DORA - Einige Einblicke in Vertragsklauseln in Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern

Am 27. Dezember 2022 wurde die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor ("DORA") im Amtsblatt der Europäischen Union veröffentlicht. Bird & Bird hat eine Reihe von Materialien zu DORA veröffentlicht, unter anderem diesen Überblick über DORA und seine Aspekte im Allgemeinen. Die wichtigste Errungenschaft von DORA ist, dass die Verordnung ein einheitliches europäisches Regelwerk für die Informations- und Kommunikationstechnologie ("IKT") schafft.

Der DORA ist am 16. Januar 2023 in Kraft getreten und ist ab dem 17. Januar 2025 anzuwenden. Das bedeutet, dass Unternehmen, die den Anforderungen des DORA unterliegen, weniger als ein halbes Jahr Zeit haben, um sich darauf vorzubereiten, die festgelegte Frist einzuhalten.

DORA wird direkt auf die in Artikel 2 (1) (a)-(t) von DORA aufgeführten Unternehmen des Finanzsektors angewandt, was fast alle Arten von Finanzunternehmen umfasst (Anwendungsebene eins). In Bezug auf IKT-Drittdienstleister ("IKT-Anbieter") gibt es zwei Möglichkeiten, wie DORA angewendet werden kann (Anwendungsebene zwei);

  • direkt in Bezug auf kritische IKT-Anbieter, wenn es um die Benennung und Beaufsichtigung dieser Anbieter gemäß DORA geht, und
  • indirekt für alle IKT-Anbieter, da die IKT-Anbieter ihre Organisation, die Erbringung der IKT-Dienstleistungen und die vertraglichen Vereinbarungen in Bezug auf diese Dienstleistungen an die Anforderungen der DORA anpassen müssen, wenn sie diese Dienstleistungen für Finanzunternehmen erbringen.

Dies bedeutet, dass sowohl die Finanzunternehmen als auch die IKT-Anbieter ihre Organisation und ihr Geschäftsgebaren in der einen oder anderen Weise an die Anforderungen des DORA anpassen müssen. Insbesondere wird DORA auf beiden Ebenen Maßnahmen zur Anpassung von Strategien, Prozessen, Verfahren und Instrumenten zur Verwaltung der Sicherheit (und Zuverlässigkeit) ihrer IKT-Systeme sowie des Inhalts und der allgemeinen Handhabung vertraglicher Vereinbarungen erfordern, sowohl zwischen Finanzunternehmen und IKT-Anbietern als auch zwischen IKT-Anbietern und ihren Unterauftragnehmern (sofern vom Finanzunternehmen gestattet). Dieser Artikel soll einen Einblick in einige Aspekte der vertraglichen Bestimmungen geben, die in die Vereinbarungen aufgenommen werden müssen, um den DORA zu erfüllen.

Wie geht man richtig damit um?

Artikel 28 enthält eine umfangreiche Liste allgemeiner Grundsätze für das Risikomanagement von IKT-Anbietern, einschließlich mehrerer Grundsätze für vertragliche Vereinbarungen. Darüber hinaus enthält Artikel 30 eine Liste der wichtigsten Vertragsbestimmungen, die in vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Anbietern enthalten sein müssen, damit die Finanzunternehmen die DORA-Vorschriften einhalten können, was bedeutet, dass die Finanzunternehmen zusätzliche Vertragsbestimmungen aufnehmen können, um die vertraglichen Vereinbarungen besser zu spezifizieren, solange die zusätzlichen Bestimmungen nicht im Widerspruch zu den in Artikel 30 genannten zentralen Bestimmungen stehen.

Im Folgenden geben wir einige Einblicke in diese Thematik.

