Gesetzliche Regelwerke

Neuerungen im Datenschutz

BDSG-neu (Neues Bundesdatenschutzgesetz)

Das BDSG-neu stellt eine Konkretisierung und Ergänzung zur europäischen Datenschutzgrundverordnung (DSGVO) dar. Es enthält spezifische Regelungen für den Datenschutz im Beschäftigungsverhältnis und die Pflicht zur Benennung eines Datenschutzbeauftragten.

Data Act

Der Data Act ist eine europäische Verordnung, die seit dem 11. Januar 2024 in Kraft ist und ab dem 12. September 2025 in allen EU-Mitgliedsstaaten anwendbar sein wird. Ziel dieser Verordnung ist es, den Zugang zu nicht-personenbezogenen Daten zu erweitern und innovative Geschäftsmodelle zu fördern.

Neue Datenschutzgesetze in den USA

Im Jahr 2025 treten in acht weiteren US-Bundesstaaten, darunter Florida, Oregon und Texas, neue Datenschutzgesetze in Kraft. Diese Gesetze zielen darauf ab, den VerbraucherInnen mehr Kontrolle über ihre Daten zu geben.

Diese neuen Gesetze bringen wichtige Änderungen und Anforderungen mit sich, die Unternehmen und Einzelpersonen beachten sollten.

Datenschutz

Auftragsdatenverarbeitung

11 BDSG / Art. 28 DSGVO: Die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter erfolgt nur auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments, das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet.

Datengeheimnis

5 BDSG / Art. 29 DSGVO: Personen, die Zugang zu personenbezogenen Daten haben, dürfen diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind gesetzlich zur Verarbeitung verpflichtet.

Technische und organisatorische Maßnahmen

9 BDSG i.V.m. Anlage zu § 1 Satz 1 / Art. 32 DSGVO: Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Security und BCM

Security und Business Continuity Management (BCM): Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung zur Implementierung eines Business Continuity Management Systems (BCMS), das die organisatorische Resilienz stärkt.

Auskunftspflichten und Prüfungsrechte

Auskunftspflichten und Prüfungsrechte: Behörden haben das Recht, Betriebs- und Geschäftsräume zu betreten und Prüfungen vorzunehmen, um die Einhaltung der Datenschutzvorschriften zu überprüfen.

Transparenz und Vollständigkeit

Transparenz und Vollständigkeit: Transparenz bedeutet die Offenlegung relevanter Informationen und Daten über Entscheidungsprozesse und Funktionsweisen, um Klarheit und Nachvollziehbarkeit zu gewährleisten.

Aktualität und Reporting-Fähigkeit

Aktualität und Reporting-Fähigkeit: Moderne Technologien ermöglichen eine verbesserte Management- und Finanzberichterstattung, die auf die sich ändernden Bedürfnisse des Unternehmens abgestimmt ist.

Folgen bei Verstößen

Verstöße gegen den Datenschutz können schwerwiegende Folgen haben, die sich je nach Art und Schwere des Verstoßes unterscheiden. Hier sind einige der wichtigsten Konsequenzen:

Bußgelder

DSGVO: Bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) können Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens verhängt werden.
BDSG: Das Bundesdatenschutzgesetz (BDSG) sieht Bußgelder von bis zu 300.000 Euro vor.

Strafrechtliche Sanktionen

Freiheitsstrafen: Bei schwerwiegenden Verstößen können Freiheitsstrafen von bis zu zwei Jahren verhängt werden.

Schadensersatzansprüche

Betroffene Personen: Natürliche Personen, deren Daten betroffen sind, können Schadensersatzansprüche geltend machen.

Reputationsschäden

Imageverlust: Ein Datenschutzverstoß kann zu erheblichen Reputationsschäden führen, die das Vertrauen der Kunden und Geschäftspartner beeinträchtigen.

Arbeitsrechtliche Konsequenzen

Abmahnungen und Kündigungen: Mitarbeiter, die gegen Datenschutzvorschriften verstoßen, können arbeitsrechtliche Konsequenzen wie Abmahnungen oder Kündigungen erfahren.

Wettbewerbsrechtliche Folgen

Abmahnungen durch Wettbewerber: Unternehmen können von Wettbewerbern abgemahnt werden, wenn sie gegen Datenschutzvorschriften verstoßen.

