Warum IT-Vorfälle keine technische Randnotiz mehr sind, sondern zur juristischen Kernfrage der Finanzaufsicht werden
Ein einziger IT-Ausfall – und das Finanzsystem steht still. Was wie ein apokalyptisches Gedankenspiel wirkt, ist im Zeitalter hochgradig vernetzter Infrastrukturen eine reale Gefahr. Banken, Versicherer, Asset-Manager, Zahlungsdienstleister: Sie alle sind zunehmend nicht mehr nur Kreditvermittler oder Kapitalverwalter, sondern digitale Operationseinheiten, deren Schwachstelle nicht mehr allein im Risikomanagement, sondern im Code liegt. Genau an dieser Nahtstelle zwischen technischer Störung und juristischer Verantwortung greift die neue Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA).
Mit DORA hat die Europäische Union einen Regulierungsrahmen geschaffen, der das Wesen der Finanzaufsicht verändert – vom Schutz des Geldes zum Schutz der Funktionalität. Was bedeutet: Es geht nicht mehr nur um Bilanzprüfung und Kapitaldeckung, sondern um IT-Sicherheit, Meldepflichten und operative Durchhaltefähigkeit in Krisen. Und das mit unmittelbarem Zwang. Ab dem 17. Januar 2025 müssen Finanzunternehmen IKT-Vorfälle nicht nur erkennen, sondern systematisch melden, koordinieren und dokumentieren – mit massiven rechtlichen Konsequenzen bei Pflichtverletzungen.
Juristische Revolution durch Artikel 19 DORA
Dr. Thomas Schulte, Berliner Fachanwalt für Bankrecht, bringt es auf den Punkt: „DORA ist mehr als eine technische Ergänzungsverordnung. Es ist ein juristischer Paradigmenwechsel. Die Verlagerung der Risikoaufsicht in die IT-Infrastruktur verlangt vom Management nicht nur neue Prozesse, sondern ein neues Verständnis von Verantwortung.“
Die Möglichkeit, diese Meldepflicht auf externe Dienstleister zu übertragen (Art. 19 Abs. 5 DORA), mag pragmatisch erscheinen – birgt aber ein juristisches Risiko. Denn die Verantwortung bleibt beim Unternehmen selbst. Es gilt: Wer delegiert, bleibt haftbar. Und das bedeutet: Verträge müssen gerichtsfest sein, Prozesse revisionssicher, Kommunikationswege lückenlos.
Meldung vor der Meldung – das neue Compliance-Paradox
Besonders spannend wird es bei der sogenannten „Meldung der Meldung“: Bevor ein Dienstleister überhaupt zum ersten Mal im Namen eines Instituts meldet, muss das Institut vorab und formal gegenüber der Aufsicht erklären, dass es die Pflicht ausgelagert hat – samt aller relevanten Daten wie BaFin-ID und LEI-Nummern. Das klingt technisch, ist aber juristisch brisant: Denn wer diesen Schritt vergisst, handelt regelwidrig, auch wenn später alles korrekt übermittelt wird.
Dr. Peter Riedi, Volkswirt und Spezialist für regulatorische Marktstrukturfragen aus dem Fürstentum Liechtenstein, ergänzt: „DORA ist ein Beispiel für die wachsende Verrechtlichung operativer Prozesse. In der Praxis sehen wir, wie IT-Störungen plötzlich zu meldepflichtigen und damit kapitalmarktrelevanten Ereignissen werden – das ist neu. Und das verändert nicht nur die Systeme, sondern auch das Rollenverständnis von Management und Aufsicht.“
Aggregierte Berichte – sinnvoll oder juristisch heikel?
Artikel 7 der technischen Standards erlaubt eine Art Sammelmeldung, wenn ein Dienstleister denselben Vorfall bei mehreren Kunden gleichzeitig meldet. Was nach Effizienz klingt, ist in Wahrheit ein juristischer Minenpfad: Nur wenn alle betroffenen Unternehmen derselben Aufsicht unterstehen, ist diese Form zulässig. Und genau hier liegt das Problem: Die EU-Aufsichtslandschaft ist fragmentiert – EBA, ESMA, EIOPA regeln jeweils ihren Bereich, oft länderübergreifend.
Kleine und mittlere Finanzunternehmen geraten hier schnell ins juristische Stolpern. Denn: Falsche Adressierung oder Vermischung von Zuständigkeiten können die gesamte Meldung rechtswidrig machen – mit gravierenden Folgen: Sanktionen, Haftungsdurchgriff, Reputationsschäden.
