Regulatorische Anforderungen an IT-Dienstleistungsverträge im Finanzsektor: Die Herausforderungen durch DORA

Die Ausgangslage

Mit der Einführung der EU-Verordnung über digitale operationale Resilienz im Finanzsektor (kurz: DORA) erfuhren Finanzunternehmen eine tiefgreifende Umgestaltung ihrer vertraglichen Beziehungen zu externen IT- und Kommunikationsdienstleistern. Ziel ist die Stärkung der Widerstandsfähigkeit gegen digitale Risiken und die Schaffung einheitlicher Standards für das Drittparteienmanagement im Bereich der Informations- und Kommunikationstechnologien.

Dabei verlangt DORA nicht nur neue inhaltliche Vorgaben für bestehende und neue Verträge, sondern auch eine strategische Neuausrichtung im Umgang mit externen IT-Partnern. Insbesondere Dienstleistungen, die in die Infrastruktur kritischer oder wesentlicher Betriebsfunktionen eingebettet sind, unterliegen einer deutlich verschärften Regulatorik. Die Identifikation solcher Funktionen wird zum Ausgangspunkt der gesamten Vertragsanpassung.

Auswirkungen auf Vertragslandschaften im Finanzwesen

DORA definiert in mehreren Artikeln verbindliche Mindestanforderungen für Vereinbarungen mit externen IT-Dienstleistern. Dies betrifft sowohl die grundlegende inhaltliche Ausgestaltung von Verträgen als auch deren Form und Dokumentation. Die Anforderungen gelten überdies nicht nur für klassische Outsourcing-Sachverhalte, sondern erfassen nunmehr auch Dienstleistungen, die bislang lediglich als sonstiger Fremdbezug klassifiziert wurden.

Hervorzuheben ist, dass auch die Anbieter solcher Dienste nun unmittelbar Adressaten regulatorischer Pflichten werden. Der EU-Gesetzgeber hat mit DORA eine Regelung geschaffen, die nicht nur die Finanzunternehmen in die Verantwortung nimmt, sondern auch die Dienstleister selbst zur Einhaltung bestimmter Mindeststandards verpflichtet.

Vertragsinhalte auf dem Prüfstand

Kern der Anpassungspflichten sind die in Art. 30 DORA konkretisierten vertraglichen Mindestinhalte. Diese differenzieren zwischen allgemeinen Anforderungen und solchen, die nur bei der Unterstützung kritischer oder wichtiger Funktionen zur Anwendung kommen.

Zu den geforderten Regelungsgegenständen gehören unter anderem klare Ausstiegsregelungen, die Sicherstellung der Datenverfügbarkeit und -sicherheit, der Zugriff der Aufsichtsbehörden auf relevante Vertragsinhalte sowie Regelungen zum Umgang mit Unterauftragnehmern.

Darüber hinaus werden Beteiligungspflichten der Dienstleister an Sensibilisierungsprogrammen sowie spezifische Anforderungen an die Form und Nachvollziehbarkeit der Vertragswerke etabliert.

Bedeutung der Funktionsklassifizierung

Ein zentrales Element der DORA-Umsetzung ist die Bewertung, welche Dienstleistungen zur Aufrechterhaltung kritischer oder wichtiger Funktionen beitragen. Diese Kategorisierung ist entscheidend für die Frage, ob ein Vertrag in den Anwendungsbereich der strengen Anforderungen fällt.

Dabei ist die Definition bewusst weit gefasst und kontextabhängig. Ob eine Funktion als kritisch einzustufen ist, hängt vom konkreten Geschäftsmodell, der Marktstellung und dem regulatorischen Rahmen des jeweiligen Unternehmens ab. Eine pauschale Einordnung ist nicht möglich. Es ist daher notwendig, institutsindividuell zu bewerten, welche IKT-Leistungen systemrelevant sind.

Regulatorische Verflechtung: Zusammenspiel mit nationalem Recht

DORA wirkt nicht im luftleeren Raum. Vielmehr sind ihre Vorschriften im Lichte bestehender nationaler Regelungen, insbesondere des KWG, ZAG sowie der MaRisk und der EBA-Guidelines zu Outsourcing, zu interpretieren. Die Herausforderungen bestehen somit nicht nur in der Umsetzung der Verordnung selbst, sondern auch in der Synchronisierung mit den bestehenden Compliance-Strukturen.

Es entsteht ein „doppelter Pflichtenkreis“: Neben DORA sind die bisherigen Vorgaben zur Auslagerung weiterhin anwendbar, was die Komplexität der vertraglichen Implementierung weiter erhöht.

Formale Anforderungen und Dokumentation

Besondere Aufmerksamkeit verdient die geforderte Vertragsform. Verträge müssen künftig als zusammenhängende Dokumente in dauerhaft verfügbarem Format vorliegen. Dynamische Verweise auf externe Inhalte oder bloße SLA-Nachweise auf Webseiten dürften diesen Anforderungen nicht mehr genügen.

Welche Form dabei genau als zulässig gilt – etwa einfache Textform, elektronische Signatur oder sogar qualifizierte Signatur – ist Gegenstand laufender Diskussionen. Die Wahl der Form sollte jedenfalls risikobasiert unter Berücksichtigung der jeweiligen Funktion und Kritikalität der Dienstleistung erfolgen.

Strategische Umsetzung

In der Praxis empfiehlt sich ein gestuftes Vorgehen. Zunächst ist ein Mapping bestehender Verträge vorzunehmen, um die IKT-Leistungen nach ihrem Funktionsbezug einzuordnen. Sodann sollten Mustervertragsklauseln und -anhänge entwickelt werden, die DORA-konforme Regelungen enthalten. Wo erforderlich, sollten die Verträge in enger Zusammenarbeit mit Dienstleistern neu verhandelt werden.

Insbesondere bei kritischen Leistungen wird es in Zukunft auf standardisierte, belastbare und auditierbare Vertragswerke ankommen. Wo dies nicht möglich ist, etwa bei Drittanbietern mit starker Verhandlungsmacht, müssen alternative Steuerungsinstrumente (z. B. Kontrollberichte, SLA-Monitoring, Exit-Klauseln) greifen.

Fazit

DORA zwingt Finanzunternehmen dazu, die eigene digitale Lieferkette neu zu denken und vertraglich neu zu gestalten. Die Verordnung etabliert nicht nur neue Pflichten, sondern verändert auch die Risikowahrnehmung im Umgang mit IKT-Dienstleistungen grundlegend.

Die damit einhergehende Anpassung der Vertragslandschaft erfordert erhebliche Ressourcen und ein hohes Maß an interner Koordination. Sie bietet aber auch die Chance, das Drittparteienmanagement auf ein robusteres, regulatorisch gesichertes Fundament zu stellen. Finanzunternehmen sollten die verbleibende Zeit bis zur vollumfänglichen Anwendbarkeit von DORA nutzen, um bestehende Prozesse zu evaluieren und zukunftsfest auszurichten. 

Dr. André Natalello – Geschäftsführender Partner der Kanzlei – hat zum Thema Outsourcing bei Instituten promoviert und berät Finanzinstitute bei der Prüfung von Auslagerungsverträgen. Gern unterstützt er auch Ihr Institut / IT-Unternehmen bei der Implementierung der Regelungen zum Outsourcing.