DORA ist eine EU-Verordnung, die seit 17.01.2025 gilt und die digitale Betriebsstabilität im Finanzsektor regelt. Betroffen sind: Banken, Versicherungen, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister, Krypto-Dienstleister, kritische IT-Dienstleister, die für Finanzunternehmen tätig sind. Bezweckt wird, Finanzsysteme auch bei Cyberangriffen, IT-Ausfällen oder Drittanbieterproblemen funktionsfähig zu erhalten.
Bedeutung für Unternehmen
DORA verlangt fünf zentrale Pflichtbereiche:
(1) IT-Risikomanagement: Unternehmen müssen nachweisen, dass sie:
- Cyberrisiken erkennen,
- Angriffe abwehren,
- Systeme regelmäßig testen und
- Notfallpläne haben.
Es besteht die Pflicht, dokumentierte IT-Strategien und Verantwortlichkeiten, mithin Governance-Strukturen vorzuhalten.
(2) Vorfälle melden: Schwere IT-Sicherheitsvorfälle müssen innerhalb von 4 Stunden gemeldet werden. Das bedeutet, Meldewege, Prozesse und Verantwortliche müssen implementiert sein.
(3) Resilienz-Tests: Es müssen regelmäßige technische Tests durchgeführt werden, wie Penetrationstests, Krisenübungen, Wiederanlauftests. Diese Tests müssen bei wichtigen Unternehmen durch externe unabhängige Prüfer erfolgen.
(4) Drittanbieter-Kontrolle: Es genügt nicht, selbst sicher zu sein; auch die IT-Dienstleister müssen überwacht werden, insbesondere Cloud-Provider, Softwareanbieter, kritische Outsourcing-Partner. Das bedeutet, dass Verträge müssen DORA-konform gestaltet werden müssen.
(5) Informationsaustausch: Unternehmen dürfen Informationen über Cyberangriffe austauschen, um sich besser zu schützen.
Bedeutung für Verbraucher
Verbraucher und Kunden profitieren von DORA, v.a. durch mehr Sicherheit. Denn Online-Banking, mobile Zahlungssysteme, Versicherungsportale und digitale Geldanlage sollen auch bei Cyberangriffen zuverlässig funktionieren. Durch den Schutzzweck der Ausfallsicherheit soll verhindert werden, dass Systeme einfach „offline“ gehen. Zudem gibt es schnellere Reaktionen bei Störungen. Dies wirkt sich positiv auf die Risikomatrix aus, weil die Gefahr für Datenverlust oder Zahlungsausfälle sinkt.
Sofern Unternehmen Compliance-Verstöße begehen, können Schadensersatzansprüche entstehen und aufsichtsrechtliche Maßnahmen verhängt werden, z.B. durch Geldbußen.
Letztlich verbessert sich die rechtliche Kundenposition bei IT-Schäden im Finanzsektor.
Warum ist anwaltliche Beratung sinnvoll?
DORA ist juristisch und technisch anspruchsvoll. Anwaltliche Beratung hilft insbesondere bei:
der Bewertung der eigenen Verpflichtungen
der Einordnung konkreter Rechtspflichten
der Erfassung von vorgeschriebenen Tests
der Geltung von Meldepflichten
der Sanktionen-Prüfung
der Etablierung von GRC-Strukturen (Governance, Risk & Compliance)
der Integration des Pflichtenkataloge in CMS (Compliance Management Systeme, in Anlehnung an ISO 37301)
der Stärkung von Awareness im „Dialog der Fachabteilungen“, einer spezifischen Jordan & Wagner-Methodik und z.B. dem Aufbau interner Prozesse und von IT-Compliance-Handbüchern
der Vertragsprüfung mit IT-Dienstleistern, u.a. Audit-Rechte, Exit-Strategien, Daten-Lokalisierung, Subdienstleister-Kontrolle, Risiko- und Resilienzanforderungen
der Prüfung von Haftungsszenarien und des Risikomanagements
der Anspruchsprüfung bei IT-Vorfällen, Cyberattacken, z.B. Auskunfts-, Erstattungs- und Schadensersatzansprüchen: Beispiel: Haftet die Bank bei einem Cyberangriff oder Systemausfall?
der Gewährleistung von Incident-Response-Plänen, Meldeprozessen und Policies
der Kommunikation mit Aufsichtsbehörden (wie BaFin, EZB, EBA)
der Absicherung des Reputationsschutzes.
