TL;DR Die DORA-Verordnung (EU 2022/2554) ist seit Januar 2025 anwendbar und verpflichtet Finanzinstitute zur strukturierten Steuerung ihrer ICT-Drittanbieter. Wer bewertet, welche Vertragsklauseln zwingend rein müssen, was in das ICT-Register gehört, und was bei „kritischen" Anbietern passiert.

Wen DORA betrifft

DORA (Digital Operational Resilience Act) gilt für nahezu alle Finanzunternehmen in der EU:

  • - Kreditinstitute (auch kleine Sparkassen und VR-Banken)
  • - Wertpapierfirmen, Krypto-Asset-Dienstleister
  • - Versicherungs- und Rückversicherungsunternehmen
  • - Zahlungs- und E-Geld-Institute
  • - Investmentfondsgesellschaften
  • - Datenbereitsteller (Trading-Venues, Bewertungsdienste)

Die nationale Aufsicht liegt in Deutschland bei der BaFin. Die EU-Aufsichtsbehörden (ESAs) führen das Verzeichnis kritischer Drittanbieter und können diese direkt überwachen.

Warum Drittparteien das DORA-Risiko sind

In der Praxis liefern Finanzinstitute kaum noch eigene IT-Stacks. Cloud-Anbieter, Core-Banking-Provider, Compliance-SaaS, Marktdaten-Lieferanten, Identity-Services, KI-Modell-Anbieter. Jeder davon kann den Bankbetrieb stören. DORA macht diese Abhängigkeiten zur regulierten Pflicht.

Die zentralen DORA-Artikel zum Drittparteienrisiko:

  • - Artikel 28: Allgemeine Grundsätze für die ICT-Drittanbieter-Steuerung
  • - Artikel 29: Vorvertragliche Risikobewertung
  • - Artikel 30: Verbindliche Vertragsklauseln
  • - Artikel 31-44: Aufsichtsrahmen für kritische ICT-Drittanbieter

Wer 2026 noch ICT-Verträge ohne DORA-Klauseln abschließt oder verlängert, riskiert aufsichtsrechtliche Beanstandungen, im Wiederholungsfall bis zur Anordnung der Vertragsbeendigung.

Anbieter-Bewertung vor Vertragsabschluss

DORA Artikel 29 verlangt eine systematische Vorab-Bewertung. Folgende Punkte gehören in jede Anbieter-Bewertung:

  1. 1. Kritikalität des Service. Welche Funktion wird ausgelagert? Welche Geschäftsprozesse hängen davon ab? Welcher Schaden droht bei Ausfall?
  2. 2. Konzentrationsrisiko. Wie viele unserer ICT-Services laufen schon über diesen Anbieter? Wie viele unserer Wettbewerber auch? Gibt es Cluster-Risiken (z.B. zwei Hyperscaler, die einem Konzern gehören)?
  3. 3. Geografie und Recht. Wo werden Daten verarbeitet, wo gespeichert? Welche Rechtsordnung greift bei Konflikten? CLOUD Act, Schrems II, kein EU-Datenschutz: alles Risikofaktoren.
  4. 4. Sub-Unternehmer-Kette. Wer sind die Lieferanten unseres Lieferanten? DORA erfasst die ganze Kette, nicht nur den ersten Vertragspartner.
  5. 5. Sicherheitsreife. Zertifizierungen (ISO 27001, SOC 2 Type II), Penetration-Test-Berichte, Vulnerability-Management, Incident-History.
  6. 6. Finanzielle Stabilität. Bestandsrisiko des Anbieters: Insolvenzgefahr, Eigentümerstruktur, Exit-Strategie.
  7. 7. Exit-Fähigkeit. Wie kommen wir wieder aus dem Vertrag heraus? Datenportabilität, Übergangsfristen, Reversibilität.

Diese Bewertung muss dokumentiert, durch die Geschäftsleitung gebilligt und in regelmäßigen Abständen aktualisiert werden.

