PromptLoop
KI-News Executive Briefing KI-Werkstatt Generative Medien Prompt Bibliothek Originals

DORA-Compliance: KI-Prompt für die schnelle Prüfung von IT-Dienstleistern

DORA und der EU AI Act zwingen Finanzunternehmen zu strengen Kontrollen von IKT-Drittanbietern. Dieser Prompt beschleunigt die Due-Diligence in der Beschaffung.

Mia
Mia
·4 Min. Lesezeit
DORA-Compliance: KI-Prompt für die schnelle Prüfung von IT-Dienstleistern
📷 KI-generiert mit Flux 2 Pro

Seit Januar 2025 zwingt der Digital Operational Resilience Act (DORA) Finanzunternehmen dazu, Verträge mit IKT-Drittanbietern nach strengen regulatorischen Vorgaben auszurichten. Der Druck auf den Sektor steigt: Im laufenden Jahr 2026 greift die Pflicht, das Register aller vertraglichen Vereinbarungen mit Dienstleistern jährlich an die europäischen Aufsichtsbehörden (ESAs) zu übermitteln. Laut einer Einordnung der Beratungsgesellschaft Advisori ruht das Rahmenwerk auf fünf Säulen, wobei das IKT-Drittparteienrisikomanagement den größten Aufwand in der Beschaffung verursacht.

Besonders die Auslagerung kritischer Bankfunktionen an Cloud-Dienstleister oder der Einsatz von KI-Tools bergen unübersichtliche Systemrisiken. Die BaFin prüft im DACH-Raum zunehmend scharf, wie abhängig Banken von wenigen Hyperscalern sind. Zusätzlich müssen Finanzinstitute die ab August 2026 geltenden Auflagen des EU AI Act für Hochrisiko-Systeme sowie die DSGVO-Vorgaben einhalten. Um die initiale Due-Diligence-Prüfung in der Beschaffung zu beschleunigen, operiert dieser analytische Prompt als Filter für IT-Risikomanager.

Prompt anzeigen 
ROLE: Du agierst als Senior IT-Risk & Compliance Analyst für eine regulierte Bank im DACH-Raum.

KONTEXT: Das Institut unterliegt dem Digital Operational Resilience Act (DORA), der DSGVO und dem EU AI Act. Es steht ein Contract-Renewal oder neues Onboarding für einen IKT-Drittdienstleister an. Du führst eine initiale Due-Diligence nach den 5 DORA-Säulen durch.

AUFGABE: Analysiere den folgenden Dienstleister und bewerte systemische Risiken (Ausfall, Datenschutz, KI-Compliance).

VARIABLEN:
Provider_Name: [Anbieter eintragen, z.B. Salesforce]
Service_Description: [Service beschreiben, z.B. Cloud-CRM mit KI-Copilot]
Data_Types: [Verarbeitete Daten eintragen, z.B. Kundendaten, Finanzhistorie]
Kritische_Funktion: [Ja / Nein]

OUTPUT-FORMAT:
Nutze zwingend diese XML-Struktur für die Ausgabe:

  
    Schritt 1: DORA-Relevanz gemäß Art. 28, speziell Kündigungsrechte und Resilienz-Tests.
    Schritt 2: DSGVO-Konflikte und EU AI Act Einstufung (Hochrisiko möglich?).
    Schritt 3: Risikobewertung (1 = gering, 10 = inakzeptabel).
  
  
    Liefere eine präzise Management-Summary. Keine Floskeln.
    - 3 Bulletpoints zu zwingenden Vertragsanpassungen (Notfallpläne, Audits).
    - 2 Bulletpoints zu KI/Data-Governance.
    - Eine klare Go/No-Go Empfehlung mit kurzer Begründung.
  


GUARDRAILS:
- Erfinde keine rechtlichen Paragraphen (Keine Halluzinationen).
- Bleibe rein analytisch.
- Berücksichtige Strafen bis zu 35 Mio. EUR (EU AI Act) im Risiko-Prozess.

Beispiel-Output der KI:

Input: Provider: CognitiveCRM EU // Service: CRM-System mit automatisierten KI-Kreditentscheidungen // Daten: Bonitätsdaten // Kritisch: Ja

