Mit der Veröffentlichung der ersten Liste „kritischer“ IKT-Drittdienstleister nehmen die Europäischen Aufsichtsbehörden (ESA) erstmals ihre Aufgabe nach Art. 31 Abs. 1 lit. a und Abs. 9 der Verordnung (EU) 2022/2554 [Digital Operational Resilience Act („DORA“)] wahr und bewerten IKT-Drittdienstleister anhand der in Art. 31 Abs. 2 DORA niedergelegten Kriterien. Die Einordnung eines IKT-Drittdienstleisters als „kritisch“ im Sinne des DORA hat nicht nur für diesen erhebliche regulatorische Konsequenzen, sondern auch für Finanzunternehmen, die dessen Dienstleistungen im Bereich der Informations- und Kommunikationstechnologie in Anspruch nehmen. Die beabsichtigte Klarheit bleibt jedoch aus, da nicht in jedem Fall eindeutig erkennbar ist, welche konkreten Gesellschaften als kritische IKT-Drittdienstleister eingestuft wurden. Auch die Finanzunternehmen können so (noch) keine eindeutigen Schlussfolgerungen zum Beispiel bei der Auswahl der gelisteten IKT-Drittdienstleister ziehen. Es stellt sich die Frage, warum die ESA nicht für die erforderliche Klarheit sorgt oder ob erforderliche Klarstellungen noch folgen.
Bedeutung der Einstufung als kritischer IKT-Drittdienstleister
Für die eingestuften IKT-Drittdienstleister
Für IKT-Drittdienstleister, die als „kritisch“ im Sinne von Art. 31 Abs. 1 lit. a DORA eingestuft wurden, ergeben sich umfangreiche Pflichten. So müssen diese robuste Governance-, Sicherheits- und Resilienzprozesse implementieren, um die Stabilität und Sicherheit ihrer IKT-Dienstleistungen zu gewährleisten (vgl. Art. 33 Abs. 2 und Abs. 3 DORA). Darüber hinaus sind sie verpflichtet, Auskunftsersuchen nachzukommen (Art. 37 DORA), allgemeine Untersuchungen (Art. 38 DORA) und Inspektionen (Art. 39 DORA) zu dulden sowie nach Abschluss der Überwachungstätigkeiten Bericht zu den ergriffenen Maßnahmen zu erstatten (Art. 35 Abs. 1 lit. c DORA). Die Einstufung als „kritisch“ ist also mit einem nicht unerheblichen Aufwand für den betreffenden IKT-Drittdienstleister verbunden.
Gelistetes Unternehmen: Ein Auswahlkriterium für betroffene Finanzunternehmen?
Finanzunternehmen unterliegen bei der Auswahl eines IKT-Drittdienstleisters sowie bei der Vorbereitung des Abschlusses eines Dienstleistungsvertrags über IKT-Dienstleistungen den Anforderungen des Art. 28 DORA. Zu diesen gehören unter anderem gemäß Art. 28 Abs. 4 lit. c DORA, relevante Risiken im Zusammenhang mit der vertraglichen Vereinbarung zu ermitteln und zu bewerten sowie gemäß Art. 28 Abs. 4 lit. d DORA bei der Auswahl des IKT-Drittdienstleisters dessen Eignung sicherzustellen. Kann die Einstufung als kritischer IKT-Drittdienstleister eine Bedeutung für diesen Auswahlprozess haben?
Die Tatsache, dass ein IKT-Drittdienstleister von den Europäischen Aufsichtsbehörden als kritisch eingestuft ist, führt, wie oben dargelegt, dazu, dass dieser besondere Anforderungen zu erfüllen und hierzu gegenüber den ESA Nachweise zu erbringen hat. Den Überwachungsrahmen für kritische IKT-Drittdienstleister definiert Art. 33 DORA. Den ESA stehen zur Durchsetzung dieses Überwachungsrahmens unter anderem folgende Maßnahmen zur Verfügung: Sollten die ESA Empfehlungen gegenüber dem IKT-Drittdienstleister aussprechen und dieser den Empfehlungen ohne begründete Erklärung nicht Folge leisten, so wird die mangelnde Konformität veröffentlicht, soweit sie den Beteiligten nicht unverhältnismäßig benachteiligt (vgl. Art. 42 Abs. 2 DORA). Gleiches gilt für eventuell verhängte Zwangsgelder, sofern dies die Stabilität der Finanzmärkte nicht ernsthaft gefährdet (Art. 35 Abs. 10 DORA). Das bedeutet im Umkehrschluss, dass, solange es keine entsprechenden Veröffentlichungen der ESA betreffend den kritischen IKT-Drittdienstleister gibt, davon ausgegangen werden kann, dass dieser die besonderen Anforderungen erfüllt und grundsätzlich aus der Sicht des Finanzunternehmens eine hohe Wahrscheinlichkeit besteht, dass der betreffende IKT-Drittdienstleister die Anforderungen des Art. 28 Abs. 4 lit. d DORA erfüllt. Das gilt natürlich erst dann, wenn der betreffende kritische IKT-Drittdienstleister bereits einen Überwachungszyklus durchlaufen hat.
