Mein Konto

Info

DORA-Zusatzvereinbarung

DORA-Zusatzvereinbarung in Ergänzung zu den Allgemeinen Geschäftsbedingungen der Impleco GmbH zur Nutzung der Plattform www.wohnglück.de und der auf der Plattform angebotenen Services für gewerbliche Nutzer:innen („Wohnglück-AGB B2B“) 

Präambel 

Diese Zusatzvereinbarung ergänzt die „Allgemeinen Geschäftsbedingungen der Impleco GmbH zur Nutzung der Plattform www.wohnglück.de und der auf der Plattform angebotenen Services für gewerbliche Nutzer:innen („Wohnglück-AGB B2B“)“ (Impleco GmbH im Folgenden „Impleco“ oder „IKT-Drittdienstleister“) für die Nutzung der Plattform Wohnglück.de. Es regelt die spezifischen Anforderungen, die sich aus der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (DORA-VO) für Vertragspartner ergeben, die als Finanzunternehmen im Sinne der DORA-VO gelten (im Folgenden "Finanzunternehmen"). 

§ 1 Begriffsbestimmungen 

Soweit in diesem Addendum nicht abweichend definiert, gelten die Begriffsbestimmungen des Art. 3 der DORA-VO. 

§ 2 Gegenstand und Qualität der IKT-Dienstleistung 

  1. Gegenstand und Beschreibung der von Impleco zu erbringenden IKT-Dienstleistungen ergeben sich aus den Wohnglück-AGB B2B.
  2. Die Parteien gehen bei Vertragsschluss übereinstimmend davon aus, dass die vertragsgegenständlichen IKT-Dienstleistungen keine kritischen oder wichtigen Funktionen des Finanzunternehmens im Sinne der DORA-VO unterstützen. Gleichwohl stimmen die Parteien überein, dass die finale Bewertung und Einordnung allein dem Finanzunternehmen obliegt. Sollte das Finanzunternehmen abweichend von der anfänglichen Einschätzung oder im Laufe der Vertragslaufzeit zu dem Ergebnis gelangen, dass die Dienstleistungen kritische oder wichtige Funktionen unterstützen, ist das Finanzunternehmen verpflichtet, Impleco dies unverzüglich in Textform mitzuteilen. Etwaige im Zuge dessen erforderliche Vertragsanpassungen werden die Parteien daraufhin unverzüglich und in gutem Glauben verhandeln und umsetzen.
  3. Impleco verpflichtet sich, bei der Erbringung der IKT-Dienstleistungen die jeweils geltenden gesetzlichen und regulatorischen Standards, insbesondere die der DORA-VO und des Datenschutzes (DSGVO) sowie das Bankgeheimnis, einzuhalten. Impleco gewährleistet, dass die Dienstleistung in einer Form erbracht wird, die es dem Finanzunternehmen ermöglicht, seinen aufsichtsrechtlichen Pflichten nachzukommen.
  4. Impleco bestätigt hiermit, dass sie über die Eignung, Kapazität sowie alle gesetzlich vorgeschriebenen Zulassungen verfügt, um die vereinbarte IKT-Dienstleistung in Übereinstimmung mit den für sie relevanten Gesetzes- und Verwaltungsvorschriften zuverlässig und professionell auszuführen. Insbesondere bestätigt die Impleco, dass sie über die zur ordnungsgemäßen Leistungserbringung erforderliche technische, personelle und finanzielle Ausstattung verfügt.
  5. Der Legal Entity Identifier (LEI) der Impleco GmbH lautet: 391200DKPQAR9RTKED56. 

