DORA-Nachtrag

Einleitung

Dieser Nachtrag („Nachtrag") zum Digital Operational Resilience Act („DORA") wurde erstellt, um die Einhaltung der VERORDNUNG (EU) 2022/2554 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Dezember 2022 über die digitale operative Resilienz des Finanzsektors und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 abzubilden.

Dieser Nachtrag gilt ausschließlich für Kunden, die der DORA-Verordnung unterliegen (nachfolgend der Kunde) und tritt mit dem Datum der Unterzeichnung durch beide Parteien in Kraft.

Im Falle eines Widerspruchs zwischen den Bestimmungen dieses Nachtrags und anderen vertraglichen Dokumenten, einschließlich der AGB, haben die Bestimmungen dieses Nachtrags Vorrang.

Stellung der Parteien

Der Kunde ist eine Einrichtung, die in den Anwendungsbereich von DORA gemäß Artikel 2 DORA und/oder dem nationalen Umsetzungsrecht fällt.

KBINE verpflichtet sich, dem Kunden Dienste zu erbringen, die als IKT-Dienste im Sinne von DORA gelten. Ziel dieses Nachtrags ist es zu gewährleisten, dass die entsprechenden Anforderungen und Standards in den Vertrag einbezogen werden.

Für die Zwecke dieses Nachtrags gehen die Parteien davon aus, dass KBINE kritische oder wichtige Geschäftsfunktionen des Kunden unterstützt.

Beschreibung aller IKT-Dienste

Eine klare und vollständige Beschreibung aller von KBINE zu erbringenden IKT-Funktionen und -Dienste findet sich in den AGB, die Bestandteil dieses Vertrags sind. Diese IKT-Dienste gelten als Cloud-Dienste: SaaS.

SaaS-Software, die integrierte Lösungen zur Kartografie des Informationssystems, zur finanziellen Steuerung der IT und zur Messung von Nutzung und Gesundheit des Informationssystems bietet.

Es obliegt dem Kunden zu bestimmen, welche dieser Dienste die wichtigen oder kritischen Geschäftsfunktionen des Kunden unterstützen.

Unterauftragsvergabe

KBINE kann Unterauftragnehmer einsetzen, um einen Teil der Dienste zu erbringen („Unterauftragsvergabe" an einen „Unterauftragnehmer-Partner").

Setzt KBINE Unterauftragnehmer-Partner zur Erbringung eines Teils der Dienste ein, erkennt KBINE Folgendes an und verpflichtet sich:

• die volle Verantwortung für die Qualität der Leistung und die Einhaltung aller vertraglichen und regulatorischen Verpflichtungen, einschließlich derjenigen aus den AGB, durch seine Unterauftragnehmer zu tragen;

• sicherzustellen, dass jeder Unterauftragnehmer an Verpflichtungen gebunden ist, die mindestens denen von KBINE in Bezug auf Sicherheit, Vertraulichkeit, Betriebskontinuität und Datenschutz entsprechen;

• den Kunden unverzüglich über jeden neuen Unterauftragnehmer oder jedes Projekt zur Unterauftragsvergabe der Dienste und/oder über jede wesentliche Änderung derselben zu informieren, insbesondere wenn diese Änderung die Fähigkeit von KBINE beeinflusst, seinen Verpflichtungen aus den Verträgen nachzukommen; und

• dem Kunden auf schriftliche Anfrage hin innerhalb kürzester Frist ausreichende Informationen über die Unterauftragnehmer von KBINE zur Verfügung zu stellen, damit der Kunde seine Verpflichtungen nach DORA erfüllen kann.

Lokalisierung der Daten

(DORA Artikel 30 Absatz 2 Buchstabe b)

Der Kunde wird darüber informiert, dass die im Rahmen der Dienste verarbeiteten Daten von folgenden Orten aus bereitgestellt (und dort gespeichert) werden:

(i) dem Hauptsitz von KBINE, wie in den AGB beschrieben; und

(ii) dem Standort der Unterauftragnehmer von KBINE, wie in der Liste der Unterauftragsverarbeiter aufgeführt.

