Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Richtlinien und rechtliche Dokumente
Rechtliche Dokumente zu den von ilert erbrachten Dienstleistungen
DORA‑ZUSATZVEREINBARUNG
(zur Ergänzung der ilert Allgemeinen Geschäftsbedingungen)
Zuletzt aktualisiert: 30.10.2025 – UNTERZEICHNUNG AUSSTEHEND
Hinweis: In eckigen Klammern […] sind Felder, die die Parteien bei Unterzeichnung ausfüllen.
Versionshistorie
Datum
Version
Zusammenfassung der Änderungen
2025-04-01
v1.0
Erster Veröffentlichungstand
2025-10-30
v1.1
Ziffer 8.3 angepasst – Zusammenarbeit mit Behörden (Art. 30 Abs. 2 lit. g und 38 DORA)
1 Parteien
Diese DORA‑Zusatzvereinbarung ("Zusatz") wird am [Datum] geschlossen zwischen:
- [Vollständiger rechtlicher Name des Kunden] ("Unternehmen") und
- ilert GmbH, Bayenstr. 65, 50678 Köln, Deutschland ("Anbieter").
Unternehmen und Anbieter sind jeweils eine "Partei" und gemeinsam die "Parteien".
2 Rangfolge & Einbeziehung
- Dieser Zusatz ergänzt die jeweils aktuelle Fassung der ilert Allgemeinen Geschäftsbedingungen ("AGB").
- Bei Widersprüchen zwischen Dokumenten hat dieser Zusatz Vorrang hinsichtlich der Anforderungen der Verordnung (EU) 2022/2554 (“DORA”).
- Nicht anderweitig definierte, großgeschriebene Begriffe haben die Bedeutung der AGB oder von Art. 3 DORA.
3 Begriffsbestimmungen (Auszug)
- „Kritische oder wichtige Funktion“ – i.S.v. Art. 3 Abs. 22 DORA.
- „IKT‑Dienstleistungen“ – i.S.v. Art. 3 Abs. 21 DORA.
- „Schwerwiegender IKT‑Vorfall (Major ICT Incident)“ – IKT‑bezogener Vorfall nach Art. 3 Abs. 8 DORA.
- „Zulässiger Standort“ – Länder/Regionen in Anlage B.
- „Service Levels“ (SLAs) – Leistungskennzahlen in Anlage A.
- „TLPT“ – Threat‑Led Penetration Test gem. DORA Art. 26.
- „Wesentliche Entwicklung“ – Umstände, die die Leistungserbringung des Anbieters wesentlich beeinträchtigen können (z. B. Insolvenz, Übernahme, systemischer Ausfall).
4 Leistungsstandards
- Der Anbieter erfüllt oder übertrifft die Service Levels.
- Bei Nichteinhaltung eines Service Levels muss der Anbieter:
- das Unternehmen unverzüglich informieren,
- einen Maßnahmenplan ohne Mehrkosten umsetzen, und
- über den Fortschritt bis zur Wiederherstellung berichten.
- Die Parteien überprüfen die Service Levels jährlich und können Anlage A schriftlich anpassen.
5 Datenstandorte & Unterauftragsverarbeitung
- Der Anbieter darf IKT‑Dienstleistungen nur gemäß diesem Abschnitt 5 und der AVV unterbeauftragen.
- Der Anbieter erbringt Leistungen ausschließlich von Zulässigen Standorten.
- Der Anbieter informiert das Unternehmen mindestens 30 Kalendertage im Voraus schriftlich über neue oder ersetzende Sub‑Prozessoren oder Verarbeitungsstandorte. Das Unternehmen kann aus berechtigten Gründen innerhalb dieser Frist schriftlich widersprechen; die Parteien arbeiten in gutem Glauben an einer Lösung.
6 Sicherheit, Tests & Incident‑Management
- Sicherheitskontrollen: Der Anbieter unterhält ein ISO 27001‑zertifiziertes ISMS, erzwingt Least‑Privilege‑Prinzipien, verschlüsselt Daten in Transit und at Rest und überwacht die Einhaltung.
- Vorfallsmeldung: Der Anbieter informiert das Unternehmen ohne unangemessene Verzögerung, spätestens jedoch innerhalb von 4 Stunden nach Bestätigung eines Schwerwiegenden IKT‑Vorfalls. Die Meldung umfasst bekannte Ursachen, Umfang, Auswirkungen, Sofortmaßnahmen und Zeitpunkt der nächsten Aktualisierung. Folge‑Updates erfolgen mindestens alle 4 Stunden; ein schriftlicher Abschlussbericht wird binnen 5 Werktagen bereitgestellt.
- Incident‑Unterstützung: Der Anbieter leistet kostenfreie Unterstützung bei Untersuchung, Forensik, Anfragen von Aufsichtsbehörden und Abschlussberichten.
