Artikel 30 Wesentliche Vertragsbestimmungen

Summary What does Article 30 of the DORA regulation say?

This article sets out the mandatory content requirements for contracts between financial entities and ICT third-party service providers.

Building directly on Article 28, which establishes the overarching framework for managing ICT third-party risk, Article 30 gets into the practical specifics of what those contractual arrangements must contain.

It operates on two tiers: a baseline set of requirements for all ICT service contracts, and an enhanced, more detailed set of requirements that apply specifically when the contracted services support critical or important functions.

The article also tasks the ESAs with developing regulatory technical standards to further specify subcontracting assessment requirements.

Important points:

Ensure all ICT third-party service contracts are set out in writing in a single document and contain a defined baseline of elements, including data protection provisions, service level descriptions, termination rights, and incident assistance obligations.
When ICT services support critical or important functions, the contract must go further — covering precise performance targets, audit and access rights, exit strategies with transition periods, and the ICT third-party service provider's obligation to participate in threat-led penetration testing.
Microenterprises may agree to delegate their rights of access, inspection and audit to an independent third party appointed by the ICT third-party service provider, rather than exercising those rights directly.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters werden eindeutig zugewiesen und schriftlich dargelegt. Der vollständige Vertrag umfasst die Vereinbarung über die Dienstleistungsgüte und wird in einem schriftlichen Dokument, das den Parteien in Papierform zur Verfügung steht, oder in einem Dokument in einem anderen herunterladbaren, dauerhaften und zugänglichen Format dokumentiert.
1. Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen umfassen mindestens folgende Elemente:
  1. eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist, und — wenn dies der Fall ist — welche Bedingungen für diese Unterauftragsvergabe gelten;
  2. die Standorte — das heißt die Regionen oder Länder —, an denen die vertraglich vereinbarten oder an Unterauftragnehmer vergebenen Funktionen und IKT-Dienstleistungen bereitzustellen sind und an denen Daten verarbeitet werden sollen, einschließlich des Speicherorts, sowie die Auflage für den IKT-Drittdienstleister, das Finanzunternehmen vorab zu benachrichtigen, wenn er eine Änderung dieser Standorte beabsichtigt;
  3. Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, einschließlich des Schutzes personenbezogener Daten;
  4. Bestimmungen über die Sicherstellung des Zugangs zu personenbezogenen und nicht personenbezogenen Daten, die von dem Finanzunternehmen im Fall einer Insolvenz, Abwicklung, Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters oder einer Beendigung der vertraglichen Vereinbarungen verarbeitet werden, sowie über die Wiederherstellung und Rückgabe dieser Daten in einem leicht zugänglichen Format;
  5. Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen;
  6. die Verpflichtung des IKT-Drittdienstleisters, dem Finanzunternehmen bei einem IKT-Vorfall, der mit dem für das Finanzunternehmen bereitgestellten IKT-Dienst in Verbindung steht, ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten Unterstützung zu leisten;
  7. die Verpflichtung des IKT-Drittdienstleisters, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten, einschließlich der von diesen benannten Personen;
  8. Kündigungsrechte und damit zusammenhängende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen entsprechend den Erwartungen der zuständigen Behörden und der Abwicklungsbehörden;
  9. Bedingungen für die Teilnahme von IKT-Drittdienstleistern an den von den Finanzunternehmen angebotenen Programmen zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz gemäß Artikel 13 Absatz 6.
1. Die vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen umfassen zusätzlich zu den in Absatz 2 genannten Elementen mindestens Folgendes:
