top of page

Jenseits des E-Learnings: Der Weg zur echten DORA-Kompetenz

Dieser Artikel knüpft an meine vorherige Analyse der BaFin-Jahrespressekonferenz vom 7. Mai 2025 an, in der ich die bemerkenswerten Übereinstimmungen zwischen den Aussagen des BaFin-Präsidenten und den DORA-Governance-Anforderungen beleuchtet habe. Während der erste Beitrag die regulatorischen Grundlagen und die aufsichtliche Erwartungshaltung analysierte, widmet sich der folgende Artikel den praktischen Herausforderungen bei der Umsetzung der Schulungsanforderungen.

Die rechtliche Vorgabe: Klar in der Forderung, vage in der Ausgestaltung

Mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) steht die Finanzbranche vor einer weiteren regulatorischen Anforderung, die insbesondere die Leitungsorgane betrifft. Artikel 5 Absatz 4 DORA, mit Verweis auf Artikel 4 Absatz 1 Nummer 35 der Finanzmarktrichtlinie, verpflichtet Finanzinstitute zur Durchführung regelmäßiger Schulungen für Mitglieder des Leitungsorgans – sowohl für den geschäftsführenden Vorstand als auch für den Aufsichtsrat als Kontrollorgan.

Was zunächst eindeutig klingt, offenbart bei näherer Betrachtung erhebliche Interpretationsspielräume: DORA lässt offen, in welchem Umfang, in welcher Form, mit welchem konkreten Inhalt und in welcher Frequenz diese Schulungen stattfinden sollen. Diese Unbestimmtheit stellt Finanzinstitute vor die Herausforderung, selbst geeignete Schulungskonzepte zu entwickeln, die sowohl den regulatorischen Anforderungen als auch den praktischen Gegebenheiten gerecht werden.

E-Learning als Standardlösung: Oberflächlichkeit statt Kompetenz?

In der Praxis greifen viele Institute auf E-Learning-Formate zurück, um der Schulungspflicht nachzukommen. Diese bieten zweifellos Vorteile: Sie sind skalierbar, zeit- und ortsunabhängig durchführbar und dokumentieren die Teilnahme lückenlos. Doch lässt sich durch ein standardisiertes E-Learning tatsächlich die Kompetenz vermitteln, die ein Leitungsorgan benötigt, um seiner Verantwortung gerecht zu werden?

E-Learnings können grundlegendes Wissen über DORA vermitteln, aber die kritische Frage bleibt: Reicht ein oberflächliches Verständnis aus, um fundierte Entscheidungen zu treffen und die Verantwortung für die digitale Resilienz eines Finanzinstituts zu übernehmen? Die Antwort muss wohl lauten: Kaum.

Die Regulierungsflut 2025: Eine kognitive Überlastung droht

Das Jahr 2025 hat bereits eine beeindruckende Anzahl neuer Regularien hervorgebracht, die alle gleichermaßen die Aufmerksamkeit der Leitungsorgane erfordern:

  • Die KI-Verordnung mit ihren weitreichenden Implikationen für KI-Systeme in Finanzprozessen

  • Der Entwurf des Fit-and-Proper Rundschreibens mit neuen Anforderungen an die persönliche Eignung

  • Das MaGo-Rundschreiben mit spezifischen Governance-Anforderungen

  • Diverse WpHG-Änderungen mit Auswirkungen auf Wertpapiergeschäfte

  • Neue BaFin-Sanktionsregime

  • Die MaRisk-Novelle 8 mit Fokus auf Kreditspreadrisiken im Anlagebuch

  • Erweiterte ESG-Faktoren bei der Kreditvergabe

Diese unvollständige Liste verdeutlicht das Dilemma: Selbst Fachexperten müssen erhebliche Zeit in Lektüre und Fortbildung investieren, um in diesem regulatorischen Umfeld auf dem aktuellen Stand zu bleiben. Wie soll dies Mitgliedern von Leitungsorganen gelingen, deren zeitliche Ressourcen und – bei aller gebotenen Wertschätzung – kognitive Aufnahmefähigkeit begrenzt sind?

Die Realität in den Boardrooms: Zwischen Anspruch und Wirklichkeit

Aus der Beratungspraxis weiss ich: Vorstände und Aufsichtsräte sehen sich mit einem kaum zu bewältigenden Informations- und Anforderungsdruck konfrontiert. Die regulatorische Erwartungshaltung einer umfassenden Kompetenz in allen aufsichtsrechtlichen Bereichen kollidiert mit der Realität begrenzter Zeit und Aufmerksamkeit.

