Wie eine europäische Fonds-Service-Plattform ein gruppenweites Drittparteienmanagement etablierte
Case Study
December 4, 2025
Eine europäische Fonds-Service-Plattform und eine Master-Kapitalverwaltungsgesellschaft (KVG) mit Landesgesellschaften in Deutschland, Luxemburg und Irland hatte im Frühsommer 2024 eine komplexe Ausgangssituation zu bewältigen. Die DORA-Umsetzung war als umfassendes Programm mit fünf parallelen Teilprojekten aufgesetzt worden: ICT Risk Management, Incident Management, Business Continuity Management, Operational Resilience Testing und Third Party Risk Management. Während andere Beratungsgesellschaften die ersten vier Teilprojekte leiteten, waren wir für die Etablierung des gruppenweiten Drittparteienmanagements verantwortlich.
Die Herausforderung lag nicht darin, dass nichts existierte. Ganz im Gegenteil: Jede Landesgesellschaft hatte über Jahre hinweg eigene, funktionsfähige Prozesse entwickelt. Die deutsche Gesellschaft orientierte sich an MaRisk. Luxemburg folgte den CSSF-Regularien und Irland hatte die Anforderungen der Central Bank of Ireland zu erfüllen. Zwar hat jede dieser Regularien als Basis die EBA-Leitlinien zum Auslagerungsmanagement (EBA/GL/2019/02), aber die Umsetzung unterscheidet sich dann doch von Land zu Land. Diese heterogene Prozesslandschaft war kein Problem an sich, stellte unser Projekt jedoch vor die Herausforderung, neben der reinen DORA-Implementierung auch eine gruppenweite Harmonisierung zu erreichen, ohne dabei bewährte lokale Ansätze über Bord zu werfen.
Die Datenhaltung spiegelte diese Fragmentierung wider. Alle Verträge lagen digital vor, doch längst nicht alle waren in der dafür vorgesehenen Datenbank eingepflegt oder befanden sich auf aktuellem Stand. Verschiedene Gesellschaften nutzten unterschiedliche Listen. Die einen arbeiteten mit professionellen Vendor-Management-Plattformen, die anderen mit Excel-basierten Lösungen. Eine zentrale Übersicht über IKT-Dienstleister existierte nicht. Es konnte keine Aussage darüber getroffen werden, welche Dienstleister insgesamt kritisch waren, wo Konzentrationsrisiken bestanden oder wie viele IKT-Services überhaupt im Einsatz waren.
Besonders unklar waren die Governance-Strukturen. Die Frage war nicht, wer Verträge verhandelt – das war klar die Domäne des Corporate Legal Department. Unklar war vielmehr die grundsätzliche Rollenverteilung im Drittparteienmanagement: Welche strategische Rolle sollte die Gruppenfunktion übernehmen? Welche operativen Aufgaben würden bei den Landesgesellschaften verbleiben? Und wie sollte die hauseigene IT-Gesellschaft eingebunden werden, die IT-Services für die anderen Gesellschaften erbrachte und damit selbst zum bewertungspflichtigen Dienstleister wurde?
Die Timeline setzte das Projekt zusätzlich unter Druck. Die DORA-Anforderungen würden ab dem 17. Januar 2025 gelten. Das Informationsregister mit allen IKT-Dienstleistern musste mit Datenstand vom 30. März 2025 erstellt und bis Ende April 2025 bei den zuständigen Aufsichtsbehörden eingereicht werden. Von Juli 2024 bis April 2025 blieben also zehn Monate für die vollständige Umsetzung – von der Bestandsaufnahme über die Harmonisierung bis zur Registerbefüllung.
In den ersten Monaten des Projekts widmeten wir uns einer gründlichen Bestandsaufnahme. Wir begannen dort, wo jedes gute Projekt startet: mit Zuhören und Verstehen. In strukturierten Gesprächen auf zwei Ebenen klärten wir zunächst auf Gruppenebene, welche zentralen Funktionen bereits existierten und welche Vorgaben es gab. Auf Ebene der Landesgesellschaften interessierte uns, wie die Prozesse für das Auslagerungsmanagement konkret organisiert waren, wer verantwortlich zeichnete und welche Tools im Einsatz waren.
