Zum Inhalt springen
7.42Fortgeschritten7 min

DORA-konforme Verträge mit IT-Dienstleistern (Art. 28 ff.)

Blck Alpaca·
Definition

DORA-Vertragsgestaltung bezeichnet die Pflicht von Finanzunternehmen, Verträge mit IT- und KI-Dienstleistern nach Art. 28 ff. der Verordnung (EU) 2022/2554 (DORA) mit verbindlichen Klauseln auszustatten: Leistungsbeschreibung, Datenstandorte, Audit-Rechte, Exit/Kündigung, Sub-Outsourcing-Zustimmung, Vorfallsmeldung und Service-Level. DORA ist seit 17. Januar 2025 anwendbar.

Auf einen Blick

  • DORA (VO (EU) 2022/2554) ist seit 17. Januar 2025 anwendbar; Art. 28-30 regeln das IKT-Drittparteienrisiko, Art. 30 enthält den verbindlichen Vertragsklauselkanon (primäre Adressaten der BaFin-Orientierungshilfe sind CRR-Institute und Solvency-II-Versicherer).
  • Der Pflichtumfang hängt davon ab, ob der Dienstleister eine kritische oder wichtige Funktion unterstützt: Bei kritischen/wichtigen Funktionen gelten die vollen Art.-30-Klauseln inklusive Exit-Strategie, vollständiger Audit-Rechte und SLA mit messbaren Zielen.
  • Pflicht-Klauseln umfassen Leistungsbeschreibung, Datenstandorte/Datenverarbeitungsorte, Audit- und Zugangsrechte, Kündigungs- und Exit-Regelungen, Zustimmungsvorbehalt zu Sub-Outsourcing, Vorfallsmeldung und kooperationspflichtige Sicherheitsmaßnahmen.
  • Die ESAs haben am 18. November 2025 erstmals 19 kritische IKT-Drittdienstleister (CTPPs) designiert (u. a. AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix, Swift); Exit-Pläne sind jährlich zu testen, Multi-Cloud wird faktisch erzwungen.
  • Bei Hyperscalern ist der Art.-30-Klauseltext Stand 2026 weitgehend Standard; bei KI-Startups ohne diese Klauseln ist die Vertragsfähigkeit ein häufiger Procurement-Blocker. KI-Systeme gelten laut BaFin-Orientierungshilfe vom 18. Dezember 2025 als Netzwerk- und Informationssysteme nach DORA Art. 3 Nr. 2.

DORA-Vertragsgestaltung bezeichnet die Pflicht von Finanzunternehmen, Verträge mit IT- und KI-Dienstleistern nach Art. 28 ff. der Verordnung (EU) 2022/2554 (DORA) mit verbindlichen Klauseln auszustatten: Leistungsbeschreibung, Datenstandorte, Audit-Rechte, Exit/Kündigung, Sub-Outsourcing-Zustimmung, Vorfallsmeldung und Service-Level. DORA ist seit 17. Januar 2025 anwendbar und adressiert in der BaFin-Aufsichtspraxis primär CRR-Institute und Solvency-II-Versicherer.

  • Wer ist betroffen? Finanzunternehmen im DORA-Anwendungsbereich (Banken, Versicherer und weitere Finanzentitäten) sowie deren IT-/KI-Dienstleister, die ohne die Pflichtklauseln nicht vertragsfähig sind.
  • Was ist der Kern? Art. 28-30 regeln das IKT-Drittparteienrisiko; Art. 30 enthält den verbindlichen Klauselkanon. Der Umfang skaliert mit der Kritikalität der ausgelagerten Funktion.
  • Was ist der häufigste Stolperstein? Bei Hyperscalern ist der Klauseltext Stand 2026 Standard; bei KI-Startups fehlen Audit-Rechte, Exit- und Sub-Outsourcing-Klauseln und werden zum Procurement-Blocker.

Warum KI-Dienstleister unter DORA fallen

Die zentrale Weichenstellung für KI-Projekte: KI-Systeme sind kein Sonderfall, sondern ein Unterfall der „Netzwerk- und Informationssysteme" gemäß Art. 3 Nr. 2 DORA. Die BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen vom 18. Dezember 2025 stellt das ausdrücklich klar und zieht damit den vollständigen DORA-Pflichtenkanon in die KI-Governance: Art. 5-15 (IKT-Risikomanagement), Art. 24-27 (Resilienztests einschließlich Threat-Led Penetration Testing) und Art. 28-30 (IKT-Drittparteienrisiko). Adressaten sind primär CRR-Institute und Solvency-II-Versicherer.

