Seit Mitte Januar 2025 müssen Finanzunternehmen die europäische Dora-Verordnung anwenden. Die Regeln zur digitalen operationalen Resilienz sollen dafür sorgen, dass Banken, Versicherungen, Fondsgesellschaften und auch Vermögensverwalter besser gegen Cyber-Angriffe und IT-Ausfälle gewappnet sind. Doch die Umsetzung erweist sich als kompliziert – besonders für kleinere Institute.
Eine andere Welt: Wenn Technik auf Recht trifft
„Dora wird in der Branche schlimmer als Mifid I und Mifid II wahrgenommen“, sagt Nero Knapp, seit 2007 Justiziar beim Verband unabhängiger Vermögensverwalter (VuV). Er nennt als Grund: „Bei Dora geht es in erster Linie um digitale Prozesse und Informationssicherheit. Dora ist damit vor allem Technikrecht.“ Die Verordnung sei für klassisch ausgebildete Juristen insgesamt schwer zu durchdringen. Im Grunde sei sie nur für IT-Experten verständlich, so Knapp im Gespräch mit DAS INVESTMENT. Für einen traditionellen Juristen, der meist nicht im einschlägigen Technikrecht zu Hause sei, seien allein die Begriffe oft nebulös.
Als Verbandsjurist hat sich Knapp eine klare Maßgabe gesetzt: jegliche Regeln für die VuV-Mitglieder nicht nur rechtlich korrekt, sondern auch praktikabel zu interpretieren – und nach ebendieser Maßgabe Hinweise für die Umsetzung zu geben. Genau das mache Dora jedoch besonders herausfordernd.
Externe Spezialisten: Unverzichtbar, aber schwer zu bremsen
Für seine Handreichungen zur Dora-Verordnung hat sich der VuV Hilfe von externen Beratern geholt – in diesem Fall von Revcomp, einem Beratungsunternehmen mit IT-Expertise. Ob dieses die Verordnung stets in dem Sinne interpretiert, wie es der VuV traditionell tut – also mit besonderem Fokus auf Reduktion und Verständlichkeit – kann Knapp jedoch nicht beurteilen.
„Die Mitglieder sind froh, dass wir überhaupt eine Umsetzungsdokumentation zur Verfügung stellen. Ob hier nun – wie von einigen Mitgliedern moniert – zu viel gefordert wird, die Unterlagen genau richtig sind oder womöglich zu wenig Details vorgegeben werden, ist für mich als klassischen Juristen schwer zu sagen“, räumt er ein.
Das Problem aus seiner Sicht: Externe Berater zu Spezialbereichen kommen bildlich gesprochen aus einer anderen Welt. „Meine Vermutung ist, dass sie sich zwar sehr gut mit der technischen Seite auskennen, aber womöglich weniger die rechtlichen Spielräume ausloten. Sie gehen in der Regel nicht der Frage nach: Was ist verhältnismäßig - und welche Grenzen lassen sich aus dem Verhältnismäßigkeitsgrundsatz maximal ableiten?“
Das Thema Verhältnismäßigkeit – der Proportionalitätsgrundsatz – durchzieht viele EU-Regulierungsprojekte. Er besagt: Für kleine Marktteilnehmer sollen weniger einschneidende, aber ebenso wirksame Mittel gefunden werden, um Regeln umzusetzen.
Proportionalität: Versprochen, aber nicht definiert
In puncto Proportionalität macht Dora zunächst zwar klare Vorgaben: Sie unterscheidet zwischen sogenannten „Kleinstunternehmen“ und dem Rest. Als Kleinstunternehmen gelten Finanzfirmen mit weniger als zehn Mitarbeitern und einem Jahresumsatz oder einer Jahresbilanzsumme von höchstens 2 Millionen Euro. Für sie soll es gewisse Erleichterungen geben – etwa beim IKT-Risikomanagement oder bei den Testpflichten.
Unter den im VuV organisierten unabhängigen Vermögensverwalter betrifft das rund 165 Häuser.
Doch worin genau im Einzelfall die Erleichterungen bestehen, die sich daraus ableiten sollen, sei nicht definiert. „Was genau weniger gefordert wird, lässt sich nur schwer fest umreißen“, urteilt Knapp.
