---
name: dora-ikt-vertragspruefung
description: "IKT-Drittanbietervertraege auf DORA-Konformität prüfen wenn Finanzunternehmen digitale Dienstleistungen einkaufen. Art. 28 30 DORA VO (EU) 2022/2554. Prüfraster: Pflichtklauseln Art. 30 DORA Ausstiegsstrategien Aufsichtsrechte Subdienstleister Laufzeit Sicherheitsanforderungen. Output: DORA-Vertr..."
---

# DORA-IKT-Vertragsprüfung

## Zweck

Dieser Skill prüft Verträge mit IKT-Drittdienstleistern, die ein **Finanzunternehmen** i. S. v. Art. 2 DORA (Kreditinstitute, Zahlungs-/E-Geld-Institute, Wertpapierfirmen, Versicherer, Verwalter alternativer Investmentfonds, KVGen, OGAW, Zentralverwahrer, ZGP, Handelsplätze, Krypto-Dienstleister u. a.) abgeschlossen hat oder abschließen will, auf die Anforderungen der **Verordnung (EU) 2022/2554** (Digital Operational Resilience Act – "DORA") sowie der **dazu erlassenen RTS/ITS und EBA-/ESA-Leitlinien**.

Ergebnis ist eine tabellarische Lückenanalyse mit:

- Klauseltext (Ist),
- DORA-Anker (Soll),
- Lückenbewertung (konform / teilkonform / nicht konform / fehlt),
- konkretem Verbesserungsvorschlag inkl. Klausel-Entwurf,
- Kritikalitäts-Score (1 = niedrig … 5 = "kritisch oder wichtig" i. S. v. Art. 28 III DORA, § 28 BaFin-Auslegungshilfe).

Anwendungsfälle: Vertragsanbindung eines neuen IKT-Dienstleisters; Re-Papering bestehender Cloud-/SaaS-/Outsourcing-Verträge zum Geltungsbeginn 17. Januar 2025; ad-hoc-Prüfung im Rahmen einer BaFin-Sonderprüfung nach § 44 KWG / § 306 VAG.

## Eingaben

1. **Vertragsdokument** (PDF/DOCX/MD) inkl. aller Anlagen, SLAs, DPAs, Sub-Outsourcing-Listen.
2. **Klassifikation der Funktion** (kritisch / wichtig / sonstige) gem. Art. 28 II DORA i. V. m. RTS (Delegierte VO (EU) 2024/1773).
3. **Finanzunternehmens-Profil:** Aufsichtsregime (KWG, ZAG, KAGB, VAG, MiCAR), Größe (Art. 2 IV DORA – Verhältnismäßigkeitsklausel).
4. **Dienstart:** Cloud (IaaS/PaaS/SaaS), Managed Service, Software-Lizenz, Datenanalyse, Konnektivität.
5. **Datenkategorien:** personenbezogene Daten (DSGVO), Kundengeheimnis (§ 9 KWG / § 311 VAG), Berufsgeheimnis (§ 203 StGB).

## Rechtlicher Rahmen

### Primärrecht
- **DORA-Verordnung:** VO (EU) 2022/2554 v. 14.12.2022, ABl. L 333/1; Geltungsbeginn 17.01.2025 (Art. 64 II).
- **DORA-Änderungs-RL:** RL (EU) 2022/2556 (Anpassung sektoraler Rechtsakte).
- **Art. 28 DORA** – allgemeine Grundsätze für Vertragsvereinbarungen mit IKT-Drittdienstleistern.
- **Art. 29 DORA** – Vorabbewertung des IKT-Konzentrationsrisikos.
- **Art. 30 DORA** – **Pflichtinhalte** des IKT-Drittdienstleistervertrags.
- **Art. 30 III DORA** – verschärfte Pflichtinhalte bei **kritischen oder wichtigen Funktionen**.
- **Art. 31–44 DORA** – Aufsichtsrahmen kritischer Drittdienstleister (Lead Overseer ESA).

