Mit DORA kommen konkrete regulatorische Anforderungen auf Unternehmen zu, die viele bestehende Verträge nicht vollständig erfüllen. Insbesondere Auslagerungsverträge – etwa mit Cloud-Providern, Hosting-Firmen oder Software-Dienstleistern – müssen nun bestimmte Klauseln enthalten.
Warum ist das wichtig? In Zeiten der Digitalisierung lagern Unternehmen – auch kleine und mittlere Unternehmen (KMU) – vermehrt IT-Dienste aus oder arbeiten mit Cloud-Anbietern und Softwaredienstleistern zusammen. Verträge bilden die Grundlage dieser Kooperationen. Ungenaue oder veraltete Vertragsklauseln können im Ernstfall zu Sicherheitslücken, Compliance-Problemen oder Haftungsrisiken führen. Der folgende Artikel zeigt praxisnah, welche Verträge von DORA betroffen sind und wie Sie sie schrittweise prüfen und anpassen – mit konkreten Tipps, Best Practices und einer Schritt-für-Schritt-Anleitung.
Ziel dieses Artikels: Ihnen als Unternehmen einen verständlichen Leitfaden an die Hand zu geben, um DORA-konforme Verträge aufzusetzen. Selbst ohne juristischen Hintergrund werden Sie erfahren, was DORA bedeutet, warum Sie handeln sollten und wie Sie konkret vorgehen – damit Ihre Verträge den Herausforderungen standhalten.
Was ist DORA?
DORA steht für „Digital Operational Resilience Act" und ist eine EU-Verordnung (EU 2022/2554), die einheitliche Standards für die digitale Widerstandsfähigkeit im Finanzsektor schafft. Vereinfacht gesagt: DORA soll sicherstellen, dass Finanzunternehmen und ihre Dienstleister auch bei IT-Störungen, Cyberangriffen oder Systemausfällen handlungsfähig bleiben. Die Verordnung trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 in vollem Umfang anwendbar – die zweijährige Übergangszeit ist abgelaufen, die Anforderungen gelten verbindlich.
Ausführlich erklärt: Den vollständigen Überblick zur DORA-Verordnung – Anforderungen, Geltungsbereich und Fristen – finden Sie in unserem Leitfaden. Wie angepasste Verträge in einer DORA-Compliance-Prüfung geprüft werden, lesen Sie in unserem Prüfungs-Guide.
Wen betrifft DORA? Der Geltungsbereich ist breit: Es betrifft nahezu alle Finanzunternehmen – von Banken und Versicherern bis zu Zahlungs- und Krypto-Dienstleistern. Wichtig: Auch IKT-Drittdienstleister – also Anbieter von IT-Leistungen wie Cloud-Services, Softwareunternehmen oder Rechenzentren – sind indirekt betroffen. Wenn Ihr Unternehmen solche Dienste in Anspruch nimmt oder anbietet, sollten Sie DORA kennen. Auch kleinere Institute müssen die Vorgaben umsetzen (nach dem Grundsatz der Verhältnismäßigkeit).
Historischer Kontext: DORA entstand vor dem Hintergrund zunehmender Cyberrisiken und der steigenden Abhängigkeit von IT-Dienstleistern. Die Verordnung baut auf bestehenden nationalen Richtlinien (wie MaRisk/BAIT in Deutschland) auf und vereint sie auf EU-Ebene zu einheitlichen Spielregeln.
Warum sind Vertragsanpassungen notwendig?
Mit DORA kommen konkrete regulatorische Anforderungen auf Unternehmen zu, die viele bestehende Verträge nicht vollständig erfüllen. Insbesondere Auslagerungsverträge – etwa mit Cloud-Providern, Hosting-Firmen oder Software-Dienstleistern – müssen nun bestimmte Klauseln enthalten. Die Notwendigkeit der Vertragsanpassung ergibt sich aus mehreren Gründen:
- Gesetzliche Pflicht: DORA schreibt vor, dass Verträge mit IT-Dienstleistern definierte Mindestinhalte haben (z.B. klare Sicherheitsvereinbarungen und Berichtspflichten). Ohne Anpassung laufen Unternehmen Gefahr, gegen das Gesetz zu verstoßen.
- Risiken bei Nichteinhaltung: Werden die DORA-Vorgaben ignoriert, drohen Konsequenzen. Aufsichtsbehörden können Prüfungen durchführen und bei Verstößen Maßnahmen oder Bußgelder verhängen. Außerdem steht das Unternehmen im Krisenfall schlechter da – etwa wenn ein Anbieter bei einem Cyberangriff nicht zur Hilfe verpflichtet ist, weil die Pflicht dazu vertraglich nicht festgelegt wurde.