Ansprechpartner
DORA verpflichtet Finanzunternehmen zu starken IT-Sicherheits- und Cyberrisikostandards und bezweckt Stabilität für Unternehmen und Verbraucher. Anwaltliche Beratung ist notwendig, da komplexe Pflichten, technische Anforderungen und Haftungsrisiken eröffnet werden, insbesondere bei IT-Verträgen, Vorfallmeldungen und Governance.
Ihre Ansprechpartner bei Jordan & Wagner: Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Marzia Carla Iosini, LL.M., Dr. Arnd-Christian Kulow, Mathias Lang, LL.M.
Der Data Act (DA) schafft europaweit verbindliche Regeln, wer wann Zugang zu Daten hat, wie sie geteilt werden müssen und welche Vertragspraxis unzulässig ist.
Praktischer Regelungsinhalt und Inkrafttreten
Der DA trat am 11.01.2024 in Kraft; die Vorschriften gelten jedoch (weitestgehend) erst seit dem 12.09.2025. Der praktische Regelungsinhalt bezieht sich auf Daten aus vernetzten Produkten, IoT, B2B-, B2C-Sharing. Der DA bezweckt eine faire Wettbewerbsordnung für Cloud-/Datenmärkte.
Nutzerdaten aus vernetzten Produkten (IoT): Anwender von Smart-Geräten, wie beispielsweise Maschinen, Fahrzeuge, Smart-Home, erhalten Rechte, die Daten, die durch ihre Nutzung entstehen, selbst abzurufen und an Dritte weiterzugeben (z.B. Werkstatt, Dienstleister, 3rd-party analytics). Damit sollen neue Service- und Wettbewerbsoptionen generiert werden im Sinne der Digitalen Strategie Europas.
B2B-Datenzugriff für Wartung und Predictive Maintenance: Hersteller bzw. Betreiber müssen Daten in besonderen Fallkonstellationen an Vertragspartner bereitstellen, etwa zur Fernwartung oder Systemoptimierung
Öffentliche Stellen (B2G): Behörden können in speziellen Fällen Zugang zu Daten, bspw. für Notfälle, Katastrophenschutz, kritische Infrastruktur (KRITIS) verlangen, wobei zu beachten ist, dass Prozesse und Ausgleichsmechanismen statuiert werden.
Daten-/Wettbewerbsrecht durch Vertragskontrolle und Verbot unfairer Klauseln: Großanbieter dürfen kleine und mittlere Unternehmen (KMU) nicht mehr vertraglich den Zugang zu Daten oder die Weitergabe unbillig erschweren. Vertragliche „Take-it-or-leave-it“-Klauseln sind verboten. In diesem Kontext sind auch Regelungen zu nennen, die mehr Cloud-Fairness bringen sollen, wie etwa rechtstechnische Aspekte für die Portierung.
Intermediäre / Datentreuhänder und Standard-APIs: Für Datenvermittler (Intermediaries) bestehen Pflichten für standardisierte, maschinenlesbare Formate/APIs. Ziel ist es, Portabilität und Interoperabilität zu fördern.
Pflichten und Risikomatrix für Unternehmen
Der DA bringt Pflichtenkataloge mit. Diese führen zur Empfehlung, eine DA-Risikomatrix vorzunehmen:
Datenzugriffs-/Bereitstellungspflichten: Wer Daten „hält“, muss Anfragen prüfen und ggf. maschinenlesbar liefern (ggf. gegen angemessene Entschädigung).
