Die DORA Vertrags-Compliance-Challenge

Die Überprüfung und Anpassung von Verträgen mit IT-Lieferanten, um die zahlreichen Anforderungen von DORA zu erfüllen, stellt für Finanzunternehmen eine große Herausforderung dar – insbesondere angesichts des Stichtags 17. Januar 2025. Ein effizienter, systematischer und digitaler Reviewprozess ist der Schlüssel zur Gewährleistung einer DORA-konformen Vertragslandschaft.

Die BaFin hat am 8. Juli 2024 erstmals eine Aufsichtsmitteilung mit Umsetzungshinweisen zu DORA als (nicht verbindliche) Hilfestellung für die betroffenen Finanzunternehmen veröffentlicht (BaFin - Aktuelles - Aufsichtsmitteilung Umsetzungshinweise DORA).

In Bezug auf die vertragliche Umsetzung der DORA sind insbesondere folgende Punkte von Bedeutung:

  • Mit der Umsetzung von DORA beabsichtigt die BaFin, die aufsichtsrechtlichen Anforderungen an die IT (BAIT/VAIT/KAIT/ZAIT) aufzuheben. Zukünftig wird somit bei IKT-Dienstleistungen allein die DORA maßgeblich sein, deren spezifische Anforderungen sich von den bisherigen Anforderungen an die IT unterscheiden können.
  • Die Umsetzungshinweise der BaFin enthalten eine (nicht abschließende) Übersicht der Mindestvertragsinhalte, die im Rahmen der DORA-Vertragscompliance mit IKT-Drittdienstleistern zu vereinbaren sind (BaFin - Aktuelles - Mindestvertragsinhalte DORA). Diese sollen im Grundsatz auch für Kapitalverwaltungsgesellschaften sowie Zahlungs- und E-Geld-Institute gelten.
  • Die BaFin erwartet eine Neu- oder Nachverhandlung der Verträge mit IKT-Drittdienstleistern und weist auf die Umsetzungsfrist bis zum 17. Januar 2025 ohne weitere Übergangsfristen hin und erwartet einen dokumentierten Implementierungszeitplan. Das Abwarten auf die noch nicht veröffentlichten Standardvertragsklauseln ist nicht ausreichend.

Im Ergebnis hat die BaFin damit nun auch ausdrücklich formuliert, dass die betroffenen Finanzunternehmen unmittelbar in die vertragliche Implementierung der DORA einsteigen müssen.

DORA: Die Reaktion der EU auf Cybersecurity-Bedrohungen

Am 27. Dezember 2022 führten das Europäische Parlament und der Rat die Verordnung (EU) 2022/2554 ein, die gemeinhin als Digital Operational Resilience Act oder DORA bekannt ist. Ihr Hauptziel ist es, die IT-Sicherheit von Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen zu verbessern. Complianceanforderungen für bestimmte Verträge als Teil des „Management des IKT-Drittparteirisikos“ ist eine der fünf Säulen von DORA.

Die fünf Säulen von DORA

DORA harmonisiert und konsolidiert Schlüsselelemente bestehender Rahmenwerke und Standards für die digitale Resilienz in der EU und führt gleichzeitig neue Anforderungen ein. DORA konzentriert sich auf fünf Hauptbereiche: Informations- und Kommunikationstechnologie (IKT)-Risikomanagement, Umgang mit IKT-bezogenen Vorfällen, Prüfung der digitalen operationellen Resilienz Management des IKT-Drittparteirisikos und Informationsaustausch.

DORA: The Efficient Contract Compliance (Englisch)

Die Finanzunternehmen müssen die Risiken im Zusammenhang mit ihren Informations- und IKT-Systemen bewerten und steuern.  
Die Finanzinstitute müssen die zuständigen Behörden unverzüglich unterrichten, wenn erhebliche Störungen auftreten.
Regelmäßige Tests gewährleisten die Widerstandsfähigkeit digitaler Systeme und fördern sowohl grundlegende als auch fortgeschrittene Tests, um die Bereitschaft für Betriebsunterbrechungen zu bewerten.
DORA weitet seinen Geltungsbereich auf Drittdienstleister aus und veranlasst Finanzunternehmen, ihre vertraglichen Beziehungen zu IKT-Dienstleistern zu überprüfen und gegebenenfalls anzupassen.
Zusammenarbeit und Informationsaustausch erhöhen die allgemeine Resilienz.