Verbindliche Vertragsklauseln nach Artikel 30

DORA listet konkret, was in jedem ICT-Vertrag stehen muss. Auszug der wichtigsten Klauseln:

  • - Vollständige Service-Beschreibung inklusive aller Funktionen und Service-Level
  • - Geografie der Datenverarbeitung mit Pflicht zur Vorabmeldung bei Änderungen
  • - Datenschutz-, Verfügbarkeits- und Integritäts-Vorgaben
  • - Audit- und Inspektionsrechte für das Finanzinstitut UND die Aufsichtsbehörde
  • - Kooperationspflichten bei Sicherheitsvorfällen mit klaren Fristen
  • - Schulungs- und Awareness-Pflichten des Anbieters
  • - Pflicht zur Mitwirkung an DORA-Threat-Led-Penetration-Tests (TLPT)
  • - Exit-Strategie mit übergebbaren Daten in standardisierten Formaten
  • - Kündigungsrechte bei schwerwiegenden Verstößen
  • - Strengere Anforderungen bei kritischen oder wichtigen Funktionen

Bestehende Verträge müssen bei Verlängerung oder Anpassung diese Klauseln aufnehmen. Übergangsbestimmungen geben begrenzten Spielraum, aber 2026 ist der Übergang vorbei.

Das ICT-Register

Jedes Finanzinstitut muss ein ICT-Drittanbieter-Register führen und der BaFin auf Anforderung übermitteln. Inhalte:

  • - Anbieter-Identifikation (Name, Sitz, Rechtsform, LEI-Nummer)
  • - Service-Beschreibung und Kritikalitäts-Einstufung
  • - Vertragsdaten, Laufzeit, Verlängerungsoptionen
  • - Sub-Unternehmer-Kette
  • - Geografie der Datenverarbeitung
  • - Risikobewertung mit Aktualisierungs-Datum
  • - Anbieter-Konzentrationskennzahlen

In der Praxis arbeiten viele Finanzinstitute mit Excel-Listen. Das wird DORA nicht überstehen. Audit-tauglich ist ein versionierten ICT-Repository mit Rollen-Berechtigungen, Änderungs-Protokollierung und automatischer Aufsichts-Reporting-Fähigkeit.

Kritische ICT-Drittanbieter

Anbieter ab einer bestimmten Größe und Marktdurchdringung können von der EU als kritische ICT-Drittanbieter eingestuft werden. Sie unterliegen dann direkter EU-Aufsicht durch die ESAs. Für betroffene Finanzinstitute bedeutet das:

  • - Zusätzliche Berichts- und Mitwirkungspflichten
  • - Möglichkeit aufsichtsrechtlicher Anordnungen direkt gegenüber dem Anbieter
  • - Eingeschränkte Vertragsfreiheit bei Klauseln zu Service-Level, Audit-Rechten und Exit

Die ersten Listen kritischer Anbieter werden 2025/2026 veröffentlicht. Wer auf den großen Hyperscalern lebt, sollte die Listen aktiv beobachten.

Typische Lücken in der Praxis

Drei Punkte, die wir in DORA-Beratungsmandaten regelmäßig sehen:

  • - Verträge zu spät angepasst. Alte Cloud-Verträge laufen oft 3-5 Jahre und enthalten DORA-Klauseln nicht. Aufsichts-Argument „greift erst bei Verlängerung" ist riskant, BaFin kann auch Anpassungen verlangen.
  • - Konzentrationsrisiko unterschätzt. Drei verschiedene SaaS-Anbieter laufen alle auf demselben Hyperscaler. Bei Ausfall des Hyperscalers sind alle drei weg. Auf dem Papier diversifiziert, in Wirklichkeit nicht.
  • - KI-Anbieter nicht im Register. LLM-APIs, KI-Compliance-Tools, Sprachmodelle für Kundenservice: alles ICT-Drittanbieter im Sinne von DORA. Wer KI-Services nicht im Register hat, hat eine Lücke.

Wie GermanAI Defense unterstützt

Wir unterstützen Finanzinstitute beim Aufbau DORA-konformer Drittanbieter-Steuerung: Anbieter-Bewertung nach Artikel 29, Vertragsklausel-Templates nach Artikel 30, Aufbau und Pflege des ICT-Registers, Vorbereitung auf TLPT (Threat-Led Penetration Testing). Eigene KI- und Cloud-Services unter deutschem Recht, in souveräner Infrastruktur in Frankfurt am Main, mit ISO/IEC 27001:2022 als Fundament.

→ Mehr zu unserer GRC- und Compliance-Beratung: germanaidefense.de/grc