Liebe Fachkolleginnen und -kollegen,
in dieser Ausgabe befassen wir uns mit aktuellen Entwicklungen auf nationaler und internationaler Ebene: Das BSI kommentierte den neuen Regierungsentwurf zur NIS-2-Umsetzung, der OAIC (Australien) veröffentlichte die regulatorischen Prioritäten für 2025–26, die EBA startet eine Konsultation zu Drittstaaten-Niederlassungen von Finanzinstituten und warnt vor dem unachtsamen Einsatz innovativer Compliance-Technologien im Zusammenhang mit Geldwäsche-Risiken. Die kalifornische CPPA legt neue Vorschriften zur Cyber-Risiko-Bewertung im Rahmen des California Consumer Privacy Act vor.
Inhaltsverzeichnis
- Harmonisierung der Berichterstattung: EBA startet Konsultation zu Drittstaaten-Niederlassungen
- NIS‑2-Umsetzung: BSI veröffentlicht Regierungsentwurf
- Australien: OAIC legt regulatorische Prioritäten für 2025–26 fest
- EBA: Unachtsamer Einsatz von innovativen Compliance-Technologien kann Geldwäsche-Risiken erhöhen
- Kalifornien: CPPA legt neue Vorschriften zur Cyber-Risiko-Bewertung im Rahmen des CCPA vor
- Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Harmonisierung der Berichterstattung: EBA startet Konsultation zu Drittstaaten-Niederlassungen
Anwendbar für:
- Compliance-Verantwortliche
- Regulierungs- und Meldewesenbeauftragte
- Geschäftsleitungen
- Zentrale Einheiten von Bankengruppen mit Drittstaaten-Niederlassungen in der EU.
Wichtigste Maßnahmen:
- Einrichtung gruppenweiter Reporting-Koordinationsprozesse zur einheitlichen Datenerhebung und -konsolidierung über alle EU-Niederlassungen hinweg.
- Analyse potenzieller Offenlegungsrisiken im Hinblick auf sensible Daten zu Personal, Geschäftsmodellen und strategischer Bedeutung.
- Frühzeitige Vorbereitung auf aufsichtliche Folgeaktivitäten, z. B. strukturierte Datenabfragen, Geschäftsmodellprüfungen oder Standortvergleiche.
- Integration der neuen Pflichten in Kontroll- und Prüfprozesse, inklusive revisionssicherer Dokumentation und Qualitätssicherung.
- Einbindung der Konzernleitung zur strategischen Bewertung regulatorischer Auswirkungen auf Marktpräsenz und Governance.
NIS‑2-Umsetzung: BSI veröffentlicht Regierungsentwurf
Anwendbar für:
- IT-Sicherheitsbeauftragte
- Geschäftsleitungen
- Betreiber kritischer Infrastrukturen
- Unternehmen in den Bereichen Energie, Verkehr, Gesundheit, digitale Dienste, Abfallwirtschaft, Postdienste, Lebensmittelbranche, Forschungseinrichtungen und industrielle Produktion (ab 50 Mitarbeitenden oder 10 Mio. € Jahresumsatz)
Erforderliche Maßnahmen:
- Prüfung, ob das eigene Unternehmen künftig als „wichtige“ oder „besonders wichtige Einrichtung“ im Sinne der NIS-2 gilt
- Aufbau bzw. Anpassung eines umfassenden Risikomanagementsystems für Cybersicherheit (inkl. technischer, organisatorischer und physischer Maßnahmen)
- Schulung der Geschäftsleitung zur neuen Verantwortung und möglichen Haftung bei Pflichtverletzung
- Einführung oder Optimierung von Meldeprozessen für IT-Sicherheitsvorfälle – inklusive 24h-Erstmeldung und 72h-Folgeanalyse an das BSI
- Vorbereitung auf mögliche Überprüfungen und Audits durch das BSI; Sicherstellung der Dokumentationspflichten
- Frühzeitige strategische Integration der neuen Vorgaben in interne Governance-, Compliance- und IT-Sicherheitsstrukturen
Australien: OAIC legt regulatorische Prioritäten für 2025–26 fest
Anwendbar für:
- Datenschutzbeauftragte
- Internationale Unternehmen mit Geschäftstätigkeit in Australien
- Anbieter digitaler Dienste
- AdTech- und PropTech-Plattformen
- KI-Entwickler
- Öffentliche Stellen
Erforderliche Maßnahmen:
- Transparenz bei KI und automatisierten Entscheidungen sicherstellen: Bewertung aller KI-gestützten Systeme auf faire, nachvollziehbare Entscheidungsprozesse – insbesondere bei Profiling oder Scoring
- Tracking- und AdTech-Praktiken überarbeiten: Reduktion von Pixeltracking, Third-Party-Cookies und Verlinkungen zu Data-Brokern; Überprüfung auf datenschutzkonforme Einwilligung und Zweckbindung
- Datensparsamkeit umsetzen: Minimierung der Erhebung und Speicherfrist personenbezogener Daten – vor allem bei Standortdaten, biometrischen Daten und Verhaltenstracking
- Verarbeitung sensibler Daten durch Behörden prüfen: Implementierung transparenter Prozesse zur Bearbeitung von Auskunftsersuchen sowie zur Nutzung von Messaging-Apps durch öffentliche Stellen
EBA: Unachtsamer Einsatz von innovativen Compliance-Technologien kann Geldwäsche-Risiken erhöhen
Anwendbar für:
- Geldwäschebeauftragte
- Finanzdienstleister
- FinTechs
- Anbieter digitaler Compliance-Lösungen
Erforderliche Maßnahmen:
- Kritische Bewertung eingesetzter RegTech-/Compliance-Technologien hinsichtlich ihrer Effektivität und Sicherheitsrisiken
- Sicherstellung, dass neue Systeme in bestehende Risikobewertungsprozesse eingebunden sind und nicht zu blinden Flecken führen
- Durchführung regelmäßiger Tests und Audits zur Vermeidung unbeabsichtigter AML/CFT-Verletzungen durch technologische Tools
Kalifornien: CPPA legt neue Vorschriften zur Cyber-Risiko-Bewertung im Rahmen des CCPA vor
Anwendbar für:
- US-Compliance-Verantwortliche
- Datenschutzbeauftragte international tätiger Unternehmen
- IT- und Cybersecurity-Teams
Erforderliche Maßnahmen:
- Überarbeitung interner Cybersecurity-Bewertungsprozesse im Hinblick auf die neue Pflicht zum Risk Assessment
- Integration der neuen Vorgaben in CCPA-Compliance-Strategien, insbesondere bei Verarbeitung sensibler personenbezogener Daten
- Dokumentation und regelmäßige Aktualisierung der technischen und organisatorischen Schutzmaßnahmen gemäß CPPA-Anforderungen
Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein.
Jetzt kostenlos abonnieren.
Möchten Sie täglich auf dem aktuellen Stand sein?
Mit unserer Legal Rights Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.
Wir wünschen Ihnen eine erfolgreiche Woche.
Ihr Team von Riscreen