Compliance & Regulatory Blog

Am 10. Juli 2025 hat die Europäische Kommission den Code of Practice für KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI – GPAI) veröffentlicht.

Mit dem Inkrafttreten des EU AI Act stehen Anbieter und Betreiber von Hochrisiko-KI-Systemen vor neuen, verbindlichen Meldepflichten bei schwerwiegenden Vorkommnissen.

Am 1. Oktober 2025 veröffentlichte die Europäische Bankenaufsichtsbehörde (EBA) ihr Arbeitsprogramm für das Jahr 2026.

Im Rahmen ihrer Rede beim Handelsblatt Strategiemeeting Lebensversicherung am 4. September 2025 hebt Julia Wiens, Exekutivdirektorin Versicherungs- und Pensionsfondsaufsicht bei der BaFin, hervor, dass die Lage der deutschen Lebensversicherer weiterhin solide ist.

Fehlüberweisungen, gefälschte Kontodaten und Social-Engineering-Angriffe verursachen jedes Jahr erhebliche finanzielle Schäden.

Seit dem 2. August 2025 müssen die Regelungen in Kapitel V der europäischen KI-Verordnung (EU AI Act) zu Modellen mit allgemeinem Verwendungszweck (General-Purpose AI – GPAI) angewendet werden.

Der Einsatz iranischer Shahed-Drohnen durch Russland im Ukrainekrieg ist nicht nur ein geopolitisches, sondern auch ein Compliance-Thema.

Mit der Anwendung der DORA-Verordnung seit Januar 2025 rückt die digitale Resilienz im Finanzsektor in den Fokus.

Die digitale Bedrohungslag in Europa durch Ransomware-Angriffe, Datenlecks und gezielte Cyberattacken verschärft sich kontinuierlich. Dabei trifft es längst nicht mehr nur Großkonzerne oder kritische Infrastrukturen.

Mit der DAC8-Richtlinie setzt die EU ein deutliches Zeichen: Jetzt wird Krypto transparent, ob man will oder nicht.

Im Rahmen des „Strategiemeetings“ des Handelsblatts am 4. September hat Julia Wiens, BaFin-Exekutivdirektorin, in einer Rede die aktuelle regulatorische Lage deutscher Lebensversicherer beleuchtet.

Cybercrime und Fraud galten lange als getrennte Disziplinen: Die einen schützen Systeme, die anderen überwachen Transaktionen.

Die BaFin setzt die Weiterentwicklung der aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen unter Solvabilität II konsequent fort.

Die neuen EBA-Leitlinien zum Third-Party Risk Management aktualisieren und erweitern den Rahmen für das Management von Drittanbieter-Risiken.

Die BaFin und die Deutsche Bundesbank haben am 2. und 3. Juli zur Veranstaltung „BaFin Tech 2025“ eingeladen.

Am 29.07.2025 hat die Deutsche Bank zwei Schlüsselpositionen neu besetzt: Simone Kaempfer als General Counsel und Ralph Nash als Leiter Anti-Financial Crime

Die Europäischen Aufsichtsbehörden veröffentlicht einen Leitfaden zur Überwachung kritischer IKT-Drittanbieter.

Während Finanzinstitute weltweit noch mit der Bekämpfung von Geldwäsche ringen, gewinnt eine neue Gefahr zunehmend an Brisanz: Deepfakes.

Seit seinem Amtsantritt führt der US-Präsident Donald Trump einen mal mehr oder weniger intensiven Handelskonflikt mit fast allen Handelspartnern der Vereinigten Staaten.

Am 21. Mai 2025 hat die Europäische Kommission den Entwurf für das sogenannte Omnibuspaket Nr. 4 vorgelegt.

Am 30. Juni 2025 unterzeichnete Präsident Trump ein Dekret, das einen Großteil der seit 2004 bestehenden US-Finanzsanktionen gegen Syrien aufhebt.

Die Anforderungen aus dem Digital Operational Resilience Act (DORA) nehmen weiter Gestalt an und haben spürbare Auswirkungen auf die tägliche Arbeit von Finanzunternehmen und deren IKT-Drittdienstleistern.

