Dienstleistungen der Informations- und Kommunikationstechnologie (IKT) spielen eine Schlüsselrolle für die Stärkung der digitalen operationalen Resilienz im Finanzsektor durch den Digital Operational Resilience Act (DORA). Viele geschäftskritische Prozesse werden an spezialisierte IKT-Drittdienstleister ausgelagert. Eine Sicherheitslücke bei solchen Dienstleistern kann das gesamte Finanzsystem betreffen. Ihre Regulierung ist daher eine tragende Säule der Resilienzstrategie. Dieser Beitrag diskutiert zunächst die mögliche Einschränkung des Anwendungsbereichs für „anderweitig regulierte“ IKT-Dienstleistungen. Anschließend wird analysiert, ob es ein „Recht auf Vereinbarung eines alternativen Bestätigungsniveaus“ gibt und wem es zusteht.
Zum Verständnis von IKT-Dienstleistungen
Ein zentrales Element von DORA ist die Definition von IKT-Dienstleistungen (Art. 3 Nr. 21 DORA). Ob eine Dienstleistung hierunter fällt, entscheidet darüber, ob ein Finanzunternehmen zum Beispiel zusätzliche Compliancemaßnahmen zu ergreifen oder eine Vertragsanpassung mit IKT-Drittdienstleistern vorzunehmen hat.
Die Einordnung bereitet insbesondere Schwierigkeiten, wenn es sich um eine bereits anderweitig regulierte Finanzdienstleistung handelt. Hintergrund der Rechtsunsicherheit ist eine Veröffentlichung der drei Europäischen Finanzaufsichtsbehörden (ESAs) auf der Webseite der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA): In gemeinsamen „Q&A“ beantworten die ESAs Fragen der Öffentlichkeit zu DORA – darunter auch eine Frage danach, welche Dienstleistungsarten nach der Definition als IKT-Dienstleistungen zu betrachten sind (Question ID: 2999–DORA030).
Einschränkende Auslegung durch die ESAs?
Der von der Kommission bereitgestellte Antworttext betont zunächst, dass die Definition in DORA bewusst weit gefasst ist, um ein hohes Maß an digitaler Resilienz sicherzustellen. Sodann schlägt die Kommission dem als Leistungsempfänger agierenden Finanzunternehmen für Finanzdienstleistungen mit IKT-Komponente eine zweistufige Prüfung vor:
- Liegt eine IKT-Dienstleistung i.S.v. DORA vor?
- Sind das leistungserbringende Finanzunternehmen und die erbrachte Dienstleistung nach Unionsrecht oder nationalem Recht eines Mitglieds- oder Drittstaates reguliert?
Sind beide Kriterien erfüllt, soll die Dienstleistung überwiegend als Finanzdienstleistung angesehen und nicht als IKT-Dienstleistung im Sinne des Art. 3 Nr. 1 DORA behandelt werden.
Diese von den ESAs auf der zweiten Stufe vorgenommene Einschränkung findet weder in der Definition der IKT-Dienstleistungen noch in den Vorschriften zum Geltungsbereich in Art. 1 und 2 DORA eine Grundlage. Eine gewisse Stütze bietet Erwägungsgrund 78 Satz 1, wonach regulierte IKT-Dienstleistungen, die bereits anderen Aufsichtsmechanismen des Finanzdienstleistungsrechts der EU unterliegen, vom Anwendungsbereich ausgeschlossen sein können. Die Kommission geht jedoch über den Erwägungsgrund hinaus und lässt auch die nationale Regulierung eines Mitglieds- oder Drittstaates genügen.
Grundsatz: Keine Rechtsverbindlichkeit behördlicher Äußerungen
Für Finanzunternehmen stellt sich nun die Frage, ob sie ihre Compliancemaßnahmen am Gesetzestext oder an der ESA-Veröffentlichung ausrichten sollen.
Rechtsverbindlich ist allein der Verordnungstext. Erwägungsgründe sind reine Auslegungshilfen und entfalten keine eigenständige Rechtswirkung. Ein in den Erwägungsgründen angelegtes Verständnis ist zwar innerhalb der historischen Auslegung zu berücksichtigen, es ist aber bei entgegenstehenden Ergebnissen anderer Methoden keinesfalls zwingend.