### Tertiärrecht / RTS / ITS
- Delegierte VO (EU) 2024/1773 v. 13.03.2024 (RTS zu Subunternehmer-Ketten, Art. 30 V DORA).
- Delegierte VO (EU) 2024/1772 (RTS Klassifizierung schwerwiegender IKT-Vorfälle).
- Delegierte VO (EU) 2024/1505 (ergänzende RTS-Pakete der ESAs).
- DurchführungsVO (EU) 2024/2956 (ITS zum Informationsregister).
- Vollständiger RTS-/ITS-Bestand siehe `references/dora-rechtsquellen.md` und Live-Abruf via EUR-Lex-Connector.

### Soft Law
- ESA Joint Final Reports zu RTS/ITS DORA (JC 2023/Y).
- BaFin-Merkblatt "DORA – Hinweise zur Anwendung", Stand 2024 (laufend aktualisiert).
- EBA Outsourcing Guidelines EBA/GL/2019/02 (für CRR-Institute; durch DORA überlagert, aber Auslegungshilfe).
- EIOPA Outsourcing Guidelines (Versicherungen).
- BaFin BAIT/VAIT/KAIT/ZAIT – soweit nicht durch DORA verdrängt (Stand: BaFin-Konsultation zur Aufhebung 2024/2025).

### Deutsches Aufsichtsrecht (flankierend)
- § 25b KWG (Auslagerung; weiterhin Auffanglinie für Nicht-IKT-Auslagerungen).
- § 24 ZAG; § 32 VAG; § 36 KAGB.
- FISG 2021 (Verschärfung Auslagerungsrecht).
- Datenschutz: Art. 28 DSGVO AVV, § 11 BDSG.

### Leitentscheidungen / Auslegung / Aktualität

Stand 05/2026. DORA ist seit dem 17.01.2025 voll anwendbar. Wichtigste Entwicklungen seit Geltungsbeginn:

- **Liste kritischer IKT-Drittdienstleister:** Die ESAs (EBA, EIOPA, ESMA) haben im November 2025 erstmals 19 kritische IKT-Drittdienstleister benannt (u. a. Amazon, Microsoft, Google). Für diese werden ab 2026 Joint Examination Teams (JET) eingerichtet und Lead Overseers benannt. Aktuelle Liste über die ESA-Webseiten (EBA, ESMA, EIOPA) verifizieren.
- **BaFin DORA-Informationsregister:** Erste Meldefrist 11.04.2025; folgende reguläre Frist BaFin 09.–30.03.2026; Pflichtfelder nach DurchführungsVO (EU) 2024/2956. Aktualität über [bafin.de/DORA](https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html).
- **BaFin-Auslegungshinweise:** Fachartikel "Im Aufsichtsfokus: Wenn Konzentrationen zum Risiko werden" (BaFin 07.01.2025) und nachfolgende Hinweise zum vereinfachten IKT-Risikomanagementrahmen und Drittparteienrisiken. Live über [bafin.de](https://www.bafin.de) prüfen.

Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff. Rechtsprechung im Mandat live verifizieren — keine Aktenzeichen aus Modellwissen.

## Ablauf

1. **Dokumentenaufnahme.** Vertrag, Anlagen, DPA, SLA, Sub-Listen einlesen; Funktionsklassifikation (kritisch/wichtig vs. sonstige) festhalten.
2. **Konnektor aufrufen.** EUR-Lex-Connector: aktuellste konsolidierte Fassung VO 2022/2554 inkl. aller Anhänge + delegierter RTS/ITS abrufen (siehe Abschnitt "Konnektor & Datenquellen"). Versionsstand im Output dokumentieren.
3. **Pflichtklausel-Matrix anwenden.** Jede Pflicht aus Art. 30 II DORA (alle Verträge) und Art. 30 III DORA (kritische/wichtige Funktionen) sowie aus den RTS gegen den Vertrag mappen. Vorlage in `references/dora-klauselmatrix.md`.
4. **Lücken markieren.** Für jede Pflicht: zitierte Vertragsstelle (Klausel-Nr., Wortlaut) oder "fehlt"; Bewertung; Kritikalitätsstufe.
5. **Verbesserungsvorschläge formulieren.** Pro Lücke konkreter Klauselentwurf (DE), bei Bedarf EN-Übersetzung; Berücksichtigung Verhältnismäßigkeit Art. 4 DORA.
6. **Sekundärthemen prüfen.** Datenschutz (Art. 28 DSGVO, § 203 III StGB Berufsgeheimnis-Klausel), AGB-Kontrolle (§§ 305 ff. BGB, B2B-Strahlwirkung), § 9 KWG Kundengeheimnis, Exit-/Wiederherstellbarkeit, Subunternehmer-Kette gemäß RTS 2024/1773.
7. **Konzentrationsrisiko (Art. 29).** Wenn Lead-Overseer-Kandidat oder erheblicher Marktanteil: gesonderter Abschnitt mit Konzentrationsanalyse, Multi-Vendor-Empfehlung.
8. **Output erzeugen.** Tabular Review (siehe unten) + Executive Summary für die Geschäftsleitung + Klausel-Patch-Liste für Rechtsabteilung/Procurement.
9. **Aufnahme in Informationsregister.** Hinweis: Pflichtfelder gem. DurchführungsVO 2024/2956 (Register of Information) im Output identifizieren und mappen.

