Riscreen Compliance-Newsletter – Ausgabe KW 03/2026

Diese Woche stehen wichtige Entwicklungen in den Bereichen Datenschutz, Finanzaufsicht, Geldwäschebekämpfung, Reporting und IT-Resilienz im Vordergrund. Der Europäische Datenschutzausschuss (EDPB) konsultiert neue Empfehlungen zu Genehmigungs- und Prüfprozessen nach der DSGVO. Die AMLA und EBA schließen die Übergabe zentraler AML/CFT-Mandate ab und leiten eine neue Phase europäischer Geldwäscheaufsicht ein. Parallel skizziert das Gemeinsame Bank Reporting Committee sein Arbeitsprogramm 2026. Die ESMA berichtet über nationale Schwellenwerte für Transaktionsmeldungen gemäß Marktmissbrauchsrecht. Ergänzend stellt die BaFin eine neue Anleitung für DORA-IKT-Vorfallsmeldungen bereit — relevant für IKT-, Incident-Response- und Compliance-Teams.

Inhaltsverzeichnis

• 1. EDPB: FAQ zum EU-US Data Privacy Framework für europäische Unternehmen
• 2. EDPB: Neues Verfahren zur Zusammenarbeit zwischen Aufsichtsbehörden
• 3. EDPB & EDPS: Gemeinsame Stellungnahme zum Vorschlag der Digital Omnibus Regulation
• 4. Europol: Priorisierung der Migration zu Post-Quantum-Kryptografie
• 5. EU-Kommission: Neues EU-Cybersecurity-Paket (Überarbeitung des Cybersecurity Act)
• 6. EDPB: Konsultation zu verbindlichen internen Datenschutzvorschriften – Art. 47 DSGVO
• 7. EDPB: Beitrag zur Evaluierung der Datenschutzrichtlinie für Strafverfolgung (LED)
• 8. AMLA & EBA: Übergabe der AML/CFT-Mandate abgeschlossen
• 9. EBA: Arbeitsprogramm Joint Reporting Committee 2026
• 10. ESMA: Übersicht zu angehobenen Schwellenwerten für PDMR-Transaktionsmeldungen (MAR)
• 11. ESMA: Public Statement zu Übergangsregelungen unter der Benchmark-Reform
• Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten

1. EDPB: FAQ zum EU-US Data Privacy Framework für europäische Unternehmen

Anwendbar für: Datenschutz, Legal, Data Governance, internationale Datenübermittlung

Relevante Maßnahmen:

• DPF-Transfers prüfen und dokumentieren, ob Empfänger zertifiziert und aktuell gelistet sind.
• Ergänzende Kontrollen (z. B. Datensparsamkeit, Zweckbindung) in Transferprozessen verankern.
• Datenschutzinformationen und Verzeichnisse um Hinweise zum DPF-Übermittlungsmechanismus ergänzen.

Quelle

2. EDPB: Neues Verfahren zur Zusammenarbeit zwischen Aufsichtsbehörden

Anwendbar für: Datenschutz, Legal, Unternehmen mit EU-weite Verarbeitung oder mehreren Aufsichtsbehörden

Relevante Maßnahmen:

• Prozesse für Anfragen der federführenden Behörden anpassen.
• Eindeutige Rollen, Ansprechpartner und Eskalationswege definieren.
• Dokumentations- und Antwortstandards für grenzüberschreitende Verfahren stärken.

Quelle

3. EDPB & EDPS: Gemeinsame Stellungnahme zum Vorschlag der Digital Omnibus Regulation

Anwendbar für: Betreiber digitaler Dienste und Plattformen, Datenschutzverantwortliche, Legal, Produkt- und Digital-Teams

Relevante Maßnahmen:

• Analyse, welche geplanten Änderungen Konsequenzen für Datenverarbeitung, Nutzertransparenz und Produktdesign haben.
• Prozesse zu Datenminimierung, Weitergabe und Dokumentation auf mögliche neue Anforderungen ausrichten.
• Governance- und Datenminimierungsprozesse stärken, insbesondere bei KI-Funktionen und bei Datennutzung über Dienstegrenzen hinweg.

Quelle

4. Europol: Priorisierung der Migration zu Post-Quantum-Kryptografie

Anwendbar für: Finanzinstitute, KRITIS, Cybersecurity, IT-Architektur

Relevante Maßnahmen (kompakt):

• Bestehende Kryptografie inventarisieren und Systeme mit hohem Risiko bei Quantum-Angriffen priorisieren.
• Migrationspfade zu PQC-fähigen Verfahren planen (inkl. Schlüssel- und Zertifikatsmanagement).
• Governance, Budget und Roadmaps für eine mehrjährige PQC-Transformation vorbereiten.

