Auf DORA-Kurs: Wie Sie Ihre Verträge rechtzeitig anpassen

Warum ist das wichtig? In Zeiten der Digitalisierung lagern Unternehmen – auch kleine und mittlere Unternehmen (KMU) – vermehrt IT-Dienste aus oder arbeiten mit Cloud-Anbietern und Softwaredienstleistern zusammen. Verträge bilden die Grundlage dieser Kooperationen. Ungenaue oder veraltete Vertragsklauseln können im Ernstfall zu Sicherheitslücken, Compliance-Problemen oder Haftungsrisiken führen. Der folgende Artikel zeigt praxisnah, welche Verträge von DORA betroffen sind und wie Sie sie schrittweise prüfen und anpassen – mit konkreten Tipps, Best Practices und einer Schritt-für-Schritt-Anleitung.

Ziel dieses Artikels: Ihnen als Unternehmen einen verständlichen Leitfaden an die Hand zu geben, um DORA-konforme Verträge aufzusetzen. Selbst ohne juristischen Hintergrund werden Sie erfahren, was DORA bedeutet, warum Sie handeln sollten und wie Sie konkret vorgehen – damit Ihre Verträge den Herausforderungen standhalten.

Was ist DORA?

DORA steht für „Digital Operational Resilience Act“ und ist eine EU-Verordnung (EU 2022/2554), die einheitliche Standards für die digitale Widerstandsfähigkeit im Finanzsektor schafft. Vereinfacht gesagt: DORA soll sicherstellen, dass Finanzunternehmen und ihre Dienstleister auch bei IT-Störungen, Cyberangriffen oder Systemausfällen handlungsfähig bleiben. Die Verordnung wurde Ende 2022 verabschiedet und ist seit Januar 2023 in Kraft; ab dem 17.01.2025 müssen die Vorschriften verbindlich angewendet werden.

Wen betrifft DORA? Der Geltungsbereich ist breit: Es betrifft nahezu alle Finanzunternehmen – von Banken und Versicherern bis zu Zahlungs- und Krypto-Dienstleistern. Wichtig: Auch IKT-Drittdienstleister – also Anbieter von IT-Leistungen wie Cloud-Services, Softwareunternehmen oder Rechenzentren – sind indirekt betroffen. Wenn Ihr Unternehmen solche Dienste in Anspruch nimmt oder anbietet, sollten Sie DORA kennen. Auch kleinere Institute müssen die Vorgaben umsetzen (nach dem Grundsatz der Verhältnismäßigkeit).

Historischer Kontext: DORA entstand vor dem Hintergrund zunehmender Cyberrisiken und der steigenden Abhängigkeit von IT-Dienstleistern. DORA baut auf bestehenden nationalen Richtlinien (wie MaRisk/BAIT in Deutschland) auf und vereint sie auf EU-Ebene zu einheitlichen Spielregeln.

Warum sind Vertragsanpassungen notwendig?

Mit DORA kommen konkrete regulatorische Anforderungen auf Unternehmen zu, die viele bestehende Verträge nicht vollständig erfüllen. Insbesondere Auslagerungsverträge – etwa mit Cloud-Providern, Hosting-Firmen oder Software-Dienstleistern – müssen nun bestimmte Klauseln enthalten. Die Notwendigkeit der Vertragsanpassung ergibt sich aus mehreren Gründen:

• Gesetzliche Pflicht: DORA schreibt vor, dass Verträge mit IT-Dienstleistern definierte Mindestinhalte haben (z.B. klare Sicherheitsvereinbarungen und Berichtspflichten). Ohne Anpassung laufen Unternehmen Gefahr, gegen das Gesetz zu verstoßen.
  
