DORA umsetzen: 1. Welche Regelungen braucht es in IKT-Verträgen als Mindestinhalt für Subunternehmer?

Die Umsetzung des Digital Operational Resilience Act (DORA) stellt Finanzunternehmen vor erhebliche Anforderungen an die Vertragsgestaltung. Aus diesem Grund möchte ich erste Erfahrungen teilen und praxisorientierte Hinweise für die Vertragsgestaltung geben.

Art. 30 DORA enthält Anforderungen an Mindestinhalte. Art. 30 Abs. 2 DORA listet zunächst die Anforderungen an alle IKT-Verträge. Art. 30 Abs. 3 DORA enthält zusätzliche Anforderungen für Verträge über IKT-Leistungen, die kritische bzw. wichtige Funktionen unterstützen.

Gerade bei der Ausgestaltung von Verträgen mit IKT-Dienstleistern und deren Subunternehmern gibt es Auslegungsbedarf dieser beiden Bestimmungen, denn: Artikel 30 Abs. 2 DORA fordert in lit. a) Regelungen zur Unterauftragsvergabe und wirft damit die Frage auf, ob entsprechende Klauseln zur Unterauftragsvergabe in allen IKT-Verträgen erforderlich sind oder nur bei denen, die sich auf kritische bzw. wichtige Funktionen beziehen.

Vor DORA waren Subunternehmerregelungen für Finanzunternehmen in Deutschland vor allem durch die Mindestanforderung an das Risikomanagement (MaRisk) geregelt. Diese Anforderungen betrafen jedoch nach dem KWG regulierte Unternehmen und fokussierten auf die Risikoüberwachung wesentlicher Auslagerungen. Eine generelle Verpflichtung zur Subunternehmerregelung für alle IKT-Verträge bestand nicht.

Mit DORA erweitert sich der Anforderungskatalog deutlich:

Sämtliche Finanzunternehmen müssen sicherstellen, dass alle IKT-Dienstleistungen, die an Subunternehmer weitergegeben werden, auch bei diesen den regulatorischen Standards und Sicherheitsanforderungen entsprechen.

Inhalt und Zielsetzung von Art. 30 Abs. 2 DORA

Art. 30 Abs. 2 DORA sieht vor, dass Finanzunternehmen die Unterauftragsvergabe von wesentlichen IKT-Dienstleistungen nur unter bestimmten Bedingungen erlauben dürfen.

Konkret heißt es im Absatz a): „Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen umfassen mindestens folgende Elemente:

a) eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist, und — wenn dies der Fall ist — welche Bedingungen für diese Unterauftragsvergabe gelten“.

Diese Regelung zielt darauf ab, die Kontrolle über die gesamte Leistungskette zu sichern und die Einhaltung von Resilienz- und Sicherheitsstandards auch bei Subunternehmern zu gewährleisten.

Doch wie sieht dies konkret aus? Hier zwei Beispiele für Vertragsbeziehungen nach DORA:

  • SaaS-Applikationen in der Cloud: Ein Software-as-a-Service (SaaS)-Anbieter betreibt eine Applikation in einer Public Cloud (z. B. AWS).

  • IT-Supportdienstleistungen mit Einsatz von Subunternehmern: Ein IT-Supportdienstleister lagert Teile des Incident Management an einen weiteren Dienstleister aus.

In welchem Fall fordert DORA eine vertragliche Regelung für Subunternehmer?

IKT-Dienstleistungen zur Unterstützung kritischer/wichtiger Funktionen

Der Wortlaut von Art. 30 Abs. 2 DORA lässt Interpretationsspielraum bei der Frage, ob eine Subunternehmerregelung nur für kritisch wichtige IKT-Dienstleistungen oder in allen Fällen erforderlich ist. Die BaFin nimmt – wie man ihrer Darstellung zu den Mindestvertragsinhalten sieht – den Standpunkt ein, dass Subunternehmerregelungen nur für solche Verträge zwingend sind, die kritische bzw. wichtige Funktionen betreffen. Diese Sichtweise passt eigentlich nicht zur Systematik des Art. 30 DORA. Der zweite Absatz bezieht sich auf alle IKT-Verträge, fordert also Regelungen zur Unterauftragsvergabe, allerdings mit der Einschränkung, dass solche nur dann relevant werden, wenn der jeweilige Subunternehmer eine kritische und wichtige Funktion des Hauptauftragnehmers unterstützt.

Eine Beschränkung der vollständigen Anforderung nur auf IKT-Dienstleistungen zur Unterstützung von kritischen bzw. wichtigen Funktionen wäre risikobehaftet:

  • Sicherheitslücken durch weniger kritische IKT-Dienstleistungen: Sicherheitslücken können sich auch bei weniger kritischen IKT-Dienstleistungen ergeben, die durch den steigenden Digitalisierungsgrad an Bedeutung gewinnen und das Unternehmen gefährden könnten.

  • Regulatorisches Risiko bei einer möglichen veränderten Auslegung durch die Aufsichtsbehörden: Sollte sich die Auslegung des Art. 30 Abs. 2 DORA in der Zukunft ändern, müssen Unternehmen ihre Verträge mit IKT-Dienstleistern erneut anpassen, was zu erheblichem Mehraufwand führen kann.

Aus diesen Gründen empfehlen wir eine umfassendere Auslegung von Art. 30 Abs. 2 DORA: Subunternehmerregelungen sollten generell in allen IKT-Verträgen verankert werden – unabhängig davon, ob die jeweilige Funktion als kritisch eingestuft ist oder nicht. Damit stellen Unternehmen sicher, dass sie nicht nur den hohen Anforderungen des Gesetzgebers entsprechen, sondern auch über eine konsistente Grundlage für alle Dienstleister verfügen, was Transparenz und Kontrolle über die gesamte Leistungskette erhöht.

Bisher zum DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de