Getting Ready for DORA (Part V) – Vertragsverhandlung nach Inkrafttreten der DORA – Wer sitzt am längeren Hebel?

Auch in Brüssel schläft man nicht und die Regulierung im europäischen Wirtschaftsraum nimmt stetig zu. Der Bereich der IT-Sicherheit bleibt davon nicht verschont. Immer mehr neue Compliance-Anforderungen kommen hinzu, die zunehmend mehr Unternehmen betreffen. Ein Beispiel hierfür ist die NIS 2Richtlinie, die bis Oktober 2024 umgesetzt werden muss und die NIS Richtlinie von 2016 weiterentwickelt. Zudem befindet sich der Cyber Resilience Act (CRA) derzeit in der Entwurfsphase, der darauf abzielt, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit digitalen Komponenten kaufen oder nutzen. Eine weitere umfangreiche Regulierung zur Stärkung der IT-Sicherheit ist der Digital Operational Resilience Act (DORA). DORA betrifft vor allem Finanzunternehmen wie Banken, Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, Verwaltungsgesellschaften und Versicherungen sowie Unternehmen, die diesen Informations- und Kommunikationstechnologie (IKT) bereitstellen (sogenannte IKT-Drittdienstleister). Ab dem 17. Januar 2025 müssen diese Unternehmen die neuen Vorschriften erfüllen. Mit DORA sollen die Herausforderungen der fortschreitenden Digitalisierung und der zunehmenden Vernetzung in der Finanzbranche bewältigt werden. Ziel der Verordnung ist es, Risiken wie Cyberangriffe und Betriebsunterbrechungen effektiv entgegenzuwirken. Finanzunternehmen und IKT-Drittdienstleister sind verpflichtet, weitreichende Maßnahmen zu ergreifen, um ihre digitale Resilienz zu stärken und somit für mehr Sicherheit und Stabilität in der Branche zu sorgen. Es ist in der Praxis mittlerweile üblich, dass die IT-Infrastruktur oder auch ganze Arbeitsprozesse und Businessprozesse an spezialisierte Dienstleister ausgelagert werden. DORA bringt neue Herausforderungen im Bereich Compliance mit sich, die sich auch konkret auf den Verhandlungsspielraum bei Verträgen zwischen Finanzunternehmen und IKT-Drittdienstleistern auswirken. Wird das Machtverhältnis durch die DORA Verordnung zugunsten der Finanzunternehmen verschoben?

DORA und das Management des IKT-Drittparteienrisikos

Die DORA verpflichtet die Finanzunternehmen, das IKT-Drittparteienrisiko zu managen. Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Zur Bewältigung des IKT-Drittparteienrisikos werden zwei grundlegende Prinzipien festgelegt: Zum einen bleiben die Finanzunternehmen jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich. Zum anderen haben die Finanzunternehmen dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen. Dementsprechend schreibt die DORA zwingende Vertragsinhalte vor, die zwischen Finanzunternehmen und IKT-Drittdienstleistern vereinbart werden müssen. Dazu gehört das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu uneingeschränkte Zugangs-, Inspektions- und Auditrechte für das Finanzunternehmen, einen beauftragten Dritten oder die zuständige Behörde zählen. Die Häufigkeit der Kontrollen ist risikobasiert zu ermitteln. Zudem sind Kündigungsrechte für die in der DORA vorgesehenen Fälle zu vereinbaren. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen, sind zum Beispiel ausführliche Leistungsbeschreibungen erforderlich. Außerdem ist der IKT-Drittdienstleister zu verpflichten, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten. Darüber hinaus sind Ausstiegsstrategien mit verbindlichen angemessenen Übergangszeiträumen zu vereinbaren.

Kaum Spielraum für Verhandlungen

Die Vorgaben der DORA lassen den Vertragsparteien im Grunde wenig Spielraum. Sie sind von den Finanzunternehmen schlichtweg zu erfüllen. Das Aufsichtsrecht nimmt hier starken Einfluss auf die privatautonomen Gestaltungsmöglichkeiten der Vertragsparteien. Die Vorgaben sind umfangreich und zielen vor allem darauf ab, die Finanzunternehmen in die Lage zu versetzen, die IKT-Dienstleistungen zu prüfen und deren Stabilität und Sicherheit zu gewährleisten. Besonders im Fall von mittelständischen Finanzunternehmen kann dies dazu führen, dass sie sich gegenüber verhandlungsstarken IKT-Drittdienstleistern durchsetzen können. Den IKT-Drittdienstleistern wird oft schlichtweg nichts anderes übrigbleiben, als die Vorgaben zu akzeptieren und entsprechend umzusetzen. Es bleibt abzuwarten, ob die DORA auch gegenüber den größten IKT-Drittdienstleistern, wie Google, Amazon und Microsoft, Wirkung zeigen wird. Hierzu werden kritische IKT-Drittdienstleister durch die DORA zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet und besonders überwacht, wobei diese mit weitreichenden Befugnissen ausgestattet wurde. Inwieweit die DORA ihre erklärten Ziele erreichen und ob sie für den europäischen Wirtschaftsstandort von Vorteil sein wird, bleibt abzuwarten. Es ist zu befürchten, dass die zahlreichen Compliance-Anforderungen die Unternehmen zusätzlich belasten und es für die betroffenen Unternehmen immer schwieriger wird, allen Anforderungen gerecht zu werden. Hinzu kommt, dass die Verordnung noch neu ist und somit keine ausführliche Literatur, gefestigte Verwaltungspraxis oder Rechtsprechung existiert, an der sich die Praxis orientieren könnte.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.