SCHWERPUNKT13. April 2026

DORA-Compliance-Check: So gelingt die Zusammenarbeit von Bank und Dienstleister

Schwerpunkt: Kernsysteme & Migration
Dr. Verena Ritter-Döring, Partnerin bei Taylor Wessing, thematisiert im Kontext der DORA-Verordnung die Herausforderungen und Chancen der Zusammenarbeit zwischen Banken und IT-Dienstleistern zur Sicherstellung der digitalen Betriebsresilienz im Finanzsektor.
Dr. Verena Ritter-Döring, Partnerin Taylor Wessing Taylor Wessing

Seit Januar 2025 gilt in Europa die DORA-Verordnung (Digital Operational Resilience Act), die die Sicherheit und Resilienz der IT-Infrastruktur im Finanzmarkt gewährleisten soll. Die Verordnung richtet sich primär an regulierte Unternehmen wie Banken, Versicherungen oder Fondsmanager, entfaltet ihre Wirkung aber weit darüber hinaus: Da regulierte Unternehmen große Teile ihrer IT-Infrastruktur von externen Dienstleistern beziehen, erfasst DORA auch die Vertragsbeziehungen mit IT-Anbietern – ob große Cloud-Konzerne, die teilweise einer eigenen Finanzmarktaufsicht unterliegen, oder kleine und mittelständische IT-Unternehmen mit Kunden im Finanzsektor.

von Dr. Verena Ritter-Döring, Partnerin Taylor Wessing

Gerade IT-Dienstleister sollten im Hinterkopf haben, dass regulierte Unternehmen jährlichen Prüfungen durch Wirtschaftsprüfer unterliegen, die sich auch die DORA-Verträge auszugsweise anschauen. Wird eine fehlende Compliance mit DORA festgestellt, erhält die BaFin als zuständige Finanzaufsichtsbehörde in Deutschland davon Kenntnis und hält das regulierte Unternehmen dazu an, den Missstand zu beseitigen. Der Spielraum des regulierten Unternehmens ist in dieser Situation gering – was erklärt, warum es in Vertragsverhandlungen mit IT-Dienstleistern mitunter wenig Kompromissbereitschaft zeigt.

Unterscheidung zwischen zwei Vertragstypen

Zentral ist bei der Vertragsverhandlung die Unterscheidung zwischen zwei Vertragstypen:

Verträge, die eine kritische oder wichtige Funktion des regulierten Unternehmens unterstützen (kritische DORA-Verträge), und solchen, bei denen das nicht der Fall ist (nicht-kritische DORA-Verträge).“

Die regulatorischen Anforderungen an kritische DORA-Verträge sind erheblich umfangreicher und bestimmen maßgeblich den Verhandlungsrahmen. Das regulierte Unternehmen entscheidet, welcher Vertragstyp im Einzelfall vorliegt.

Autor Dr. Verena Ritter-Döring, Taylor Wessing
Dr. Verena Ritter-Döring, Partnerin bei Taylor Wessing, präsentiert sich vor einer Backsteinwand. Ihr professionelles Auftreten unterstreicht ihre Expertise in Finanzmarktregulierung und Bankaufsichtsrecht in Deutschland und Europa.Dr. Verena Ritter-Döring ist Partnerin bei Taylor Wessing (Webseite) und Expertin für Finanzmarktregulierung und Bankaufsichtsrecht in Deutschland und Europa.

In der Praxis werden insbesondere folgende Themen intensiv ausgehandelt:

  • Kündigungsrechte: DORA schreibt vier zusätzliche Kündigungsrechte vor, die in sämtlichen DORA-Verträgen zu verankern sind. Drei dieser Rechte betreffen Pflichtverletzungen des Dienstleisters, etwa die Nichteinhaltung vertraglich zugesicherter Standards. Das vierte Kündigungsrecht greift auf Verlangen der Aufsichtsbehörde – unabhängig von einem Verschulden des Dienstleisters. Um die daraus entstehenden wirtschaftlichen Risiken abzufedern, wird in der Praxis häufig vereinbart, dass die vertraglich festgelegte Vergütung bis zum ursprünglich vorgesehenen Vertragsende weitergezahlt wird.
  • Subunternehmer: Die Behandlung von Subunternehmern ist ausschließlich für kritische DORA-Verträge relevant. Das regulierte Unternehmen hat Anspruch auf eine vollständige Liste aller eingesetzten Subunternehmer, einschließlich einer Beschreibung ihrer Aufgaben und ihres Sitzes. Darüber hinaus sollen die vertraglichen Vereinbarungen zwischen reguliertem Unternehmen und IT-Dienstleister im Unterauslagerungsvertrag 1:1 gespiegelt werden. In der Praxis ist das jedoch selten vollständig umsetzbar – hier ist auf allen Seiten ein vernünftiges Maß gefragt.
  • Exit-Management: Bei kritischen DORA-Verträgen fordern regulierte Unternehmen regelmäßig ein Exit-Management von 12 bis 24 Monaten nach Vertragsbeendigung, um die Dienstleistung geordnet auf einen Nachfolger migrieren zu können. Da der Dienstleister an einer derart langen Nachbetreuungspflicht naturgemäß wenig Interesse hat, liegt der praktische Kompromiss häufig in einer gesonderten Vergütungsregelung für diesen Zeitraum.

Insgesamt zeigt die Praxis, dass sich viele der strittigen Punkte auf wirtschaftlicher Ebene lösen lassen: Wenn das regulierte Unternehmen die Kosten für zusätzliches Reporting, für Threat-Led Penetration Tests (TLPT) oder für besondere Anforderungen an die Informationssicherheit übernimmt, entspannt sich die Verhandlungssituation auf beiden Seiten spürbar. Dr. Verena Ritter-Döring, Taylor Wessing/dk

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/242054

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert