Diese Woche stehen mehrere europäische Aufsichts- und Regulierungsimpulse im Mittelpunkt, ergänzt um klare praktische Erwartungen der deutschen Finanzaufsicht: Den Auftakt bildet die BaFin-Fachveranstaltung „IT-Aufsicht im Finanzsektor – das erste Jahr DORA“, die eine Zwischenbilanz zur DORA-Umsetzung zieht und Schwerpunkte für kommende Prüfungen markiert. Auf Datenschutzseite startet der Europäische Datenschutzausschuss eine Konsultation zu Pflicht-Nutzerkonten im Onlinehandel, während der Europäische Gerichtshof die Verantwortlichkeit von Online-Marktplätzen für personenbezogene Daten in Nutzeranzeigen präzisiert. Auf EU- und ESA-Ebene zielt das Market-Integration-Paket der Kommission auf weniger Fragmentierung der Kapitalmärkte; die ESMA beginnt eine gemeinsame Aufsichtsaktion zu Interessenkonflikten nach MiFID II, und die EBA ergänzt den Rahmen mit einem Follow-up-Peer-Review zur Zulassung von Zahlungs- und E-Geld-Instituten. Flankiert wird dies durch neue Cyber-Resilienz-Impulse aus dem Finanzsektor (BaFin/G7) sowie einen Leitfaden zur sicheren Integration von Künstlicher Intelligenz in operative Technologien aus den USA.
Inhaltsverzeichnis
- 1. BaFin: DORA nach einem Jahr – Aufsichtsschwerpunkte für IT und Drittparteienrisiken
- 2. EBA: Follow-up Peer Review zu Zahlungsinstituten & E-Money-Instituten veröffentlicht
- 3. BaFin: G7 Cyber Expert Group – internationale Cyber-Resilienz im Finanzsektor
- 4. EU-Kommission: Market-Integration-Package zur Stärkung integrierter Kapitalmärkte
- 5. ESMA: Gemeinsame Aufsichtsaktion zu Interessenkonflikten nach MiFID II
- 6. EDPB: Konsultation zu Rechtsgrundlagen für Pflicht-Nutzerkonten im E-Commerce
- 7. EuGH: Online-Marktplätze sind für personenbezogene Daten in Nutzeranzeigen verantwortlich
- 8. CISA: Leitfaden zur sicheren Integration von Künstlicher Intelligenz in operative Technologien
- Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
1. BaFin: DORA nach einem Jahr – Aufsichtsschwerpunkte für IT und Drittparteienrisiken
Anwendbar für: IKT-Führungskräfte und IKT-Expertinnen/-Experten beaufsichtigter Unternehmen, IT-Dienstleister im Finanzsektor, Informationssicherheits- und Compliance-Teams
Maßnahmen:
- Drittparteienrisikomanagement und Informationsregister nach DORA auf Vollständigkeit, Klassifizierung und laufende Aktualisierung prüfen.
- Prozesse für IKT-Vorfallmeldung sowie interne Schwellenwerte und Eskalationswege an die bisherigen Aufsichtserkenntnisse anpassen.
- DORA-Readiness für Prüfungen stärken, insbesondere durch belastbare Nachweise zu Kontrollen, Tests der Resilienz und Governance-Reporting.
2. EBA: Follow-up Peer Review zu Zahlungsinstituten & E-Money-Instituten veröffentlicht
Anwendbar für: Zahlungsinstitute, E-Money-Institute, Zahlungsdienstleister, Compliance & Zulassungsmanagement
Maßnahmen:
- Zulassungsunterlagen und Geschäftsplan auf Vollständigkeit und Plausibilität schärfen, damit Anträge nicht an Qualitätsmängeln scheitern.
- Governance und Kontrollfunktionen belastbar nachweisen, insbesondere Risikomanagement, Compliance und interne Prüfung.
- Tatsächliche Präsenz und operative Steuerung im Zulassungsstaat sicherstellen und dokumentieren, also Management, Kernfunktionen und Entscheidungswege vor Ort verankern statt rein aus dem Ausland zu steuern.
3. BaFin: G7 Cyber Expert Group – internationale Cyber-Resilienz im Finanzsektor
Anwendbar für: Finanzinstitute, Informationssicherheits- und Risiko-Teams, Vorstände, Auslagerungsmanagement
Maßnahmen:
- Cyber-Resilienz als grenzüberschreitendes Systemrisiko in der Gesamtbanksteuerung verankern und regelmäßig im Vorstand berichten.
- Gemeinsame Bedrohungsszenarien und Lessons Learned aus internationalen Übungen in die eigenen Notfall- und Wiederanlaufpläne übernehmen.
