News

Digital Operation Resilience Act – Überblick zu den neuen Regelungen der digitalen Betriebsstabilität von EU-Finanzunternehmen

Am 24. September 2020 wurde der Entwurf einer EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operation Resilience Act, „DORA“) veröffentlicht. Der Vorschlag ist Teil des Pakets zur Digitalisierung des Finanzsektors und in den kommenden Jahren sind noch weitere (vor allem die Finanzdienstleister betreffende) neue Verordnungen und Richtlinien zu erwarten.

Zweck der Verordnung

Mit DORA verfolgt der europäische Gesetzgeber zwei große Ziele. Die Verordnung soll die Resilienz von Unternehmen in der Finanzbranche gegen Informations- und Kommunikationstechnologie („IKT“)-bezogene Risiken stärken. Gleichzeitig wird die EU-weite Harmonisierung der Anforderungen an Finanzdienstleister angestrebt. In Deutschland wurden Teile von DORA-Regelungen schon früher durch das IT-Sicherheitsgesetz 2.0 sowie Finanzmarktintegritätsstärkungsgesetz (FISG) umgesetzt.

Das IKT-Risikomanagement von Finanzunternehmen soll mit der Einführung von DORA verbessert und gestrafft werden. Es werden neue Anforderungen und Prüfungsmechanismen für IKT-Systeme eingeführt. Auf der Behördenseite soll DORA das Bewusstsein für Cyberrisiken und IKT-bezogene Vorfälle, mit denen Finanzunternehmen konfrontiert sind, schärfen.

Es werden neue Überwachungsmechanismen für Risiken, die auf die Zusammenarbeit zwischen den Finanzunternehmen und IKT-Drittanbietern zurückzuführen sind, sowie diverse behördlichen Kontrollbefugnisse eingeführt. Auch ein kohärenter Mechanismus für die Meldung von Vorfällen wird mit DORA geschaffen, der den Verwaltungsaufwand für Finanzunternehmen verringern und die Beaufsichtigung wirksamer machen soll. Die Regelungen werden durch die Förderung des Informationsaustausches in Bezug auf die Risiken und Vorfälle zwischen den Unternehmen im Finanzsektor erweitert.

Betroffene Unternehmen

Von der neuen Regelung sind vor allem jene Finanzunternehmen betroffen, welche in Art. 2 Abs. 1 lit. a – t des Entwurfs aufgelistet sind. Dazu gehören u.a. Kredit- und Zahlungsinstitute, Versicherungsunternehmen und -vermittler, Ratingagenturen sowie Prüfungsgesellschaften. Auch die Anbieter von Krypto-Dienstleistungen und Crowdfunding-Dienstleister sind erfasst. Schließlich gilt die Verordnung auch für die IKT-Drittanbieter, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren.

Die Anbieter von Hardware sind dagegen explizit aus dem Anwendungsbereich der Verordnung ausgeschlossen. Auf Kleinstunternehmen sind die Regelungen nur zum Teil anwendbar.

Relevante Vorgaben und Auswirkungen auf Praxis

Betroffenen Unternehmen werden mit DORA neue Pflichten auferlegt. Die Verordnung setzt vor allem auf Schutz und Prävention: so betreffen z. B. mehrere Artikel den Bereich des Risikomanagements. Sorgfältige Auswahl von IKT-Systemen, regelmäßige Überprüfung, Erkennung, Klassifizierung und Dokumentation von neuen Risiken spielen dabei eine zentrale Rolle. Auch soll i.R.d. IKT-Strategie die Möglichkeit der Wiederherstellung und Fortführung des Geschäftsbetriebs u.a. durch Backups sichergestellt werden.