Alleinige Verantwortung der Finanzinstitute für die Einhaltung von DORA

Die Finanzinstitute verwalten ihr IKT-Drittrisiko und bleiben jederzeit für die Einhaltung und Erfüllung aller Verpflichtungen im Rahmen der DORA verantwortlich. Die Bedeutung klarer und umfassender Vertragsklauseln in den Vereinbarungen ist ein Teil des Risikomanagements und sollte daher nicht unterschätzt werden. Dabei haben die Finanzunternehmen sicherzustellen, dass alle Aspekte der Erbringung von IKT-Dienstleistungen unter Berücksichtigung des Umfangs und der Kritikalität oder Bedeutung der IKT-Dienstleistung sowie der allgemeinen Risikobewertung und der Sorgfaltspflicht des IKT-Anbieters, die jedes Finanzunternehmen vor der Beauftragung durchgeführt haben muss, gründlich geregelt sind. 

Es ist nicht ungewöhnlich, dass Finanzinstitute von technischen Anbietern, einschließlich IKT-Anbietern, Mustervereinbarungen erhalten, die sie entweder annehmen oder ablehnen können. Es ist wichtig zu bedenken, dass die Grundlage für die Entscheidung, ob eine solche Vereinbarung in Bezug auf die Risiken, die sich aus jeder einzelnen Beziehung mit einem IKT-Anbieter und der von ihm erbrachten Dienstleistung, einschließlich der beteiligten Unterauftragnehmer, ergeben, ausreichend ist, immer die eigene Risikobewertung des Finanzinstituts ist, und ob diese spezielle Mustervereinbarung demnach akzeptiert werden kann. Die Verpflichtung zur Einhaltung der Vorschriften liegt immer auf der Seite des Finanzinstituts. 

Klarheit der vertraglichen Vereinbarungen

Die Rechte und Pflichten sind in der vertraglichen Vereinbarung eindeutig und schriftlich zuzuordnen. Die zu erbringenden Funktionen und IKT-Dienstleistungen sind klar zu beschreiben. Gegebenenfalls sind Dienstgütevereinbarungen einschließlich Dienstgütebeschreibungen und deren Überarbeitungen in die Vereinbarungen aufzunehmen.

Der Grad der Detailliertheit muss der Art und Komplexität der vom IKT-Anbieter erbrachten Dienstleistung entsprechen. Eine Vereinbarung muss eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen enthalten, die vom IKT-Anbieter zu erbringen sind, einschließlich der Angabe, ob und unter welchen Bedingungen die Untervergabe von Aufträgen zulässig ist (siehe unten mehr zur Vergabe von Unteraufträgen).

Bei vertraglichen Vereinbarungen mit IKT-Anbietern, die kritische oder wichtige Funktionen wahrnehmen, müssen die Bestimmungen zusätzlich zu den oben genannten genauere Beschreibungen aller relevanten Aspekte enthalten, einschließlich der Klauseln, die es den Finanzinstituten ermöglichen, Korrekturmaßnahmen zu ergreifen, wenn die Leistungsanforderungen nicht erfüllt werden.

DORA verlangt, dass die Vereinbarung in einem schriftlichen Dokument enthalten ist und beiden Parteien auf Papier oder in einem Dokument mit einem anderen herunterladbaren, dauerhaften und zugänglichen Format zur Verfügung steht.

Verhältnismäßigkeit

Der DORA ermöglicht eine Bewertung der Verhältnismäßigkeit der durchgeführten Maßnahmen auf der Grundlage der Art, des Umfangs, der Komplexität der IKT-bezogenen Abhängigkeiten und des Risikos, das sich aus den vertraglichen Beziehungen mit den IKT-Anbietern ergibt, wobei auch die Kritikalität und Bedeutung der jeweiligen Dienstleistung, des Prozesses oder der Funktion sowie die potenziellen Auswirkungen der IKT-Dienstleistung auf die Kontinuität und Verfügbarkeit von Finanzdienstleistungen und -tätigkeiten berücksichtigt werden. In Bezug auf die vertraglichen Vereinbarungen bedeutet dies, dass komplexere und/oder umfangreichere IKT-Dienstleistungen ein höheres Maß an Details erfordern, die in den Vereinbarungen geregelt werden. Der DORA enthält eine Liste der wichtigsten Vertragsbestimmungen, die die Finanzunternehmen in die vertraglichen Vereinbarungen mit den IKT-Anbietern aufnehmen müssen. Die Liste ist in zwei Teile gegliedert: Vertragsklauseln in Artikel 30.2, die als Grundlage dienen, und zusätzliche Anforderungen an Vertragsklauseln, die kritische und wichtige Funktionen unterstützen, in Artikel 30.3, der bereits hier die Anwendung des Grundsatzes der Verhältnismäßigkeit in Abhängigkeit von der Art der zu erbringenden IKT-Dienstleistung vorsieht.