„The heat is on“ ist nicht nur ein Hit aus den 1980ern, sondern mit Hitzewellen weltweit eine aktuelle Bedrohung des Klimawandels.

Versicherungsunternehmen müssen sich im Rahmen regulatorischer Anforderungen mit dem Thema Nachhaltigkeit auseinandersetzen – doch ESG lässt sich auch aus Kundensicht denken.

Die Verordnung über nachhaltigkeitsbezogene Offenlegungspflichten im Finanzdienstleistungssektor (SFDR) ist seit März 2021 in Kraft und bildet einen zentralen Baustein des EU-Rahmens für nachhaltige Finanzen

Die Frage nach der Notwendigkeit einer Pflichtversicherung gegen Elementarschäden wird bereits seit einiger Zeit diskutiert.

Die Europäische Union hat mit dem EU-AI-Act (der EU-KI-Verordnung) im Jahr 2024 erstmals ein umfassendes Regelwerk für Künstliche Intelligenz verabschiedet.

Das OLG Köln hat einen Antrag der Verbraucherzentrale NRW auf Erlass einer einstweiligen Unterlassungsverfügung im Eilverfahren abgelehnt (Urteil vom 23.05.2025 Az. 15 UKL. 2/25:rechtskräftig).

Im April 2025 wurde ein führender europäischer Vermögensverwalter mit einem Bußgeld von 25 Millionen Euro sanktioniert.

Ein ehemaliger Bundestagsabgeordneter, der nun Mitglied des Europäischen Parlaments ist, steht im Zentrum schwerwiegender Vorwürfe: Bestechlichkeit, Geldwäsche und mögliche Einflussnahme durch prorussische Netzwerke.

Die Arbeitswelt ist von arbeitsteiligen Prozessen geprägt. Kein Unternehmen kann heutzutage alle Aufgaben eigenständig erledigen und nutzt Dienstleister für die Auslagerung von Aufgaben.

Die Europäische Kommission hat am 21. Mai 2025 ein viertes sogenanntes „Omnibuspaket“ zur Vereinfachung von Vorschriften und zum Bürokratieabbau für Unternehmen in der EU vorgestellt.

Regulatorische Dynamik, wachsende Datenmengen sowie die zunehmende Integration von Technologie in Geschäftsprozesse treiben den Wandel der Compliance-Funktion voran.

Unternehmen sind heute mehr denn je von IKT-Drittdienstleistern abhängig. Diese Abhängigkeit erfordert, dass sowohl die Zusammenarbeit als auch deren Beendigung sorgfältig geplant wird.

​​Warum Finanzsanktionen höchste Aufmerksamkeit erfordern​.

Die Finanzierung von Nichtregierungsorganisationen (NGOs) steht zunehmend im Fokus regulatorischer Anforderungen. Dies betrifft sowohl private als auch staatliche Finanzierungsquellen.

Die Europäische Kommission hat Leitlinien zur Definition von KI-Systemen sowie Leitlinien für verbotene Praktiken von KI im Sinne der Europäischen KI-Verordnung (AI-Act) veröffentlicht.

Nun ist es also so weit. Anfang Mai wurde der Koalitionsvertrag der neugewählten CDU-/SPD-Regierung unterzeichnet. In dem 144 Seiten starken Papier finden sich einige Compliance-relevante Vorgaben.

​​SECI-Report 2025 zwischen europäischem Aufbruch und amerikanischer Deregulierung​.

Die formelle Einreichungsfrist für das Informationsregister über das MVP-Portal der BaFin war der 28. April 2025.

Das Management von ESG-Daten ist mittlerweile sehr komplex geworden. Dasselbe gilt für die Nachhaltigkeitsberichterstattung.

Stewardship gehört genauso wie z. B. Ausschlusskriterien, ESG-Integration und Normbasiertes Anlegen zu den nachhaltigen ESG-Anlagestrategien im Portfoliomanagement.

