Die zunehmende Abhängigkeit von externen IKT-Dienstleistern gehört zu den strukturellen Merkmalen moderner Finanzmarktinfrastrukturen. Insbesondere bei geschäftskritischen Systemen – etwa Kernbankensoftware, Systeme zur Kreditvergabe, Risikobewertung oder Sicherheitenverwaltung, Trading- und Treasury-Systeme oder regulatorisch relevanten Anwendungen (z.B. Meldewesen-Softare, Compliance- oder Monitoring-Tools, Fraud-Detection Lösungen usw.) – entstehen erhebliche Konzentrations- und Ausfallrisiken. Mit der Verordnung (EU) 2022/2554 („DORA“) hat der europäische Gesetzgeber auf diese Abhängigkeit reagiert und ein umfassendes Regelwerk zur Stärkung der digitalen operationalen Resilienz geschaffen.
Im Zentrum steht dabei die Verpflichtung von Finanzunternehmen, auch im Falle eines Ausfalls von IKT-Dienstleistern jederzeit handlungsfähig zu bleiben. Dies erfordert nicht nur technische Vorkehrungen, sondern insbesondere auch eine belastbare vertragliche Absicherung. Vor diesem Hintergrund gewinnen Escrow-Verträge in der Praxis zunehmend an Bedeutung. Sie werden als Instrument eingesetzt, um den Zugriff auf kritische Software und Daten auch in Krisensituationen sicherzustellen.
Gleichwohl zeigt sich bei näherer Betrachtung, dass Escrow-Verträge häufig überschätzt werden. Ihre bloße Existenz genügt nicht, um die Anforderungen von DORA zu erfüllen. Vielmehr hängt ihre regulatorische und praktische Wirksamkeit entscheidend von ihrer konkreten Ausgestaltung ab.
Escrow-Verträge: Struktur und rechtliche Funktion
Ein Escrow-Vertrag (auf Deutsch oft Treuhand- oder Hinterlegungsvertrag) wird so genannt, weil er auf dem Prinzip des englischen Begriffs „Escrow“ basiert, was eine treuhänderische Verwahrung durch einen neutralen Dritten bezeichnet. Escrow-Verträge sind typischerweise als dreiseitige Vereinbarungen ausgestaltet. Beteiligt sind der IKT-Dienstleister oder Softwareanbieter als Hinterleger, das Finanzunternehmen als Lizenznehmer bzw. Begünstigter sowie ein neutraler Escrow-Dienstleister (Escrow-Agent) als Treuhänder. Gegenstand des Vertrages ist die Hinterlegung von Quellcode, technischer Dokumentation, Zugangsdaten oder sonstigen für den Betrieb der Software erforderlichen Materialien beim Escrow-Agenten.
Rechtlich handelt es sich um eine Kombination aus Verwahrungs-, Sicherungs- und treuhandähnlichen Elementen. Der Escrow-Agent verpflichtet sich, das hinterlegte Material unter definierten Bedingungen an den Begünstigten herauszugeben. Ziel ist es, dem Finanzunternehmen im Krisenfall – etwa bei Insolvenz oder Ausfall des Dienstleisters – die Fortführung des Geschäftsbetriebs zu ermöglichen.
Die wirtschaftliche Bedeutung von Escrow liegt in der Reduktion einseitiger Abhängigkeiten von IKT-Dienstleistern. Insbesondere bei geschäftskritischen Systemen stellt der Verlust der Zugriffsmöglichkeit auf den Quellcode ein erhebliches operationelles Risiko für Finanzunternehmen dar. Escrow-Verträge sollen dieses Risiko durch eine vorgelagerte Sicherung der notwendigen Ressourcen mitigieren und damit eine Form vertraglicher „Business Continuity“ ermöglichen.
Escrow und DORA: Keine automatische regulatorische Qualifikation
Im Zusammenhang mit DORA stellt sich die Frage, ob Escrow-Dienstleister selbst als IKT-Drittdienstleister im Sinne der Verordnung einzuordnen sind. Eine solche Qualifikation hängt von der konkreten technisch-organisatorischen Ausgestaltung der Leistung ab und ist nicht pauschal zu bejahen. Während digital betriebene Escrow-Plattformen im Einzelfall – je nach ihrer Ausgestaltung – durchaus als IKT-Dienstleistung qualifiziert werden können, beschränkt sich die Tätigkeit klassischer Escrow-Agenten regelmäßig auf Verwahrung und Freigabe.