Bekannte Fälle

Facebook-Cambridge Analytica

Im Jahr 2018 wurde bekannt, dass die Datenanalysefirma Cambridge Analytica unrechtmäßig auf die Daten von bis zu 87 Millionen Facebook-Nutzern zugegriffen hatte. Diese Daten wurden ohne Zustimmung der Nutzer für politische Werbezwecke verwendet. Facebook musste eine Strafe von 5 Milliarden US-Dollar an die US-Handelsaufsicht FTC zahlen. Zusätzlich wurden mehrere Klagen von betroffenen Nutzern eingereicht, die zu einem Vergleich führten.

Marriott International

Im Jahr 2018 gab Marriott International bekannt, dass die Daten von etwa 500 Millionen Gästen kompromittiert wurden. Die Datenpanne betraf unter anderem Namen, Adressen, Telefonnummern, E-Mail-Adressen und Passnummern. Marriott musste 52 Millionen US-Dollar zahlen und seine Sicherheitspraktiken verbessern. Die Hotelkette wurde auch von der DSGVO zur Meldung und Benachrichtigung der betroffenen Personen verpflichtet.

Equifax

Im Jahr 2017 erlitt die US-amerikanische Kreditauskunftei Equifax einen massiven Datenverstoß, bei dem die persönlichen Daten von etwa 147 Millionen Menschen, einschließlich Sozialversicherungsnummern und Kreditkartendaten, offengelegt wurden. Equifax einigte sich auf eine Zahlung von bis zu 700 Millionen US-Dollar. Diese Summe umfasst Entschädigungen für betroffene Kunden und Bußgelder an verschiedene US-Bundesstaaten und die Consumer Financial Protection Bureau.

Deutsche Telekom

Im Jahr 2008 wurde bekannt, dass die Deutsche Telekom die Verbindungsdaten von Journalisten und Aufsichtsratsmitgliedern überwacht hatte, um undichte Stellen im Unternehmen aufzudecken. Im Überwachungsskandal der Deutschen Telekom wurden mehrere Mitarbeiter beurlaubt. Der Fall führte zu rechtlichen Untersuchungen und erheblichen Reputationsschäden für das Unternehmen.

Regulatorische Vorgaben bei Auslagerungen durch Finanzinstitute

Finanzinstitute müssen bei der Auslagerung von Aktivitäten und Prozessen eine Reihe von regulatorischen Vorgaben beachten, um Risiken zu minimieren und die Stabilität des Finanzsystems zu gewährleisten. Hier sind einige der wichtigsten Anforderungen:

§ 25b KWG (Kreditwesengesetz)

Wesentliche Auslagerungen: Diese unterliegen strengen regulatorischen Vorgaben, da sie einen erheblichen Einfluss auf das Risikoprofil eines Instituts haben können. Finanzinstitute müssen sicherstellen, dass die ausgelagerten Tätigkeiten weiterhin unter ihrer Kontrolle und Aufsicht bleiben.
Auslagerungsverträge: Diese müssen genaue Regelungen enthalten, um Prüfungsrechte, Weisungsrechte und den Datenschutz zu gewährleisten.

MaRisk (Mindestanforderungen an das Risikomanagement)

Risikomanagement: Finanzinstitute müssen ein solides Risikomanagement einführen, das die Risiken von Auslagerungen angemessen berücksichtigt.
Interne Governance: Die Governance-Regelungen müssen sicherstellen, dass die ausgelagerten Funktionen mit dem Risikoprofil und dem Geschäftsmodell des Instituts in Einklang stehen.

EBA-Leitlinien (European Banking Authority)

Meldepflichten: Finanzinstitute müssen die zuständigen Behörden über wesentliche Auslagerungen informieren und sicherstellen, dass die EBA-Leitlinien eingehalten werden.
Überwachung und Bewertung: Die zuständigen Behörden müssen die kontinuierliche Einhaltung der Zulassungsbedingungen der Institute überwachen.

Cloud-Auslagerungen

Cloud-Services: Die Nutzung von Cloud-Services erfordert besondere Vorsichtsmaßnahmen, da die Integration in die vorhandene IT-Architektur eine große Herausforderung darstellen kann. Die EBA-Leitlinien zur Auslagerung von 2019 sind eine wichtige Referenz für auslagernde Institute.