Die Landschaft der ESG-Ratingagenturen ist für viele ein unübersichtlicher Dschungel. Wie in der untenstehenden Übersicht dargestellt, gibt es derzeit eine große Zahl an Anbietern und Indizes.

Die Diskussion um das richtige Maß an Nachhaltigkeit ist allgegenwärtig und gewinnt zunehmend an Bedeutung. Doch wie steht es um die tatsächliche Umsetzung in Unternehmen?

Am 26. Februar 2025 fand in Bonn die BaFin-Konferenz „Proportionalität in der Bankenaufsicht und -regulierung“ statt.

Am 5. März 2025 hat der Europäische Datenschutzausschuss (EDSA) seine Maßnahmen im Rahmen des koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework – CEF) für das laufende Jahr vorgestellt.

Die korrekte Umsetzung von EU-Sanktionen stellt eine zunehmende Herausforderung für die Compliance-Abteilungen von Finanzinstituten dar.

Die Europäische Kommission hat die technischen Regulierungsstandards (RTS) zur Unterauftragsvergabe von IKT-Dienstleistungen als delegierte Verordnung finalisiert.

Die Einführung des Digital Operational Resilience Act (DORA) bringt für Finanzunternehmen bedeutende Änderungen mit sich.

Im Dezember 2024 startete die EIOPA eine wichtige Konsultation, die drei separate Papiere zu den wachsenden Herausforderungen des Risikomanagements und der Nachhaltigkeit in der Finanz- und Versicherungsbranche umfasste.

Zwischen dem 29. Januar und dem 26. Februar 2025 hat die BaFin eine Überarbeitung des Rundschreibens 2/2017 (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen) konsultiert.

Mit den neuen Vorschriften aus CRR III und CRD VI stehen Banken vor einer Reihe großer regulatorischer Herausforderungen.

Die Unternehmen der Versicherungswirtschaft können mit den Investitionen im Rahmen ihrer Kapitalanlage einen bedeutenden Beitrag zur grünen Transformation der Wirtschaft leisten.

Der externe Run-Off von alten, in der Verwaltung unlukrativen, Lebensversicherungspolicen ist für Lebensversicherer weiterhin ein beliebtes Mittel.

Im Februar 2025 erlebten zahlreiche Unternehmen weltweit gravierende Ransomware-Angriffe, die sowohl den Betrieb der Unternehmen stark beeinträchtigten als auch die Daten ihrer Kunden und Mitarbeitenden gefährdeten.

Ein aktueller Gerichtsentscheid sorgt für Aufsehen: Die Klagen tausender geschädigter Investoren gegen eine Prüfgesellschaft, die jahrelang die Bilanzen eines mittlerweile insolventen Finanzdienstleisters testiert hatte, wurden im Rahmen eines Musterverfahrens abgewiesen.

Warum aktuelle Geldwäschefälle und die BaFin-Prüfungen mehr miteinander zu tun haben, als es auf den ersten Blick scheint.

Am 26. Februar 2025 hat die EU-Kommission die sog. Omnibus Initiative vorgelegt.

Die Frist rückt näher: Bis zum 11. April 2025 müssen Finanzunternehmen ihr Informationsregister gemäß dem Digital Operational Resilience Act (DORA) bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einreichen.

Die Europäische Bankenaufsichtsbehörde (EBA) hat ihre Leitlinien zum IT-Sicherheitsmanagement angepasst.

Die europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – kurz ESAs) treiben die Umsetzung eines europaweiten Überwachungsrahmens für kritische IKT-Drittdienstleister voran.

In den vergangenen Monaten hat die BaFin wiederholt das Thema Wohlverhaltensaufsicht und Kundennutzen bei Lebensversicherungen betont und in den Vordergrund gestellt.

Am 9. Januar 2025 hat die Europäische Bankenaufsichtsbehörde (EBA) ihre finalen Leitlinien zum Management von ESG-Risiken veröffentlicht.

Seit dem 17. Januar 2025 ist der Digital Operational Resilience Act (DORA) in der EU verpflichtend anzuwenden. DORA zielt darauf ab, die digitale Widerstandsfähigkeit von Finanzunternehmen zu stärken und ihre IKT-Risiken systematisch zu überwachen.

