Mindestvertragsinhalte des DORA: 5. Datenschutz

Cybersicherheit trifft auf Vertragsfreiheit: Artikel 30 DORA enthält einen Katalog von Mindestinhalten, die sich in Auslagerungsverträgen mit ITK-Dienstleistern wiederfinden müssen. Beim Thema Datenschutz offenbart der Vergleich mit der MaRisk einige Unterschiede. DORA umfasst auch nicht-personenbezogene Daten und stellt detaillierte Anforderungen an die Qualität und den Schutz der Daten.

MaRisk

Die MaRisk fordert, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden. Zu den sonstigen Sicherheitsanforderungen zählen vor allem Zugangsbestimmungen zu Räumen und Gebäuden (z.B. bei Rechenzentren) sowie Zugriffsberechtigungen auf Softwarelösungen zum Schutz wesentlicher Daten und Informationen.  Die Einhaltung dieser Anforderungen ist fortlaufend zu überwachen (MaRisk AT 9 Tz. 7k).

Institute sollten einen risikobasierten Ansatz wählen, der den Standort der Datenspeicherung und Datenverarbeitung sowie der Informationssicherheit berücksichtigt. Im Rahmen der Auslagerung erhält der Dienstleister in der Regel Zugriff auf personenbezogene Daten über Kunden und Mitarbeiter des Finanzunternehmens. Diese Daten werden im Auftrag des Finanzunternehmens auch auf der technischen Infrastruktur des Dienstleisters gespeichert und verarbeitet. Nach Artikel 28 der Datenschutz-Grundverordnung (DSGVO) handelt es sich damit um eine sogenannte Auftragsverarbeitung. Das Finanzunternehmen bleibt im Fall einer Auftragsverarbeitung voll verantwortlich für die Einhaltung der geltenden Bestimmungen.

Der Dienstleister unterliegt den Weisungen des Finanzunternehmens und muss geeignete technische und organisatorische Maßnahmen ergreifen, um die Verarbeitung der personenbezogenen Daten im Einklang mit der DSGVO zu gewährleisten und den Schutz der Rechte der betroffenen Person zu wahren.

  • Gegenstand und Dauer der Verarbeitung

  • Art und Zweck der Verarbeitung

  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen

  • Umfang der internen und externen Weisungsbefugnisse

  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit

  • Sicherstellung von technischen und organisatorischen Maßnahmen (TOM)

  • (Geplante) Hinzuziehung von Subunternehmern

  • Unterstützung des Verantwortlichen bei Anfragen und Ansprüchen Betroffener

  • Unterstützung des Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen

  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung

  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters

  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

  • Zusammenarbeit mit den zuständigen Behörden und Abwicklungsbehörden des Instituts

  • Verweis auf die Befugnisse der nationalen Abwicklungsbehörde

Die Vielzahl der notwendigen Regelungen erfordert es, die jeweiligen Festlegungen in einer separaten Anlage „Auftragsverarbeitung“ zusammenzufassen. Im Rahmenvertrag wird dementsprechend auf die Anlage verwiesen.

Um die umfangreichen Vorgaben zur Informationssicherheit, die sich mit den Vorgaben zum Datenschutz überschneiden und auf alle Unternehmensdaten Anwendung finden, vertraglich zu vereinbaren, wird das CISO-Template verwendet. Je nach Schutzbedarf, dem Ort der Datenhaltung und der Art der Datenvermittlung an den Dienstleister ist das CISO-Template ausführlich zu befüllen und mit dem Dienstleister abzustimmen.

Finanzunternehmen müssen sicherstellen, dass auf die sich im Besitz des Instituts befindlichen Daten im Fall einer Insolvenz, Abwicklung oder der Einstellung der Geschäftstätigkeit des Dienstleisters zugegriffen werden kann.

DORA

Die Verordnung schreibt vor, dass in den vertraglichen Vereinbarungen detaillierte Bestimmungen zur Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten festgelegt werden müssen. Dies schließt den Schutz personenbezogener Daten ausdrücklich mit ein (Artikel 30 Abs. 2 (c)).

Darüber hinaus verlangt Absatz 2 (d) Regelungen, die sicherstellen, dass im Fall einer Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters oder bei Beendigung der vertraglichen Vereinbarungen der Zugang zu sowohl personenbezogenen als auch nicht personenbezogenen Daten gewährleistet ist. Zudem müssen diese Daten in einem leicht zugänglichen Format wiederhergestellt und zurückgegeben werden können.

Fazit

MaRisk fokussiert sich hauptsächlich auf den Schutz personenbezogener Daten im Rahmen der Auftragsverarbeitung gemäß DSGVO. Hierbei werden die Verantwortlichkeiten des Finanzunternehmens und des Dienstleisters klar definiert. Insbesondere wird die Einhaltung von technischen und organisatorischen Maßnahmen (TOM) gefordert, um die Sicherheit der Daten zu gewährleisten.

DORA hingegen erweitert den Anwendungsbereich auch auf nicht-personenbezogene Daten. Artikel 30 Abs. 2 (c) DORA fordert umfassende Bestimmungen über die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten, einschließlich des Schutzes personenbezogener Daten. Dies bedeutet, dass DORA nicht nur den Schutz personenbezogener Daten im Blick hat, sondern auch sicherstellt, dass alle Datenkategorien, die von IKT-Dienstleistern verarbeitet werden, angemessen geschützt sind.

Wo immer sich Anpassungen ergeben, unterstützen wir Sie mit einem pragmatischen Ansatz dabei, Lösungen zu suchen und Vertragsbedingungen zu formulieren.

Bisher zu den Mindestvertragsinhalten des DORA erschienen:

Michaela Witzel, LL.M. (Fordham University School of Law),
Fachanwältin für IT-Recht
witzel@web-partner.de