§ 3 Informationssicherheit und operationale Resilienz 

  1. Impleco unterhält ein an anerkannten Standards (z.B. ISO/IEC 2700X, BSI IT-Grundschutz) ausgerichtetes Informationssicherheitsmanagementsystem (ISMS), um die Schutzziele der Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Daten und Systeme kontinuierlich sicherzustellen. Auf Anfrage stellt Impleco dem Finanzunternehmen eine Beschreibung der implementierten technischen und organisatorischen Maßnahmen (TOMs) sowie der zugrundeliegenden Sicherheitsvorgaben zur Verfügung. Diese Maßnahmen schließen insbesondere die Fähigkeit ein, die Systeme auf Dauer abzusichern und die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.
  2. Impleco führt regelmäßige Tests der digitalen operationalen Resilienz durch. Sofern die IKT-Dienstleistung nach Bewertung des Finanzunternehmens kritische oder wichtige Funktionen unterstützt, verpflichtet sich Impleco, an bedrohungsorientierten Penetrationstests (Threat-Led Penetration Testing – TLPT) gemäß Art. 26 und 27 DORA-VO des Finanzunternehmens teilzunehmen und uneingeschränkt mitzuwirken. Details zur Durchführung und Kostentragung werden in diesem Fall in einer separaten Vereinbarung geregelt.
  3. Impleco meldet IKT-bezogene Vorfälle, die die für das Finanzunternehmen erbrachte Dienstleistung betreffen, unverzüglich nach Bekanntwerden an das Finanzunternehmen. Die Meldung enthält eine Beschreibung des Vorfalls, der voraussichtlichen Folgen und der ergriffenen bzw. geplanten Maßnahmen. Impleco leistet dem Finanzunternehmen die notwendige Unterstützung bei der Bewältigung des Vorfalls und der Erfüllung etwaiger Meldepflichten gegenüber Aufsichtsbehörden. Der zentrale Kontakt für Sicherheitsvorfälle bei Impleco ist: sicherheit@impleco.de.
  4. Impleco verpflichtet sich, ihre Mitarbeiter:innen, die Geschäftsleitung und ggf. eingesetzte Unterauftragnehmer auf Basis eines Schulungs- und Sensibilisierungskonzeptes entsprechend ihrer Aufgaben und Verantwortung regelmäßig zu Aspekten der Informationssicherheit zu schulen und zu sensibilisieren. Die Inhalte sowie die Durchführung der Schulungs- und Sensibilisierungsmaßnahmen werden dem Finanzunternehmen auf Anfrage in geeigneter Form nachgewiesen. 

§ 4 Prüfungs- und Informationsrechte 

  1. Das Finanzunternehmen sowie dessen Beauftragte und die zuständigen Aufsichtsbehörden sowie Abwicklungsbehörden haben das Recht, die Leistungserbringung von Impleco im Hinblick auf die Einhaltung der vertraglichen und regulatorischen Anforderungen zu prüfen. Prüfungen sind rechtzeitig anzukündigen und so durchzuführen, dass der Betriebsablauf von Impleco so wenig wie möglich gestört wird. Impleco erklärt sich bereit, soweit dies gesetzlich zulässig ist, etwaige Informations- und Prüfungsmaßnahmen uneingeschränkt zu dulden und mit den entsprechenden Parteien im Rahmen der Wahrnehmung ihrer behördlichen Aufgaben vollumfänglich zusammenzuarbeiten.
  2. Impleco stellt dem Finanzunternehmen auf Anforderung alle Informationen und Berichte zur Verfügung, die für die Durchführung von Risikoanalysen und für das aufsichtsrechtliche Meldewesen (z.B. Führung des Informationsregisters gemäß DORA) erforderlich sind. Dies schließt auch Informationen über eingesetzte Unterauftragnehmer ein. 

§ 5 Standort, Auslagerung an Unterauftragnehmer 

  1. Der Standort der Durchführung der Dienstleistung sowie der Speicherung und Verarbeitung maßgeblicher Daten durch Impleco oder Dritte ist Deutschland. Über einen wesentlichen Wechsel eines Standorts wird das Finanzunternehmen rechtzeitig vorab informiert.
  2. Impleco ist berechtigt, zur Erbringung wesentlicher Teile der IKT-Dienstleistung Unterauftragnehmer einzusetzen. Über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder Ersetzung von wesentlichen Unterauftragnehmern wird Impleco das Finanzunternehmen rechtzeitig vorab (z. B. mit einer Frist von 30 Tagen) in Textform informieren. Das Finanzunternehmen kann der Änderung innerhalb dieser Frist aus wichtigem, objektiv nachvollziehbarem Grund (insbesondere bei berechtigten Zweifeln an der Einhaltung aufsichtsrechtlicher, datenschutzrechtlicher oder sicherheitstechnischer Vorgaben) in Textform widersprechen. Erfolgt kein fristgerechter Widerspruch, gilt die Änderung als genehmigt. Im Falle eines berechtigten Widerspruchs bemühen sich die Parteien um eine einvernehmliche Lösung. Hält Impleco an dem Einsatz des Unterauftragnehmers fest, steht dem Finanzunternehmen ein Sonderkündigungsrecht zu.
  3. Impleco stellt vertraglich sicher, dass die Unterauftragnehmer denselben Verpflichtungen wie Impleco aus dieser Zusatzvereinbarung unterliegen und die Prüfungsrechte des Finanzunternehmens und der Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer bestehen. 