Quelle

5. EU-Kommission: Neues EU-Cybersecurity-Paket (Überarbeitung des Cybersecurity Act)

Anwendbar für: Finanzinstitute, KRITIS-Betreiber, Dienstleister mit ICT-Lieferketten, Informationssicherheit, Compliance, Third-Party-Risk-Management

Relevante Maßnahmen:

• ICT-Lieferketten prüfen und Risiken aus Hochrisiko-Komponenten oder Drittstaatenabhängigkeiten identifizieren; ggf. Ersatzstrategien vorbereiten.
• Bewertungs- und Nachweisprozesse für Sicherheitsstandards an das neue EU-Zertifizierungsmodell anpassen und frühzeitig PQ-, Ransomware- und Supply-Chain-Risiken adressieren.
• NIS2-Pflichten und Vorfallmanagement an die vorgesehenen EU-Harmonisierungsschritte und die erweiterten ENISA-Funktionen anpassen.

Quelle

6. EDPB: Konsultation zu verbindlichen internen Datenschutzvorschriften – Art. 47 DSGVO

Anwendbar für: Datenschutz, Konzern-Compliance, Legal, Data Governance

Relevante Maßnahmen:

• Bestehende oder geplante BCR-Programme gegen EDPB-Anforderungen prüfen (Governance, Kontrollen, Datenflüsse).
• Prozesse für Review, Aktualisierung und Re-Approval der BCR definieren.
• Konzernübergreifende Transferprozesse an erhöhte Transparenz- und Auditpflichten anpassen.

Quelle

7. EDPB: Beitrag zur Evaluierung der Datenschutzrichtlinie für Strafverfolgung (LED)

Anwendbar für: Behörden, KRITIS-Sektoren, Unternehmen mit Verarbeitung in polizeinahen Kontexten

Relevante Maßnahmen:

• Prüfen, ob Überarbeitungen der LED Anforderungen an Löschfristen, Datenminimierung oder Rechtsgrundlagen betreffen.
• Datenschutzprozesse an mögliche Änderungen in Übermittlungen an Strafverfolgungsbehörden anpassen.
• Governance und notwendige Accountability-Nachweise stärken.

Quelle

8. AMLA & EBA: Übergabe der AML/CFT-Mandate abgeschlossen

Anwendbar für: Banken, Finanzdienstleister, AML/KYC-Teams

Relevante Maßnahmen:

• AML-Governance und Risikoanalysen auf AMLA-Standards und EU-Harmonisierung ausrichten.
• Reporting und Monitoring für grenzüberschreitende Risiken aktualisieren.
• Eskalations- und Kooperationswege mit AMLA und nationalen Behörden neu definieren.

Quelle

9. EBA: Arbeitsprogramm Joint Reporting Committee 2026

Anwendbar für: Meldewesen, Risk, Finance, Data-Management, IT

Relevante Maßnahmen:

• Reporting-Roadmap an Schwerpunkten wie Datenqualität, Harmonisierung, Automatisierung ausrichten.
• Infrastruktur und Datenschnittstellen an kommende ITS-Änderungen vorbereiten.
• Validierungs- und Abstimmprozesse zwischen Fachbereichen stärken.

Quelle

10. ESMA: Übersicht zu angehobenen Schwellenwerten für PDMR-Transaktionsmeldungen (MAR)

Anwendbar für: Emittenten, Compliance, Legal, PDMR-Prozesse

Relevante Maßnahmen:

• Länderabhängige Schwellenwerte prüfen und interne Meldepflichtprozesse anpassen.
• PDMR-Richtlinien und Schulungen aktualisieren.
• Kommunikationspflichten und Fristen präzisieren.

Quelle

11. ESMA: Public Statement zu Übergangsregelungen unter der Benchmark-Reform

Anwendbar für: Banken, Kapitalverwaltungsgesellschaften, Treasury, Benchmark-Governance

Relevante Maßnahmen:

• Übergangsbestimmungen prüfen und interne Prozesse für Benchmark-Nutzung anpassen.
• Dokumentation zu alternativen Benchmarks und Fallback-Regelungen aktualisieren.
• Kommunikation mit Kunden und Investoren zu Übergangsfristen sicherstellen.

Quelle

Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten

Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein. 

Jetzt kostenlos abonnieren.

Möchten Sie täglich auf dem aktuellen Stand sein?

Mit unserer Legal Risk Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.

Kontaktieren Sie uns für ein kostenfreies Erstberatungsgespräch.

Wir wünschen Ihnen eine erfolgreiche Woche.

Ihr Team von Riscreen