Regulatorische Compliance 2026: Datenschutz, IT-Sicherheit, KI und Auslagerungen
Stand: April 2026
Inhaltsverzeichnis
- Einleitung
- Aktuelle regulatorische Landschaft (2026)
- Datenschutz und Compliance
- IT-Sicherheit und Betriebskontinuität
- KI-Regulierung: EU AI Act und nationale Umsetzung
- Auslagerungen und Drittanbieter-Management
- Konsequenzen bei Verstößen
- Praktische Handlungsempfehlungen
- Fazit und Ausblick
- Anhang: Wichtige Quellen und Tools
Einleitung
Die regulatorische Landschaft für Unternehmen in der EU und Deutschland hat sich seit 2020 grundlegend verändert. Neben der DSGVO und dem BDSG-neu sind neue EU-Verordnungen wie der Data Act, der Digital Operational Resilience Act (DORA) und die NIS2-Richtlinie in Kraft getreten. Gleichzeitig gewinnt die KI-Regulierung durch den EU AI Act an Bedeutung. Diese Entwicklungen erfordern eine integrierte Compliance-Strategie, die Datenschutz, IT-Sicherheit, KI-Nutzung und Auslagerungsmanagement abdeckt.
Dieser Artikel gibt einen umfassenden Überblick über die aktuellen Anforderungen, Neuerungen und Handlungsempfehlungen für Unternehmen – mit Fokus auf die praktische Umsetzung und Risikominimierung.
2. Aktuelle regulatorische Landschaft (2026)
2.1 Bundesdatenschutzgesetz (BDSG-neu)
- Stand: Letzte Novellierung am 14. Mai 2024, weitere Anpassungen 2025/2026.
- Zweck: Konkretisierung der DSGVO für den Beschäftigtendatenschutz und nationale Besonderheiten.
- Wichtige Neuerungen 2025/2026:
- DSK (Datenschutzkonferenz) ist gesetzlich verankert – verbesserte Koordination zwischen Behörden.
- Auskunftsrechte: Aktualisierte Regelungen zu Scoring-Systemen (z.B. Schufa) und automatisierten Entscheidungen.
- Datenschutzbeauftragter: Kleine Unternehmen (<20 Mitarbeiter) sind von der Pflicht ausgenommen, sofern keine sensiblen Daten verarbeitet werden.
- Automatisierte Entscheidungen: Strengere Transparenzpflichten für KI-gestützte Entscheidungen (z.B. Kreditvergabe, Personalauswahl).
2.2 Data Act (EU) – Inkraft seit 11. Januar 2024, anwendbar ab 12. September 2025
- Ziel: Erleichterter Zugang zu nicht-personenbezogenen Daten (z.B. IoT, Maschinen, Fahrzeuge).
- Pflichten für Hersteller und Anbieter:
- Standardisierte Schnittstellen für Datenzugang und -portabilität.
- Cloud-Anbieter müssen Wechselprozesse ermöglichen.
- B2G-Datenzugang: Behörden erhalten unter bestimmten Umständen Rechte auf Datennutzung.
- Übergangsfristen: Bis 12. September 2025 müssen Unternehmen die Anforderungen umsetzen. 延期frist bis Ende 2026 für bestimmte Branchen.
- Aktueller Stand 2026:
- Erste Leitlinien der EU-Kommission zu technischen Standards (veröffentlicht März 2026).
- Hersteller von IoT-Geräten müssen standardisierte Schnittstellen bereitstellen.
2.3 Neue Datenschutzgesetze in den USA (ab 2025)
- Betroffene Bundesstaaten: Florida, Oregon, Texas, Tennessee, Maryland u.a.
- Prinzip: Opt-Out (Datenverarbeitung bis zum Widerspruch).
- American Privacy Rights Act (APRA):
- Entwurf 2024, Einbringung in den Senat März 2025.
- Bei Verabschiedung: Paradigmenwechsel Richtung DSGVO-ähnlicher Rechte (Auskunft, Löschung, Widerspruch).
- Datentransfers:
- Neue US-Vorgaben ab April 2025 für internationale Datentransfers, insbesondere zu „Countries of Concern“ (China, Russland etc.).
- Aktuell: Liste der „Countries of Concern“ wurde 2025 erweitert.