Für die Schweiz besteht ein analoges, nicht voll deckungsgleiches Regime: Die FINMA-Aufsichtsmitteilung 08/2024 vom 18. Dezember 2024 und das FINMA-Rundschreiben 2023/1 (Operationelle Risiken und Resilienz) prägen die Erwartungen an externe IKT-Lieferanten. In Österreich existiert Stand Mai 2026 keine formelle sektorale AI-Leitlinie der FMA; österreichische Institute orientieren sich überwiegend an BaFin und EBA. DORA selbst gilt als EU-Verordnung in Deutschland und Österreich unmittelbar.

Eine wichtige Einordnung vorweg: Dieser Artikel ist eine fachliche Orientierung, keine Rechtsberatung. Mustervertragsklauseln und ihre Übertragung auf den konkreten Einzelfall sind anwaltlich zu prüfen.

Der Klauselkanon nach Art. 30 DORA

Art. 30 DORA verlangt, dass die Rechte und Pflichten des Finanzunternehmens und des IKT-Drittdienstleisters klar zugewiesen und schriftlich fixiert werden. Die Verordnung trennt dabei zwei Stufen: einen Mindestumfang für alle IKT-Verträge (Art. 30 Abs. 2) und einen erweiterten Katalog für Dienste, die eine kritische oder wichtige Funktion unterstützen (Art. 30 Abs. 3).

Der Klauselkanon umfasst nach der DORA-Systematik insbesondere verpflichtende Audit-Rechte, Exit-Klauseln, Sub-Processor-Kontrollen und Service-Level-Vereinbarungen mit Datenresidenz-, Latenz- und Rechenkapazitätszusagen. Bei Hyperscalern ist dieser Text aktuell Standard; bei KI-Startups ist er ein häufiger Procurement-Blocker. Hintergrund: DORA hat die früheren EBA Outsourcing Guidelines (EBA/GL/2019/02) sowie die ESMA-Outsourcing-Guidelines (ESMA50-164-4285) substantiell modifiziert und in einen unmittelbar geltenden Verordnungsstandard überführt.

Einfache versus kritische/wichtige Funktionen

Die Pflichttiefe hängt davon ab, ob der ausgelagerte IKT-Dienst eine kritische oder wichtige Funktion unterstützt – also eine Funktion, deren Ausfall die finanzielle Belastbarkeit, die Kontinuität der Dienstleistungen oder die Einhaltung der Zulassungsbedingungen des Instituts wesentlich beeinträchtigen würde. Diese Klassifizierung ist die erste Aufgabe jeder DORA-Vertragsgestaltung und entscheidet über den Vertragsumfang.

Für einen KI-Dienst lautet die Leitfrage konkret: Greift der Agent in einen kritischen Prozess ein (z. B. Echtzeit-Betrugserkennung im Zahlungsverkehr, regulatorisches Reporting) oder unterstützt er nur einen nachgelagerten, leicht ersetzbaren Hilfsprozess (z. B. interne Texterstellung ohne Kundendatenbezug)? Bei kritischen/wichtigen Funktionen greifen die zusätzlichen Anforderungen des Art. 30 Abs. 3: dokumentierte Exit-Strategien, vollständige und uneingeschränkte Audit-Rechte, SLA mit präzisen quantitativen und qualitativen Leistungszielen sowie eindeutige Datenstandort-Festlegungen.

Pflicht-Klauseln im Überblick

Die folgende Tabelle ordnet die zentralen Vertragsbestandteile ihrem Zweck zu und kennzeichnet, ob sie für alle IKT-Verträge oder verschärft für kritische/wichtige Funktionen gelten. Die Artikelzuordnung folgt der DORA-Systematik (Art. 30 Abs. 2 für den Mindestumfang, Art. 30 Abs. 3 für kritische/wichtige Funktionen).

Klausel

Zweck

Pflicht?

Leistungsbeschreibung (Scope, Funktionen, Service-Levels)

Klare, vollständige Beschreibung aller IKT-Dienste; Grundlage für Steuerung und Audit

Pflicht (alle Verträge, Art. 30 Abs. 2)

Datenstandorte / Datenverarbeitungsorte

Festlegung, wo Daten gespeichert und verarbeitet werden; Steuerung von Residenz und Zugriff

Pflicht (verschärft bei kritisch/wichtig, Art. 30 Abs. 3)

Audit- und Zugangsrechte

Vor-Ort-Prüfungen und Inspektionen durch Institut, Prüfer und Aufsicht

Pflicht; uneingeschränkt bei kritisch/wichtig (Art. 30 Abs. 3)

Kündigung und Exit-Strategie

Geordnete Beendigung ohne Unterbrechung kritischer Funktionen; Datenrückgabe, Migration

Pflicht; dokumentierte Exit-Strategie bei kritisch/wichtig (Art. 30 Abs. 3)