Vorliegend spricht der Wortlaut gegen die Einschränkung. Der Gesetzgeber hätte sie schließlich im Verordnungstext verankern können. Zudem kann das Ziel von DORA, die digitale Betriebsstabilität von Finanzunternehmen auch bei Auslagerung einzelner Aufgaben zu stärken, umso effektiver verfolgt werden, je mehr IKT-Drittdienstleister von der Regulierung erfasst sind. Geht man hingegen davon aus, dass einige IKT-Dienstleistungen bereits anderweitig reguliert sind, wäre eine doppelte Regulierung zumindest dann eine unverhältnismäßige Belastung, wenn sich die festgelegten Standards qualitativ entsprechen. Das ist aber dann nicht der Fall, wenn bereits die nationale Regulierung durch einen beliebigen Mitglied- oder Drittstaat, dessen Standards von der Kommission nicht geprüft sind, ausreichen soll, wie es die ESAs und die Kommission vertreten.
Die Äußerung der Kommission als Q&A ist ein unverbindlicher Rechtsakt im Sinne des Art. 288 Abs. 5 AEUV. Dementsprechend enthält sie einen „Disclaimer“, der auf den Auslegungsvorbehalt des EuGH hinweist. Dass von derartigen Aussagen dennoch eine hohe Steuerungswirkung ausgeht, ist nicht von der Hand zu weisen. Aus dem rechtsstaatlichen Prinzip des Vertrauensschutzes folgt zumindest eine Selbstbindung des sich äußernden Organs. Die Bindungswirkung dürfte sich auf die ESAs erstrecken, die sich die Ansicht der Kommission durch die Veröffentlichung zu eigen gemacht haben.
Praxisempfehlung
Nach alldem führt eine Risikoabwägung in den meisten Fällen zu dem Ergebnis, dass der einschränkenden Auslegung der ESAs beziehungsweise der Kommission vorerst gefolgt werden kann. Dafür spricht nicht nur, dass die ESAs sich widersprüchlich verhielten, wenn sie ein Finanzunternehmen deshalb belangen würden, sondern auch die historische Auslegung anhand Erwägungsgrund 78. Der Auslegung sollte nicht bereits dann gefolgt werden, wenn der Dienstleister als solcher reguliert ist. Es kommt vielmehr darauf an, dass die in Frage stehende Dienstleistung Gegenstand der Regulierung ist. Noch mehr Vorsicht ist geboten, wenn die beanspruchte Dienstleistung lediglich durch das Recht eines beliebigen Staats reguliert ist, dessen Schutzniveau nicht bestätigt ist. Denn die von den ESAs und der Kommission vertretene Ansicht, wonach dies bereits zur Einschränkung des IKT-Dienstleistungsbegriffs führt, findet zunächst in Erwägungsgrund 78 keine Stütze. Sie birgt überdies die Gefahr von Rechtsunsicherheit, eines uneinheitlichen Schutzniveaus sowie von Aufsichtslücken. Dies ändert zwar nichts an der Selbstbindung der ESAs, erhöht jedoch das Risiko einer abweichenden Position der Rechtsprechung oder anderer zuständigen Behörden. Die Entwicklung sollte in jedem Fall aufmerksam beobachtet werden, um auf Änderungen frühzeitig reagieren zu können.
Gewährt DORA ein Recht auf die Vereinbarung alternativer Bestätigungsniveaus?
Art. 30 DORA legt verbindliche Mindestanforderungen für Verträge mit IKT-Drittdienstleistern fest. Dabei gilt ein gestuftes System: Während Abs. 2 für alle Verträge gilt, greifen die zusätzlichen Anforderungen aus Abs. 3 bei Dienstleistungen mit kritischen oder wichtigen Funktionen im Sinne des Art. 3 Nr. 22 DORA. Eine dieser Anforderungen ist das Recht, in bestimmten Fällen „alternative Bestätigungsniveaus“ zu vereinbaren (Art. 30 Abs. 3 lit. e Ziffer ii DORA). Gemeint ist eine Anpassung vereinbarter Kontroll- und Prüfrechte – etwa wenn Rechte anderer Kunden des IKT-Drittdienstleisters berührt sind. Fraglich ist jedoch, wem dieses Recht zur Vereinbarung zusteht – dem Finanzunternehmen oder dem IKT-Drittdienstleister?
