Die Verordnung (EU) 2022/2554 (DORA) ist in Kraft getreten und Finanzunternehmen müssen die neuen Anforderungen erfüllen. Die Verordnung konzentriert sich auf die Bewältigung der Herausforderungen, die durch die digitale Transformation und die wachsende Vernetzung in der Finanzbranche entstanden sind und sich in Zukunft weiter vertiefen werden. DORA hat das Ziel, Risiken, die beispielsweise von Cyberangriffen und Betriebsunterbrechungen ausgehen, weiter zu reduzieren. Die konkreten Pflichten, die durch die DORA an Finanzunternehmen gestellt werden, sind komplex. Der mit DORA einhergehende bürokratische Aufwand, der für die Finanzunternehmen entsteht, ist nicht zu unterschätzen. Doch gleichzeitig hilft die DORA dabei, angemessene Mindeststandards im Bereich der Digitalen Operationalen Resilienz zu fördern. Die DORA wird durch technische Regulierungsstandards (sogenannte RTS) ergänzt, die regelmäßig von den ESA (EBA, EIOPA und ESMA) in Zusammenarbeit mit den nationalen Aufsichtsbehörden verfasst und von der Kommission nach den maßgeblichen Vorgaben erlassen worden sind. Die meisten RTS sind auf diese Weise bereits wirksam in Kraft getreten. Die RTS sollen Finanzunternehmen konkrete Vorgaben dazu geben, wie die Anforderungen der DORA in den von den RTS geregelten Bereichen zu verstehen und umzusetzen sind. Obwohl die DORA und beinahe alle RTS bereits anwendbar sind, bestehen weiterhin Unklarheiten über die Auslegung der DORA im Einzelfall. Zu einer der großen Fragen rund um die DORA – nämlich der Frage, wann ein Finanzunternehmen im Verhältnis zu anderen Finanzunternehmen als IKT-Drittdienstleister einzuordnen ist – wurden nun von der EIOPA über die joint Q&A der ESA Auslegungshinweise gegeben. Unsicherheit besteht auch im Bereich der Vergabe von Unteraufträgen von IKT-Drittdienstleistern, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, an Unterauftragnehmer. Der hierzu von den ESA entworfene RTS befindet sich trotz der Tatsache, dass die DORA bereits in Kraft getreten ist, weiter im Entwurfsstadium, und nun hat die Kommission die Absicht angekündigt, den Entwurf in Teilen abzulehnen. Mit diesen Themen rund um die DORA befassen sich die folgenden Ausführungen.
Klarstellung: Wann Finanzunternehmen IKT-Drittdienstleister sind
Eine der drängendsten Fragen für viele Finanzunternehmen ist die nach der Anwendbarkeit der DORA, wenn ein Finanzunternehmen digitale Dienstleistungen für ein anderes Finanzunternehmen erbringt. Ab wann sind die Dienste zwischen den Finanzunternehmen als IKT-Dienstleistungen einzustufen? Sofern es sich um IKT-Dienstleistungen im Sinne der DORA handelt, kann auch ein Finanzunternehmen als IKT-Drittdienstleister im Sinne der DORA gelten. Dies stellt Erwägungsgrund 63 der DORA ausdrücklich klar. Die EIOPA gibt stellvertretend für die ESA den Rechtsanwendern nun eine Auslegungshilfe an die Hand. Nach Auffassung der EIOPA können auch Finanzdienstleistungen eine IKT-Komponente enthalten. Sofern Finanzunternehmen im Zusammenhang mit ihren Finanzdienstleistungen anderen Finanzunternehmen IKT-Dienste bereitstellen, sollen die Finanzunternehmen, für die die IKT-Dienste erbracht werden, prüfen, ob erstens die Dienste eine IKT-Dienstleistung im Sinne von DORA darstellen und zweitens, ob das bereitstellende Finanzunternehmen und die von diesem angebotenen Finanzdienstleistungen nach Unionsrecht oder nach nationalem Recht eines Mitgliedstaates oder eines Drittlandes reguliert sind. Fallen beide Tests positiv aus, sollte die betreffende IKT-Dienstleistung überwiegend als Finanzdienstleistung angesehen und nicht als IKT-Dienstleistung im Sinne von Artikel 3 Abs. 21 DORA behandelt werden. Falls der Dienst von einem regulierten Finanzunternehmen bereitgestellt wird, das regulierte Finanzdienstleistungen anbietet, dieser Dienst jedoch nicht mit solchen regulierten Finanzdienstleistungen in Zusammenhang steht oder unabhängig davon ist, sollte der Dienst als IKT-Dienstleistung im Sinne von Artikel 3 Abs. 21 DORA betrachtet werden. Diese Auslegungshilfe verdient Zustimmung, da sie im Einklang mit den Zielen der DORA steht, mit den Leitbildern des Erwägungsgrund 79 übereinstimmt und zusätzlichen bürokratischen Aufwand im Bereich des Managements des IKT-Drittparteienrisikos zwischen Finanzunternehmen verhindert, die ohnehin jeweils selbst den Vorgaben der DORA unterliegen.
