennung einer Bemessungsgrundlage des Projekterfolgs. Dahingehend wurden einzelne Schritte festgelegt, die es braucht, um einen IKT-Vertrag gegenüber der BaFin als DORA-konform und revisionssicher betrachten zu können.

1. Projekt-Scope festlegen

Im Rahmen der DORA-Vertragskonformität geht es um die Sicherstellung von vertraglichen Inhalten von IKT-Verträgen. Das beinhaltet die rückwirkende Änderung von bestehenden IKT-Verträgen und Anpassung von Neuverträgen, um die von der DORA geforderten Mindestvertragsinhalte. Dementsprechend bot es sich an, als Bemessungsgrundlage des Projekterfolgs die hergestellte DORA-Konformität einer festgelegten Vertragsmasse auf einzelvertraglicher Basis zu wählen. Die Wahl des Projekt-Scopes fiel hier auf die Grundgesamtheit aller zum Zeitpunkt des Projektstarts bestehenden IKT-Verträge. Dafür mussten alle bestehenden IKT-Verträge des Unternehmens bekannt sein. In unserem Fall führte das interne Drittparteienrisikomanagement des Finanzinstituts eine vorgelagerte Prüfung des Bestands aller IKT-Verträge durch und übergab uns als Ergebnis eine entsprechende Liste. Und hier ergab sich für uns auch schon der erste Stolperstein. Denn zum einen mussten wir darauf vertrauen, dass diese Verträge nach der internen Vorprüfung wirklich IKT-Verträge und damit DORA-relevant sind, was sich hinterher als lückenhaft herausstellte, und zum anderen mussten wir zunächst davon ausgehen, dass es sich hier nur um aktive Vertragsbeziehungen handelt.

Learning
Eine belastbare Definition des Projekt-Scopes bildet die Grundlage für ein reportingfähiges DORA-Umsetzungsprojekt. Idealerweise sollte vor der Scope-Festlegung die DORA-Relevanz der Verträge sowie deren Status sorgfältig validiert worden sein, um spätere Mehraufwände und Fehlallokationen im Projekt zu vermeiden.

2. Datenqualität sichern

Zusätzlich zu der Übergabe des Projekt-Scopes erhielten wir Zugang zu der IT-Vertragsdatenbank des Unternehmens, wodurch wir Vertragsverantwortlichkeiten, Ansprechpartner bei entsprechenden Dienstleistern und Vertragsinhalte von IT-Verträgen unseres Projekt-Scopes einsehen konnten. Mit dem Bewusstsein des Kunden über die mangelhafte Datenqualität der Vertragsdatenbank wurde entschieden, dass sich vor der Kommunikation mit betroffenen Dienstleistern des Unternehmens eine Sicherstellung der Datenqualität lohnt. Somit stimmten wir uns mit allen systemisch hinterlegten Vertragsverantwortlichen der Verträge unseres Projekt-Scopes über den aktuellen Vertragsstatus, Vertragsverantwortlichkeiten sowie Ansprechpartner jeweiliger Dienstleister ab. Dies stellte sich als besonders lohnenswert heraus, da sich mehr als ein Viertel der übergebenen Verträge als inaktive Vertragsbeziehungen herausstellten, die dementsprechend keine Anpassung der vertraglichen DORA-Mindestanforderungen erforderten und aus dem Scope des Projekts entfernt wurden.

Da ein Großteil der systemisch hinterlegten Vertragsverantwortlichkeiten und Ansprechpartner der Dienstleister nicht mehr aktuell waren, erhöhten sich die Abstimmungsaufwände stark. Dies bedingte, dass dieser Projektschritt knapp ein Viertel der Projektaufwände ausmachte. Somit hätten diese Aufwände im Vorhinein über die Integration eines rollenbasierten Vertragsmanagements, welches konsequent gepflegt wird, verhindert werden können.

Learning
Die systemische Datenqualität der Vertragsdaten ist ein wesentlicher Aufwandstreiber. Ein konsequent gepflegtes, rollenbasiertes Vertragsmanagementsystem reduziert resultierende Abstimmungsaufwände.

