Die DORA-Verordnung fordert EU-Finanzinstitute bis Januar 2025 heraus: Dabei können die Geschäftsleitung hohe Haftungsrisiken treffen. Geplante nationale Regelungen weisen der Bafin einen Sanktionsauftrag zu. Eine Überprüfung der D&O-Versicherungen der Geschäftsleiter kann im Vorfeld Sinn machen.
Aufgrund der neuen DORA-Regelungen könnte sich eine Überprüfung der D&O-Versicherungen der Geschäftsführer lohnen.
Steffen Kögler / stock.adobe.com
DORA heißt das aktuelle Problemkind der Finanz- und IT-Branche. Seit der Verabschiedung der Verordnung über die digitale operationelle Resilienz im Finanzsektor im Dezember 2022 hatten die betroffenen EU-Finanzinstitute zwei Jahre Zeit, sich mit der neuen IT-Regulierung vertraut zu machen. Wie die Realität es will, kommt die Frist nun gleichwohl sehr plötzlich: Am 17. Januar 2025 müssen die neuen DORA-Anforderungen in der Praxis umgesetzt sein. Aber was ist, wenn das nicht mehr rechtzeitig klappt? DORA sieht verwaltungsrechtliche Sanktionen und Abhilfemaßnahmen für Verstöße vor, die zum Teil durch nationale Regularien umzusetzen sind. In Deutschland ist dies im Rahmen des Finanzmarktdigitalisierungsgesetzes (FinmadiG) geplant, welches bislang nur im Entwurf vorliegt.
Welche Haftungsrisiken müssen Geschäftsleiter fürchten?
Wegweisend ist nach DORA, dass die Verantwortlichkeit für IKT-Risiken und alle mit DORA verbundenen Pflichten stets bei der Geschäftsleitung liegt. Das Prinzip der Letztverantwortung ist im deutschen Finanzaufsichtsrecht schon etabliert. Die Geschäftsleitung muss Leitlinien erlassen, Aufgaben und Verantwortlichkeiten festlegen und angemessene Budgetmittel zuweisen.
Neben verwaltungsrechtlichen Sanktionen durch die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) kann ein Verstoß gegen DORA daher auch zu einer persönlichen Haftung der Geschäftsleitung gegenüber der Gesellschaft nach den entsprechenden gesellschaftsrechtlichen Vorschriften führen (vgl. § 93 Absatz 2 Satz 1 Aktiengesetz (AktG) und § 43 Absatz 1 GmbH-Gesetz), etwa wenn die Gesellschaft durch Nicht-Beachtung der DORA-Vorschriften einen Vermögensschaden erleidet, der auf eine Fehlentscheidung der Geschäftsleitung zurückzuführen ist. Der grundsätzlich bestehende Ermessensrahmen der Geschäftsführung wird durch DORA massiv eingeschränkt. Das birgt ein vergleichsweise hohes Haftungsrisiko in sich.
Nach FinmadiG-Entwurf droht ein Bußgeld
Der aktuelle FinmadiG-Entwurf sieht keine strafrechtlichen Sanktionen, sondern bußgeldbewährte Ordnungswidrigkeiten vor. Zunächst folgen auf Verstöße gegen aufsichtsrechtliche Verpflichtungen aber zunächst verwaltungsrechtliche Maßnahmen und Sanktionen gegen das Unternehmen selbst, nicht gegen die Geschäftsleitung. Aus Maßnahmen gegen das Unternehmen kann aber in einem zweiten Schritt eine Haftung der Geschäftsleiter wegen einer Pflichtverletzung bei der Unternehmensführung folgen, wenn diese beispielsweise durch Gesellschafter oder Aufsichtsrat für die Gesellschaft gegenüber der Geschäftsleitung geltend gemacht wird.
Insbesondere sehen DORA und die nationalen (geplanten) Vorgaben eine unverzügliche öffentliche Bekanntmachung getroffener Maßnahmen vor. Nach dem Entwurf des FinmadiG ist die BaFin zudem befugt, Unterlassungs- und Einstellungsanordnungen sowie Korrektur- und Abhilfemaßnahmen zu treffen. Auch wird die Aufsicht zu Untersuchungen und Befragung über die Einhaltung von DORA ermächtigt.
Abgesehen von diesen spezialgesetzlichen Fällen kommt auch eine ordnungswidrige und bußgeldbewährte Verletzung der Aufsichtspflicht der Geschäftsleitung für die Compliance nach §§ 130, 9 Ordnungswidrigkeitengesetz (OWiG) in Betracht.
Vorsichtiges Vorgehen der Aufsicht zu erwarten
Da es noch nicht zur Verabschiedung der spezialgesetzlichen Regelungen nach dem FinmadiG gekommen ist, steht zu erwarten, dass die Bafin in einem ersten Schritt vorsichtig agiert, was Maßnahmen aufgrund von DORA-Verstößen angeht. Der aktuelle Bußgeldkatalog des Kreditwesengesetzes (KWG) erfasst noch keine Verstöße gegen DORA, sodass hier vor Inkrafttreten des FinmadiG keine Maßnahmen zu erwarten sind.
Erfahrungsgemäß erfolgen in einem ersten Schritt informelle Maßnahmen und eine Bitte um Stellungnahme. Möglich sind dann auch ein formelles Auskunftsersuchen und die Anordnung organisatorischer Maßnahmen. Hier konzentriert sich die BaFin üblicherweise zunächst auf die großen - systemrelevanten - Institute.
Haftung von IKT-Dienstleistern
Wenn und soweit Geschäftsleiter von IKT-Dienstleistern DORA Vorgaben, die sie entweder direkt oder indirekt über Auslagerungsverträge mit Unternehmen der Finanzbranche treffen, vorsätzlich oder fahrlässig verletzen, können auch diese für den Verstoß entsprechend haften. Auch hier gilt: In einem ersten Schritt haftet üblicherweise die Gesellschaft, die Geschäftsleitung dann gegebenenfalls mittelbar.
Fazit und Ausblick: Es bleibt abzuwarten, in welchem Umfang die DORA-Regelungen durch die Anpassungen der betroffenen Fachgesetze aufgrund der endgültigen Fassung des FinmadiG Einzug ins deutsche Recht finden. Wegen der anstehenden Neuwahlen ist davon auszugehen, dass dieser Zeitpunkt noch weiter in die Ferne rückt.
Dennoch sollten sich die Unternehmen schnellstens auf die neuen DORA-Regelungen einstellen. Auch könnte eine Überprüfung der D&O-Versicherungen der Geschäftsleiter angezeigt sein, ob entsprechende Verstöße davon überhaupt erfasst wären. Ein Untätigbleiben dürfte nicht zuletzt aufgrund der hohen Sicherheitsanforderungen nach DORA und dem Implementierungsaufwand zu einer ganz erheblichen Verzögerung in der Umsetzung führen - und damit früher oder später eine Haftung des Unternehmens und des Managements herbeiführen.