Dokumentations- und Transparenzpflichten: Abläufe, Sicherheitsmaßnahmen, Formatangaben, Vergütungsstrukturen müssen einer Dokumentation zugeführt werden.
Vertragsmanagement: Rahmen-, Liefer-, Serviceverträge, AGB müssen auf die Verbote unfairer Klauseln und die neuen Zugangspflichten angepasst werden.
Compliance und Sanktionsrisiko: Unternehmen berücksichtigen, dass es nationale Durchsetzungsmechanismen und Bußgelder gibt.
Handlungsempfehlungen für Unternehmen
Unternehmen wird dringend empfohlen, folgende Data Act-Agenda zu berücksichtigen:
Rechtssichere Rollen-/Pflichtzuweisung: Der Data Act definiert Rollen (Data-holder, Data-recipient, User, Intermediary). Zur Vermeidung von Pflichten- und Haftungsfallen bedarf es einer GAP-Analyse.
Vertrags- und IP-Risiken (Trade Secrets): Datenfreigabe kann Geschäfts- und Betriebsgeheimnisse tangieren. Daher müssen rechtstechnische Lösungen entwickelt werden, wie etwa zur Daten-Minimierung, technische Safeguards etc.
Technik und Prozesse: Daten müssen in strukturierten, standardisierten Formaten bereitstellbar sein. Unternehmen haben technische Anpassungen (APIs, Auth, Logging) sicherzustellen.
Compliance und Dokumentations-/Rechenschaftspflichten: Dokumentation, zu Prozessen, Datenschutzfolgenabschätzungen und technischen Sicherheitsmaßnahmen sind wesentliche Pflichtprogramme. Denn Behördenprüfungen und zivilrechtliche Ansprüche machen belastbare Nachweise notwendig.
Ihre Ansprechpartner bei Jordan & Wagner für Beratung und Compliance-Checks:
Seit 25 Jahren Ihre Schnittstelle zwischen Recht, Technologie und Management
Mit großer Freude haben wir gemeinsam mit unseren Mandanten, Freunden und Familien am 25.09.2025 in der WARANGA Bar & Clublounge am Kleinen Schloßplatz unser 25jähriges Kanzleijubiläum gefeiert. Professor Dr.-Ing. Stefan Waitzinger hat in seinem spannenden Impulsvortrag das Thema „KI-Roboter im Alltag“ vorgestellt und Chancen und Risiken beleuchtet.
KI-Roboter erobern die Cloud-geprägte digitale Transformation bei der Software-Architektur, bei Business-Applikationen, im globalen E-Commerce. Die bisherigen technischen und organisatorischen Sicherungsmaßnahmen des Datenschutzes aus dem Modell von Art. 32 DSGVO mit dem Schutz der Verschlüsselung kommen beim Einsatz von autonomen KI-Systemen, d. h. Software-Agenten, an ihre Grenzen. Rechtsanwalt Dr. Thomas A. Degenund Prof. Dr.-Ing. Stefan Waitzingerbeleuchten die hoch aktuelle Thematik in der Fachzeitschrift K&R 2025, 556-563 unter dem Titel "KI-Roboter in der Cloud – KI-Agentensysteme und Datenschutz". Behandelt werden die technischen und regulatorischen Herausforderungen für die Unternehmenspraxis.
Bei der Wahl zur Vertreterversammlung des Versorgungswerks der Rechtsanwälte in Baden-Württemberg (K.d.ö.R.) wurde Rechtsanwalt Dr. Thomas A. Degen aus dem Kammerbezirk Stuttgart am 13.05.2025 als Mitglied der Vertreterversammlung von den Rechtsanwältinnen und Rechtsanwälten im Kammerbezirk gewählt. Die Vertreterversammlung trat am 04.07.2025 zu ihrer neuen konstituierenden Sitzung zusammen. Die Vertreterversammlung besteht aus 30 Mitgliedern des Versorgungswerks. Die Zahl der Vertreter aus den einzelnen Kammerbezirken bestimmt das Justizministerium nach dem Verhältnis der dem Versorgungswerk angehörenden Mitglieder der Rechtsanwaltskammern in Baden-Württemberg (§ 3 Rechtsanwaltsversorgungsgesetz - RAVG).