Der regulatorische Bezug von Escrow-Verträgen liegt daher typischerweise nicht in der unmittelbaren Anwendung der DORA-Vorschriften auf den Escrow-Agenten, sondern in ihrer Funktion als Instrument zur Absicherung der DORA-relevanten Beziehung zum eigentlichen IKT-Dienstleister. Escrow ist damit ein mittelbares, aber wesentliches Element der Resilienzstrategie.
Trügerische Sicherheit: Warum Standard-Escrow oft nicht genügt
In der Praxis wird häufig angenommen, dass der Abschluss eines Escrow-Vertrages bereits ausreicht, um regulatorische Anforderungen zu erfüllen. Diese Annahme ist gefährlich. Viele Escrow-Verträge sind inhaltlich nicht geeignet, die tatsächliche Fortführbarkeit kritischer Systeme sicherzustellen. Sie schaffen eine formale Absicherung, ohne die zugrunde liegenden Risiken wirksam zu adressieren.
In der Praxis zeigen sich oftmals folgende strukturelle Schwächen auf, die die Wirksamkeit von Escrow-Verträgen im DORA-Kontext erheblich einschränken können.
- Ein zentrales Problem liegt in der Ausgestaltung der Herausgabemechanik. Viele Verträge sehen entweder zu enge oder zu weite Trigger vor. Während rein insolvenzbezogene Herausgaberechte regelmäßig nicht ausreichen, um die unter DORA geforderte operative Handlungsfähigkeit sicherzustellen, bergen weit gefasste Trigger – etwa bei bloßen Leistungsstörungen – erhebliche Risiken für die IP-Position des Hinterlegers. Erforderlich ist eine ausgewogene, objektivierbare Regelung, die sowohl den Schutz des geistigen Eigentums als auch die praktische Zugriffsmöglichkeit im Krisenfall berücksichtigt.
- Ein weiterer struktureller Schwachpunkt vieler Escrow-Verträge betrifft die tatsächliche Verwendbarkeit des hinterlegten Materials. In der Praxis beschränkt sich die Hinterlegung häufig auf den Quellcode, ohne dass sichergestellt ist, dass dieser im Ernstfall auch kompilierbar und funktionsfähig ist. Fehlen Build-Umgebungen, Abhängigkeiten oder Dokumentationen, ist der Code wirtschaftlich wertlos. DORA verlangt jedoch nicht nur Zugriff, sondern faktisch die Fähigkeit zur Fortführung kritischer Funktionen. Daraus ergibt sich als abgeleitete Best Practice – im Sinne einer sachgerechten Konkretisierung der Ziele und Anforderungen von DORA, nicht als explizit normierte Einzelpflicht – die Notwendigkeit verbindlicher technischer Verifizierungen, die über bloße Vollständigkeitsprüfungen hinausgehen.
- Eng damit verknüpft ist die Frage der Aktualität des Escrow-Materials. Aus einer risikoadäquaten, an den DORA-Zielsetzungen orientierten Best Practice ergibt sich, dass periodische Update-Zyklen von sechs oder zwölf Monaten, wie sie in vielen Standardverträgen vorgesehen sind, für dynamische IT-Umgebungen regelmäßig nicht ausreichen. Entscheidend ist eine an den konkreten Risiken und der jeweiligen IT-Dynamik ausgerichtete Aktualität. Für eine wirksame Resilienz ist erforderlich, dass das hinterlegte Material mit der produktiven Version synchron ist oder zumindest kurzfristig synchronisiert werden kann.
- Auch die urheberrechtliche Ausgestaltung ist von zentraler Bedeutung. Die bloße Herausgabe des Materials genügt nicht, wenn der Lizenznehmer nicht zugleich die erforderlichen Nutzungsrechte erhält, um den Betrieb aufrechtzuerhalten, Fehler zu beheben oder Anpassungen vorzunehmen. Fehlt eine klare Zweckbindung, besteht umgekehrt die Gefahr einer übermäßigen Ausweitung der Rechte zulasten des Hinterlegers. Die Vertragsgestaltung muss daher eine präzise Balance zwischen Nutzungserlaubnis und Schutz des geistigen Eigentums herstellen.