Kryptowährungen haben sich im Jahr 2024 fest in der Finanzwelt etabliert, doch die Regulierungsansätze in der EU und den USA könnten unterschiedlicher nicht sein.

In ihrem Ende Januar veröffentlichten Bericht „Risiken im Fokus der BaFin 2025“ warnt die Finanzdienstleistungsaussicht (BaFin) vor einer Kombination aus finanziellen, technologischen und geopolitischen Risiken, die die Stabilität des deutschen Finanzsektors gefährden könnten.

Am 29.01.2025 hat die Bafin einen Entwurf des überarbeiteten Rundschreibens „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen unter Solvabilität II (MaGo für SII-VU)“ veröffentlicht.

Der EuGH hat in seinem Urteil vom 9.1.2025 (C-416/23) entschieden, dass Beschwerden von Betroffenen nicht allein aufgrund einer bestimmten und vorab festgelegten Anzahl innerhalb eines bestimmten Zeitraums als „exzessiv“ im Sinne von Art. 57 Abs. 4 DS-GVO eingestuft und deshalb beschränkt werden dürfen.

Am 4. Dezember 2024 haben die Europäischen Aufsichtsbehörden (ESAs) ihre Erwartungen hinsichtlich der Umsetzung des Digital Operational Resilience Act (DORA) veröffentlicht.

Die BaFin hat ihre Fokusrisiken für 2025 veröffentlicht – ein jährlicher Bericht, der die zentralen Bedrohungen für den Finanzsektor aus Sicht der Aufsicht beleuchtet.

Die ESAs (Europäischen Aufsichtsbehörden) legten bereits im Juli 2024 einen Entwurf für technische Regulierungsstandards (RTS) zur DORA-Verordnung vor.

Die Auswirkungen des Klimawandels werden weltweit immer deutlicher. Laut einem Bericht der Europäischen Umweltagentur (EEA, 2023) fehlen jedoch erhebliche Investitionen in Maßnahmen zur Anpassung an den Klimawandel.

Das Gesetz zur Umsetzung der Corporate Sustainability Reporting Directive (CSRD) ist nicht wie geplant bis Ende 2024 in Kraft getreten, da sich die aktuellen Bundestagsfraktionen nicht auf eine schnelle Verabschiedung des Umsetzungsgesetzes einigen konnten.

Im Januar 2025 startet das nächste EU-weite Stresstesting, ein zentrales Instrument zur Bewertung der Stabilität des Bankensystems in der Europäischen Union.

Das „Framework for Financial Data Access“ (FiDA) setzt im Rahmen einer EU-Verordnung neue Standards, um den Zugang und die Nutzung von Finanzdaten zu vereinfachen.

Die EU hat einen entscheidenden Schritt in Richtung nachhaltiger Finanzierung unternommen: Mit dem EU Green Bond Standard (EUGBS), der seit dem 21. Dezember 2024 in Kraft ist, wird der Markt für grüne Anleihen klarer und strukturierter.

Die BaFin hat im Dezember vergangenen Jahres einen Entwurf zum „PPP-Rundschreiben“ vorgelegt, welches den Grundsatz der unternehmerischen Vorsicht unter Solvency II beleuchtet.

Der EU AI Act markiert einen weltweit einzigartigen Meilenstein in der Regulierung künstlicher Intelligenz (KI).

FIDA steht für Financial Data Access (Finanzdatenzugriff) und ist eine geplante EU-Verordnung, die den Zugang zu Finanzdaten regeln soll.

Die Sanierung der nordrhein-westfälischen Staatskanzlei in Düsseldorf wird von schweren Korruptionsvorwürfen überschattet.

Der Europäische Datenschutzausschuss (EDSA) hat eine Stellungnahme zur Nutzung personenbezogener Daten für die Entwicklung und Einführung von KI-Modellen veröffentlicht.

Nicht zuletzt durch bestehende EU-Verordnungen wie den Digital Operational Resilience Act (DORA) werden viele Unternehmen schon per Gesetz verpflichtet, ein adäquates Dienstleistermanagement zu betreiben.

