Suche
Contact
Symbolbild zu DORA: Wolkenkratzer
13.03.2024 | KPMG Law Insights

Bereit für DORA? Diese Vertragsanpassungen sind notwendig

Ab dem 17. Januar 2025 müssen Finanzunternehmen und weitere Dienstleister den Digital Operational Resilience Act (DORA) beachten. DORA soll die Vorschriften für IT-Systeme im Finanzsektor auf EU-Ebene harmonisieren und ein detailliertes und umfassendes Rahmenwerk für die digitale Betriebsstabilität von EU-Finanzunternehmen schaffen.

Bereits im Dezember 2022 wurde die Verordnung über die digitale operationale Resilienz im Finanzsektor, wie DORA auf Deutsch heißt, im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors veröffentlicht. Die Verordnung ist seit dem 16. Januar 2023 in Kraft. Die lange Umsetzungsfrist sollten die betroffenen Unternehmen für die aufwändigen Vorbereitungen nutzen, die auch Vertragsanpassungen umfassen. Hier die Eckpunkte zu Dora:

Welche Unternehmen sind betroffen?

DORA betrifft Finanzunternehmen und Drittdienstleister von Informations- und Kommunikationstechnologien (IKT-Drittdienstleister). Der Begriff des Finanzunternehmens ist weit auszulegen und ist nicht lediglich auf klassische Finanzdienstleister wie Kreditinstitute, Zahlungsdienstleister oder Wertpapierfirmen beschränkt.

IKT-Dienstleister sind Anbieter von digitalen (Daten-) Diensten. Darunter fallen Cloud-Computing- Services, Softwareanbieter, Datenanalysedienste und Rechenzentren.

Auslagerungsverträge sollten angepasst werden

Finanzunternehmen sollten nicht nur in technischer Hinsicht aufstocken; auch aus rechtlicher Sicht gibt es Herausforderungen. Insbesondere ergeben sich Veränderungen aus den Anforderungen in Kapitel V für Auslagerungsverträge zwischen Finanzunternehmen und IKT-Drittdienstleistern.

Anpassung bestehender Klauseln

Auslagerungsverträge mit IKT-Drittanbietern müssen künftig insbesondere die in Art. 30 DORA festgelegten wesentlichen Vertragsbestimmungen berücksichtigen. Dabei gelten die Vorgaben nach Art. 30 Abs. 2 DORA für sämtliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen. Art. 30 Abs. 3 DORA enthält Anforderungen an die Vertragsbestimmungen für IKT- Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen.

Die Vorgaben aus Art. 30 DORA entsprechen in weiten Teilen denjenigen Anforderungen an Auslagerungsverträge, die bereits durch AT 9 der MaRisk sowie die BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT für jede Branche des Finanz- und Versicherungsmarktes bekannt sind. Ein erhöhter Anpassungsbedarf könnte sich jedenfalls für diejenigen Verträge ergeben, die den sonstigen Fremdbezug IT betreffen. Denn eine IKT-Dienstleistung nach DORA ist sehr weit zu verstehen und umfasst eigentlich alle TK-Dienstleistungen außer analogen Telefondiensten.

Neue Vertragsbestimmungen werden erforderlich

DORA führt jedoch auch neue Vertragsbestimmungen ein. So sieht zum Beispiel Art. 30 Abs. 2 i) DORA vor, dass vertragliche Vereinbarungen zukünftig auch Bedingungen für die Teilnahme von IKT-Drittdienstleistern an Programmen zur Sensibilisierung für IKT-Sicherheit oder Schulungen zur digitalen operationalen Resilienz umfassen.

Im Falle der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sollen vertragliche Vereinbarungen nach Art. 30 Abs. 3 d) DORA die Verpflichtung des IKT-Drittdienstleisters enthalten, sich an bestimmten Tests des Finanzunternehmens zu beteiligen. Auch diesbezüglich müssen bestehende Auslagerungsverträge angepasst werden.

Weitere Anforderungen an Verträge können sich aus Art. 26, 28 und 29 DORA ergeben. Betroffen sind die Vereinbarung der Teilnahme an gebündelten Tests von IKT-Systemen, Kündigungsrechte und Übergangsregelungen sowie die Handhabung der Vergabe von Unteraufträgen.

Erhöhter Detaillierungsbedarf in Auslagerungsverträgen

Eine weitere Herausforderung ist der erhöhte Detaillierungsbedarf in den Auslagerungsverträgen. Zu denken ist etwa an eine mögliche Überprüfung und gegebenenfalls Anpassung von Meldepflichten, Vorgaben zum Informationsaustausch oder auch Regelungen zur Kostentragung bei Mitwirkungspflichten von IKT-Drittdienstleistern.

Zudem gilt es abzuwarten, zu verfolgen und zu berücksichtigen, wie sich die Aufsicht zu DORA positionieren wird und ob sich daraus gegebenenfalls ein weiterer Anpassungsbedarf für Auslagerungsverträge mit IKT-Drittdienstleistern ergibt. Bestehende oder sich anbahnende Auslagerungsverträge sollten deshalb schon jetzt einer gründlichen Analyse unterzogen werden, um die sich aus DORA ergebenden Anforderungen zu berücksichtigen und mögliche rechtliche Risiken auszuschließen.

