DORA-IKT-Vertragsprüfung

DORA-IKT-Vertragsprüfung

Zweck

Dieser Skill prüft Verträge mit IKT-Drittdienstleistern, die ein Finanzunternehmen i. S. v. Art. 2 DORA (Kreditinstitute, Zahlungs-/E-Geld-Institute, Wertpapierfirmen, Versicherer, Verwalter alternativer Investmentfonds, KVGen, OGAW, Zentralverwahrer, ZGP, Handelsplätze, Krypto-Dienstleister u. a.) abgeschlossen hat oder abschließen will, auf die Anforderungen der Verordnung (EU) 2022/2554 (Digital Operational Resilience Act – "DORA") sowie der dazu erlassenen RTS/ITS und EBA-/ESA-Leitlinien.

Ergebnis ist eine tabellarische Lückenanalyse mit:

• Klauseltext (Ist),
• DORA-Anker (Soll),
• Lückenbewertung (konform / teilkonform / nicht konform / fehlt),
• konkretem Verbesserungsvorschlag inkl. Klausel-Entwurf,
• Kritikalitäts-Score (1 = niedrig … 5 = "kritisch oder wichtig" i. S. v. Art. 28 III DORA, § 28 BaFin-Auslegungshilfe).

Anwendungsfälle: Vertragsanbindung eines neuen IKT-Dienstleisters; Re-Papering bestehender Cloud-/SaaS-/Outsourcing-Verträge zum Geltungsbeginn 17. Januar 2025; ad-hoc-Prüfung im Rahmen einer BaFin-Sonderprüfung nach § 44 KWG / § 306 VAG.

Eingaben

1. Vertragsdokument (PDF/DOCX/MD) inkl. aller Anlagen, SLAs, DPAs, Sub-Outsourcing-Listen.
2. Klassifikation der Funktion (kritisch / wichtig / sonstige) gem. Art. 28 II DORA i. V. m. RTS (Delegierte VO (EU) 2024/1773).
3. Finanzunternehmens-Profil: Aufsichtsregime (KWG, ZAG, KAGB, VAG, MiCAR), Größe (Art. 2 IV DORA – Verhältnismäßigkeitsklausel).
4. Dienstart: Cloud (IaaS/PaaS/SaaS), Managed Service, Software-Lizenz, Datenanalyse, Konnektivität.
5. Datenkategorien: personenbezogene Daten (DSGVO), Kundengeheimnis (§ 9 KWG / § 311 VAG), Berufsgeheimnis (§ 203 StGB).

Rechtlicher Rahmen

Primärrecht

• DORA-Verordnung: VO (EU) 2022/2554 v. 14.12.2022, ABl. L 333/1; Geltungsbeginn 17.01.2025 (Art. 64 II).
• DORA-Änderungs-RL: RL (EU) 2022/2556 (Anpassung sektoraler Rechtsakte).
• Art. 28 DORA – allgemeine Grundsätze für Vertragsvereinbarungen mit IKT-Drittdienstleistern.
• Art. 29 DORA – Vorabbewertung des IKT-Konzentrationsrisikos.
• Art. 30 DORA – Pflichtinhalte des IKT-Drittdienstleistervertrags.
• Art. 30 III DORA – verschärfte Pflichtinhalte bei kritischen oder wichtigen Funktionen.
• Art. 31–44 DORA – Aufsichtsrahmen kritischer Drittdienstleister (Lead Overseer ESA).

Tertiärrecht / RTS / ITS

• Delegierte VO (EU) 2024/1773 v. 13.03.2024 (RTS zu Subunternehmer-Ketten, Art. 30 V DORA).
• Delegierte VO (EU) 2024/1772 (RTS Klassifizierung schwerwiegender IKT-Vorfälle).
• Delegierte VO (EU) 2024/1505 (ergänzende RTS-Pakete der ESAs).
• DurchführungsVO (EU) 2024/2956 (ITS zum Informationsregister).
• Vollständiger RTS-/ITS-Bestand siehe references/dora-rechtsquellen.md und Live-Abruf via EUR-Lex-Connector.

Soft Law

• ESA Joint Final Reports zu RTS/ITS DORA (JC 2023/Y).
• BaFin-Merkblatt "DORA – Hinweise zur Anwendung", Stand 2024 (laufend aktualisiert).
• EBA Outsourcing Guidelines EBA/GL/2019/02 (für CRR-Institute; durch DORA überlagert, aber Auslegungshilfe).
• EIOPA Outsourcing Guidelines (Versicherungen).
• BaFin BAIT/VAIT/KAIT/ZAIT – soweit nicht durch DORA verdrängt (Stand: BaFin-Konsultation zur Aufhebung 2024/2025).