Entscheidend sei jeweils im Einzelfall, „ob die getroffenen Maßnahmen in Anbetracht der individuellen Ausrichtung des Instituts in Bezug auf die Gefährdung ausreichend sind“, wie es Knapp im Duktus des Regulators formuliert. So weit, so schwammig.
Der Jurist bemängelt: „Keiner weiß genau, was bei Dora unter Proportionalität zu verstehen ist.“ Ein wiederkehrendes Problem: „Jedes Mal, wenn man etwas zu konkretisieren versucht, heißt es: Aber dieser oder jener Ausnahmefall muss auch noch eingefangen werden.“ In der Praxis gelte meist der Grundsatz: Im Zweifel lieber die strengere Variante wählen.
Knapp sieht im Proportionalitätsgrundsatz daher auch eine problematische Komponente: „Meiner Ansicht nach ist er ein Einfallstor für Willkür.“ Ein strengerer Berater oder Prüfer rüge womöglich Vorgänge, die für einen anderen völlig unproblematisch sind.
Beratungsabhängigkeit als neues Normal
Als grundsätzliches Problem der Branche benennt Knapp: „das Auseinanderfallen zwischen dem unmittelbaren Kerngeschäft der unabhängigen Vermögensverwalter und dem Sonderwissen, das im regulatorischen Bereich vorzuhalten ist“. Er beklagt: „Die Institute sind zunehmend angewiesen auf hochqualifizierte Mitarbeiter oder externe Berater für immer mehr Spezialgebiete.“
Eine Besserung sei vorerst nicht in Sicht – denn auch andere Regulierungsprojekte seien ähnlich gestrickt wie Dora: Die Regulierung von KI und Kryptowerten etwa spiele ebenfalls stark ins Technikrecht. Ob Anti-Geldwäsche-Regeln, Informationssicherheit oder Datenschutz – überall sei Spezialwissen gefordert. „Das sind anspruchsvolle Fachdisziplinen, die nicht mehr wie früher von einer einzigen Person betreut werden können“, findet Knapp.
Ein weiteres Problem im Dora-Kontext: Datenschutz und Informationssicherheit fungieren wie zwei gegensätzliche Pole. „Der Datenschützer fordert, dass alles gelöscht wird, und der Informationssicherheitsspezialist meint, es muss alles gespeichert werden“, beschreibt Knapp das Dilemma.
Erste Prüfungen: Keine gravierenden Feststellungen
Im laufenden Jahr sind die ersten Dora-Prüfungen bereits erfolgt. Zumindest hier sieht der Verbandsjurist doch auch einen Vorteil, den kleine Branchenteilnehmer gegenüber Marktriesen wie Großbanken genössen: Kaum ein VuV-Mitglied habe ihm gespiegelt, dass bei der Dora-Prüfung akribisch genau hingesehen worden sei. Bisher seien keine schwerwiegenden Mängel festgestellt worden, die zu besonderen Maßnahmen der Aufsicht geführt hätten.
Für unabhängige Vermögensverwalter sieht Knapp jenseits aller Schwierigkeiten somit auch einen gewissen Trost: Sie stünden nicht im zentralen Aufsichtsfokus – anders als etwa große Banken oder Versicherer. „Eine Bank wird aktuell deutlich strenger nach Dora geprüft“, glaubt er.
Jedenfalls noch. Denn gleichzeitig warnt Knapp auch davor, sich als unabhängiger Vermögensverwalter zu sehr in Sicherheit zu wiegen: „Wie lange dieser gewisse ‚Welpenschutz‘ für die unabhängigen Vermögensverwalter noch anhält, ist unklar.“
Der Regulierungsdruck werde jedenfalls nicht aufhören, glaubt Knapp. „Wir führen bislang noch ein einigermaßen kommodes Dasein, aber es wird immer schwieriger, die Fachkenntnisse im Unternehmen vorzuhalten.“ Sein Wunsch: „Wir bräuchten ein Bürokratie-Moratorium, einfach mal einen Stopp, mindestens für ein Jahr.“
Für Knapp ist ebenfalls klar: „Wenn die Geschwindigkeit der Regulierung ungebremst so weitergeht und es nicht zu einem deutlichen Bruch kommt, wird es unter den unabhängigen Anbietern eine handfeste Konsolidierung geben.“ Immerhin kämen zu den immer neuen Regeln auch noch der Fachkräftemangel und der anstehende Generationenwechsel hinzu. „Die Branche steht vor existenziellen Herausforderungen“, warnt Knapp.
