Aufsichtsrechtliche Zusatzvereinbarung mit nicht-kritischen/nicht-wichtigen IKT-Drittdienstleistern
Präambel
- Das Institut hat mit dem IKT-Drittdienstleister einen Hauptvertrag zur Nutzung der Predium SaaS-Plattform (im Folgenden „IKT-Vertrag”) abgeschlossen. Gegenstand dieses IKT-Vertrages sind nicht-kritische oder nicht-wichtige IKT-Dienstleistungen, welche der IKT-Drittdienstleister gegenüber dem Institut erbringt.
- Für das Institut gelten die Rechtsvorschriften DORA, sowie der RTS TPPol und der RTS-E SUB, welche vorschreiben, dass Verträge mit IKT-Drittdienstleistern bestimmte Mindestinhalte vorsehen müssen. Vor diesem Hintergrund schließen das Institut und der IKT-Drittdienstleister diese „Aufsichtsrechtliche Zusatzvereinbarung“, die den IKT-Vertrag ergänzt und diesem im Falle eines Widerspruchs vorgeht.
§ 1 IKT-Dienstleistung
- Die von dem IKT-Drittdienstleister gegenüber dem Institut zu erbringenden Funktionen und IKT-Dienstleistungen sind im Hauptvertrag und den Anlagen des IKT-Vertrages vollständig beschrieben.
- Regelungen zur Dienstleistungsgüte sowie weiterer Rechte und Pflichten finden sich in dem IKT-Vertrag sowie den jeweiligen Anlagen. Die Regelungen zur Dienstleistungsgüte geben insbesondere vor, an welchen Leistungszielen sich der IKT-Drittdienstleister in Bezug auf die Vorgaben zur Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität, betreffend die von ihm zur Verfügung gestellten IKT-Dienstleistungen und Funktionen messen lassen muss.
§ 2 Standorte
- Die im IKT-Vertrag vereinbarten oder an Unterauftragnehmer vergebenen Funktionen und IKT-Dienstleistungen sind in den nachfolgend benannten Regionen oder Ländern (Standorte) bereitzustellen:
1.1. Deutschland - Die Datenverarbeitung und -speicherung im Rahmen des IKT-Vertrags findet an den nachfolgend benannten Speicherorten statt:
2.1.Europäische Union - Der IKT-Drittdienstleister hat das Institut unverzüglich vorab zu benachrichtigen, wenn er eine Änderung bezüglich der Standorte oder Speicherorte beabsichtigt.
§ 3 Bestimmungen zum Datenschutz
- Die Anlage 3 “Vereinbarung zur Auftragsverarbeitung gemäß Art. 28 DSGVO” des IKT-Vertrages regelt die hinsichtlich des IKT-Vertrages zu beachtenden Bestimmungen über Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit in Bezug auf den Datenschutz, einschließlich des Schutzes personenbezogener Daten. Auf den Auftragsverarbeitungsvertrag wird hiermit verwiesen.
§ 4 Datenzugriff
- Der IKT-Drittdienstleister wird dem Institut zu jedem Zeitpunkt uneingeschränkten Zugang zu den personenbezogenen und nicht personenbezogenen Daten, die von dem Institut verarbeitet werden, gewähren. Dies gilt auch im Fall einer Insolvenz oder einer Abwicklung des IKT-Drittdienstleisters oder wenn der IKT-Drittdienstleister seine Geschäftstätigkeit einstellt oder der IKT-Vertrag endet. In diesem Fall schuldet der IKT-Drittdienstleister die unverzügliche Herausgabe der Daten in einem vom Institut zu bestimmenden gängigen Dateiformat.
- Sollte der Zugang zu den personenbezogenen und nicht personenbezogenen Daten, die von dem Institut verarbeitet werden, vorübergehend eingeschränkt sein, so verpflichtet sich der IKT-Dienstleister zur unverzüglichen Wiederherstellung.
§ 5 IKT-Vorfall
- Der IKT-Drittdienstleister verpflichtet sich, dem Institut bei einem IKT-Vorfall, der mit dem für das Institut bereitgestellten IKT-Dienst in Verbindung steht, zu informieren und zu den im IKT-Vertrag vereinbarten Kosten Unterstützung zu leisten, insbesondere die erforderlichen Maßnahmen zu ergreifen, um etwaige IKT-Vorfälle schnell zu handhaben. Zu diesem Zweck hat der IKT-Drittdienstleister angemessene Verfahren und Prozesse einzurichten, um die kohärente und integrierte Überwachung, Handhabung und Weiterverfolgung von IKT-Vorfällen entsprechend zu gewährleisten.
