Sanktionen & Haftung
Sanktionsregime
DORA (Art. 50–52) und das FinmadiG sehen ein abgestuftes Sanktionsregime vor. DORA delegiert die Festlegung konkreter Sanktionshöhen an die Mitgliedstaaten – die nachfolgenden Angaben beziehen sich auf die deutsche Umsetzung (FinmadiG).
Gegen Finanzunternehmen (Art. 50–52 DORA, FinmadiG)
| Sanktion | Detail |
|---|---|
| Bußgelder | Wirksam, verhältnismäßig und abschreckend (Art. 50 Abs. 3 DORA); konkrete Höhe gemäß FinmadiG |
| Zwangsgelder | Bis zu 2,5 Mio. EUR (FinmadiG) |
| Bestellung Sonderbeauftragter | BaFin kann Sonderbeauftragten einsetzen |
| Geschäftsbeschränkung | Einschränkung oder Untersagung von Geschäftstätigkeiten |
| Vertragskündigungsverlangen | BaFin kann Beendigung von Dienstleisterbeziehungen verlangen |
| Persönliche Haftung | Geschäftsleiter persönlich haftbar bei wesentlichen Mängeln |
| Abberufung | Abberufung von Geschäftsleitern möglich |
Gegen kritische IKT-Drittdienstleister (CTPPs, Art. 35 Abs. 8 DORA)
| Sanktion | Detail |
|---|---|
| Zwangsgelder | Bis zu 1% des durchschnittlichen weltweiten Tagesumsatzes – pro Tag (Art. 35 Abs. 8) |
| Empfehlungen des Lead Overseer | Verbindliche Handlungsaufforderungen |
| Öffentliche Bekanntmachung | Veröffentlichung von Verstößen |
| Letzte Instanz | Finanzunternehmen können zur Beendigung der Nutzung aufgefordert werden |
Gegen IKT-Dienstleister (nicht-CTPP)
Nicht-kritische IKT-Dienstleister wie BAUER GROUP unterliegen keiner direkten DORA-Sanktionierung. Die Konsequenzen sind indirekt:
| Risiko | Auswirkung |
|---|---|
| Vertragskündigung | Finanzunternehmen können/müssen Verträge beenden |
| Ausschluss | Finanzunternehmen dürfen keine Verträge mit non-konformen Anbietern schließen (Art. 28 Abs. 5) |
| Reputationsschaden | Audit-Findings werden dem Markt bekannt |
| Haftung | Zivilrechtliche Schadensersatzansprüche bei Pflichtverletzung |
Praxisrelevante Haftungsszenarien für BAUER GROUP
| Szenario | Konsequenz | Prävention |
|---|---|---|
| Incident nicht innerhalb 1h an Kunden gemeldet | Kunde kann DORA-Meldefrist (4h) nicht einhalten → Bußgeld | Automatisierte Incident-Pipeline |
| Kein Audit-Zugang gewährt | Vertragsverletzung → Kündigung + Schadensersatz | Audit-Readiness sicherstellen |
| Subcontracting ohne Genehmigung | Verstoß gegen Art. 30, RTS 2025/532 → Vertragsstrafe | Genehmigungsprozess implementieren |
| Datenverlust ohne Exit-Strategie | Kunde kann nicht migrieren → Schadensersatz | Exit-Strategie dokumentieren |
| Fehlende Zertifizierungsnachweise | Kunde verliert Compliance → beide betroffen | Jährliche Zertifizierung pflegen |