Die Vertreterversammlung des Versorgungswerks der Rechtsanwälte in Baden-Württemberg ist das höchste Selbstverwaltungsorgan und trifft Entscheidungen von grundlegender Bedeutung, darunter die Beschlussfassung über die Satzung und andere autonome Rechtsvorschriften, den Haushalt, die Feststellung des Jahresabschlusses sowie die Wahl und Überwachung des Vorstands.
Statement Dr. Thomas A. Degen: "Ich danke allen Kolleginnen und Kollegen aus der Anwaltschaft, die mir Ihr Vertrauen geschenkt haben. Ich setzte mich für Transparenz, Digitalisierung, Bürokratieabbau und Versorgungssicherheit ein. Die freie Advokatur ist die Basis für Gerechtigkeit und Freiheit. Unser Versorgungswerk sichert die freie Anwaltschaft."
OLG Frankfurt a. M., Urteil vom 18.3.2025 – 11 U 33/24 (GRUR-Prax 2025, 424)
Das OLG Frankfurt a. M. hat eine praxisrelevante Entscheidung getroffen zum Urheberrecht, Verlags- und Designrecht sowie EU-Zivilverfahrensrecht (Urteil v. 18.3.2025 – 11 U 33/24).
Exportkontrolle für Hersteller, Händler, E-Commerce-Unternehmer
Der amerikanische Präsident hat bei seinem Staatsbesuch in Saudi-Arabien am 13.05.2025 angekündigt, die Sanktionen gegen Syrien vollständig abzuschaffen. Das wäre nach vielen Jahren des quasi-Totalembargos ein großer Schritt. Sollten die Sanktionen wirklich beendet werden, wird dies eine erhebliche wirtschaftliche Chance für den Staat Syrien sein, um zu einer wirtschaftlichen Stabilität zu gelangen.
Auch europäische Unternehmen könnten dann vermehrt in Syrien investieren. Bislang war es Nicht-US Unternehmen aus Drittstaaten (zum Beispiel Deutschland) wegen des sog. US-Re-Exportrechts de facto untersagt, mit Syrien wirtschaftliche Beziehungen einzugehen. Sie liefen Gefahr, vom Handel mit den USA ausgeschlossen oder zumindest sanktioniert zu werden. Es bleibt spannend, ob und wie der amerikanische Präsident seine Zusage erfüllt. Tut er dies, so wird dies auch für die deutsche Wirtschaft zu erheblichen Chancen in Syrien führen.
KI-Projekte datenschutzkonform planen und kontrollieren
Diese hochaktuelle Praxisthematik der künstlichen Intelligenz (KI) mit Grundlagen, Analyse und Framework für Projektsteuerung und Risikomatrix wird von Dr. Thomas A. Degen und Prof. Dr.-Ing. Stefan Waitzinger behandelt. In der Fachzeitschrift apf (Zeitschrift für die staatliche und kommunale Verwaltung), apf 4/2025, S. 109 ff. stellen Degen/Waitzinger im zweiten Teil des Beitrags die KI-Technologien, Projekt-Parameter und Spezifika bei Bundes-, Landes- und Kommunalbehörden heraus.
Der Justizstandort Deutschalnd wird immer digitaler. In der 3. Auflage des Buches "Elektronischer Rechtsverkehr" werden die aktuellen Technik- und Rechtsenwicklungen behandelt wie beA-Mobil, beSt, KI, OZG, eIDAS 2.0, NIS2.