- IT-Sicherheit und Notfallplanung: Verträge legen fest, welche Sicherheitsstandards ein Dienstleister einhalten muss. Sie regeln auch das Vorgehen bei IT-Zwischenfällen und Notfällen. Nur aktualisierte Verträge stellen sicher, dass Dienstleister im Ernstfall mitziehen – etwa bei der Wiederherstellung von Daten oder dem Ausführen von Notfallplänen.
- Compliance und Reputation: In der Finanzbranche ist Vertrauen essenziell. DORA-Compliance signalisiert Partnern und Kunden, dass Ihr Unternehmen professionell mit digitalen Risiken umgeht. Umgekehrt kann ein bekannter Verstoß (z.B. ein ungeklärter Cloud-Ausfall) Rufschäden verursachen und die Geschäftsbeziehungen belasten.
Welche Vertragsanpassungen stehen an?
Nun stellt sich die Frage: Welche Verträge müssen geprüft und angepasst werden? Grundsätzlich sind alle Vereinbarungen im Fokus, bei denen Ihr Unternehmen von externen IT-Leistungen abhängig ist. Dazu zählen zum Beispiel:
- Cloud-Service-Verträge: Vereinbarungen mit Anbietern von Cloud-Infrastrukturen (IaaS/PaaS) oder SaaS.
- IT-Outsourcing & Support: Verträge mit IT-Dienstleistern, Managed Service Providern oder Rechenzentrumsbetreibern.
- Software-Lizenz- und Wartungsverträge: Falls wichtige Software von Dritten bereitgestellt oder gewartet wird.
- Intra-Konzern-Vereinbarungen: Interne Verträge mit IT-Tochtergesellschaften oder dem eigenen Unternehmensverbund.
- Weitere IKT-Dienstleister: etwa Telekommunikation, Datenanalyse oder Zahlungsdienste, sofern sie für Ihren Betrieb kritisch sind.
Wichtige Vertragsinhalte, die jetzt geprüft werden sollten: DORA fordert bestimmte Elemente in Verträgen mit IT-Drittanbietern – die Mindestinhalte legt Artikel 30 DORA fest. Die folgende Kurzfassung nennt die wichtigsten Prüfpunkte; die vollständige Liste der Pflichtklauseln samt Erläuterung finden Sie in unserem Leitfaden zu den DORA-Klauseln nach Artikel 30. Achten Sie insbesondere auf folgende Punkte und ergänzen Sie diese, falls nötig:
- Sicherheitsanforderungen: Der Dienstleister muss angemessene IT-Sicherheitsstandards einhalten. Vereinbaren Sie verbindliche Maßnahmen zu Datenschutz, Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Beispielsweise können Zertifizierungen (wie ISO 27001) oder konkrete technische Maßnahmen festgeschrieben werden.
- Datenmanagement: Regeln Sie, wie mit Ihren Daten umgegangen wird. Dazu gehört der Speicherort der Daten (welche Länder/Rechenzentren) und die Zusicherung, dass Standortänderungen nur mit vorheriger Info erfolgen. Ebenfalls wichtig: Ihr Unternehmen sollte jederzeit Zugriff auf alle relevanten Daten haben und diese im Bedarfsfall herausverlangen können (z.B. bei Anbieterwechsel).
- Backup und Notfallpläne: Legen Sie fest, dass der Dienstleister regelmäßige Backups durchführt und über aktuelle Notfall- und Wiederherstellungspläne verfügt. Im Vertrag sollte verankert sein, wie schnell der Betrieb im Falle eines Ausfalls wiederhergestellt sein muss und welche Unterstützung der Anbieter in einer Krisensituation leistet.
- Berichtspflichten & Vorfallmeldung: Vereinbaren Sie, dass der Dienstleister schwerwiegende IT-Vorfälle unverzüglich an Sie meldet. Zudem sollten regelmäßige Berichte über die Service-Qualität und Sicherheit bereitgestellt werden. So erkennen Sie Probleme frühzeitig und erfüllen Ihre Meldepflichten gegenüber der Aufsicht.
Je nach Vertrag könnten noch weitere Anpassungen sinnvoll sein (z.B. Audit-Rechte oder spezielle Kündigungsrechte bei Verstößen). Wichtig ist, die genannten Kernpunkte in allen relevanten Verträgen zu berücksichtigen. Im Zweifel lohnt es sich, einen Rechtsberater hinzuzuziehen, um sicherzustellen, dass keine der neuen Vorgaben übersehen wird.
