Diese Woche stehen vor allem Cyber-Resilienz, digitale Souveränität, datenschutzkonforme KI-Nutzung und die weitere Präzisierung regulatorischer Anforderungen an Offenlegung, operative Resilienz und Governance im Fokus. Nationale und internationale Behörden schärfen ihre Erwartungen an Cloud-Souveränität, den Einsatz LLM-gestützter Systeme, digitale Ermittlungsbefugnisse, Online-Sicherheit und datenschutzrechtliche Transparenz. Parallel konkretisieren EBA, BaFin und die europäischen Aufsichtsbehörden ihre Maßstäbe für operationelle Risiken, Prospektpraxis und sektorübergreifende Resilienz.
Regulierung wird technischer, operativer und stärker an belastbarer Governance, Resilienz und nachvollziehbarer Datenverarbeitung ausgerichtet.
Inhaltsverzeichnis
- 1. BSI: C3A-Kriterien für Cloud-Souveränität veröffentlicht
- 2. ESAs Joint Committee: Jahresbericht 2025 mit Fokus auf Digitalisierung, Cyber-Resilienz und Sustainable Finance
- 3. BayLfD: Veröffentlichung zum Einsatz LLM-gestützter Chatbots
- 4. DSK: Austausch zu Beschwerden, digitaler Gewalt und Deepfakes
- 5. NCSC UK: Warnung vor China-nahen verdeckten Netzwerken kompromittierter Geräte
- 6. OAIC / eSafety Commissioner: Memorandum of Understanding zu Privacy und Online Safety
- 7. BaFin: Aufsichtsmitteilung 03/2026 zur Auslegung der Prospekt-Verordnung
- 8. EBA: Stellungnahme zu Änderungen der Kommission an RTS zu operationellem Risiko
- 9. CPPA: Vorläufige Konsultation zu Notices & Disclosures und Employee Data
- Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
1. BSI: C3A-Kriterien für Cloud-Souveränität veröffentlicht
Anwendbar für: IT-Compliance, Informationssicherheit, Cloud Governance, Outsourcing, Third-Party-Risk
Relevante Maßnahmen:
- Cloud-Dienste systematisch auf Souveränitätsmerkmale und Abhängigkeiten prüfen.
- Beschaffungs- und Auslagerungsentscheidungen stärker an nachvollziehbaren Souveränitätskriterien ausrichten.
- Cloud-Governance um Anforderungen zu Kontrolle, Transparenz und strategischer Unabhängigkeit ergänzen.
2. ESAs Joint Committee: Jahresbericht 2025 mit Fokus auf Digitalisierung, Cyber-Resilienz und Sustainable Finance
Anwendbar für: Banken, Versicherer, Wertpapierfirmen, Compliance, Risikomanagement, DORA-Verantwortliche
Relevante Maßnahmen:
- Sektorübergreifende Resilienzthemen in bestehende Governance- und Kontrollrahmen einordnen.
- DORA-, Nachhaltigkeits- und Digitalisierungsanforderungen stärker integriert betrachten.
- Übergreifende Risikoüberwachung und Abstimmung zwischen Compliance, IT und Fachbereichen ausbauen.
3. BayLfD: Veröffentlichung zum Einsatz LLM-gestützter Chatbots
Anwendbar für: Datenschutz, KI-Governance, öffentliche Stellen, Compliance, digitale Verwaltung
Relevante Maßnahmen:
- Einsatzszenarien für LLM-Chatbots vorab technisch und rechtlich klar eingrenzen.
- Erforderlichkeit personenbezogener Daten bei Chatbot-Nutzung konsequent prüfen.
- Verträge, DSFA, Transparenz- und Betroffenenrechtsprozesse frühzeitig absichern.
4. DSK: Austausch zu Beschwerden, digitaler Gewalt und Deepfakes
Anwendbar für: Datenschutz, Compliance, Trust & Safety, KI-Governance, Beschwerdemanagement
Relevante Maßnahmen:
- Prozesse zum Umgang mit Beschwerden zu digitaler Gewalt und Deepfakes überprüfen.
- Zuständigkeiten für datenschutz-, plattform- und KI-bezogene Vorfälle klar abgrenzen.
- Melde-, Prüf- und Eskalationswege für missbräuchliche Inhalte und Überwachungssachverhalte schärfen.
5. NCSC UK: Warnung vor China-nahen verdeckten Netzwerken kompromittierter Geräte
Anwendbar für: Informationssicherheit, Cyber Defence, SOC, Third-Party-Risk, KRITIS-/Resilienz-Verantwortliche
Relevante Maßnahmen:
- Netzwerke auf kompromittierte SOHO-, IoT- und Smart-Devices sowie verdächtige Relaying-Muster prüfen.
- Schutzmaßnahmen gegen Botnet-gestützte Reconnaissance, Malware-Zustellung und Datenexfiltration stärken.
- Expositionsanalysen für internetnahe Infrastrukturen und schwach verwaltete Geräte aktualisieren.
6. OAIC / eSafety Commissioner: Memorandum of Understanding zu Privacy und Online Safety
Anwendbar für: Datenschutz, Plattformregulierung, Online-Safety, Trust & Safety, Governance
Relevante Maßnahmen:
- Schnittstellen zwischen Datenschutz- und Online-Safety-Anforderungen organisatorisch zusammenführen.
- Age-Assurance-, Plattform- und Safety-Programme stärker mit Privacy-by-Design verzahnen.
- Regulatorische Zuständigkeiten und Eskalationswege bei plattformbezogenen Risiken klar abbilden.
7. BaFin: Aufsichtsmitteilung 03/2026 zur Auslegung der Prospekt-Verordnung
Anwendbar für: Emittenten, Kapitalmarkt-Compliance, Legal, Prospektverantwortliche
Relevante Maßnahmen:
- Prospekterstellung und Billigungsprozesse an die neue BaFin-Auslegung anpassen.
- Vorlagen und Prüfpfade für Wertpapierprospekte rechtzeitig überprüfen.
- Listing- und Angebotsprojekte mit Billigungsziel ab Juni 2026 frühzeitig auf Umsetzungsbedarf prüfen.
8. EBA: Stellungnahme zu Änderungen der Kommission an RTS zu operationellem Risiko
Anwendbar für: Banken, Risikomanagement, Regulatory Affairs, Compliance, Internal Control
Relevante Maßnahmen:
- Auswirkungen der geänderten RTS-Anforderungen auf Operational-Risk-Frameworks prüfen.
- Methodik und Dokumentation zu CRR-bezogenem operationellem Risiko aktualisieren.
- Änderungen der Kommission frühzeitig in Kapital- und Risiko-Transformationsvorhaben einordnen.
9. CPPA: Vorläufige Konsultation zu Notices & Disclosures und Employee Data
Anwendbar für: Datenschutz, HR-Compliance, Privacy Operations, internationale Unternehmen mit Kalifornien-Bezug
Relevante Maßnahmen:
- Datenschutzhinweise und Notice-at-Collection-Prozesse auf Verständlichkeit und Vollständigkeit prüfen.
- Employee-Privacy-Prozesse enger mit allgemeinen CCPA-Informationspflichten verzahnen.
- Disclosure-Mechanismen für unterschiedliche Oberflächen und Endgeräte praxisnah überprüfen.
Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein.
Möchten Sie täglich auf dem aktuellen Stand sein?
Mit unserer Legal Risk Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.
Kontaktieren Sie uns für ein kostenfreies Erstberatungsgespräch.
Wir wünschen Ihnen eine erfolgreiche Woche.
Ihr Team von Riscreen