## Konnektor & Datenquellen

| Quelle | Zweck | Aufruf |
| --- | --- | --- |
| EUR-Lex | Konsolidierte Fassung VO (EU) 2022/2554 + Anhänge | `eur-lex://celex/02022R2554-<DATUM>` |
| EUR-Lex | Delegierte VOen 2024/1773, 2024/1772, 2024/1505, 2024/2956 | `eur-lex://celex/32024R1773` etc. |
| ESA-Webseiten | Final Reports / Q&A | https://www.eba.europa.eu, www.esma.europa.eu, www.eiopa.europa.eu |
| BaFin-Newsroom | nationale Auslegungshilfen, FAQ DORA | https://www.bafin.de/dora |
| Bundesanzeiger | nationale Umsetzungsakte FISG/DORA-DurchfG | https://www.bundesanzeiger.de |

Empfohlene MCP-Konnektoren (s. `CONNECTORS.md`):

```jsonc
{
 "mcpServers": {
 "eur-lex": { "command": "node", "args": ["./mcp/eur-lex.js"] },
 "bafin": { "command": "node", "args": ["./mcp/bafin.js"] },
 "esa-feeds": { "command": "node", "args": ["./mcp/esa-feeds.js"] }
 }
}
```

Vor jeder Prüfung: **immer** konsolidierte Fassung der DORA-VO frisch abrufen, Versions-/Stand-Datum in der Output-Kopfzeile mitführen.

## Pflichtklausel-Matrix (Auszug Art. 30 DORA)

| # | DORA-Anker | Pflichtinhalt (Soll) | Geltung |
| --- | --- | --- | --- |
| 1 | Art. 30 II lit. a | Vollständige und genaue Beschreibung aller Funktionen und Dienste, inkl. Sub-Funktionen | alle Verträge |
| 2 | Art. 30 II lit. b | Standorte (Region/Land) der Erbringung und Datenverarbeitung | alle |
| 3 | Art. 30 II lit. c | Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten | alle |
| 4 | Art. 30 II lit. d | Zugriff, Wiederherstellung und Rückgabe (Exit) personenbezogener und nicht-personenbezogener Daten | alle |
| 5 | Art. 30 II lit. e | Service Level mit klaren Leistungszielen | alle |
| 6 | Art. 30 II lit. f | Unterstützung bei IKT-Vorfällen (mit/ohne Zusatzkosten) | alle |
| 7 | Art. 30 II lit. g | Volle Mitwirkung gegenüber zuständigen Behörden und Resolution Authority | alle |
| 8 | Art. 30 II lit. h | Kündigungsrechte und Mindestkündigungsfristen | alle |
| 9 | Art. 30 II lit. i | Teilnahme an IKT-Sicherheits-Awareness/Trainings (soweit relevant) | alle |
| 10 | Art. 30 III lit. a | Ausführliche Beschreibung Service-Level inkl. Updates, Versionen | nur kritisch/wichtig |
| 11 | Art. 30 III lit. b | Kündigungsfristen + Berichtspflichten zugunsten der Aufsicht | nur kritisch/wichtig |
| 12 | Art. 30 III lit. c | Recht zur **Überwachung der Leistung** des Dienstleisters fortlaufend | nur kritisch/wichtig |
| 13 | Art. 30 III lit. d | Operational and IKT-Sicherheitsanforderungen + Schulung | nur kritisch/wichtig |
| 14 | Art. 30 III lit. e | Beteiligung an **TLPT** (Threat-Led Penetration Testing) gem. Art. 26/27 DORA | kritisch/wichtig |
| 15 | Art. 30 III lit. f | **Uneingeschränkte Audit-/Einsichtsrechte** für Institut, externe Auditoren und zuständige Behörden, **inkl. Lead Overseer** | kritisch/wichtig |
| 16 | Art. 30 III lit. g | **Exit-Strategie** mit angemessenem Übergangszeitraum, Datenmigration, keine Schlechterstellung | kritisch/wichtig |
| 17 | Art. 30 III lit. h | Notfallpläne, Business Continuity, Wiederanlauf | kritisch/wichtig |
| 18 | Art. 30 II lit. j + RTS 2024/1773 | Vorgaben für Subunternehmer-Kette inkl. Genehmigungs-/Anzeigepflichten | nach Risiko |
| 19 | Art. 28 VII DORA | Keine vertragliche Verkürzung der Aufsichts-/Resolution-Rechte | alle |
| 20 | DurchfVO 2024/2956 | Datenpunkte für Informationsregister identifizierbar | alle |