Schritt-für-Schritt-Anleitung zur Vertragsanpassung
Wie gehen Sie nun konkret vor? Die Anpassung aller relevanten Verträge kann ein größeres Projekt sein. Mit folgendem Fahrplan behalten Sie den Überblick:
- Bestandsaufnahme: Verschaffen Sie sich einen Überblick. Welche Verträge hat Ihr Unternehmen mit IKT-Dienstleistern? Listen Sie alle externen IT-Services auf – von Cloud-Hosting über Software-Abonnements bis zum ausgelagerten Helpdesk. Markieren Sie dabei besonders kritische Dienstleistungen, von denen Ihr Kerngeschäft abhängt.
- Vertrags-Check: Nehmen Sie jeden relevanten Vertrag und prüfen Sie, ob die oben genannten Schlüsselelemente enthalten sind. Eine strukturierte DORA-Checkliste hilft, diese Prüfung systematisch abzuarbeiten und Lücken festzuhalten. Parallel dazu sollten Sie interne Richtlinien einbeziehen – etwa vorhandene Vorgaben zu Outsourcing – und abgleichen, ob diese aktualisiert werden müssen.
- Priorisierung & Plan: Wahrscheinlich lassen sich nicht alle Verträge auf einmal ändern. Setzen Sie daher Prioritäten: zuerst Verträge, die kritische Funktionen betreffen oder bald auslaufen, dann Schritt für Schritt die übrigen. Erstellen Sie einen Zeitplan, bis wann welcher Vertrag angepasst sein soll. Da es über den 17. Januar 2025 hinaus keine offizielle Übergangsfrist gibt, sollten offene Punkte ohne Verzögerung nachgearbeitet werden.
- Umsetzung: Jetzt geht es an die Änderungen. Binden Sie Ihre Rechtsabteilung oder externe Juristen ein, um rechtssichere Klauseln zu formulieren. Parallel liefert die IT-Abteilung die technischen Anforderungen. Treten Sie zudem mit Ihren Dienstleistern in Kontakt und informieren Sie sie frühzeitig über die geplanten Änderungen – viele Anbieter sind mit DORA vertraut und kooperieren. Wichtig: Neue Verträge, die Sie abschließen, sollten von vornherein DORA-konform gestaltet werden, damit Sie später nicht erneut nachbessern müssen.
- Dokumentation & Monitoring: Dokumentieren Sie die Anpassungen und führen Sie ein Vertragsregister aller IT-Dienstleister-Verträge mit ihrem DORA-Status. Im Anschluss ist Monitoring wichtig: Prüfen Sie regelmäßig, ob Dienstleister ihre Pflichten einhalten (kommen die vereinbarten Reports? funktionieren Notfallprozesse?). Planen Sie zudem regelmäßige Reviews, um Verträge aktuell zu halten – DORA ist ein fortlaufender Prozess und auch Ihre Geschäftsanforderungen können sich ändern.
Durch dieses strukturierte Vorgehen vermeiden Sie Hektik kurz vor Ablauf der Frist. Eventuelle Schwierigkeiten (z.B. ein Dienstleister zögert mit der Zustimmung) können frühzeitig adressiert werden.
Best Practices & Fallbeispiele
Best Practice 1: Frühzeitig starten – Ein mittelständisches Finanzunternehmen begann frühzeitig (Anfang 2024) mit der Anpassung. Zuerst wurde ein kritischer Cloud-Vertrag aktualisiert und als Vorlage für alle weiteren Verträge genutzt. Tipp: Starten Sie mit den wichtigsten Verträgen und erstellen Sie Mustertexte für wiederkehrende Klauseln. Das spart Zeit und sorgt für einheitliche Standards.
Best Practice 2: Kooperation mit Dienstleistern – Ein KMU im Versicherungsbereich informierte alle seine IT-Dienstleister frühzeitig. Einige große Anbieter boten eigene DORA-Vertragsnachträge an, sodass neue Regelungen rasch vereinbart werden konnten. Tipp: Suchen Sie proaktiv das Gespräch mit Ihren Partnern. Viele Dienstleister schätzen einen kooperativen Ansatz und sind bereit, bei der Umsetzung entgegenzukommen.