  
• Risiken bei Nichteinhaltung: Werden die DORA-Vorgaben ignoriert, drohen Konsequenzen. Aufsichtsbehörden können Prüfungen durchführen und bei Verstößen Maßnahmen oder Bußgelder verhängen. Außerdem steht das Unternehmen im Krisenfall schlechter da – etwa wenn ein Anbieter bei einem Cyberangriff nicht zur Hilfe verpflichtet ist, weil die Pflicht dazu vertraglich nicht festgelegt wurde.
  
  
• IT-Sicherheit und Notfallplanung: Verträge legen fest, welche Sicherheitsstandards ein Dienstleister einhalten muss. Sie regeln auch das Vorgehen bei IT-Zwischenfällen und Notfällen. Nur aktualisierte Verträge stellen sicher, dass Dienstleister im Ernstfall mitziehen – etwa bei der Wiederherstellung von Daten oder dem Ausführen von Notfallplänen.
  
  
• Compliance und Reputation: In der Finanzbranche ist Vertrauen essenziell. DORA-Compliance signalisiert Partnern und Kunden, dass Ihr Unternehmen professionell mit digitalen Risiken umgeht. Umgekehrt kann ein bekannter Verstoß (z.B. ein ungeklärter Cloud-Ausfall) Rufschäden verursachen und die Geschäftsbeziehungen belasten.
  
  

Welche Vertragsanpassungen stehen an?

Nun stellt sich die Frage: Welche Verträge müssen geprüft und angepasst werden? Grundsätzlich sind alle Vereinbarungen im Fokus, bei denen Ihr Unternehmen von externen IT-Leistungen abhängig ist. Dazu zählen zum Beispiel:

• Cloud-Service-Verträge: Vereinbarungen mit Anbietern von Cloud-Infrastrukturen (IaaS/PaaS) oder SaaS.
  
  
• IT-Outsourcing & Support: Verträge mit IT-Dienstleistern, Managed Service Providern oder Rechenzentrumsbetreibern.
  
  
• Software-Lizenz- und Wartungsverträge: Falls wichtige Software von Dritten bereitgestellt oder gewartet wird.
  
  
• Intra-Konzern-Vereinbarungen: Interne Verträge mit IT-Tochtergesellschaften oder dem eigenen Unternehmensverbund.
  
  
• Weitere IKT-Dienstleister: etwa Telekommunikation, Datenanalyse oder Zahlungsdienste, sofern sie für Ihren Betrieb kritisch sind.
  
  

Wichtige Vertragsinhalte, die jetzt geprüft werden sollten: DORA fordert bestimmte Elemente in Verträgen mit IT-Drittanbietern. Achten Sie insbesondere auf folgende Punkte und ergänzen Sie diese, falls nötig:

• Sicherheitsanforderungen: Der Dienstleister muss angemessene IT-Sicherheitsstandards einhalten. Vereinbaren Sie verbindliche Maßnahmen zu Datenschutz, Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Beispielsweise können Zertifizierungen (wie ISO 27001) oder konkrete technische Maßnahmen festgeschrieben werden.
  
  
• Datenmanagement: Regeln Sie, wie mit Ihren Daten umgegangen wird. Dazu gehört der Speicherort der Daten (welche Länder/Rechenzentren) und die Zusicherung, dass Standortänderungen nur mit vorheriger Info erfolgen. Ebenfalls wichtig: Ihr Unternehmen sollte jederzeit Zugriff auf alle relevanten Daten haben und diese im Bedarfsfall herausverlangen können (z.B. bei Anbieterwechsel).
  
  
• Backup und Notfallpläne: Legen Sie fest, dass der Dienstleister regelmäßige Backups durchführt und über aktuelle Notfall- und Wiederherstellungspläne verfügt. Im Vertrag sollte verankert sein, wie schnell der Betrieb im Falle eines Ausfalls wiederhergestellt sein muss und welche Unterstützung der Anbieter in einer Krisensituation leistet.
  