Ab dem 17. Januar 2025 wird die EU-Verordnung Digital Operational Resilience Act (DORA) europaweit verbindlich und löst in Deutschland die bestehenden nationalen Vorgaben ab.

Die BaFin hat ihre Aufmerksamkeit erneut auf die Fondsgesellschaft DWS gerichtet – ein Schritt, der nicht überraschend kommt.

Der Digital Operational Resilience Act (DORA) ist am 17. Januar 2025 in Kraft getreten und zielt darauf ab, die digitale Widerstandsfähigkeit des europäischen Finanzsektors zu stärken.

Am 2. Dezember wurde das ITS zum Informationsregister von der Europäischen Kommission veröffentlicht.

Während wir uns langsam auf die Weihnachtszeit einstimmen, lohnt ein Blick zurück auf die Ende November veröffentlichten, überarbeiteten Auslegungs- und Anwendungshinweise Allgemeiner Teil (AuA AT) der BaFin.

In der Compliance-Welt taucht eine neue, fast außerirdisch anmutende Figur auf – der Sanctions Compliance Officer (SCO).

Wenn es um die Sicherheit in Unternehmen geht, denken die meisten zuerst an Firewalls, Virenscanner und komplexe Passwörter.

Die neue EU-Verordnung zur digitalen operativen Resilienz (DORA) bringt für Finanzinstitute zahlreiche Neuerungen mit sich.

Bei der Jahreskonferenz der Versicherungsaufsicht am 20. November 2024 in Bonn stellte die Behörde ihre Aufsichtsschwerpunkte für 2025 vor.

Die forensische Sonderuntersuchung hat sich in den vergangenen Jahren als essenzielles Instrument im Kampf gegen Wirtschaftskriminalität in Unternehmen etabliert.

Die Deutsche Bundesbank hat in ihrem Monatsbericht – September 2024 einen Bericht über den Digital Operational Resilience Act (DORA) aus der Perspektive von bankgeschäftlichen Prüfungen veröffentlicht.

Das Bundeskriminalamt (BKA) hat in Zusammenarbeit mit der Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) einen bedeutenden Erfolg gegen die kriminelle Nutzung von Kryptowährungen erzielt.

Die europäischen Aufsichtsbehörden EBA, EIOPA und ESMA (zusammen die ESAs) haben in einer neuen Stellungnahme zur Umsetzung des Digital Operational Resilience Act (DORA) ihre Bedenken zu den geplanten Kriterien zur Identifikation der IKT-Drittdienstleister geäußert.

Die EU-Kommission hat kürzlich einen umfassenden Bericht veröffentlicht, der sich mit dem aktuellen Stand und den Herausforderungen des Datenverkehrs zwischen der Europäischen Union und den Vereinigten Staaten befasst.

Im Rahmen der Sitzung der Ratsarbeitsgruppe zum Thema Financial Data Access Regulation (FiDA) am 25. Oktober 2024 haben Versicherer und Kreditinstitute ihre kritische Sicht auf das Regelwerk unterstrichen.

Das Three-Lines-Modell ist ein anerkannter Standard aus dem Banken- und Versicherungssektor.

Am 26. September 2024 fand die digitale BaFin-Konferenz “IT-Aufsicht im Finanzsektor: Was bedeutet DORA in der Praxis?” statt. Die EU-Verordnung DORA (Digital Operational Resilience Act) tritt am 17. Januar 2025 in Kraft und muss ab diesem Zeitpunkt von Finanzunternehmen angewendet werden.

Der Herbst ist da, und mit ihm der perfekte Zeitpunkt, um einen Blick auf die ersten drei Quartale des Jahres 2024 zu werfen. In der Welt der Compliance und Anti-Financial Crime (AFC) hat sich in den letzten neun Monaten einiges bewegt.

Die BaFin hat das Rundschreiben zu den Mindestanforderungen an die Compliance-Funktion und zu den weiteren Verhaltens-, Organisations- und Transparenzpflichten für Wertpapierdienstleistungsunternehmen (MaComp) überarbeitet und am 26.09.2024 veröffentlicht. 