§ 6 Zusammenarbeit mit Aufsichtsbehörden
- Im Rahmen seiner vertraglichen Verpflichtungen wird der IKT-Drittdienstleister unabhängigen Wirtschaftsprüfern sowie den Vertretern bzw. beauftragten Prüfern der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), der Bundesbank oder ihren Rechtsnachfolgern oder sonstigen deutschen Aufsichtsbehörden (im folgenden „Aufsichtsbehörden“) Zugriff auf sämtliche Datenverarbeitungssysteme und Daten sowie Zugang zu allen Geschäftsbüchern und sonstigen Akten, Geschäftsunterlagen und Geschäftsmaterialien (im folgenden „Bücher“) gewähren, erbetene Auskünfte unverzüglich erteilen und während der Geschäftszeit Zugang zu seinen Geschäftsräumen und Datenbanken gestatten und die Vervielfältigung von Bücher ermöglichen, sofern diese die bereitgestellten IKT-Dienstleistungen und Funktionen betreffen und wenn dies von dem Institut oder den genannten Personen bzw. Aufsichtsbehörden im Rahmen ihrer Prüfung verlangt wird.
- Im Rahmen seiner vertraglichen Verpflichtungen wird der IKT-Drittdienstleister bei der Durchführung der vorstehend genannten Prüfungen jederzeit Unterstützung gewähren und die Prüfungen in keiner Weise behindern. Prüfungen durch das Institut sind mit dem IKT-Drittdienstleister abzustimmen, sofern eine solche Abstimmung nicht durch rechtliche oder behördliche Vorgaben untersagt ist.
- Alle vorgenannten Rechte zur Prüfung und Einsichtnahme haben über die Beendigung des IKT-Vertrages hinaus noch für eine Dauer von zwei Jahren ab dem Ende des Geschäftsjahres des Instituts Bestand, in dem der IKT-Vertrag beendet wurde. In diesem Zeitraum müssen alle relevanten Unterlagen/ Daten weiterhin verfügbar gehalten werden.
§ 7 Kündigung und Pflichten bei Vertragsbeendigung
- Die vorliegende Zusatzvereinbarung ist wirksam mit Unterzeichnung des IKT-Vertrages und gilt für die im IKT-Vertrag vereinbarte Vertragsdauer. Regelungen zur Kündigung finden sich im § 3 des IKT-Vertrages sowie in der Anlage 2 “Allgemeine Vertrags- und Nutzungsbedingungen für SaaS-Leistungen der Predium Technology GmbH”.
- Das Recht zur außerordentlichen schriftlichen Kündigung des IKT-Vertrages aus wichtigem Grund bleibt unberührt. Dem Institut steht insbesondere dann ein unbefristetes und jederzeit ausübbares Recht zur fristlosen Kündigung aus wichtigem Grund zu, wenn die BaFin oder eine andere zuständige Aufsichtsbehörde das Institut zu Änderungen des IKT-Vertrages oder dieser Zusatzvereinbarung auffordert, zu deren Annahme der IKT-Drittdienstleister trotz zu verhandelnder Vergütung hierfür nicht bereit ist, oder wenn die BaFin oder eine andere zuständige Aufsichtsbehörde das Institut anhält, die mit dem IKT-Vertrag beauftragten Funktionen und/oder IKT-Dienstleistungen selbst oder durch einen anderen Dritten ausüben zu lassen.
- Des Weiteren ist das Institut jederzeit zur fristlosen Kündigung aus wichtigem Grund berechtigt, wenn aufgrund von Änderungen der für das Institut geltenden Rechtsvorschriften oder einer geänderten Verwaltungspraxis der BaFin oder eine andere zuständigen Aufsichtsbehörde eine Änderung des IKT-Vertrages und/oder dieser Zusatzvereinbarung erforderlich werden sollte, zu deren Annahme der IKT-Drittdienstleister trotz zu verhandelnder Vergütung hierfür nicht bereit ist.
- Dem Institut steht ferner insbesondere dann ein jederzeit ausübbares Recht zur Kündigung des IKT-Vertrages aus wichtigem Grund zu, wenn sich eine wirksame Wahrnehmung der Prüfungs- und Auskunftsrechte des Instituts oder der BaFin oder einer anderen zuständigen Aufsichtsbehörde einschließlich ihrer Befugnis, die Vorlage von Unterlagen zu fordern, aus rechtlichen oder tatsächlichen Gründen als nicht durchführbar erweist.
