Art. 30: Die Pflichtklauseln im ICT-Vertrag
Welche Klauseln DORA Art. 30 in jedem ICT-Dienstleistervertrag verlangt — und welche Fehler wir immer wieder sehen.
Warum Art. 30 der Prüfungsliebling ist
Wenn die BaFin prüft, schaut sie zuerst auf Verträge. Warum? Weil sich dort sofort zeigt, ob ein Institut DORA ernst nimmt — oder nur eine Checkliste abgehakt hat.
Art. 30 DORA definiert konkrete Mindestanforderungen, die in jedem Vertrag mit ICT-Dienstleistern enthalten sein müssen. Nicht “sollten”. Müssen.
Die Pflichtklauseln
1. Leistungsbeschreibung
Klare, vollständige Beschreibung aller ICT-Dienstleistungen — einschließlich Standorten der Datenverarbeitung und -speicherung.
2. Verfügbarkeit und Qualität
Konkrete Service-Level-Vereinbarungen (SLAs) mit messbaren Kennzahlen für Verfügbarkeit, Leistung und Wiederherstellung.
3. Datenzugang und -rückgabe
Regelung, wie das Institut jederzeit auf seine Daten zugreifen kann — auch bei Vertragskündigung oder Insolvenz des Dienstleisters.
4. Audit- und Zugangsrechte
Vertraglich zugesicherte Rechte für das Institut und die Aufsichtsbehörde, den Dienstleister zu prüfen — einschließlich Vor-Ort-Inspektionen.
5. Sicherheitsmaßnahmen
Dokumentierte technische und organisatorische Maßnahmen, die der Dienstleister zum Schutz der Daten umsetzt.
6. Meldung von Vorfällen
Pflicht des Dienstleisters, ICT-bezogene Vorfälle unverzüglich zu melden — mit definierten Fristen und Eskalationswegen.
7. Mitwirkung bei Tests
Verpflichtung des Dienstleisters, an Resilience-Tests des Instituts mitzuwirken (z.B. Penetrationstests, Disaster-Recovery-Tests).
8. Kündigungsrechte
Klare Kündigungsbedingungen, insbesondere bei Verstößen gegen Sicherheitsanforderungen oder wesentlichen Vertragsänderungen.
9. Exit-Strategie
Dokumentierter Plan für den geordneten Übergang zu einem anderen Anbieter oder die Rückholung der Dienste ins eigene Haus.
10. Subunternehmer-Transparenz
Informationspflicht über eingesetzte Subunternehmer und deren Standorte. Genehmigungsvorbehalt bei wesentlichen Änderungen der Subunternehmer-Kette.
Die 5 häufigsten Fehler
1. Stichproben statt Vollständigkeit Institute prüfen 10 von 50 Verträgen und nennen es “done”. DORA verlangt eine systematische Prüfung aller ICT-Verträge.
2. Generische Klauseln “Der Dienstleister gewährleistet angemessene Sicherheit” — das reicht nicht. DORA verlangt spezifische, messbare Anforderungen.
3. Fehlende Audit-Rechte Viele Standardverträge enthalten keine Audit-Klausel. Ohne explizites Prüfungsrecht für Institut und Aufsicht ist der Vertrag nicht DORA-konform.
4. Keine Exit-Klausel “Wir kündigen einfach” ist kein Exit-Plan. DORA verlangt dokumentierte Transition-Prozesse mit Zeitplänen und Verantwortlichkeiten.
5. Sub-Outsourcing ignoriert Der direkte Dienstleister ist compliant — aber wer verarbeitet die Daten tatsächlich? Ohne Subunternehmer-Transparenz bleibt ein blinder Fleck.
Wie prüft man 50+ Verträge effizient?
Manuell ist eine Art. 30 Prüfung pro Vertrag ein halber Tag Arbeit. Bei 50 Verträgen sind das 25 Arbeitstage — nur für die initiale Prüfung. Ohne Berücksichtigung von Vertragsänderungen und neuen Dienstleistern.
Eine AI-gestützte Vertragsanalyse prüft alle Pflichtklauseln in Sekunden und markiert fehlende oder unzureichende Klauseln mit Sprung zur Fundstelle im Originaldokument. Das reduziert den Aufwand um 95% — und macht die Prüfung reproduzierbar.
Nächste Schritte
- DORA Readiness Checkliste — Wo steht Ihr Institut insgesamt?
- KI in der Vertragsprüfung — Wie KI die Art. 30 Prüfung automatisiert
- Register of Information — Das Register, in dem Ihre Verträge dokumentiert werden
- Excel vs. GRC vs. Spezialsoftware — Welches Werkzeug passt?