Die BaFin hat die Umsetzungshinweise zur Untervergabe von IKT-Dienstleistungen zum 19. September 2024 aktualisiert. 

Nein, die KI-Verordnung (KI-VO) fordert keine Rolle, die mit der Forderung der DSGVO nach einem Datenschutzbeauftragten vergleichbar wäre.

Ab dem 17. Januar 2025 gelten für Finanzunternehmen neue Meldepflichten im Rahmen der DORA-Verordnung (Digital Operational Resilience Act).

Die Nordea Bank, eines der größten und angesehensten Finanzinstitute in Nordeuropa, steht derzeit im Zentrum einer erheblichen Strafmaßnahme.

Der Ende April 2024 gestartete Testbetrieb des Informationsregisters der ESAs soll den betroffenen Instituten die Möglichkeit geben, das Register testweise zu befüllen und von der zuständigen Behörde prüfen zu lassen.

Die Münchner Staatsanwaltschaft hat die strafrechtlichen Untersuchungen gegen elf Personen im Zusammenhang mit dem Wirecard-Skandal eingestellt.

Die neuen Anforderungen in der Konsultationsfassung von 2024 der „Auslegungs- und Anwendungshinweise zum Geldwäschegesetz“, kurz AuA’s, umfassen mehrere wesentliche Änderungen und Ergänzungen gegenüber der aktuellen Version von 2021.

Am 20. Juni 2024 hat der Europäische Gerichtshof (EuGH) ein wegweisendes Urteil im Bereich des Datenschutzes gefällt.

Am 24. Juli 2024 wurde der Entwurf der Bundesregierung für ein Gesetz zur nationalen Umsetzung der Corporate Sustainability Reporting Directive (CSRD) vom Bundesministerium der Justiz (BMJ) veröffentlicht und verabschiedet.

Am 8. Juli 2024 hat die Bundesanstalt für Finanzdienstleistung (BaFin) Umsetzungshinweise zum Digital Operational Resilience Act (DORA) veröffentlicht, die das Ergebnis einer engen Zusammenarbeit mit Vertreterinnen und Vertretern der Industrie sind.

Der Bundesgerichtshof (BGH) hat mit seinem Beschluss vom 23.1.2024 (Az.: II ZB 7/23) entschieden, dass Geschäftsführer einer GmbH Ihren Anspruch aus Art. 17. Abs. 1 Datenschutzgrundverordnung (DSGVO) auf Löschung des Geburtsdatums und des Wohnortes aus dem Handelsregister nicht geltend machen dürfen.

Am 29.05.2024 hat die BaFin die nunmehr 8. MaRisk-Novelle veröffentlicht.

Am 20. und 21. Juni 2024 hat die BaFin eine Informationsveranstaltung zum Thema Digital Operational Resilience Act (DORA) Informationsregister abgehalten.

Die jüngsten Sanktionen der USA gegen Kaspersky Lab zeigen sehr deutlich, wie eng verwoben die Bereiche Anti-Financial Crime, Compliance und Cyber-Security sind. Doch was genau ist der Zusammenhang?

Das Verbandssanktionengesetz ist eine Maßnahme zur Stärkung der Unternehmensverantwortung und zur Bekämpfung von Wirtschaftskriminalität.

Die Entscheidung für Frankfurt verdient Anerkennung als strategische Wahl im Kampf gegen Geldwäsche.

Der Aufsichtsrat eines großen deutschen Industrieunternehmens für die Herstellung und Verarbeitung von Kupferprodukten mit Sitz in Hamburg hat am 23. Januar 2024 beschlossen, die Verträge von drei der insgesamt vier Vorstandsmitglieder vorzeitig zu beenden.

Die im Rahmen der BaFin-Veranstaltung dargestellten Themen und Hinweise unterstreichen die Notwendigkeit eines proaktiven Ansatzes der betroffenen Unternehmen, um den Anforderungen von DORA gerecht zu werden und ihre Resilienz zu stärken.

