Banken und Versicherungen müssen bis zum 17. Januar 2025 ihre digitale operationale Resilienz an die Vorgaben des „Digital Operational Resilience Act“ (kurz DORA) anpassen. Die Umsetzung dieser Pflichten ist für die meisten verpflichteten Unternehmen eine Mamut-Aufgabe. Aber auch IT-Dienstleister, die ihre Leistungen gegenüber Banken oder Versicherungen erbringen, sollten sich frühzeitig mit den Anforderungen des DORA vertraut machen. Insbesondere die Ausgestaltung von Verträgen zur Erbringung von IT-Dienstleistungen müssen künftig bestimmte DORA-spezifische Regelungen enthalten. Der nachfolgende Beitrag soll einen ersten Überblick verschaffen, wann sich IT-Dienstleister näher mit den Vorgaben von DORA befassen sollten, wobei der Schwerpunkt auf den vertragsrechtlichen Auswirkungen von DORA liegt.
Fallen IT-Dienstleister in den Anwendungsbereich von DORA?
Zwar richten sich die Pflichten aus DORA primäre unmittelbar nur an die in Art. 2 Abs. 1 DORA aufgelisteten Unternehmen, wie zum Beispiel:
- Kreditinstitute;
- Versicherungs- und Rückversicherungsunternehmen;
- Versicherungsvermittler;
- Einrichtungen der betrieblichen Altersvorsorge.
Die Pflichten der genannten Unternehmen wirken sich aber auch auf IT-Dienstleister aus, die ihre Leistungen an verpflichtete Unternehmen erbringen. IT-Dienstleister werden in DORA allerdings als IKT-Drittdienstleister bezeichnet und in Art. 3 Nr. 19 DORA definiert als
„ein Unternehmen, das IKT-Dienstleistungen bereitstellt“
Ob man also etwas mit DORA zu tun hat, hängt maßgeblich davon ab, ob man einen IKT-Dienst im Sinne von DORA erbringt. Auch dieser Begriff wird in DORA ausdrücklich definiert, und zwar in Art. 3 Nr. 21 DORA als
„digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;“
Wer also IT-Dienstleistungen gegenüber zum Beispiel Banken oder Versicherungen erbringt, muss sich die Frage stellen, ob sein Unternehmen als IKT-Drittdienstleister anzusehen ist, weil es IKT-Dienstleistungen im Sinne von Art. 3 Nr. 21 DORA erbringt. Die Beantwortung dieser Frage ist auch nicht ganz unbedeutend, denn die Anbindung von IKT-Drittdienstleistern ist mit besonderen Pflichten verbunden, die sich direkt auf die IKT-Drittdienstleister auswirken (hierzu sogleich).
Die Beantwortung dieser Frage ist allerdings nicht immer leicht, da die gesetzliche Definition vom Wortlaut her sehr weit gefasst ist und man sich dennoch nicht selten die Frage stellt, ob die eigene Dienstleistung vom angedachten Zweck in den Anwendungsbereich fallen soll. Überwiegend wird jedoch von einem weiten Verständnis des Begriffs IKT-Dienstleistung ausgegangen, um dem Zweck der Verordnung bestmöglich erreichen zu können (in diese Richtung z.B. Merwald, RDi 2024, 590; Bernau/Lutterbach, BKR 2023, 506).
Reichweite des Anwendungsbereichs von DORA derzeit noch unklar
Aufgrund des weiten Wortlautes besteht derzeit noch keine Klarheit darüber, ob der sachliche Anwendungsbereich bereits auf der Ebene der Begriffsbestimmung ein wenig eingeschränkt werden kann bzw. sollte.
So wird vorgeschlagen, solche IKT-Dienstleistungen in Konstellationen aus dem Anwendungsbereich zu nehmen, bei denen die IKT-Dienstleistung nur eine untergeordnete Rolle spielt bzw. eine Beistellpflicht darstellt (Bernau/Lutterbach, BKR 2023, 506). Danach solle nicht bereits jeder Bezug von IKT-Dienstleistungen einen Dienstleistungsvertrag als IKT-Dienstleistung infizieren.
Dagegen spricht zunächst der Wortlaut (Merwald, RDi 2024, 590). Um diesen weiten Anwendungsbereich auf der Ebene der Umsetzung bzw. Einhaltung der Pflichten ein wenig zu korrigieren, sieht Art. 4 DORA zudem die Anwendung des Proportionalitätsprinzips vor (Clausmeier, WM 2022, 1861).
Was sagt die BaFin zum Begriff „IKT-Dienst“?
Um sicherzustellen, ob man als IT-Dienstleister mittelbar in den Anwendungsbereich von DORA fällt, sollte man sich mit dieser Frage einmal auseinandersetzen. Ein wenig Orientierung können hierbei erste Verlautbarungen der BaFin bieten, wobei ein ausführlicher FAQ zwar angekündigt, aber noch nicht veröffentlicht wurde. In ihrer Information zum „Management des IKT-Drittparteienrisikos“ vom 4. September 2024 geben die dort veröffentlichten FAQ einen Eindruck darüber, wie weit die BaFin derzeit den Begriff des IKT-Drittdienstleisters versteht.
So heißt die Antwort auf die Frage „Kann pauschal davon ausgegangen werden, dass jeder sonstige Fremdbezug von IT-Dienstleistungen auch eine IKT-Dienstleistung ist?“
„Ja, davon kann grundsätzlich ausgegangen werden“.