DORA berechtigt nur das Finanzunternehmen
Der Wortlaut von DORA ist diesbezüglich nicht eindeutig. Aus Systematik sowie Sinn und Zweck ergibt sich jedoch, dass das Recht zur (Vorab-)Vereinbarung alternativer Bestätigungsniveaus im Vertrag mit dem IKT-Drittdienstleister ausschließlich dem Finanzunternehmen zusteht.
Finanzunternehmen stehen als unmittelbare Normadressaten im Fokus der Regulierung (vgl. Art. 1 Abs. 1, Art. 2 Abs. 1, Abs. 2 DORA). IKT-Drittdienstleister werden lediglich mittelbar, zum Beispiel durch die Regelungen zu Vertragsbestimmungen, reguliert. Ihnen ein eigenes Recht unmittelbar aus DORA zuzugestehen, widerspräche der systematischen Struktur der Verordnung.
Auch die Einbettung der Norm in Art. 30 Abs. 3 lit. e DORA, das Überwachungsrecht des Finanzunternehmens, bestätigt dieses Verständnis. Dieses ist dem Wortlaut nach eindeutig dem Finanzunternehmen zugeordnet. Die deutsche Fassung spricht davon, dass das Recht auf Vereinbarung eines alternativen Bestätigungsniveaus zu diesem Überwachungsrecht „dazu gehört“, die englische Fassung verwendet den Begriff „entail“, der ebenfalls im Sinne von „beinhalten“ zu verstehen ist. Auch Art. 28
Abs. 6 DORA, welcher den Finanzunternehmen eine Entscheidungshoheit bei der Ausübung der Zugangs-, Inspektions- und Auditrechte in Bezug auf den IKT-Drittdienstleister einräumt, unterstreicht diese Rollenverteilung. Ein eigenständiges Gestaltungsrecht des IKT-Drittdienstleisters anzunehmen wäre innerhalb dieses Rahmens systemwidrig.
Auch vor dem Hintergrund der aufsichtsrechtlichen Verantwortlichkeiten der Finanzunternehmen ist eine klare Zuweisung erforderlich. Mit der Festlegung verbindlicher Mindestvertragsinhalte verfolgt der Gesetzgeber das Ziel, Finanzunternehmen die Vertragsgestaltung sowie die Durchsetzung zentraler Rechte gegenüber ITK-Drittdienstleistern zu erleichtern (Erwägungsgründe 28, 29 Satz 4). Sie sollen die Möglichkeit erhalten, vorab für den Fall der Betroffenheit der Rechte anderer Kunden des ITK-Drittdienstleisters alternative Bestätigungsniveaus zu vereinbaren, die qualitativ gleichwertig sind. Andernfalls bestünde die Gefahr, dass der ITK-Drittdienstleister durch eine Verzögerung oder Verweigerung bei der Verhandlung über das alternative Bestätigungsniveau die Wahrnehmung der Überwachungsrechte behindert. Das Recht ist daher als notwendige Ausprägung des allgemeinen Überwachungsrechts zu verstehen.
Recht des IKT-Drittdienstleisters aus Vertrag
Ein solches Recht kann sich für den IKT-Drittdienstleister aber im Einzelfall aus dem mit dem Finanzunternehmen geschlossenen Dienstleistungsvertrag oder einem zugrundeliegenden Rahmenvertrag als vertragliche Nebenpflicht ergeben, wenn es keine explizite Regelung gibt. Im Unterschied zum gesetzlichen Recht muss der IKT-Drittdienstleister die Betroffenheit anderer Kundeninteressen konkret vortragen, um ein alternatives Bestätigungsniveau durchsetzen zu können. Auf einen entsprechend konkreten Vortrag hin müsste das Finanzunternehmen wiederum prüfen, ob eine Abwägung der Interessen auf der Grundlage des IKT-Dienstleistungsvertrags tatsächlich zur Verpflichtung führt, ein alternatives Bestätigungsniveau anzuwenden. Dies ist jeweils eine Frage des Einzelfalls und von den konkreten Umständen abhängig. Bleibt der Vortrag hingegen vage, überwiegt regelmäßig das Interesse des Finanzunternehmens an der Sicherstellung der notwendigen Resilienz – das alternative Bestätigungsniveau bleibt außer Betracht.
Jedenfalls ergibt sich kein Recht des IKT-Drittdienstleisters auf Vereinbarung eines alternativen Bestätigungsniveaus aus Art. 30 Abs. 3 lit. e Ziffer ii DORA.
