Mindestvertragsinhalte des DORA: 7. Kündigungsrechte und -fristen
Vertragsfreiheit trifft auf Cybersicherheit: Kündigungsrechte und -fristen in Auslagerungsverträgen stellen sicher, dass Finanzinstitute flexibel auf Leistungsstörungen und Sicherheitsbedenken reagieren können. Artikel 30 DORA und die dazugehörigen Regulatory Technical Standards (RTS) enthalten einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. In der aktuellen Folge vergleiche ich die Anforderungen mit denen der MaRisk und beleuchte die Auswirkungen auf Finanzunternehmen.
MaRisk
Nach MaRisk müssen Auslagerungsverträge zwingend Kündigungsrechte und angemessene Kündigungsfristen enthalten (MaRisk AT 9 Tz. 7l). Dies ist notwendig, um die effektive Steuerung und Kontrolle des ausgelagerten Bereichs zu gewährleisten. Der Vertrag sollte sowohl ordentliche (fristgebundene) als auch außerordentliche (fristlose) Kündigungsmöglichkeiten vorsehen. Die gesetzlichen Bestimmungen im BGB passen nur bedingt auf Auslagerungsverträge, die in der Regel keinem der Vertragstypen des BGB überwiegend zuzuordnen sind und eine Typenkombination oder ein Typengemisch darstellen. Die Fristen dürften jedoch im Zweifel zu kurz sein. Eine außerordentliche Kündigung setzt in der Regel einen wichtigen Grund voraus, der die Fortsetzung des Vertragsverhältnisses unzumutbar macht. Die Hürden für die Zumutbarkeitsschwelle sind hoch.
Die Vertragsgestaltung nach MaRisk erfordert:
Angemessene Kündigungsfristen vereinbaren, damit das Finanzunternehmen genügend Zeit hat, die ausgelagerte Tätigkeit an einen anderen Dienstleister zu übergeben oder intern zu reintegrieren.
Der Dienstleister muss zur geordneten Übergabe der ausgelagerten Aktivitäten und Prozesse verpflichtet werden.
Festlegung eines akzeptablen Grads einer Schlechtleistung und entsprechende Kündigungsrechte bei dauerhafter Unterschreitung.
Sicherstellung der Re-Integration der ausgelagerten Aktivitäten oder der Auswahl eines Ersatzdienstleisters.
DORA/ RTS
Kündigungsrechte und -fristen müssen generell bei der Nutzung von IKT-Dienstleistungen den Erwartungen der zuständigen Behörden und Abwicklungsbehörden entsprechen. Auf welche Erwartungen der Gesetzgeber hierbei abstellt ist unklar. Bei kritischen und wichtigen Funktionen ist zusätzlich zu berücksichtigen:
Art. 28 Abs. 7 erfordert Bestimmungen zu weiteren Kündigungsgründen, z.B. bei erheblichem Verstoß gegen bestehende Regelungen, Schwächen im Risikomanagement des IKT-Dienstleisters, bei Umständen, die eine wirksame Aufsicht der zuständigen Behörde vermeiden oder im Zusammenhang mit der Unterauftragsvergabe.
Kündigungsfristen müssen klar definiert sein (Artikel 30 Abs. 3 (b)).
Es müssen Ausstiegsstrategien festgelegt werden, einschließlich eines verbindlichen Übergangszeitraums, in dem der IKT-Drittdienstleister weiterhin die entsprechenden Funktionen bereitstellt. Dies verringert das Risiko von Störungen und ermöglicht dem Finanzunternehmen, zu einem anderen Dienstleister zu wechseln oder auf interne Lösungen umzusteigen (Artikel 30 Abs. 3 (f)).
Bei der Unterauftragsvergabe ist laut RTS zu beachten, dass das Finanzunternehmen Kündigungsrechte hat, wenn die Dienstleistungen die vereinbarten Service Levels nicht erfüllen (Artikel 4 lit. j RTS-E SUB).
Fazit
Die Anforderungen von MaRisk und DORA/RTS an Kündigungsrechte und -fristen zielen darauf ab, die Vertragsgestaltung flexibel und sicher zu machen. Beim DORA spielen auch die Erwartungen der Behörden eine Rolle. Wichtig ist es die dazu gehörige Prüfungspraxis zu kennen. Bei kritischen und wichtigen Funktionen liegen die Anforderungen des DORA höher. Während MaRisk einen Fokus auf die Steuerung und Überwachung der ausgelagerten Tätigkeiten legt, erweitert DORA die Anforderungen um detaillierte Ausstiegsstrategien und Übergangsfristen, die speziell auf die Kontinuität und Sicherheit von IKT-Dienstleistungen ausgerichtet sind. Die Bedeutung einer vollständigen Leistungsbeschreibung und klar vereinbarter Service Levels steigt erneut.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de