3. DORA-Vertragsdokumente erstellen

Um die vertraglichen DORA-Mindestanforderungen sicherstellen zu können, müssen vertragliche Rechte und Pflichten nach der DORA schriftlich sichergestellt werden, was heißt, beidseitig akzeptierte Vertragsdokumente mit den DORA-Mindestanforderungen vorweisen zu können. So haben wir für alle bestehenden aktiven IKT-Verträge des Projekt-Scopes eine DORA-Anlage als ergänzendes Vertragsdokument angefertigt, welches anschließend mit entsprechenden Dienstleistern verhandelt werden soll. In diesem Projekt war es für uns von großem Vorteil, dass das Finanzinstitut uns hier bereits ein Vertrags-Template zur Verfügung stellen konnte, welches es in Zusammenarbeit mit dem Gesamtverband der Versicherer (GDV) erstellt hatte und alle vertraglichen DORA-Mindestvertragsinhalte juristisch abbildete. Wir mussten in der Erstellung der Dokumente jeweils nur noch die vertraglichen Identifikatoren wie die Vertragsnummer und Vertragsnamen zur Referenz auf den Hauptvertrag anpassen. Dieses Vorgehen ersparte uns in diesem Schritt hohe Aufwände.

Learning
Standardisierte DORA-Vertragsvorlagen schaffen Effizienzvorteile bei der Erstellung von DORA-Vertragsdokumenten. Die Konsistenz der einheitlichen Templates minimiert die operativen Aufwände hinsichtlich der Steuerung und Überwachung der IKT-Dienstleister in deren Umsetzung der DORA-Vertragsinhalte.

4. Kommunikation mit den Dienstleistern

Anschließend konnten wir die Dienstleister mit den erzeugten DORA-Anlagen kontaktieren. Hier stellte sich uns die nächste Problematik in den Weg. Wir stellten fest, dass viele der uns genannten Ansprechpartner des Dienstleisters nicht mehr aktuell oder gar nicht mehr im entsprechenden Unternehmen tätig waren. Auch intern konnten uns die Vertragsverantwortlichen keine alternativen Ansprechpartner nennen und systemisch wurden neue oder teilweise überhaupt jegliche Ansprechpartner für den Dienstleister nicht hinterlegt, wodurch unser häufigster Ansprechpartner „info@dienstleister“ war. Wie man sich denken kann, bleiben kurzfristige Antworten bei solchen E-Mail-Postfächern oft aus. Durch ein konsequentes Tracking aller Ansprechpartner der Dienstleister für jeweilige Verträge hätten weitere Aufwände verringert und der Projektfortschritt effektiver vorangetrieben werden können.

Learning
Fehlende oder veraltete Ansprechpartner der Dienstleister führen unmittelbar zu Verzögerungen im Kommunikationsprozess und beeinträchtigen den Projektfortschritt. Auch hier kann ein konsequent gepflegtes, rollenbasiertes Vertragsmanagementsystem präventitiv Projektaufwände reduzieren.

5. Koordination von vertraglichen Klärungsbedarfen

Meldeten sich die Dienstleister zurück, war das Feedback auf unsere Anfrage sehr unterschiedlich, aber meist waren sie nicht sofort zur Bereitschaft einer Unterschrift der DORA-Anlagen geneigt. Nur bei wenigen Verträgen waren die Dienstleister ohne Verhandlung von Anpassungsbedarfen dazu bereit unsere DORA-Anlage zu unterschreiben. Oft kam es zur Diskussion, ob entsprechende Verträge überhaupt IKT-Verträge und damit DORA-relevant wären. Wahrscheinlich resultierte dies daraus, dass die Definition von IKT-Dienstleistungen gemäß DORA-Interpretationsraum bietet. Vor diesem Hintergrund ist es empfehlenswert, bereits im Rahmen der Vorprüfung des IT-Vertragsbestands eine Definition einer IKT-Dienstleistung auf Basis der Vorgaben der DORA zu erarbeiten. Dadurch können Abgrenzungs- und Einordnungsfragen gegenüber Dienstleistern konsistent und rechtssicher argumentiert werden. An dieser Stelle stellte sich heraus, dass circa 5% der Verträge unseres Projekt-Scopes doch keine IKT-Dienstleistungen gemäß DORA beinhalteten und daher nicht DORA-relevant waren. In diesen Fällen bedurfte es einer Meldung beim Dienstleister, wodurch unnötiger Projektaufwand erzeugt wurde.

