News
Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen
Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.
Zweck der Verordnung
Mit DORA verfolgt der europäische Gesetzgeber zwei große Ziele. Die Verordnung soll die Resilienz von Unternehmen in der Finanzbranche gegen Informations- und Kommunikationstechnologie („IKT“)-bezogene Risiken stärken. Gleichzeitig wird die EU-weite Harmonisierung der Anforderungen an Finanzdienstleister angestrebt. In Deutschland wurden Teile von DORA-Regelungen schon früher durch das IT-Sicherheitsgesetz 2.0 sowie Finanzmarktintegritätsstärkungsgesetz (FISG) umgesetzt.
Das IKT-Risikomanagement von Finanzunternehmen soll mit der Einführung von DORA verbessert und gestrafft werden. Es werden neue Anforderungen und Prüfungsmechanismen für IKT-Systeme eingeführt. Auf der Behördenseite soll DORA das Bewusstsein für Cyberrisiken und IKT-bezogene Vorfälle, mit denen Finanzunternehmen konfrontiert sind, schärfen.
Es werden neue Überwachungsmechanismen für Risiken, die auf die Zusammenarbeit zwischen den Finanzunternehmen und IKT-Drittanbietern zurückzuführen sind, sowie diverse behördlichen Kontrollbefugnisse eingeführt. Auch ein kohärenter Mechanismus für die Meldung von Vorfällen wird mit DORA geschaffen, der den Verwaltungsaufwand für Finanzunternehmen verringern und die Beaufsichtigung wirksamer machen soll. Die Regelungen werden durch die Förderung des Informationsaustausches in Bezug auf die Risiken und Vorfälle zwischen den Unternehmen im Finanzsektor erweitert.
Betroffene Unternehmen
Von der neuen Regelung sind vor allem jene Finanzunternehmen betroffen, welche in Art. 2 Abs. 1 lit. a – t des Entwurfs aufgelistet sind. Dazu gehören u.a. Kredit- und Zahlungsinstitute, Versicherungsunternehmen und -vermittler, Ratingagenturen sowie Prüfungsgesellschaften. Auch die Anbieter von Krypto-Dienstleistungen und Crowdfunding-Dienstleister sind erfasst. Schließlich gilt die Verordnung auch für die IKT-Drittanbieter, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren.
Die Anbieter von Hardware sind dagegen explizit aus dem Anwendungsbereich der Verordnung ausgeschlossen. Auf Kleinstunternehmen sind die Regelungen nur zum Teil anwendbar.
Relevante Vorgaben und Auswirkungen auf Praxis
Betroffenen Unternehmen werden mit DORA neue Pflichten auferlegt. Die Verordnung setzt vor allem auf Schutz und Prävention: so betreffen z. B. mehrere Artikel den Bereich des Risikomanagements. Sorgfältige Auswahl von IKT-Systemen, regelmäßige Überprüfung, Erkennung, Klassifizierung und Dokumentation von neuen Risiken spielen dabei eine zentrale Rolle. Auch soll i.R.d. IKT-Strategie die Möglichkeit der Wiederherstellung und Fortführung des Geschäftsbetriebs u.a. durch Backups sichergestellt werden.
In der Verordnung wird der Datenschutz als ein Teil der IKT-Sicherheit anerkannt. Durch die Informationsaustauschmechanismen, Dokumentation und Meldung von Vorfällen, sowie die Zusammenarbeit mit IKT-Dienstleistern werden große Mengen von Daten erhoben und weiterverarbeitet, darunter auch personenbezogene Daten. Die damit einhergehenden Risiken und datenschutzrechtliche Probleme adressiert die Verordnung durch Verweise auf DSGVO und weitere einschlägige Regelungen. So wird z. B. in Art. 3 Nr. 4 des Entwurfs explizit erwähnt, dass das IKT-Risiko auch Verstöße gegen den Datenschutz erfasst. Bei Datenübermittlungen an IKT-Dienstleister in Drittländer sollen DSGVO-Vorgaben strikt eingehalten werden und die Vereinbarungen mit den IKT-Drittanbietern müssen auch die Bestimmungen über die Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten beinhalten.
Eine extrem praxisrelevante Vorgabe: sollte der Drittanbieter nachweisliche Schwächen im Hinblick auf den Datenschutz aufweisen, müssen die Vereinbarungen über die Nutzung von Diensten gem. Art. 25 Abs. 8 lit. c DORA-Entwurf gekündigt werden.
Zu begrüßen ist, dass durch die Schaffung einer Rechtsgrundlage für den Datenaustausch über Bedrohungen und Anfälligkeiten zwischen den Unternehmen die Unsicherheit hinsichtlich der Vereinbarkeit eines solchen Austausches mit den Datenschutzvorschriften beseitigt wird.