Reine Softwarelizenzen oder der reine Kauf von Hardware stellen laut BaFin noch keinen IKT-Drittdienst dar; bei Software wenn es lediglich um die Einräumung von Nutzungsrechten geht. Wird hingegen Wartung und/oder Support mit eingekauft, liegt in beiden Fällen ein IKT-Dienst im Sinne von DORA vor. Reine Software-as-a-Service-Leistungen stellen bei einem dauerhaften Bezug nach der BaFin stets einen IKT-Dienst im Sinne von Art. 3 Nr. 21 DORA dar.
Bereits diese wenigen Beispiele zeigen, dass auch die BaFin derzeit tendenziell von einem weiten Begriffsverständnis ausgeht.
Wie wirkt sich die Einordnung als IKT-Drittdienstleister auf die Vertragsgestaltung aus?
Mit der Einordnung als IKT-Drittdienstleister geht dann bei der vertraglichen Anbindung dieses Dienstleisters die Pflicht einher, bestimmte vertragsrechtliche Anforderungen umzusetzen. Dies sind insbesondere:
- Besondere Kündigungsrechte, Art. 28 Abs. 7 DORA, z.B.
- bei einem erheblichen Verstoß des IKT-Drittdienstleisters gegen geltende Gesetze, sonstige Vorschriften oder Vertragsbedingungen;
- bei nachweislichen Schwächen des IKT-Drittdienstleisters in Bezug auf sein allgemeines IKT-Risikomanagements.
- Einhaltung einer besonderen Form, Art. 30 Abs. 1 DORA („Der vollständige Vertrag umfasst die Vereinbarung über die Dienstleistungsgüte und wird in einem schriftlichen Dokument, das den Parteien in Papierform zur Verfügung steht, oder in einem Dokument in einem anderen herunterladbaren, dauerhaften und zugänglichen Format dokumentiert“);
- Mindestvertragsinhalte für sämtliche IKT-Drittdienstleister nach Art. 30 Abs. 2 DORA, z.B.
- Eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen;
- Standort der Leistungserbringung;
- Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz;
- Bestimmungen über die Sicherstellung des Zugangs zu personenbezogenen und nicht personenbezogenen Daten;
- Beschreibung der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen;
- Verpflichtung des IKT-Drittdienstleisters, dem Finanzunternehmen bei einem IKT-Vorfall, der mit dem für das Finanzunternehmen bereitgestellten IKT-Dienst in Verbindung steht, ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten Unterstützung zu leisten;
- Verpflichtung des IKT-Drittdienstleisters, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden zusammenzuarbeiten;
- Mindestvertragsinhalte für vertragliche Vereinbarungen zur Unterstützung kritischer oder wichtiger Funktionen, Art. 30 Abs. 3 DORA
- vollständige Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte;
- Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen;
- Anforderungen an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten;
- die Verpflichtung des IKT-Drittdienstleisters, sich an TLPT des Finanzunternehmens zu beteiligen und uneingeschränkt daran mitzuwirken;
- das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen;
- Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraum.
Worauf müssen IT-Dienstleister bei bestehenden aber auch neuen Verträgen jetzt achten?
Bei bereits bestehenden Dauerschuldverhältnissen, die auch über den Stichtag des 17. Januar 2025 Bestand haben sollen, wird es aufgrund dieser Anforderungen an die Inhalte eines Vertrages erforderlich sein, die bestehenden Verträge nachzuverhandeln und um die Mindestvertragsinhalte zu ergänzen. Wenn nicht bereits geschehen, werden Finanzunternehmen ihre IT-Dienstleister sukzessive um Nachverhandlung bestehender Verträge bitten. Alternativ können IT-Dienstleister aber auch proaktiv den Weg nach vorne suchen, und Finanzunternehmen mit einem eigenen Klauselwerk, welches sich an den Anforderungen aus Art. 30 DORA orientiert, ansprechen, um zeitnah die gesetzlichen Anforderungen zu erfüllen und vertragliche Lücken zu schließen. Die BaFin hat auf ihrer Seite eine Übersicht mit den Mindestvertragsinhalten veröffentlicht, die als Orientierung zur Erstellung eines eigenen Vertragswerkes dienen kann. Da DORA für die Anpassung bestehender Verträge keine Übergangsvorschrift vorsieht, müssen sämtliche Vertragswerke grundsätzlich bis zum 17. Januar 2025 den neuen Anforderungen entsprechen.
Welche Fragen sollten sich IT-Dienstleister im Zusammenhang mit DORA also bereits jetzt aber auch künftig stellen:
- Erbringen wir unsere Leistungen gegenüber ein Finanzunternehmen im Sinne der DORA?
- Stellen unsere Leistungen IKT-Dienstleistungen im Sinne von Art. 3 Nr. 21 DORA dar?
- Sehen unsere Standardverträge die Mindestinhalte aus Art. 30 DORA vor?
- Können wir die Sicherheitsstandards erfüllen, welche von DORA vorausgesetzt werden?
Mehr zu unseren Leistungen im IT- und Datenschutzrecht finden Sie hier:
Gerne bringen wir Ihnen im Rahmen eines unverbindlichen Erstgesprächs die Rechtslage näher und unterstützen Sie dabei, Rechtsklarheit zu gewinnen. Kontaktieren Sie uns jederzeit für ein Kennenlerngespräch.