Die vollständige Matrix mit allen Unterpunkten und Bewertungsschemata liegt in `references/dora-klauselmatrix.md`.

## Ausgabeformat

### A. Tabular Review (CSV/Markdown-Tabelle)

| Pflicht-# | DORA-Anker | Soll | Klausel (Ist) | Bewertung | Kritikalität (1–5) | Verbesserungsvorschlag | Klausel-Entwurf |
| --- | --- | --- | --- | --- | --- | --- | --- |
| 4 | Art. 30 II lit. d | Vollständige Rückgabe und Löschung der Daten in maschinenlesbarem Format binnen 30 Tagen | § 14.3 ("Daten werden auf Wunsch zurückgegeben") | teilkonform | 4 | Fristen, Format und Löschnachweis fehlen | "Der Auftragnehmer übergibt … binnen 30 Kalendertagen nach Vertragsbeendigung in einem branchenüblichen, maschinenlesbaren, nicht-proprietären Format und löscht alle Kopien einschließlich Backups innerhalb von 90 Tagen; die Löschung ist durch ein qualifiziertes Löschprotokoll nachzuweisen." |
| 15 | Art. 30 III lit. f | Audit-/Einsichtsrechte inkl. Lead Overseer, ohne Kostenbeteiligung des Instituts | § 17 ("Audit einmal jährlich, Selbstkosten anteilig") | nicht konform | 5 | Erweiterung auf Behörden + Lead Overseer; Kostenklausel anpassen | "Der Auftragnehmer gewährt dem Auftraggeber, von ihm benannten externen Prüfern sowie der zuständigen Aufsichts- und Resolution-Behörde einschließlich des Lead Overseers im Sinne von Art. 31 ff. DORA … uneingeschränkte und kostenfreie Audit- und Einsichtsrechte …" |

### B. Executive Summary (Memo, max. 1 Seite)

- Gesamtbewertung (Ampel + Score-Mittelwert)
- Top-3-Lücken (Kritikalität 5)
- Re-Papering-Aufwand (Schätzung)
- Empfehlung: vertraglich nachverhandelbar / Exit-/Alternativen-Prüfung notwendig
- Hinweis auf Aufnahme ins Informationsregister
- Quellenkopf mit Versionsstand der DORA-VO

### C. Klausel-Patch-Liste (DOCX/Markdown)

Pro Verbesserungsvorschlag ein Patch-Block mit:

- Klauselnummer alt / neu
- Diff (alt → neu)
- Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.
- Verhandlungsschwere (1–3)

