Mit dem DORA verfolgt der europäische Gesetzgeber das Ziel, die Resilienz des Finanzsektors mithilfe einheitlicher Regelungen für den Einsatz von Informations- und Kommunikationstechnologien (IKT) zu stärken. In Teil 1 haben wir den Anwendungsbereich und die wesentlichen Regelungsinhalte der Verordnung vorgestellt. Teil 2 widmet sich schwerpunktmäßig den Anforderungen an Verträge zwischen regulierten Finanz- bzw. Versicherungsunternehmen und IKT-Drittdienstleistern.
Mit diesem Beitrag klären wir die praktisch relevante Frage, wer genau als IKT-Drittdienstleister gilt. Denn von der Verordnung betroffene Finanzunternehmen neigen dazu, jede Art von technischen Dienstleistern umfangreiche Vertragsanpassungen aufzuerlegen, um ihren Pflichten aus Art. 28 ff. DORA nachzukommen. Ob dies im Einzelfall erforderlich ist und welche Klauseln über die gesetzlichen Mindestanforderungen hinausgehen, hängt davon ab, ob tatsächlich eine „IKT-Dienstleistung“ in Anspruch genommen wird und wenn ja, ob es sich dabei um eine IKT-Dienstleistung zur Unterstützung kritischer und wichtiger Funktionen handelt.
Begriff des IKT-Drittanbieters
1. Auslegung der Definition
Da IKT-Dienstleister (= IKT-Drittanbieter) lediglich als Unternehmen definiert werden, die IKT-Dienstleistungen anbieten (Art. 3 Nr. 19 DORA), kommt es auf die gesetzliche Definition von IKT-Dienstleistungen an. Nach Art. 3 Nr. 21 DORA erfasst dieser Begriff „digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste“.
IKT steht dabei für Informations- und Kommunikationstechnologie (vgl. Art. 1 lit. a DORA). Die EU-Kommission definiert diesen Begriff wiederum als “all technical means used to handle information and aid communication, including both computer and network hardware, as well as their software”.
Die gesetzliche Definition der IKT-Dienstleistung ist somit denkbar weit und erfasst praktisch den Großteil aller IT-basierten Service-Dienstleistungen, wie etwa Cloud- und Software-Dienste. Mithin stellt sich die Frage, ob somit auch Dienstleister in den Anwendungsbereich des DORA fallen, die bloß untergeordnete Dienste erbringen, die nicht im Zusammenhang zu der Finanz- bzw. Versicherungstätigkeit ihres Vertragspartners stehen. Denn es erscheint auf den ersten Blick nicht nachvollziehbar, dass bspw. auch der Anbieter eines digitalen Dienstes zum Management von Mitarbeiter-Benefits den strengeren Vertragsanforderungen nach Art. 28 ff. DORA unterliegt, sobald der Vertragspartner ein Finanzunternehmen ist. Deshalb könnte der Begriff restriktiv auszulegen sein.
Allerdings widerspräche es dem Zweck von DORA, umfassenden Schutz vor mit jeglichen Arten von IKT-Dienstleistungen verbundenen Risiken im Finanz- bzw. Versicherungswesen zu gewährleisten (vgl. ErwG. 35), wenn untergeordnete Dienstleistungen per se aus dem Anwendungsbereich ausgeschlossen wären, da auch diese Art von Dienstleistung im Einzelfall sicherheitstechnisch relevante Risiken mit sich bringen kann. Denn auch solche Dienstleistungen, die zwar nicht unmittelbar im Zusammenhang zu der Finanztätigkeit des Auftraggebers stehen, sind zwangsläufig Teil dessen Betriebsabläufe und dienen – wenn auch nur mittelbar – der geschäftlichen Tätigkeit. Treten Sicherheitsrisiken im Rahmen der Inanspruchnahme der Dienstleistung auf, so geht von diesen allein aufgrund des Charakters des Auftraggebers als Finanz- bzw. Versicherungsunternehmen eine erhöhte Gefahr aus, wodurch sich die Anwendung des DORA rechtfertigt.