Parallel dazu analysierten wir alle vorhandenen Richtlinien, Prozessbeschreibungen und Templates. Unser Ziel war dabei nicht, Fehler oder Schwachstellen zu suchen, sondern Perlen zu finden. Wo ähnelten sich Prozesse und Vorgehensweisen? Welche Landesgesellschaften hatten bereits gut funktionierende und sehr ausgereifte Ansätze entwickelt, die als Basis für ein gruppenweites Rollout dienen könnten? Welche Best Practices existierten bereits, die wir nicht neu erfinden, sondern nur noch weiterentwickeln mussten?
Diese Dokumentenanalyse offenbarte interessante Muster. Die Landesgesellschaften hatten unterschiedliche Reifegrade erreicht. Einige arbeiteten mit ausgereiften, systematischen Risikobewertungen, die auf quantitativen Scores basierten. Andere verfolgten bewusst minimalistische Ansätze, um nicht in Überregulierung zu verfallen oder waren aufgrund von Personalressourcen dazu gezwungen. Dennoch hatte jeder Ansatz seine Stärken und Vorteile, und genau diese wollten wir für die Gruppenlösung nutzen.
Die dritte große Aufgabe in Phase 1 war die Identifikation möglicher Datenquellen für IKT-Dienstleister. Wir suchten nach allen verfügbaren Quellen, um eine möglichst vollständige Liste zu erstellen.
Drei Hauptquellen kristallisierten sich heraus: Bestehende Auslagerungsregister, wo sie denn vorhanden waren, boten einen ersten Überblick – allerdings enthielten sie typischerweise nur klassische Outsourcings und teilweise aufgrund von nationalen Anforderungen keine Fremdbezüge. Vertragsdatenbanken waren eine zweite Quelle, allerdings oft nicht aktuell gepflegt. Als dritte Quelle zogen wir einen Auszug der Zahlungen an Dienstleister aus der Konzernbuchhaltung für das gesamte letzte Wirtschaftsjahr heran, was eine riesige Datenmenge war.
Keine dieser Quellen war für sich genommen vollständig oder direkt nutzbar. Auslagerungsregister erfassten oft nur formale Outsourcing-Verträge. Vertragsdatenbanken waren zwar grundsätzlich umfassender, litten aber häufig unter mangelnder Pflege – nicht jeder Vertragsnachtrag oder jede Verlängerung war eingepflegt. Zahlungsdaten aus der Buchhaltung enthielten wiederum keine Klassifizierung, ob es sich dabei um eine IKT-Dienstleistung handelt.
Die Lösung lag in der Konsolidierung aller drei Quellen. Wir führten die Daten zusammen und ergänzten sie durch Interviews mit den IT- und Fachabteilungen.
Ein wiederkehrendes Thema war die Abgrenzung der IKT-Dienstleistung. Wann ist ein Dienstleister ein IKT-Dienstleister im Sinne der DORA, und wann nicht? Die Software des an die Konzernmutter ausgelagerten Menschenrechtsbeauftragten – zählt die? Ein Facility-Manager, der das Rechenzentrum physisch überwacht – ist das relevant?
Wir definierten pragmatisch: Als IKT-Dienstleister galt, wer IT-Services für uns bereitstellt oder kritische IT-Systeme für uns betreibt. Dienstleister, die IT nur nutzen um ihre eigentliche Dienstleistung zu erbringen, fielen nicht in den Scope. Dabei haben wir uns an den Aussagen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der von ihr zur Verfügung gestellten Unterlagen orientiert.
