Vertragsgestaltung im Kontext der DORA Verordnung – Worauf müssen Finanzunternehmen achten?

Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 – besser bekannt als DORA – für Finanzunternehmen und IKT-Drittdienstleister verbindlich anwendbar. Die Verordnung stellt nicht nur hohe Anforderungen an die digitale operationale Resilienz, sondern wirkt sich auch direkt auf die Vertragsgestaltung aus. Eine zentrale Frage, die sich in der Praxis stellt lautet: Wann liegt überhaupt eine IKT-Dienstleistung im Sinne von DORA vor? Diese Abgrenzung ist von entscheidender Bedeutung, denn Verträge über IKT-Dienstleistungen müssen nach Art. 30 DORA bestimmte Mindestinhalte aufweisen. Dazu zählen unter anderem klare Regelungen zu Risikomanagement, Vorfallsmeldung, Audit-Rechten und Exit-Strategien. Die Einordnung einer Dienstleistung als IKT-Dienstleistung hat somit weitreichende Konsequenzen für die Vertragsverhandlungen zwischen Finanzunternehmen und ihren Dienstleistern. Werden Dienstleistungen fälschlicherweise nicht als IKT-Dienstleistungen qualifiziert, drohen nicht nur Compliance-Risiken, sondern auch vertragliche Lücken, die im Ernstfall zu Haftungsfragen führen können. Gleichzeitig verschiebt DORA das Machtgefälle in Vertragsverhandlungen: Finanzunternehmen sind nun verpflichtet, strenge Vorgaben an ihre Dienstleister zu stellen – was den Verhandlungsspielraum für beide Seiten neu definiert. Doch wie lassen sich IKT-Dienstleistungen eindeutig identifizieren, und welche Vertragsklauseln sind zwingend erforderlich, um den DORA-Anforderungen gerecht zu werden? Diese Fragen stehen im Fokus der aktuellen Diskussionen und zeigen, dass DORA nicht nur eine regulatorische, sondern auch eine vertragsrechtliche Herausforderung darstellt.

Was sind IKT-Dienstleistungen?

IKT-Dienstleistungen sind nach Art. 3 Nr. 21 DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Die Definition hierbei sehr weit gefasst. Es sollen möglichst viele IKT-Dienstleistungen erfasst werden, um die Ziele der DORA effektiv umzusetzen. Eine wesentliche, in der Definition angelegte Einschränkung des Anwendungsbereichs ist, dass nur digitale Dienste und Datendienste umfasst werden sollen, die dauerhaft bereitgestellt werden. Umfasst sind also regelmäßig nur Dauerschuldverhältnisse, nicht umfasst sind nur einmalige Dienstleistungen. Eine große Hilfestellung bei der Einordnung einer Dienstleistung findet sich in Anhang III der Durchführungsverordnung (EU) 2024/2956 der Kommission zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister (ITS on register of information). Hier findet sich eine Liste mit Kategorien von IKT-Dienstleistungen, jeweils mit einer kurzen Beschreibung. Diese Liste kann bei der ersten Einordnung als Hilfsmittel herangezogen werden. Zu den genannten Dienstleistungen gehören: IKT-Projektmanagement, IKT-Entwicklung, IKT-Helpdesk und First-Level-Support, IKT-Sicherheitsmanagementdienste, Bereitstellung von Daten, Datenanalyse, IKT-Betriebsmittel und Hostingdienste (ohne Cloud-Dienste), Rechenleistung, Datenspeicherung außerhalb der Cloud, Telekommunikationsanbieter, Netzwerkinfrastruktur, Hardware und physische Geräte, Softwarelizenzierung (ohne SaaS), IKT-Betriebsmanagement (einschließlich Wartung), IKT-Beratung, IKT-Risikomanagement, IaaS, PaaS und SaaS.

Art. 30 DORA setzt klare Mindeststandards für IKT-Verträge sowohl für Standard- als auch für kritische Dienstleistungen

Jeder Vertrag über IKT-Dienstleistungen muss zunächst eine präzise Beschreibung der Leistungen, Rechte und Pflichten enthalten, inklusive der genauen Standorte, an denen Daten verarbeitet und gespeichert werden. Informationssicherheit und Datenschutz sind zentral: Hier müssen konkrete technische und organisatorische Maßnahmen festgelegt werden, um Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit aller Daten zu gewährleisten – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Zudem sind Regelungen zum Datenzugang bei Insolvenz oder Vertragsende unverzichtbar, um die Kontinuität der Dienstleistung zu sichern. Service Level Agreements (SLAs) mit quantitativen und qualitativen Leistungszielen sind Pflicht, ebenso wie die Verpflichtung des Dienstleisters, bei IKT-Vorfällen zu unterstützen und das Finanzunternehmen bei der Erfüllung seiner Meldepflichten zu entlasten. Die Zusammenarbeit mit Aufsichtsbehörden muss vertraglich verankert sein, und Kündigungsrechte des Finanzunternehmens – etwa bei Verstößen gegen Compliance-Vorgaben oder Mängeln im Risikomanagement – müssen explizit definiert werden. Schließlich sollte die Teilnahme an Schulungen zur digitalen Resilienz vereinbart werden, sofern der Dienstleister nicht bereits über eigene Qualifikationsnachweise verfügt. Handelt es sich um kritische oder wichtige Funktionen, verschärfen sich die Anforderungen: Hier sind erweiterte Berichtspflichten, Notfallpläne, Mitwirkung an Penetrationstests sowie umfassende Auditrechte des Finanzunternehmens zwingend. Besonders relevant sind auch Exit-Management-Regelungen, die einen geordneten Übergang bei Vertragsende oder Dienstleisterwechsel sicherstellen. Zudem müssen Unterauftragsvergaben streng kontrolliert und vertraglich abgesichert werden, um ungewollte Risiken zu vermeiden.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de