# DORA‑Zusatzvereinbarung 🇬🇧 [Read this page in English (DORA Addendum)](/trust-center/legal/dora-addendum.md) (zur Ergänzung der ilert Allgemeinen Geschäftsbedingungen – [AGB](/trust-center/deutsche-versionen/agb.md)) **Zuletzt aktualisiert: 30.10.2025 – UNTERZEICHNUNG AUSSTEHEND** > **Hinweis:** In eckigen Klammern \[…] sind Felder, die die Parteien bei Unterzeichnung ausfüllen. ### Versionshistorie | Datum | Version | Zusammenfassung der Änderungen | | ---------- | ------- | -------------------------------------------------------------------------------------- | | 2025-04-01 | v1.0 | Erster Veröffentlichungstand | | 2025-10-30 | v1.1 | Ziffer 8.3 angepasst – Zusammenarbeit mit Behörden (Art. 30 Abs. 2 lit. g und 38 DORA) | *** ## 1 Parteien Diese DORA‑Zusatzvereinbarung ("Zusatz") wird am **\[Datum]** geschlossen zwischen: * **\[Vollständiger rechtlicher Name des Kunden]** ("Unternehmen") und * **ilert GmbH**, Bayenstr. 65, 50678 Köln, Deutschland ("Anbieter"). Unternehmen und Anbieter sind jeweils eine "Partei" und gemeinsam die "Parteien". *** ## 2 Rangfolge & Einbeziehung 1. Dieser Zusatz ergänzt die jeweils aktuelle Fassung der **ilert Allgemeinen Geschäftsbedingungen ("AGB")**. 2. Bei Widersprüchen zwischen Dokumenten hat dieser Zusatz Vorrang hinsichtlich der Anforderungen der **Verordnung (EU) 2022/2554 (“DORA”)**. 3. Nicht anderweitig definierte, großgeschriebene Begriffe haben die Bedeutung der AGB oder von **Art. 3 DORA**. ## 3 Begriffsbestimmungen *(Auszug)* * **„Kritische oder wichtige Funktion“** – i.S.v. Art. 3 Abs. 22 DORA. * **„IKT‑Dienstleistungen“** – i.S.v. Art. 3 Abs. 21 DORA. * **„Schwerwiegender IKT‑Vorfall (Major ICT Incident)“** – IKT‑bezogener Vorfall nach Art. 3 Abs. 8 DORA. * **„Zulässiger Standort“** – Länder/Regionen in **Anlage B**. * **„Service Levels“ (SLAs)** – Leistungskennzahlen in **Anlage A**. * **„TLPT“** – Threat‑Led Penetration Test gem. DORA Art. 26. * **„Wesentliche Entwicklung“** – Umstände, die die Leistungserbringung des Anbieters wesentlich beeinträchtigen können (z. B. Insolvenz, Übernahme, systemischer Ausfall). ## 4 Leistungsstandards 1. Der Anbieter **erfüllt oder übertrifft** die Service Levels. 2. Bei Nichteinhaltung eines Service Levels muss der Anbieter: * das Unternehmen **unverzüglich** informieren, * einen Maßnahmenplan ohne Mehrkosten umsetzen, und * über den Fortschritt bis zur Wiederherstellung berichten. 3. Die Parteien überprüfen die Service Levels **jährlich** und können Anlage A schriftlich anpassen. ## 5 Datenstandorte & Unterauftragsverarbeitung 1. Der Anbieter darf IKT‑Dienstleistungen nur gemäß diesem Abschnitt 5 und der AVV unterbeauftragen. 2. Der Anbieter erbringt Leistungen **ausschließlich von Zulässigen Standorten**. 3. Der Anbieter informiert das Unternehmen mindestens 30 Kalendertage im Voraus schriftlich über neue oder ersetzende Sub‑Prozessoren oder Verarbeitungsstandorte. Das Unternehmen kann aus berechtigten Gründen innerhalb dieser Frist schriftlich widersprechen; die Parteien arbeiten in gutem Glauben an einer Lösung. ## 6 Sicherheit, Tests & Incident‑Management 1. **Sicherheitskontrollen:** Der Anbieter unterhält ein ISO 27001‑zertifiziertes ISMS, erzwingt Least‑Privilege‑Prinzipien, verschlüsselt Daten in Transit und at Rest und überwacht die Einhaltung. 2. **Vorfallsmeldung:** Der Anbieter informiert das Unternehmen ohne unangemessene Verzögerung, spätestens jedoch innerhalb von 4 Stunden nach Bestätigung eines Schwerwiegenden IKT‑Vorfalls. Die Meldung umfasst bekannte Ursachen, Umfang, Auswirkungen, Sofortmaßnahmen und Zeitpunkt der nächsten Aktualisierung. Folge‑Updates erfolgen mindestens alle 4 Stunden; ein schriftlicher Abschlussbericht wird binnen 5 Werktagen bereitgestellt. 3. **Incident‑Unterstützung:** Der Anbieter leistet kostenfreie Unterstützung bei Untersuchung, Forensik, Anfragen von Aufsichtsbehörden und Abschlussberichten. 4. **Resilienz‑Tests:** Der Anbieter kooperiert ohne Zusatzkosten angemessen bei Resilienztests des Unternehmens, einschließlich TLPT und Table‑Top‑Übungen, und behebt festgestellte Befunde innerhalb vereinbarter Fristen. 