  
• Berichtspflichten & Vorfallmeldung: Vereinbaren Sie, dass der Dienstleister schwerwiegende IT-Vorfälle unverzüglich an Sie meldet. Zudem sollten regelmäßige Berichte über die Service-Qualität und Sicherheit bereitgestellt werden. So erkennen Sie Probleme frühzeitig und erfüllen Ihre Meldepflichten gegenüber der Aufsicht.
  
  

Je nach Vertrag könnten noch weitere Anpassungen sinnvoll sein (z.B. Audit-Rechte oder spezielle Kündigungsrechte bei Verstößen). Wichtig ist, die genannten Kernpunkte in allen relevanten Verträgen zu berücksichtigen. Im Zweifel lohnt es sich, einen Rechtsberater hinzuzuziehen, um sicherzustellen, dass keine der neuen Vorgaben übersehen wird.

Schritt-für-Schritt-Anleitung zur Vertragsanpassung

Wie gehen Sie nun konkret vor? Die Anpassung aller relevanten Verträge kann ein größeres Projekt sein. Mit folgendem Fahrplan behalten Sie den Überblick:

1. Bestandsaufnahme: Verschaffen Sie sich einen Überblick. Welche Verträge hat Ihr Unternehmen mit IKT-Dienstleistern? Listen Sie alle externen IT-Services auf – von Cloud-Hosting über Software-Abonnements bis zum ausgelagerten Helpdesk. Markieren Sie dabei besonders kritische Dienstleistungen, von denen Ihr Kerngeschäft abhängt.
   
   
2. Vertrags-Check: Nehmen Sie jeden relevanten Vertrag und prüfen Sie, ob die oben genannten Schlüsselelemente enthalten sind. Erstellen Sie eine Checkliste mit den DORA-Anforderungen (Sicherheit, Daten, Notfall, Meldung etc.) und halten Sie fest, wo es Lücken gibt. Parallel dazu sollten Sie interne Richtlinien einbeziehen – etwa vorhandene Vorgaben zu Outsourcing – und abgleichen, ob diese aktualisiert werden müssen.
   
   
3. Priorisierung & Plan: Wahrscheinlich lassen sich nicht alle Verträge auf einmal ändern. Setzen Sie daher Prioritäten: Zuerst Verträge, die kritische Funktionen betreffen oder bald auslaufen. Dann Schritt für Schritt die übrigen. Erstellen Sie einen Zeitplan, bis wann welcher Vertrag angepasst sein soll. Behalten Sie den Stichtag 17.01.2025 im Auge und planen Sie genügend Zeit ein, um Hektik zum Jahresende zu vermeiden.
   
   
4. Umsetzung: Jetzt geht es an die Änderungen. Binden Sie Ihre Rechtsabteilung oder externe Juristen ein, um rechtssichere Klauseln zu formulieren. Parallel liefert die IT-Abteilung die technischen Anforderungen. Treten Sie zudem mit Ihren Dienstleistern in Kontakt und informieren Sie sie frühzeitig über die geplanten Änderungen – viele Anbieter sind bereits mit DORA vertraut und kooperieren. Wichtig: Neue Verträge, die Sie abschließen, sollten ab sofort DORA-konform gestaltet werden, damit Sie später nicht erneut nachbessern müssen.
   
   
5. Dokumentation & Monitoring: Dokumentieren Sie die Anpassungen und führen Sie ein Vertragsregister aller IT-Dienstleister-Verträge mit ihrem DORA-Status. Im Anschluss ist Monitoring wichtig: Prüfen Sie regelmäßig, ob Dienstleister ihre Pflichten einhalten (kommen die vereinbarten Reports? funktionieren Notfallprozesse?). Planen Sie zudem regelmäßige Reviews, um Verträge aktuell zu halten – DORA ist ein fortlaufender Prozess und auch Ihre Geschäftsanforderungen können sich ändern.
   
   

Durch dieses strukturierte Vorgehen vermeiden Sie Hektik kurz vor Ablauf der Frist. Eventuelle Schwierigkeiten (z.B. ein Dienstleister zögert mit der Zustimmung) können frühzeitig adressiert werden.