Am Ende von Phase 1 hatten wir eine dokumentierte Ist-Situation der Aufbau- und Ablauforganisation auf allen Ebenen, eine Übersicht über vorhandene Richtlinien, Prozesse und Templates sowie identifizierte Best Practices aus verschiedenen Landesgesellschaften. Aus drei Datenquellen und den IT-Interviews hatten wir eine Longlist potenzieller IKT-Dienstleister erstellt. Wichtig dabei: Dies war noch keine vollständige oder finale Liste. Die klare Sicht auf alle IKT-Dienstleister entstand erst am Ende des gesamten Projekts, nachdem wir systematisch die Bestände erfasst hatten.
Mit der Bestandsaufnahme als solider Basis begannen wir in Phase 2, ein harmonisiertes Governance-Modell und gruppenweite Standards zu entwickeln. Die zentrale Herausforderung bestand darin, einen Spagat zu schaffen: Wir brauchten einheitliche gruppenweite Vorgaben für DORA-Compliance, mussten aber gleichzeitig den lokalen Anforderungen von MaRisk, CSSF und CBI gerecht werden und die Expertise sowie Akzeptanz der Landesgesellschaften bewahren.
Eines der wichtigsten Deliverables war das Target Operating Model. Dieses Dokument beschrieb, wie das System nach Projektende weiterlaufen würde: Wie werden neue IKT-Dienstleister identifiziert und onboardet? Wer ist wofür zuständig? Wie funktioniert das laufende Monitoring, und in welchen Intervallen erfolgen Reviews? Welche Reports werden wann erstellt? Das TOM stellte sicher, dass das Projekt keine Eintagsfliege blieb, sondern in nachhaltige Betriebsprozesse überführt wurde.
Daneben war die Entwicklung einer Gruppenstrategie zum Management von Drittparteien ein zentrales Deliverable. Dieses Dokument legte die strategischen Vorgaben fest: Welche Zielsetzungen verfolgen wir mit dem Drittparteienmanagement? Wie positionieren wir uns beim Bezug von IKT-Dienstleistungen – gruppenintern oder direkt Bezug? Die Strategie bildete das Fundament für alles Weitere.
Darauf und auf dem TOM aufbauend erstellten wir die Gruppenrichtlinie zum Management von Drittparteien. Sie übersetzte die Strategie in ein operatives Rahmenwerk mit konkreten Prozessen, klar definierten Rollen und eindeutigen Verantwortlichkeiten. Die Kunst lag darin, detailliert genug zu sein, um Klarheit zu schaffen, aber flexibel genug zu bleiben, um lokale Besonderheiten zu berücksichtigen, sofern notwendig. Eine starre One-Size-Fits-All-Lösung hätte an der Realität vor Ort zerschellt und wäre auch nicht akzeptiert worden.
Das Herzstück der Governance war ein Target Operating Model, das die Verantwortlichkeiten klar verteilte.
Die Gruppenfunktion übernahm die strategische Rolle: Sie setzte konzernweite Standards und Vorgaben, konsolidierte Informationen aus allen Landesgesellschaften, führte das gruppenweite Informationsregister. Sie war nicht für jedes operative Detail zuständig, aber sie sorgte für Konsistenz und Vollständigkeit auf Gruppenebene.
Die Landesgesellschaften behielten die operative Verantwortung für ihre lokalen IKT-Dienstleister. Sie führten Due Diligence und Risikoanalysen durch, sofern die IKT-Dienstleistung nicht gruppenweise genutzt wurde, sind verantwortlich für ihre lokalen Informationsregister und meldeten relevante Informationen an die Gruppenfunktion. Diese Dezentralität war bewusst gewählt: Die operativen Teams vor Ort kannten ihre IKT-Dienstleister am besten und sollten auch weiterhin die primäre Verantwortung tragen.