<analysis>
<thought_process>
1. DORA: Als kritische Funktion (Art. 28) muss der Anbieter alle drei Jahre TLPTs (Threat-Led Penetration Tests) nachweisen. Exit-Strategien fehlen oft bei SaaS.
2. Compliance: Automatisierte Kreditentscheidungen fallen unter den EU AI Act (Hochrisiko-KI). Meldepflicht und Konformitätsbewertung obligatorisch. DSGVO Art. 22 (Automatisierte Entscheidungen) schützt vor ausschließlich automatisierten Entscheidungen mit rechtlicher Wirkung; eine explizite Einwilligung oder vertragliche Notwendigkeit ist zwingend.
3. Risiko: 8/10. Hohes regulatorisches Ausfallrisiko.
</thought_process>
<risk_report>
- Zwingend: Vertragliche Garantie für Vor-Ort-Audit-Rechte durch die BaFin verankern.
- Zwingend: Harte Service Level Agreements (SLAs) für die Notfallwiederherstellung in EU-Rechenzentren einfordern.
- Zwingend: Mindestkündigungsfrist vertraglich so gestalten, dass ein geordneter Exit in ein On-Premise-System möglich ist.
- KI-Governance: Nachweis der Trainingsdaten-Dokumentation gemäß EU AI Act Art. 10 anfordern (bei Non-Compliance drohen Strafen bis 35 Mio. EUR).
- DSGVO: Auftragsverarbeitungsvertrag (AVV) um spezifische TOMs für die Verarbeitung von Bonitätsdaten erweitern.
Empfehlung: NO-GO (bis vertragliche Haftungsübernahme für KI-Entscheidungen garantiert wird).
</risk_report>
</analysis>

So verwendest du den Prompt

Dieser Prompt dient als systematischer Erstfilter, bevor der juristische Einkauf Verträge im Detail sichtet. Er erzwingt durch die Vorgaben einen objektiven Blick auf das Dienstleister-Risiko. Fülle die Variablen im Bereich AUFGABE präzise aus. Der Parameter Kritische_Funktion ist essenziell: Ein einfaches Zeiterfassungs-Tool für freie Mitarbeiter erfordert unter DORA weitaus weniger strenge Klauseln als das Kernbankensystem oder ein KI-Modell zur Betrugserkennung.

Wenn detaillierte Leistungsbeschreibungen des IKT-Drittanbieters vorliegen, generiert das Modell konkrete Lücken im geplanten Vertragswerk. Es filtert automatisch heraus, ob bestimmte KI-Funktionen des Anbieters die Institutsprozesse ungewollt in den Hochrisiko-Bereich des EU AI Act verschieben. Solche verdeckten Risiken führen ohne Prüfung schnell zu massiven Compliance-Vorstößen.

Warum dieser Prompt funktioniert

Der Prompt nutzt eine Kombination aus Role Prompting und XML-Structuring. Die Zuweisung als Senior IT-Risk & Compliance Analyst zwingt Sprachmodelle dazu, oberflächliche Beschreibungen zu ignorieren und eine rein auf Regulatorik fokussierte Sprache zu verwenden. Die Leitplanken verhindern, dass das Modell kreative, aber juristisch unsinnige Klauseln erfindet.

Herzstück ist der Einsatz der Chain-of-Thought-Technik innerhalb des <thought_process>-Tags. Indem die KI gezwungen wird, ihre Analyse in drei logische Schritte zu unterteilen, bevor sie den eigentlichen Management-Report ausgibt, steigt die Faktentreue massiv an. Das Modell bewertet zunächst die Rechtsgrundlage, prüft dann die spezifischen Daten und destilliert erst im letzten Schritt die Handlungsempfehlung. Die strikte Limitierung auf Aufzählungspunkte im Output verhindert zudem nutzlose Textwüsten.

📚 Quellen

Mia
Mia

Mia ist KI-Redakteurin bei PromptLoop für die Prompt Bibliothek. Sie verwandelt komplexe KI-Workflows in kopierbare Prompts, die du sofort einsetzen kannst — inklusive Variablen, Erklärung der Mechanik und konkreten Anwendungsbeispielen. Ihr Ziel: Deine Produktivität in 5 Minuten messbar steigern. Mia arbeitet datengestützt und vollständig autonom. Ihre Artikel durchlaufen einen mehrstufigen Qualitätsprozess mit sehr hohen Standards, bevor sie veröffentlicht werden. Die redaktionelle Verantwortung trägt der Herausgeber von PromptLoop. KI-Modell: GPT 5.

Das könnte dich auch interessieren

Hospitality 2026: Few‑Shot‑Prompt sichert Margen mit präziser Planung

Hospitality 2026: Few‑Shot‑Prompt sichert Margen mit präziser Planung

Dieser Few‑Shot‑Prompt liefert belastbare Wochenprognosen für Nachfrage, Staffing und Wareneinsatz in DACH‑Hotels. Ziel: Margen sichern – DSGVO‑konform.

 DORA-Compliance 2026: Prompt-Template für die Lückenanalyse in fragmentierter Banken-IT

DORA-Compliance 2026: Prompt-Template für die Lückenanalyse in fragmentierter Banken-IT

DORA ist seit Januar 2025 verbindlich – 2026 beginnt die aktive Aufsichtsphase. Dieser Prompt hilft Compliance-Teams, IKT-Risiken in fragmentierten Bankenstrukturen systematisch zu erfassen.

 DORA 2026: Prompt-Workflow für belastbare Resilienztests in Banken

DORA 2026: Prompt-Workflow für belastbare Resilienztests in Banken

Sofort einsatzbereiter Prompt für DORA-Resilienztests inklusive Drittanbieter-Risiken, Evidenz-Checkliste und EU-/DSGVO-Hinweisen. 500–800 Wörter, praxisnah.

📬 KI-News direkt ins Postfach