Wissen/IKT-Drittanbieter-Pflichten unter DORA

IKT-Drittanbieter-Pflichten unter DORA

DORA macht aus IKT-Drittanbietern ein eigenes Kapitel: Register, Pflichtklauseln, Beendigungsstrategien, kritische Drittanbieter, ESA-Direktaufsicht. Stand: 2026-05-16.

ComplyCheck-Redaktion · Stand: 2026-07-15

doradrittanbieterauslagerungcloudkritische-anbieter

IKT-Drittanbieter-Pflichten unter DORA

Stand: 2026-05-16 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Warum DORA das Drittanbieter-Kapitel verschärft hat

Der EU-Gesetzgeber hat in den Erwägungsgründen 36-43 zur DORA das Drittanbieter-Risiko als systemrelevant identifiziert. Hintergrund: Eine Handvoll Cloud-Hyperscaler und IT-Dienstleister bedient mittlerweile große Teile der europäischen Finanzindustrie. Ein Ausfall dieser Anbieter — durch Ransomware, technische Defekte oder geopolitische Maßnahmen — kann gleichzeitig Hunderte Finanzunternehmen treffen.

Die Antwort: Pflichten für die Finanzunternehmen (vertraglich-organisatorisch) plus ein direktes Aufsichtsregime über die Drittanbieter selbst, sobald diese als kritisch eingestuft werden.

Hinweis

Was DORA an Kapitel V wirklich neu macht

Erwägungsgründe 36-43 der DORA identifizieren Drittanbieter-Risiken als systemrelevant: wenige Cloud-Hyperscaler bedienen mittlerweile Hunderte europäischer Finanzunternehmen gleichzeitig. Neu sind zwei Hebel: vertraglich-organisatorische Pflichten für die Finanzunternehmen (Register, Pflichtklauseln, Beendigungsstrategien) plus ein direktes EU-Aufsichtsregime über die Anbieter selbst (Art. 31-44). Der Lead Overseer kann gegenüber AWS, Azure oder Google direkt Bescheide, Inspektionen und Zwangsgelder verhängen.

Pflicht 1: Drittanbieter-Register (Art. 28 Abs. 3)

Jedes DORA-pflichtige Unternehmen führt ein elektronisches Register aller Vertragsvereinbarungen mit IKT-Drittanbietern. Die zugehörigen ITS-Templates verlangen unter anderem:

  • Identifikation des Drittanbieters (LEI, Adresse, Konzernzugehörigkeit)
  • Art der IKT-Dienste (Cloud, SaaS, Hosting, Managed Service, Software-Lizenz, Beratung)
  • ob die Dienste eine kritische oder wichtige Funktion unterstützen
  • Standort der Datenverarbeitung und -speicherung
  • Vertragsdaten (Beginn, Ende, Kündigungsfristen)
  • gegebenenfalls Sub-Auslagerungen (Sub-Outsourcing-Kette)

Das Register ist mindestens jährlich zu aktualisieren und auf Anforderung der Aufsicht in der vorgeschriebenen Form bereitzustellen.

Pflicht 2: Vor-Vertragsphase und Due Diligence (Art. 28 Abs. 4-5)

Vor Abschluss eines IKT-Vertrags verlangt DORA eine Risikobewertung des Anbieters. Mindestbestandteile:

  • Bewertung, ob die Funktion kritisch oder wichtig ist
  • Risiken aus dem Drittland-Bezug (bei Anbietern außerhalb der EU)
  • Konzentrationsrisiken (wie viel hängt von diesem einen Anbieter ab?)
  • Sub-Outsourcing-Ketten und deren Risiken
  • Reputations- und Geschäftskontinuitätsrisiken

Für kritische oder wichtige Funktionen ist die Due Diligence besonders intensiv: Audit-Recht-Verifizierung, Notfallpläne, Reversibility.

Pflicht 3: Vertragsklauseln (Art. 30)

Art. 30 DORA listet die Pflichtklauseln in IKT-Verträgen auf. Für alle IKT-Verträge gelten (Art. 30 Abs. 2):

  • klare und vollständige Beschreibung aller IKT-Dienste
  • Verfügbarkeits-Service-Level und Performance-Standards
  • Vereinbarungen zur Sicherheit der Daten und zur Verfügbarkeit
  • Daten-Lokalisation: wo Daten verarbeitet und gespeichert werden
  • Kündigungsrechte für beide Parteien
  • Mitwirkungspflichten des Anbieters bei Vorfällen
  • Compliance mit anwendbarem Recht (insbesondere DSGVO)