- Kooperations- und Meldewege mit Aufsicht und relevanten Partnern für Großschadenslagen klar definieren und testen.
4. EU-Kommission: Market-Integration-Package zur Stärkung integrierter Kapitalmärkte
Anwendbar für: Wertpapierfirmen, Marktinfrastrukturen, Banken, Strategie- und Regulatory-Teams
Maßnahmen:
- Eigene Geschäftsmodelle und Produktangebote auf Chancen und Pflichten eines stärker integrierten Binnenmarkts bewerten.
- Interne Prozesse für grenzüberschreitenden Vertrieb und Post-Trade-Abläufe auf Vereinheitlichungspotenziale prüfen.
- Konsultationsinhalte beobachten und frühzeitig in die strategische Planung für EU-weite Aktivitäten einarbeiten.
5. ESMA: Gemeinsame Aufsichtsaktion zu Interessenkonflikten nach MiFID II
Anwendbar für: Wertpapierfirmen, Anlageberater, Vertriebsorganisationen, Compliance, Produkt-Governance
Maßnahmen:
- Interessenkonflikt-Policy und Vergütungsmodelle im Vertrieb prüfen und auf wirksame Vermeidung bzw. Offenlegung ausrichten.
- Kontrollen zu Produktfreigabe, Zielmarkt und Vertriebsoptionen schärfen, besonders bei komplexen oder margenstarken Produkten.
- Nachweise zur Überwachung von Konflikten dokumentationsfest aufbereiten, um Aufsichtsprüfungen standzuhalten.
6. EDPB: Konsultation zu Rechtsgrundlagen für Pflicht-Nutzerkonten im E-Commerce
Anwendbar für: Betreiber von Online-Shops und Plattformen, Datenschutzbeauftragte, Legal, Produktverantwortliche
Maßnahmen:
- Prüfen, ob eine Konto-Pflicht für Kunden tatsächlich erforderlich ist oder ob Bestellungen auch ohne Konto datenschutzkonformer möglich sind.
- Rechtsgrundlagen und Transparenztexte für Registrierungspflichten überprüfen, insbesondere zur Freiwilligkeit und zu Alternativen.
- Registrierungsprozesse datenminimierend gestalten und nur Informationen abfragen, die für den konkreten Zweck nötig sind.
7. EuGH: Online-Marktplätze sind für personenbezogene Daten in Nutzeranzeigen verantwortlich
Anwendbar für: Plattformbetreiber, Marktplatz- und Classified-Anbieter, Datenschutz, Legal, Trust-and-Safety-Teams
Maßnahmen:
- Verfahren einführen, die vor Veröffentlichung Anzeigen mit sensiblen personenbezogenen Daten erkennen und stoppen.
- Identitäts- und Einwilligungsprüfungen bei Anzeigen mit fremden personenbezogenen Daten verpflichtend machen.
- Technische Schutzmaßnahmen etablieren, um das unrechtmäßige Kopieren und Weiterverbreiten solcher Anzeigen zu verhindern.
8. CISA: Leitfaden zur sicheren Integration von Künstlicher Intelligenz in operative Technologien
Anwendbar für: Betreiber industrieller Anlagen, Kritische Infrastrukturen, IT- und OT-Security, Produkt- und KI-Teams
Maßnahmen:
- Künstliche-Intelligenz-Komponenten nur nach formaler Risikoanalyse in operative Systeme integrieren, inklusive Sicherheitsanforderungen für Daten und Modelle.
- Datenquellen, Trainingsdaten und Modell-Updates gegen Manipulation absichern und lückenlos nachverfolgbar machen.
- Überwachung und Notfallmechanismen für fehlerhafte oder kompromittierte KI-Entscheidungen in OT-Umgebungen aufsetzen.
Die wichtigsten Compliance-Meldungen jetzt jede Woche kostenlos erhalten
Bereits viele Compliance-Beauftragte nutzen unseren kostenlosen Service und erhalten die wichtigsten Neuigkeiten aus den Bereichen Compliance, Geldwäscheprävention, Datenschutz und IT-Sicherheit. Wir geben wöchentlich einen Überblick über die wichtigsten Meldungen und ordnen diese ein.
Möchten Sie täglich auf dem aktuellen Stand sein?
Mit unserer Legal Risk Monitoring Software erhalten Sie Zugriff auf alle Meldungen und können diese nach Relevanz, Art und Bereich filtern. Sie können Zusammenfassungen erstellen und herunterladen. Sprechen Sie uns an.
Kontaktieren Sie uns für ein kostenfreies Erstberatungsgespräch.
Wir wünschen Ihnen eine erfolgreiche Woche.
Ihr Team von Riscreen