Die konzerneigene IT-Gesellschaft nahm eine besondere Stellung ein. Als Schwestergesellschaft, die IT-Services für andere Konzernunternehmen erbrachte, hatte sie eine Doppelrolle: Einerseits war sie selbst ein bewertungspflichtiger IKT-Dienstleister, der wie jeder externe Provider nach DORA-Kriterien beurteilt werden musste – inklusive Vertragsverhältnis, Service Level Agreements und Exit-Strategien. Andererseits war sie als interne IT-Abteilung unverzichtbarer Fachexperte für die technische Bewertung und Informationsbereitstellung externer IKT-Dienstleister und diente als Schnittstelle zu diesen Dienstleistern. Diese Doppelrolle musste in der Governance klar geregelt werden, um Interessenkonflikte zu vermeiden. Die Lösung: Bei der Bewertung externer Dienstleister agierte die IT-Tochter als Fachexperte. Bei ihrer eigenen Bewertung wurde sie von einem eigenen Drittparteienmanagement-Team unterstützt.
Parallel zur Strategie- und Richtlinienentwicklung erstellten wir standardisierte Vorlagen für die operative Arbeit. Ein Fragenkatalog für die Due Diligence von Drittparteien half den Landesgesellschaften, systematisch alle relevanten Aspekte abzufragen. Eine Vorlage für Risikoanalysen von IKT-Dienstleistern stellte sicher, dass alle Gesellschaften nach denselben Kriterien bewerteten. Die Vertragscheckliste stellte sicher, dass alle Mindestvertragsinhalte vereinbart wurden. Eine Vorlage für regelmäßiges Monitoring definierte, welche KPIs überwacht werden sollten und in welchen Intervallen Reviews erfolgten. Dabei war für uns wichtig, dass wir einem risikoorientierten Ansatz folgten; der Umfang des Fragenkatalogs und auch der Risikoanalysen waren davon abhängig, ob es sich um einen kritischen IKT-Dienstleister handelt, ob Unterauftragnehmer genutzt werden oder Konzentrationsrisiken bestehen.
Der Prozess, wie diese Dokumente entstanden, war genauso wichtig wie ihr Inhalt. Statt dreitägige Workshops mit allen Gesellschaften durchzuführen und dann fertige Konzepte vorzulegen, wählten wir einen anderen Weg: Wir etablierten einen zweiwöchigen, regelmäßigen Austausch mit allen Beteiligten über die gesamte Projektlaufzeit hinweg. In diesen Calls informierten wir über den Projektfortschritt, stellten Entwürfe von Strategie, Richtlinie und Templates zur Diskussion, holten Feedback ein und identifizierten frühzeitig potenzielle Umsetzungsbarrieren.
Dieser kontinuierliche Dialog hatte mehrere Vorteile gegenüber punktuellen Workshops. Erstens verhinderte er, dass die Landesgesellschaften mit fertigen Konzepten überfahren wurden. Zweitens ermöglichte er iterative Verbesserungen: Wir konnten auf Basis des Feedbacks nachsteuern, bevor Dokumente final verabschiedet wurden. Drittens nutzte er lokale Expertise optimal. Wenn die luxemburgische Landesgesellschaft erklärte, warum ein bestimmter Prozessschritt bei CSSF-regulierten Unternehmen anders ablaufen muss, konnten wir das direkt in die Richtlinie einarbeiten. Und viertens schuf dieser Ansatz Akzeptanz und Ownership. Die Beteiligten spürten: Wir werden gehört. Unsere Expertise fließt ein. Das ist nicht ein weiteres Beraterdokument, das uns übergestülpt wird, sondern eine gemeinsame Lösung.
Die Harmonisierung funktionierte dabei nicht nach dem Prinzip: Wir nehmen den Ansatz von Gesellschaft X und rollen den überall aus. Vielmehr identifizierten wir, welche Elemente aus welchen Gesellschaften besonders gut funktionierten, und nutzten diese als Bausteine für die Gruppenlösung. Die systematische Risikobewertungslogik der einen Gesellschaft kombinierten wir mit dem starken Monitoringfokus einer anderen und dem pragmatischen Anti-Überregulierungs-Ansatz der dritten. Das Ergebnis war ein mehrstufiges Assessment-Modell: Ein vereinfachtes Basis-Assessment für alle IKT-Dienstleister und ein detailliertes, vertieftes Assessment für diejenigen, die vom parallelen ICT Risk Management-Teilprojekt als kritisch oder wichtig klassifiziert worden waren.