Für IKT-Verträge, die kritische oder wichtige Funktionen unterstützen (Art. 30 Abs. 3), kommen zusätzlich hinzu:

  • vollständige Service-Beschreibung mit allen Service-Levels
  • Beendigungsstrategien (Reversibility, Daten-Rückführung, Übergangsdienste)
  • Audit-Rechte für die Finanzunternehmen und ihre Aufsichtsbehörden
  • Vor-Ort-Inspektionen und Untersuchungen
  • Mitwirkungspflichten bei Tests inklusive Penetration-Tests und TLPT
  • Sicherheitskontrollen, Krisenmanagement, Geschäftskontinuität
  • Subdienstleister-Beschränkungen und Genehmigungsvorbehalte

Pflicht 4: Beendigungsstrategien (Art. 28 Abs. 8)

Für jeden IKT-Vertrag, der kritische oder wichtige Funktionen unterstützt, ist eine dokumentierte Beendigungsstrategie zu erstellen. Mindestinhalt:

  • klare Schritte für einen geordneten Übergang
  • alternative Lösungen und Ersatz-Anbieter
  • Zeitrahmen für den Übergang
  • Datentransfer und Daten-Rückführung
  • Kontinuität der kritischen Funktion während des Übergangs

Die Beendigungsstrategie ist nicht erst bei drohender Kündigung zu schreiben — sie muss von Anfang an vorliegen und bei wesentlichen Änderungen aktualisiert werden.

Pflicht 5: Konzentrationsrisiko-Bewertung

Art. 29 DORA verlangt, dass Finanzunternehmen das Konzentrationsrisiko bei IKT-Drittanbietern bewerten. Konkret:

  • wie viele kritische Funktionen hängen von einem einzigen Anbieter ab?
  • wie ersetzbar ist der Anbieter (Markt-Verfügbarkeit, technische Migrierbarkeit)?
  • besteht eine Konzern-Konzentration (mehrere Tochter-Anbieter desselben Konzerns)?
  • gibt es geografische Konzentrationen?

Die Bewertung fließt in die Risikobeurteilung des IKT-Risikomanagements ein und kann in Aufsichtsdialogen Thema werden.

Das Aufsichtsregime für kritische IKT-Drittanbieter (Art. 31-44)

DORA schafft etwas Neues: Die ESAs (EBA, ESMA, EIOPA) können IKT-Drittanbieter als kritisch einstufen und ihnen einen Lead Overseer zuweisen. Lead Overseer ist eine der drei ESAs — sie übt direkte Aufsichtsbefugnisse gegenüber dem Drittanbieter aus.

Kriterien für Kritikalität (Art. 31 Abs. 2):

  • systemische Bedeutung für die Stabilität, Kontinuität oder Qualität der Erbringung von Finanzdienstleistungen
  • Anzahl und Bedeutung der bedienten Finanzunternehmen
  • Substituierbarkeit der Dienste
  • Konzern-Verflechtungen
  • Klassifizierungs-Kontext durch andere kritische Sektoren

Befugnisse des Lead Overseer (Art. 35):

  • Anforderungs-Bescheide an den Anbieter
  • Vor-Ort-Inspektionen
  • Sicherheits-Empfehlungen
  • öffentliche Bekanntgaben
  • Zwangsgelder bei Verstößen

Wer die Liste der kritischen Drittanbieter führt: Die ESAs veröffentlichen sie zusammen. Erste Veröffentlichung 2025/2026 — mehrere Cloud-Hyperscaler stehen als Kandidaten im Markt-Konsens (AWS, Microsoft, Google, Oracle, IBM), die formale Einstufung bleibt aber der ESA-Entscheidung vorbehalten.

Achtung

Schatten-IT zerstört das Register

Das größte Praxis-Problem beim Drittanbieter-Register ist nicht die fehlende Tooling-Lösung — es ist die Schatten-IT: Fachbereiche, die SaaS-Tools eigenständig einführen, ohne IT oder Compliance einzubinden. Wer das Register nur aus offiziellen Verträgen befüllt, übersieht regelmäßig 30-50 % der tatsächlichen IKT-Drittanbieter. Bei einer Aufsichtsprüfung wird das offensichtlich — und kostet Glaubwürdigkeit. Einkaufs- und IT-Prozesse müssen den Register-Eintrag erzwingen.