- Ein weiterer kritischer Punkt betrifft die Verwahrung des Materials. Pauschale Formulierungen zur „sicheren Verwahrung“ genügen den regulatorischen Anforderungen regelmäßig nicht. Vielmehr sind konkrete technische und organisatorische Maßnahmen erforderlich, etwa im Hinblick auf Verschlüsselung, Zugriffskontrollen, Redundanz und Auditierbarkeit. Gerade im Lichte von DORA und aufsichtsrechtlichen Anforderungen muss die Verwahrung transparent und überprüfbar ausgestaltet sein.
- Schließlich wird die Beendigung des Escrow-Vertrages häufig unzureichend geregelt. In der Praxis finden sich nicht selten Konstruktionen, bei denen die Kontrolle über das Material von kurzfristigen Weisungen oder zusätzlichen Zahlungen abhängt oder im Extremfall sogar eine automatische Löschung vorgesehen ist. Dies steht in einem deutlichen Spannungsverhältnis zu dem Ziel, kritische Ressourcen dauerhaft verfügbar zu halten. Aus Sicht des Finanzunternehmens ist daher sicherzustellen, dass auch bei Vertragsbeendigung eine geordnete Rückführung oder Weiterverwahrung erfolgt.
Zusammenfassend lässt sich festhalten, dass Escrow-Verträge ein wichtiges Instrument zur Absicherung von DORA-relevanten Risiken darstellen können, jedoch nur dann, wenn sie rechtlich präzise, technisch fundiert und operativ belastbar ausgestaltet sind. Standardisierte Vertragsmuster genügen diesen Anforderungen häufig nicht. Für Finanzunternehmen besteht daher die Notwendigkeit, Escrow nicht als formales Compliance-Element zu verstehen, sondern als integralen Bestandteil ihrer Resilienzstrategie, der einer eigenständigen rechtlichen und technischen Prüfung bedarf.
Fazit
Für die Praxis bedeutet dies: Escrow-Verträge sollten weder als bloße Formalie noch als Allheilmittel verstanden werden. Sie sind ein sinnvoller Baustein zur Absicherung kritischer Abhängigkeiten – entfalten ihren Wert aber nur, wenn sie konsequent entlang realer Krisenszenarien gedacht und umgesetzt werden. Entscheidend ist eine funktionale Betrachtung aus Sicht des Ernstfalls: Kann das Institut tatsächlich innerhalb kurzer Zeit den Betrieb fortführen? Ist der hinterlegte Code vollständig, aktuell und nutzbar? Bestehen klare Rechte zur Weiterentwicklung und Einbindung Dritter? Und sind die internen Prozesse überhaupt darauf vorbereitet, ein Escrow-Szenario operativ zu nutzen?
Gerade hier zeigt sich in der Praxis häufig eine Lücke zwischen vertraglicher Konstruktion und tatsächlicher Umsetzbarkeit. Escrow wird abgeschlossen, aber nicht getestet; Materialien werden hinterlegt, aber nicht validiert; Rechte werden vereinbart, aber nicht operationalisiert. Aus DORA-Sicht erscheint dies insbesondere im Lichte der Anforderungen an IKT-Risikomanagement, Business Continuity und regelmäßiges Testing als unzureichend.
Best Practice ist daher, Escrow in eine ganzheitliche Exit- und Resilienzstrategie einzubetten. Dazu gehören insbesondere:
- regelmäßige, aus den DORA-Anforderungen (insbesondere IKT-Risikomanagement, Business-Continuity-Management, Auslagerungssteuerung und Testing) abgeleitete technische Verifizierungen und ggf. Testläufe,
- Abstimmung mit Business-Continuity- und IT-Notfallkonzepten,
- klare Governance für den Herausgabefall,
- sowie eine kontinuierliche Überprüfung der Aktualität und Vollständigkeit des hinterlegten Materials.
Nur wenn Escrow nicht isoliert, sondern als Teil eines strukturierten Resilienzkonzepts verstanden wird, kann es einen echten Beitrag zur Erfüllung der DORA-Anforderungen leisten. Andernfalls besteht die Gefahr, dass im entscheidenden Moment zwar ein Vertrag existiert – aber keine belastbare Handlungsoption.
