LiiDU GmbH

Auswirkungen des DORA auf den Datenschutz und die IT-Sicherheit

Wissenswertes über den Digital Operational Resilience Act (DORA)

DORA ist eine Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act)

Die Verordnung (EU) 2022/2554, auch bekannt als DORA (Digital Operational Resilience Act), stellt eine neue EU-weite Regulierung für Cybersicherheit, IKT-Risiken und digitale Resilienz im Finanzsektor dar. DORA zielt darauf ab, die digitale Resilienz von Finanzinstituten zu stärken und umfasst sechs zentrale Bereiche, darunter IKT-Risikomanagement, Berichterstattung von Vorfällen und das Management von Drittparteien-Risiken. Die BaFin bereitet sich auf die Umsetzung vor, unter anderem als nationaler Melde-Hub für IKT-Vorfälle. Ab dem 17. Januar 2025 ist DORA in Kraft. Gleichzeitig unterstützt die BaFin beaufsichtigte Unternehmen durch Veranstaltungen, Beratung und Richtlinien. DORA umfasst auch delegierte Rechtsakte und technische Standards, um die Anwendung in der Praxis weiter zu konkretisieren.

Grundsätzlich: was will der DORA erreichen?

  • Die Verbesserung der Betriebsstabilität,
  • die Erhöhung der Cybersicherheit und
  • die Anhebung der Standards für das IKT-Risikomanagement.

Es geht um das „Einfangen“ von IKT-Risiken alles Art, nicht nur Applikationen und Systeme, mit denen direkt die Kernprozesse eines Finanzunternehmens unterstützt werden.

Auswirkungen auf Datenschutz und IT-Sicherheit

DORA (Digital Operational Resilience Act) hat erhebliche Auswirkungen auf Datenschutz und IT-Sicherheit im Finanzsektor, da es strenge Anforderungen an den Umgang mit Cyberrisiken und den Schutz digitaler Infrastrukturen stellt. Die wesentlichen Auswirkungen sind:

1.Stärkung des Datenschutzes:

  • Finanzinstitute sind verpflichtet, strenge IKT-Risikomanagement-Standards zu implementieren, die auch den Schutz personenbezogener Daten beinhalten. Dazu gehören Maßnahmen, um Datenverluste, unbefugten Zugriff und Datenlecks zu verhindern.
  • Die Erfassung, Verarbeitung und Speicherung von Daten muss den hohen Datenschutzstandards der DSGVO entsprechen, wobei DORA spezifisch auf die Absicherung von Finanzdaten und sensiblen Informationen fokussiert.

2.Verpflichtung zur Meldung von Cybervorfällen:

  • Finanzinstitute müssen schwerwiegende IKT-Vorfälle und Cyberangriffe dokumentieren und melden. Die BaFin fungiert in Deutschland als zentrale Meldestelle für solche Vorfälle. Dies erhöht die Transparenz und ermöglicht eine schnelle Reaktion auf Datenschutzverletzungen.

3.IKT-Drittparteienrisikomanagement:

  • Institutionen müssen sicherstellen, dass auch externe Dienstleister, die kritische IT-Dienste erbringen, den Datenschutz- und Sicherheitsanforderungen genügen. Dies betrifft insbesondere Dienstleister, die Zugang zu sensiblen Daten haben.

4.Verbesserte IT-Sicherheit:

  • DORA fordert regelmäßige Sicherheitsüberprüfungen, einschließlich Penetrationstests (TLPT), um Schwachstellen in IT-Systemen zu identifizieren und zu beheben.
  • Finanzinstitute müssen kontinuierlich ihre Sicherheitsmaßnahmen an neue Bedrohungen anpassen und sicherstellen, dass sie auf Cyberangriffe und Datenschutzverletzungen vorbereitet sind.

5.Überwachung kritischer IT-Dienstleister:

  • Die Verordnung verlangt, dass Finanzinstitute kritische IT-Dienstleister stärker überwachen und sicherstellen, dass deren Sicherheitsmaßnahmen den Anforderungen entsprechen. Dies reduziert potenzielle Sicherheitslücken, die durch externe Anbieter entstehen könnten.

Insgesamt führt DORA zu einer stärkeren Einhaltung von Datenschutzrichtlinien und einer robusteren IT-Sicherheitsinfrastruktur im Finanzsektor, indem sie Finanzinstitute dazu zwingt, proaktiv gegen Cyberrisiken und Datenschutzverletzungen vorzugehen.

Mehr Infos

Wann fällt man als IKT-Dienstleister unter DORA?

Gemäß der Legaldefinition des Art. 3 Absatz 1 Nr. 21 DORA sind IKT-Dienstleistungen digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzerinnen und Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen. Dazu gehört auch die technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen, mit Ausnahme herkömmlicher analoger Telefondienste.

Mehr Infos

Stellt ein isolierter Softwarebezug eine IKT-Dienstleistung dar?

BAFIN: Bei reinen Softwarelizenzen handelt es sich üblicherweise um Nutzungsrechte, die keine IKT-Dienstleistung i.S.d. Art. 3 Nr. 21 DORA darstellen. Häufig gibt es aber noch begleitende IKT-Dienstleistungen, z.B. über mit dem Lizenzkauf verbundene Wartungs- und Supportverträge.

Welche Pflichten sind zu erfüllen, wenn man als IKT-Dienstleister unter die DORA fällt?