Zum größten Teil wollten die Dienstleister in Verhandlung über die Inhalte der DORA-Anlage treten. Um eine Verhandlung mit dem Dienstleister prozessieren zu können, wurden uns interne Klärungsinstanzen des Finanzunternehmens genannt. Dabei unterschieden sich Klärungsbedarfe hinsichtlich fachlicher und juristischer Natur. litt nicht nur der Projektfortschritt, sondern es entstanden weitere hohe Projektaufwände, welche ebenfalls mit einer realistische Kapazitätsplanung der internen Rechtsabteilung durch das interne Projektmanagement hätten verhindert werden können. Das war vor allem dadurch bedingt, dass wir die Beobachtung gemacht haben, dass sich mit dem zeitlichen Voranschreiten der DORA ein besseres Bewusstsein der DORA-Vertragskonformität bei den Dienstleistern des Finanzinstituts entwickelte, wodurch sukzessive immer mehr Dienstleister in konkretere DORA-Vertragsverhandlungen treten wollten.

Zudem kam es vor, dass ein Dienstleister konsequent nicht dazu bereit war, das Thema der DORA-Vertragskonformität zu diskutieren oder DORA-Vertragsverhandlungen zu keinem Ergebnis führten, sodass die DORA-Vertragskonformität gänzlich ausblieb. Für diese Fälle richtete das Finanzinstitut intern eine zentrale Eskalationsinstanz ein, die darüber entscheiden konnte, ob hier das Risiko der fehlenden DORA-Vertragskonformität akzeptiert wird oder entsprechende Verträge gekündigt werden sollen. Auf diese Weise blieb unser Projektfortschritt unberührt. Dementsprechend lohnt es sich für einen Erfolg eines solchen Projekts, alle möglichen Ergebnisse einer Vertragsverhandlung zu identifizieren und zu entscheiden, wann ein einzelner Vorgang im Projekt als abgeschlossen gilt.

Learning
Frühzeitig definierte Eskalations- und Entscheidungsinstanzen sowie eine realistische Kapazitätsplanung der Rechtsabteilung sind entscheidend für die zielführende DORA-Vertragsverhandlungen. Dahingehend ist es aus Projektperspektive für den Projekterfolg erforderlich, klare Abschlusskriterien für einen Vorgang abzustimmen.

6. Unterzeichnung der Vertragsdokumente

Wenn eine DORA-Anlage mit dem Dienstleister final verhandelt wurde, konnte der Unterzeichnungsprozess gestartet werden. Das lief in diesem Projekt digital über eine Signatursoftware. Hier ersparten wir uns die Aufwände, die durch den Prozess analoger Unterschriften entstanden wären. Wir brauchten nur noch die Information zu internen und externen Unterzeichnungsberechtigten, an den wir die digitale Unterschriftenanfrage adressieren sollen. Intern ergab sich hier für uns das Problem, dass wir uns von dem jeweiligen Vertragsverantwortlichen die Information einholen sollten, sich aber hinterher herausstellte, dass uns Personen ohne Prokura genannt wurden, die ein solches Dokument nicht unterzeichnen dürfen und wir folgend Unterzeichnungsprozesse abbrechen, erneut abstimmen und starten mussten. Das hätte präventiv über das interne Projektmanagement verhindert werden können, indem mit dem Projektstart eine Liste an Prokuristen des Finanzunternehmens gegliedert nach entsprechender Zuständigkeit der Abteilungen, denen die betroffen IKT-Verträge unterliegen, erstellt und uns übergeben worden wäre.

Hingegen kam bei Dienstleistern öfter das Problem auf, dass diese die eigenen Prokuristen nicht über den Empfang unserer Unterschriftenanfragen informierten, wodurch wir eine weitere Kommunikationsschleife zwischen dem Ansprechpartner und seinem Prokuristen führen mussten oder sogar weitere Vertragsverhandlungen über die DORA-Anlage angestoßen wurden. Das konnten wir im weiteren Projektverlauf mit der gewonnenen Erfahrung gut lösen, indem wir über die Signatursoftware in der Unterzeichnungsanfrage in einer Präambel auf die finalisierten DORA-Vertragsverhandlung mit dem jeweiligen Ansprechpartner verwiesen.