Was jetzt zu tun ist

DORA findet ab dem 17. Januar 2025 Anwendung und die Anpassung der Verträge kostet erfahrungsgemäß Zeit. Unternehmen sollten daher jetzt mit der Umsetzung beginnen. Das ist zu tun:

  • Bestehende Verträge mit IKT-Drittdienstleistern sollten auf die Anforderungen von DORA überprüft werden und ggf. angepasst werden.
  • Neu abzuschließende Verträge sollten jetzt schon den Anforderungen von DORA genügen und vor Abschluss dahingehenden analysiert werden.

 

Explore #more

19.04.2024 | Legal Financial Services, PR-Veröffentlichungen

Lebensversicherung – Zins hoch, Geschäft runter? Beitrag im Platow Brief mit KPMG Law Statement

2025 wird der Höchstrechnungszins (HRZ) nach 30 Jahren wohl wieder steigen – von 0,25% auf 1%. Vereinfacht gesagt, bekommen Kunden ab 2025 also mehr Geld…

16.04.2024 | PR-Veröffentlichungen

Gastbeitrag im Versicherungsmonitor: DORA – Der Countdown für die Umsetzung läuft

In der Ausgabe vom 15. April 2024 (Paywall) findet sich ein Gastbeitrag von den KPMG Experten Frank Püttgen, Vaike Metzger und Nicolas Täuber. Mit dem…

12.04.2024 | KPMG Law Insights

Erste Klimaklage vor dem EGMR erfolgreich

Erstmals hatte eine Klimaklage Erfolg: Am 9. April 2024 gab der Europäische Gerichtshof für Menschenrechte (EGMR) einer Gruppe Schweizer Seniorinnen Recht. Geklagt hatte der gemeinnützige…

28.03.2024 | PR-Veröffentlichungen

Gastbeitrag im Recycling Magazin: Neue EU-Verpackungsverordnung auf der Zielgeraden?

Am 4. März 2024 haben Rat und Vertreter des Europäischen Parlaments eine vorläufige Einigung erzielt, um Verpackungen nachhaltiger zu gestalten und Verpackungsabfälle in der EU…

27.03.2024 | PR-Veröffentlichungen

Gastbeitrag in der ESGZ: Neue Due-Diligence-Pflichten für Unternehmen

In der Märzausgabe der ESGZ (S.13 ff.) findet sich ein Gastbeitrag von KPMG Law Experten Anne Gillig und Thomas Uhlig zur EU-Entwaldungsverordnung. Am 31.05.2023 wurde…

27.03.2024 | KPMG Law Insights

EU-Gebäuderichtlinie: Lebenszyklus-Treibhauspotenzial wird relevant

Das EU-Parlament hat am 12. März 2024 der Novelle der EU-Gebäuderichtlinie zugestimmt. Die Richtlinie verpflichtet Mitgliedstaaten und mittelbar auch Bauherren und Bauunternehmen, bei neuen Gebäuden…

27.03.2024 | KPMG Law Insights

Für Nachhaltigkeitsvereinbarungen gilt das Kartellverbot

Die EU möchte klimaneutral werden. Allein über rechtliche Vorgaben gelingt das nicht. Sie ist auf die Mithilfe der Wirtschaft angewiesen. Wenn Unternehmen sich zur gemeinsamen…

19.03.2024 | Business Performance & Resilience, KPMG Law Insights

CSDDD: Einigung über die EU-Lieferkettenrichtlinie

Die EU-Mitgliedsstaaten haben sich am 15. März 2024 auf die CSDDD, die EU-Lieferkettenrichtlinie geeinigt. Deutschland hat sich bei der Abstimmung enthalten. Unterhändler des EU-Parlaments und…

19.03.2024 | KPMG Law Insights

Der AI Act kommt: EU möchte Risiken von KI in den Griff bekommen

Am 13. März 2024 hat das EU-Parlament dem AI Act zugestimmt und damit den Weg freigemacht für das weltweit erste Gesetz zur Regulierung künstlicher Intelligenz…

18.03.2024 | Business Performance & Resilience, PR-Veröffentlichungen

Gastbeitrag in der Börsen-Zeitung: Die Foreign Subsidies Regulation ist vor allem ein Compliance-Thema

In der Ausgabe vom 15. März 2024 der Börsen-Zeitung findet sich ein Gastbeitrag von KPMG Law Experte Jonas Brueckner. Die EU-Verordnung über Drittstaatensubventionen wird…

Kontakt

Dr. Matthias Magnus Henke

Partner

Tersteegenstraße 19-23
40474 Düsseldorf

tel: +49 211 4155597362
mhenke@kpmg-law.com

Dr. Frank Püttgen

Partner

Barbarossaplatz 1a
50674 Köln

tel: +49 221 2716891414
fpuettgen@kpmg-law.com

Dr. Christopher Peinemann, LL.M.

Senior Manager

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

tel: +49 69 951195-875
cpeinemann@kpmg-law.com

© 2024 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll