DORA-Nachtrag – Was Sie wissen müssen

Der DORA-Nachtrag ergänzt den Hauptvertrag mit DeepL durch die Einbeziehung der Bestimmungen, die zur Einhaltung der Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, „DORA“) erforderlich sind.

Es handelt sich nicht um ein eigenständiges Vertragsdokument. Stattdessen bildet der DORA-Nachtrag zusammen mit dem Hauptvertrag und anderen Vertragseränzungen einen einheitlichen, zusammenhängenden Vertragsrahmen, der als ein Vertrag zu betrachten und auszulegen ist.

Gemeinsam erfüllen sie die Anforderungen des Artikels 30 der Verordnung (EU) 2022/2554 (DORA):

  • Hauptvertrag Leistungsbeschreibungen, Service Level Agreements (soweit zutreffend), Haftung und weitere Regelungen
  • Auftragsverarbeitungsvertrag (AVV) Regelt die Verarbeitung personenbezogener Daten, Unterauftragsverarbeiter, Auditrechte und weitere dazugehörende Regelungen
  • DORA-Nachtrag Erfüllt IKT-Anforderungen, Kündigungsrechte und Kooperationspflichten

Was umfasst der DORA-Nachtrag?

Leistungsbeschreibung

Die vereinbarten Dienste und etwaige Service Level Agreements (soweit vertraglich festgelegt) sind ausschließlich im Hauptvertrag und im AVV geregelt. Der DORA-Nachtrag verweist entsprechend auf diese Bestimmungen.

Verarbeitungsstandorte

Die relevanten Verarbeitungsstandorte sind im Hauptvertrag und im AVV festgelegt und dort umfassend geregelt.

IKT-Sicherheitsmaßnahmen

DeepL implementiert und pflegt angemessene Sicherheitsmaßnahmen. Details sind im Hauptvertrag und/oder AVV beschrieben.

Unterstützungspflichten

Im Falle von DORA-relevanten IKT-Vorfällen unterstützt DeepL den Kunden in angemessenem Umfang, insbesondere durch zeitnahe Bereitstellung relevanter Informationen und Unterstützung bei der Analyse und Untersuchung des Vorfalls.

Unterauftragsverarbeiter

DeepL ist berechtigt, Unterauftragsverarbeiter einzusetzen. Die eingesetzten Unterauftragsverarbeiter sind in Anlage 1 des AVV aufgeführt. Änderungen werden dem Kunden vorab mit angemessener Frist mitgeteilt, wobei dieser die Möglichkeit hat, Einspruch zu erheben.

Kündigung & Beendigung

Die Laufzeit des DORA-Nachtrages entspricht dem Hauptvertrag. DORA-konforme Kündigungsrechte sind vollständig geregelt.


Häufig gestellte Fragen

Q) Umfasst der DORA-Nachtrag auch kritische oder wichtige Funktionen?

A) DeepL geht grundsätzlich davon aus, dass unsere Dienste nicht-kritische und nicht-wichtige Funktionen im Sinne von DORA unterstützen. Unser DORA-Nachtrag konzentriert sich daher auf vertragliche Bestimmungen, die für IKT-Dienste relevant sind, die nicht-kritische und nicht-wichtige Funktionen unterstützen. Finanzinstitute müssen selbst beurteilen, ob ein IKT-Dienst eine kritische oder wichtige Funktion in ihrer Organisation unterstützt (d. h. ob sie ohne diesen Dienst nicht oder erheblich eingeschränkt operieren könnten).

Q) Wo finde ich die Liste der Unterauftragsverarbeiter?

A) Die vollständige und aktuelle Liste aller Unterauftragsverarbeiter ist in Anlage 1 des AVV aufgeführt – nicht im DORA-Nachtrag selbst. Der DORA-Nachtrag verweist ausdrücklich darauf. Sie werden über alle Änderungen vorab informiert und haben das Recht, Einspruch zu erheben.

Q) Welche Auditrechte haben wir?

A) Ihre Auditrechte sind vollständig im AVV geregelt, auf den der DORA-Nachtrag verweist. Sie sind berechtigt, einmal pro Kalenderjahr ein Audit durchzuführen. Vor-Ort-Inspektionen sind möglich. Zusätzliche Audits können nach vorheriger Abstimmung mit DeepL und Kostenerstattung erfolgen. Gemeinsame Audits mit anderen Kunden sind ebenfalls möglich. Alle Audits erfordern eine angemessene Ankündigung und unterliegen Vertraulichkeitspflichten.

Q) Unter welchen Umständen kann der DORA-Nachtrag gekündigt werden?

A) Der DORA-Nachtrag hat dieselbe Laufzeit wir der Hauptvertrag – eine eigenständige Kündigung ist grundsätzlich ausgeschlossen. Ausnahme: Fällt der Kunde aus dem Anwendungsbereich von DORA heraus, kann der DORA-Nachtrag von jeder Partei mit einer Frist von 4 Wochen gekündigt werden. Darüber hinaus ist eine außerordentliche Kündigung aus wichtigem Grund möglich, beispielsweise bei wesentlichen Vertragsverstößen, erheblichen Änderungen der Leistungserbringung, nachgewiesenen IKT-Sicherheitsmängeln oder aufsichtsrechtlichen Behinderungen.

Q) Unterstützt DeepL Kunden bei Vorfällen oder bei der Zusammenarbeit mit Behörden?

A) Ja. DeepL verpflichtet sich, mit den zuständigen Aufsichtsbehörden zusammenzuarbeiten und Sie bei DORA-relevanten Vorfällen zu unterstützen. Diese Unterstützung erfolgt in dem Umfang, der angesichts der mit den Diensten verbundenen Risiken angemessen ist.


Weitere Informationen?

Weitere Informationen zu den technischen und organisatorischen Maßnahmen sowie zur Datensicherheit von DeepL Pro finden Sie im DeepL Trust Center. Dort finden Sie Informationen zu unseren ISO 27001- und SOC 2 Typ II-Zertifikaten, zu Penetrationstests, unseren Rechenzentren und den Datenflussprozessen usw.


Rechtlicher Hinweis

Dieses Dokument ersetzt nicht den DORA-Nachtrag. Der unterzeichnete Vertragstext hat stets Vorrang.

Zuletzt aktualisiert: April 2026