5. **Schulungen & Awareness:** Auf angemessene Anforderung nimmt der Anbieter an vom Unternehmen initiierten Schulungen oder Übungen zur IKT‑Sicherheit bzw. operationellen Resilienz teil, soweit für die Leistungen relevant. ## 7 Business Continuity, Exit & Transition 1. Der Anbieter unterhält einen BCP/DR‑Plan mit **RTO ≤ 60 Min.** und **RPO ≤ 15 Min.**, der mindestens jährlich getestet wird. 2. Bei Vertragsbeendigung oder Insolvenz des Anbieters:\ a. erbringt der Anbieter die Leistungen auf Wunsch des Unternehmens bis zu 60 Tage („Transition‑Periode“) kostenlos weiter, um eine geordnete Migration zu ermöglichen; und\ b. gewährt **Step‑In‑Rechte** auf Systeme mit Unternehmensdaten oder liefert einen vollständigen Datenexport (JSON/CSV) binnen 5 Werktagen. Selbstbedienungs‑Exporte bleiben 30 Tage nach Vertragsende verfügbar. ## 8 Audit & Zusammenarbeit mit Behörden 1. Das Unternehmen, seine Prüfer oder zuständige Behörden können den Anbieter einmal pro Vertragsjahr (remote oder vor Ort) auditieren; zusätzliche Audits nach Schwerwiegenden IKT‑Vorfall oder behördlicher Vorgabe sind zulässig. 2. Der Anbieter gewährt angemessenen Zugang zu Räumlichkeiten (physisch oder virtuell), Personal, Systemen und Dokumentation. 3. Der Anbieter arbeitet mit den für das Unternehmen zuständigen Aufsichts-, Abwicklungs- oder anderen Behörden vollumfänglich zusammen, einschließlich während TLPT-Beobachtungen, im Sinne der Artikel 30 Abs. 2 lit. g und 38 DORA. ## 9 Wesentliche Entwicklungen Der Anbieter informiert das Unternehmen unverzüglich schriftlich über jede Wesentliche Entwicklung, die die Leistungserbringung oder Gesetzes‑Compliance des Anbieters wesentlich beeinträchtigen könnte. ## 10 Kündigung Das Unternehmen kann den MSA/Zusatz mit sofortiger Wirkung kündigen, wenn: * eine zuständige Aufsichtsbehörde dies anordnet; * der Anbieter gegen Anwendbares Recht oder diesen Zusatz wesentlich verstößt und den Verstoß nicht binnen 30 Tagen behebt; * eine Wesentliche Entwicklung oder wesentliche Schwachstelle in der IKT‑Sicherheit des Anbieters die operationelle Resilienz des Unternehmens gefährdet. ## 11 Vertraulichkeit Der Anbieter behandelt sämtliche **Vertraulichen Informationen** streng vertraulich, gibt sie nur an autorisierte Personen unter gleichwertigen Verpflichtungen weiter und hält anwendbares Recht ein. *** ## Anlage A – Service Levels (an ToS § 6 angelehnt) | Kennzahl | Ziel & Zeitraum | Definition | | ------------------------------------------- | ----------------------------------------------------------------------------------------------------------- | ---------------------- | | **Zustellung von Alarm‑Benachrichtigungen** | ≥ 99,9 % Zustellung der Ersthelfer‑Alarme an Telko/Push‑Provider **innerhalb von 5 Min.** pro Kalendermonat | Entspricht ToS § 6.1.1 | | **Web‑Applikationsverfügbarkeit** | ≥ 99,9 % Uptime pro Kalendermonat | Entspricht ToS § 6.1.2 | *Ausnahmen*: Höhere Gewalt & Ursachen außerhalb der Kontrolle des Anbieters (vgl. ToS § 6.2). ## Anlage B – Zulässige Standorte & Sub‑Prozessoren ### 1 Infrastruktur des Anbieters | Komponente | Region | Verarbeitung | Speicherung | | --------------- | -------------------------------- | ------------ | ----------- | | Active Region 1 | AWS **eu‑central‑1 (Frankfurt)** | ✓ | ✓ | | Active Region 2 | AWS **eu‑north‑1 (Stockholm)** | ✓ | ✓ | ### 2 Autorisierte Sub‑Prozessoren Siehe – Aktualisierungen gemäß Abschnitt 5. ## Anlage C – Aktualisierungsverpflichtung Der Anbieter überprüft diesen Zusatz **mindestens jährlich** und aktualisiert ihn, um die DORA‑Compliance sowie einschlägige technische Regulierungsstandards einzuhalten. Der Anbieter informiert das Unternehmen **30 Tage im Voraus** über Änderungen; erhebt das Unternehmen keinen Widerspruch innerhalb dieser Frist, gelten die Änderungen als angenommen. *** ## Unterschriftsblöcke | Unternehmen | Anbieter | | ------------------ | ------------------ | | **\[Name, Titel]** | **\[Name, Titel]** | | *Datum:* \[‑‑‑] | *Datum:* \[‑‑‑] | *** © 2025 ilert GmbH – Vorlage für Kunden; wird erst nach Unterzeichnung verbindlich. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.ilert.com/trust-center/deutsche-versionen/dora-zusatzvereinbarung.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.