2.4 Digital Operational Resilience Act (DORA) der EU
- Ziel: Harmonisierung und Verschärfung der digitalen Resilienz im Finanzsektor.
- Anwendungsbereich: Finanzinstitute und kritische IKT-Dienstleister.
- Pflichten:
- IKT-Risikomanagement (z.B. Cybersicherheit, Incident Management).
- Meldepflichten für schwerwiegende IKT-Vorfälle (innerhalb von 72 Stunden).
- Überwachung kritischer Drittanbieter (Cloud, IT-Dienstleister).
- Fristen:
- Inkrafttreten: 17. Januar 2023.
- Vollständige Umsetzung: 17. Januar 2025.
- Erste Prüfungen durch die BaFin fanden 2026 statt.
- Abgelöste Vorschriften: BAIT, KAIT, VAIT, ZAIT.
- Aktueller Stand 2026:
- Viele Institute sind noch nicht vollständig compliant.
- BaFin hat Leitlinien zur Cloud-Nutzung veröffentlicht.
- Jährliche Resilienzberichte an die BaFin Pflicht.
2.5 NIS2-Richtlinie (EU) – Umsetzung in Deutschland
- Ziel: Stärkung der Cybersicherheit kritischer Infrastrukturen und wichtiger Dienste.
- Betroffene Sektoren: Energie, Verkehr, Banken, Gesundheitswesen, digitale Infrastruktur, öffentliche Verwaltung, Postdienste, Abfallwirtschaft u.a.
- Pflichten:
- Risikomanagement (ISMS nach ISO 27001 oder BSI-Grundschutz).
- Meldepflichten:
- Schwere Vorfälle: Innerhalb von 24 Stunden an das BSI.
- Mittelschwere Vorfälle: Innerhalb von 72 Stunden.
- Incident Response: Regelmäßige Tests und Schulungen.
- Supply Chain Security: Überprüfung von Drittanbietern.
- Aufsicht: BSI überwacht die Umsetzung.
- Sanktionen: Bis zu 10 Mio. € oder 2% des weltweiten Umsatzes.
- Aktueller Stand 2026:
- Erste Sanktionen durch das BSI erwartet.
- Jährliche Sicherheitsberichte an das BSI Pflicht.
2.6 KI-Regulierung: EU AI Act
- Inkraft: 1. August 2024, schrittweise Anwendung ab 2025/2026.
- Risikokategorien:
- Unannehmbares Risiko: Verboten (z.B. Social Scoring, manipulative KI).
- Hohes Risiko: Strenge Anforderungen (z.B. KI in Medizin, Personalauswahl).
- Begrenztes Risiko: Transparenzpflichten (z.B. Chatbots, Deepfakes).
- Minimales Risiko: Frei, aber mit freiwilligen Ethikrichtlinien.
- Pflichten für Unternehmen:
- Registrierung von Hochrisiko-KI-Systemen.
- Konformitätsbewertung vor Markteinführung.
- Transparenz: Nutzer müssen über KI-gestützte Entscheidungen informiert werden.
- Meldepflichten: Schwerwiegende Vorfälle (z.B. diskriminierende Algorithmen).
- Aktueller Stand 2026:
- Erste Leitlinien zu KI-Risikobewertungen (veröffentlicht März 2026).
- KI-Gesetz in Deutschland umgesetzt (Dezember 2025).
- BSI und BaFin überwachen die Einhaltung.
3. Datenschutz und Compliance
3.1 Grundlagen: DSGVO und BDSG-neu
| Bereich | Regelwerk | Wichtige Punkte |
|---|---|---|
| Auftragsdatenverarbeitung | § 11 BDSG / Art. 28 DSGVO | Verträge müssen DSGVO-konform gestaltet sein. |
| Datengeheimnis | § 5 BDSG / Art. 29 DSGVO | Mitarbeiter müssen auf Verschwiegenheit verpflichtet werden. |
| Technische & organisatorische Maßnahmen | § 9 BDSG i.V.m. Anlage / Art. 32 DSGVO | Risikobasierter Ansatz (Verschlüsselung, Zugriffskontrollen). |
| Auskunftspflichten | §§ 34, 42 BDSG / Art. 15 DSGVO | Behörden können Vor-Ort-Prüfungen durchführen. |
| Transparenz | Art. 5 DSGVO | Klare Information über Datenverarbeitung. |
3.2 Data Act: Praktische Umsetzung
- Betroffene Daten: Nicht-personenbezogene Daten (z.B. Sensordaten von Maschinen).