Hinzu kommt die Komplexität des Themas DORA selbst: Digitale Resilienz erfordert nicht nur regulatorisches Wissen, sondern auch technisches Verständnis, Risikobewusstsein und strategischen Weitblick. Diese Kompetenzen lassen sich nicht durch ein einstündiges E-Learning vermitteln.

Der Weg zu effektiven Schulungskonzepten: Modularität statt Einheitslösung

Was ist zu tun? Die Antwort liegt eindeutig in einem differenzierten, bedarfsgerechten Ansatz. Das Prinzip "Eines für alle, Alles für einen" mag in anderen Kontexten seine Berechtigung haben – im Bereich von Schulungen für Aufsichtsräte und Vorstände geht es jedoch völlig am Ziel vorbei. Standardisierte Einheitslösungen werden weder den unterschiedlichen Rollen und Verantwortungsbereichen innerhalb der Leitungsorgane gerecht, noch berücksichtigen sie die individuellen Vorkenntnisse und Erfahrungshorizonte.

Ein geschützter Raum

Einzig ein modularer Schulungsaufbau in einem geschützten Raum kann hier die Lösung sein. Dieser Ansatz ermöglicht:

  1. Grundlagenmodule für alle Mitglieder der Leitungsorgane, die ein gemeinsames Verständnis der DORA-Anforderungen sicherstellen

  2. Rollenspezifische Vertiefungsmodule, die auf die jeweiligen Verantwortungsbereiche zugeschnitten sind

  3. Individuelle Schwerpunktsetzung entsprechend der persönlichen Expertise und Aufgabenfelder

  4. Offene Diskussionsräume, in denen auch kritische Fragen und Bedenken ohne Sorge vor regulatorischen Konsequenzen thematisiert werden können

Der geschützte Raum ist dabei von besonderer Bedeutung: Nur wenn Vorstände und Aufsichtsräte offen über Herausforderungen, Wissenslücken und Unsicherheiten sprechen können, ist ein effektiver Lernprozess möglich.

Rollenspezifische Vertiefungsinhalte

Vorstände und Aufsichtsräte benötigen je nach ihrer spezifischen Rolle und Verantwortung vertiefende Inhalte. Für Mitglieder mit Aufsichtsfunktion im Bereich IT könnten beispielsweise Schulungsmodule zu folgenden Themen relevant sein:

  • Vertiefte Einblicke in den IT-Betrieb und die technischen Aspekte der digitalen Resilienz

  • Kritische Bewertung von IT-Strategien und deren Alignment mit den DORA-Anforderungen

  • Fragen der IT-Governance und des IT-Risikomanagements

Für Mitglieder mit Verantwortung im Bereich Risikomanagement hingegen stehen möglicherweise andere Themen im Vordergrund:

  • Risikotragfähigkeit (ICAAP) im Kontext digitaler Risiken

  • Integration von IT-Risiken in das Gesamtrisikomanagement

  • Methoden zur Quantifizierung operationeller Risiken aus dem IT-Bereich

Mitglieder mit Schwerpunkt im Bereich Compliance und Interne Revision benötigen wiederum spezifische Schulungsinhalte zu:

  • Prüfungsansätze für die DORA-Compliance

  • Governance-Strukturen und Drei-Linien-Modell im Kontext digitaler Resilienz

  • Berichterstattung über IT-bezogene Risiken und Kontrollen

Vorbereitung auf strukturierte Interviews mit der BaFin

Ein weiterer wesentlicher Aspekt effektiver DORA-Schulungen ist die gezielte Vorbereitung auf strukturierte Interviews mit der BaFin. Die Erfahrung zeigt: Die Aufsicht führt zunehmend detaillierte Gespräche mit Mitgliedern der Leitungsorgane, um deren tatsächliche Kompetenz in regulatorischen Fragen zu evaluieren.

Mitglieder von Leitungsorganen müssen daher nicht nur theoretisches Wissen erwerben, sondern auch die Fähigkeit entwickeln, dieses Wissen im Kontext aufsichtlicher Befragungen angemessen zu artikulieren und auf kritische Nachfragen souverän zu reagieren. Hierfür bieten sich Simulationen und Rollenspiele an, die typische Interviewsituationen nachstellen und den Teilnehmern die Möglichkeit geben, ihre Kommunikationsfähigkeit in diesem spezifischen Kontext zu trainieren.

