DORA Art. 28

DORA Exit & Portability Workspace

Exit-Pläne sind keine Papierübung. Sie sind die operative Fähigkeit, Verträge zu beenden, Daten zurückzuholen, Funktionen zu migrieren und den Geschäftsbetrieb in einer neuen Umgebung fortzusetzen – nachweisbar, testbar, revisionssicher.

Hinweis: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung.

Das Problem

Die meisten Exit-Pläne sind Dokumente – keine operativen Fähigkeiten. Sie beschreiben, was im Auslagerungsvertrag steht, nicht, wie ein institutioneller Ausstieg tatsächlich abläuft. Wenn ein Dienstleister ausfällt, die Strategie sich ändert oder die Aufsicht den Rückbau fordert, zeigt sich: Der Plan war nie getestet, die Datenportabilität nie geprüft, die Abhängigkeiten nie kartiert.

DORA Art. 28 fordert mehr als einen Vertragskündigungsprozess. Er fordert die Fähigkeit, die vertraglich vereinbarten Exit-Mechanismen jederzeit auszulösen und nachzuweisen.

Regulatorischer Kontext

DORA Art. 28

IKT-Drittparteienrisiko – Exit-Strategie und datenportabilität als vertragliche Pflicht. Planung, Test und Nachweis der Exit-Fähigkeit.

MaRisk AT 9

Auslagerungsmanagement – Notfallkonzepte, Rückholbarkeit und Fortführung kritischer Aktivitäten bei Dienstleisterwechsel.

EBA Guidelines

EBA/GL/2019/02 – Auslagerungsvereinbarungen: Exit-Pläne, Ausstiegsszenarien und Zugriffsrechte auf Daten und Systeme.

13 Module – Der gesamte Exit-Workflow

Exit Scope Builder

Erfassung und Bewertung aller Dienstleister mit Exit-Relevanz. Priorisierung nach Kritikalität, Auslagerungsvolumen und regulatorischer Bindung.

Critical Function Dependency Map

Visualisierung aller Abhängigkeiten kritischer Funktionen von Dienstleistern sowie interner Systeme und Prozesse.

Exit Trigger Register

Definition und Dokumentation aller Auslöser für einen Exit: Vertragsverletzung, Insolvenz, Strategiewechsel, Aufsichtsverfügung.

Exit Governance & RACI Builder

Rollen-, Entscheidungs- und Eskalationsmodell für den Exit-Prozess. Wer entscheidet was – in welcher Phase?

Sourcing Scenario Evaluator

Bewertung alternativer Sourcing-Optionen: Insourcing, Outsourcing bei anderem Anbieter, Cloud-Migration, hybride Modelle.

Migration Phase Planner

Planung der 5 Migrationsphasen: Vorbereitung, Transition, Konsolidierung, Stabilisierung, Betriebsübergabe.

Data Portability & Reconciliation Workspace

Prüfung und Nachweis der Datenportabilität: Datenformate, Schnittstellen, Volumen, Zeitpläne. Vollständigkeits- und Datenqualitätssicherung.

Exit Cost & Budget Model

Kalkulation der Exit-Kosten: Vertragsstrafen, parallele Betriebskosten, Personalaufwand, Technologietransfer, Risikoaufschläge.

Security Hardening Checklist

Sicherheitsanforderungen an die Zielumgebung: Verschlüsselung, IAM, Netzwerksegmentierung, Logging, Patch-Stand vor Produktionsaufnahme.

Build & Deployment Security Checklist

Secure-Build- und Deployment-Pipeline für die Zielumgebung: Supply-Chain-Security, Artefakt-Integrität, Deployment-Automation und Freigabe-Workflow.

Exit Test & Dry-Run Planner

Planung, Durchführung und Dokumentation von Exit-Dry-Runs. Teilausstiege testen, Vollausstiege simulieren, Ergebnisse auswerten.

Board Approval Pack

Strukturierte Entscheidungsvorlage für das Leitungsorgan. Aktivierungsentscheidung, Szenariobewertung, Budgetfreigabe, Point of No Return.

Zum Board Approval Pack

Exit Evidence Pack

Prüffähiger Nachweis aller Exit-Aktivitäten für Revision und Aufsicht. Vollständige Evidence-Chain vom Trigger bis zum Betriebsnachweis.

5-Phasen-Migrationsmodell

Jeder Exit durchläuft fünf definierte Phasen. Der Migrationsphasenplaner strukturiert diese Phasen mit Meilensteinen, Entscheidungspunkten und Qualitätstoren.

Sourcing &
Due Diligence

Anbieterbewertung, Vertragsprüfung, Zieloption

Implementierung &
Zielaufbau

Infrastruktur, IAM, Security, Schnittstellen

Integration &
Kopplung

Datenmigration, Reconciliation, UAT

Test, Dry-Run &
Freigabe

Sicherheitstests, Probelauf, Board-Entscheid

Transition &
Cutover

Produktivwechsel, Fallback, Betriebsnachweis

Wer arbeitet im Exit Workspace?

Auslagerungsmanagement

Exit Scope, Trigger Register, Vertragsklauseln, Dienstleisterbewertung

IKT-Risikocontrolling

Risikobewertung, Konzentrationsrisiko, Szenarioanalyse

Informationssicherheit

Security Hardening, Penetrationstest, Datenlöschung

Vorstand / Geschäftsleitung

Aktivierungsentscheidung, Budgetfreigabe, Point of No Return

IT-Architektur / Betrieb

Migrationsplanung, Datenportabilität, Zielumgebungsaufbau

Interne Revision

Prüfnachweise, Evidence Chain, Prozessadäquanz

Integration in die Plattform

Der Exit Workspace ist kein isoliertes Modul. Er greift auf bestehende Plattformdaten zurück und erweitert sie:

IKT-Drittparteienrisiko

Dienstleisterinventar, Kritikalität, Vertragsanforderungen

Kritische Funktionen (kwF)

Abhängigkeitsmodell, Ausfallfolgen, BIA-Ergebnisse

Sollmaßnahmenkatalog

DORA-Maßnahmen mit Exit-Relevanz

Exit-Fähigkeit ist kein Dokument – sie ist Betriebsstabilität

Vereinbaren Sie ein unverbindliches Pilotgespräch. Wir zeigen Ihnen, wie der DORA Exit & Portability Workspace Ihre Exit-Fähigkeit aufbaut – nachweisbar, testbar, revisionssicher.

Pilotgespräch anfragen

Reifegrad

1 Initial

Ad-hoc-Ansätze, keine formalen Prozesse
2 Defined

Formale Prozesse definiert, aber nicht durchgängig umgesetzt
3 Implemented

Prozesse vollständig umgesetzt und dokumentiert
4 Monitored

Prozesse werden überwacht und gemessen
5 Optimized

Kontinuierliche Verbesserung und Anpassung

Quellen und Stand

Review-Status: needs_review
Letzte Prüfung: Mai 2026

DORA Art. 28 – Exit-Strategie Stand: 2023-01-16
EBA Guidelines on Outsourcing (EBA/GL/2019/02) Stand: 2019-12-20
MaRisk AT 9 – Auslagerungsmanagement Stand: 2023-10-27

Diese Seite ist eine eigene Umsetzungshilfe auf Basis öffentlicher Quellen. Sie ersetzt keine Rechtsberatung und keine verbindliche Auslegung durch Aufsicht oder Rechtsberatung.