Suche 
Seit dem 17. Januar 2025 findet der „Digital Operational Resilience Act“ (DORA) in allen Mitgliedstaaten der EU Anwendung (Verordnung (EU) 2022/2554). Ziel dieser EU-Verordnung ist es, die IT-Sicherheit im Finanzsektor zu erhöhen. Hierzu wurde ein umfassender europäischer Rechtsrahmen geschaffen, der Unternehmen der Finanzbranche zur Implementierung einheitlicher Mindeststandards verpflichtet. Bei der Umsetzung von DORA sind auch wichtige arbeitsrechtliche Aspekte zu beachten.
Betroffene Unternehmen
Der Anwendungsbereich von DORA umfasst zum einen klassische Finanzunternehmen wie Banken, Versicherungen und Wertpapierfirmen. Dies sind in Deutschland im Wesentlichen Unternehmen, die der Aufsicht der BaFin unterliegen. Zum anderen reguliert DORA aber auch Dienstleister für Informations- und Kommunikationstechnologien (IKT), die Leistungen für Finanzunternehmen erbringen. Das betrifft vor allem – aber nicht nur – konzerninterne und -externe IT-Service-Provider.
Da es sich bei DORA um eine EU-Verordnung handelt, finden ihre Regelungen unmittelbar Anwendung. Einer Umsetzung in nationales Recht bedarf es, anders als bei EU-Richtlinien, nicht. Allerdings hat der deutsche Gesetzgeber im Finanzmarktdigitalisierungsgesetz (FinmadiG) eine Harmonisierung mit nationalen Vorschriften der Finanzmarktregulierung vorgenommen und dabei u.a. den Anwendungsbereich von DORA erweitert.
Wesentliche Regulierungsbereiche
Ziel der EU-Verordnung ist die Stärkung der digitalen Betriebsstabilität und der IT-Sicherheit im Finanzsektor. Hierzu normiert DORA Vorgaben und Pflichten für Unternehmen in folgenden wesentlichen Bereichen:
• IKT-Risikomanagement
• Behandlung, Klassifizierung und Berichterstattung IKT-bezogener Vorfälle
• Tests der digitalen operationalen Resilienz
• Management des IKT-Drittparteienrisikos
• Austausch von Informationen zu Cyberbedrohungen
Die Vorgaben der Verordnung sind jeweils im Einklang mit dem Grundsatz der Verhältnismäßigkeit anzuwenden. Insbesondere müssen die von den Unternehmen zu treffenden (aufsichtsrechtlicher Prüfung unterliegenden) Maßnahmen in einem angemessenen Verhältnis zu Größe und Risikoprofil des Unternehmens stehen.
Beteiligungsrechte des Betriebsrats
Die Umsetzung zwingender gesetzlicher Vorgaben ist grundsätzlich mitbestimmungsfrei möglich. Allerdings steht den Unternehmen bei der Umsetzung von DORA, insbesondere bei Maßnahmen des IKT-Risikomanagements, in der Regel ein Gestaltungsspielraum zu. Bei der Nutzung dieser Gestaltungsspielräume sind Beteiligungsrechte des Betriebsrats zu beachten. Diese können u.a. bei folgenden durch DORA veranlassten Maßnahmen bestehen:
Änderung von Arbeitsprozessen
DORA verpflichtet Finanzunternehmen u.a. dazu, einen umfassenden „IKT-Risikomanagementrahmen“ zu etablieren. Dieser muss Strategien, Richtlinien, Verfahren, IKT-Protokolle und -Tools vorsehen, um die IKT-Systeme angemessen zu schützen. Das kann Anpassungen bestehender (nicht DORA-konformer) Arbeitsverfahren und -abläufe erfordern. Hierüber hat das Unternehmen den Betriebsrat nach § 90 BetrVG rechtzeitig zu unterrichten und die geplanten Maßnahmen mit ihm zu beraten. Der Betriebsrat hat insoweit zwar kein „echtes“ Mitbestimmungsrecht. Die Nichtbeachtung der Vorgaben des § 90 BetrVG stellt jedoch eine bußgeldbewerte Ordnungswidrigkeit dar.
Nutzung von IT-Tools
Wesentliches Element des IKT-Risikomanagements ist der Einsatz geeigneter IT-Tools. Dieser wird durch DORA explizit vorgeschrieben. Bei solchen Tools handelt es sich in der Regel um technische Einrichtungen im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Bei deren Einführung, Anwendung und Änderung hat der Betriebsrat ein umfassendes Mitbestimmungsrecht. Ohne eine Einigung mit dem Betriebsrat – ggf. im Rahmen einer Einigungsstelle – können solche Tools nicht betriebsverfassungskonform eingesetzt werden. Dem sollte bereits bei der Aufstellung bzw. Anpassung des IKT-Risikomanagementrahmens, z.B. durch Abschluss einer geeigneten IT-Rahmenbetriebsvereinbarung, Rechnung getragen werden.