Deutsches Aufsichtsrecht (flankierend)

• § 25b KWG (Auslagerung; weiterhin Auffanglinie für Nicht-IKT-Auslagerungen).
• § 24 ZAG; § 32 VAG; § 36 KAGB.
• FISG 2021 (Verschärfung Auslagerungsrecht).
• Datenschutz: Art. 28 DSGVO AVV, § 11 BDSG.

Leitentscheidungen / Auslegung / Aktualität

Stand 05/2026. DORA ist seit dem 17.01.2025 voll anwendbar. Wichtigste Entwicklungen seit Geltungsbeginn:

• Liste kritischer IKT-Drittdienstleister: Die ESAs (EBA, EIOPA, ESMA) haben im November 2025 erstmals 19 kritische IKT-Drittdienstleister benannt (u. a. Amazon, Microsoft, Google). Für diese werden ab 2026 Joint Examination Teams (JET) eingerichtet und Lead Overseers benannt. Aktuelle Liste über die ESA-Webseiten (EBA, ESMA, EIOPA) verifizieren.
• BaFin DORA-Informationsregister: Erste Meldefrist 11.04.2025; folgende reguläre Frist BaFin 09.–30.03.2026; Pflichtfelder nach DurchführungsVO (EU) 2024/2956. Aktualität über bafin.de/DORA.
• BaFin-Auslegungshinweise: Fachartikel "Im Aufsichtsfokus: Wenn Konzentrationen zum Risiko werden" (BaFin 07.01.2025) und nachfolgende Hinweise zum vereinfachten IKT-Risikomanagementrahmen und Drittparteienrisiken. Live über bafin.de prüfen.

Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff. Rechtsprechung im Mandat live verifizieren — keine Aktenzeichen aus Modellwissen.

Ablauf

1. Dokumentenaufnahme. Vertrag, Anlagen, DPA, SLA, Sub-Listen einlesen; Funktionsklassifikation (kritisch/wichtig vs. sonstige) festhalten.
2. Konnektor aufrufen. EUR-Lex-Connector: aktuellste konsolidierte Fassung VO 2022/2554 inkl. aller Anhänge + delegierter RTS/ITS abrufen (siehe Abschnitt "Konnektor & Datenquellen"). Versionsstand im Output dokumentieren.
3. Pflichtklausel-Matrix anwenden. Jede Pflicht aus Art. 30 II DORA (alle Verträge) und Art. 30 III DORA (kritische/wichtige Funktionen) sowie aus den RTS gegen den Vertrag mappen. Vorlage in references/dora-klauselmatrix.md.
4. Lücken markieren. Für jede Pflicht: zitierte Vertragsstelle (Klausel-Nr., Wortlaut) oder "fehlt"; Bewertung; Kritikalitätsstufe.
5. Verbesserungsvorschläge formulieren. Pro Lücke konkreter Klauselentwurf (DE), bei Bedarf EN-Übersetzung; Berücksichtigung Verhältnismäßigkeit Art. 4 DORA.
6. Sekundärthemen prüfen. Datenschutz (Art. 28 DSGVO, § 203 III StGB Berufsgeheimnis-Klausel), AGB-Kontrolle (§§ 305 ff. BGB, B2B-Strahlwirkung), § 9 KWG Kundengeheimnis, Exit-/Wiederherstellbarkeit, Subunternehmer-Kette gemäß RTS 2024/1773.
7. Konzentrationsrisiko (Art. 29). Wenn Lead-Overseer-Kandidat oder erheblicher Marktanteil: gesonderter Abschnitt mit Konzentrationsanalyse, Multi-Vendor-Empfehlung.
8. Output erzeugen. Tabular Review (siehe unten) + Executive Summary für die Geschäftsleitung + Klausel-Patch-Liste für Rechtsabteilung/Procurement.
9. Aufnahme in Informationsregister. Hinweis: Pflichtfelder gem. DurchführungsVO 2024/2956 (Register of Information) im Output identifizieren und mappen.

Konnektor & Datenquellen

Empfohlene MCP-Konnektoren (s. CONNECTORS.md):

{
  "mcpServers": {
    "eur-lex":   { "command": "node", "args": ["./mcp/eur-lex.js"] },
    "bafin":     { "command": "node", "args": ["./mcp/bafin.js"] },
    "esa-feeds": { "command": "node", "args": ["./mcp/esa-feeds.js"] }
  }
}

Vor jeder Prüfung: immer konsolidierte Fassung der DORA-VO frisch abrufen, Versions-/Stand-Datum in der Output-Kopfzeile mitführen.

Pflichtklausel-Matrix (Auszug Art. 30 DORA)

Die vollständige Matrix mit allen Unterpunkten und Bewertungsschemata liegt in references/dora-klauselmatrix.md.