Ideen zum langfristigen Kompetenzaufbau

DORA-Compliance ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Entsprechend bedarf es eines strukturierten, langfristigen Ansatzes zum Kompetenzaufbau in den Leitungsorganen. Dieser sollte umfassen:

  1. Initial-Assessment zur Ermittlung des bestehenden Kenntnisstands und individueller Schulungsbedarfe

  2. Grundlagenschulungen zu Beginn der DORA-Implementierung

  3. Regelmäßige Updates zu neuen regulatorischen Entwicklungen und Best Practices

  4. Praxisorientierte Vertiefung durch Case Studies, Simulationen und Erfahrungsaustausch

  5. Kontinuierliche Selbstlernmöglichkeiten durch kuratierte Materialien und Ressourcen

Dieser langfristige Ansatz erlaubt es, Wissen nachhaltig aufzubauen und zu vertiefen, anstatt lediglich punktuelle Schulungsmaßnahmen durchzuführen, deren Inhalte schnell wieder in Vergessenheit geraten.

Die Rolle externer Expertise

Bei der Entwicklung und Durchführung effektiver DORA-Schulungen können externe Experten einen bedeutenden Beitrag leisten. Wirtschaftsprüfer, Verbandsprüfer und spezialisierte Beratungsunternehmen verfügen über:

  • Tiefgreifendes Verständnis der regulatorischen Anforderungen

  • Praxiserfahrung aus verschiedenen Finanzinstituten

  • Kenntnis der aufsichtlichen Erwartungshaltung

  • Methodische Kompetenz in der Vermittlung komplexer Inhalte

Diese Expertise kann genutzt werden, um maßgeschneiderte Schulungskonzepte zu entwickeln, die sowohl regulatorisch fundiert als auch praxisnah sind. Dabei ist es wichtig, dass externe Experten nicht nur ihr Fachwissen einbringen, sondern auch die spezifischen Gegebenheiten und Herausforderungen des jeweiligen Instituts berücksichtigen.

Fazit

Die Erfüllung der DORA-Schulungsanforderungen für Leitungsorgane erfordert einen Paradigmenwechsel: weg von standardisierten Einheitslösungen, hin zu differenzierten, bedarfsgerechten Schulungskonzepten. Das Prinzip "Eines für alle, Alles für einen" mag administrativ einfacher umzusetzen sein, verfehlt jedoch das eigentliche Ziel: die Entwicklung tatsächlicher Kompetenz in den Leitungsorganen.

Wie bereits in meiner Analyse der BaFin-Jahrespressekonferenz deutlich wurde, steht die kompetente Führung von Finanzunternehmen im Fokus der Aufsicht. Die dort identifizierte "kritische Compliance-Lücke" durch fehlende DORA-Schulungen für Vorstände lässt sich nur durch gezielte, maßgeschneiderte Schulungsansätze schließen. Die Warnung des BaFin-Präsidenten, dass Unternehmen in Schieflage geraten, weil "ihre Führung und ihre Aufsichtsorgane ihren Anforderungen nicht gewachsen waren", unterstreicht die Dringlichkeit angemessener Qualifizierungsmaßnahmen.

Statt einer Einheitslösung bedarf es eines modularen, rollenspezifischen Ansatzes, der in einem geschützten Raum stattfindet und die unterschiedlichen Verantwortungsbereiche innerhalb der Leitungsorgane berücksichtigt. Ergänzt durch die gezielte Vorbereitung auf aufsichtliche Interviews und eingebettet in einen langfristigen Kompetenzentwicklungsprozess, kann ein solcher Ansatz dazu beitragen, dass Mitglieder von Leitungsorganen nicht nur formal geschult, sondern tatsächlich befähigt werden, ihrer Verantwortung im Kontext digitaler Resilienz gerecht zu werden.

Finanzinstitute sind gut beraten, frühzeitig in die Entwicklung solcher differenzierten Schulungskonzepte zu investieren – nicht nur, um regulatorische Anforderungen zu erfüllen, sondern auch, um die digitale Resilienz des Instituts nachhaltig zu stärken. Dabei kann die Unterstützung durch externe Experten wie Wirtschaftsprüfer, Verbandsprüfer und spezialisierte Berater einen wertvollen Beitrag leisten, um die Qualität und Wirksamkeit der Schulungsmaßnahmen zu gewährleisten.

Letztendlich geht es nicht darum, eine Pflichtübung abzuhaken, sondern eine Lernkultur zu etablieren, die den Herausforderungen der digitalen Transformation im Finanzsektor gewachsen ist und die Leitungsorgane tatsächlich in die Lage versetzt, ihre Steuerungs- und Kontrollfunktion kompetent wahrzunehmen – ganz im Sinne der vom BaFin-Präsidenten geforderten kompetenten Führung und des "Faktors Mensch" in der Aufsicht.

ree

 
 
 

Kommentare

bottom of page