- Pflichten:
- Standardisierte Schnittstellen für Datenzugang.
- Cloud-Anbieter müssen Wechselprozesse ermöglichen.
- Empfehlung:
- Datenkartierung durchführen, um nicht-personenbezogene Daten zu identifizieren.
- Verträge mit Cloud-Anbietern anpassen (z.B. Datenportabilität).
3.3 Datentransfers in die USA
- Neue US-Gesetze: Opt-Out-Prinzip in Florida, Oregon etc.
- APRA: Bei Verabschiedung bundesweite Standards nach DSGVO-ähnlichem Modell.
- Empfehlung:
- Standardvertragsklauseln (SCC 2021) nutzen.
- Binding Corporate Rules (BCR) prüfen.
4. IT-Sicherheit und Betriebskontinuität
4.1 NIS2-Compliance
- ISMS einführen: Zertifizierung nach ISO 27001 oder BSI-Grundschutz.
- Incident-Response-Plan:
- 24h/72h-Meldepflicht für Cybervorfälle.
- Regelmäßige Penetrationstests und Schulungen.
- Drittanbieterprüfung:
- Überprüfung von Cloud-Anbietern und Lieferketten.
- Aktueller Stand 2026:
- BSI-NIS2-Checkliste für die Umsetzung.
- Jährliche Sicherheitsberichte an das BSI Pflicht.
4.2 DORA-Anforderungen
- IKT-Risikomanagement:
- Kombination aus Cybersicherheit, Incident Management und Business Continuity.
- Überwachung kritischer Drittanbieter:
- Verträge mit Cloud-Providern müssen DORA-konform sein.
- Meldepflichten:
- IKT-Vorfälle innerhalb von 72 Stunden melden.
- Aktueller Stand 2026:
- BaFin-Leitlinien zur Cloud-Nutzung (2025/2026).
- Jährliche Resilienzberichte Pflicht.
4.3 BSI-Standards und ISO-Normen
- BSI 200-4: Praxisnahe Anleitung für Business Continuity Management (BCM).
- ISO 22301: Internationaler Standard für BCM.
- ISO 27001: Information Security Management System (ISMS).
- Empfehlung:
- BCMS einführen und regelmäßig testen.
- Kombination aus DORA, NIS2 und ISO 27001 nutzen.
5. KI-Regulierung: EU AI Act und nationale Umsetzung
5.1 Risikokategorien und Pflichten
| Risikokategorie | Beispiele | Pflichten |
|---|---|---|
| Unannehmbares Risiko | Social Scoring, manipulative KI | Verboten |
| Hohes Risiko | KI in Medizin, Personalauswahl, kritische Infrastrukturen | Registrierung, Konformitätsbewertung, Transparenz |
| Begrenztes Risiko | Chatbots, Deepfakes | Transparenzpflichten |
| Minimales Risiko | Einfache KI-Anwendungen | Frei, aber freiwillige Ethikrichtlinien |
5.2 Praktische Umsetzung
- Bestandsaufnahme:
- Alle KI-Systeme identifizieren und klassifizieren.
- Compliance-Check:
- Hochrisiko-KI-Systeme registrieren und zertifizieren.
- Transparenz:
- Nutzer über KI-Nutzung informieren (z.B. „Dieser Chatbot nutzt KI“).
- Erklärbarkeit für automatisierte Entscheidungen sicherstellen.
- Schulungen:
- Mitarbeiter für KI-Ethik und Datenschutz sensibilisieren.
- Tools:
- KI-Governance-Plattformen wie IBM Watson OpenScale oder Microsoft Responsible AI.
5.3 Schnittstellen zu anderen Regelwerken
- DSGVO: KI-Systeme müssen DSGVO-konform sein (z.B. keine diskriminierenden Algorithmen).
- NIS2: Hochrisiko-KI in kritischen Infrastrukturen unterliegt NIS2-Meldepflichten.
- DORA: KI-Systeme im Finanzsektor müssen DORA-konform sein.
6. Auslagerungen und Drittanbieter-Management
6.1 Regulatorische Vorgaben für Finanzinstitute
- § 25b KWG:
- Wesentliche Auslagerungen unterliegen strengen Vorgaben.