KBINE wird den Kunden über alle Änderungen der Orte, an denen die ausgelagerten Funktionen und Dienste erbracht werden, im Einklang mit dem in den AGB definierten Prozess für Aktualisierungen informieren

(i) der AGB oder

(ii) der Liste der Unterauftragsverarbeiter.

Sicherheit der Dienste

(DORA Art. 30 Abs. 2 Buchst. c und Art. 30 Abs. 3 Buchst. c)

KBINE verpflichtet sich, ein hohes Niveau an betrieblicher Sicherheit für alle Dienste aufrechtzuerhalten. Hierzu werden angemessene technische und organisatorische Maßnahmen umgesetzt, um zu gewährleisten:

(i) die Vertraulichkeit der Daten des Kunden (Verhinderung jedes unbefugten Zugriffs);

(ii) die Integrität und Authentizität der Daten (Verhinderung von Veränderung, Verfälschung oder Manipulation der verarbeiteten Daten und Gewährleistung, dass nur autorisierte Quellen Änderungen vornehmen können);

(iii) die Verfügbarkeit – der Dienste und der Daten, d. h. einen zuverlässigen und kontinuierlichen Zugang des Kunden zu seinem Arbeitsbereich und seinen Daten, mit Ausnahme geplanter, im Voraus vereinbarter Nichtverfügbarkeiten für Wartung oder Fälle höherer Gewalt.

KBINE wird alle Vorkehrungen treffen, um Dienstunterbrechungen zu minimieren, und eine proaktive Überwachung der Verfügbarkeit einrichten.

Service-Level

(DORA Art. 30 Abs. 2 Buchst. e und 30 Abs. 3 Buchst. a)

KBINE verpflichtet sich, die Dienste gemäß den mit dem Kunden vereinbarten Service-Leveln zu erbringen.

Die wichtigsten Leistungs- und Qualitätskennzahlen (insbesondere Verfügbarkeit, Performance, Support- und Störungsbehebungsfristen) sind in den AGB festgelegt.

KBINE stellt dem Kunden auf Anfrage einen Monitoring-Bericht zu den Service-Leveln zur Verfügung. Bei wiederholten erheblichen Verstößen gegen die SLA-Ziele kann der Kunde die im SLA vorgesehenen Maßnahmen anwenden (z. B. vereinbarte Nachlässe oder Vertragsstrafen) und, falls der Verstoß fortbesteht, sein Kündigungsrecht gemäß dem nachstehenden Artikel [Kündigung] ausüben.

Die Service-Level können in gegenseitigem Einvernehmen durch einen schriftlichen Nachtrag angepasst werden, um Änderungen der Bedürfnisse des Kunden oder des Dienstes unter Beachtung der geltenden Vorschriften zu berücksichtigen.

Zugriff, Wiederherstellung und Rückgabe der Daten

Die vom Kunden auf die Plattform hochgeladenen Daten werden von KBINE für die in folgenden Dokumenten genannten Aufbewahrungsfristen aufbewahrt:

(i) im Auftragsverarbeitungsvertrag, der in den AGB enthalten ist, und

(ii) in der Datenschutzerklärung.

Der Kunde kann seine Daten während der gesamten Vertragslaufzeit jederzeit über die auf der Plattform verfügbaren Standardfunktionen exportieren.

Innerhalb von zwei (2) Wochen nach dem effektiven Datum der Vertragsbeendigung stellt KBINE auf schriftliche Anfrage des Kunden kostenlos eine Datei mit dem Export der auf die Plattform geladenen Daten in einem Format zur Verfügung, das von gängigen, allgemein verfügbaren Softwareprodukten lesbar ist. Nach Ablauf dieser Frist und sofern die Daten nicht gemäß den geltenden Aufbewahrungsfristen gelöscht wurden, behält sich KBINE das Recht vor, angemessene Gebühren zur Deckung der Betriebskosten jeder weiteren Anfrage des Kunden zum Datenexport in Rechnung zu stellen.

