Laut den Analysen von Prof. Stefan Loubichi besteht zwischen dem EU Data Act und DORA eine komplementäre und synergetische Beziehung, die darauf abzielt, die digitale Infrastruktur des Finanzsektors sowohl sicher als auch flexibel zu gestalten.
Hier sind die zentralen Punkte ihres Zusammenhangs im Detail:
1. Komplementäre Zielsetzungen: Schutz vs. Souveränität
Loubichi unterscheidet klar zwischen den Schwerpunkten beider Verordnungen:
- DORA (Digital Operational Resilience Act): Konzentriert sich primär auf die digitale operationale Resilienz und Cybersicherheit. Es geht darum, kritische Funktionen vor Ausfällen, Störungen und Angriffen zu schützen und die Geschäftskontinuität sicherzustellen.
- Data Act: Fokussiert auf die Datensouveränität, den Datenzugang und die Portabilität. Er regelt, wer unter welchen Bedingungen Zugang zu Daten erhält und stellt sicher, dass Dienstleister unter fairen Bedingungen gewechselt werden können.
2. Der Data Act als Instrument der Resilienz
Ein wesentlicher Zusammenhang besteht darin, dass der Data Act die Ziele von DORA unterstützt. Laut Loubichi fungiert der Data Act als Resilienzinstrument, da er durch die Verpflichtung zur Portabilität und Interoperabilität den sogenannten „Vendor Lock-in“ (Anbieterabhängigkeit) bekämpft. Indem Institute in der Lage sind, ihre Daten und Anwendungen leichter zu anderen Anbietern oder in eigene Umgebungen zu migrieren, wird die im DORA geforderte Ausstiegsstrategie (Exit Strategy) erst technisch und wirtschaftlich realisierbar.
3. Integriertes Governance-Modell
Loubichi fordert, dass Unternehmen beide Regimes nicht isoliert betrachten dürfen. Er schlägt ein integriertes Governance-Modell vor, bei dem IT-Risikomanagement (DORA) und Daten-Governance (Data Act) auf derselben organisatorischen Ebene gesteuert werden. Dies bedeutet beispielsweise, dass ein Chief Data Officer (CDO) für die Zugangsrechte nach dem Data Act verantwortlich ist, während der Chief Information Security Officer (CISO) sicherstellen muss, dass diese Zugänge die Sicherheitsvorgaben von DORA nicht kompromittieren.
4. Neue Rolle der IKT-Dienstleister
Durch das Zusammenspiel beider Gesetze ändert sich der Status von IKT-Dienstleistern grundlegend. Sie sind nicht mehr nur „rein vertraglich gebundene Partner“, sondern werden zu direkten Adressaten der Finanzaufsicht. Kritische Dienstleister müssen sowohl die Sicherheits- und Inspektionspflichten von DORA erfüllen als auch die Transparenz- und Bereitstellungspflichten des Data Act gegenüber Kunden und Behörden einhalten.
5. Verzahnung in der Praxis (SLAs und RTS)
Die technischen Standards von DORA (Regulatory Technical Standards, RTS) und die Anforderungen des Data Act fließen in der praktischen Umsetzung zusammen:
- Verträge: Service Level Agreements (SLAs) müssen nun Elemente beider Welten enthalten, wie etwa garantierte Datenexportfristen (Data Act) kombiniert mit Incident-Reporting-Pflichten (DORA).
- Krisenmanagement: In Notfällen wie schweren Cyberangriffen greifen beide Regimes ineinander: Während DORA die Reaktion auf den Vorfall steuert, ermöglicht der Data Act Behörden bei „außergewöhnlichem Bedarf“ den schnellen Zugriff auf notwendige Daten zur Stabilisierung des Marktes.
Zusammenfassend markiert die Verbindung dieser Gesetze laut Loubichi einen Paradigmenwechsel: Weg von der reinen Frage „Wie schütze ich meine Daten?“ (DORA) hin zu der Frage „Wer darf wie auf meine Daten zugreifen und wie bleibe ich unabhängig?“ (Data Act).