Der Umstand, dass manche Dienstleistungen besonders „finanznah“ oder bedeutsam für die Ausübung der Geschäftstätigkeit des Finanzunternehmens sind und somit deren Inanspruchnahme besondere Risiken sich bringt, wird vom Gesetzgeber dadurch berücksichtigt, dass er besondere Anforderungen an IKT-Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen stellt. Eine Einschränkung des Wortlauts im obigen Sinne würde dazu führen, dass kaum ein Anwendungsbereich für „unkritische“ Dienstleistungen bliebe. Denn kritische und wichtige Funktionen unterstützend sind gerade solche Dienstleistungen, die für die Ausführung und Sicherheit der vom Finanzinstitut verfolgten Geschäftstätigkeiten bzw. angebotenen Dienstleistungen wesentlich sind (vgl. Art. 3 Nr. 22 DORA), was im Prinzip auf all diejenigen Dienstleistungen zutrifft, die nach der erwogenen Einschränkung einzig in den Anwendungsbereich der Verordnung fallen würden. Somit ist der Begriff des „IKT-Dienstleisters“ genau so weit zu verstehen, wie es der Wortlaut suggeriert.
2. Beispiele für IKT-Dienstleister
Positiv-Beispiele: Der DORA selbst bezeichnet beispielhaft „Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen“ als IKT-Dienstleistungen (ErwG. 79). Praktisch erfasst werde also bspw. Software as a Service (SaaS), Datenanalysedienste, Business Intelligence, Backup und Disaster Recovery, Helpdesk und technischer Support und Speicherlösungen.
Negativ-Beispiele: Nicht erfasst werden hingegen untechnische Dienstleistungen wie Reinigungsdienste, Catering oder Liefer- und Kurierdienste. Explizit ausgenommen sind zudem traditionelle analoge Telefondienste, die als PSTN- oder POTS-Dienste bzw. Festnetztelefondienste gelten.
Dienstleistungen zur Unterstützung kritischer und wichtiger Funktionen
1. Was sind kritische und wichtige Funktionen?
Eine kritische oder wichtige Funktion ist gem. Art. 3 Nr. 22 DORA „eine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde“.
Die Definition stellt demnach auf die Bedeutung der Dienstleistung für die finanzielle Stabilität, Geschäftskontinuität oder regulatorische Konformität des Finanzunternehmens ab. Da die Einordnung somit maßgeblich vom jeweiligen Finanzinstitut abhängt, bewertet dieses (häufig in Form einer Business-Impact-Analyse) selbst, ob eine von einem Drittdienstleistern bezogene Leistung eine wichtige und kritische Funktion unterstützt. Deshalb kann aus Sicht des Drittdienstleisters nicht per se behauptet werden, in keinem Fall kritische Funktionen zu unterstützen. Jedoch wird es klare Tendenzen je nach Art der Dienstleistung geben.
Nach der obigen Definition dürften beispielsweise folgende Dienstleister kritische Funktionen unterstützen: Zahlungsabwicklungssysteme, Online-Banking-Plattformen,
Kreditrisiko- und Bonitätsprüfungsdienste, Cybersecurity-Systeme, Datensicherungs- und Wiederherstellungsdienste.
Merke: Von dem bisher Gesagten abzugrenzen ist die Frage, ob es sich bei dem Drittanbieter um einen „kritischen IKT-Drittdienstleister“ im Sinne von Art. 31 DORA handelt. Solche kritischen Drittdienstleister sind Gegenstand eines europäischen Überwachungsrahmens und unterstehen der besonderen Aufsicht einer federführenden europäischen Überwachungsbehörde (entweder EBA, ESMA oder EIOPA – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist). Die Beurteilung, ob es sich bei einem Unternehmen um einen „kritischen“ Drittanbieter handelt, wird nicht von dem Unternehmen selbst, sondern von den „ESA“ (European Supervisory Authorities), d.h. den eben genannten „Europäischen Aufsichtsbehörden“ wahrgenommen.
