DORA: Spielt die Reihenfolge von Due Diligence und Risikoanalyse eine Rolle?
Gibt es bei der Anbahnung von IKT-Dienstleistungen für Risikoanalyse und Due Diligence eine „richtige“ Reihenfolge, oder sollte beides parallel erfolgen?
Matthias Kurfels, Manager, Head of Competence Center “Governance, Risk, Compliance, Information Security, Data Protection” und Christina Renner, Senior Consultant, Competence Center GRCID, beide evolving systems consulting GmbH, Hamburg
Die Auslagerung von IT-Leistungen ist fester Bestandteil der Bankpraxis. Cloud-Services, Plattformlösungen und spezialisierte IT-Anbieter erhöhen Effizienz und Flexibilität, führen jedoch auch zu steigenden Abhängigkeiten. Vor diesem Hintergrund kommt der umfassenden Beurteilung von Risiken eine zentrale Bedeutung zu.
Aus aufsichtsrechtlicher Sicht ist vorgesehen, dass die Risikoanalyse¹ vor dem Vertragsabschluss erfolgen muss, um sowohl den Vertrag als auch die Überwachungsprozesse auf die ermittelten Risiken abzustimmen. Bei Auslagerungen nach MaRisk kommt noch hinzu, dass anhand der Risikoanalyse die Wesentlichkeit einer Auslagerung bestimmt wird. Ergänzend dazu dient die Due Diligence zur Beurteilung, ob der potenzielle IKT-Drittdienstleister für die Erbringung des Services geeignet ist, alle rechtlichen und betriebswirtschaftlichen Voraussetzungen dafür mitbringt und auch die identifizierten Risiken (einschließlich aus weiterverlagerten Aktivitäten) angemessen steuern kann.
Was kommt zuerst – Risikoanalyse oder Due Diligence?
In der Praxis existieren zwei Verfahrensweisen: Ein Teil der Banken fängt mit einer umfassenden Due Diligence an und führt die Risikoanalyse im Anschluss durch. Das trägt dazu bei, dass die Ergebnisse der Sorgfaltsprüfung eine belastbare Risikobewertung ermöglichen. Dennoch ist zumindest eine vorläufige Risikoeinschätzung vor Beginn der Due Diligence erforderlich, um Fehlinvestitionen und inkonsistente Entscheidungen zu vermeiden. Der andere Teil der Banken führt die Due Diligence erst nach der Risikoanalyse durch, um diese – z. B. im Fall nicht wesentlicher Auslagerungen – kürzer halten zu können und damit Effizienzgewinne zu erzielen.
Die letztgenannte Vorgehensweise mag aus der MaRisk-Sicht sinnvoll sein, kann jedoch bei IKT-Dienstleistungen dazu führen, dass erst bei der Due Diligence das Fehlen wesentlicher Voraussetzungen für den Drittbezug bemerkt werden könnte. Wenn der Dienstleister z. B. nicht die erforderlichen Informationssicherheitsanforderungen erfüllt² oder seine organisatorischen Fähigkeiten zur Steuerung von Risiken unzureichend sind³, war der zuvor betriebene Aufwand für die Risikoanalyse faktisch umsonst, weil solche Drittbezugsvoraussetzungen nicht durch die kurzfristige Nachreichung von Dokumenten hergestellt werden können. Somit ist gerade bei IKT-Dienstleistungen die Frage der Reihenfolge besonders relevant, um Grundlage, Tiefe und Fokus der Risikoanalyse sachgerecht zu gestalten.
Lösungsansätze zur Auflösung des Spannungsfelds
Wenn die bislang nachgelagerte Due Diligence z. B. aufgrund von Restriktionen des Workflow-Tools nicht vorgezogen werden kann, könnten wichtige Voraussetzungen, die nicht kurzfristig durch Dokumente nachgewiesen werden können, bereits als Mindestanforderung im Rahmen der Ausschreibung definiert werden. Alternativ könnten einzelne kritische Kriterien, die für den betreffenden Drittbezug individuell ermittelt wurden, gezielt vor der eigentlichen Risikoanalyse abgefragt und „außer der Reihe“ beschafft werden, während weniger kritische Aspekte im weiteren Verlauf der (nachgelagerten) Due Diligence ergänzt werden. Und ein weiterer Ansatz besteht darin die Risikoanalyse und Due Diligence prozessual miteinander zu verzahnen, was die BaFin in ihrer Veranstaltung am 04.12.2025 ausdrücklich empfohlen hat⁴. Unabhängig davon, welcher der genannten Lösungsansätze gewählt wird, ist es immer wichtig, die Vollständigkeit und die inhaltliche Tiefe der Risikoidentifikation zu gewährleisten. Vor allem wenn ein gemeinsamer Fragenkatalog für Auslagerungen nach MaRisk und IKT-Drittbezüge nach DORA verwendet wird, müssen die spezifischen IKT-Risiken, insbesondere bei Cloud-Services, gesondert vertieft werden.
Wie bei Cloud-Services die Qualität der Risikoanalyse durch eine Orientierung am Shared-Responsibility-Modell verbessert werden kann, wird im nächsten Beitrag erläutert, der im März 2026 erscheint.
PRAXISTIPPS
· Falls bei IKT-Dienstleistungen die Due Diligence erst nach der Risikoanalyse erfolgt: Stellen Sie sicher, dass Sie bereits vor Beginn der Risikoanalyse über alle wichtigen Informationen aus der Due Diligence verfügen.
· Gewährleisten Sie vor allem bei IKT-Dienstleistungen, dass die Risikoanalyse alle Aspekte – vor allem etwaige spezifische Aspekte des betreffenden Services, die kein Teil ihres Standardvorgehens sind – berücksichtigt.
· Versuchen Sie – sofern möglich – die Risikoanalyse und die Due Diligence in einem gemeinsamen Prozessschritt durchzuführen, um von gegenseitigen Impulsen zu profitieren und alle Informationen zu einem Sachverhalt gebündelt verarbeiten zu können.