Ab dem 17. Januar 2025 sind Unternehmen verpflichtet, die neuen Anforderungen zu erfüllen, die mit DORA eingeführt werden. Diese Verordnung adressiert gezielt die Herausforderungen der digitalen Transformation und der zunehmenden Vernetzung in der Finanzbranche. In diesem Kontext zielt DORA darauf ab, Risiken wie Cyberattacken und Betriebsstörungen zu minimieren. Finanzunternehmen und ihre IKT-Dienstleister müssen umfassende Maßnahmen ergreifen, um ihre digitale Resilienz zu verbessern und dadurch die Sicherheit und Stabilität der gesamten Branche zu fördern. DORA ist dabei ein überaus komplexes Regelwerk. Die Regulierung umfasst 64 Artikel, die durch eine Reihe von Regulatory Technical Standards (sogenannte RTS) ergänzt werden. Durch die RTS sollen einheitliche Standards in der gesamten EU geschaffen werden, sodass alle betroffenen Finanzunternehmen unionsweit die gleichen Anforderungen erfüllen müssen. Die RTS spezifizieren und präzisieren die allgemeinen Vorgaben von DORA. Sie werden gemeinsam von den zuständigen europäischen Aufsichtsbehörden EBA, EIOPA und ESMA erarbeitet, die zusammen als European Supervisory Authorities (ESA) bezeichnet werden. Auch nachdem nun viele dieser RTS veröffentlicht wurden oder als Entwurf vorliegen, wirft DORA noch einige Auslegungsfragen auf. Dies ist besonders prekär, da die Zeit bis zum Inkrafttreten der DORA immer kürzer wird und sich die betroffenen Unternehmen auf die Regulierung vorbereiten müssen. Eine dieser Fragen betrifft die Anwendbarkeit von DORA auf ein Finanzunternehmen, das Dienstleistungen für ein anderes Finanzunternehmen erbringt. Wann ist hier von einer IKT-Dienstleistung auszugehen, die das leistende Finanzunternehmen zu einem IKT-Drittdienstleister im Sinne von DORA macht? Müssen nun auch zwischen zwei bereits aufsichtsrechtlich regulierten Unternehmen zusätzlich die Anforderungen von DORA eingehalten werden? Diese Frage hat erhebliche Konsequenzen, da die Einordnung eines Finanzunternehmens als IKT-Drittdienstleister unter anderem weitreichende Folgen für die Vertragsbeziehung zwischen dem IKT-Drittdienstleister-Finanzunternehmen und dem auftraggebenden Finanzunternehmen hätte.

Unklare Vorgaben in der DORA zum Begriff IKT-Drittdienstleister

Die DORA definiert IKT-Drittdienstleister als Unternehmen, die IKT-Dienstleistungen bereitstellen. In Erwägungsgrund 63 heißt es darüber hinaus, dass Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne der Verordnung gelten sollen. Somit steht fest, dass Finanzunternehmen grundsätzlich auch IKT-Drittdienstleister sein können, wenn sie IKT-Dienstleistungen für andere Finanzunternehmen erbringen. IKT-Drittdienstleistungen sind nach der DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Diese Definition ist, wie vom Verordnungsgeber beabsichtigt, sehr weit gefasst. Dies wird in Erwägungsgrund 35 der DORA klargestellt, in dem betont wird, dass auf alle Risiken eingegangen werden soll, die sich aus sämtlichen Arten von IKT-Dienstleistungen ergeben. Zu diesem Zweck soll die Definition von IKT-Dienstleistungen im Zusammenhang mit DORA weit ausgelegt werden und digitale Dienste sowie Datendienste umfassen, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern fortlaufend bereitgestellt werden. Weiter werden in Erwägungsgrund 79 Beispiele für IKT-Dienstleistungen als die Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen genannt. Angenommen, ein nach MiFID II oder MICAR reguliertes Finanzunternehmen erbringt eine regulierte Finanzdienstleistung gegenüber einem anderen Finanzunternehmen und stellt diesem die Finanzdienstleistung dauerhaft und digital zur Verfügung, wirft dies die Frage auf, ob zusätzlich zu den für die Finanzdienstleistung bereits bestehenden Anforderungen auch die Anforderungen der DORA eingehalten werden müssten. Die Definition ließe eine solche Sichtweise ohne weiteres zu, was einen erhöhten bürokratischen Aufwand und zusätzliche Kosten für Finanzunternehmen bedeuten würde – alles zum Wohle der digitalen operativen Resilienz des Finanzmarktes. Ob jedoch klassische Finanzdienstleistungen, nur weil sie digital durchgeführt werden, automatisch zu einer Einordnung als IKT-Drittdienstleister führen müssen, bleibt fraglich.

Praxis fordert verbindliche Klarstellung

In ihren FAQ im Rahmen des „DORA 2024 Dry Run Exercise on Reporting of Registers of Information“ äußern sich die ESAs zur Auslegung von IKT-Dienstleistungen dahingehend, dass, wenn ein Finanzunternehmen für die Erbringung einer Dienstleistung eine Zulassung, Lizenz oder Registrierung als Finanzunternehmen benötigt, es sich bei dieser Dienstleistung um eine regulierte Finanzdienstleistung und nicht um eine IKT-Dienstleistung im Sinne der DORA handelt. Diese Auslegung würde es ermöglichen, reine Finanzdienstleistungen, die nicht klassische Cloud-Computing-Dienste, Softwarelösungen oder datenbezogene Dienstleistungen sind, aus dem Anwendungsbereich der DORA herauszunehmen. Am 1. Oktober 2024 haben zu diesem Thema die Handels- und Interessenverbände FIA, AFME, EACH, ECSDA und FESE eine gemeinsame Stellungnahme abgegeben, in der sie die ESAs auffordern, an der Auffassung aus dem Dry Run für die kommende DORA festzuhalten und so schnell wie möglich verbindlich festzustellen, dass Finanzdienstleistungen für die Zwecke der DORA nicht als IKT-Dienstleistungen behandelt werden sollten. Zudem fordern sie die Klarzustellung, dass regulierte Finanzdienstleistungen alle Dienstleistungen und Tätigkeiten umfassen, die der Aufsicht einer Finanzdienstleistungsregulierungsbehörde unterliegen, einschließlich aller Nebendienstleistungen oder delegierten Dienstleistungen. Diese Aufforderung ist zu begrüßen. Eine Klarstellung ist dringend notwendig, um Rechtssicherheit bei der Umsetzung der DORA zu schaffen. Regulierte Finanzunternehmen unterliegen bezüglich ihrer beaufsichtigten Geschäftstätigkeit bereits weitreichenden Pflichten und werden akribisch beaufsichtigt. Eine darüber hinausgehende Anwendung der DORA würde zusätzlichen Aufwand bedeuten, der nur einen unwesentlichen Mehrwert im Hinblick auf die Finanzmarktsicherheit brächte. Es bleibt jedoch abzuwarten, wie sich die ESAs positionieren werden.

Rechtsanwalt Anton Schröder

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London). Er wird unterstützt von Rechtsanwalt Anton Schröder.