2. Welche Anforderungen folgen daraus?
Die Beurteilung, ob die Dienstleistung der Unterstützung kritischer und wichtiger Funktionen dient, ist entscheidend für die vertraglichen Mindestanforderungen, die von DORA an die Dienstleistungsverträge zwischen Finanzinstituten und IKT-Drittdienstleistern gestellt werde. Welche Extra-Inhalte für die Unterstützung kritischer und wichtiger Funktionen gelten, wurde bereits in Teil 2 besprochen.
Im Ergebnis stellt DORA an „normale“ Dienstleister keine allzu hohen vertraglichen Anforderungen, zumal die zu vereinbarenden Mindestvertragsinhalte oft schon nach anderen Regularien wie bspw. der DSGVO erforderlich sind. Gleichwohl sollten in jedem Fall bestehende Verträge überprüft und gegebenenfalls durch DORA-konforme Ergänzungen angepasst werden. Für IKT-Dienstleister zur Unterstützung kritischer und wichtiger Funktionen sind die Anforderungen hingegen durchaus weitreichend und streng, was beispielsweise an den zu vereinbarenden Aufsichts- und Auditrechten des Finanzunternehmens sichtbar wird, weshalb hier ein nicht unbeachtlicher Umsetzungsaufwand zu erwarten ist.
Konkretisierung der gesetzlichen Anforderungen in RTS und ITS
Die Umsetzung der Anforderungen aus DORA sollen Regulatory Technical Standards (RTS) und die Implementing Technical Standards (ITS) erleichtern, indem sie praktische Umsetzungshinweise und konkrete Hilfestellungen für betroffene Unternehmen liefern. Zuständig für die Ausarbeitung und den Erlass der Standards sind die oben genannten Europäischen Aufsichtsbehörden (EPA). Die Rechtsgrundlage zum Erlass solcher Vorschriften findet sich in Art. 57 DORA.
Bislang wurden in zwei Paketen (das erste im März 2024 und das zweite im Juli 2024) viele verschiedene RTS erlassen, die unterschiedlichste Normen des DORA konkretisieren. Im Zusammenhang mit der Nutzung von IKT-Drittdienstleistern sind folgende RTS besonders relevant.
- RTS zu vertraglichen Vereinbarungen mit IKT-Drittdienstleistern (gem. Art. 28 X DORA), die Finanzunternehmen klare Vorgaben machen, welche Anforderungen für Verträge und Vereinbarungen mit Drittanbietern gelten, insbesondere wenn ausgelagerte IKT-Dienstleistungen kritische oder wesentliche Funktionen unterstützen
- RTS zum Informationsregister (gem. Art. 28 IX DORA), die Vorlagen für ein IKT-Auslagerungsregister enthalten, das ein Finanzunternehmen bezüglich der Verträge mit IKT-Drittanbietern führen muss
- RTS zur Untervergabe von IKT-Drittdienstleistern (gem. Art. 30 V DORA), die konkrete und eigenständige Anforderungen an die vertraglichen Bedingungen hinsichtlich der Unterauftragsvergabe von IKT-Drittdienstleistern stellen
Vorgehensweise
Dienstleister von Finanzinstituten sollten sich damit vertraut machen, welche vertraglichen Mindestinhalte nach dem DORA notwendig sind, um beim Abschluss von Dienstleistungsverträgen nicht von übervorsichtigen Finanzinstituten Klauseln auferlegt zu bekommen, die nicht erforderlich sind. Deshalb muss insbesondere beurteilt werden, ob die angebotene Dienstleistung zur Unterstützung wichtiger und kritischer Funktionen genutzt werden kann und falls ja, wann dies der Fall ist. Denn der Aufwand zur Einhaltung von DORA hängt maßgeblich von dieser Beurteilung ab.
Zudem sollten bestehende Dienstleistungsverträge auf ihre Konformität geprüft werden (Gap-Analyse). Mit Anwendbarkeit der Verordnung ab dem 17. Januar 2025 bleibt nicht mehr viel Zeit, um die Einhaltung der Vorschriften sicherzustellen. Da der Umsetzungsaufwand unter Umständen mehr a geringfügig sein wird, sind IKT-Drittdienstleister angehalten, rechtzeitig mit der Umsetzung zu beginnen, um die langfristige Zusammenarbeit mit Finanz- und Versicherungsunternehmen zu sichern.
)