Learning
Eine digitale Signatursoftware reduziert Aufwände im Unterzeichnungsprozess. Dafür ist jedoch die frühzeitige Information über die internen Prokuren sowie die Ermittlung der externen Unterzeichnungsberechtigen der einzelnen Dienstleister in der Vertragsverhandlung die Vorraussetzung.

7. Dokumentation des Workflows und die Ablage der Dokumente

Konnten wir alle Unterschriften für eine DORA-Anlage einholen so galt der betroffene Vertrag erstmal als DORA-konform. Jedoch ist er an dieser Stelle nicht revisionssicher, da die unterschriebene DORA-Anlage noch archiviert werden muss. Anfangs gab es für die Benennung der Dokumente und den genauen systemischen Ablageort keinen festgelegten Standard. Das führte dazu, dass bei der Prüfung von bereits vorhandenen unterschriebenen DORA-Anlagen für einen Dienstleister, auf die man sich für die DORA-Vertragskonformität von IKT-Verträgen zur Reduzierung der Aufwände im Regelbetrieb des Einkaufs beziehen kann, entsprechende Dokumente in den Systemen nicht gefunden wurden. So entwickelten wir einen Standard zur Dokumentenbenennung, welcher nur noch um die jeweilige Vertragsnummer ergänzt werden musste, und legten Systeme sowie eindeutige Ablageorte in der gegebenen Ordnerstruktur fest. Gerade zur Nachvollziehbarkeit eines Projektergebnisses auf Vertragsebene ist dieser Schritt unerlässlich.

Daneben ist für das Projektmanagement die Nachweisbarkeit des Workflows jedes einzelnen Vorgangs sehr wichtig. Die Umsetzung im Projekt erfolgte über eine Projektmanagement-Plattform, die es ermöglichte, Stakeholder eines Vertrags wie einen Vertragsverantwortlichen oder – im Falle einer Vertragsverhandlung mit einem Dienstleister – interne Klärungsinstanzen transparent mit einzubeziehen und Aufgaben im Prozess entsprechend zu koordinieren zu können. Vor allem in der Masse der Verträge, die es in diesem Projekt abzuwickeln galt, war eine solche Transparenz im Workflow für uns wichtig, um viele Vorgänge gleichzeitig ohne Informationsverlust effektiv prozessieren zu können.

Learning
Die zentrale Workflowsteuerung ist insbesondere bei einer großen Menge an IKT-Verträgen im Projekt-Scope essenziell, um Aufgaben nachvollziehbar und transparent koordinieren zu können. Dafür ist eine digitale Projektmanagement-Plattformen sehr empfehlenswert.  Die anknüpfende revisionssichere Dokumentation erfordert einen abgestimmten Standard zur Benennung und Ablage der unterzeichneten DORA- Vertragsdokumente in den Systemen eines Finanzinstituts.

Was macht ein DORA-Umsetzungsprojekte nun wirklich erfolgreich

Die Umsetzung der DORA-Vertragskonformität ist in der Praxis weit mehr als ein juristisches Pflichtprogramm. Aus diesem Projekt wurde deutlich, dass der eigentliche Projekterfolg nicht primär an der Erstellung und Verhandlung rechtssicherer DORA-Vertragsdokumente hängt, sondern an der organisatorischen Reife des Finanzinstituts selbst.

Ich habe festgestellt, dass die DORA-Vertragskonformität nicht als reines Vertragsprojekt zu verstehen ist und der tatsächliche Transformationsaufwand unterschätzt wird. In der Realität handelte es sich um ein komplexes Steuerungsprojekt an der Schnittstelle von Einkauf, Drittparteienrisikomanagement, Fachbereichen, Rechtsabteilung und externen IKT-Dienstleistern. Genau dort entstehen die größten Herausforderungen, aber zugleich die wichtigsten Hebel für ein erfolgreiches Projekt.

Suchen Sie hier den Austausch? Dann stehe ich Ihnen für weitere Fragen zu diesem Thema unter florian.mueller@complion.de zur Verfügung.

Verfasser: Florian Müller