Angemessene Sicherheitsstandards

Grundsätzlich können Finanzinstitute vertragliche Vereinbarungen mit IKT-Anbietern treffen, die geeignete Informationssicherheitsstandards einhalten. Im Falle von IKT-Anbietern, die kritische oder wichtige Funktionen betreffen, besteht die Anforderung, "die aktuellsten und höchsten Qualitätsstandards für die Informationssicherheit" zu verwenden. In einem ersten Schritt müssen die Finanzinstitute daher unbedingt feststellen, ob die Dienstleistung eine kritische oder wichtige Funktion betrifft, und dann interne Beteiligte einbeziehen, die über das Wissen und die Erfahrung verfügen, um angemessen zu beurteilen, welcher Sicherheitsstandard in jedem einzelnen Fall akzeptabel ist, um zu bestimmen, welcher Sicherheitsstandard in jedem einzelnen Fall angemessen ist.

In Anbetracht der Bedeutung der Anwendung des richtigen Sicherheitsstandards ist es ferner wichtig, eine Zusicherung aufzunehmen, dass der IKT-Anbieter den erforderlichen Sicherheitsstandard oder die Zertifizierung im Rahmen der Vereinbarung beibehält, sowie die Bedingungen für den Fall, dass der IKT-Anbieter diesen nicht einhalten kann oder die durchgeführten Audits zu Bemerkungen führen, und den Zeitrahmen für die Behebung der Probleme sowie die Ausstiegsstrategie, die in einem solchen Fall Anwendung finden könnte.

Sicherstellung von Zugangs-, Inspektions- und Auditrechten

Die Finanzunternehmen sorgen für vertragliche Vereinbarungen über Zugangs-, Inspektions- und Prüfungsrechte gegenüber dem IKT-Anbieter, einschließlich der Häufigkeit dieser Rechte, der zu prüfenden Bereiche und der Prüfungsstandards. Eine umfassende Zusammenarbeit mit den zuständigen Behörden oder Abwicklungsbehörden ist erforderlich, was bedeutet, dass diese Rechte in der Vereinbarung eingeräumt werden müssen. Die Anforderungen ähneln den bereits bestehenden Anforderungen an das Outsourcing, auch wenn sie in DORA noch etwas weiter gehen.

DORA schreibt vor, dass zu überprüfen ist, ob die Wirtschaftsprüfer oder der Pool von Wirtschaftsprüfern, die mit der Durchführung von Prüfungen in Bezug auf IKT-Dienstleistungen von hoher technischer Komplexität beauftragt werden, über angemessene Fähigkeiten und Kenntnisse verfügen, um die Prüfungen oder Bewertungen effektiv durchzuführen. Das bedeutet, dass die Finanzunternehmen in solchen Fällen nicht nur in der Lage sein müssen, sich ein klares Bild von den eigenen Risiken zu machen, sondern auch Klarheit über die Risiken haben müssen, die auf Seiten des IKT-Anbieters entstehen können, und dass die Prüfer über ausreichende Kenntnisse verfügen, um diese Risiken und die Folgen, die sie für die Erbringung von IKT-Dienstleistungen und damit für die Verpflichtungen der Finanzunternehmen gemäß DORA haben können, zu verstehen. Dies stellt eine recht umfassende Verpflichtung für die Finanzunternehmen dar, insbesondere für die kleinen und mittleren. Einige Ausnahmen wurden für Finanzunternehmen eingeführt, die als Kleinstunternehmen gelten oder dem vereinfachten IKT-Risikomanagementrahmen nach DORA unterliegen. Wie dies zu handhaben ist, wird von der jeweiligen Situation abhängen, aber wir hoffen, dass es bald bestimmte Branchenstandards geben wird.