  1. vollständige Beschreibungen der Dienstleistungsgüte, einschließlich Aktualisierungen und Überarbeitungen, mit präzisen quantitativen und qualitativen Leistungszielen innerhalb der vereinbarten Dienstleistungsgüte, um dem Finanzunternehmen eine wirksame Überwachung von IKT-Dienstleistungen und das unverzügliche Ergreifen angemessener Korrekturmaßnahmen zu ermöglichen, wenn eine vereinbarte Dienstleistungsgüte nicht erreicht wird;
  2. Kündigungsfristen und Berichtspflichten des IKT-Drittdienstleisters gegenüber dem Finanzunternehmen, einschließlich der Meldung aller Entwicklungen, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters, IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gemäß den vereinbarten Leistungsniveaus wirksam bereitzustellen, auswirken könnten;
  3. Anforderungen an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten;
  4. die Verpflichtung des IKT-Drittdienstleisters, sich an den in den Artikeln 26 und 27 genannten TLPT des Finanzunternehmens zu beteiligen und uneingeschränkt daran mitzuwirken;
  5. das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu Folgendes gehört:
    uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten und der zuständigen Behörde sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen vor Ort, wenn ihnen für die Geschäftstätigkeit des IKT-Drittdienstleisters entscheidende Bedeutung zukommt, wobei die tatsächliche Ausübung dieser Rechte nicht durch andere vertragliche Vereinbarungen oder Umsetzungsrichtlinien behindert oder eingeschränkt wird;
    das Recht, alternative Bestätigungsniveaus zu vereinbaren, wenn die Rechte anderer Kunden betroffen sind;
    die Verpflichtung des IKT-Drittdienstleisters zur uneingeschränkten Zusammenarbeit bei Vor-Ort-Inspektionen und Audits, die von den zuständigen Behörden, der federführenden Überwachungsbehörde, dem Finanzunternehmen oder einem beauftragten Dritten durchgeführt werden; und
    die Verpflichtung, Einzelheiten zu Umfang und Häufigkeit dieser Inspektionen sowie dem dabei zu befolgenden Verfahren mitzuteilen;
  6. Ausstiegsstrategien, insbesondere die Festlegung eines verbindlichen angemessenen Übergangszeitraums,
    in dem der IKT-Drittdienstleister weiterhin die entsprechenden Funktionen oder IKT-Dienstleistungen bereitstellt, um das Risiko von Störungen im Finanzunternehmen zu verringern oder um dessen geordnete Abwicklung und Umstrukturierung sicherzustellen;
    der dem Finanzunternehmen ermöglicht, zu einem anderen IKT-Drittdienstleister zu wechseln oder auf interne Lösungen umzustellen, die der Komplexität der erbrachten Dienstleistung entsprechen.
2. Abweichend von Buchstabe e können der IKT-Drittdienstleister und das Finanzunternehmen, das ein Kleinstunternehmen ist, vereinbaren, dass die Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens auf einen unabhängigen Dritten übertragen werden können, der vom IKT-Drittdienstleister benannt wird, sowie dass das Finanzunternehmen von diesem Dritten jederzeit Informationen und Gewähr in Bezug auf die Leistung des IKT-Drittdienstleisters verlangen kann.
1. Bei der Aushandlung vertraglicher Vereinbarungen erwägen Finanzunternehmen und IKT-Drittdienstleister die Verwendung von Standardvertragsklauseln, die von Behörden für bestimmte Dienstleistungen entwickelt wurden.
1. Die ESA erarbeiten über den Gemeinsamen Ausschuss Entwürfe technischer Regulierungsstandards, um die in Absatz 2 Buchstabe a genannten Aspekte zu präzisieren, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss.
2. Bei der Ausarbeitung dieser Entwürfe technischer Regulierungsstandards berücksichtigen die ESA die Größe und das Gesamtrisikoprofil des Finanzunternehmens sowie die Art, den Umfang und die Komplexität seiner Dienstleistungen, Tätigkeiten und Geschäfte.
3. Die ESA übermitteln der Kommission diese Entwürfe technischer Regulierungsstandards bis zum 17. Juli 2024.
4. Der Kommission wird die Befugnis übertragen, die vorliegende Verordnung durch Annahme der in Unterabsatz 1 genannten technischen Regulierungsstandards gemäß den Artikeln 10 bis 14 der Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 zu ergänzen.