Ausgabeformat

A. Tabular Review (CSV/Markdown-Tabelle)

B. Executive Summary (Memo, max. 1 Seite)

• Gesamtbewertung (Ampel + Score-Mittelwert)
• Top-3-Lücken (Kritikalität 5)
• Re-Papering-Aufwand (Schätzung)
• Empfehlung: vertraglich nachverhandelbar / Exit-/Alternativen-Prüfung notwendig
• Hinweis auf Aufnahme ins Informationsregister
• Quellenkopf mit Versionsstand der DORA-VO

C. Klausel-Patch-Liste (DOCX/Markdown)

Pro Verbesserungsvorschlag ein Patch-Block mit:

• Klauselnummer alt / neu
• Diff (alt → neu)
• Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
• Verhandlungsschwere (1–3)

Beispiel (Auszug Memo)

Mandat: Prüfung des Master Services Agreement zwischen X-Bank AG (CRR-Institut, BaFin-Aufsicht) und CloudCo Inc. (SaaS, Kernbanken-Modul). Funktionsklassifikation: kritisch oder wichtig i. S. v. Art. 28 II DORA.

Kurzantwort: Der Vertrag ist in der aktuellen Fassung nicht DORA-konform. Von 20 Pflichtinhalten sind 7 vollständig, 9 teilkonform und 4 fehlend. Re-Papering bis 17.01.2025 erforderlich (Art. 64 II DORA).

Tragende Lücken: Quellenregel: Keine Kommentar-, Handbuch-, Aufsatz- oder Tabellenfundstellen aus Modellwissen; nur Nutzerquelle, amtliche/freie Quelle oder lizenzierte Live-Verifikation verwenden. 2. Sub-Outsourcing-Liste ist statisch, ohne Anzeige- und Genehmigungspflichten. Delegierte VO (EU) 2024/1773 verlangt Materialitätsschwellen und Ex-ante-Anzeige. 3. Exit-Strategie fehlt; § 18 MSA enthält nur eine Datenrückgabeklausel ohne Migrationsunterstützung – Verstoß gegen Art. 30 III lit. g DORA. Vgl. Zetzsche/Anker-Sørensen, EuZW 2023, 645 (648). 4. Beteiligung an TLPT-Tests nicht vereinbart (Art. 30 III lit. e i. V. m. Art. 26, 27 DORA).

Empfehlung: Klausel-Patch-Liste umsetzen (siehe Anlage); Eskalation bei CloudCo wegen Audit- und Exit-Klauseln; Aufnahme in Informationsregister (DurchfVO 2024/2956) vorbereiten.

Risiken und typische Fehler

• Fehlende Funktionsklassifikation. Ohne Einstufung als "kritisch oder wichtig" werden Art.-30-III-Pflichten oft übersehen. Dokumentieren!
• AGB-Übernahme. Standard-Cloud-AGB (Microsoft, AWS, GCP) sind regelmäßig nicht DORA-konform. Nachverhandlung über DORA-Addendum/SCC-ähnliche Anhänge erforderlich.
• Sub-Out-Ketten. Mehrstufige Subunternehmer-Ketten müssen vollständig abgebildet werden (RTS 2024/1773). Materialitätsschwellen vereinbaren.
• Berufsgeheimnis. § 203 III StGB-Klausel ("mitwirkende Personen") fehlt häufig – kritisch bei Daten, die unter § 203 StGB fallen (Banken: § 9 KWG; Versicherer: § 311 VAG; Rechtsanwälte: § 43a Abs. 2 BRAO).
• Datenschutz. Art. 28 DSGVO AVV ist separat oder integriert, aber immer mitzuprüfen.
• Kündigungsrechte. Art. 28 VII DORA setzt zwingende außerordentliche Kündigungsrechte voraus (z. B. behördliche Anordnung, schwerwiegende IKT-Vorfälle, Verstoß gegen anwendbares Recht).
• Verhältnismäßigkeit. Art. 4 DORA – kleinere Institute (z. B. nach Art. 16 DORA "vereinfachter Rahmen") können geringere Anforderungen haben. Nicht überregulieren.
• Aktualität. RTS/ITS-Pakete werden laufend nachgeschoben (ESA-Roadmap 2024–2026). Vor Audit immer EUR-Lex-Snapshot ziehen.
• Halluzinationsrisiko. Bei jedem Klauselzitat: konkretes Aktenzeichen/Fundstelle prüfen.

Quellenpflicht

Jede juristische Aussage in der tabellarischen Auswertung wird belegt nach ../../../references/zitierweise.md. Mindestens:

• DORA-Artikel mit Absatz/Buchstabe und Anhang (sofern Anhang einschlägig).
• Einschlägige delegierte VO mit CELEX-Nr.
• Mindestens ein BaFin- oder ESA-Verlautbarungs-Beleg, sofern vorhanden.
• Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.

Reihenfolge der Belege: EU-Recht vor nationalem Recht; Verordnung vor Soft Law; Rspr. vor Literatur (Rspr. zur DORA selbst liegt nur vereinzelt vor – ausdrücklich kennzeichnen: "Rspr. zu DORA liegt soweit ersichtlich noch nicht vor, vgl. aber …").