§ 6 Exit-Strategie und Beendigung der Zusammenarbeit 

  1. Unbeschadet der Kündigungsregelungen in den „Wohnglück-AGB B2B“ hat das Finanzunternehmen ein außerordentliches Kündigungsrecht insbesondere dann, wenn:

    a. ein erheblicher Verstoß von Impleco gegen geltende Gesetze oder Vertragsbedingungen vorliegt;

    b. objektiv nachweisbare Umstände vorliegen, die im Laufe einer Überwachung des IKT-Drittparteienrisikos festgestellt wurden und die tatsächlich dazu führen, die Wahrnehmung der im Rahmen der vertraglichen Vereinbarung vorgesehenen Funktionen zu beeinträchtigen, einschließlich wesentlicher Änderungen, die sich auf die Vereinbarung oder die Verhältnisse der Impleco auswirken;

    c. nachweisliche wesentliche Schlechtleistungen im allgemeinen IKT-Risikomanagement von Impleco und insbesondere bei der Art und Weise, in der sie die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet vorliegen oder

    d. eine zuständige Behörde das Finanzunternehmen aufgrund der Vertragsbeziehung nicht mehr wirksam beaufsichtigen kann.

    Eine solche Kündigung nach den vorstehenden Buchstaben a) bis d) setzt voraus, dass ein Festhalten am Vertrag für das Finanzunternehmen unzumutbar ist. Das ist insbesondere dann der Fall, wenn die negativen Auswirkungen auf die Risikolage/-bewertung des Finanzunternehmens nicht unerheblich und von Dauer sind und durch zumutbare interne Kontroll- und Steuerungsmaßnahmen nicht aufsichtsrechtlich konform mitigiert werden können. Einer außerordentlichen Kündigung wegen einer Vertragsverletzung muss eine erfolglose schriftliche Abmahnung mit einer angemessenen Frist zur Abhilfe (mindestens 30 Tage) vorausgehen, es sei denn, die Abhilfefrist ist gesetzlich entbehrlich.

  2. Im Falle einer Vertragsbeendigung (gleich aus welchem Grund), einer Insolvenz oder der Einstellung der Geschäftstätigkeit von Impleco wird Impleco das Finanzunternehmen bei der Überleitung der Dienstleistung auf einen anderen Anbieter oder auf das Finanzunternehmen selbst (Exit-Support) unterstützen. Impleco ist verpflichtet, alle personenbezogenen und nicht-personenbezogenen Daten des Finanzunternehmens auf Anforderung unverzüglich in einem gängigen, leicht zugänglichen elektronischen Format an das Finanzunternehmen oder einen benannten Dritten herauszugeben und anschließend sicher zu löschen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Unterlagen und Daten, die Impleco aufgrund zwingender gesetzlicher Vorgaben auch nach der Vertragsauflösung aufbewahren muss, werden mit Ablauf dieser gesetzlichen Aufbewahrungsfristen umgehend vernichtet oder gelöscht. Impleco wird dem Finanzunternehmen die endgültige Löschung auf Wunsch schriftlich bestätigen.
  3. Soweit aufsichtsrechtlich für das Finanzunternehmen zwingend erforderlich, bestehen die vereinbarten Informations-, Prüfungs- und Zutrittsrechte sowie die Pflichten zur Herausgabe oder Löschung von Daten nach Vertragsbeendigung fort, bis die Auslagerung vollständig beendet ist und die entsprechenden Daten gelöscht oder zurückgegeben wurden. 

§ 7 Schlussbestimmungen 

Sollten einzelne Bestimmungen dieser Zusatzvereinbarung unwirksam sein oder werden, so wird dadurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien verpflichten sich, eine unwirksame Bestimmung durch eine wirksame Regelung zu ersetzen, die dem wirtschaftlichen Zweck der ursprünglichen Bestimmung am nächsten kommt. 

Unsere neuesten Artikel