DORA Art. 30 Pflichtklauseln: Checkliste für ICT-Verträge

Wann Art. 30 greift

Art. 30 gilt für jeden Vertrag über ICT-Dienstleistungen zwischen Finanzunternehmen und einem ICT-Drittanbieter. ICT-Dienstleistungen sind weit gefasst: SaaS, IaaS, PaaS, MDR, Beratung mit Systemzugriff, Outsourcing.

Die Pflichten skalieren mit der Funktions-Kritikalität: 'normale' Funktionen brauchen Basis-Klauseln, kritische oder wichtige Funktionen die erweiterten Klauseln nach Art. 30 Abs. 3.

Die Klassifizierung erfolgt durch das Finanzunternehmen selbst, überprüft durch die Aufsicht.

Basis-Klauseln für normale Funktionen

Klare Beschreibung der erbrachten Dienste mit funktionalen und nicht-funktionalen Eigenschaften.

Speicherort und Verarbeitungsort der Daten, einschließlich Sub-Speicherorte durch Sub-Lieferanten.

Service-Level-Agreements (SLAs) mit Verfügbarkeit, Reaktionszeit, Wiederherstellungszeit.

Daten-Verarbeitungsbedingungen einschließlich Sicherheits-Maßnahmen.

Kündigungsregelungen, Mindestlaufzeit, Kündigungsfristen, vereinbarte Mitwirkungspflichten.

Prüfrechte für das Finanzunternehmen und seine Aufsicht.

Verpflichtung des Anbieters, das Finanzunternehmen über Sub-Outsourcing zu informieren.

Erweiterte Klauseln für kritische oder wichtige Funktionen

Vollständige Audit-Rechte: Vor-Ort-Prüfungen, Prüfungen durch unabhängige Dritte, Prüfungen durch die zuständige Aufsicht. Limits durch Anbieter (zwei Audits pro Jahr) sind aufsichtsrechtlich heikel.

Sub-Outsourcing-Kontrolle: Vorab-Information bei jeder Änderung der Sub-Lieferanten, Vetorecht bei kritischen Funktionen, durchgängige Pflicht-Klauseln in der gesamten Lieferkette.

Getestete Exit-Strategie: dokumentierter Exit-Plan mit angemessenen Übergangsfristen (typischerweise 12-24 Monate), regelmäßig getestet, mit Migrations-Unterstützung durch den Anbieter.

Incident-Reporting-Pflichten: unmittelbare Information an das Finanzunternehmen, wenn ein Vorfall die Dienste oder Daten betrifft, mit allen Informationen, die für die DORA-Meldung an die Aufsicht nötig sind.

Kooperation mit Aufsichtsbehörden: aktive Mitwirkung bei Prüfungen, ggf. Vor-Ort-Zugang für Aufseher, Daten- und Doku-Bereitstellung.

Wo Verhandlungen scheitern

Audit-Rechte: große Cloud-Anbieter verweigern häufig 'unlimited' Audit-Rechte und bieten standardisierte Audit-Berichte (SOC 2, ISO 27001, C5). Die BaFin akzeptiert kombinierte Modelle, fordert aber im Einzelfall Vor-Ort-Prüfungen.

Sub-Outsourcing: Anbieter wollen flexible Sub-Lieferanten-Ketten. Finanzunternehmen brauchen Vetorecht. Konsens: vorab-Information, keine kritischen Funktions-Änderungen ohne Zustimmung.

Exit-Strategie: Standard-AGB nennen oft 30-Tage-Kündigungsfristen ohne Migrations-Unterstützung. Das reicht nicht; nachverhandeln auf 12-24 Monate mit dokumentierten Migrations-Schritten und Datenexport-Garantie.

Datenresidenz: pauschale 'Daten in der EU' reichen nicht; verlangen ist die Liste der Verarbeitungsorte plus Sub-Speicher-Standorte plus Kontrolle über Sub-Verarbeitung in Drittländern.

Pragmatischer Vorgehensplan

1. Inventarisieren: welche Verträge sind betroffen, welche Funktionen kritisch/wichtig vs. normal.

2. Gap-Analyse pro Vertrag: welche Klauseln sind drin, welche fehlen, welche sind unzureichend.

3. Priorisierung: zuerst die kritischen Funktionen, dann wichtige, dann normale.

4. Verhandlungs-Strategie: Standard-Klausel-Pakete vorbereiten (Beispiele liefern AFME, ISDA, EBF). Mit kleineren Anbietern direkt; mit Hyperscalern oft über DORA-Addendum.

5. Decision Memo pro Vertrag: dokumentiert die Eignungsprüfung nach Art. 28, die Klassifizierung kritisch/wichtig/normal, das Klausel-Mapping und die Konzentrations-Risiko-Bewertung.