Unternehmen sind heute mehr denn je von IKT-Drittdienstleistern abhängig. Diese Abhängigkeit erfordert, dass sowohl die Zusammenarbeit als auch deren Beendigung sorgfältig geplant wird. Hierbei sind Ausstiegsstrategien von entscheidender Bedeutung.

Was sind Ausstiegsstrategien?

Eine Ausstiegsstrategie ist ein internes Dokument, in dem alle Optionen für die Fortführung ausgelagerter Dienstleistungen bewertet werden, falls eine Beendigung der aktuellen Vereinbarung notwendig wird. Es handelt sich also um eine Art Notfallplan für den Fall, dass die Beziehung zum Dienstleister endet. Wichtig dabei ist, dass eine Ausstiegsstrategie auf plausiblen Szenarien und vernünftigen Annahmen basiert.

Anwendungsbereich und Ziele

Ausstiegsstrategien sind für IKT-Dienstleister, die kritische oder wichtige Funktionen unterstützen, verpflichtend. Das Ziel einer solchen Strategie besteht darin, dem Unternehmen zu ermöglichen, sich aus vertraglichen Vereinbarungen zurückzuziehen, ohne die Geschäftstätigkeit zu unterbrechen oder die Dienstleistungen für Kunden zu beeinträchtigen. Um dies zu gewährleisten, sind regelmäßige Überprüfungen und Tests von Ausstiegsstrategien unerlässlich und verpflichtend.

Zweck und regulatorische Anforderungen

Der Zweck einer Ausstiegsstrategie ist die Zusammenfassung der wichtigsten Dokumente und Maßnahmen, um das Unternehmen im Falle eines Lieferantenausstiegs zu unterstützen. Die Strategie umreißt die wichtigsten Aktivitäten in einem Notausstiegsszenario.

Zudem gibt es regulatorische Anforderungen an Ausstiegsstrategien, insbesondere durch die DORA-Verordnung (Digital Operational Resilience Act). Diese Verordnung hat die Erwartungen und Ziele an Ausstiegsstrategien erheblich erweitert.

Auslöser für einen Ausstieg

Es gibt verschiedene Auslöser, die einen Ausstieg aus einer Dienstleisterbeziehung notwendig machen können. Dazu gehören beispielsweise:

• Mangelnde kulturelle Übereinstimmung oder eine Verschlechterung der Beziehung
• Ein Business Case, der das aktuelle Service-Delivery-Modell oder den Service-Provider nicht mehr unterstützt
• Der Service-Provider kann die strategische Ausrichtung des Unternehmens nicht unterstützen
• Höhere Gewalt, wie z. B. finanzielle Schwierigkeiten des Service-Providers
• Kontrollwechsel/Eigentumswechsel des Service-Providers
• Technologien, die wesentliche Änderungen am Service-Delivery-Modell ermöglichen
• Strategische Entscheidung zum Aufbau eigener Kapazitäten
• Verstöße (regulatorische oder wesentliche Vertragsbrüche)

Diese Auslöser können entweder zu einem geplanten oder zu einem Notausstieg führen.

Szenario und Beispiel

Ein anschauliches Beispiel für die Notwendigkeit von Ausstiegsstrategien ist der Ausfall eines zentralen IT-Dienstleisters aufgrund eines Verschlüsselungstrojaners. Wenn ein solcher Ausfall nicht nur wenige Tage, sondern 1 bis 2 Monate dauert, sind traditionelle BCM-Pläne (Business Continuity Management) oft nicht darauf ausgelegt. In solchen Fällen ermöglichen Ausstiegsstrategien einen temporären Wechsel zu einem anderen IKT-Dienstleister.

Compliance Breakfast @ Wavestone

Um dieses wichtige Thema weiter zu vertiefen, laden wir Sie herzlich zu unserem Compliance Breakfast am 26.06.2025 von 09:00 – 09:30 Uhr ein. Erfahren Sie mehr über die praktischen Aspekte der Erstellung und Umsetzung von Ausstiegsstrategien und diskutieren Sie mit Expert:innen über die damit verbundenen Herausforderungen und Best Practices.

Zur Anmeldung gelangen Sie unter folgendem Link: Anmeldung