- Auslagerungsverträge müssen Prüfungsrechte, Weisungsrechte und Datenschutz regeln.
- MaRisk (AT 4.3):
- Risikomanagement muss Auslagerungsrisiken abdecken.
- Interne Governance muss sicherstellen, dass ausgelagerte Funktionen zum Risikoprofil passen.
- EBA-Leitlinien:
- Meldepflichten für wesentliche Auslagerungen.
- Überwachung durch Aufsichtsbehörden.
- Cloud-Auslagerungen:
- Nutzung von zugelassenen Anbietern (BaFin-Liste 2026).
- EBA-Leitlinien zur Cloud-Auslagerung (2019) bleiben Referenz.
6.2 DORA-Anforderungen an Auslagerungen
- Überwachung kritischer IKT-Drittdienstleister.
- Meldepflichten für IKT-Vorfälle.
- Risikomanagement muss Auslagerungsrisiken abdecken.
- Vertragsgestaltung:
- Klare Haftungsregelungen für KI-Fehler oder Cybervorfälle.
- Auditrechte für Aufsichtsbehörden vereinbaren.
6.3 Praktische Empfehlungen
- Verträge anpassen:
- Cloud-/Outsourcing-Verträge an DORA und NIS2 anpassen.
- Risikoanalysen durchführen:
- Regelmäßige Third-Party-Risikoanalysen (z.B. Cloud-Anbieter).
- Reportingprozesse aufbauen:
- IKT-Vorfälle innerhalb von 72 Stunden melden.
7. Konsequenzen bei Verstößen
| Regelwerk | Bußgelder | Strafrechtliche Sanktionen | weitere Konsequenzen |
|---|---|---|---|
| DSGVO | Bis zu 20 Mio. € oder 4% des Umsatzes | Freiheitsstrafen bis zu 2 Jahren | Reputationsschäden, Schadensersatzansprüche |
| BDSG | Bis zu 300.000 € | Freiheitsstrafen möglich | Arbeitsrechtliche Konsequenzen, Wettbewerbsrechtliche Folgen |
| DORA | Bis zu 5 Mio. € oder 1% des Umsatzes | – | Vertragsstrafen, Meldepflichten |
| NIS2 | Bis zu 10 Mio. € oder 2% des Umsatzes | – | Persönliche Haftung (Geschäftsführer), Reputationsschäden |
| EU AI Act | Bis zu 7% des weltweiten Umsatzes | – | Produktverbote, Schadensersatz |
7.1 Reputationsschäden
- Beispiele:
- Twitter/X (2025): Datenleck von 200 Mio. Nutzern → 150 Mio. US-Dollar Strafe + DSGVO-Verfahren in der EU.
- Facebook-Cambridge Analytica (2018): 5 Mrd. US-Dollar Strafe + Klagen.
- Empfehlung:
- Krisenkommunikationsplan erstellen.
- Transparenz in der Kommunikation mit Betroffenen.
7.2 Arbeitsrechtliche Konsequenzen
- Verstöße gegen Datenschutz können zu Abmahnungen oder Kündigungen führen.
- Beispiel: Deutsche Telekom (2008) – Überwachungsskandal führte zu Reputationsschäden.
8. Praktische Handlungsempfehlungen
8.1 Für alle Unternehmen
- Bestandsaufnahme:
- Prüfen Sie Ihre Datenschutz-, IT-Sicherheits- und Auslagerungsprozesse auf Einhaltung der aktuellen Rechtslage.
- Datenkartierung durchführen (Data Act, DSGVO).
- Compliance-Check:
- Nutzen Sie Checklisten (z.B. BSI-NIS2-Checkliste, BaFin-Leitlinien).
- Externe Beratung bei komplexen Themen (z.B. KI-Regulierung).
- Schulungen:
- Sensibilisieren Sie Mitarbeiter für Datenschutz, IT-Sicherheit und KI-Ethik.
- Tools:
- Compliance-Software wie OneTrust, ServiceNow GRC oder IBM Watson OpenScale.
8.2 Für Finanzinstitute
- DORA-Compliance:
- IKT-Risikomanagement nach DORA umsetzen.
- Meldepflichten für IKT-Vorfälle einführen.