In der Verordnung wird der Datenschutz als ein Teil der IKT-Sicherheit anerkannt. Durch die Informationsaustauschmechanismen, Dokumentation und Meldung von Vorfällen, sowie die Zusammenarbeit mit IKT-Dienstleistern werden große Mengen von Daten erhoben und weiterverarbeitet, darunter auch personenbezogene Daten. Die damit einhergehenden Risiken und datenschutzrechtliche Probleme adressiert die Verordnung durch Verweise auf DSGVO und weitere einschlägige Regelungen. So wird z. B. in Art. 3 Nr. 4 des Entwurfs explizit erwähnt, dass das IKT-Risiko auch Verstöße gegen den Datenschutz erfasst. Bei Datenübermittlungen an IKT-Dienstleister in Drittländer sollen DSGVO-Vorgaben strikt eingehalten werden und die Vereinbarungen mit den IKT-Drittanbietern müssen auch die Bestimmungen über die Zugänglichkeit, Verfügbarkeit, Integrität, Sicherheit und Schutz personenbezogener Daten beinhalten.

Eine extrem praxisrelevante Vorgabe: sollte der Drittanbieter nachweisliche Schwächen im Hinblick auf den Datenschutz aufweisen, müssen die Vereinbarungen über die Nutzung von Diensten gem. Art. 25 Abs. 8 lit. c DORA-Entwurf gekündigt werden.

Zu begrüßen ist, dass durch die Schaffung einer Rechtsgrundlage für den Datenaustausch über Bedrohungen und Anfälligkeiten zwischen den Unternehmen die Unsicherheit hinsichtlich der Vereinbarkeit eines solchen Austausches mit den Datenschutzvorschriften beseitigt wird.

Sanktionen

DORA sieht diverse Sanktionen bei Verstößen vor. Dabei müssen die Sanktionen nicht nur wirksam und verhältnismäßig, sondern auch laut Art. 44 Abs. 3 des Entwurfs abschreckend sein. Dazu gehören vor allem mögliche Untersagungsverfügungen, aber auch ein Zwangsgeld (1 % des durchschnittlichen globalen Tagesumsatzes im vorangegangenen Geschäftsjahr) und ggf. auch strafrechtliche Sanktionen nach nationalem Recht. Die genaue Umsetzung der Sanktionsmechanismen ist aber den Mitgliedsstaaten vorbehalten.

Aktueller Stand – wann ist DORA zu erwarten?

Die im Januar 2022 gestarteten interinstitutionellen Verhandlungen wurden nach vorläufiger Einigung am 10. Mai 2022 beendet. Die Einigung muss nun vom Rat und vom Europäischen Parlament gebilligt werden, das förmliche Annahmeverfahren folgt im Anschluss. Voraussichtlich Ende 2022 wird die Verordnung in Kraft treten. Jedoch bedarf es noch der Erstellung von Leitlinien sowie der delegierten Verordnungen und diversen technischen Regulierungsstandards (RTS) und Durchführungsstandards (ITS), so dass mit der Anwendbarkeit von DORA erst ab Ende 2024 zu rechnen ist.

Da die Verordnung aber eine große Anzahl an praxisrelevanten Vorgaben enthält, ist zu empfehlen, dass sich betroffene Unternehmen schon in den kommenden Monaten mit der Umsetzung zu beschäftigen.

Rechtsanwalt, Partner
Dr. Carlo Piltz
Rechtsanwalt, Partner
Dr. Carlo Piltz

Zurück

News

Entscheidung des EuGH zur FIN und generellen Aspekten des Personenbezugs

Die Folgen der Entscheidung des EuGH in der Rs. C‑319/22 vom 9. November 2023 werden sicherlich noch lange in der Datenschutz-Szene diskutiert. Es ist in jedem Fall jetzt schon klar, dass das Urteil in der Automobilbranche und daran angrenzende Sektoren aber auch allgemein im Bereich Datenschutz große Wellen schlagen wird. Doch scheint unklar zu sein, ob das auch gerechtfertigt ist oder im Wesentlichen dieselben Aspekte wie vor der Entscheidung bei der Klärung der Frage nach dem Vorliegen eines Personenbezugs zu beachten sind. In dem vom EuGH behandelten Fall wird jedenfalls erst durch das Landgericht Köln entschieden werden, ob für die Fahrzeughersteller und unabhängigen Wirtschaftsakteure die FIN ein personenbezogenes Datum ist. Im EuGH-Urteil selbst findet man die Antwort jedenfalls noch nicht direkt und eindeutig

EU Data Act verabschiedet – worauf müssen sich die Unternehmen einstellen?