Reversibilität und Vertragsende

(DORA Art. 30 Abs. 2 Buchst. d)

Bei Ablauf des Vertrags oder dessen Kündigung aus welchem Grund auch immer verpflichtet sich KBINE, die vollständige Reversibilität der Dienste zugunsten des Kunden oder eines von ihm benannten Dritten sicherzustellen. Zu diesem Zweck wird KBINE:

(i) dem Kunden alle ihm gehörenden oder zurechenbaren Daten (einschließlich personenbezogener Daten und sonstiger Geschäftsdaten) in einem nutzbaren Standardformat binnen zwei (2) Wochen ab dem effektiven Datum des Vertragsendes zurückgeben;

(ii) die vom Kunden angeforderte angemessene technische Unterstützung zur Erleichterung der Migration dieser Daten und des Übergangs zu einem anderen Anbieter oder einer internen Lösung zu im Voraus festgelegten finanziellen Bedingungen oder andernfalls ohne Aufpreis für die Standardvorgänge der Rückgabe leisten;

(iii) die Dienste auf Anfrage des Kunden während eines Übergangszeitraums von bis zu zwei (2) Wochen nach dem Vertragsende zu den Bedingungen des ursprünglichen Vertrags aufrechterhalten, um jegliche abrupte Unterbrechung der Aktivitäten des Kunden während der Migration zu vermeiden.

Während dieses Übergangszeitraums oder solange die Reversibilität nicht abgeschlossen ist, wird KBINE weiterhin alle seine vertraglichen Verpflichtungen (insbesondere in Bezug auf Sicherheit, Vertraulichkeit und Support) einhalten. Nach Ablauf des Übergangszeitraums oder sobald der Kunde angibt, dass die Reversibilität abgeschlossen ist, wird KBINE die endgültige Löschung aller noch auf seinen Systemen vorhandenen Daten des Kunden vornehmen.

Bei einer plötzlichen Einstellung der Tätigkeiten von KBINE (insbesondere aufgrund von Insolvenz, Liquidation oder anderen unvorhergesehenen Ereignissen) setzt KBINE seinen Betriebskontinuitätsplan um, um dem Kunden zu ermöglichen, seine Daten schnellstmöglich wiederherzustellen. KBINE wird sich bemühen, den Kunden im Vorfeld über jedes Risiko einer Einstellung seiner Tätigkeiten zu informieren, das die Kontinuität der Dienste beeinträchtigen könnte.

Kündigungsrecht des Kunden

(DORA Art. 30 Abs. 2 Buchst. h)

Unbeschadet anderweitig vorgesehener Kündigungsgründe (z. B. verlängerte höhere Gewalt, Ablehnung einer neuen kritischen Unterauftragsvergabe usw.) kann der Kunde diesen Vertrag vor dessen Ablauf rechtmäßig kündigen, falls KBINE eine seiner wesentlichen Verpflichtungen aus diesem Vertrag grob verletzt, durch Zustellung einer schriftlichen Mitteilung an KBINE.

Diese vorzeitige Kündigung wird nach Ablauf einer Kündigungsfrist von dreißig (30) Tagen wirksam, während derer KBINE versuchen kann, den Verstoß zu beheben, sofern dieser behebbar ist. Wird der Verstoß innerhalb dieser Frist zur angemessenen Zufriedenheit des Kunden behoben, kann der Kunde von seiner Kündigungsentscheidung Abstand nehmen.

Insbesondere stellen die folgenden Sachverhalte einen groben Verstoß von KBINE dar, der eine Kündigung durch den Kunden rechtfertigt: wiederholte Nichtverfügbarkeit oder Verschlechterung des Dienstes, die dem Kunden die normale Ausübung seiner Tätigkeiten nicht mehr erlaubt; Verlust oder Kompromittierung von Daten des Kunden durch KBINE; ein größerer Sicherheitsvorfall, der Mängel in den Schutzmaßnahmen offenbart; wiederholte Nichteinhaltung der vereinbarten Service-Level; Weigerung von KBINE, mit dem Kunden oder den Aufsichtsbehörden zusammenzuarbeiten; oder jede andere Tatsache, die Mängel von KBINE im IKT-Risikomanagement aufdeckt, die geeignet sind, den Kunden schwerwiegend zu gefährden.