Häufige Stolpersteine: Ein häufiger Fehler ist die Unterschätzung des Aufwands – wer zu spät beginnt, gerät in Zeitnot. Ebenso kritisch ist das Übersehen kleinerer IT-Abhängigkeiten: Man sollte alle Zulieferer prüfen, auch wenn sie nicht auf den ersten Blick kritisch erscheinen. Drittens kann mangelnde Kommunikation Probleme verursachen: Fordert man Vertragsänderungen ohne Erklärung, reagieren Anbieter oft zurückhaltend. Besser ist, früh offen zu legen, warum die Anpassungen nötig sind und wie beide Seiten profitieren.
Experten-Tipp: Dokumentieren Sie Ihren Fahrplan. Falls die Aufsichtsbehörde prüft, können Sie zeigen, dass Sie systematisch vorgehen. Bei Verzögerungen hilft ein schriftlicher Aktionsplan, um gegenüber Prüfern darzulegen, wie und bis wann alle Verträge angepasst werden – so signalisieren Sie Compliance-Bereitschaft, selbst wenn noch nicht alles abgeschlossen ist.
Wie Vertragsmanagement die Anpassung erleichtert
Ein einzelnes Finanzunternehmen kann Hunderte von Anbieterverträgen halten – unterzeichnet zu unterschiedlichen Zeitpunkten und nach unterschiedlichen Vorlagen. Einem Prüfer nachzuweisen, dass jeder Vertrag mit einem kritischen Anbieter die Artikel-30-Anforderungen erfüllt, und die zu finden, die es nicht tun, ist genau das, wofür strukturiertes Compliance-Management für Verträge gebaut ist: ein zentrales, durchsuchbares Repository mit Verpflichtungsverfolgung, Audit-Trails und automatischen Erinnerungen an jede Verlängerung, Prüfung und Meldefrist. So bleibt keine Klausel und keine Frist unbemerkt – weder bei der einmaligen Anpassung noch im laufenden Monitoring.
Häufige Fragen
Welche Fristen gelten für die Vertragsanpassung?
DORA trat am 16. Januar 2023 in Kraft und ist seit dem 17. Januar 2025 in vollem Umfang anwendbar. Eine offizielle Übergangsfrist darüber hinaus gibt es nicht: Betroffene Unternehmen müssen alle Vorgaben umgesetzt haben – inklusive der Vertragsanpassungen – und audit-bereit sein. Offene Punkte werden risikobasiert nachgearbeitet, zuerst die kritischsten Verträge.
Welche Verträge müssen für DORA angepasst werden?
Im Fokus stehen alle Verträge, bei denen Ihr Unternehmen von externen IT-Leistungen abhängig ist: Cloud-Service-Verträge, IT-Outsourcing und Support, Software-Lizenz- und Wartungsverträge, Intra-Konzern-IT-Vereinbarungen sowie weitere kritische IKT-Dienstleister wie Telekommunikation, Datenanalyse oder Zahlungsdienste. Diese Auslagerungsverträge müssen die Mindestinhalte nach Artikel 30 DORA erfüllen.
Was passiert bei Nichteinhaltung?
Werden DORA-Anforderungen nicht erfüllt, drohen aufsichtsrechtliche Maßnahmen. Die Finanzaufsicht (z.B. BaFin) kann Verwarnungen aussprechen, Auflagen erteilen oder Bußgelder verhängen. Sie erwartet zumindest einen konkreten Plan, falls noch nicht alle Verträge angepasst sind. Auch operativ riskant: Ein nicht-konformer Vertrag bedeutet, dass Sie im Krisenfall keinen Anspruch auf Unterstützung vom Dienstleister haben.
Wer kann bei der Umsetzung helfen?
Wenn intern die Ressourcen knapp sind, holen Sie sich Unterstützung. Rechtsanwälte und Beratungsunternehmen mit Fokus auf IT-Compliance können prüfen, ob Ihre Verträge wasserdicht sind, und bei der Formulierung neuer Klauseln helfen. Branchenverbände und Kammern stellen oft Leitfäden oder Musterklauseln bereit – speziell für KMU. Intern sollten Sie unbedingt Ihr IT-Team und das Risikomanagement einbinden, denn die technischen und organisatorischen Details kommen von dort. Schulungen für Mitarbeitende zum Thema DORA schärfen das Bewusstsein.
Bereit, Ihre Verträge DORA-fit zu machen? Mit top.legal speichern, durchsuchen und überwachen Finanzunternehmen jeden IKT-Anbieter-Vertrag an einem Ort – mit Audit-Trails, Verpflichtungsverfolgung und automatischen Erinnerungen an jede Frist.
Bereit für den nächsten Schritt?
Buchen Sie eine Demo mit unserem Team und sehen Sie top.legal in Aktion