DORA-konforme Verträge: Diese Klauseln dürfen nicht fehlen
DORA-konforme Verträge: Diese Klauseln dürfen nicht fehlen
Mit dem Inkrafttreten der DORA-Verordnung (EU) 2022/2554 steigen die Anforderungen an Vertragswerke zwischen Finanzunternehmen und deren IT-Dienstleistern. Wer als Einkäufer oder Jurist Verträge aufsetzt oder prüft, muss bestimmte Elemente zwingend aufnehmen – andernfalls drohen Reputations- und Haftungsrisiken.
Dieser Beitrag zeigt die wichtigsten DORA-relevanten Vertragsbausteine, deren Inhalte und wo sie im Vertrag am besten platziert sind – ergänzt durch Musterformulierungen in juristischer Sprache.
1. Meldepflichten bei IKT-Vorfällen
Inhalt:
- Pflicht zur unverzüglichen Benachrichtigung bei schwerwiegenden IT-Störungen oder Sicherheitsvorfällen
- Fristen: Initialmeldung binnen 4 Stunden, Follow-up-Report nach 3 Tagen, Abschlussbericht innerhalb 1 Monats
Platzierung:
Kapitel „Vorfallmanagement / Incident Reporting“
Musterklausel:
„Der Auftragnehmer verpflichtet sich, dem Auftraggeber jede Beeinträchtigung der Informations- und Kommunikationstechnologie, die geeignet ist, den Geschäftsbetrieb wesentlich zu beeinträchtigen, unverzüglich, spätestens jedoch binnen vier (4) Stunden nach Bekanntwerden, schriftlich anzuzeigen. Weitere Berichte sind nach drei (3) Kalendertagen und spätestens einen (1) Monat nach dem Vorfall nachzureichen.“
2. Audit- und Prüfrechte
Inhalt:
- Ermöglichung von Vor-Ort- und Remote-Audits
- Vorlage von Nachweisen
Platzierung:
Kapitel „Governance / Zusammenarbeit“
Musterklausel:
„Der Auftraggeber sowie die zuständigen Aufsichtsbehörden sind berechtigt, nach vorheriger Ankündigung Audits in den Betriebsräumen des Auftragnehmers durchzuführen, sofern dies zur Einhaltung regulatorischer Vorgaben erforderlich ist. Der Auftragnehmer verpflichtet sich, alle hierfür erforderlichen Informationen bereitzustellen und die Durchführung der Prüfung in angemessenem Umfang zu unterstützen.“
3. Exit-Strategie / Offboarding
Inhalt:
- Datenrückgabe, Migration, Löschung
Platzierung:
Kapitel „Exit-Management“
Musterklausel:
„Nach Vertragsbeendigung ist der Auftragnehmer verpflichtet, sämtliche vom Auftraggeber bereitgestellten oder im Rahmen der Leistungserbringung erhobenen Daten innerhalb von 30 Kalendertagen vollständig, nachvollziehbar und in einem maschinenlesbaren Format herauszugeben und nachweislich zu löschen, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.“
4. Subdienstleister / Kaskadierung
Inhalt:
- Offenlegungspflicht, Weitergabe der Pflichten
Platzierung:
Kapitel „Untervergabe“
Musterklausel:
„Die Einschaltung von Subunternehmern durch den Auftragnehmer bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer verpflichtet sich, mit allen Subunternehmern vertragliche Regelungen zu treffen, die den Anforderungen dieses Vertrages gleichwertig entsprechen.“
5. Business Continuity & Resilienz
Inhalt:
- BCP, RTO/RPO, Testpflicht
Platzierung:
Kapitel „Verfügbarkeitsanforderungen“
Musterklausel:
„Der Auftragnehmer gewährleistet die Umsetzung eines wirksamen Business Continuity Managements. Er verpflichtet sich, Wiederherstellungsziele (RTO/RPO) gemäß den Vorgaben des Auftraggebers einzuhalten und regelmäßig, mindestens jährlich, Notfalltests durchzuführen und dem Auftraggeber darüber zu berichten.“
6. Berichtswesen & Dokumentation
Inhalt:
- Quartalsreporting, Nachweisdokumente
Platzierung:
Kapitel „Reporting & Kommunikation“
Musterklausel:
„Der Auftragnehmer erstellt in regelmäßigen Abständen, mindestens vierteljährlich, einen Bericht über die erbrachten Leistungen, bestehende Risiken sowie relevante sicherheitsbezogene Vorkommnisse. Der Bericht ist schriftlich und elektronisch zu übermitteln und auf Verlangen zu erläutern.“
7. Zugriff auf Systeme & Daten
Inhalt:
- Einsichtnahme, Vertraulichkeit
Platzierung:
Kapitel „Datenschutz & Vertraulichkeit“
Musterklausel:
„Im Falle sicherheitsrelevanter Vorfälle gestattet der Auftragnehmer dem Auftraggeber Zugang zu den betroffenen Systemen, soweit dies zur Ursachenanalyse oder regulatorischer Berichterstattung notwendig ist. Der Zugriff erfolgt unter Wahrung der Integrität und Vertraulichkeit der Daten.“
8. Sanktionen bei Nichteinhaltung
Inhalt:
- Vertragsstrafen, Rücktrittsrechte
Platzierung:
Kapitel „Haftung / Pflichtverletzung“
Musterklausel:
„Verstößt der Auftragnehmer schuldhaft gegen seine Verpflichtungen aus diesem Vertrag, insbesondere hinsichtlich der Melde-, Prüfungs- oder Sicherheitsvorgaben, ist der Auftraggeber berechtigt, eine Vertragsstrafe in Höhe von bis zu 5 % des Jahresauftragswertes geltend zu machen. Weitergehende Rechte bleiben unberührt.“
9. Eskalations- und Kommunikationsprozesse
Inhalt:
- Zuständigkeiten, Reaktionszeiten
Platzierung:
Kapitel „Eskalationsverfahren“
Musterklausel:
„Beide Parteien benennen eine zentrale Ansprechperson für Vorfälle, die während der Geschäftszeiten erreichbar ist. Im Falle eines schwerwiegenden Vorfalls ist eine erste Rückmeldung binnen zwei (2) Stunden zu erfolgen. Ein strukturierter Kommunikationsplan ist im Anhang beizufügen.“
10. Aktualisierungspflichten
Inhalt:
- Pflicht zur Anpassung bei Rechtsänderung
Platzierung:
Kapitel „Compliance & Weiterentwicklung“
Musterklausel:
„Der Auftragnehmer verpflichtet sich, Änderungen der geltenden regulatorischen Anforderungen, insbesondere im Hinblick auf DORA, unverzüglich zu prüfen und in Abstimmung mit dem Auftraggeber erforderliche Vertragsänderungen oder organisatorische Maßnahmen umzusetzen.“
Quellen
- DORA-Verordnung (EU) 2022/2554 – EUR-Lex
- BaFin – Bundesanstalt für Finanzdienstleistungsaufsicht
- ENISA – EU-Agentur für Cybersicherheit
- EBA – Europäische Bankenaufsichtsbehörde