- Cloud-Auslagerungen:
- Nur zugelassene Cloud-Anbieter nutzen (BaFin-Liste 2026).
- Verträge an DORA anpassen.
- KI-Nutzung:
- KI-Systeme klassifizieren und registrieren (EU AI Act).
- Erklärbarkeit für automatisierte Entscheidungen sicherstellen.
8.3 Für KRITIS-Betreiber
- NIS2-Compliance:
- ISMS nach ISO 27001 oder BSI-Grundschutz einführen.
- Incident-Response-Plan erstellen (24h/72h-Meldepflicht).
- Supply Chain Security:
- Drittanbieter auf NIS2-Compliance prüfen.
- Regelmäßige Tests:
- Penetrationstests und Risikoanalysen durchführen.
8.4 Für KMUs
- Priorisierung:
- Fokus auf kritische Systeme (KRITIS, Hochrisiko-KI).
- Externe Unterstützung:
- Nutzung von Vorlagen (z.B. BSI-KMU-Checklisten).
- Schrittweise Umsetzung:
- Starten Sie mit DSGVO und BDSG-neu, dann NIS2/DORA.
9. Fazit und Ausblick
9.1 Wesentliche Erkenntnisse
- Compliance ist kein einmaliger Prozess, sondern eine dauerhafte Aufgabe.
- Integrierte Ansätze (z.B. Kombination aus DORA, NIS2 und ISO 27001) sind effizienter als isolierte Lösungen.
- Ressourcen und Expertise sind entscheidend – externe Beratung kann helfen.
- Transparenz und Dokumentation sind zentral für die Einhaltung aller Regelwerke.
9.2 Ausblick 2026/2027
- EU AI Act: Vollständige Anwendung ab 2027 – erste Klagen und Urteile erwartet.
- NIS2: Erste Sanktionen durch das BSI werden 2026 erwartet.
- KI-Haftungsregeln: EU arbeitet an einem AI Liability Directive-Entwurf (Verabschiedung frühestens 2027).
- Quantum Computing: NIS2 und KI-Regulierung werden um Quantum-Resilienz-Anforderungen erweitert.
- Globale Harmonisierung: Abkommen zwischen EU und USA zu KI-Standards (z.B. NIST AI RMF vs. EU AI Act).
9.3 Letzter Rat
„Compliance ist kein Sprint, sondern ein Marathon. Beginnen Sie jetzt mit der Umsetzung und bleiben Sie auf dem Laufenden – die regulatorischen Anforderungen werden weiter steigen.“
10. Anhang: Wichtige Quellen und Tools
10.1 Wichtige Rechtsquellen
Fälle mit korrigierten und ergänzten Informationen:
1. Facebook-Cambridge Analytica (2018)
- Korrektur:
Die Schätzungen zur Anzahl der betroffenen Nutzer variieren. Offizielle Angaben von Facebook sprechen von bis zu 87 Millionen Nutzern, während andere Quellen von 50 Millionen ausgehen.- Strafe: Facebook einigte sich auf eine Strafzahlung von 5 Milliarden US-Dollar mit der US-Handelsaufsicht FTC.
- Folgen in Deutschland/EU:
Die Datenschutzbehörden in Deutschland und der EU haben keine direkte Strafe verhängt, aber die irische Datenschutzbehörde (DPC) hat Facebook wegen Verstößen gegen die DSGVO mit einer Strafe von 265 Millionen Euro belegt (2022). - Klagen: Es gab mehrere Klagen, u. a. in den USA, die zu einem globalen Vergleich führten.
2. Marriott International (2018)
- Korrektur:
Die Datenpanne betraf ca. 500 Millionen Gäste des ehemaligen Starwood-Hotelnetzwerks (2014–2018).- Daten: Namen, Adressen, Telefonnummern, E-Mail-Adressen, Passnummern und teilweise auch Kreditkartendaten.
- Strafe:
Marriott musste 52 Millionen US-Dollar an die britische Datenschutzbehörde (ICO) zahlen, da die Datenpanne vor Inkrafttreten der DSGVO stattfand. Unter der DSGVO hätte die Strafe höher ausfallen können. - DSGVO-Folgen:
Marriott wurde zur Meldung und Benachrichtigung der betroffenen Personen verpflichtet, was im Einklang mit der DSGVO stand.