Eine Reihe von Regulierungsbehörden in ganz Europa hat bereits ihre Absicht bekundet, die Aufsicht darüber zu verstärken, wie gut Finanzunternehmen mit der Cybersicherheit und ihren IKT-Dienstleistern umgehen. Wir können daher mit einer Zunahme der Aufsichtstätigkeiten rechnen, was bedeutet, dass sowohl die Finanzunternehmen als auch die IKT-Anbieter darauf vorbereitet sein müssen und somit in diesem Bereich alle Hände voll zu tun haben. Es ist daher wichtig, alles, was damit zusammenhängt, im Detail zu regeln. Wir sind der Meinung, dass dieser Teil speziell von den Finanzunternehmen und den IKT-Anbietern diskutiert werden sollte, um eine geeignete Lösung für beide Teile zu finden.

Kündigungsrechte und Ausstiegsstrategien

Finanzunternehmen müssen sicherstellen, dass sie vertragliche Vereinbarungen kündigen können, was natürlich gängige Praxis ist. DORA geht jedoch noch ein wenig weiter und enthält eine Liste von Situationen, in denen eine Kündigung erforderlich ist;

  1. bei erheblichem Verstoß gegen geltende Gesetze, Vorschriften und Vertragsbedingungen, 
  2. wenn Umstände vorliegen, die eine Änderung der Aufgabenerfüllung möglich machen, oder wenn es anderweitig wesentliche Änderungen gibt, die die Vereinbarung oder die Situation des IKT-Anbieters beeinflussen,
  3. wenn der IKT-Anbieter Schwächen in Bezug auf sein gesamtes IKT-Risikomanagement und insbesondere auf die Gewährleistung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten nachgewiesen hat,
  4. wenn eine wirksame Beaufsichtigung des Finanzunternehmens durch die zuständige Behörde aufgrund der Bedingungen oder Umstände im Zusammenhang mit der jeweiligen vertraglichen Vereinbarung nicht mehr möglich ist.

Die Kündigungsrechte und die Umstände, unter denen sie gelten, sind klar zu definieren, einschließlich der Mindestkündigungsfristen für die Kündigung. Die DORA verlangt auch, dass diese in Übereinstimmung mit den Erwartungen der zuständigen Behörden und der Beschlussorgane definiert werden. Aus Gründen der Klarheit ist es wichtig, Details zu definieren, z. B. was einen wesentlichen Verstoß in einer bestimmten vertraglichen Vereinbarung darstellt (was in hohem Maße von der gesamten IKT-Risikolandschaft in jedem Finanzunternehmen und auch vom Umfang und der Komplexität jeder IKT-Dienstleistung abhängt). Darüber hinaus ist es äußerst wichtig, für andere Fälle klar anzugeben, wo das Kündigungsrecht auf den Vertrag Anwendung findet. 

Wenn Finanzunternehmen Vereinbarungen in Bezug auf kritische oder wichtige Funktionen treffen, müssen sie außerdem eine Ausstiegsstrategie festlegen, die dem damit verbundenen Risiko Rechnung trägt. Auch in diesem Fall muss die Ausstiegsstrategie hinreichend detailliert sein und zumindest Vertragsklauseln enthalten, die Anforderungen an die Minimierung der Unterbrechung der Tätigkeiten des Finanzunternehmens enthalten, was ohne Umgehung oder Einschränkung der Compliance-Anforderungen und ohne Beeinträchtigung der Kontinuität und Qualität der für die Kunden des Finanzunternehmens erbrachten Dienstleistungen erreicht werden muss. Es liegt auf der Hand, dass dies nur erreicht werden kann, wenn ein ausreichendes Maß an Unterstützung seitens des IKT-Anbieters gewährleistet ist, weshalb es von entscheidender Bedeutung ist, das erforderliche Maß an Zusammenarbeit zu vereinbaren, einschließlich der Haftung, die sich aus der Nichtzusammenarbeit ergeben kann.