Relevant recitals

Erwägungsgrund 68 Harmonisation of contractual provisions with ICT third-party service providers

Um die Fähigkeit eines IKT-Drittdienstleisters, sichere Dienstleistungen für ein Finanzunternehmen ohne nachteilige Auswirkungen auf dessen digitale operationale Resilienz zu erbringen, regelmäßig zu bewerten und zu überwachen, sollten einige wesentliche Vertragsbestandteile mit IKT-Drittdienstleistern harmonisiert werden. Diese Harmonisierung sollte Mindestbereiche abdecken, die — unter dem Gesichtspunkt, dass ein Finanzunternehmen seine digitale Resilienz sicherstellen muss, da es in hohem Maße von der Stabilität, der Funktionalität, der Verfügbarkeit und der Sicherheit der beanspruchten IKT-Dienstleistungen abhängig ist — für eine umfassende Überwachung der von einem IKT-Drittdienstleister möglicherweise ausgehenden Risiken durch das Finanzunternehmen von entscheidender Bedeutung sind.

Erwägungsgrund 69 Alignment with key requirements in contract renegotiation

Bei der Neuaushandlung vertraglicher Vereinbarungen zwecks Angleichung an die Anforderungen dieser Verordnung sollten Finanzunternehmen und IKT-Drittdienstleister sicherstellen, dass die in dieser Verordnung vorgesehenen wesentlichen Vertragsbestimmungen berücksichtigt werden.

Erwägungsgrund 71 Contractual arrangements with ICT services

Ungeachtet der Kritikalität oder Bedeutung der von dem IKT-Drittdienstleister unterstützten Funktion sollte in den vertraglichen Vereinbarungen insbesondere eine Spezifikation der vollständigen Beschreibungen von Funktionen und Dienstleistungen sowie von Orten, an denen solche Funktionen bereitgestellt werden und Daten verarbeitet werden sollen, vorgesehen sein; ferner sollten Beschreibungen der Dienstleistungsgüte enthalten sein. Andere wesentliche Elemente um einem Finanzunternehmen die Überwachung des IKT-Drittparteienrisikos zu ermöglichen, sind die Folgenden: vertragliche Bestimmungen dazu, wie Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten durch den IKT-Drittdienstleister gewährleistet werden; Bestimmungen über die einschlägigen Garantien für den Zugang zu sowie die Wiederherstellung und Rückgabe von Daten im Falle einer Insolvenz, Abwicklung oder Einstellung der Geschäftstätigkeit des IKT-Drittdienstleisters; Bestimmungen, die den IKT-Drittdienstleister dazu verpflichten, im Falle von IKT-Vorfällen im Zusammenhang mit den erbrachten Dienstleistungen ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten Unterstützung zu leisten; Bestimmungen über die Verpflichtung des IKT-Drittdienstleisters, uneingeschränkt mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten, sowie Bestimmungen über Kündigungsrechte und damit zusammenhängende Mindestkündigungsfristen für die Beendigung der vertraglichen Vereinbarungen entsprechend den Erwartungen der zuständigen Behörden und Abwicklungsbehörden.

Erwägungsgrund 72 Contractual arrangements for critical or important ICT services

In Ergänzung zu derartigen vertraglichen Bestimmungen sowie um sicherzustellen, dass Finanzunternehmen die volle Kontrolle über alle von Dritten ausgehenden Entwicklungen behalten, die ihre IKT-Sicherheit beeinträchtigen könnten, sollten die Verträge über die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen zudem Folgendes vorschreiben: die Spezifikation der vollständigen Beschreibung der Dienstleistungsgüte einschließlich präziser quantitativer und qualitativer Leistungsziele, damit unverzüglich angemessene Korrekturmaßnahmen ergriffen werden können, wenn die vereinbarte Dienstleistungsgüte nicht erreicht werden; die einschlägigen Kündigungsfristen und Meldepflichten des IKT-Drittdienstleisters im Falle von Entwicklungen, die sich wesentlich auf die Fähigkeit des IKT-Drittdienstleisters auswirken könnten, die entsprechenden IKT-Dienstleistungen wirksam zur Verfügung stellen; die Anforderung an den IKT-Drittdienstleister, Notfallpläne zu implementieren und zu erproben und über Maßnahmen, Instrumente und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die eine sichere Erbringung von Dienstleistungen ermöglichen, sowie sich an dem TLPT des Finanzunternehmens zu beteiligen und uneingeschränkt daran mitzuwirken.