Am Ende von Phase 2 hatten wir eine vom Management verabschiedete Gruppenstrategie und Gruppenrichtlinie, ein dokumentiertes Governance-Modell mit klaren Rollen und Eskalationswegen sowie standardisierte Templates für Due Diligence, Risikobewertung, Vertragsprüfung und Monitoring. Wichtiger noch: Wir hatten die Akzeptanz bei allen Landesgesellschaften gewonnen. Niemand fühlte sich übergangen oder mit unrealistischen Vorgaben konfrontiert.
Die letzten Monate des Projekts brachten die operative Umsetzung und Digitalisierung. Mit der Governance im Rücken und den Standards definiert, ging es nun darum, das System zum Laufen zu bringen und die über 200 IKT-Dienstleister tatsächlich zu erfassen, zu bewerten und im Register einzutragen.
Der wichtigste Schritt war die Implementierung einer spezialisierten GRC-Software als zentrales Tool für das Third Party Risk Management. Diese Entscheidung war keine Frage des Komforts oder der Modernität, sondern schlichte Notwendigkeit. Die Erstellung, Pflege und Einreichung des Informationsregisters ist bei über 200 IKT-Dienstleistern und 5 Landesgesellschaften, sowie des Konzernunternehmens und des IT-Dienstleisters ohne technische Unterstützung praktisch nicht machbar. Excel-Listen mögen bei 20 oder 30 Dienstleistern noch funktionieren, aber bei dieser Größenordnung und der Komplexität des Konzerns stößt man schnell an Grenzen.
Die GRC-Software bot mehrere entscheidende Vorteile. Sie ermöglichte revisionssichere Dokumentation aller Bewertungen, Entscheidungen und Änderungen. Jeder Schritt war nachvollziehbar, mit Zeitstempel und User-ID versehen. Die integrierte Workflow-Engine bildete den kompletten Lifecycle ab und spiegelte zu jedem Zeitpunkt wider, in welchem Status sich der Prozess befand: War die Due Diligence abgeschlossen? Lag die Risikoanalyse vor? War der Vertrag DORA-konform? Standen Freigaben aus? Diese Transparenz war nicht nur für die Gruppenfunktion wertvoll, sondern auch für die operativen Teams in den Landesgesellschaften, die jederzeit den Überblick behielten.
Ein weiterer Vorteil war die drastische Reduzierung der E-Mail-Flut. Vor der Software-Einführung liefen viele Abstimmungen über E-Mail: Zuständigkeiten wurden per Mail geklärt, Dokumente hin- und hergeschickt, Freigaben per Reply erteilt. Das führte zu unübersichtlichen E-Mail-Threads, verlorenen Anhängen und unklaren Zuständigkeiten. Die strukturierten Workflows in der Software lösten dieses Problem. Wenn ein IKT-Dienstleister bewertet werden musste, wurde der Workflow gestartet. Die zuständigen Personen erhielten automatisch Benachrichtigungen, konnten ihre Aufgaben direkt im System erledigen und sahen, was als nächstes zu tun war. Die E-Mail wurde zum reinen Notifikationsmedium, alle inhaltliche Arbeit fand in der Software statt. Schließlich ermöglichte die Software automatisierte Dashboards und Reports. Die Gruppenfunktion konnte jederzeit sehen, wie viele Dienstleister erfasst waren, wie viele davon als kritisch oder wichtig klassifiziert wurden, bei wie vielen die Vertragsprüfung noch ausstehend war und wo Engpässe drohten. Diese Transparenz war essentiell für die Projektsteuerung und später für die Meldung an die Aufsichtsbehörden.
