DORA Art. 28 verlangt Subkontraktor-Personnel-Doku — diese fünf Pflichten werden 2026 in der Praxis übersehen

Antwort vorab: Seit 17. Januar 2025 gilt der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) für Finanzdienstleister in der gesamten EU. Im ersten vollen Anwendungsjahr 2025 wurde sichtbar: Art. 28 DORA erzeugt eine Subkontraktor-Compliance-Pflicht, die Banken, Versicherungen, Pensionskassen und Wertpapierfirmen in einem Umfang trifft, der vor DORA mit MaRisk-Logik nicht annähernd erreicht wurde. Fünf Personnel-Aspekte werden dabei besonders systematisch übersehen: vollständiges Subkontraktor-Mapping bis zur n-ten Ebene, Personnel-Compliance-Audits im Rahmen kritischer Auslagerungen, Konzentrationsrisiko-Analyse auf Personnel-Ebene, exit-strategy-relevante Personnel-Übergaben und Behörden-Meldepflichten zu Subkontraktor-Wechseln.

Die Situation: DORA bündelt erstmals die ICT-Risikomanagement-Anforderungen für den europäischen Finanzsektor in einer einheitlichen Verordnung. Über 22.000 Finanzunternehmen und kritische ICT-Drittanbieter (CTPP — Critical Third-Party Provider) fallen direkt unter die Verordnung. Die Komplikation: Während die meisten Aufmerksamkeit den Art. 23 (ICT-bezogene Vorfälle) und Art. 25 (Threat-Led-Penetration-Testing) gilt, ist Art. 28 mit den darauf aufbauenden RTS (Regulatory Technical Standards) operativ am tiefgreifendsten — er verschiebt die Compliance-Last von "Vendor Management" zu "Multi-Tier-Vendor-Personnel-Compliance". Die Resolution: Wer 2026 noch keinen funktionierenden Multi-Tier-Personnel-Compliance-Trail für seine kritischen ICT-Auslagerungen hat, wird in der ersten echten Aufsichtsprüfung (durch BaFin, FMA, FINMA für CH-Niederlassungen, EZB für SSM-Banken) Findings ernten.

H2.1 DORA Art. 28 entschlüsselt — die Subkontraktor-Klausel im Originalwortlaut und ihre operative Konsequenz

Art. 28 DORA regelt die "allgemeinen Grundsätze" für ICT-Drittanbieter-Beziehungen. Der für Subkontraktoren entscheidende Absatz ist Art. 28 Abs. 7, der durch den RTS (Commission Delegated Regulation 2024/1773 — RTS on subcontracting) konkretisiert wird. Die Kernaussage in einer Zeile: Finanzdienstleister bleiben für die Erfüllung aller DORA-Pflichten ihrer ICT-Drittanbieter haftbar — auch dann, wenn diese die Pflichten an Subkontraktoren delegieren.

Drei direkte operative Konsequenzen ergeben sich. Erstens, Vertragliche Erstreckung: Alle für den ICT-Drittanbieter geltenden DORA-Pflichten müssen vertraglich an alle Subkontraktoren weitergereicht werden. Das umfasst Personnel-Sicherheitsanforderungen (Art. 28 Abs. 2 lit. d), Audit- und Inspektionsrechte (Art. 30 Abs. 2 lit. e), die Bereitstellung von Compliance-Nachweisen (Art. 30 Abs. 2 lit. f) und die Unterstützung bei Aufsichtsprüfungen. Zweitens, Sichtbarkeit bis zur n-ten Ebene: Der Finanzdienstleister muss seine Subkontraktor-Kette vollständig kennen und dokumentieren — nicht nur den direkten Vertragspartner, sondern auch dessen Subkontraktoren, deren Subkontraktoren, und so weiter, bis zur effektiven Leistungserbringung. Drittens, Genehmigungspflicht für Subkontraktor-Wechsel: Bei kritischen oder wichtigen Auslagerungen muss der Finanzdienstleister Subkontraktor-Wechsel mindestens vorab gemeldet bekommen — und in vertraglich definierten Konstellationen sogar genehmigen.

Die testat-praktische Sprengkraft: Über 60% der ICT-Auslagerungen im europäischen Finanzsektor enthalten heute Subkontraktor-Komponenten — Cloud-Services mit Subprocessor-Chains, Application-Hosting mit Datenbank-Outsourcing, SaaS-Lösungen mit ausgelagerter Entwicklung. Die Mehrzahl dieser Konstellationen ist im klassischen Vendor-Management nicht vollständig erfasst — und damit per se nicht DORA-konform.

