DORA umsetzen: 2. Was bei Leistungsvereinbarungen mit IKT-Dienstleistern zu beachten ist.

Der DORA setzt neue Maßstäbe für die Sicherheit und Belastbarkeit von IKT-Systemen im Finanzsektor. Ein zentrales Element der Regulierung ist die präzise und vollständige Leistungsbeschreibung in Auslagerungsverträgen. Bereits die MaRisk-Novelle 2017 hat die Bedeutung solcher Leistungsbeschreibungen hervorgehoben. DORA geht jedoch einen entscheidenden Schritt weiter und verlangt noch detailliertere Angaben zu Funktionen, Verantwortlichkeiten und Dienstleistungsqualitäten.

Für Finanzunternehmen bedeutet dies: Die Vertragsgestaltung wird zur Schlüsselaufgabe, um regulatorische Anforderungen zu erfüllen und potenzielle Risiken zu minimieren. Doch in der Praxis erweist sich die Umsetzung oft als Herausforderung. In diesem Artikel teile ich erste Erfahrungen und gebe praktische Hinweise, wie Sie den neuen Anforderungen gerecht werden.

Warum sind Leistungsbeschreibungen so wichtig?

Leistungsbeschreibungen bilden das Herzstück jedes IKT-Vertrages. Sie legen fest, welche Dienste ein IKT-Dienstleister zu erbringen hat, und dienen zugleich als Grundlage für die Überwachung der erbrachten Leistungen.

Artikel 30 Abs. 2 (a) des DORA verlangt eine klare und vollständige Beschreibung aller Funktionen und Dienstleistungen. Dies schließt insbesondere ein:

• Funktionen und IKT-Dienstleistungen: Was wird konkret bereitgestellt?

• Dienstleistungsgüte (Service Levels): Welche qualitativen und quantitativen Standards gelten?

• Aktualisierungen und Überarbeitungen: Wie wird sichergestellt, dass die Dienstleistungen aktuell bleiben?

Zusätzlich fordert Artikel 30 Abs. 3 (a) weitere Details bei kritischen oder wichtigen Funktionen. Für diese Leistungen verlangt DORA eine vollständige Beschreibung der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte. Dies soll dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen ermöglichen, wenn eine vereinbarte Dienstleistungsgüte nicht erreicht wird. Ziel ist es, dem Finanzunternehmen eine wirksame Überwachung zu ermöglichen und bei Abweichungen von der vereinbarten Qualität schnell handeln zu können.

Typische Herausforderungen in der Praxis

In der Praxis genügen viele Leistungsbeschreibungen nicht den regulatorischen Anforderungen:

1. Unklare oder lückenhafte Angaben: Häufig fehlen genaue Definitionen von Verantwortlichkeiten und Aufgaben.

2. Oberflächliche Produktbeschreibungen: Dienstleistungsbeschreibungen beschränken sich oft auf allgemeine Aussagen, ohne konkrete Leistungsziele zu benennen.

3. Inkonsequente Nachbesserungen: Fehlerhafte oder unvollständige Beschreibungen werden selten systematisch überarbeitet.

Ein Beispiel: Ein Finanzunternehmen lässt sich von seinem Dienstleister lediglich zusichern, dass die Leistungsbeschreibungen „vollständig und transparent“ sind. Diese Zusicherung schützt jedoch nicht vor Problemen, wenn die tatsächliche Beschreibung unzureichend bleibt.

So setzen Sie DORA-konforme Leistungsvereinbarungen um

Eine fundierte Leistungsbeschreibung erfordert eine strukturierte Herangehensweise:

1. Bestandsaufnahme: Prüfen Sie die bestehenden Verträge und Leistungsbeschreibungen. Sind alle Funktionen und Dienstleistungen vollständig beschrieben? Gibt es klare Verantwortlichkeiten und Eskalationsmechanismen?

2. Checkliste entwickeln: Nutzen Sie eine standardisierte Checkliste, um sicherzustellen, dass alle Anforderungen erfüllt sind. Diese sollte u. a. folgende Punkte abdecken: Vollständigkeit und Klarheit der Beschreibung Definition quantitativer und qualitativer Leistungsziele Aktualisierungsmechanismen

3. Qualitätssicherung durch Dienstleister: Beauftragen Sie den Dienstleister mit der Erstellung und Qualitätssicherung der Leistungsbeschreibung. Verlangen Sie eine unabhängige Überprüfung, um Mängel frühzeitig zu identifizieren.

4. Nachbesserungen systematisch regeln: Verankern Sie im Vertrag klare Prozesse für die Überarbeitung fehlerhafter oder unzureichender Beschreibungen.

Klauselvorschlag für Nachbesserungen

Um Nachbesserungen rechtlich abzusichern, könnte eine Klausel wie folgt formuliert werden:

„Der Dienstleister verpflichtet sich, auf Anforderung des Auftraggebers sämtliche Mängel in der Leistungsbeschreibung unverzüglich zu beheben. Dies umfasst insbesondere die Ergänzung fehlender Angaben sowie die Anpassung fehlerhafter Beschreibungen. Der Auftraggeber wird über den Fortschritt der Nachbesserungen regelmäßig informiert.“

Fazit: Präzision zahlt sich aus

Die Umsetzung der DORA-Anforderungen an Leistungsbeschreibungen mag aufwendig erscheinen, ist jedoch unverzichtbar, um regulatorische Risiken zu vermeiden und eine wirksame Überwachung sicherzustellen. Finanzunternehmen sollten daher nicht nur auf die formale Einhaltung der Vorschriften achten, sondern die Gelegenheit nutzen, die Qualität und Transparenz ihrer Verträge nachhaltig zu verbessern. Ich stehe Ihnen gerne zur Seite, wenn Sie Unterstützung bei der Erstellung oder Überarbeitung Ihrer Auslagerungsverträge benötigen

Bisher zum DORA erschienen:

• DORA umsetzen: 1. Welche Regelungen braucht es in IKT-Verträgen als Mindestinhalt für Subunternehmer?

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de