a person using a wooden stamp
Photo by Anna Tarazevich on Pexels.com
Posted inIT IT Audit / Compliance / Security

Welche Sanktionen drohen Dienstleistern bei Verstößen gegen Notfallpläne von DORA und dem EU Data Act?

Bei Verstößen gegen die regulatorischen Anforderungen – insbesondere im Kontext von DORA und dem EU Data Act – drohen kritischen IKT-Dienstleistern tiefgreifende finanzielle und aufsichtsrechtliche Konsequenzen.

Gemäß den Quellen und den Analysen von Prof. Loubichi lassen sich die Sanktionen wie folgt konkretisieren:

1. Finanzielle Bußgelder unter DORA

Für kritische IKT-Dienstleister sieht das Sanktionsregime der DORA-Verordnung (Digital Operational Resilience Act) erhebliche Geldbußen vor. Bei Verstößen gegen die Anforderungen an das Risikomanagement, die Resilienzplanung oder die Informationspflichten können die Aufsichtsbehörden administrative Bußgelder verhängen:

  • Höhe der Bußgelder: Bis zu 6 % des weltweiten Jahresumsatzes des Dienstleisters oder 10 Millionen EUR, je nachdem, welcher Betrag höher ist.

2. Aufsichtsrechtliche Maßnahmen

Dienstleister verlieren ihren Status als „unregulierte Partner“ und werden zu direkten Adressaten der Finanzaufsicht (EBA, ESMA, EIOPA). Die Behörden verfügen über weitreichende Befugnisse:

  • Inspektionsrechte: Dienstleister müssen den Behörden Zugang zu ihren Systemen, der Dokumentation und dem Personal gewähren.
  • Auflagen zur Resilienz: Die Aufsicht kann die Einhaltung technischer Standards und spezifische Maßnahmen zum IKT-Risikomanagement erzwingen.
  • Standortbeschränkungen: Die Verlagerung kritischer Funktionen in Drittstaaten kann untersagt werden.

3. Konsequenzen nach dem EU Data Act

Unternehmen, die die Umsetzung des Data Act verzögern oder gegen dessen Bestimmungen verstoßen (z. B. durch Verweigerung des Datenzugangs in Krisenzeiten oder Blockierung der Portabilität), riskieren laut den Quellen:

  • Aufsichtsrechtliche Sanktionen: Die Nichtbeachtung der Datenbereitstellungspflichten führt zu Compliance-Lücken, die von den zuständigen Behörden sanktioniert werden.
  • Nichtigkeit von Vertragsklauseln: Unfaire Vertragsklauseln, die den Datenzugriff unrechtmäßig einschränken oder überhöhte Wechselgebühren vorsehen, können von Aufsichtsbehörden oder in gerichtlichen Verfahren für nichtig erklärt werden.

4. Strategische und operative Risiken

Über die formalen Strafen hinaus betonen die Quellen, dass eine mangelhafte Umsetzung der Notfall- und Exit-Pläne zu weiteren Schäden führen kann:

  • Haftungsrisiken: IKT-Dienstleister können gegenüber ihren Kunden (Finanzinstituten) haftbar gemacht werden, wenn Datenverluste oder -beschädigungen auftreten.
  • Wettbewerbsnachteile: Werden Compliance-Anforderungen nicht erfüllt, riskieren Dienstleister den Verlust ihres Status als „kritischer Partner“ für regulierte Finanzmarktakteure.

Zusammenfassend stellt Prof. Loubichi fest, dass die Zeit für die Vorbereitung begrenzt ist, da der Data Act ab dem 12. September 2025 unmittelbar für neue Verträge bindend ist und Verzögerungen direkte Sanktionen nach sich ziehen können.