Maßgebliche Quelle: DORA — Verordnung (EU) 2022/2554, Commission Delegated Regulation (EU) 2024/1773 — RTS on Subcontracting.

H2.2 Pflicht 1 Vollständiges Subkontraktor-Mapping — wo Finanzdienstleister 2026 noch blinde Flecken haben

Die erste der fünf übersehenen Pflichten ist das vollständige Mapping aller Subkontraktoren über alle Ebenen einer kritischen oder wichtigen ICT-Auslagerung. Klingt trivial — ist in der Praxis die häufigste Compliance-Lücke.

Drei Mapping-Dimensionen sind kumulativ erforderlich. Erstens, Identitäts-Mapping: Wer (Rechtsentität, Anschrift, Unique Legal Entity Identifier nach Möglichkeit, EU-versus-Drittstaat-Sitz) erbringt welche Teilleistung? Zweitens, Funktionales Mapping: Welche genaue ICT-Funktion (Speicherung, Verarbeitung, Übertragung, Identitätsmanagement, Backup, Logging, etc.) wird auf welcher Ebene erbracht? Welche Datenkategorien werden dabei berührt? Drittens, Personnel-Mapping: Welches Personal des Subkontraktors hat in welchem Umfang Zugriff auf welche Datenkategorien — insbesondere privilegierten Zugriff auf personenbezogene Kundendaten oder geschäftskritische Finanzdaten?

Die operative Schwierigkeit: Subkontraktor-Ketten sind dynamisch. Cloud-Anbieter erweitern ihre Subprocessor-Listen mit kurzer Vorlaufzeit. SaaS-Anbieter wechseln ihre Tier-2-Datenbank-Subprozessoren. Application-Outsourcer nehmen für Spitzenlasten Tier-3-Off-Shore-Resourcen hinzu. Wer einmal pro Jahr eine Mapping-Übung macht, hat ein veraltetes Mapping. Die DORA-konforme Antwort verlangt einen kontinuierlichen Mapping-Prozess mit definierten Update-Triggern und automatisierten Konsistenz-Checks.

Quantitativ: Nach den ersten 12 Monaten DORA-Anwendung (2025) zeigen branchenübergreifende Erhebungen, dass mittelgroße Geschäftsbanken im Schnitt 80 bis 150 ICT-Auslagerungen mit Subkontraktor-Komponenten haben — multipliziert mit einer durchschnittlichen Subkontraktor-Tiefe von 2 bis 4 Ebenen ergeben sich 300 bis 800 zu erfassende Entitäten. Bei Großbanken liegt der Wert deutlich höher. Eine strukturierte Plattform für die kontinuierliche Personnel-Verifikation in mehrstufigen Lieferketten ist hier die einzig skalierbare Antwort.

H2.3 Pflicht 2 Personnel-Compliance-Audit-Recht ausüben — vom theoretischen Recht zur tatsächlichen Prüfung

Art. 30 Abs. 2 lit. e DORA verlangt, dass Finanzdienstleister vertraglich das Recht zur Durchführung von Audits beim ICT-Drittanbieter und seinen Subkontraktoren haben. Die zweite übersehene Pflicht: Dieses Recht muss in der Praxis tatsächlich ausgeübt werden — nicht nur vertraglich verankert sein.

In der Audit-Praxis bedeutet das: Bei kritischen Auslagerungen muss eine Audit-Frequenz definiert sein (typischerweise mindestens alle 24 Monate, bei besonders sensiblen Auslagerungen jährlich), Audit-Schwerpunkte müssen ausgewählt sein und die Personnel-Compliance gehört zu den Standard-Auditpunkten. Die typischen Audit-Findings im Personnel-Bereich umfassen: Lücken in der Background-Screening-Dokumentation der Subkontraktor-Mitarbeiter, fehlende Schulungsbestätigungen für privilegierte Zugriffsrollen, ungeprüfte Berufsqualifikationen für sicherheitskritische Funktionen.

Die zentrale Schwierigkeit: Im klassischen Vendor-Management wurde Personnel-Compliance häufig als "interne Angelegenheit des Vendors" behandelt — der Finanzdienstleister verließ sich auf Vendor-Selbstauskunft und ggf. einen ISO-27001-Bericht. Unter DORA reicht das nicht mehr. Art. 28 Abs. 2 lit. d verlangt, dass der Finanzdienstleister die Personnel-Sicherheitsmaßnahmen seines Drittanbieters und seiner Subkontraktoren positiv kennt und überwacht. Das setzt Informationsrechte voraus, die viele bestehende Vendor-Verträge so nicht enthalten — und die im Rahmen einer DORA-Compliance-Initiative nachverhandelt werden müssen.