Eine Stellung als IKT-Dienstleister zieht verschiedene Pflichten nach sich. Dabei wird zwischen dem Pflichtenprogramm von IKT-Dienstleistern und kritischen IKT-Dienstleistern unterschieden. Diese sind einem besonders strikten Überwachungsregime unterworfen. Jedoch erfolgt die Einstufung als „kritisch“ gem. Art. 31 Abs. 1 DORA durch die federführenden Überwachungsbehörde. Wenn eine solche Einstufung nicht vorliegt, findet das gesteigerte Pflichtenprogramm keine Anwendung.

Bei nicht als kritisch eingestuften Dienstleistern gilt, dass die Finanzunternehmen verpflichtet sind ihre Dienstleister zu steuern und die Risiken der Drittparteien zu managen (Art. 28-30 DORA). Die BAFIN hat die Mindestanforderungen hier selbst zusammengestellt

Ist es möglich, in den TOMs zu einem AV-Vertrag die DORA-Anforderungen des IT-Dienstleisters umzusetzen?

  • DORA konzentriert sich auf die operationale Widerstandsfähigkeit von IKT-Systemen im Finanzsektor. Es geht primär um die Sicherheit und Stabilität der Systeme, Geschäftskontinuität, Management von IKT-Risiken (insbesondere von Drittparteien), Meldung von Vorfällen etc.
  • Die DSGVO (und damit der AV-Vertrag nach Art. 28 DSGVO) konzentriert sich auf den Schutz personenbezogener Daten.

DORA stellt in Artikel 30 explizite Anforderungen an die Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern, insbesondere wenn diese als kritisch eingestuft werden.

  • Viele dieser Anforderungen gehen über die reinen Datenschutzaspekte eines Standard-AV-Vertrags hinaus, berühren aber ähnliche Themen aus einer anderen Perspektive (Resilienz statt Datenschutz):
  • Detaillierte Beschreibung der Dienstleistung und der Orte der Datenverarbeitung/Dienstleistungserbringung.
  • Vorgaben zu Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit (hier gibt es eine Überschneidung mit den TOMs nach Art. 32 DSGVO, DORA kann aber spezifischere/weitergehende Anforderungen im Hinblick auf die operationale Resilienz haben).
  • Meldepflichten bei Vorfällen, die Auswirkungen auf die Dienstleistung haben (kann sich mit Meldepflichten bei Datenschutzverletzungen überschneiden, ist aber breiter gefasst).
  • Umfassende Prüfungs- und Auditrechte für das Finanzunternehmen und dessen Aufsichtsbehörden direkt beim Dienstleister (geht oft über die typischen Auditrechte in AV-Verträgen hinaus).
  • Regelungen zur Unterbeauftragung (ähnlich wie im AVV, aber mit Fokus auf das operationale Risiko).
  • Exit-Strategien und Unterstützung bei der Beendigung des Vertrags, um die Geschäftskontinuität des Finanzunternehmens zu gewährleisten (deutlich spezifischer als die Regelungen zur Datenrückgabe/-löschung im AVV).
  • Anforderungen an Resilienztests(z.B. Penetration Testing).

Auswirkungen auf den AV-Vertrag:

  • Um Doppelregelungen oder einen Wust an Verträgen zu vermeiden, kann es sinnvoll sein, die DORA-spezifischen Anforderungen (soweit sie den Dienstleister betreffen) in den AV-Vertrag zu integrieren oder als Anlage/Addendum dazu zu gestalten.
  • Ein Vorteil wäre, dass der Kunde  eine zentrale Vereinbarung mit dem Dienstleister hat, die sowohl die Datenschutz- als auch die DORA-relevanten Aspekte der IKT-Drittparteien-Steuerung abdeckt. Das vereinfacht das Vertragsmanagement für beide Seiten.
  • Voraussetzung dafür ist, dass der AV-Vertrag alle Anforderungen des Art. 28 DSGVO und die relevanten Anforderungen aus DORA (insbesondere Art. 30 für kritische Dienstleister) erfüllen muss. Er wird dadurch umfangreicher.
  • Alternative: Manche Unternehmen handhaben DORA-Anforderungen in separaten Vertragsanhängen oder im Rahmen des Hauptdienstleistungsvertrags (Master Service Agreement - MSA), um den AV-Vertrag auf seine Kernfunktion (Datenschutz) zu beschränken. Das ist auch ein gangbarer Weg, erfordert aber, dass der Kunde beide Dokumente im Blick behält.

Fazit:

DORA erfordert zusätzliche vertragliche Regelungen zwischen Finanzunternehmen und ihren ICT-Dienstleistern, die über den Standard-AV-Vertrag hinausgehen – und auch über die TOMs.

Achtung: AV-Verträge betreffen den personenbezogenen Datenschutz. DORA die IT-Sicherheit.

Mann kann beide gesetzlichen Anforderungen in einem Dokument zusammenfassen.

Wir halten es aber für am Sinnvollsten, DORA-Anforderungen in einem eigenen Addendum zur Dienstleistung zu integrieren, um Effizienz zu schaffen und sicherzustellen, dass alle diesbezüglichen Pflichten an einer Stelle geregelt sind.

Als Dienstleister können Sie damit proaktiv auf Ihre Kunden im Finanzsektor zugehen und zeigen, dass Sie DORA-konforme Regelungen anbieten. Wichtig ist nur, dass dabei die spezifischen Anforderungen beider Regelwerke (DSGVO Art. 28 und DORA Art. 30) vollständig abgedeckt werden.

 

Stand: Mai 2025

Sie brauchen Unterstützung?
Wir stehen Ihnen gerne für weitere Fragen und zur Beratung zur Verfügung - kontaktieren Sie uns!
Kontakt
envelopephonemap-markerlocation