## Beispiel (Auszug Memo)

> **Mandat:** Prüfung des Master Services Agreement zwischen X-Bank AG (CRR-Institut, BaFin-Aufsicht) und CloudCo Inc. (SaaS, Kernbanken-Modul). Funktionsklassifikation: **kritisch oder wichtig** i. S. v. Art. 28 II DORA.
>
> **Kurzantwort:** Der Vertrag ist in der aktuellen Fassung nicht DORA-konform. Von 20 Pflichtinhalten sind 7 vollständig, 9 teilkonform und 4 fehlend. Re-Papering bis 17.01.2025 erforderlich (Art. 64 II DORA).
>
> **Tragende Lücken:**
> Quellenregel: Keine Kommentar-, Handbuch-, Aufsatz- oder Tabellenfundstellen aus Modellwissen; nur Nutzerquelle, amtliche/freie Quelle oder lizenzierte Live-Verifikation verwenden.
> 2. Sub-Outsourcing-Liste ist statisch, ohne Anzeige- und Genehmigungspflichten. Delegierte VO (EU) 2024/1773 verlangt Materialitätsschwellen und Ex-ante-Anzeige.
> 3. Exit-Strategie fehlt; § 18 MSA enthält nur eine Datenrückgabeklausel ohne Migrationsunterstützung – Verstoß gegen Art. 30 III lit. g DORA. Vgl. Zetzsche/Anker-Sørensen, EuZW 2023, 645 (648).
> 4. Beteiligung an TLPT-Tests nicht vereinbart (Art. 30 III lit. e i. V. m. Art. 26, 27 DORA).
>
> **Empfehlung:** Klausel-Patch-Liste umsetzen (siehe Anlage); Eskalation bei CloudCo wegen Audit- und Exit-Klauseln; Aufnahme in Informationsregister (DurchfVO 2024/2956) vorbereiten.

## Risiken und typische Fehler

- **Fehlende Funktionsklassifikation.** Ohne Einstufung als "kritisch oder wichtig" werden Art.-30-III-Pflichten oft übersehen. Dokumentieren!
- **AGB-Übernahme.** Standard-Cloud-AGB (Microsoft, AWS, GCP) sind regelmäßig **nicht** DORA-konform. Nachverhandlung über DORA-Addendum/SCC-ähnliche Anhänge erforderlich.
- **Sub-Out-Ketten.** Mehrstufige Subunternehmer-Ketten müssen vollständig abgebildet werden (RTS 2024/1773). Materialitätsschwellen vereinbaren.
- **Berufsgeheimnis.** § 203 III StGB-Klausel ("mitwirkende Personen") fehlt häufig – kritisch bei Daten, die unter § 203 StGB fallen (Banken: § 9 KWG; Versicherer: § 311 VAG; Rechtsanwälte: § 43a Abs. 2 BRAO).
- **Datenschutz.** Art. 28 DSGVO AVV ist separat oder integriert, aber **immer** mitzuprüfen.
- **Kündigungsrechte.** Art. 28 VII DORA setzt zwingende außerordentliche Kündigungsrechte voraus (z. B. behördliche Anordnung, schwerwiegende IKT-Vorfälle, Verstoß gegen anwendbares Recht).
- **Verhältnismäßigkeit.** Art. 4 DORA – kleinere Institute (z. B. nach Art. 16 DORA "vereinfachter Rahmen") können geringere Anforderungen haben. Nicht überregulieren.
- **Aktualität.** RTS/ITS-Pakete werden laufend nachgeschoben (ESA-Roadmap 2024–2026). Vor Audit immer EUR-Lex-Snapshot ziehen.
- **Halluzinationsrisiko.** Bei jedem Klauselzitat: konkretes Aktenzeichen/Fundstelle prüfen.

## Quellenpflicht

Jede juristische Aussage in der tabellarischen Auswertung wird belegt nach [`../../../references/zitierweise.md`](../../../references/zitierweise.md). Mindestens:

- DORA-Artikel mit Absatz/Buchstabe und Anhang (sofern Anhang einschlägig).
- Einschlägige delegierte VO mit CELEX-Nr.
- Mindestens ein BaFin- oder ESA-Verlautbarungs-Beleg, sofern vorhanden.
- Quellenregel: Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff; keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen.

Reihenfolge der Belege: EU-Recht vor nationalem Recht; Verordnung vor Soft Law; Rspr. vor Literatur (Rspr. zur DORA selbst liegt nur vereinzelt vor – ausdrücklich kennzeichnen: "Rspr. zu DORA liegt soweit ersichtlich noch nicht vor, vgl. aber …").