Zustimmung zu Sub-Outsourcing

Kontrolle über Unterauftragnehmer, die kritische/wichtige Funktionen mitausführen

Pflicht für kritische/wichtige Funktionen (Art. 30 Abs. 3)

Incident-Meldung

Verpflichtung zur Meldung von IKT-Vorfällen, damit das Institut Art.-19-Fristen einhält

Pflicht (Art. 30 i. V. m. Art. 19)

SLA mit Verfügbarkeits-/Sicherheitszielen

Messbare quantitative und qualitative Leistungsziele, Monitoring, Reporting

Pflicht; präzise Zielwerte bei kritisch/wichtig (Art. 30 Abs. 3)

Mitwirkung bei Resilienztests / TLPT

Unterstützung des Instituts bei Tests nach Art. 24-27

Pflicht (Kontext Art. 24-27)

Konzentrationsrisiko und CTPP-Designation

DORA adressiert nicht nur den einzelnen Vertrag, sondern das systemische Konzentrationsrisiko. Die Europäischen Aufsichtsbehörden (ESAs) haben am 18. November 2025 erstmals 19 kritische IKT-Drittdienstleister (Critical ICT Third-Party Providers, CTPPs) designiert – darunter AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix und Swift. Diese 19 Anbieter unterliegen ab 2026 direkter EU-Aufsicht; das DORA Joint Oversight Forum wird im Verlauf 2026 erste umfassende Prüfungen durchführen.

Für die Vertragsgestaltung auf Institutsseite hat das zwei praktische Folgen: Exit-Pläne sind jährlich zu testen, und Multi-Cloud-Strategien werden faktisch erzwungen. KI-Agent-Workloads auf Hyperscalern bleiben unter zusätzlicher Beobachtung. Offen ist Stand 2026, ob Institute deshalb tatsächlich systematisch Multi-Cloud forcieren oder es bei eher symbolischen Exit-Plänen bleibt – eine vollständige Multi-Cloud-AI-Architektur für Banken ist technisch und kommerziell anspruchsvoll. In der DACH-Praxis ergibt sich daraus ein präferiertes Sourcing-Muster: souveräne oder On-Premise-Lösungen für sensitive Workloads, Hyperscaler dort, wo das CTPP-Konzentrationsrisiko aktiv gemanagt wird.

Praxisbeispiel: KI-gestützte Betrugserkennung einbinden

Ein Solvency-II-Versicherer möchte einen KI-Agenten eines Drittanbieters für die Echtzeit-Betrugserkennung im Zahlungsverkehr einsetzen. Die Schritte einer DORA-konformen Vertragsgestaltung lassen sich wie folgt skizzieren:

  1. Klassifizierung: Die Betrugserkennung ist eine kritische oder wichtige Funktion, weil ihr Ausfall die Kontinuität der Dienstleistung wesentlich beeinträchtigt. Damit gilt der erweiterte Katalog des Art. 30 Abs. 3.
  2. Leistungsbeschreibung und SLA: Der Vertrag fixiert Funktionsumfang, Verfügbarkeit und messbare Zielwerte. Im Verbund prüft etwa das System KIWI der Finanz Informatik den Zahlungsverkehr nach 460 Kriterien – ein Anhaltspunkt für die nötige Präzision der Leistungsbeschreibung und der Performance-Zusagen.
  3. Datenstandorte: Festlegung, dass Trainings- und Inferenzdaten innerhalb der EU verarbeitet werden; bei Schweizer Kundendaten ist die FINMA-Erwartung der CH-Datenhaltung zu berücksichtigen.
  4. Audit-Rechte und Sub-Outsourcing: Uneingeschränkte Prüfrechte für Institut und Aufsicht; jeder Unterauftragnehmer, der die kritische Funktion mitausführt, unterliegt dem Zustimmungsvorbehalt.
  5. Incident-Meldung: Der Anbieter wird vertraglich verpflichtet, IKT-Vorfälle so unverzüglich zu melden, dass der Versicherer seine DORA-Art.-19-Meldepflicht erfüllen kann. Zur Einordnung der Relevanz: In den ersten drei Quartalen 2025 wurden der BaFin 525 schwerwiegende IKT-Vorfälle gemeldet, rund 70 Prozent davon von Kreditinstituten.
  6. Exit: Dokumentierte Exit-Strategie mit Datenrückgabe in nutzbarem Format und Migrationsunterstützung; der Exit-Plan wird jährlich getestet.

