In verschiedenen Foren ist die Frage aufgekommen, ob DORA auch im Verhältnis zwischen Vermögensverwalter und Depotbank eine Rolle spielt. So wurde diskutiert, ob die klassische Depotbankdienstleistung für die Kunden eines externen Vermögenverwalters als IKT-Dienstleistung im Sinne der DORA-Verordnung zu qualifizieren sei. Die Frage ist nicht ganz einfach zu beantworten, wir glauben aber, dass dies nicht der Fall ist.
Die IT spielt im Verhältnis zwischen Vermögensverwalter und Depotbank eine große Rolle. Meistens können Vermögensverwalter auf die Systeme der Depotbank zugreifen und daraus Konto- und Depotstände, Transaktionen der Vergangenheit, Performancedaten, Orderhistorie und ähnliche Daten einsehen oder sogar herunterladen, vielleicht sogar bei der Depotbank speichern.
Ob dadurch eine sogenannte IKT-Dienstleistung im Sinne der DORA-Verordnung erbracht wird, ist von ganz erheblicher Relevanz. Nach Art. 28-30 der DORA-Verordnung muss ein Institut einen IKT-Dienstleister besonders sorgfältig auswählen, ihn laufend überwachen und für die Vereinbarung zwischen Institut und IKT-Dienstleister sind bestimmte Vertragsinhalte vorgeschrieben. Würde die Tätigkeit der Depotbank für den Vermögensverwalter darunterfallen, bedeutete dies eine ganz erhebliche Ausweitung der vertraglichen Verpflichtungen und erhöhte Komplexität in diesem Verhältnis.
Insofern ist die Definition in Art. 3 Ziff. 21 der DORA-Verordnung für sogenannte IKT-Dienstleistungen natürlich tückisch:
„21. „IKT-Dienstleistungen“ digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; […]“
Aus dem Wortlaut lässt sich keine klare Abgrenzung herleiten. Auf den ersten Blick fallen auch IT-technisch unterstützte Depotführungsdienste, die unter Einsatz internetgestützter und elektronischer Übertragungssysteme bereitgestellt werden, möglicherweise in den Anwendungsbereich.
Die Einführungsbemerkungen aus der DORA-Verordnung legen eine weite Auslegung nahe. Um ein hohes Niveau an digitaler operationaler Resilienz im gesamten Finanzsektor aufrechtzuerhalten, wird in den Einführungsbemerkungen der DORA gefordert, den Begriff der IKT-Dienstleistung weit auszulegen. Es sollen alle digitalen Dienste und Datendienste erfasst werden, die über IKT-Systeme den Nutzern der Bank zur Verfügung gestellt werden. Die Verordnung soll für ein breites Spektrum von IKT-Dienstleistungen gelten, damit in den Finanzunternehmen alle Arten von Risiken aus IKT-Dienstleistungen wirksam und kohärent ermittelt und gemanagt werden.
Insofern gab es Stimmen, die der Meinung waren, dass internetgestützte Datendienste der Depotbank für Vermögensverwalter als IKT-Dienstleistung einzustufen wären.
Erfreulicherweise sind dem aber die Europäischen Aufsichtsagenturen EBA, EIOPA und ESMA entgegengetreten. Nicht alle Kooperationen zwischen Finanzintermediären sollten in den Anwendungsbereich der DORA-Verordnung fallen.
Auf die Frage, welche Art von Diensten auf der Grundlage der Definition von Art. 3 Abs. 21 DORA als IKT-Dienste betrachtet werden sollten, antworte die EIOPA am 14. Februar 2024 (Frage-ID: 2999-DORA030, Stellungnahme des EIOPA ):
„Finanzdienstleistungen können eine IKT-Komponente umfassen. Für den Fall, dass Finanzunternehmen IKT-Dienstleistungen für andere Finanzunternehmen im Zusammenhang mit ihren Finanzdienstleistungen erbringen, sollten die empfangenden Finanzunternehmen bewerten, ob i) die Dienstleistungen eine IKT-Dienstleistung im Sinne von DORA darstellen und ii) ob die bereitstellenden Finanzunternehmen und die von ihnen erbrachten Finanzdienstleistungen nach Unionsrecht oder nationalen Rechtsvorschriften eines Mitgliedstaats oder eines Drittlands reguliert sind. Wenn beide Tests positiv sind, sollte die betreffende IKT-Dienstleistung überwiegend als Finanzdienstleistung betrachtet und nicht als IKT-Dienstleistung im Sinne von Artikel 3 Absatz 21 des DORA-Übereinkommens behandelt werden.
Wird die Dienstleistung von einem beaufsichtigten Finanzunternehmen erbracht, das beaufsichtigte Finanzdienstleistungen erbringt, aber nicht mit diesen beaufsichtigten Finanzdienstleistungen verbunden oder von ihnen unabhängig ist, sollte die Dienstleistung als IKT-Dienst gemäß Artikel 3 Absatz 21 DORA betrachtet werden.“
Da die Depotbanktätigkeit in Deutschland klar reguliert ist, nämlich als Depotgeschäft oder Finanzkommissionsgeschäft, ist der Schluss klar: Das Depotbankverhältnis zwischen der verwahrenden Depotbank, die das Kundendepot führt, und dem Vermögensverwalter muss als Finanzdienstleistung betrachtet werden und nicht als IKT-Dienstleistung im Sinne der DORA-Verordnung.
Wir können also davon ausgehen, dass die DORA auf das Verhältnis zwischen Depotbank und Vermögensverwalter keine Anwendung finden soll.
Das Ergebnis ist zu begrüßen und erleichtert das Verhältnis zwischen Depotbank und Vermögensverwalter. Juristisch und rechtspolitisch ist das Ergebnis natürlich komisch. Der Europäische Gesetzgeber stellt eine relativ komplizierte und wenig griffige Definition auf und später stellt man fest, dass dies zu Ergebnissen führt, die eigentlich niemand will. Ohne große juristische Gewissensbisse kurven dann die Aufsichtsbehörden einfach wieder aus dem Anwendungsbereich wieder heraus.
Aber wie sagt man so schön, „Einem geschenkten Gaul schaut man nicht ins Maul“, wir nehmen das Ergebnis gern wie es ist.
Gerne stehen wir Ihnen für Rückfragen zur Verfügung.
Mit den besten Grüßen
Ihr
Dr. Christian Waigel
Rechtsanwalt