Eine pragmatische Audit-Architektur kombiniert drei Mechanismen. Erstens, strukturierte Pre-Contract-Due-Diligence mit Personnel-Compliance-Fragenkatalog und Vendor-Selbstattestierung. Zweitens, periodische Vendor-Reviews mit Stichproben-Anforderungen (z.B. anonymisierte Background-Check-Records für 5 zufällig ausgewählte privilegierte Mitarbeiter). Drittens, Vor-Ort-Audits bei kritischen Auslagerungen, gegebenenfalls als Pooled-Audits unter mehreren Finanzdienstleistern, die denselben Vendor nutzen — Pooled-Audits sind nach Art. 30 Abs. 3 DORA explizit zugelassen und reduzieren den Audit-Aufwand auf beiden Seiten.

H2.4 Pflicht 3 Konzentrationsrisiko auf Personnel-Ebene — die übersehene Dimension von Art. 29

Art. 29 DORA adressiert das Konzentrationsrisiko bei kritischen ICT-Drittanbietern. Während die meisten Compliance-Programme das Konzentrationsrisiko auf Service-Ebene betrachten ("Wir haben 70% unserer Kernanwendungen bei einem einzigen Cloud-Anbieter"), wird die Personnel-Dimension regelmäßig übersehen. Genau hier liegt die dritte unterschätzte Pflicht.

Personnel-Konzentrationsrisiko entsteht in zwei Konstellationen. Erstens, Single-Person-Dependencies: Wenn ein einziger Subkontraktor-Mitarbeiter — etwa ein hochspezialisierter Datenbank-Administrator oder ein Architekt für eine Custom-Anwendung — ein Knowledge-Monopol hält, dessen Ausfall die Service-Erbringung kritisch beeinträchtigen würde. Zweitens, Shared-Personnel-Dependencies: Wenn mehrere ICT-Drittanbieter dasselbe Subkontraktor-Personal nutzen (häufig der Fall bei spezialisierten Off-Shore-Entwicklungs-Teams), entsteht eine versteckte Konzentration, die in Service-Mappings nicht sichtbar wird.

Beide Konstellationen müssen identifiziert, dokumentiert und im Rahmen der Konzentrationsrisiko-Bewertung adressiert werden. In der Praxis verlangt das einen Personnel-Layer im Vendor-Risk-Mapping — eine Dimension, die in heute weit verbreiteten TPRM-Tools (Third-Party Risk Management) selten standardisiert verfügbar ist.

Eine quantitative Annäherung: Nach Branchenerhebungen 2025 haben rund 30% der mittleren und großen Banken in der EU mindestens drei Service-Critical-Funktionen, die im Hintergrund von einem einzigen Mitarbeiter oder einer einzigen Mitarbeiter-Gruppe eines Subkontraktors abhängen — ohne dass diese Konzentration bislang in offiziellen Risk-Registern dokumentiert wäre. DORA Art. 29 verlangt explizit die Sichtbarmachung solcher Risiken.

H2.5 Pflicht 4 und 5 Exit-Strategy-Personnel-Übergaben und Behörden-Meldepflichten — der Lebenszyklus zu Ende gedacht

Die vierte übersehene Pflicht betrifft die Exit-Strategy. Art. 28 Abs. 8 DORA verlangt eine Exit-Strategy für jede ICT-Auslagerung, die kritische oder wichtige Funktionen unterstützt. Diese Exit-Strategy muss nicht nur die technische Migration abdecken, sondern auch die Personnel-Übergänge: Welches Personal muss in der Übergangsphase wie informiert werden, ohne Vertraulichkeitspflichten zu verletzen? Welcher Knowledge-Transfer ist erforderlich? Welche Subkontraktor-Mitarbeiter behalten in der Übergangsphase Zugriff auf welche Daten?

In der Praxis sind Exit-Strategies regelmäßig technische Dokumente — Datenexport-Verfahren, Cutover-Pläne, Rollback-Szenarien. Die Personnel-Komponente wird häufig vernachlässigt. Die Konsequenz: Wenn der Exit tatsächlich erforderlich wird (Vendor-Insolvenz, Vertragskündigung, Aufsichtsanordnung), entstehen Datenzugriffs-Risiken und Knowledge-Lücken, die die kontrollierte Migration gefährden.