Die Ausstiegsstrategien müssen ferner Bestimmungen darüber enthalten, wie die Daten im Falle einer Kündigung und eines Ausstiegs zu behandeln sind, und zwar sowohl während des Ausstiegsprozesses als auch nach dem Ausstieg. Im Folgenden geben wir einige Einblicke in den Umgang mit Daten.

IKT-Unterauftragnehmer

Die Erbringung von IKT-Dienstleistungen für Finanzunternehmen hängt in vielen, wenn nicht sogar fast allen Fällen von einer potentiell langen und komplexen Kette der Unterauftragsvergabe ab, in der IKT-Anbieter auf eine Reihe von Unterauftragsvereinbarungen mit anderen IKT-Anbietern zurückgreifen können. Die Abhängigkeit von IKT-Anbietern und deren IKT-Unterauftragsnehmern kann sich auf die Fähigkeit des Finanzunternehmens auswirken, operationelle Risiken zu erkennen, zu bewerten und zu steuern, einschließlich der Risiken, die mit dem Mangel an Informationen seitens der IKT-Anbieter und den begrenzten Möglichkeiten, Informationen von den IKT- Unterauftragsnehmern zu erhalten, verbunden sind - und auch diese Tatsache verringert nicht die Verantwortung der Finanzunternehmen. Das Konzept „Kenne deinen Subunternehmer“ ist nicht neu, aber auch hier bieten die DORA und die technischen Regulierungsstandards, die in Artikel 30.5 vorgeschrieben sind, eine Reihe von detaillierten Anforderungen, die weiter gehen, als wir es bisher gesehen haben. Diese Anforderungen gelten zwar für Finanzinstitute, werden aber enorme Auswirkungen auf IKT-Anbieter und ihre Unterauftragnehmer haben, da sie viele Anpassungen vornehmen müssen, sowohl operativ als auch vertraglich.

Der DORA verlangt eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die vom IKT-Anbieter zu erbringen sind, wobei anzugeben ist, ob die Untervergabe einer IKT-Dienstleistung, die eine kritische oder wichtige Funktion oder wesentliche Teile davon unterstützt, zulässig ist und welche Bedingungen für eine solche Untervergabe gelten. Wenn die Erbringung von IKT-Dienstleistungen für Finanzunternehmen von einer potenziell langen oder komplexen IKT-Untervertragskette abhängt, an der mehrere Unterauftragnehmer beteiligt sein können, von denen jeder einen Teil der IKT-Dienstleistung erbringt, die eine kritische oder wichtige Funktion unterstützt, müssen die Finanzunternehmen die gesamte Untervertragskette der IKT-Anbieter überwachen, um alle Unterauftragnehmer zu ermitteln und zu überwachen, die die IKT-Dienstleistung, die kritische oder wichtige Funktionen unterstützt, tatsächlich erbringen.

Finanzunternehmen, die für die Einhaltung umfassender Anforderungen verantwortlich sind, müssen sicherstellen, dass sie einen klaren und ganzheitlichen Überblick über die mit der Vergabe von Unteraufträgen verbundenen Risiken haben und in der Lage sind, die Risiken, die sich auf die Erbringung der an Unterauftragnehmer vergebenen IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, auswirken können, angemessen zu überwachen, zu steuern und zu mindern. Die Finanzunternehmen sollten direkt oder indirekt über ihre IKT-Anbieter über geeignete Verfahren verfügen, um die einschlägigen Risiken, die sich auf die Erbringung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, auswirken können, im Einklang mit ihren vertraglichen Vereinbarungen mit IKT-Anbietern zu behandeln. Um die Risiken zu ermitteln, müssen die Finanzinstitute eine Bewertung verschiedener Parameter vornehmen, die in Artikel 3 des RTS-Entwurfs als Mindestanforderung festgelegt sind, unter anderem, ob der IKT-Anbieter Verfahren zur Prüfung der Sorgfaltspflicht seiner Unterauftragnehmer eingeführt hat, ob der IKT-Anbieter in der Lage ist, das Finanzinstitut in die Entscheidungsfindung in Bezug auf die Unterauftragnehmer einzubeziehen, ob die einschlägigen Klauseln in der vertraglichen Vereinbarung zwischen dem Finanzinstitut und dem IKT-Provider gegebenenfalls in die vertraglichen Vereinbarungen zwischen dem IKT-Provider und seinem Unterauftragnehmer übernommen werden, ob der IKT-Provider selbst über angemessene Fähigkeiten, Fachkenntnisse, finanzielle, personelle und technische Ressourcen verfügt, angemessene Informationssicherheitsstandards anwendet und über eine geeignete Organisationsstruktur, einschließlich Risikomanagement und interner Kontrollen, Berichterstattung über Vorfälle und Reaktionen darauf, zur Überwachung seiner Unterauftragnehmer verfügt usw. Darüber hinaus legt Artikel 4 des RTS-Entwurfs die Bedingungen fest, unter denen IKT-Dienstleistungen, die eine kritische oder wichtige Funktion unterstützen, an Unterauftragnehmer vergeben werden können.

