News
Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen
Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.
Zweck der Verordnung
Mit DORA verfolgt der europäische Gesetzgeber zwei große Ziele. Die Verordnung soll die Resilienz von Unternehmen in der Finanzbranche gegen Informations- und Kommunikationstechnologie („IKT“)-bezogene Risiken stärken. Gleichzeitig wird die EU-weite Harmonisierung der Anforderungen an Finanzdienstleister angestrebt. In Deutschland wurden Teile von DORA-Regelungen schon früher durch das IT-Sicherheitsgesetz 2.0 sowie Finanzmarktintegritätsstärkungsgesetz (FISG) umgesetzt.
Das IKT-Risikomanagement von Finanzunternehmen soll mit der Einführung von DORA verbessert und gestrafft werden. Es werden neue Anforderungen und Prüfungsmechanismen für IKT-Systeme eingeführt. Auf der Behördenseite soll DORA das Bewusstsein für Cyberrisiken und IKT-bezogene Vorfälle, mit denen Finanzunternehmen konfrontiert sind, schärfen.
Es werden neue Überwachungsmechanismen für Risiken, die auf die Zusammenarbeit zwischen den Finanzunternehmen und IKT-Drittanbietern zurückzuführen sind, sowie diverse behördlichen Kontrollbefugnisse eingeführt. Auch ein kohärenter Mechanismus für die Meldung von Vorfällen wird mit DORA geschaffen, der den Verwaltungsaufwand für Finanzunternehmen verringern und die Beaufsichtigung wirksamer machen soll. Die Regelungen werden durch die Förderung des Informationsaustausches in Bezug auf die Risiken und Vorfälle zwischen den Unternehmen im Finanzsektor erweitert.
Betroffene Unternehmen
Von der neuen Regelung sind vor allem jene Finanzunternehmen betroffen, welche in Art. 2 Abs. 1 lit. a – t des Entwurfs aufgelistet sind. Dazu gehören u.a. Kredit- und Zahlungsinstitute, Versicherungsunternehmen und -vermittler, Ratingagenturen sowie Prüfungsgesellschaften. Auch die Anbieter von Krypto-Dienstleistungen und Crowdfunding-Dienstleister sind erfasst. Schließlich gilt die Verordnung auch für die IKT-Drittanbieter, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren.
Die Anbieter von Hardware sind dagegen explizit aus dem Anwendungsbereich der Verordnung ausgeschlossen. Auf Kleinstunternehmen sind die Regelungen nur zum Teil anwendbar.
Relevante Vorgaben und Auswirkungen auf Praxis
Betroffenen Unternehmen werden mit DORA neue Pflichten auferlegt. Die Verordnung setzt vor allem auf Schutz und Prävention: so betreffen z. B. mehrere Artikel den Bereich des Risikomanagements. Sorgfältige Auswahl von IKT-Systemen, regelmäßige Überprüfung, Erkennung, Klassifizierung und Dokumentation von neuen Risiken spielen dabei eine zentrale Rolle. Auch soll i.R.d. IKT-Strategie die Möglichkeit der Wiederherstellung und Fortführung des Geschäftsbetriebs u.a. durch Backups sichergestellt werden.
In der Verordnung wird der Datenschutz als ein Teil der IKT-Sicherheit anerkannt. Durch die Informationsaustauschmechanismen, Dokumentation und Meldung von Vorfällen, sowie die Zusammenarbeit mit IKT-Dienstleistern werden große Mengen von Daten erhoben und weiterverarbeitet, darunter auch personenbezogene Daten. Die damit einhergehenden Risiken und datenschutzrechtliche Probleme adressiert die Verordnung durch Verweise auf DSGVO und weitere einschlägige Regelungen. So wird z. B. in Art. 3 Nr. 4 des Entwurfs explizit erwähnt, dass das IKT-Risiko auch Verstöße gegen den Datenschutz erfasst. Bei Datenübermittlungen an IKT-Dienstleister in Drittländer sollen DSGVO-Vorgaben strikt eingehalten werden und die Vereinbarungen mit den IKT-Drittanbietern müssen auch die Bestimmungen über die Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten beinhalten.
Eine extrem praxisrelevante Vorgabe: sollte der Drittanbieter nachweisliche Schwächen im Hinblick auf den Datenschutz aufweisen, müssen die Vereinbarungen über die Nutzung von Diensten gem. Art. 25 Abs. 8 lit. c DORA-Entwurf gekündigt werden.
Zu begrüßen ist, dass durch die Schaffung einer Rechtsgrundlage für den Datenaustausch über Bedrohungen und Anfälligkeiten zwischen den Unternehmen die Unsicherheit hinsichtlich der Vereinbarkeit eines solchen Austausches mit den Datenschutzvorschriften beseitigt wird.
Sanktionen
DORA sieht diverse Sanktionen bei Verstößen vor. Dabei müssen die Sanktionen nicht nur wirksam und verhältnismäßig, sondern auch laut Art. 44 Abs. 3 des Entwurfs abschreckend sein. Dazu gehören vor allem mögliche Untersagungsverfügungen, aber auch ein Zwangsgeld (1 % des durchschnittlichen globalen Tagesumsatzes im vorangegangenen Geschäftsjahr) und ggf. auch strafrechtliche Sanktionen nach nationalem Recht. Die genaue Umsetzung der Sanktionsmechanismen ist aber den Mitgliedsstaaten vorbehalten.
Aktueller Stand – wann ist DORA zu erwarten?
Die im Januar 2022 gestarteten interinstitutionellen Verhandlungen wurden nach vorläufiger Einigung am 10. Mai 2022 beendet. Die Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden, das förmliche Annahmeverfahren folgt im Anschluss. Voraussichtlich Ende 2022 wird die Verordnung in Kraft treten. Jedoch bedarf es noch der Erstellung von Leitlinien sowie der delegierten Verordnungen und diversen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS), so dass mit der Anwendbarkeit von DORA erst ab Ende 2024 zu rechnen ist.
Da die Verordnung aber eine große Anzahl an praxisrelevanten Vorgaben enthält, ist zu empfehlen, dass sich betroffene Unternehmen schon in den kommenden Monaten mit der Umsetzung zu beschäftigen.
News
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.
Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde
Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.
DSGVO-Bußgeldverfahren: Mehr Klarheit durch Musterrichtlinien der DSK
Am 16. Juni 2025 hat die Datenschutzkonferenz (DSK) ihre Musterrichtlinien für das Verfahren zur Verhängung von Geldbußen vorgestellt.
Die Landesdatenschutzbehörden planen nun, diese Richtlinien als Verwaltungsvorschriften zu erlassen. Damit werden sich die Aufsichtsbehörden selbst verpflichten, die Vorgaben in zukünftigen Bußgeldverfahren einzuhalten.
Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites
In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.
In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.
Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren
Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.
Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.
Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.
Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht
In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.
In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.
Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.