Anpassung von Arbeits- und Bereitschaftszeiten
DORA verpflichtet Finanzunternehmen zur Implementierung eines IT-Continuity-Managements, um auf IT-Vorfälle (z.B. Cyberangriffe oder Systemausfälle) schnell und wirksam reagieren zu können, Schäden zu begrenzen und eine rasche Wiederaufnahme der Tätigkeiten zu ermöglichen. Dies erfordert auch die Bereithaltung ausreichender personeller Ressourcen. Entsprechende Schicht- und Einsatzpläne, Bereitschaftsdienste etc. unterliegen der Mitbestimmung des Betriebsrats nach § 87 Abs. 1 Nr. 2 und 3 BetrVG. Auch insoweit empfiehlt es sich, frühzeitig Rahmenregelungen zu vereinbaren, um im „Ernstfall“ schnell handlungsfähig sein.
Einsatz von Fremdpersonal
Sind keine ausreichenden personellen Ressourcen im Unternehmen vorhanden, muss zur Erfüllung der gesetzlichen Anforderungen u.U. ergänzend auf Fremdpersonal (IT-Berater, Freelancer, Zeitarbeitnehmer etc.) zurückgegriffen werden. Arbeitsrechtlich kann ein Fremdpersonaleinsatz auf vielfältige Weise umgesetzt werden. Abhängig von der konkreten Ausgestaltung sind dabei die Beteiligungsrechte des Betriebsrats nach § 99 und § 80 Abs. 2 BetrVG zu beachten.
Schulungen
Finanzunternehmen werden nach DORA ausdrücklich verpflichtet, Schulungen zur IKT-Kompetenz und zur digitalen operationalen Resilienz zu entwickeln und durchzuführen. In diese Schulungen sind nicht nur Beschäftigte und Führungskräfte des Finanzunternehmens, sondern ggf. auch beauftragte IT-Dienstleister und deren Beschäftigte einzubeziehen. Bei Schulungs- und Fortbildungsmaßnahmen – soweit sie nicht ausschließlich Mitglieder des Leitungsorgans oder leitende Angestellte betreffen – hat der Betriebsrat umfangreiche Beteiligungs- und Mitbestimmungsrechte nach den §§ 96 ff. BetrVG.
Weitere arbeitsrechtliche Aspekte
Neben Beteiligungsrechten des Betriebsrats sind bei der Umsetzung von DORA weitere arbeitsrechtliche Aspekte zu beachten. Diese können hier nicht vollständig dargestellt werden. Auf folgende praxisrelevante Gesichtspunkte soll aber kurz hingewiesen werden:
Arbeitsverträge mit IT-Personal
Mit den durch DORA begründeten Anforderungen an das IKT-Risikomanagement steigen auch die Anforderungen an das IT-Personal in Finanzunternehmen. Dies gilt sowohl hinsichtlich der Arbeitsaufgaben als auch in Bezug auf die Umstände, unter denen die Arbeitsleistung zu erbringen ist (z.B. flexible Arbeitszeiten). Die üblichen Standard-Vertragsmuster tragen dem oft nur unzureichend Rechnung. Es empfiehlt sich daher, diese mit Blick auf die neuen regulatorischen Vorgaben zu überprüfen und im Bedarfsfall anzupassen.
Verantwortlichkeit für die IT-Compliance
DORA weist dem Leitungsorgan des Finanzunternehmens (Vorstand oder Geschäftsführung) umfangreiche und detaillierte Compliance-Pflichten sowie die Gesamtverantwortung für das IKT-Risikomanagement zu. Die bislang in der Praxis verbreitete Delegation von IT-Compliance-Pflichten auf einzelne Mitglieder des Leitungsorgans (CIO) oder nachgeordnete Führungskräfte (IT-Leitung) dürfte damit nicht (mehr) ohne Weiteres vereinbar sein. Dies erfordert eine Prüfung und ggf. Anpassung bestehender Compliance-Regularien, Delegationskonzepte und Anstellungsverträge mit Organmitgliedern und Führungskräften.
Arbeitnehmer-Datenschutz
Ein zentraler Regelungsbereich von DORA ist das Management von IKT-Dienstleistern. Dabei geht es in erster Linie darum, operationelle Risiken im Zusammenhang mit der Einbindung von IKT-Dienstleistern zu erkennen und zu vermeiden. Hierzu macht DORA u.a. konkrete Vorgaben für Form und Inhalt von Verträgen mit Dienstleistern. Ausdrücklich erwähnt wird hierbei auch das Erfordernis, die Datenschutzvorschriften der EU – namentlich die DSGVO – einschließlich des Schutzes personenbezogener Daten einzuhalten. Hierunter fallen auch personenbezogene Daten von Beschäftigten des Finanzunternehmens. Hierauf ist sowohl bei der Vertragsgestaltung zwischen Finanzunternehmen und Dienstleister als auch der späteren Vertragsumsetzung besonderes Augenmerk zu legen, um die Einhaltung der DORA-Vorgaben zu gewährleisten.
Fazit
Mit DORA hat der europäische Gesetzgeber ein umfangreiches Regelungswerk zur Verbesserung IT-Sicherheit im Finanzsektor geschaffen. Die neuen regulatorischen Vorgaben bringen nicht nur technische und organisatorische Herausforderungen mit sich, sondern haben auch erhebliche arbeitsrechtliche Implikationen. Unternehmen der Finanzbranche sind gut beraten, diese bei der Ausgestaltung ihres IT-Risikomanagements im Blick zu behalten, um eine ordnungsgemäße Umsetzung von DORA sicherzustellen.