Digital Operational Resilience Act (DORA)

Der Digital Operational Resilience Act (DORA) ist eine umfassende EU-Verordnung, die darauf abzielt, die digitale operative Resilienz im Finanzsektor zu stärken. Hier sind einige der wichtigsten Regelungen und Anforderungen, die DORA für IT-Auslagerungen und Finanzinstitute mit sich bringt:

Hauptziele von DORA

Cybersicherheit: DORA legt strenge Anforderungen an die Cybersicherheit fest, um Finanzinstitute vor Cyberangriffen und IT-Risiken zu schützen.
IKT-Risiken: Die Verordnung zielt darauf ab, Informations- und Kommunikationstechnologie (IKT)-Risiken zu minimieren und die Widerstandsfähigkeit gegenüber IT-Vorfällen zu erhöhen.

Anforderungen für IT-Auslagerungen

Überwachung kritischer IKT-Drittdienstleister: Finanzinstitute müssen sicherstellen, dass ihre IT-Dienstleister den Anforderungen von DORA entsprechen und regelmäßig überwacht werden.
Meldepflichten: Finanzinstitute sind verpflichtet, IKT-Vorfälle zu melden und ein Informationsregister zu führen, das alle wesentlichen Auslagerungen dokumentiert.
Risikomanagement: DORA fordert ein robustes Risikomanagement, das die Risiken von IT-Auslagerungen angemessen berücksichtigt und Maßnahmen zur Risikominderung implementiert.

Umsetzung und Compliance

Nationale Aufsichtsbehörden: In Deutschland wird die BaFin als nationaler Melde-Hub für IKT-Vorfälle fungieren und die Einhaltung der DORA-Anforderungen überwachen.
Leitlinien und Standards: Die BaFin und die Deutsche Bundesbank passen ihre Aufsichts- und Verwaltungspraxis an, um die Umsetzung von DORA zu unterstützen.

DORA stellt sicher, dass Finanzinstitute und ihre IT-Dienstleister gut aufgestellt sind, um Cyberrisiken zu begegnen und die digitale operative Resilienz zu stärken.

Fristen im Bezug auf DORA

17. Januar 2023: DORA trat am 17. Januar 2023 in Kraft.
17. Januar 2025: Finanzinstitute und kritische IKT-Dienstleister müssen die Anforderungen von DORA bis zum 17. Januar 2025 vollständig umgesetzt haben.
Laufende Überwachung: Finanzinstitute müssen kontinuierlich über ihre IKT-Risiken und -Vorfallmanagement berichten und sicherstellen, dass sie die Anforderungen von DORA einhalten.

Diese Fristen sind entscheidend, um die digitale operative Resilienz im Finanzsektor zu stärken und sicherzustellen, dass alle betroffenen Unternehmen rechtzeitig die notwendigen Maßnahmen ergreifen.

Erwartungen nach den Übergangsfristen

Nach den Übergangsfristen für den Digital Operational Resilience Act (DORA), die am 17. Januar 2025 enden, müssen Finanzinstitute und kritische IKT-Dienstleister die Anforderungen vollständig umgesetzt haben. Hier sind einige der wichtigsten Punkte, die danach gelten:

Vollständige Einhaltung: Ab dem 17. Januar 2025 müssen alle betroffenen Unternehmen die DORA-Vorgaben vollständig einhalten. Es gibt keine weiteren Übergangsfristen.
Regelmäßige Berichterstattung und Überwachung: Finanzinstitute müssen kontinuierlich über ihre IKT-Risiken und Vorfälle berichten. Nationale Aufsichtsbehörden wie die BaFin überwachen die Einhaltung der DORA-Anforderungen und führen regelmäßige Prüfungen durch.
Anpassung von Verträgen: Unternehmen müssen sicherstellen, dass ihre Verträge mit Drittanbietern den neuen verbindlichen Vertragsinhalten entsprechen. Dies kann Nach- oder Neuverhandlungen der betroffenen Verträge erfordern.
Sanktionen bei Nichteinhaltung: Bei Nichteinhaltung der DORA-Vorgaben können empfindliche Bußgelder und andere rechtliche Konsequenzen verhängt werden.