Management des IKT-Drittparteirisikos als Contracting-Herausforderung

Im Rahmen der Säule “IKT-Drittanbieter-Risikomanagement” sind die Finanzunternehmen unter anderem dafür verantwortlich, dass ihre vertraglichen Vereinbarungen mit IKT-Drittanbietern mit den in der DORA festgelegten Anforderungen übereinstimmen. Eine zentrale Bestimmung, die diese Anforderungen regelt, ist Art. 30 DORA. Lesen Sie hier Art. 30 DORA im Volltext

Weitere Anforderungen sind in der DORA und den dazugehörigen technischen Regulierungs- (RTS) und Implementierungsstandards (ITS) festgelegt.

Letztlich müssen die Finanzunternehmen alle relevanten Vereinbarungen ermitteln, sammeln, überprüfen und gegebenenfalls ändern. Die Frist für den Abschluss dieser Maßnahmen ist der 17. Januar 2025.

  1. Dies führt zunächst zu der Aufgabe, alle relevanten IKT-Verträge für die Überprüfung zu ermitteln und zu sammeln. In Anbetracht des Umfangs ihrer Geschäftstätigkeit verwalten Finanzunternehmen oft eine beträchtliche Anzahl von IKT-bezogenen Verträgen - oft mehr als tausend Verträge pro Institut.
  2. Der zweite Schritt, eine detaillierte rechtliche Prüfung jedes Vertrags im Hinblick auf die DORA-Anforderungen, beginnt mit der Einstufung jedes Vertrags in kritisch oder unkritisch, gefolgt von einer eingehenden rechtlichen Bewertung, ob er die entsprechenden spezifischen Anforderungen gemäß DORA erfüllt.
  3. Schließlich müssen alle IKT-Verträge, die aktualisiert werden müssen, geändert werden – was nur mit Zustimmung der jeweiligen Gegenpartei möglich ist und zu Vertragsverhandlungen führen kann, insbesondere wenn die Gegenpartei mit DORA nicht vertraut ist.

Die Herstellung von DORA-Vertragscompliance ist aufgrund ihres Umfangs und des Aufwands, der für die Überprüfung und Neuverhandlung komplexer Verträge innerhalb kurzer Zeit erforderlich ist, eine erhebliche Herausforderung.

Der technologiegestützte Ansatz von Deloitte Legal

Unser dreistufiger Ansatz hilft Ihrem Unternehmen, die verschiedenen Herausforderungen der DORA-Vertrasgscompliance zu meistern.

In der Vorbereitungsphase konzentrieren wir uns darauf, die in Frage kommenden Verträge zu identifizieren, den gewünschten Zielzustand zu definieren und einige rechtliche Eckpfeiler festzulegen, z. B. die Kriterien für die Entscheidung, ob ein Vertrag kritisch oder unkritisch ist. Außerdem führen wir eine erste Bewertung Ihrer Vertragslandschaft durch.

In der anschließenden Gap-Analyse führen wir eine technologiegestützte rechtliche Prüfung Ihrer relevanten Verträge durch, um den Grad ihrer DORA-Konformität zu bewerten, oder wir diskutieren andere Ansätze, wie z. B. die pauschale Änderung aller relevanten Verträge durch standardisierte oder individualisierte DORA-Anhänge. Optional kann unsere rechtliche Analyse auch auf andere wichtige Themen wie z.B. die Einhaltung der GDPR ausgeweitet werden.

Ziel der Implementierungsphase ist es, alle relevanten Verträge so zu aktualisieren, dass sie den DORA-Anforderungen entsprechen. Unser Team aus Juristen und Legal Engineers kann Sie bei der gesamten Bandbreite solcher Vertragsanpassungen unterstützen, einschließlich der Massenproduktion von standardisierten oder individualisierten DORA-Anhängen, der Beantwortung von Fragen der Vertragspartner, der Verhandlung der gewünschten Vertragsänderungen, der Koordinierung der Unterschriften und der Einspeisung der unterzeichneten Versionen in Ihr Vertragsmanagement. Wir erstellen gemeinsam mit Ihnen ein Verhandlungs- und Q&A-Playbook, um volle Transparenz darüber zu schaffen, wie wir in Ihrem Namen mit Ihren Vertragspartnern kommunizieren, und um Ihnen die volle Kontrolle darüber zu geben, wann und wie wir Themen in Ihrer Organisation eskalieren werden.