Die fünfte übersehene Pflicht ist die Behörden-Meldepflicht für wesentliche Vertragsänderungen. Nach Art. 28 Abs. 3 DORA und den entsprechenden RTS muss der Finanzdienstleister wesentliche Änderungen bei kritischen oder wichtigen Auslagerungen seiner Aufsichtsbehörde melden — und Subkontraktor-Wechsel auf privilegierten Zugriffspositionen können hierunter fallen, wenn sie das Risikoprofil der Auslagerung materiell verändern. In der ersten DORA-Aufsichtspraxis 2025/2026 wurde sichtbar, dass viele Finanzdienstleister diese Meldepflicht zu eng auslegen und nur strukturelle Vertragsänderungen melden — während die Aufsicht auch Subkontraktor-Substitutionen mit signifikantem Personnel-Wechsel erwartet.

Eine Compliance-Plattform mit Workflow-Integration zwischen Vendor-Management, Personnel-Verifikation und Aufsichts-Meldewesen ist hier die operativ einzig tragfähige Architektur — manuelle Lösungen scheitern an der Frequenz und Granularität der erforderlichen Updates.

Cross-References zur breiteren Aufsichtspraxis: Die Anforderungen aus Art. 28 DORA überlappen mit den EBA-Outsourcing-Guidelines (EBA/GL/2019/02), die für Banken den vorherrschenden Vendor-Management-Standard gesetzt haben. DORA tritt nicht an deren Stelle, sondern überlagert sie mit ICT-spezifischen Schärfungen. Wer beide Regimes parallel betreibt, braucht ein integriertes Mapping zwischen EBA-GL-Anforderungen und DORA-Art.-28-Anforderungen — andernfalls entstehen Doppelarbeit und Inkonsistenzen.

H2.6 Register of Information nach Art. 28 Abs. 3 — die Behörden-Schnittstelle, die Personnel-Aspekte sichtbar macht

Das Register of Information (RoI) ist das Herzstück der DORA-Aufsichtspraxis. Art. 28 Abs. 3 DORA verlangt von Finanzdienstleistern die Führung eines vollständigen Registers aller Vertragsbeziehungen mit ICT-Drittanbietern — strukturiert nach den ITS (Implementing Technical Standards) der Europäischen Aufsichtsbehörden (Commission Implementing Regulation (EU) 2024/2956). Das RoI ist nicht nur eine interne Compliance-Dokumentation, sondern wird der nationalen Aufsichtsbehörde periodisch übermittelt — typischerweise jährlich, mit Ad-hoc-Updates bei wesentlichen Änderungen.

Drei Personnel-relevante RoI-Dimensionen werden in der Praxis häufig unzureichend dokumentiert. Erstens, Personenbezogene Daten- und PHI-Kategorisierung: Das RoI muss die Datenkategorien benennen, die der ICT-Drittanbieter verarbeitet — und in der Folge auch die Personnel-Sensitivität dieser Verarbeitung implizit machen. Wer hier nur abstrakt "personenbezogene Daten" notiert, ohne zu unterscheiden, ob es sich um Bestandsdaten, Transaktionsdaten oder besondere Kategorien handelt, lässt der Aufsicht Anschlusspunkte für Nachfragen. Zweitens, Subkontraktor-Identifikation: Jeder Subkontraktor muss mit eigenständiger Identifikation (Legal Entity Identifier, sofern verfügbar; vollständige Rechtsentität ansonsten), Sitzland und Funktion erfasst sein. Drittens, kritische versus nicht-kritische Klassifikation: Das RoI verlangt die Markierung kritischer Auslagerungen — eine Klassifikation, die unmittelbar die intensiveren Personnel-Compliance-Pflichten triggert.

Die operative Konsequenz: Das RoI ist nicht ein Excel-Sheet, das einmal pro Jahr gepflegt wird, sondern ein lebendes Compliance-Register mit Workflow-Anbindung an Vendor-Management und Personnel-Compliance. Wesentliche Vertragsänderungen — etwa Subkontraktor-Wechsel mit Personnel-Konsequenzen — müssen unmittelbar in das RoI einfließen. Eine strukturierte Personnel-Compliance-Plattform mit RoI-Integration automatisiert diese Pflege und verhindert die in Praxisprüfungen häufig festgestellten Inkonsistenzen zwischen Vendor-Datenbank, Personnel-Compliance-Status und RoI-Berichten.

Quantitativ: BaFin-Aufsichtspraxis 2025/2026 zeigt, dass über 40% der ersten RoI-Berichte Inkonsistenzen oder Lücken aufwiesen — typischerweise im Bereich der Subkontraktor-Tiefe und der Personnel-relevanten Vertragsdimensionen. Die Aufsicht hat angekündigt, in Folgejahren von der initialen Toleranz zur strikten Prüfung überzugehen.