Überwachung

Die Überwachung des Digital Operational Resilience Act (DORA) erfolgt durch mehrere europäische und nationale Aufsichtsbehörden, die sicherstellen, dass Finanzinstitute und kritische IKT-Drittdienstleister die Anforderungen der Verordnung erfüllen. Hier sind einige wichtige Aspekte der Überwachung:

Europäische Aufsichtsbehörden: Die European Banking Authority (EBA), die European Securities and Markets Authority (ESMA) und die European Insurance and Occupational Pensions Authority (EIOPA) sind federführend bei der Überwachung kritischer IKT-Drittdienstleister. Diese Behörden stellen sicher, dass die Dienstleister die Anforderungen von DORA erfüllen und überwachen deren Aktivitäten.
Nationale Aufsichtsbehörden: In Deutschland übernimmt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eine zentrale Rolle bei der Überwachung von DORA. Die BaFin fungiert als nationaler Melde-Hub für IKT-Vorfälle im Finanzsektor und nimmt Anzeigen im Rahmen des IKT-Drittparteienmanagements entgegen. Die BaFin und andere nationale Aufsichtsbehörden überwachen kontinuierlich die Einhaltung der DORA-Anforderungen durch Finanzinstitute und kritische IKT-Dienstleister.
Meldepflichten und Berichterstattung: Finanzinstitute müssen IKT-Vorfälle melden und ein Informationsregister führen, das alle wesentlichen Auslagerungen dokumentiert. Die Aufsichtsbehörden verlangen regelmäßige Berichte über die IKT-Risiken und das Vorfallmanagement der Finanzinstitute.

Herausforderungen

Die Umsetzung des Digital Operational Resilience Act (DORA) bringt mehrere Herausforderungen mit sich, die Finanzinstitute bewältigen müssen. Hier sind einige der wichtigsten:

Entwicklung eines IKT-Risikomanagementrahmens
Erstellung eines Informationsregisters
Operationalisierung des Incident Managements
Zusammenarbeit mit Drittanbietern
Kosten und Ressourcen

Diese Herausforderungen verdeutlichen, dass die Umsetzung von DORA mehr als nur ein regulatorisches Pflichtprogramm ist. Es erfordert eine umfassende und integrierte Herangehensweise, um die digitale operative Resilienz zu stärken.

Vorschriften, die mit DORA abgelöst werden

Mit der Einführung des Digital Operational Resilience Act (DORA) werden mehrere bestehende Vorschriften und Leitlinien abgelöst oder integriert, um eine einheitliche Regulierung für die digitale operative Resilienz im Finanzsektor zu schaffen. Hier sind einige der wichtigsten Vorschriften, die durch DORA ersetzt oder ergänzt werden:

BAIT (Bankaufsichtliche Anforderungen an die IT): Die BAIT wird schrittweise ab dem 17. Januar 2025 aufgehoben.
KAIT (Kreditwesengesetzliche Anforderungen an die IT): Die KAIT wird ebenfalls zum 17. Januar 2025 aufgehoben.
VAIT (Versicherungsaufsichtliche Anforderungen an die IT): Die VAIT wird zum gleichen Datum aufgehoben.
ZAIT (Zahlungsdiensteaufsichtliche Anforderungen an die IT): Auch die ZAIT wird zum 17. Januar 2025 aufgehoben.
Rundschreiben 03/2022 (BA): Dieses Rundschreiben wird ebenfalls zum 17. Januar 2025 aufgehoben.

Corporate Compliance

■Internes Kontrollsystem:

91 Abs. 2 AktG, § 25a KWG, MaRisk AT 4.3

IT Security:

■§§ 8a, b BSIG i.V.m. BSI-KRITIS-VO

(2. Korb, vorauss. 2017)

■BSI- und ISO-Standards

Arbeits- und Sozialrecht

■Arbeitnehmerüberlassung:

AÜG

■Scheinselbständigkeit:

SGB

■Betriebsübergänge:

613a BGB

Intellectual Property

■Rechte an Arbeitsergebnissen:

§ 31 ff. UrhG (u.a.)

■Arbeitnehmererfindungen

(ArbnErfG)

Home