DORA

Zusatzvereinbarung DORA zwischen dem PowerPortal / XENTIS Vertragspartner (in der Folge kurz „Auftraggeber“) und der MASTERINVEST Kapitalanlage GmbH Landstraßer Hauptstraße 1, Top 27, 1030 Wien (in der Folge kurz “MASTERINVEST“) (beide zusammen kurz „Vertragspartner“ genannt):

 

Präambel

Im November 2022 wurde die „Verordnung über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011“ von EU-Parlament und EU-Rat verabschiedet (Verordnung (EU) 2022/2554) (in der Folge kurz „DORA-VO“). Diese muss ab dem 17.1.2025 von den betroffenen (Finanz-) Unternehmen angewandt werden.

Durch die Zusatzvereinbarung DORA soll die DORA-VO in den etwaige bestehenden Vereinbarungen des Auftraggebers mit der MASTERINVEST betreffend der IKT-Dienstleistung PowerPortal und/oder elektronisches Kommunikationssystem XENTIS (diese Vereinbarungen in der Folge kurz „PowerPortal / XENTIS Vertrag“ genannt) umgesetzt werden.

 

In diesem Kontext werden die nachfolgenden weitergehenden Vereinbarungen hinsichtlich IT-Sicherheit und aufsichtsrechtlicher Anforderungen getroffen, um den Anforderungen aus der DORA-VO nachzukommen.

Andere Vereinbarungen und Vereinbarungsinhalte, die durch diese Zusatzvereinbarung DORA nicht berührt werden, bleiben unverändert.

Eine Aufteilung der Rechte und Pflichten wurde bereits schriftlich im PowerPortal / XENTIS Vertrag vorgenommen, um den geltenden gesetzlichen und aufsichtsrechtlichen Vorschriften für die gesamte Dauer des PowerPortal / XENTIS Vertrag zu entsprechen.

 

1. Pflichten von MASTERINVEST

MASTERINVEST verfügt über angemessene Standards für die Informationssicherheit. Im Anlassfall verpflichtet sich MASTERINVEST zur Kooperation mit den für den Auftraggeber zuständigen Behörden und Abwicklungsbehörden, einschließlich der von diesen benannten Personen.

MASTERINVEST verfügt über einen Business Continuity Plan, der den vereinbarten Leistungen angemessen ist und die Kontinuität der Erbringung dieser Leistungen gewährleistet.

MASTERINVEST wird den Auftraggebern bei einem IKT-Vorfall, der mit der für den Auftraggeber erbrachten Leistungen in Verbindung steht, Unterstützung leisten.

MASTERINVEST wird eigene interne Schulungen zur digitalen operationalen Resilienz durchführen. Der Auftraggeber kann MASTERINVEST eigene Programme zur Sensibilisierung für IKT-Sicherheit und Schulungen zur digitalen operationalen Resilienz anbieten. Die Teilnahme daran ist jedoch für die Vertragspartner freiwillig und kostenfrei und jeder Vertragspartner trägt seine eigenen Kosten.

Als Dienstleistungsgüte gilt für das PowerPortal eine Verfügbarkeit von mindestens 99% in 3 Monaten und für XENTIS eine Verfügbarkeit von mindestens 98% über ein Jahr als vereinbart.

Sofern personenbezogene Daten im Rahmen der Geschäftsbeziehung erhoben, gespeichert, verarbeitet oder verwendet werden, finden sich den Betroffenen zustehende Rechte und Pflichten unter: https://www.masterinvest.at/Datenschutz.

2. Kündigungsrechte des Auftraggeber

Zusätzlich zu etwaigen im PowerPortal / XENTIS Vertrag vereinbarten Kündigungsrechten, kann der Auftraggeber den PowerPortal / XENTIS Vertrag kündigen, wenn folgende Gründe vorliegen (Art 28 Abs 7 DORA-VO):

a) ein erheblicher Verstoß von MASTERINVEST gegen geltende Gesetze, sonstige Vorschriften oder Vertragsbedingungen;

b) Umstände, die im Laufe der Überwachung des IKT-Drittparteienrisikos festgestellt wurden und die als geeignet eingeschätzt werden, die Wahrnehmung der im Rahmen der vertraglichen Vereinbarung vorgesehenen Funktionen zu beeinträchtigen, einschließlich wesentlicher Änderungen, die sich auf den Vertrag oder die Verhältnisse der MASTERINVEST auswirken;

c) nachweisliche Schwächen von MASTERINVEST in Bezug auf sein allgemeines IKT-Risikomanagement und insbesondere bei der Art und Weise, in der MASTERINVEST die Verfügbarkeit, Authentizität, Sicherheit und Vertraulichkeit von Daten gewährleistet, unabhängig davon, ob es sich um personenbezogene oder anderweitig sensible Daten oder nicht personenbezogene Daten handelt;

d) die zuständige Behörde kann MASTERINVEST infolge der Bedingungen des PowerPortal / XENTIS Vertrag oder der mit dem PowerPortal / XENTIS Vertrag verbundenen Umstände nicht mehr wirksam beaufsichtigen.

Eine Kündigung des Vertrages hat keinen Einfluss auf andere Verträge als den PowerPortal / XENTIS Vertrag.

3. Einsatz von Subunternehmern

MASTERINVEST erbringt die Leistung aus dem PowerPortal / XENTIS Vertrag grundsätzlich selbst. MASTERINVEST bedient sich aber bei der Leistungserbringung eines geeigneten Dritten („Subunternehmer“) im Gebiet der Europäischen Union („EU“).

4. Standorte

Die Standorte, an denen die im PowerPortal / XENTIS Vertrag vereinbarten IKT-Dienstleistungen bereitzustellen sind und an denen Daten verarbeitet werden sollen, einschließlich des Speicherorts, liegen im Gebiet der Europäischen Union („EU“).

5. Vertraulichkeit

Die Vertragspartner verpflichten sich, vertrauliche Informationen über den jeweils anderen Partner streng geheim zu halten und sie Dritten, ausgenommen dem Subunternehmer, gegenüber nicht zu offenbaren.

6. Schlussbestimmungen

Im Fall von Unstimmigkeiten, Unklarheiten oder Widersprüchen zwischen dem PowerPortal / XENTIS Vertrag und dieser Zusatzvereinbarung, geht diese Zusatzvereinbarung vor, soweit nicht im Vertrag enthaltene strengere Regelungen auf gesetzlichen Regelungen oder aufsichtsrechtlichen Anforderungen beruhen.

Diese Zusatzvereinbarung gilt jeweils für den PowerPortal / XENTIS Vertrag und endet automatisch und zeitgleich mit der Beendigung des PowerPortal / XENTIS Vertrags.