Seit dem Beginn der schrittweisen Aufhebung der BAIT und dem Wegfall der VAIT, KAIT und ZAIT zum 17. Januar 2025 müssen Finanzunternehmen die von Dritten bezogenen IT-Dienstleistungen aufsichtsrechtlich ausschließlich gemäß den Vorschriften der Verordnung (EU) 20255/2554 (Digital Operational Resilience Act / DORA) behandeln. DORA spricht in diesem Zusammenhang von „IKT-Dienstleistungen“, schließt darin also die Kommunikationstechnologie mit Ausnahme analoger Telefondienste mit ein. Die Bestimmung, ob ein durch einen IKT-Dienstleister bezogener Service als IKT-Dienstleistung anzusehen und gemäß DORA zu behandeln ist, erfolgt in mehreren Schritten, die in Abbildung 1 dargestellt sind.
Bei diesem Prüfschema ist zu berücksichtigen, dass die BaFin kürzlich eine wesentliche Änderung ihres Standpunkts im Zusammenhang mit der Unterstützung erlaubnispflichtiger Geschäfte vorgenommen hat. In dem Prüfschema, das die BaFin bei ihrer Informationsveranstaltung am 26.09.2024 vorgestellt hat, wurde das Vorliegen einer IKT-Dienstleistung nach DORA von der Unterstützung der Geschäftstätigkeit abhängig gemacht. In den Ende August 2025 aktualisierten FAQs zu DORA hingegen wird darauf hingewiesen, dass „die Definition des Begriffs der IKT-Dienstleistung … keine Beschränkung auf solche Dienstleistungen [enthält], die nur das erlaubnispflichtige Geschäft unterstützen“. Damit fällt auch Software, die z. B. für die Betriebskantine oder die Parkplatzverwaltung erforderlich ist, in den Anwendungsbereich von DORA.
Im Folgenden wird kurz auf ausgewählte Prüfpunkte näher eingegangen, mit denen der IKT-Drittbezug korrekt klassifiziert wird.
Eine Dienstleistung ist die vertragliche Verpflichtung zur Erbringung einer entgeltlichen Tätigkeit, bei der nicht ein konkreter Erfolg, sondern nur die tatsächliche Durchführung der vereinbarten Leistung geschuldet wird. Dies ist in Übereinstimmung mit den Regelungen zum Dienstvertrag gemäß § 611 BGB. Da zu den IKT-Dienstleistungen auch Softwarelizenzen und Softwareentwicklungsleistungen zählen, sind in diesen Fällen „gemischte Verträge“ üblich, die zivilrechtlich auch Merkmale von Werkverträgen und/oder Mietverträgen enthalten.
Dies umfasst auch Hardwareleistungen, die durch den Anbieter mittels Software- oder Firmware-Aktualisierungen unterstützt werden. DORA knüpft somit funktional an die digitale Abhängigkeit der jeweiligen Leistung an.
Hier geht es um eine kontinuierliche Leistungserbringung, nicht um einmalige oder fallweise erbrachte Leistungen. Die Herstellung der Betriebsfähigkeit neuer Hardware in Verbindung mit dem Kauf oder dem Leasing ist als einmaliger Vorgang keine IKT-Dienstleistung, da sie nicht dauerhaft erbracht wird. Wird allerdings ein Vertrag über Managed Workplace Services (z. B. zum Austausch, der Einrichtung und Deaktivierung von Arbeitsplatzrechnern und Notebooks) geschlossen, ist die Dauerhaftigkeit gegeben.
Kommt man anhand des obigen Prüfschemas zu dem Ergebnis, dass es sich bei dem Service um eine IKT-Dienstleistung gemäß DORA handelt, ist beim Bezug der Leistung von einem anderen Finanzunternehmen noch die mögliche Nutzung einer Öffnungsklausel zu prüfen. Diese ergibt sich aus der Stellungnahme der EU-Kommission, die von der EIOPA unter der Question ID 2999 – DORA030 veröffentlicht wurde.
Danach ist zu prüfen, ob das die IKT-Dienstleistung erbringende Finanzunternehmen und die von ihm erbrachten Finanzdienstleistungen dem Unionsrecht oder den nationalen Rechtsvorschriften eines Mitgliedstaats oder eines Drittlands unterliegen. Ist das gegeben, sollte die betreffende IKT-Dienstleistung überwiegend als Finanzdienstleistung betrachtet und nicht als IKT-Dienstleistung im Sinne von Artikel 3 Absatz 21 DORA behandelt werden. Damit wird eine doppelte Regulierung vermieden. Wichtig sind dabei aber noch zwei Punkte:
- Die IKT-Dienstleistung muss beim leistungserstellenden Unternehmen einen unmittelbaren Bezug zu dessen erlaubnispflichtigen Tätigkeiten aufweisen (diese können beispielsweise aus dem Anhang II der DV (EU) 2024/2956 abgeleitet werden) und
- bei der IKT-Dienstleistung darf es sich beim leistungserstellenden Unternehmen nicht um eine Nebendienstleistung handeln, sondern muss dem Kerngeschäft zugeordnet werden können.
Services, die unter diese Öffnungsklausel fallen, werden zwar als IKT-Dienstleistungen bezeichnet, aber nicht gemäß DORA behandelt. Der betreffende Service sollte mit einem Kennzeichen (z. B. „DORA-Ausnahme“) versehen werden. Das bedeutet aber nicht, dass dafür sämtliche Aktivitäten zur Steuerung entfallen können. Allein aus betriebswirtschaftlichen Gründen ist es z. B. erforderlich, auch diese IKT-Dienstleistungen hinsichtlich ihrer kontinuierlichen Leistungserbringung und Leistungsgüte zu überwachen. Jedoch können aufgrund der Öffnungsklausel beispielsweise risikoorientierte Abstriche bei der Due Diligence des Dienstleisters gemacht werden.
Praxistipps:
- Prüfen Sie die Klassifizierung von Services insbesondere auf die Dauerhaftigkeit der Leistung. Unter Umständen können Sie Leistungen aus den DORA-Anforderungen ausnehmen.
- Prüfen Sie bei IKT-Dienstleistungen, die Sie von einem anderen beaufsichtigten Finanzunternehmen beziehen, ob Sie dafür die Öffnungsklausel in Anspruch nehmen können.
Möchten Sie das Thema mit uns vertiefen oder haben Sie Fragen? Buchen Sie sich einen Termin oder treffen Sie uns auf der FCH Fachtagung Auslagerungsmanagement 2025: DORA • IKT • Aufsicht
Ihre Ansprechpartner
Gerne stehen wir Ihnen für einen weiteren Austausch zur Verfügung.
Matthias Kurfels
Managing Consultant
Tel.: +49 173 6916001
Mansur Paikarjo
Jurist (LL.B.) & Consultant