3. Equifax (2017)
- Korrektur:
Der Datenverstoß betraf ca. 147 Millionen Menschen in den USA.- Daten: Sozialversicherungsnummern, Geburtsdaten, Adressen und Kreditkartendaten.
- Strafe:
Equifax einigte sich auf eine Gesamtzahlung von bis zu 700 Millionen US-Dollar, davon 425 Millionen US-Dollar für Entschädigungen an betroffene Kunden und 275 Millionen US-Dollar an Bußgeldern an US-Bundesstaaten und die Consumer Financial Protection Bureau. - Folgen:
Der Vorfall führte zu strengeren Regulierungen für Kreditauskunfteien in den USA.
4. Deutsche Telekom (2008)
- Korrektur:
Der Telekom-Spionageskandal betraf die Überwachung von Journalisten und Aufsichtsratsmitgliedern durch die Deutsche Telekom, um undichte Stellen im Unternehmen aufzudecken.- Folgen:
- Mehrere Mitarbeiter wurden beurlaubt oder entlassen.
- Es gab rechtliche Untersuchungen wegen Verletzung des Fernmeldegeheimnisses und des Telekommunikationsgesetzes.
- Reputationsschaden: Der Skandal führte zu einem Vertrauensverlust in die Telekom und zu strengeren Compliance-Maßnahmen im Unternehmen.
- Strafe:
Es gab keine direkte Strafe in Form von Bußgeldern, aber der Fall wurde als schwerwiegender Verstoß gegen Datenschutz- und Telekommunikationsrecht eingestuft.
- Folgen:
Zusammenfassung der wichtigsten Korrekturen und Ergänzungen
| Fall | Betroffene Nutzer/Gäste | Strafe (USD) | DSGVO/Rechtliche Folgen |
|---|---|---|---|
| Facebook-Cambridge | 87 Mio. (offiziell) | 5 Mrd. | 265 Mio. Euro (Irland, DSGVO) |
| Marriott International | 500 Mio. | 52 Mio. (UK) | Meldung und Benachrichtigungspflicht nach DSGVO |
| Equifax | 147 Mio. | 700 Mio. | Strengere Regulierung für Kreditauskunfteien |
| Deutsche Telekom | Journalisten, Aufsichtsratsmitglieder | Keine direkte Strafe | Rechtliche Untersuchungen, Compliance-Verschärfung |
Regulatorische Vorgaben bei Auslagerungen durch Finanzinstitute
Finanzinstitute müssen bei der Auslagerung von Aktivitäten und Prozessen eine Reihe von regulatorischen Vorgaben beachten, um Risiken zu minimieren und die Stabilität des Finanzsystems zu gewährleisten. Die wichtigsten Anforderungen stammen aus nationalem Recht, europäischen Verordnungen und branchenspezifischen Leitlinien.
1. Nationale und europäische Vorgaben
1.1. § 25b KWG (Kreditwesengesetz)
Geltungsbereich:
Finanzinstitute müssen sicherstellen, dass ausgelagerte Tätigkeiten (insbesondere wesentliche Auslagerungen) weiterhin unter ihrer Kontrolle und Aufsicht bleiben. Wesentliche Auslagerungen sind solche, die einen erheblichen Einfluss auf das Risikoprofil, die Geschäftstätigkeit oder die Stabilität des Instituts haben.
Anforderungen:
- Auslagerungsverträge: Müssen klare Regelungen zu Prüfungsrechten, Weisungsrechten und Datenschutz enthalten.
- Risikoanalyse: Vor der Auslagerung ist eine detaillierte Risikoanalyse durchzuführen, die die Auswirkungen auf das Institut bewertet.
- Dokumentation: Alle Auslagerungen sind zu dokumentieren, insbesondere bei wesentlichen Auslagerungen.
Aufsicht:
- Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überwacht die Einhaltung der Vorgaben.
1.2. MaRisk (Mindestanforderungen an das Risikomanagement)
Zentrale Anforderungen:
- Risikomanagement: Finanzinstitute müssen ein solides Risikomanagement etablieren, das die Risiken von Auslagerungen angemessen berücksichtigt.
- Interne Governance: Die Governance-Strukturen müssen sicherstellen, dass ausgelagerte Funktionen im Einklang mit dem Risikoprofil und dem Geschäftsmodell des Instituts stehen.