Darüber hinaus kann der Kunde den Vertrag ohne Frist kündigen, wenn eine zuständige Aufsichtsbehörde (beispielsweise infolge von Maßnahmen gemäß der DORA-Verordnung) die Beendigung der Beziehung zu KBINE aus Gründen des Kundenschutzes, der Finanzstabilität oder der Nichtkonformität von KBINE verlangt. In einem solchen Fall verpflichtet sich KBINE, beim Übergang und bei der Reversibilität wie oben beschrieben vollumfänglich zu kooperieren.

Die vorzeitige Kündigung durch den Kunden erfolgt per Einschreiben mit Rückschein unter Angabe des Grundes. Sie begründet keinen Anspruch auf Entschädigung zugunsten von KBINE, unbeschadet der Vergütung der bis zum effektiven Datum des Vertragsendes erbrachten Dienste.

Sensibilisierung und Schulung

(DORA Art. 30 Abs. 2 Buchst. i)

Der Kunde kann KBINE höchstens einmal pro Jahr einladen, an seinen Programmen zur Sensibilisierung für IKT-Sicherheit oder zur Schulung in digitaler operativer Resilienz (IKT-Schulung) teilzunehmen, die für kritische externe Dienstleister bestimmt sind, soweit dies für die IKT-Dienste von KBINE relevant ist und ausschließlich für das Personal, dessen Rollen eine Interaktion mit den IKT-Systemen, -Protokollen und -Werkzeugen des Kunden erfordern.

Der Kunde muss seine Anfrage schriftlich mindestens einen (1) Monat vor Beginn jeder spezifischen IKT-Schulung an KBINE richten und darin Zeitpunkt und Dauer, eine Beschreibung des Sitzungsinhalts und der Ziele, etwaige Anforderungen an die Teilnehmer, die Durchführung online oder in Präsenz (nur falls keine Online-Teilnahme möglich ist) sowie den Ort angeben.

KBINE verpflichtet sich im zumutbaren Rahmen, bei solchen Initiativen zu kooperieren, um die Sicherheit des Dienstes zu stärken. Die Parteien kommen überein, dass die Teilnahme von KBINE an jeder IKT-Schulung von der Verfügbarkeit und Kapazität von KBINE abhängt.

Zusammenarbeit mit den zuständigen Behörden

Im Rahmen der Erbringung der IKT-Leistungen und -Dienste aus dem Vertrag verpflichtet sich KBINE, vollumfänglich mit den zuständigen Behörden und den Abwicklungsbehörden des Kunden zusammenzuarbeiten, einschließlich der von diesen Behörden benannten Personen.

Anwendbares Recht

Dieser Nachtrag unterliegt dem französischen nationalen Recht und den anwendbaren europäischen Verordnungen, auf die in diesem Dokument Bezug genommen wird, der DORA-Verordnung und den damit zusammenhängenden Regelungen.

Erklärt das Gericht Artikel dieses Nachtrags für ungültig, bleiben die übrigen Artikel in vollem Umfang in Kraft.

Die Bestimmungen dieses Nachtrags beruhen auf der DORA-Verordnung, ihren zusammenhängenden Bestimmungen, den technischen Durchführungsstandards (ITS) und den technischen Regulierungsstandards (RTS). Wird eines dieser Rechtsinstrumente geändert oder aufgehoben und eine Bestimmung dieses Nachtrags im anwendbaren regulatorischen Rahmen nicht mehr abgebildet oder gefordert, so findet diese Bestimmung keine Anwendung mehr. Die übrigen Bestimmungen dieses Nachtrags bleiben jedoch vollumfänglich in Kraft, sofern die Parteien nichts anderes vereinbart haben.