Sub-Outsourcing-Kette

Art. 30 Abs. 2 lit. a verlangt klare Regeln für Subdienstleister. In der Praxis bedeutet das:

  • Sub-Outsourcing nur mit Genehmigungs-Vorbehalt der Finanzeinrichtung
  • Information über bestehende Subdienstleister und geplante Änderungen
  • Sub-Outsourcing-Kette muss im Register sichtbar sein
  • Sub-Outsourcer müssen ebenfalls die DORA-Anforderungen einhalten — vertragliche Durchgriffsklauseln sind nötig

Bei mehrstufigen Cloud-Konstellationen (z. B. SaaS-Anbieter auf AWS) kann das mehrere Vertragsschichten betreffen.

Praxis-Empfehlungen

Praxis-Tipp

Drei Wochen zum belastbaren Register

Konkrete Sequenz für ein operatives Drittanbieter-Register: (1) Anbieter-Inventarisierung inkl. Schatten-IT — Procurement-Daten, Kreditkarten-Abrechnungen und IT-Auswertungen kreuzweise abgleichen (1 Woche), (2) Klassifizierung pro Anbieter — kritisch/wichtig/sonstig mit Datenfluss-Kartierung (1 Woche), (3) GRC- oder Vertrags-Tool aufsetzen statt Excel — die Aufsicht erwartet maschinenlesbare ITS-konforme Strukturen, und Excel hält bei jährlichem Audit nicht stand (1 Woche).
  1. Anbieter-Inventarisierung: Vollständige Liste aller IKT-Dienstleister, inklusive Schatten-IT (Tools, die Fachbereiche eigenständig einführen)
  2. Klassifizierung: pro Anbieter — kritisch/wichtig/sonstig, Service-Typ, Datenfluss-Kartierung
  3. Vertragsbestand-Review: Bestandsverträge gegen Art. 30-Klauseln spiegeln; Nachträge bzw. Neuverhandlungen
  4. Beendigungsstrategien: für jede kritische/wichtige Funktion mindestens eine Reversibility-Skizze
  5. Konzentrations-Analyse: Wie viel hängt von welchem Anbieter ab? Wo gibt es Single-Points-of-Failure?
  6. Register operationalisieren: in einem GRC- oder Vertrags-Tool, nicht in Excel — die Aufsicht erwartet maschinenlesbare Strukturen

FAQ

Ist jeder IT-Lieferant ein IKT-Drittanbieter unter DORA?

Im Prinzip ja: Jeder externe Dienstleister, der digitale, datenverarbeitende oder IT-bezogene Leistungen erbringt, fällt unter den DORA-Begriff "IKT-Drittanbieter". Auch reine Software-Lizenzen mit zusätzlichen Service-Komponenten (Support, Updates) zählen. Nicht erfasst sind Lieferungen physischer Güter ohne digitale Service-Komponente.

Muss ich alle Bestandsverträge nachverhandeln?

In den meisten Fällen müssen Bestandsverträge an Art. 30 DORA angepasst werden — entweder durch Nachträge oder durch Aufnahme der Pflichtklauseln in begleitende Vereinbarungen. Anbieter zeigen sich kooperationsbereit, weil dieselben Anforderungen für alle ihre Finanzkunden gelten. Standardisierte DORA-Klausel-Sets sind inzwischen Marktusance.

Welche Anbieter werden kritisch eingestuft?

Die ESAs entscheiden auf Basis der Kriterien aus Art. 31 Abs. 2 DORA. Marktkonsens-Kandidaten sind die großen Cloud-Hyperscaler (AWS, Microsoft Azure, Google Cloud) sowie zentrale Finanz-IT-Plattformen. Die formale Liste wird von ESAs veröffentlicht. Wer auf der Liste landet, unterliegt direkter ESA-Aufsicht — die Finanzkunden sind davon mittelbar betroffen, weil ihre Anbieter regulierte Adressaten werden.

Wie häufig muss das Drittanbieter-Register aktualisiert werden?

Mindestens jährlich als Vollaktualisierung, plus unverzüglich bei wesentlichen Änderungen (neuer Anbieter, Vertragsbeendigung, geänderte Service-Beschreibung, neue Sub-Auslagerung). Die Aufsichtsbehörden können das Register jederzeit anfordern, typischerweise in der ITS-konformen Struktur.

Was passiert bei einem Audit beim Drittanbieter?

Art. 30 DORA verlangt Audit-Rechte sowohl für das Finanzunternehmen als auch für die Aufsichtsbehörde. Die Audits können remote oder vor Ort stattfinden, müssen aber zeitlich und sachlich angemessen sein. Anbieter mit hohen Kundenzahlen organisieren oft Pooled Audits — gemeinsame Audits mehrerer Finanzkunden zur Last-Reduktion auf Anbieterseite.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 15. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.