Weitere Unsicherheit bei den RTS zur Vergabe von Unteraufträgen
Am 21. Januar 2025 hat die Europäische Kommission den Entwurf für technische Regulierungsstandards (RTS) im Zusammenhang mit der Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, abgelehnt. Diese RTS werden unter anderem dringend benötigt, damit die Finanzunternehmen wissen, wie weitreichend vertragliche Vereinbarungen mit IKT-Drittdienstleistern zum Thema Unterauftragsvergabe sein müssen. Die Kommission ist der Ansicht, dass die Anforderungen in Artikel 5 des Entwurfs des RTS über die Befugnisse hinausgehen, die den ESAs durch Artikel 30 Abs. 5 DORA erteilt wurden. Insbesondere geht es um die Bedingungen für die Überwachung der Kette von IKT-Unterauftragnehmern, die nicht spezifisch mit den Bedingungen für die Untervergabe verknüpft sind. Die Kommission fordert die Entfernung von Artikel 5 und des zugehörigen Erwägungsgrundes 5 aus dem Entwurf des RTS, um sicherzustellen, dass der Entwurf mit dem Mandat übereinstimmt. Der entsprechende Artikel wird daher nicht mehr Teil der von den Finanzunternehmen zu beachtenden Vorschriften sein. Leider verzögert sich damit auch der verbindliche Erlass des RTS und Finanzunternehmen können weiterhin nur mit dem Entwurf arbeiten. Immerhin schlägt die Kommission im Übrigen nur redaktionelle Änderungen vor, die die Qualität des Rechtsakts verbessern sollen, ohne die Substanz des Akts zu beeinflussen. Die ESAs haben sechs Wochen Zeit, den Entwurf basierend auf den vorgeschlagenen Änderungen der Kommission zu überarbeiten und erneut einzureichen. Wenn die ESAs den Entwurf nicht innerhalb dieser Frist entsprechend den Vorschlägen der Kommission ändern oder keinen überarbeiteten Entwurf einreichen, kann die Kommission den RTS mit den von ihr vorgeschlagenen Änderungen annehmen oder ganz ablehnen. So gesehen steht fest, dass wohl bald mehr Rechtssicherheit herrschen wird. Bis dahin sollten die Finanzunternehmen den bestehenden Entwurf zugrunde legen und auf die Anforderungen in Artikel 5 des RTS verzichten.
Rechtsanwalt Anton Schröder
Newsletter abonnieren-
Book Launch Party für den Crypto Assets MiCAR Kommentar in Wien
Rechtsanwalt Lutz Auffenberg, LL.M. (London) auf der Book Launch Party zum Kommentarwerk „Crypto Assets“. -
Erneute Auszeichnung für Rechtsanwalt Lutz Auffenberg, LL.M. (London)
Das renommierte, auf die Bewertung und Empfehlung von Anwälten spezialisierte Onlineportal Lexology hat unseren Gründungspartner Rechtsanwalt Lutz Auffenberg, LL.M.(London) als einen der führenden Experten in Deutschland in seinen Lexology Index: Fintech & Blockchain (Vormals als Who’s Who Legal bekannt) aufgenommen. -
Rechtsanwältin Anja von Rosenstiel steuert Kapitel zum Handbuch MiCAR bei
Rechtsanwältin Anja von Rosenstiel, LL.M. (Boston University), M.A. (Viadrina) und of counsel bei FIN LAW hat im voraussichtlich im Februar 2025 erscheinenden Handbuch MiCAR, herausgegeben von Johannes Meier, eine rechtsvergleichende Betrachtung der MiCAR mit den US-Amerikanischen Regulierungen vorgenommen.