Unser Team wird in jeder Phase des Projekts von modernster Technologie unterstützt.

Sprechen Sie uns an – wir unterstützen Sie gerne beim effizienten Weg in die DORA-Vertragscompliance.

Ansprechpartner

Dr. Till Contzen

Dr. Till Contzen

Partner | Lead Digital Law

Dr. Till Contzen ist Partner bei Deloitte Legal und Leiter der Service Line Digital Law. Sein Fokus liegt auf IT Recht und Digitalisierung. Seit seiner Zulassung zum Rechtsanwalt Anfang 2012 hat Till sich auf alle mit Informationstechnologie zusammenhängenden Rechtsangelegenheiten spezialisiert. Er hat zahlreiche Mandanten bei der Modernisierung und Auslagerung von IT-Leistungen und der Digitalisierung von Geschäftsprozessen beraten. Darüber hinaus begleitet er Mandanten regelmäßig bei der Entwicklung, Implementierung und dem Vertrieb von komplexen IT-Lösungen wie ERP- und CRM-Systemen sowie die Migration in Cloud-Umgebungen und Beschaffungen im ‚Everything-as-a-Service‘ (XaaS) Bereich. Durch sein tiefgreifendes Verständnis von Technologien ist Till erfahren in der Übertragung komplexer technischer Themen in die juristische Sprache. Er berät seine Mandanten nicht nur bei den rechtlichen Herausforderungen eines Projekts, sondern auch bei der Bewältigung der zahlreichen organisatorischen, wirtschaftlichen und prozessualen Herausforderungen, mit denen diese im Laufe eines Projekts konfrontiert sind.

Klaus Gresbrand

Klaus Gresbrand

Partner

Klaus Gresbrand arbeitet seit 2012 bei Deloitte Legal Deutschland und ist dort Partner. Zuvor arbeitete er für eine internationale Großkanzlei. Sein Spezialgebiet ist Gesellschaftsrecht, einschließlich Umwandlungsrecht. Er ist Mitglied im Japan Desk von Deloitte Legal Deutschland und Teil der Service Line Corporate/M&A. Sein Tätigkeitsschwerpunkt liegt neben der allgemeinen gesellschaftsrechtlichen Beratung im Bereich Legal Due Diligence, Transaktionen und Umstrukturierungen, einschließlich nationaler und grenzüberschreitender Verschmelzungen. Er berät ferner zum Thema Legal Technology, einschließlich Contract Lifecycle Management und Dokumentenautomation. Klaus Gresbrand ist als deutscher Rechtsanwalt zugelassen. Er studierte Rechtswissenschaften an der Universität Osnabrück. Ferner verbrachte er Auslandssemester an der Chuo Universität und der Universität Tokyo in Japan. Er spricht Deutsch, Englisch und Japanisch.

Dr. Hannes Bracht

Dr. Hannes Bracht

Partner

Dr. Hannes Bracht ist seit Januar 2017 Rechtsanwalt und Partner im Frankfurter und Düsseldorfer Büro von Deloitte Legal in der Service Line Banking & Finance. Der Schwerpunkt seiner Tätigkeit liegt in der Beratung von Banken, Sparkassen, Finanz- und Zahlungsdienstleistern in allen aufsichtsrechtlichen Fragen. Zudem berät er Unternehmen außerhalb des Finanzsektors zur Vermeidung aufsichtsrechtlicher Risiken. Vor seiner Tätigkeit bei Deloitte Legal war Hannes Bracht sechs Jahre in einer auf Bank- und Bankaufsichtsrecht spezialisierten mittelständischen Rechtsanwaltskanzlei tätig. Zu seinen Kernangeboten zählen Gutachten zu aufsichtsrechtlichen Fragen, die umfassende Begleitung aufsichtsrechtlicher Verfahren (z.B. Erlaubnis-, Inhaberkontroll-, Freistellungs-, Ausnahme- und Anzeigeverfahren), die Vertragsgestaltung mit aufsichtsrechtlichem Hintergrund (z.B. Outsourcing- oder Kooperationsverträge), die Kommunikation mit Aufsichtsbehörden, die Regulatory Due Diligence, Implementierungprojekte und die Schulung von Leitungs- und Aufsichtsorganen. Neben seiner anwaltlichen Tätigkeit veröffentlicht er regelmäßig zu aufsichtsrechtlichen Themen und ist Lehrbeauftragter an der Westfälischen Wilhelms-Universität Münster. Hannes Bracht ist Fachanwalt für Bank- und Kapitalmarktrecht.

