Die Digital Operational Resilience Act (DORA) gilt ab dem 17. Januar 2025. Neben Finanzunternehmen sind auch IKT-Drittanbieter von den neuen Anforderungen betroffen, insbesondere wenn sie kritische oder wichtige Funktionen für ihre Kunden unterstützen. Viele Drittanbieter erhalten aktuell DORA-Vertragsergänzungen zur Umsetzung der neuen Vorgaben – doch Vorsicht: Nicht alle Ergänzungen sind rechtlich erforderlich oder sachlich gerechtfertigt.
Warum DORA-Vertragsprüfungen wichtig sind
Drittanbieter sollten jede Vertragsänderung im Detail prüfen, da häufig überschießende Anforderungen gestellt werden, die über die eigentlichen DORA-Vorgaben hinausgehen. Folgende Aspekte sind besonders relevant:
- Nicht-DORA-Themen: Manche Vertragsergänzungen zu DORA regeln auch Themen, die mit DORA nichts zu tun haben, wie z. B. zusätzliche Haftungsbestimmungen oder exzessive Berichtspflichten.
- Fehlende Kritikalität: Viele Anbieter unterstützen keine kritischen oder wichtigen Funktionen im Sinne von DORA (Artikel 2(12)). In solchen Fällen sind vereinfachte Regelungen oder in Einzelfällen sogar ein Verzicht auf Anpassungen möglich.
- Unangemessene Anforderungen: Vertragsentwürfe enthalten mitunter Bestimmungen, die weder der Verantwortung des Drittanbieters entsprechen noch praktikabel umsetzbar sind, wie weitreichende Auditrechte oder die uneingeschränkte Offenlegung von Subunternehmerstrukturen.
Was Drittanbieter tun sollten
- Prüfen Sie den Geltungsbereich: Bestimmen Sie, ob Ihre Leistungen überhaupt kritische oder wichtige Funktionen unterstützen. Ohne diese Einstufung sind viele DORA-Anforderungen nicht einschlägig.
- Bewerten Sie den Inhalt des Addendums: Analysieren Sie, ob die vorgeschlagenen Regelungen zur Vertragsergänzung tatsächlich den Anforderungen aus DORA entsprechen oder zusätzliche Verpflichtungen enthalten, die über die DORA-Mindeststandards hinausgehen.
- Verhandeln Sie nach Bedarf: Lehnt ein Addendum ab, das überzogene Regelungen enthält. Sie können auf die Prinzipien der Verhältnismäßigkeit hinweisen, die in DORA explizit verankert sind.
- Einbeziehung von Experten: Ziehen Sie juristischen oder vertraglichen Beistand hinzu, um sicherzustellen, dass die Ergänzungen präzise und fair sind.
Fazit
Vertragsergänzungen sind ein wichtiger Schritt zur Umsetzung von DORA, aber sie sollten wohlüberlegt und rechtlich fundiert sein. Drittanbieter sind nicht verpflichtet, alle Anforderungen unhinterfragt zu akzeptieren. Ein sorgfältiges Vorgehen schützt nicht nur vor unangemessenen Verpflichtungen, sondern stärkt auch die eigene Position in der Zusammenarbeit mit Finanzunternehmen.
Sie haben weitere Fragen zum Digital Operational Resilience Act?
Sie haben weitere Fragen zu diesem Thema oder wollen sich in anderen Bereichen des Wirtschaftsrechts durch einen Rechtsanwalt beraten lassen? Unser Team bietet umfassende Beratungsleistungen zur DORA-Umsetzung für Finanzunternehmen und IT-Dienstleister. Melden Sie sich gerne bei unserer Kanzlei unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.