Sanktionen
DORA sieht diverse Sanktionen bei Verstößen vor. Dabei müssen die Sanktionen nicht nur wirksam und verhältnismäßig, sondern auch laut Art. 44 Abs. 3 des Entwurfs abschreckend sein. Dazu gehören vor allem mögliche Untersagungsverfügungen, aber auch ein Zwangsgeld (1 % des durchschnittlichen globalen Tagesumsatzes im vorangegangenen Geschäftsjahr) und ggf. auch strafrechtliche Sanktionen nach nationalem Recht. Die genaue Umsetzung der Sanktionsmechanismen ist aber den Mitgliedsstaaten vorbehalten.
Aktueller Stand – wann ist DORA zu erwarten?
Die im Januar 2022 gestarteten interinstitutionellen Verhandlungen wurden nach vorläufiger Einigung am 10. Mai 2022 beendet. Die Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden, das förmliche Annahmeverfahren folgt im Anschluss. Voraussichtlich Ende 2022 wird die Verordnung in Kraft treten. Jedoch bedarf es noch der Erstellung von Leitlinien sowie der delegierten Verordnungen und diversen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS), so dass mit der Anwendbarkeit von DORA erst ab Ende 2024 zu rechnen ist.
Da die Verordnung aber eine große Anzahl an praxisrelevanten Vorgaben enthält, ist zu empfehlen, dass sich betroffene Unternehmen schon in den kommenden Monaten mit der Umsetzung zu beschäftigen.
News
5. Auflage des Plath-Kommentars zu DSGVO, BDSG und TDDDG erschienen
Die 5. Auflage des Plath-Kommentars ist erschienen. Der Kommentar erläutert DSGVO, BDSG und TDDDG in einem Band und zeigt auch das Zusammenspiel der Regelungen dort auf, wo die DSGVO Öffnungsklauseln für den nationalen Gesetzgeber vorsieht. Die Schwerpunktsetzung ist bewusst unternehmensbezogen: Die Autoren ordnen aktuelle Rechtsprechung, Stellungnahmen der Aufsichtsbehörden, Leitlinien des EDSA, die Umsetzung im europäischen Ausland sowie Auslegungsfragen und Literaturstimmen für die Praxis ein. Neu aufgenommen wurden unter anderem das Verhältnis von DSGVO und KI-VO, die DSGVO-Verfahrensverordnung und das Data Privacy Framework.
Datenschutzrechtliche Aspekte der Betriebsratswahl
Die Vorbereitung der Betriebsratswahl ist datenschutzrechtlich anspruchsvoll. Für Arbeitgeber stellt sich vor allem die Frage, wer datenschutzrechtlich verantwortlich ist und wer welche Aufgaben übernimmt. Hinzu kommt, dass Wahlvorstände häufig eine eigene IT-Infrastruktur verlangen: getrennte Laufwerke, selbst kontrollierte Verschlüsselung, den Ausschluss administrativer Zugriffe durch die Unternehmens-IT. Weder die DSGVO noch das BetrVG setzen jedoch eine vollständig isolierte IT-Welt voraus, sondern ein angemessenes und dokumentiertes Schutzniveau.
Entwurf der Leitlinien der Europäischen Kommission zu Hochrisiko-KI-Systemen
Die Europäische Kommission hat einen Entwurf für ihre Leitlinien zu Hochrisiko-KI-Systemen (HRKIS) i.S.v. Art. 6 KI-Verordnung (KI-VO) veröffentlicht.
Nach Art. 6 Abs. 5 KI-VO ist die Europäische Kommission zur Veröffentlichung von Leitlinien zu HRKIS verpflichtet. Das Ziel ist, dass Anbieter und Betreiber von KI-Systemen durch die Leitlinien Unterstützung bei der Auslegung der relevanten Vorschriften erhalten sollen, um leichter bestimmen zu können, ob ihre KI-Systeme als HRKIS gemäß Art. 6 KI-VO gelten und welche Art von HRKIS vorliegt – ein System nach Anhang I oder nach Anhang III KI-VO. In diesem Beitrag möchten wir Ihnen einen Überblick über den Inhalt der Leitlinien geben.
Wieder ausgezeichnet!
Wir freuen uns sehr, dass Prof. Dr. Burghard Piltz, Dr. Carlo Piltz und Alexander Weiss weitere Auszeichnungen durch das Handelsblatt erhalten haben und in der 18. Edition der The Best Lawyers in Germany™ inkludiert wurden.
Transkription von Videokonferenzen: Was ist zu beachten?
KI-gestützte Transkriptionstools werfen in der Praxis eine Reihe datenschutzrechtlicher Fragen auf, von der Rechtsgrundlage bis zum Umgang mit besonderen Datenkategorien. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI) hat am 10. Juni 2026 einen neuen Leitfaden zur KI-basierten Transkription von Gemeinderatssitzungen veröffentlicht. Die Hinweise richten sich zwar an öffentliche Stellen in Baden-Württemberg, lassen sich aber weitgehend auf den nichtöffentlichen Bereich übertragen.
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.