Mindestvertragsinhalte des DORA: 5. Datenschutz
Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Beim Thema Datenschutz offenbart der Vergleich mit der MaRisk einige Unterschiede. DORA umfasst auch nicht-personenbezogene Daten und stellt detaillierte Anforderungen an die Qualität und den Schutz der Daten.
MaRisk
Die MaRisk fordert, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden. Zu den sonstigen Sicherheitsanforderungen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z.B. bei Rechenzentren) sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen. Die Einhaltung dieser Anforderungen ist fortlaufend zu überwachen (MaRisk AT 9 Tz. 7k).
Institute sollten einen risikobasierten Ansatz wählen, der den Standort der Datenspeicherung und Datenverarbeitung sowie der Informationssicherheit berücksichtigt. Im Rahmen der Auslagerung erhält der Dienstleister in der Regel Zugriff auf personenbezogene Daten über Kunden und Mitarbeiter des Finanzunternehmens. Diese Daten werden im Auftrag des Finanzunternehmens auch auf der technischen Infrastruktur des Dienstleisters gespeichert und verarbeitet. Nach Artikel 28 der Datenschutz-Grundverordnung (DSGVO) handelt es sich damit um eine sogenannte Auftragsverarbeitung. Das Finanzunternehmen bleibt im Fall einer Auftragsverarbeitung voll verantwortlich für die Einhaltung der geltenden Bestimmungen.
Der Dienstleister unterliegt den Weisungen des Finanzunternehmens und muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung der personenbezogenen Daten im Einklang mit der DSGVO zu gewährleisten und den Schutz der Rechte der betroffenen Person zu wahren.
Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten und Kategorien von betroffenen Personen
Umfang der internen und externen Weisungsbefugnisse
Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)
(Geplante) Hinzuziehung von Subunternehmern
Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener
Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
Zusammenarbeit mit den zuständigen Behörden und Abwicklungsbehörden des Instituts
Verweis auf die Befugnisse der nationalen Abwicklungsbehörde
Die Vielzahl der notwendigen Regelungen erfordert es, die jeweiligen Festlegungen in einer separaten Anlage „Auftragsverarbeitung“ zusammenzufassen. Im Rahmenvertrag wird dementsprechend auf die Anlage verwiesen.
Um die umfangreichen Vorgaben zur Informationssicherheit, die sich mit den Vorgaben zum Datenschutz überschneiden und auf alle Unternehmensdaten Anwendung finden, vertraglich zu vereinbaren, wird das CISO-Template verwendet. Je nach Schutzbedarf, dem Ort der Datenhaltung und der Art der Datenvermittlung an den Dienstleister ist das CISO-Template ausführlich zu befüllen und mit dem Dienstleister abzustimmen.
Finanzunternehmen müssen sicherstellen, dass auf die sich im Besitz des Instituts befindlichen Daten im Fall einer Insolvenz, Abwicklung oder der Einstellung der Geschäftstätigkeit des Dienstleisters zugegriffen werden kann.
DORA
Die Verordnung schreibt vor, dass in den vertraglichen Vereinbarungen detaillierte Bestimmungen zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten festgelegt werden müssen. Dies schließt den Schutz personenbezogener Daten ausdrücklich mit ein (Artikel 30 Abs. 2 (c)).
Darüber hinaus verlangt Absatz 2 (d) Regelungen, die sicherstellen, dass im Fall einer Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters oder bei Beendigung der vertraglichen Vereinbarungen der Zugang zu sowohl personenbezogenen als auch nicht personenbezogenen Daten gewährleistet ist. Zudem müssen diese Daten in einem leicht zugänglichen Format wiederhergestellt und zurückgegeben werden können.
Fazit
MaRisk fokussiert sich hauptsächlich auf den Schutz personenbezogener Daten im Rahmen der Auftragsverarbeitung gemäß DSGVO. Hierbei werden die Verantwortlichkeiten des Finanzunternehmens und des Dienstleisters klar definiert. Insbesondere wird die Einhaltung von technischen und organisatorischen Maßnahmen (TOM) gefordert, um die Sicherheit der Daten zu gewährleisten.
DORA hingegen erweitert den Anwendungsbereich auch auf nicht-personenbezogene Daten. Artikel 30 Abs. 2 (c) DORA fordert umfassende Bestimmungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten, einschließlich des Schutzes personenbezogener Daten. Dies bedeutet, dass DORA nicht nur den Schutz personenbezogener Daten im Blick hat, sondern auch sicherstellt, dass alle Datenkategorien, die von IKT-Dienstleistern verarbeitet werden, angemessen geschützt sind.
Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.
Bisher zu den Mindestvertragsinhalten des DORA erschienen:
Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de