Vertragliche Verpflichtungen auf Basis des DORA

Vertragliche Verpflichtungen im Rahmen der DORA: Ein Überblick

Die Digital Operational Resilience Act (DORA) stellt hohe Anforderungen an die Nutzung von IKT-Drittdienstleistern durch Finanzunternehmen. Ziel ist es, die digitale betriebliche Widerstandsfähigkeit und die Sicherheit der IT-Infrastruktur zu stärken. Dieser Artikel beleuchtet die vertraglichen Verpflichtungen, die im Zuge der Zusammenarbeit mit IKT-Drittdienstleistern zu beachten sind, sowie die wesentlichen vorvertraglichen und vertraglichen Anforderungen gemäß DORA.

Vorvertragliche Verpflichtungen

Gemäß Art. 28 Abs. 4 DORA müssen Finanzunternehmen bereits vor Vertragsabschluss sicherstellen, dass die aufsichtsrechtlichen Voraussetzungen für die Beauftragung eines IKT-Drittdienstleisters erfüllt sind. Dies erfolgt durch eine gründliche Due Diligence Prüfung, die insbesondere die folgenden Aspekte umfasst:

• Reputation: Bewertung des Ansehens des Dienstleisters auf dem Markt.
• Fähigkeiten: Nachweis der technischen und operativen Kompetenz.
• Ressourcen: Prüfung der finanziellen, personellen und technischen Kapazitäten.
• Organisationsstruktur: Analyse der internen Prozesse und Verantwortlichkeiten.
• Technologieüberwachung: Fähigkeit, technologische Entwicklungen nachzuverfolgen und zu implementieren.
• Digitale Widerstandsfähigkeit: Maßnahmen zur Sicherstellung der IT-Resilienz.
• Untervergaben: Risiken und Bedingungen im Zusammenhang mit der Einbindung von Unterauftragnehmern.
• Risikobewertung bei Drittlandbezug: Analyse zusätzlicher Risiken bei Dienstleistungen außerhalb der EU.
• Vor-Ort-Prüfungen: Vereinbarungen zur Durchführbarkeit von Audits beim Dienstleister.
• Ethik und soziale Verantwortung: Einhaltung ethischer Standards und sozial verantwortliches Handeln.
• Informationssicherheit: Verpflichtung zur Einhaltung höchster Qualitätsstandards.

Wesentliche Vertragsbestimmungen

DORA definiert in Art. 30 spezifische Mindestanforderungen, die in den Verträgen mit IKT-Drittdienstleistern enthalten sein müssen:

1. Beschreibung der Dienstleistungen
   Eine umfassende Beschreibung der bereitgestellten Dienstleistungen und Funktionen, einschließlich der Bedingungen für Unteraufträge.
2. Standorte der Leistungserbringung
   Angabe der Länder oder Regionen, in denen die Datenverarbeitung und Dienstleistungen erfolgen. Änderungen dieser Standorte müssen dem Finanzunternehmen gemeldet werden.
3. Datenschutz
   Sicherstellung der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten, insbesondere personenbezogener Daten.
4. Zugang zu Daten
   Das Finanzunternehmen muss jederzeit Zugang zu den Daten haben, auch im Falle einer Insolvenz oder Beendigung des Vertrages. Die Rückgabe der Daten erfolgt in einem leicht zugänglichen Format.
5. Dienstleistungsgüte
   Festlegung von Kriterien für die Qualität der Dienstleistungen sowie Bedingungen für deren Überarbeitung.
6. Unterstützung bei IKT-Vorfällen
   Verpflichtung des Dienstleisters, bei IT-bezogenen Vorfällen proaktiv Unterstützung zu leisten.
7. Zusammenarbeit mit Behörden
   Der Dienstleister muss bereit sein, mit den zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten.
8. Kündigungsrechte
   Klar definierte Kündigungsrechte und Mindestkündigungsfristen, die mit den Erwartungen der Aufsichtsbehörden übereinstimmen.
9. Schulungen und Sensibilisierung
   Teilnahme an Programmen zur IKT-Sicherheit und zur Förderung der digitalen Resilienz.

Zusätzliche Anforderungen bei kritischen Funktionen

Über die allgemeinen Mindestanforderungen hinaus müssen bei kritischen oder wichtigen Funktionen zusätzliche Regelungen getroffen werden:

• Service Level Agreements (SLAs): Festlegung präziser Leistungsziele.
• Notfallpläne: Definition von Maßnahmen im Falle von Störungen.
• Penetrationstests: Verpflichtung zur regelmäßigen Durchführung von Sicherheitstests.
• Audits: Detaillierte Regelungen zu Prüf- und Kontrollrechten.
• Ausstiegsstrategien: Klare Vorgaben für die Beendigung der Zusammenarbeit.

Dokumentation und Transparenz

Die vertraglichen Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters müssen schriftlich festgehalten werden. Gemäß Art. 30 Abs. 1 DORA ist sicherzustellen, dass der Zugang zu diesen Dokumenten jederzeit gewährleistet ist.

Weiterbildungsmöglichkeiten

Die Anforderungen der DORA erfordern ein tiefgreifendes Verständnis der rechtlichen und technischen Aspekte. Um sich umfassend über die gesetzlichen Vorgaben zu informieren und die Umsetzung in der Praxis zu erleichtern, empfehlen wir Ihnen die Teilnahme an den Kursen der Online-Akademie für digitales Recht. Besuchen Sie jetzt myablefy.com/s/digital-recht, um mehr über relevante Schulungen und Workshops zu erfahren.

Schlussfolgerung

Die DORA schafft einen umfassenden Rechtsrahmen, der Finanzunternehmen verpflichtet, eine sorgfältige Auswahl und detaillierte Vertragsgestaltung bei der Zusammenarbeit mit IKT-Drittdienstleistern sicherzustellen. Sowohl die vorvertraglichen Prüfungen als auch die Mindestanforderungen an Vertragsinhalte tragen entscheidend dazu bei, Risiken zu minimieren und die digitale Resilienz zu stärken.

Ein systematisches Vorgehen bei der Due Diligence und der Vertragsgestaltung ist somit ein essenzieller Baustein zur Erfüllung der DORA-Anforderungen und zum Schutz der digitalen Infrastruktur. Nutzen Sie die Gelegenheit, Ihr Wissen über diese Themen zu vertiefen – besuchen Sie die Online-Akademie für digitales Recht und bleiben Sie rechtlich und technisch auf dem neuesten Stand!

‍