- Resilienz‑Tests: Der Anbieter kooperiert ohne Zusatzkosten angemessen bei Resilienztests des Unternehmens, einschließlich TLPT und Table‑Top‑Übungen, und behebt festgestellte Befunde innerhalb vereinbarter Fristen.
- Schulungen & Awareness: Auf angemessene Anforderung nimmt der Anbieter an vom Unternehmen initiierten Schulungen oder Übungen zur IKT‑Sicherheit bzw. operationellen Resilienz teil, soweit für die Leistungen relevant.
7 Business Continuity, Exit & Transition
- Der Anbieter unterhält einen BCP/DR‑Plan mit RTO ≤ 60 Min. und RPO ≤ 15 Min., der mindestens jährlich getestet wird.
- Bei Vertragsbeendigung oder Insolvenz des Anbieters:a. erbringt der Anbieter die Leistungen auf Wunsch des Unternehmens bis zu 60 Tage („Transition‑Periode“) kostenlos weiter, um eine geordnete Migration zu ermöglichen; undb. gewährt Step‑In‑Rechte auf Systeme mit Unternehmensdaten oder liefert einen vollständigen Datenexport (JSON/CSV) binnen 5 Werktagen. Selbstbedienungs‑Exporte bleiben 30 Tage nach Vertragsende verfügbar.
8 Audit & Zusammenarbeit mit Behörden
- Das Unternehmen, seine Prüfer oder zuständige Behörden können den Anbieter einmal pro Vertragsjahr (remote oder vor Ort) auditieren; zusätzliche Audits nach Schwerwiegenden IKT‑Vorfall oder behördlicher Vorgabe sind zulässig.
- Der Anbieter gewährt angemessenen Zugang zu Räumlichkeiten (physisch oder virtuell), Personal, Systemen und Dokumentation.
- Der Anbieter arbeitet mit den für das Unternehmen zuständigen Aufsichts-, Abwicklungs- oder anderen Behörden vollumfänglich zusammen, einschließlich während TLPT-Beobachtungen, im Sinne der Artikel 30 Abs. 2 lit. g und 38 DORA.
9 Wesentliche Entwicklungen
Der Anbieter informiert das Unternehmen unverzüglich schriftlich über jede Wesentliche Entwicklung, die die Leistungserbringung oder Gesetzes‑Compliance des Anbieters wesentlich beeinträchtigen könnte.
10 Kündigung
Das Unternehmen kann den MSA/Zusatz mit sofortiger Wirkung kündigen, wenn:
- eine zuständige Aufsichtsbehörde dies anordnet;
- der Anbieter gegen Anwendbares Recht oder diesen Zusatz wesentlich verstößt und den Verstoß nicht binnen 30 Tagen behebt;
- eine Wesentliche Entwicklung oder wesentliche Schwachstelle in der IKT‑Sicherheit des Anbieters die operationelle Resilienz des Unternehmens gefährdet.
11 Vertraulichkeit
Der Anbieter behandelt sämtliche Vertraulichen Informationen streng vertraulich, gibt sie nur an autorisierte Personen unter gleichwertigen Verpflichtungen weiter und hält anwendbares Recht ein.
Anlage A – Service Levels (an ToS § 6 angelehnt)
Kennzahl
Ziel & Zeitraum
Definition
Zustellung von Alarm‑Benachrichtigungen
≥ 99,9 % Zustellung der Ersthelfer‑Alarme an Telko/Push‑Provider innerhalb von 5 Min. pro Kalendermonat
Entspricht ToS § 6.1.1
Web‑Applikationsverfügbarkeit
≥ 99,9 % Uptime pro Kalendermonat
Entspricht ToS § 6.1.2
Ausnahmen: Höhere Gewalt & Ursachen außerhalb der Kontrolle des Anbieters (vgl. ToS § 6.2).
Anlage B – Zulässige Standorte & Sub‑Prozessoren
1 Infrastruktur des Anbieters
Komponente
Region
Verarbeitung
Speicherung
Active Region 1
AWS eu‑central‑1 (Frankfurt)
✔️
✔️
Active Region 2
AWS eu‑north‑1 (Stockholm)
✔️
✔️
2 Autorisierte Sub‑Prozessoren
Siehe https://www.ilert.com/de/rechtliches/unterauftragnehmer – Aktualisierungen gemäß Abschnitt 5.
Anlage C – Aktualisierungsverpflichtung
Der Anbieter überprüft diesen Zusatz mindestens jährlich und aktualisiert ihn, um die DORA‑Compliance sowie einschlägige technische Regulierungsstandards einzuhalten. Der Anbieter informiert das Unternehmen 30 Tage im Voraus über Änderungen; erhebt das Unternehmen keinen Widerspruch innerhalb dieser Frist, gelten die Änderungen als angenommen.
Unterschriftsblöcke
Unternehmen
Anbieter
[Name, Title]
[Name, Title]
Datum: [‑‑‑]
Datum: [‑‑‑]
© 2025 ilert GmbH – Vorlage für Kunden; wird erst nach Unterzeichnung verbindlich.
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.