Die erste Liste der „kritischen“ IKT-Drittdienstleister – eine kritische Analyse
Die ESA haben nun das erste Ergebnis ihrer Bewertung nach Art. 31 Abs. 1 lit. a und damit entsprechend Art. 31 Abs. 9 DORA die Liste der als „kritisch“ eingestuften IKT-Drittdienstleister veröffentlicht. Aus der Liste müsste also zu folgern sein, welche Unternehmen identifiziert sind. Dies ist jedoch bei einigen der Nennungen alles andere als eindeutig. Zustellungen jedenfalls könnte man auf der Grundlage der Veröffentlichung nicht vornehmen, geschweige denn bei jeder Nennung identifizieren, welche Gesellschaft(en) genau gemeint ist oder sind.
Die Eindeutigkeit ist nicht gegeben, wenn die veröffentlichte Liste lediglich eine Konzernobergesellschaft nennt, eine Bezeichnung ohne Nennung einer Rechtsform aufführt oder Unternehmen ohne Sitz in der EU nennt, diese aber Konzerngesellschaften in der EU haben. In diesen Fällen kann eine Identifizierung durch die Öffentlichkeit und insbesondere Finanzunternehmen nicht mit Sicherheit erfolgen.
Konkret ergeben sich zum Beispiel folgende Unklarheiten:
- Die „Deutsche Telekom AG“ wird als kritischer IKT-Drittdienstleister aufgeführt. Die Konzernobergesellschaft wird aber regelmäßig selbst keine IKT-Dienstleistungen erbringen, sondern regelmäßig Gesellschaften des Konzerns Deutsche Telekom AG. Unklar bleibt, ob Konzerngesellschaften nun unter die Kategorisierung fallen oder nicht.
- „Colt Technology Services“ mag zwar als Marke existieren, aber eine Gesellschaft oder ein Konzern wird rechtlich regelmäßig über ihre Firma bestimmt. Es bleibt völlig unklar, welche konkrete Gesellschaft hier gemeint ist, wo diese ihren Sitz hat und in welchem Register sie gegebenenfalls eingetragen ist.
- Gelistet ist die „International Business Machine [sic] Corporation“. Hiermit beziehen sich die ESA vermutlich auf ein Unternehmen, das seinen Sitz in den USA hat. Fraglich bleibt, welche Gesellschaft tatsächlich gemeint ist und ob auch europäische Konzerngesellschaften der wahrscheinlich gemeinten IBM mit Sitz in den USA hierunter fallen.
Bei all diesen Konstellationen bleibt offen, welche Gesellschaft konkret als „kritisch“ eingestuft wurde und ob auch Gesellschaften eines Konzerns zur Gruppe der kritischen IKT-Drittdienstleister gehören. Es wäre sachgerecht gewesen, wenn die Liste nach Art. 31 Abs. 9 DORA die für die Identifikation erforderlichen wesentlichen Informationen enthalten hätte. Hierzu gehören Firma im Sinne von § 17 Abs. 1 HGB (also Name inklusive Rechtsform), Sitz (mit Anschrift) und Bezug auf die Registereintragung des Unternehmens sowie die Angabe, ob auch Konzern- oder Unternehmen der Gruppe (Art. 3 Nr. 26 DORA in Verbindung mit Art. 2 Nr. 9 Richtlinie 2013/34/EU) hierunter fallen.
Ist eine Konkretisierung bei Konzernen rechtlich notwendig?
Die aufgeworfenen Unklarheiten könnten auf fehlende Klarheit innerhalb der Verordnung zurückzuführen sein. Insgesamt stellt sich die Frage, ob nur die in der Liste aufgeführten Gesellschaften oder – sofern eine Konzernobergesellschaft genannt wird – auch die dazugehörigen Gesellschaften als „kritisch“ eingestuft werden.
Der Wortlaut des Verordnungsgebers
Art. 31 DORA knüpft die Einstufung an „den IKT-Drittdienstleister“, der die IKT-Dienstleistungen erbringt. Der Wortlaut spricht mithin dafür, dass ausschließlich die bezeichnete Gesellschaft gemeint sein kann, welche IKT-Drittdienstleister des Finanzunternehmens ist, und nicht der gesamte Konzernverbund.