- Das Institut ist weiterhin zur jederzeitigen fristlosen Kündigung aus wichtigem Grund berechtigt, wenn
5.1. der IKT-Drittdienstleister in erheblichem Maße gegen geltende Gesetze, sonstige Vorschriften, den IKT-Vertrag und/oder diese Zusatzvereinbarung verstößt obwohl der IKT-Drittdienstleister die Möglichkeit hatte, die Einhaltung innerhalb einer angemessenen Frist wiederherzustellen.
5.2. Umstände festgestellt werden, die nach Einschätzung des Instituts dazu führen werden, dass die Wahrnehmung der im Rahmen des IKT-Vertrages und/oder dieser Zusatzvereinbarung vorgesehenen Funktionen nachhaltig beeinträchtigt sind.
5.3 wesentliche Änderungen festgestellt werden, die sich auf den IKT-Vertrag und/oder diese Zusatzvereinbarung und/oder auf die Verhältnisse des IKT-Dienstleisters negativ auswirken können.
5.4 nachweisliche Schwächen des IKT-Drittdienstleisters in Bezug auf sein IKT-Risikomanagement und insbesondere bei der Art und Weise, in der er die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet, festgestellt werden und zwar unabhängig davon, ob die festgestellten Schwächen personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten betreffen.
5.5 der IKT-Drittdienstleister die mit vereinbarte Dienstleistungsgüte und die quantitativen und qualitativen Leistungsziele wiederholt nicht erreicht, insbesondere, wenn dies wesentliche Auswirkungen auf den Geschäftsbetrieb des Instituts hat. - Der IKT-Drittdienstleister verpflichtet sich, bei Beendigung des IKT-Vertrages gleich aus welchem Grund eine ordnungsgemäße Überleitung auf das Institut, dessen Rechtsnachfolger oder einen eventuellen neuen Vertragspartner des Instituts sicherzustellen. Dies umfasst insbesondere auch die unverzügliche und vollständige Bereitstellung aller erforderlichen Daten und Dokumente an das Institut, dessen Rechtsnachfolger oder einen eventuellen neuen Vertragspartner des Instituts (vgl. auch § 4 Absatz 1). Der IKT-Drittdienstleister kann für derartige Dienstleistungen eine entsprechende Vergütung einfordern.
§ 8 Schulungen
- Der IKT-Drittdienstleister ist selbst dafür verantwortlich, Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz zu entwickeln.
- Eine Teilnahme der Beschäftigten und der Geschäftsführung des IKT-Drittdienstleisters an den einschlägigen Schulungsprogrammen des Instituts ist nicht vorgesehen.
§ 9 Vertragsänderungen und Vertragsanpassungen
- Änderungen und Ergänzungen dieser Vereinbarung bedürfen zu ihrer Wirksamkeit der Schriftform oder einer fortgeschrittenen elektronischen Signatur. Dies gilt auch für eine Änderung dieses Schriftformerfordernisses selbst.
- Die Parteien verpflichten sich zur Vertragsanpassung, falls die für das Institut maßgeblichen Leistungs- und Qualitätsstandards dies erforderlich machen, insbesondere weil sich die relevanten gesetzlichen Vorschriften, also insbesondere DORA, der RTS TPPol und der RTS-E SUB, ändern oder die BaFin ein einschlägiges Rundschreiben erlässt oder die Verwaltungspraxis eine Anpassung erforderlich macht. Dasselbe gilt, wenn eine zuständige Aufsichtsbehörde Ergänzungen oder Änderungen verlangt.
§ 10 Salvatorische Klausel
Sollten einzelne Bestimmungen dieser Zusatzvereinbarung unwirksam oder undurchführbar sein oder nach Vertragsschluss unwirksam oder undurchführbar werden, bleibt davon die Wirksamkeit der Zusatzvereinbarung im Übrigen unberührt. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll diejenige wirksame und durchführbare Regelung treten, deren Wirkungen der wirtschaftlichen Zielsetzung am nächsten kommen, die die Vertragsparteien mit der unwirksamen bzw. undurchführbaren Bestimmung verfolgt haben. Die vorstehenden Bestimmungen gelten entsprechend für den Fall, dass sich die Zusatzvereinbarung als lückenhaft erweist.