Frank Fischer, LL.M. (Univ. London)

Frank Fischer, LL.M. (Univ. London)

Partner

Frank Fischer leitet als Partner den Versicherungsbereich von Deloitte Legal in Deutschland und ist Teil des deutschen Insurance Leadership Teams von Deloitte. Er ist seit über 15 Jahren als Rechtsanwalt in der Finanzindustrie tätig und berät Erst- und Rückversicherer, Versicherungsvermittler, EbAV, Banken, Finanzdienstleister und Asset Manager in allen Bereichen des Aufsichtsrechts und den Schnittstellen zum Gesellschaftsrecht und weiteren Gebieten. Regelmäßig steht er seinen Mandanten in Transaktionen, in Transformationsprojekten und in Verfahren gegenüber der BaFin zur Seite. Ein Schwerpunkt seiner Tätigkeit ist die Beratung zu Governance, TOM und Outsourcing, gerade auch von IT-Leistungen unter Berücksichtigung von MaGo/VAIT/KAIT/DORA etc. Frank war vor seiner Tätigkeit bei Deloitte Legal u.a. Rechtsanwalt in einer anderen Big4-Rechtsanwaltsgesellschaft und Assistant General Counsel eines führenden Asset Managers für institutionelle Investoren. Er hat umfassende Erfahrung bei der Lösung rechtsgebietsübergreifender Problemstellungen im Konzern sowie der Geschäftsleiter-Beratung zu Haftungs-, Struktur- und Organisationsthemen (Corporate Governance & Compliance). Frank spricht Deutsch und Englisch.

Matthias Meinert

Matthias Meinert

Partner

Matthias Meinert ist ein erfahrener Rechtsanwalt im Bereich Financial Services. Sein Tätigkeitsschwerpunkt liegt im Investmentrecht. Er berät insbesondere bei der Strukturierung, Auflage und dem Vertrieb von Investmentfonds sowie bei Fragen der regulatorischen Compliance. Dies umfasst auch die rechtliche Beratung zur Erwerbbarkeit von Investmentprodukten durch deutsche regulierte Investoren wie Versicherungsgesellschaften und Pensionskassen. Zu seinem Mandantenspektrum gehören Fondsmanager, Vermögensverwalter, Asset Manager, Kapitalverwaltungsgesellschaften und institutionelle Investoren. Matthias Meinert verfügt ebenfalls darüber hinaus über praktische Erfahrung in der Beratung von Investmenthäusern, die Zugang zum deutschen und europäischen Markt suchen. Er unterstützt bei der Gründung deutscher Unternehmen und den entsprechenden Erlaubnisverfahren bei der BaFin / Deutschen Bundesbank sowie bei der Errichtung deutscher Zweigstellen von EU-Investmentfirmen und Fondsgesellschaften. Im Bereich der digitalen Vermögenswerte und Blockchain-Projekte mit Bezug zu Kryptowerten berät Matthias Meinert insbesondere Kryptowährungsfonds, Sponsoren und Emittenten in allen Aspekten des Fundraising-Lebenszyklus. Dies schließt Fragen der Strukturierung, regulatorischen Compliance und des Vertriebs ein. Vor seiner Tätigkeit bei Deloitte Legal war Matthias Meinert Rechtsanwalt bei einer führenden US-amerikanischen Law Firm. Zudem kann er auf seine langjährigen Erfahrungen als Unternehmensjurist bei PIMCO und bei einer deutschen Kapitalverwaltungsgesellschaft zurückblicken. Er begann seine Karriere in einer internationalen Wirtschaftsprüfungsgesellschaft im Bereich Financial Services Tax. Darüber hinaus ist Matthias Meinert als zertifizierter Compliance Officer (Univ.) qualifiziert.

Recommended for you

Freigeben Veranstaltung auf Social Media teilen