H2.7 Konkrete Implementierungs-Schritte 2026 — der pragmatische Pfad für mittelgroße Finanzdienstleister

Wer 2026 als mittelgroßer Finanzdienstleister (Geschäftsbank mit 5 bis 50 Mrd. Euro Bilanzsumme, mittelgroße Versicherung, regionale Pensionskasse) in die echte DORA-Aufsicht eintritt, braucht einen pragmatischen Implementierungs-Pfad. Vier Schritte haben sich als operativ tragfähig erwiesen.

Schritt 1 — Vollständige ICT-Drittanbieter-Inventur mit Personnel-Mapping: Ausgangspunkt ist die belastbare Erfassung aller ICT-Auslagerungen, klassifiziert nach kritisch/wichtig/sonstig. Für jede kritische und wichtige Auslagerung wird das Personnel-Mapping erstellt: Welcher Subkontraktor stellt welches Personal mit welchem Datenzugriff? Erfahrungswert: Diese Inventur dauert typischerweise 8 bis 16 Wochen — mit erheblichem Variationsspielraum je nach Reife der bestehenden Vendor-Management-Prozesse. Schritt 2 — Vertragliche Nachverhandlung der Bestandsverträge: Alle Bestandsverträge mit kritischen oder wichtigen ICT-Drittanbietern werden gegen den DORA-Anforderungs-Katalog (Art. 30 DORA) gegengeprüft — und wo Lücken bestehen, durch Nachträge oder Vertragsänderungen ergänzt. Die Personnel-Komponenten umfassen: Audit-Rechte, Personnel-Compliance-Berichts-Pflichten, Subkontraktor-Notifikations-Pflichten, Exit-Strategy-Personnel-Klauseln. In der Praxis ist diese Nachverhandlung der zeitintensivste Schritt — typischerweise 6 bis 12 Monate je Vertrag, mit erheblicher Verhandlungs-Reibung bei den großen Hyperscalern, die ihre Standardverträge nur begrenzt anpassen. Schritt 3 — Operatives Compliance-Monitoring etablieren: Mit den vertraglichen Anpassungen wird das laufende Monitoring aufgebaut: Periodische Personnel-Compliance-Berichte vom Vendor, Stichproben-basiertes Vendor-Auditing, automatisiertes Tracking von Subkontraktor-Wechseln, Workflow-Integration mit dem RoI. Erfahrungswert: Ein operatives Personnel-Compliance-Monitoring für 100 ICT-Auslagerungen erfordert typischerweise 1,0 bis 2,5 FTE — abhängig von der Tool-Architektur. Manuelle Lösungen scheitern hier regelmäßig an der Frequenz und Granularität. Schritt 4 — Aufsichts-Schnittstellen aufbauen: Schließlich werden die Aufsichts-Schnittstellen etabliert: RoI-Berichts-Workflow mit BaFin (oder anderer zuständiger Aufsicht), Notfall-Meldewesen für ICT-Vorfälle (Art. 19 DORA), Threat-Led-Penetration-Testing-Koordination (Art. 26 DORA, alle drei Jahre für relevante Institute). Diese Schnittstellen sind typischerweise getrennt vom operativen Vendor-Management organisiert, müssen aber datenseitig synchronisiert sein.

Cross-Reference zur BaFin-Praxis: Die deutsche Aufsicht hat in den Aufsichtsschwerpunkten 2026 das Thema "ICT-Drittanbieter und Subkontraktor-Compliance" explizit ausgewiesen. Erfahrungs-Sondererhebungen werden für mittelgroße Institute erwartet. Wer in diese Erhebungen mit einer dokumentierten, audit-tauglichen Personnel-Compliance-Architektur eintritt, vermeidet die in der ersten Aufsichts-Welle 2025 sichtbaren Massen-Findings.

Weiterführende offizielle Quellen: DORA Verordnung (EU) 2022/2554 — EUR-Lex, EBA Guidelines on Outsourcing Arrangements, BaFin DORA-Aufsichtsfragen, European Supervisory Authorities (ESAs) DORA Joint Implementation, Commission Implementing Regulation (EU) 2024/2956 — ITS Register of Information.

---

Indicium dokumentiert DORA-Art.-28-konforme Subkontraktor-Personen-Prüfungen automatisch und auditfest — mit Multi-Tier-Mapping und Behörden-Meldewesen-Trail. Discovery-Call buchen.