DORA-Com­­pli­­ance in der Praxis: Wie KI die Ver­trags­prü­fung schneller und sicherer macht

Ein Inter­view mit Dr. Thilo Gaul, Geschäfts­be­reichs­leiter Finan­cial Ser­vices bei Consileon

Die DORA-Ver­ord­nung ist längst beschlos­sene Sache, doch die eigent­liche Her­aus­for­de­rung liegt in der Umset­zung. Gerade Banken und Finanz­dienst­leister müssen ihre Ver­träge mit IT- und Cloud-Dienst­leis­tern sys­te­ma­tisch prüfen, anpassen und über den gesamten Lebens­zy­klus hinweg im Blick behalten. Das lässt sich kaum mehr manuell leisten. Dr. Thilo Gaul erklärt im Inter­view, wie KI-basierte Ver­trags­prü­fung nicht nur Auf­wand redu­ziert, son­dern zugleich für mehr Klar­heit, Sicher­heit und Nach­weis­bar­keit sorgt.

Herr Dr. Gaul, DORA gilt bereits seit einiger Zeit. Warum ist das Thema gerade jetzt so präsent?

Da wir jetzt in die Umset­zungs­phase über­gehen, und das betrifft prak­tisch jedes Institut. Beson­ders im Bereich „ICT Third-Party Risk“ müssen Banken nach­weisen, dass ihre Ver­träge mit IT- und Cloud-Dienst­leis­tern voll­ständig, aktuell und DORA-kon­form sind. Und das nicht ein­malig, son­dern fort­lau­fend über die gesamte Ver­trags­lauf­zeit hinweg. Viele Häuser merken erst jetzt, dass die bis­he­rigen manu­ellen Ver­fahren weder ska­lierbar noch revi­si­ons­si­cher sind.

Was ver­langt DORA kon­kret im Hin­blick auf Dienstleisterverträge?

DORA stellt sehr spe­zi­fi­sche Anfor­de­rungen an die Ver­trags­in­halte. Dazu gehören etwa klare Eska­la­ti­ons­me­cha­nismen, Audit­rechte, Infor­ma­ti­ons­pflichten, Exit-Rege­lungen sowie ein Mel­deweg bei Sicher­heits­vor­fällen. Diese Klau­seln müssen nicht nur vor­handen, son­dern auch inhalt­lich kor­rekt und aktuell sein. Genau das macht regel­mä­ßige, struk­tu­rierte Ver­trags­prü­fungen unver­zichtbar – ein enormer Auf­wand, wenn man sie manuell durch­führen muss.

Viele Banken prüfen ihre Ver­träge noch manuell. Warum reicht das nicht mehr aus?

Weil die Menge und die Kom­ple­xität explo­diert sind. Über die Jahre sind enorme Ver­trags­land­schaften ent­standen – oft mit unter­schied­li­chen Ver­sionen, Anbie­tern und Regel­werken. Hinzu kommen Cloud-Ser­vices, Out­sour­cing-Partner und Fin­Tech-Koope­ra­tionen. Wer das alles hän­disch prüfen will, läuft Gefahr, Fehler zu machen oder Fristen zu ver­passen. Der Auf­wand steht in keinem Ver­hältnis mehr. Genau des­halb benö­tigen wir intel­li­gente, auto­ma­ti­sierte Lösungen.

Wie unter­stützt die KI-Ver­trags­prü­fung von Consileon Banken bei dieser Aufgabe?

Unsere Lösung, das Consileon Regu­la­torik-Radar, ana­ly­siert Ver­träge auto­ma­ti­siert auf DORA-Kon­for­mität sowie auf wei­tere regu­la­to­ri­sche Anfor­de­rungen. Die KI erkennt feh­lende oder ris­kante Klau­seln, macht kon­krete Ände­rungs­vor­schläge und erstellt auf Wunsch ein voll­stän­diges DORA-Reporting. Der ent­schei­dende Unter­schied: Die KI arbeitet nicht nur mit Schlag­worten, son­dern ver­steht den inhalt­li­chen Zusam­men­hang; sie weiß also, was eine Klausel bedeutet. Das macht die Prü­fung schneller und verlässlicher.

KI und Regu­lie­rung – ist das nicht ein Widerspruch?

Nein, nicht, wenn man es richtig angeht. Wir arbeiten mit Large Lan­guage Models, die spe­ziell auf regu­la­to­ri­sche Texte trai­niert sind und setzen zusätz­lich unser Qua­li­täts­si­che­rungs-Frame­work Light­houz AI ein. So stellen wir sicher, dass die Ergeb­nisse nach­voll­ziehbar und stabil sind. Zudem erfolgt am Ende immer eine fach­liche Vali­die­rung durch einen Fach­ex­perten, der die KI-Ergeb­nisse kon­trol­liert und ggfs. über­schreiben kann. Die KI ent­lastet massiv, die Ent­schei­dungs­ho­heit bleibt jedoch immer beim Menschen.

Wie auf­wendig ist die Ein­füh­rung der Lösung – ist das ein Großprojekt?

Über­haupt nicht. Unsere Lösung ist als SaaS-Anwen­dung sofort ein­satz­be­reit. In einer kurzen Setup-Phase werden kun­den­spe­zi­fi­sche Richt­li­nien und Prüf­pa­ra­meter inte­griert. Danach können Ver­träge und Doku­mente direkt hoch­ge­laden und geprüft werden. Die Anwen­dung ist bewusst prag­ma­tisch kon­zi­piert: schnell imple­men­tiert, sicher im Betrieb und skalierbar.

Wie hilft das System beim Nach­weis gegen­über Auf­sichts­be­hörden wie der BaFin?

Ein zen­trales Fea­ture ist das auto­ma­ti­sierte Reporting. Nach jeder Prü­fung wird ein voll­stän­diger Bericht erstellt, inklu­sive Com­pli­ance-Status, Lücken­ana­lyse und kon­kreten Hand­lungs­emp­feh­lungen. Diese Doku­men­ta­tion ist revi­si­ons­si­cher und ideal geeignet, um Anfor­de­rungen aus internen Audits oder regu­la­to­ri­schen Prü­fungen zu erfüllen. Banken gewinnen dadurch Trans­pa­renz und Nach­voll­zieh­bar­keit auf Knopfdruck.

Was raten Sie Insti­tuten, die bei der DORA-Umset­zung noch am Anfang stehen?

Fangen Sie struk­tu­riert an, aber fangen Sie an. Der Auf­wand ver­schwindet nicht, wenn man wartet. Mit dem Regu­la­torik-Radar holen sich Banken ein Werk­zeug ins Haus, das Rou­ti­ne­ar­beit auto­ma­ti­siert, Qua­lität erhöht und zugleich regu­la­to­ri­sche Sicher­heit schafft. So wird aus einer Pflicht­auf­gabe ein echter Effi­zi­enz­hebel. Wer DORA richtig umsetzt, stärkt nicht nur seine Com­pli­ance, son­dern auch seine ope­ra­tive Resilienz.

DORA-Com­pli­ance mit Consileon: schnell, sicher, skalierbar

Erfahren Sie, wie Sie mit dem Consileon Regu­la­torik-Radar Ihre Ver­trags­prü­fungen auto­ma­ti­sieren und DORA-Anfor­de­rungen effi­zient erfüllen können: mit klarer Struktur, nach­voll­zieh­baren Ergeb­nissen und sicherer Governance.