Erwägungsgrund 73 Access, inspection, and audit provisions

Verträge über die Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen sollten zudem Bestimmungen enthalten, die Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten sowie das Recht auf Anfertigung von Kopien regeln, die als wesentliche Instrumente für die laufende Überwachung der Leistung des IKT-Drittdienstleisters durch die Finanzunternehmen dienen, gepaart mit der uneingeschränkten Zusammenarbeit des Drittdienstleisters während der Inspektionen. In gleicher Weise sollte die für das Finanzunternehmen zuständige Behörde auf der Grundlage von Mitteilungen über das Recht verfügen, den IKT-Drittdienstleister vorbehaltlich des Schutzes vertraulicher Informationen zu inspizieren und zu prüfen.

Erwägungsgrund 74 Exit strategies and resolution resilience

Diese vertraglichen Vereinbarungen sollten ferner spezielle Ausstiegsstrategien vorsehen, die insbesondere verbindliche Übergangszeiträume ermöglichen, in denen die IKT-Drittdienstleister weiterhin die einschlägigen Dienste bereitstellen sollten, um das Risiko von Störungen auf Ebene des Finanzunternehmens zu verringern oder es Letzterem zu ermöglichen, effektiv zu anderen IKT-Drittdienstleistern zu wechseln oder alternativ zu internen Lösungen zu wechseln, die der Komplexität der bereitgestellten IKT-Dienstleistungen entsprechen. Darüber hinaus sollten Finanzunternehmen, die in den Geltungsbereich der Richtlinie 2014/59/EU fallen, sicherstellen, dass die einschlägigen Verträge über IKT-Dienstleistungen solide und im Falle der Abwicklung dieser Finanzunternehmen uneingeschränkt durchsetzbar sind. Daher sollten diese Finanzunternehmen im Einklang mit den Erwartungen der Abwicklungsbehörden sicherstellen, dass die einschlägigen Verträge über IKT-Dienstleistungen abwicklungssicher sind. Solange diese Finanzunternehmen ihren Zahlungsverpflichtungen weiterhin nachkommen, sollten sie neben anderen Anforderungen sicherstellen, dass die einschlägigen Verträge über IKT-Dienstleistungen Klauseln darüber enthalten, dass sie nicht aufgrund einer Umstrukturierung oder Abwicklung gekündigt, ausgesetzt oder geändert werden können.

Erwägungsgrund 75 Use of standard contractual clauses

Darüber hinaus kann die freiwillige Verwendung von Standardvertragsklauseln, die von staatlichen Behörden oder von Organen der Union entwickelt wurden, insbesondere die Verwendung von der Kommission für Cloud-Computing Dienste entwickelten Vertragsklauseln den Finanzunternehmen und IKT-Drittdienstleistern eine zusätzliche Rückversicherung bieten, indem sie die Rechtssicherheit in Bezug auf die Nutzung von Cloud-Computing-Diensten im Finanzsektor in voller Übereinstimmung mit den Anforderungen und Erwartungen des Finanzdienstleistungsrechts der Union erhöht. Die Erarbeitung von Standardvertragsklauseln baut auf Maßnahmen auf, die bereits im FinTech-Aktionsplan von 2018 vorgesehen waren, in dem die Absicht der Kommission angekündigt wurde, die Entwicklung von Standardvertragsklauseln für die Auslagerung von Cloud-Computing-Dienstleistungen durch Finanzunternehmen zu fördern und zu erleichtern, wobei auf den sektorübergreifenden Anstrengungen der Cloud-Interessenträger aufgebaut wird, die die Kommission unter Beteiligung des Finanzsektors unterstützt hat.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.