Widerspruch zum Gesetzeszweck des risikobasierten Ansatzes?
DORA verfolgt einen konsequent risikobasierten Ansatz, bei dem die Art, der Umfang und die Komplexität der tatsächlich erbrachten IKT-Dienstleistungen im Mittelpunkt stehen. Das wesentliche Risiko resultiert dabei aus der konkreten technischen Leistungserbringung und nicht aus der Zugehörigkeit zu einer bestimmten Konzernstruktur.
Wenn jedoch die Einstufung als „kritisch“ nicht auf Ebene der tatsächlichen Leistungserbringung ansetzt, droht dieses Prinzip unterwandert zu werden. Es stellt sich die rein praktische Frage, ob nur die auf der Liste geführten Gesellschaften als „kritisch“ eingestuft oder ob auch alle dem Konzern oder der Gruppe [vgl. Art. 3 Nr. 26 DORA in Verbindung mit Art. 2 Nr. 11 der Richtlinie (EU) 2013/34] des genannten Unternehmens zugehörigen Gesellschaften erfasst werden.
Betrachtung der wirtschaftlichen Einheit europarechtlich determiniert?
Dass bei der Listung lediglich einer Gesellschaft auch alle Konzerngesellschaften ebenfalls als „kritisch“ eingestuft sind, könnte aus dem europarechtlichen Kontext hergeleitet werden. So hat der EuGH zuletzt im Wettbewerbsrecht den Begriff der wirtschaftlichen Einheit geprägt. Hiernach wird ein pragmatischer Ansatz bei der Bewertung von Adressaten von kartellrechtlichen Maßnahmen verfolgt. Es wird nicht strikt auf einzelne Rechtspersönlichkeiten, sondern vielmehr auf die wirtschaftliche Zusammengehörigkeit verschiedener Unternehmen geschaut (vgl. EuGH, Urteil vom 06.10.2021 – C-882/19, Rn. 41 mit weiteren Nachweisen). Auch im Rahmen von DORA könnte ein solcher praxisorientierter Ansatz verfolgt werden. Gleichwohl müsste eine solche Übertragung dieser Ansätze eine Stütze in der DORA finden:
Im Rahmen der Bewertung von IKT-Drittdienstleistern trifft Art. 31 Abs. 3 DORA eine Regelung zu Konzernen. Danach sei bei der Frage, ob ein IKT-Drittdienstleister „kritisch“ sei, eine ganzheitliche Betrachtung der gesamten Unternehmensgruppe und nicht nur eines einzelnen Unternehmens aus dieser vorzunehmen. Daher könnte konsequenterweise geschlussfolgert werden, dass auch die finale Einstufung die gesamte Gruppe einbezieht. Hiergegen spricht jedoch, dass DORA hierzu keine Aussagen trifft. Außerdem dürfte eine solche Auslegung gegen den Bestimmtheitsgrundsatz verstoßen, da bei den mit der Einstufung verbundenen erweiterten Pflichten – sowohl für den IKT-Drittdienstleister als auch für die ihn beauftragenden Finanzunternehmen – Rechtssicherheit oberstes Gebot sein sollte. Denn nur wer Kenntnis darüber hat, dass er Pflichten unterliegt, ist in der Lage, diese ordnungsgemäß zu erfüllen. Die aktuelle Version der Liste kritischer IKT-Drittdienstleister schafft jedoch weder Sicherheit noch Klarheit.
Schlussfolgerungen
Es gilt, die Entwicklung rund um die kritischen IKT-Drittdienstleister zu beobachten und die ESA zur Schaffung von Klarheit aufzufordern a) in Bezug auf die Benennung konkreter Unternehmen und b) in Bezug auf die Einbeziehung von Gruppen- oder Konzernunternehmen.
Sobald dies eindeutig geklärt ist, können aus den Verlautbarungen der ESA auch von den Finanzunternehmen relevante Schlussfolgerungen bei der Auswahl und der Kontrolle der betreffenden kritischen IKT-Drittdienstleister gezogen werden. Aktuell haben die ESA mit der Veröffentlichung der Liste zumindest bei den Finanzunternehmen, wenn nicht auch bei den gelisteten IKT-Drittdienstleistern eher für Unklarheit gesorgt. Es bedarf dringend einiger Klarstellungen, auf deren Umsetzung im Interesse der Erreichung des Zwecks der Verordnung hingewirkt werden sollte.
