Mindestvertragsinhalte des DORA: 2. Standorte
Viele Verträge unter denen IKT-Dienstleistungen erbracht werden, haben ein Erfolgsmoment: Der IKT-Dienstleister schuldet den reibungslosen Betrieb, die Implementierung einer funktionierenden Applikation, die Durchführung einer reibungslosen Transition. Nach der Sichtweise der deutschen Rechtsprechung ein Werkvertrag im Sinne des § 631 BGB. Auf den Leistungsort kommt es nicht zwingend an. Weder die §§ 631 ff BGB noch § 269 BGB fordert auch die Festlegung eines Leistungsorts. Das Aufsichtsrecht sieht das anders.
Unter Standorten verstehen sowohl MaRisk, EBA als auch DORA die Regionen und Länder, in denen Dienstleistungen erbracht werden.
EBA und MaRisk
Die Standorte, in denen die Durchführung der Dienstleistung erfolgt und/ oder maßgebliche Daten gespeichert und verarbeitet werden, sind festzulegen. IKT-Dienstleister müssen auch das Finanzunternehmen benachrichtigen, wenn sie den Standort wechseln. Das fordern MaRisk (AT Tz. 7d) und EBA-Guidelines (GL/2019/13/Tz. 75f).
DORA
Vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen müssen mindestens die Standorte enthalten, in denen die in Auftrag gegebenen oder untervergebenen Funktionen und IKT-Dienstleistungen erbracht und die Daten einschließlich des Speicherorts verarbeitet werden sollen. Der DORA legt fest, dass das Finanzinstitut im Voraus zu informieren ist, wenn der Dienstleister beabsichtigt, diese Standorte zu wechseln (Art. 30 Abs. 2 (b)).
Fazit
Bei allen Verträgen, die unter den DORA fallen, also bei weit mehr Verträge als dem Bereich der wesentlichen Auslagerung zuzuordnen sind, ist zu klären, ob die Standorte der Leistungserbringung sowie die Speicherorte überhaupt geregelt sind. Setzt der IKT-Dienstleister mehrere Standorte ein ist auch zu regeln, an welchen Standorten den welche Leistung zu erbringen ist. Warum? Weil das einen Einfluss auf die Risikoanalyse hat. Cyberrisiken können durch standortübergreifende Leistungserbringung erhöht werden. Für die Bewertung ist Transparenz erforderlich. Sind nicht nur verbundene Unternehmen des IKT-Dienstleisters mit verschiedenen Standorten involviert, sondern auch Subunternehmer mit wiederum unterschiedlichen Standorten, wird aus einer simpel klingenden Anforderung schnell ein komplexer Vertragsanhang.
Auch festzulegen ist, wie die Informationspflicht auszugestalten ist. Oder soll der Standortwechsel nicht von der Zustimmung des Finanzunternehmens abhängen. Ggf. wird es auf eine differenzierende Regelung zwischen „normalen“ Subunternehmern und Subunternehmern, die als Weiterverlagerung einzustufen sind, hinauslaufen und zwischen Standorten innerhalb Deutschlands, der EU und Drittländern zu unterscheiden sein.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de