Best Practices & Fallbeispiele

Best Practice 1: Frühzeitig starten – Ein mittelständisches Finanzunternehmen begann frühzeitig (Anfang 2024) mit der Anpassung. Zuerst wurde ein kritischer Cloud-Vertrag aktualisiert und als Vorlage für alle weiteren Verträge genutzt. Tipp: Starten Sie mit den wichtigsten Verträgen und erstellen Sie Mustertexte für wiederkehrende Klauseln. Das spart Zeit und sorgt für einheitliche Standards.

Best Practice 2: Kooperation mit Dienstleistern – Ein KMU im Versicherungsbereich informierte alle seine IT-Dienstleister frühzeitig. Einige große Anbieter boten eigene DORA-Vertragsnachträge an, sodass neue Regelungen rasch vereinbart werden konnten. Tipp: Suchen Sie proaktiv das Gespräch mit Ihren Partnern. Viele Dienstleister schätzen einen kooperativen Ansatz und sind bereit, bei der Umsetzung entgegenzukommen.

Häufige Stolpersteine: Ein häufiger Fehler ist die Unterschätzung des Aufwands – wer zu spät beginnt, gerät in Zeitnot. Ebenso kritisch ist das Übersehen kleinerer IT-Abhängigkeiten: Man sollte alle Zulieferer prüfen, auch wenn sie nicht auf den ersten Blick kritisch erscheinen. Drittens kann mangelnde Kommunikation Probleme verursachen: Fordert man Vertragsänderungen ohne Erklärung, reagieren Anbieter oft zurückhaltend. Besser ist, früh offen zu legen, warum die Anpassungen nötig sind und wie beide Seiten profitieren.

Experten-Tipp: Dokumentieren Sie Ihren Fahrplan. Falls die Aufsichtsbehörde prüft, können Sie zeigen, dass Sie systematisch vorgehen. Bei Verzögerungen hilft ein schriftlicher Aktionsplan, um gegenüber Prüfern darzulegen, wie und bis wann alle Verträge angepasst werden – so signalisieren Sie Compliance-Bereitschaft, selbst wenn noch nicht alles abgeschlossen ist.

FAQ

• Welche Fristen gelten? DORA ist seit Januar 2023 in Kraft, aber die Anwendungspflicht startet am 17. Januar 2025. Bis zu diesem Datum sollten betroffene Unternehmen alle Vorgaben umgesetzt haben – inklusive der Vertragsanpassungen.
  
  
• Was passiert bei Nichteinhaltung? Werden DORA-Anforderungen nicht erfüllt, drohen aufsichtsrechtliche Maßnahmen. Die Finanzaufsicht (z.B. BaFin) kann Verwarnungen aussprechen, Auflagen erteilen oder Bußgelder verhängen. Sie erwartet zumindest einen konkreten Plan, falls noch nicht alle Verträge rechtzeitig angepasst sind. Auch operativ riskant: Ein nicht-konformer Vertrag bedeutet, dass Sie im Krisenfall keinen Anspruch auf Unterstützung vom Dienstleister haben.
  
  
• Wer kann bei der Umsetzung helfen? Wenn intern die Ressourcen knapp sind, holen Sie sich Unterstützung. Rechtsanwälte und Beratungsunternehmen mit Fokus auf IT-Compliance können prüfen, ob Ihre Verträge wasserdicht sind, und bei der Formulierung neuer Klauseln helfen. Branchenverbände und Kammern stellen oft Leitfäden oder Musterklauseln bereit – speziell für KMU. Intern sollten Sie unbedingt Ihr IT-Team und das Risikomanagement einbinden, denn die technischen und organisatorischen Details kommen von dort. Schulungen für Mitarbeiter zum Thema DORA können das Bewusstsein schärfen. Nutzen Sie vorhandenes Know-how, um den Übergang zu stemmen – das spart Zeit und sorgt für solide Ergebnisse.