Liebe Fachkolleginnen und -kollegen,
in dieser Ausgabe befassen wir uns mit aktuellen Vorgaben der europäischen Aufsichtsbehörden zu Technologie- und Auslagerungsrisiken sowie mit strategischen Impulsen im Bereich Datenschutz und Geldwäscheprävention. Die EZB und ESMA konkretisieren ihre Anforderungen an Cloud-Outsourcing, während die AMLA mit ihrem Arbeitsprogramm einen regulatorischen Schwerpunkt auf den Kryptosektor legt. Zudem eröffnet der BfDI ein Konsultationsverfahren zu datenschutzrechtlichen Fragen beim Einsatz von KI-Systemen.
Inhaltsverzeichnis
- ESMA veröffentlicht finale Leitlinien zum Cloud-Outsourcing
- EZB veröffentlicht Leitfaden zum Cloud-Outsourcing für bedeutende Institute
- AMLA veröffentlicht Arbeitsprogramm 2025 – Fokus auf Krypto und Finanzkriminalität
- BfDI startet Konsultation zu datenschutzrechtlichen Herausforderungen durch KI-Modelle
- Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
ESMA veröffentlicht finale Leitlinien zum Cloud-Outsourcing
Anwendbar für:
Depotbanken im Rahmen von AIFMD und UCITSD, die nicht unter die DORA-Verordnung fallen; Compliance- und Auslagerungsverantwortliche im Asset Management; IT- und Risikomanagement-Funktionen
Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) hat am 11. Juli 2025 ihre überarbeiteten Leitlinien zum Outsourcing an Cloud-Dienstleister veröffentlicht. Die Neufassung reagiert auf die veränderte regulatorische Landschaft im Zuge des Inkrafttretens der Verordnung über digitale operationale Resilienz (DORA).
Die neuen Leitlinien beschränken sich gezielt auf Depotbanken gemäß AIFMD und UCITSD, die nicht unter DORA fallen. Für alle anderen Finanzinstitute, die dem DORA-Regime unterliegen, sind die bisherigen Leitlinien von 2021 nicht mehr anwendbar, um Doppelregelungen und Konflikte zu vermeiden. Damit sorgt ESMA für Rechtssicherheit und Klarheit, welche Anforderungen an Cloud-Auslagerungen außerhalb des DORA-Rahmens noch gelten – insbesondere für Akteure mit zentraler Funktion in der Fondsverwaltung.
Erforderliche Maßnahmen:
- Prüfung, ob das eigene Institut vom Anwendungsbereich der DORA-Verordnung erfasst ist
- Für nicht-DORA-pflichtige Depotbanken: Überprüfung und ggf. Anpassung der Cloud-Outsourcing-Prozesse und Vertragsdokumentation auf Basis der aktualisierten ESMA-Leitlinien
- Sicherstellung, dass Risikoanalysen, Exit-Strategien und Kontrollrechte für Cloud-Auslagerungen der neuen regulatorischen Erwartung entsprechen
EZB veröffentlicht Leitfaden zum Cloud-Outsourcing für bedeutende Institute
Anwendbar für:
Bedeutende Institute unter direkter EZB-Aufsicht, IT-Management, Auslagerungsbeauftragte, Informationssicherheitsbeauftragte, interne Revision, Compliance-Abteilungen
Die Europäische Zentralbank hat ihren überarbeiteten Leitfaden zum Outsourcing an Cloud-Dienstleister veröffentlicht. Er richtet sich an direkt beaufsichtigte Banken im Einheitlichen Aufsichtsmechanismus (SSM) und konkretisiert Anforderungen an das Risikomanagement, Due-Diligence-Prüfungen, Datenzugang, Exit-Strategien und Vertragskontrollen. Ziel ist eine einheitliche Umsetzung sicherer, kontrollierter Cloud-Nutzung im Bankensektor.
Erforderliche Maßnahmen:
- Überprüfung bestehender Cloud-Outsourcing-Vereinbarungen auf Einhaltung der EZB-Anforderungen
- Anpassung von Governance- und Kontrollprozessen bei Nutzung von Cloud-Services
- Dokumentation und Bewertung der Cloud-Dienstleister gemäß den neuen risikobasierten Anforderungen (z. B. Auditrechte, Standort der Datenverarbeitung, Exit-Konzepte)
AMLA veröffentlicht Arbeitsprogramm 2025 – Fokus auf Krypto und Finanzkriminalität
Anwendbar für:
Kryptodienstleister (VASPs), Kreditinstitute mit Kryptoangeboten, Geldwäschebeauftragte, Aufsichtskontaktstellen, Compliance- und AML-Funktionen
Die Europäische Anti-Geldwäschebehörde (AMLA) hat ihr Arbeitsprogramm für 2025 veröffentlicht. Darin kündigt sie an, den Aufbau ihres Aufsichtsrahmens voranzutreiben – mit besonderem Augenmerk auf Hochrisikosektoren wie den Kryptomarkt. Es sollen operative Standards, Methoden für sektorübergreifende Risikoanalysen und technische Instrumente zur Datenverarbeitung entwickelt werden. Die AMLA hebt zudem hervor, dass sie hohe Erwartungen an die Effektivität bestehender AML-Systeme stellt – insbesondere im Hinblick auf Transparenz und Transaktionsnachverfolgung.
Erforderliche Maßnahmen:
- Strategische Vorbereitung auf künftige AMLA-Aufsichtsmaßnahmen im Kryptosektor
- Evaluierung bestehender Krypto-Compliance- und Sorgfaltspflichten im Hinblick auf Transparenz, Monitoring und Verdachtsmeldungen
- Beobachtung der geplanten Regulierungsschritte zur Integration in interne AML-Strategien
BfDI startet Konsultation zu datenschutzrechtlichen Herausforderungen durch KI-Modelle
Anwendbar für:
Datenschutzbeauftragte, Entwickler von KI-Systemen, Verantwortliche für Datenverarbeitung, IT- und Compliance-Abteilungen in datenverarbeitenden Organisationen
Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat ein Konsultationsverfahren zu den datenschutzrechtlichen Fragestellungen beim Einsatz von KI-Modellen gestartet. Zentrale Themen sind die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, Transparenzpflichten und die Wahrung von Betroffenenrechten. Ziel ist eine fundierte Einordnung von KI-Systemen unter geltendes Datenschutzrecht.
Erforderliche Maßnahmen:
- Prüfung bestehender KI-Anwendungen auf DSGVO-Konformität, insbesondere hinsichtlich Datenminimierung, Zweckbindung und Rechtmäßigkeit der Verarbeitung
- Etablierung interner Bewertungsverfahren für neue KI-Anwendungen unter Einbindung von Datenschutz, IT und Fachbereichen
- Schulung von Entwicklungsteams und Datenschutzkoordinatoren zu den spezifischen DSGVO-Risiken beim Einsatz von KI
Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein.
Jetzt kostenlos abonnieren.
Möchten Sie täglich auf dem aktuellen Stand sein?
Mit unserer Legal Rights Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.
Wir wünschen Ihnen eine erfolgreiche Woche.
Ihr Team von Riscreen