- Interne Kontrollen: Regelmäßige Überprüfung der Auslagerungsaktivitäten und der Dienstleister.
MaRisk AT 4.3:
- Spezifische Anforderungen an das Outsourcing von IT-Funktionen und die Einbindung externer Dienstleister.
1.3. EBA-Leitlinien (European Banking Authority)
Meldepflichten:
- Finanzinstitute müssen die zuständigen Behörden (z. B. BaFin, EZB) über wesentliche Auslagerungen informieren.
- Die EBA-Leitlinien (z. B. EBA/GL/2019/02) definieren Standards für die Überwachung und Bewertung von Auslagerungen.
Überwachung und Bewertung:
- Die Aufsichtsbehörden überwachen die kontinuierliche Einhaltung der Zulassungsbedingungen.
- Regelmäßige Prüfungen der Dienstleister und der Auslagerungsverträge.
1.4. Cloud-Auslagerungen
Besondere Herausforderungen:
- Die Nutzung von Cloud-Services erfordert besondere Vorsichtsmaßnahmen, da die Integration in die bestehende IT-Architektur komplex ist.
- Die EBA-Leitlinien zur Auslagerung (2019) sind eine wichtige Referenz für auslagernde Institute.
Anforderungen:
- Klare Verantwortlichkeiten zwischen Institut und Cloud-Anbieter.
- Datenlokalisierung und Datenschutz (insbesondere bei internationalen Cloud-Dienstleistern).
- Vertragliche Regelungen zu Sicherheitsstandards, Verfügbarkeit und Ausstiegsoptionen.
2. Digital Operational Resilience Act (DORA)
2.1. Hauptziele von DORA
DORA ist eine EU-Verordnung (Verordnung (EU) 2022/2554), die am 17. Januar 2023 in Kraft trat und ab 17. Januar 2025 vollständig umgesetzt sein muss.
Zielsetzung:
- Cybersicherheit: Strikte Anforderungen an die IT-Sicherheit, um Finanzinstitute vor Cyberangriffen zu schützen.
- IKT-Risiken: Minimierung von Informations- und Kommunikationstechnologie (IKT)-Risiken und Erhöhung der Widerstandsfähigkeit.
- Operative Resilienz: Sicherstellung der digitalen operativen Resilienz im Finanzsektor.
2.2. Anforderungen für IT-Auslagerungen
1. Überwachung kritischer IKT-Drittdienstleister:
- Finanzinstitute müssen sicherstellen, dass ihre IT-Dienstleister die DORA-Anforderungen erfüllen.
- Regelmäßige Risikobewertungen und Überwachungsmechanismen sind erforderlich.
2. Meldepflichten:
- IKT-Vorfälle (z. B. Cyberangriffe, Systemausfälle) müssen unverzüglich gemeldet werden.
- Einrichtung eines Informationsregisters, das alle wesentlichen Auslagerungen dokumentiert.
3. Risikomanagement:
- Robustes Risikomanagement, das die Risiken von IT-Auslagerungen angemessen berücksichtigt.
- Maßnahmen zur Risikominderung (z. B. Redundanzen, Notfallpläne).
2.3. Umsetzung und Compliance
Nationale Aufsichtsbehörden:
- In Deutschland fungiert die BaFin als nationaler Melde-Hub für IKT-Vorfälle.
- Die BaFin und die Deutsche Bundesbank passen ihre Aufsichtspraxis an, um die Umsetzung von DORA zu unterstützen.
Fristen:
| Frist | Bedeutung |
|---|---|
| 17. Januar 2023 | DORA tritt in Kraft. |
| 17. Januar 2025 | Finanzinstitute und kritische IKT-Dienstleister müssen die Anforderungen vollständig umsetzen. |
| Laufend | Kontinuierliche Berichterstattung über IKT-Risiken und Vorfälle. |
2.4. Erwartungen nach den Übergangsfristen (ab 17. Januar 2025)
- Vollständige Einhaltung der DORA-Vorgaben – keine weiteren Übergangsfristen.
- Regelmäßige Berichterstattung an die Aufsichtsbehörden (BaFin, EZB).
- Anpassung der Verträge mit Drittanbietern an die neuen Vorgaben.
- Sanktionen bei Nichteinhaltung: Bußgelder und andere rechtliche Konsequenzen möglich.