Am 9. November 2023 hat das Europäische Parlament den Data Act final verabschiedet. Dieser soll den Zugang und die Nutzung von Daten erleichtern, die durch Nutzer bei Inanspruchnahme von Produkten und Diensten generiert werden und umfasst sämtliche Nutzerdaten - unabhängig vom etwaigen Personenbezug. Die Auswirkungen sind aus diesem Grund weitreichend und den Unternehmen werden viele Pflichten auferlegt, insbesondere was die Einrichtung von Zugangsmöglichkeiten zu Daten für die Kunden sowie deren Möglichkeit zur Weitergabe an Dritte angeht.

LDA Brandenburg: BSI-Vorgaben zur IT-Sicherheit als „Stand der Technik“ nach Art. 32 DSGVO

Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (LDA) hat am 10. November 2021 gegen einen Website-Betreiber eine Verwarnung nach Art. 58 Abs. 2 lit. b) DSGVO ausgesprochen. Grund für die Verwarnung war insbesondere die Bereitstellung einer Upload-Funktion für Bilder, die nicht ausreichend gesichert war und über die es Angreifern möglich gewesen war, eine Kundendatenbank auszulesen.

Die Behörde sah darin eine Verletzung der Art. 25 Abs. 1 und Art. 32 Abs. 1 lit. b) DSGVO. Interessant an der Behördenentscheidung ist auch, dass diese einen Zusammenhang zwischen Art. 25 und Art. 32 DSGVO (Stand der Technik) und dem BSI-Grundschutz herstellt (hierzu sogleich mehr).

Neuer Associate: Piltz Legal erweitert das Datenschutzteam

Piltz Legal heißt Daniel Kühl herzlich Willkommen im Team.

Daniel Kühl ist seit 2014 zugelassener Rechtsanwalt und hat sich mit dem Inkrafttreten der DSGVO den beruflichen Schwerpunkt auf den Datenschutz gelegt. Mittlerweile ist er zertifizierter Datenschutzbeauftragter (GDDcert EU) und FOM-zertifizierter „Data Protection Risk Manager“.

In den letzten Jahren hat er als externer Datenschutzberater verschiedenste Klienten, insbesondere aus dem Bereich der Energiewirtschaft, Wohnungswirtschaft und Wohlfahrtsverbände, aber auch Museen im Datenschutz beraten.

Wir freuen uns, dass wir mit Daniel Kühl einen weiteren erfahrenen Datenschutzrechtler für die Kanzlei gewinnen konnten und freuen uns sehr auf die Zusammenarbeit.

EuGH hat wieder zum Auskunftsanspruch entschieden – Zusammenfassung des Urteils in der Rs. C-307/22 vom 26. Oktober 2023

Während das Urteil in der Rs. C‑307/22 sich zwar mit dem speziellen Arzt-Patienten-Verhältnis beschäftigt, sind darin dennoch auch zahlreiche Aussagen enthalten, die allgemein für Erfüllung des Auskunftsanspruchs durch Unternehmen relevant sind. Das Urteil wird bereits munter in der Datenschutz-Szene diskutiert. Das ist auch deshalb verständlich, weil der EuGH einige hoch umstrittene Aspekte zum besonders praxisrelevanten Betroffenenrecht geklärt hat. In diesem Newsbeitrag finden Sie eine Zusammenfassung der aus unserer Sicht relevantesten Aussagen in der Entscheidung des EuGH sowie eine kurze Einschätzung zu den Folgen für die Praxis.

Der FOCUS zeichnet Piltz Legal erneut als eine der TOP - Wirtschaftschaftskanzleien aus

Im aktuellen Heft des FOCUS wurde Piltz Legal wieder als eine der TOP-Wirtschaftkanzleien 2023 im Bereich Datenschutz ausgezeichnet.