All dies erfordert, dass die vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Anbietern die Anforderungen in einer für jedes Finanzunternehmen angemessenen Weise widerspiegeln, die auf den ermittelten Risiken und der Sorgfaltspflicht des IKT-Anbieters beruht.

Umgang mit Daten

Der Umgang mit personenbezogenen und nicht personenbezogenen Daten ist nach wie vor einer der wichtigsten Aspekte bei der Inanspruchnahme von IKT-Anbietern. Ebenso legt DORA einige Anforderungen für den Umgang mit Daten fest, z. B. für die Festlegung der Standorte, an denen die beauftragten und unterbeauftragten IKT-Dienstleistungen erbracht werden und an denen sich die Daten befinden, sowie für die Meldepflicht bei einer Änderung des Standorts, für die Festlegung von Bestimmungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Schutz personenbezogener und nicht personenbezogener Daten, für Bestimmungen, die den Zugang, die Wiederherstellung und die Rückgabe von Daten im Falle der Insolvenz, der Auflösung oder der Einstellung des Geschäftsbetriebs des IKT-Anbieters oder im Falle der Beendigung der Vereinbarung gewährleisten. Die Anforderungen sind ausdrücklich in Artikel 30.2 aufgeführt und stehen im Einklang mit der EU-Datenschutzgrundverordnung (EU) 2016/679 (GDPR).

Wie geht es weiter?

Es bleiben weniger als sechs Monate, bis DORA zur Anwendung kommt. Wenn Sie ein Finanzunternehmen sind, haben Sie hoffentlich bereits Ihre DORA-Gapanalyse durchgeführt und können nun zur Behandlung der Lücken übergehen, wozu auch der Umgang mit dem Risiko von IKT-Anbietern und vertraglichen Vereinbarungen mit diesen gehört. Konzentrieren Sie sich darauf, die Verträge abzubilden und festzustellen, welche Verträge eine kritische oder wichtige Funktion unterstützen, und überprüfen Sie anschließend die Verträge, um festzustellen, was gemäß den DORA-Anforderungen angepasst werden muss.

Wenn Sie ein IKT-Anbieter sind, sollten Sie nicht unterschätzen, wie umfangreich diese Arbeit sein kann. Sie müssen sich darüber klar werden, welche Art von Kunden Sie haben, und auf dieser Grundlage Ihre Vereinbarungen und Betriebsabläufe intern anpassen, um die Anforderungen zu erfüllen, die ab dem 17. Januar 2025 gelten werden, wenn DORA in Kraft tritt, sowie Ihre Verfahren und Vereinbarungen mit Ihren Unterauftragnehmern.

Latest insights

More Insights

BaFin aktualisiert Rundschreiben zur Überwachung und Governance von Bankprodukten im Privatkundengeschäft – Anwendung auf ZAG-Institute

Oct 01 2024

Read More

CSRD Q&A: Die Kommission beleuchtet mit der Veröffentlichung neuer FAQs die CSRD

Sep 23 2024

Read More

BaFin konsultiert neue Auslegungs- und Anwendungshinweise zum Geldwäschegesetz – Was bedeutet dies für Anbieter von Krypto-Dienstleistungen?

Aug 19 2024

Read More