Rechtliche Nähe als Voraussetzung – die „Konzernvermutung“ der BaFin
Die BaFin empfiehlt zudem ausdrücklich, dass aggregierte Meldungen nur innerhalb rechtlich verbundener Unternehmensgruppen (Konzern, Finanzverbund) erfolgen sollten. Das klingt harmlos, ist aber eine starke Aussage: Datenschutzrechtlich bedeutet es, dass jede Datenaggregation – insbesondere personenbezogener oder sensibler Unternehmensinformationen – eine gemeinsame rechtliche Grundlage benötigt. Ohne diese droht ein Verstoß gegen die DSGVO, etwa wegen unzulässiger Datenweitergabe zwischen fremden Rechtsträgern.
Grenzüberschreitende Informationsweitergabe – das unterschätzte Risiko
Ein kaum beachteter Aspekt liegt in Artikel 19 Abs. 7 DORA: Gemeldete Daten können von den zuständigen Behörden an andere EU-Aufsichten weitergeleitet werden – auch wenn das betroffene Unternehmen dort gar nicht aktiv ist. Für global tätige Dienstleister, die in mehreren Jurisdiktionen melden, bedeutet das: Informationen über IT-Vorfälle wandern möglicherweise durch halb Europa – mit allen Risiken für Wettbewerbsfähigkeit, Datenschutz und Geschäftsgeheimnisse.
Auch hier ist laut Dr. Schulte vertragliche Absicherung das A und O: „Die DORA-Verordnung kennt keinen Schutz vor Nebenwirkungen. Wer nicht explizit regelt, welche Daten wohin fließen dürfen, überlässt die Kontrolle der Meldehoheit der Aufsicht – und das kann im Ernstfall geschäftsstrategisch fatal sein.“
Das Damoklesschwert der Sofortmeldung – jetzt handeln, nicht warten
DORA verpflichtet Unternehmen nicht nur zum Handeln ab Januar 2025 – der Vorbereitungsprozess ist bereits Teil der Aufsichtserwartung. Die bloße Ankündigung, dass ein Unternehmen Meldungen auslagern möchte, gilt bereits als meldepflichtig. Das heißt: Wer heute nicht informiert, ist morgen schon im Verzug.
Dabei ist zu beachten: Auch die Zuständigkeit der Aufsicht ist nicht automatisch national. Ein deutsches Unternehmen kann, je nach Lizenztyp und Konzernstruktur, auch der direkten Aufsicht von EBA oder EZB unterstehen – mit zusätzlichen Anforderungen an Sprache, Fristen und Meldewege. Nur eine frühzeitige juristische Prüfung schafft hier Klarheit.
Managementverantwortung bleibt – trotz technischer Delegation
Die wohl wichtigste Lehre aus DORA lautet: Verantwortung ist nicht delegierbar. Artikel 19 Absatz 5 mag die technische Delegation zulassen – rechtlich bleibt das Institut in der Pflicht. Geschäftsleiter haften gemäß § 93 AktG, § 43 GmbHG persönlich, wenn sie keine ausreichenden organisatorischen Maßnahmen ergreifen, um DORA-Compliance sicherzustellen. Das umfasst nicht nur das „Ob“, sondern auch das „Wie“ der Meldung.
Dr. Riedi bringt es auf den Punkt: „Digitale Resilienz ist kein Thema der IT-Abteilung. Sie ist ein strategisches Führungsthema. Und DORA bringt das mit aller Klarheit auf den juristischen Punkt.“
Fazit: DORA verlangt rechtliche Klarheit in technischer Komplexität
Die DORA-Verordnung bringt nicht nur neue Pflichten, sondern auch neue Risiken – und damit neue Verantwortungen. Sie verändert die Art, wie wir über IT-Vorfälle, Outsourcing, Haftung und Aufsicht denken. Wer DORA als bloße IT-Frage versteht, verkennt die Tragweite.
Was jetzt zählt: rechtzeitig Klarheit schaffen, Verträge prüfen, Zuständigkeiten definieren, interne Prozesse auf Krisentauglichkeit testen. Nur so kann vermieden werden, dass aus einem IT-Vorfall ein juristisches Fiasko wird.
Denn im neuen Zeitalter der digitalen Resilienz gilt: Nicht der Vorfall ist das Problem – sondern der unvorbereitete Umgang damit.