2.5. Überwachung durch Aufsichtsbehörden
| Behörde | Rolle |
|---|---|
| Europäische Aufsichtsbehörden (EBA, ESMA, EIOPA) | Überwachung kritischer IKT-Drittdienstleister. |
| Nationale Aufsichtsbehörden (z. B. BaFin) | Monitoring der Einhaltung von DORA, Meldestelle für IKT-Vorfälle. |
| BaFin | Nationaler Melde-Hub für IKT-Vorfälle in Deutschland. |
2.6. Herausforderungen bei der Umsetzung von DORA
- Entwicklung eines IKT-Risikomanagementrahmens
- Erstellung eines Informationsregisters für alle Auslagerungen
- Operationalisierung des Incident Managements (Vorfallmanagement)
- Zusammenarbeit mit Drittanbietern (z. B. Cloud-Anbieter)
- Kosten und Ressourcen (z. B. für Schulungen, Technologie-Updates)
2.7. Abgelöste Vorschriften durch DORA
Ab dem 17. Januar 2025 werden folgende nationale Vorgaben durch DORA ersetzt oder integriert:
| Abgelöste Vorschrift | Geltungsbereich | Status ab 17.01.2025 |
|---|---|---|
| BAIT (Bankaufsichtliche Anforderungen an die IT) | IT-Governance in Banken | Abgelöst |
| KAIT (Kreditwesengesetzliche Anforderungen an die IT) | IT-Risikomanagement in Kreditinstituten | Abgelöst |
| VAIT (Versicherungsaufsichtliche Anforderungen an die IT) | IT in Versicherungen | Abgelöst |
| ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT) | IT in Zahlungsdienstleistern | Abgelöst |
| Rundschreiben 03/2022 (BA) | IT-Sicherheit in Banken | Abgelöst |
3. Weitere relevante Compliance-Bereiche
3.1. Corporate Compliance
| Rechtsgrundlage | Thema | Relevante Paragrafen |
|---|---|---|
| AktG | Internes Kontrollsystem | § 91 Abs. 2 AktG |
| KWG | Risikomanagement | § 25a KWG |
| MaRisk | Risikomanagement | AT 4.3 |
3.2. IT-Sicherheit
| Rechtsgrundlage | Thema | Relevante Paragrafen |
|---|---|---|
| BSIG | IT-Sicherheit | §§ 8a, 8b BSIG (in Verbindung mit BSI-KRITIS-VO) |
| BSI-Standards | IT-Sicherheitsstandards | z. B. BSI-Standard 200-1, 200-2 |
| ISO-Normen | IT-Sicherheitsmanagement | z. B. ISO/IEC 27001 |
3.3. Arbeits- und Sozialrecht
| Rechtsgrundlage | Thema |
|---|---|
| AÜG | Arbeitnehmerüberlassung |
| SGB | Scheinselbstständigkeit |
| BGB | Betriebsübergänge (§ 613a BGB) |
3.4. Intellectual Property (IP)
| Rechtsgrundlage | Thema |
|---|---|
| UrhG | Rechte an Arbeitsergebnissen (§ 31 ff. UrhG) |
| ArbnErfG | Arbeitnehmererfindungen |
4. Praktische Handlungsempfehlungen für Finanzinstitute
- Bestandsaufnahme: Identifikation aller Auslagerungen, insbesondere von wesentlichen IKT-Dienstleistern.
- Risikoanalyse: Bewertung der Risiken und Auswirkungen auf das Institut.
- Vertragsanpassung: Überprüfung und Anpassung der Auslagerungsverträge an die DORA- und MaRisk-Anforderungen.
- Dokumentation: Einrichtung eines Informationsregisters für alle Auslagerungen.
- Schulungen: Sensibilisierung der Mitarbeiter für die neuen Anforderungen.
- Zusammenarbeit mit Aufsichtsbehörden: Regelmäßiger Austausch mit der BaFin oder EZB.
Zusammenfassung der wichtigsten Fristen und Meilensteine
| Datum | Maßnahme |
|---|---|
| 17.01.2023 | DORA tritt in Kraft |
| 17.01.2025 | Vollständige Umsetzung von DORA erforderlich |
| Laufend | Regelmäßige Berichterstattung an Aufsichtsbehörden |