Parallel zur Software-Implementierung lief das Unterprojekt Vertragsanpassungen. Viele bestehende Verträge mit IKT-Dienstleistern enthielten keine oder unzureichende DORA-Klauseln. Audit-Rechte für die Aufsicht und das Institut selbst fehlten oft. Exit-Strategien und Regelungen zur Datenrückgabe waren nicht definiert. Subunternehmer-Regelungen existierten nicht oder waren zu vage. Incident-Meldepflichten des Dienstleisters waren nicht spezifiziert.
Wir haben für das Group Corporate Legal Department eine systematische Vorabprüfung aller Verträge mit kritischen und wichtigen IKT-Dienstleistern gegen die DORA-Anforderungen durchgeführt. Wir unterstützten dabei mit regulatorischer Expertise: Was verlangt DORA konkret? Welche Klauseln sind must-have, welche nice-to-have? Eine externe Anwaltskanzlei erarbeitete DORA-konforme Musterklauseln, die dann in Verhandlungen mit IKT-Dienstleistern genutzt wurden.
Am Ende von Phase 3 war die GRC-Software im produktiven Betrieb und verwaltete über 200 erfasste IKT-Dienstleister. Elektronische, revisionssichere Workflows waren etabliert und liefen. Die Vertragsverhandlungen mit kritischen Dienstleistern waren im Gange. Die Informationsregister auf Ebene der Landesgesellschaften und der Gruppenebene waren vollständig gefüllt, mit Datenstand vom 30. März 2025 eingefroren und fristgerechte Ende April 2025 an die zuständigen Aufsichtsbehörden übermittelt.
Am Ende des Projekts übergaben wir acht konkrete Deliverables: Das Target Operating Model, welches die Rollen und Verantwortlichkeiten sowie die operative Umsetzung aufzeigt. Die Gruppenstrategie zum Management von Drittparteien definierte die strategischen Leitplanken. Die Gruppenrichtlinie zum Management von Drittparteien übersetzte diese in schriftlich definierte operative Prozesse und Verantwortlichkeiten.
Der Fragenkatalog für Due Diligence, die Vorlage für Risikoanalysen, die Vertragscheckliste und die Vorlage für regelmäßiges Monitoring gaben den operativen Teams konkrete Werkzeuge an die Hand. Die implementierte GRC-Software bildete das technische Rückgrat. Die Informationsregister auf Ebene der Landesgesellschaften waren vollständig und fristgerecht gemeldet.
Die quantifizierbaren Erfolge waren beeindruckend: über 200 IKT-Dienstleister waren erfasst und systematisch bewertet worden. Fünf Gesellschaften hatten wir in ein harmonisiertes Framework integriert, das drei Jurisdiktionen mit ihren unterschiedlichen regulatorischen Ausgangssituationen abdeckte. Die Deadline für die Registermeldung Ende April 2025 hatten wir eingehalten. Die E-Mail-Kommunikation war durch die digitalen Workflows spürbar reduziert worden.
Noch wichtiger waren die qualitativen, nachhaltigen Effekte: Die Prozesse über drei Länder hinweg waren nun harmonisiert, ohne dass lokale Flexibilität verloren gegangen war. Die lokalen Teams konnten weiterhin auf ihre bewährten Stärken zurückgreifen, arbeiteten aber nach einheitlichen Gruppenvorgaben. Die Gruppenfunktion hatte erstmals transparente Sicht auf alle gruppenweit genutzten IKT-Services und konnte Konzentrationsrisiken erkennen. Wenn derselbe Cloud-Provider von drei Gesellschaften für kritische Services genutzt wurde, konnten entsprechende Maßnahmen frühzeitig getroffen werden.
Alle Projekte sind anonymisiert, aber authentisch. Namen, Zahlen und identifizierende Details wurden geändert, die Herausforderungen, Lösungsansätze und Ergebnisse sind real.
Lassen Sie uns über Ihre spezifische Situation sprechen
30 Minuten für mehr Klarheit – Termin vereinbarenKostenlos & unverbindlich · 30 Minuten · Remote