Hinzu kommt die Schnittstelle zum EU AI Act: Für Finanzunternehmen substituiert die DORA-Vorfallsmeldung nach Art. 19 die Meldepflicht nach Art. 73 AI Act – mit Ausnahme der Meldung von Grundrechtsverletzungen. Doppelmeldungen lassen sich so vermeiden, wenn die Workflows aufeinander abgestimmt sind.

Für Agenturen und B2B

Für Marketing-Agenturen und B2B-Dienstleister, die KI-Lösungen an Banken oder Versicherer verkaufen, ist die Botschaft eindeutig: Ohne den Art.-30-Klauselkanon scheitert die Vendor-Auswahl regelmäßig in der finalen Runde. Wer Audit-Rechte, Exit- und Sub-Outsourcing-Klauseln, Datenstandort-Zusagen und eine belastbare Incident-Meldekette von Beginn an im Standardvertrag mitliefert, verkürzt das Procurement und qualifiziert sich überhaupt erst für regulierte Auftraggeber. Für B2B-Entscheider auf Institutsseite empfiehlt sich, die Kritikalitätsklassifizierung als ersten Schritt zu standardisieren und die Vertragsklauseln daran zu skalieren. Blck Alpaca begleitet die inhaltliche und kommunikative Aufbereitung solcher Compliance-Themen – die juristische Prüfung der konkreten Verträge bleibt anwaltliche Aufgabe.

Häufig gestellte Fragen

Für wen gelten die DORA-Vertragspflichten nach Art. 28 ff.?
DORA (VO (EU) 2022/2554) richtet sich an Finanzunternehmen im Anwendungsbereich der Verordnung; die BaFin-Orientierungshilfe adressiert primär CRR-Institute (Banken) und Solvency-II-Versicherer. Wer als IT-/KI-Dienstleister für solche Unternehmen arbeitet, muss die Art.-30-Klauseln akzeptieren, weil er sonst nicht vertragsfähig ist. Die Verordnung ist seit 17. Januar 2025 anwendbar.
Was ist der Unterschied zwischen einfachen und kritischen oder wichtigen Funktionen?
DORA unterscheidet danach, ob ein ausgelagerter IKT-Dienst eine kritische oder wichtige Funktion unterstützt, also eine Funktion, deren Ausfall die finanzielle Belastbarkeit oder Kontinuität des Instituts wesentlich beeinträchtigen würde. Für solche Funktionen gilt der volle Klauselkatalog des Art. 30 Abs. 3 (Exit-Strategie, vollständige Audit-Rechte, SLA mit messbaren Zielen, Datenstandorte). Bei nicht-kritischen Funktionen gilt ein reduzierter Mindestumfang nach Art. 30 Abs. 2.
Sind Standard-Cloud-Verträge der Hyperscaler bereits DORA-konform?
Bei den großen Hyperscalern ist der Art.-30-Vertragsklauseltext Stand 2026 weitgehend Standard, da diese Anbieter ihre Finanzkunden-Verträge entsprechend angepasst haben. AWS, Microsoft Azure, Google Cloud, Oracle, IBM und SAP gehören zudem zu den 19 am 18. November 2025 designierten kritischen IKT-Drittdienstleistern (CTPPs) unter direkter EU-Aufsicht. Bei kleineren KI-Anbietern fehlen die Klauseln häufig und blockieren die Vendor-Auswahl.
Was muss eine DORA-konforme Exit-Klausel leisten?
Die Exit-Klausel muss eine geordnete Beendigung ohne Unterbrechung kritischer oder wichtiger Funktionen sicherstellen: Kündigungsrechte (u. a. bei wesentlichen Vertragsverletzungen und aufsichtlicher Anordnung), angemessene Übergangsfristen, Datenrückgabe in einem nutzbaren Format und Migrationsunterstützung. Für kritische/wichtige Funktionen sind dokumentierte Exit-Strategien zu führen; nach den DORA-Anforderungen sind Exit-Pläne jährlich zu testen.
Ersetzt die DORA-Vorfallsmeldung andere Meldepflichten?
Für Finanzunternehmen substituiert die IKT-Vorfallsmeldung nach DORA Art. 19 die Meldepflicht nach Art. 73 EU AI Act, mit Ausnahme der Meldung von Grundrechtsverletzungen. Im Kontext zeigt sich die Relevanz: In den ersten drei Quartalen 2025 wurden der BaFin 525 schwerwiegende IKT-Vorfälle gemeldet, rund 70 Prozent davon von Kreditinstituten. Der Vertrag muss den Dienstleister verpflichten, Vorfälle so zu melden, dass das Institut seine eigene Meldefrist einhalten kann.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerDORA-Pflichten für KI-Anbieter, die Finanzunternehmen beliefernNächsterDORA-Resilienztests: TLPT (Threat-Led Penetration Testing) für KI-Systeme im Finanzsektor