Die finale Fassung der MaRisk-Novelle soll laut BaFin nach Abschluss des Konsultationsverfahrens im April 2024 veröffentlicht werden.

Durch die DORA-Verordnung wurde ein einheitliches Regelwerk geschaffen, das europaweit Regeln für das Management von Informations- und Kommunikationstechnologierisiken vorgibt.

Der Anwendungsbereich der DSGVO wird i.d.R. eröffnet sein, da das Metaverse ist auf die Verarbeitung großer Datenmengen ausgerichtet ist.

Am 16. Januar 2023 ist der Digital Operational Resilience Act (DORA) als eine neue EU-Verordnung in Kraft getreten.

Der Bundesrat hat in seiner 1041. Sitzung am 2. Februar 2024 beschlossen, die 2018 in Kraft getretene DSGVO neu zu überprüfen und gegebenenfalls neu zu bewerten.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 1. Februar 2024 eine Mitteilung zu Auslagerungen an Cloud-Anbieter veröffentlicht. Diese basiert auf der Orientierungshilfe aus November 2018 und zeigt auf, wie die BaFin Auslagerungen an Cloud-Anbieter bewertet.

Die Nutzung von KI eröffnet vielfältige Chancen, wie beispielsweise die Steigerung der Produktivität im Arbeitsalltag. Sie birgt aber auch Risiken, insbesondere in Bezug auf Datenschutz und Sicherheit.

Das zwölfte Sanktionspaket der Europäischen Union gegen Russland, das am 19. Dezember 2023 in Kraft getreten ist, stellt als Reaktion auf den anhaltenden Angriffskrieg Russlands gegen die Ukraine eine weitere Verschärfung der Maßnahmen dar.

Die Corporate Sustainability Due Diligence Directive (CSDDD) sollte EU-Mitgliedsstaaten dazu verpflichten, Unternehmen Sorgfaltspflichten hinsichtlich ihrer vor- und nachgelagerten Lieferketten aufzuerlegen.

ie Anwendbarkeit des LkSG ist dabei von den Unternehmen eigenverantwortlich zu prüfen und umzusetzen.

Im Dezember 2023 hat der EuGH gleich vier Urteile zu Auslegungsfragen der DSGVO gefällt und damit (Un-)-klarheiten über die Regelungen von Bußgeldern, Schadensersatz und notwendigen Schutzmaßnahmen geschaffen.

NIS2, DORA sowie der Cyber Resiliance Act sind Regelungen, die alle das Ziel haben, die Cybersicherheit bzw. die Betriebsstabilität zu stärken

Diese Empfehlungen betreffen die gezielte Bekämpfung der Terrorismusfinanzierung und die Eindämmung der Verbreitung von Massenvernichtungswaffen.

Die Neuerungen erstrecken sich dabei über verschiedene Bereiche, von der Lieferkettensorgfaltspflicht über den Datenschutz bis hin zu Transparenzanforderungen.

In einer beispiellosen Entwicklung hat die weltweit größte Kryptobörse Binance eine Milliardenstrafe akzeptiert, die die Aufmerksamkeit der gesamten Kryptobranche auf sich zieht.

Das Gesetz zur Stärkung der risikobasierten Arbeitsweise der Zentralstelle für Finanztransaktionsuntersuchungen (FIU) tritt in eine entscheidende Phase.

Für die betroffenen regulierten Unternehmen des europäischen Finanzsektors bedeutet dies eine schnellstmögliche Umsetzung der Anforderungen.

Das Europäische Parlament hat Anfang November mit einer großen Mehrheit von 82,5 % der Stimmen den Data Act verabschiedet.

S-Kreditpartner, der Spezialist der Sparkassengruppe für Auto- und Konsumentenkredite, ist ins Visier der Finanzaufsicht geraten.

Der Schutz von Betroffenen vor bewussten Falschmeldungen kann grundsätzlich am besten durch einen Untersuchungsprozess sichergestellt werden.

Die kontinuierlichen Bemühungen von Ländern von der Grauliste gestrichen zu werden, sowie die jüngsten Zugänge unterstreichen die anhaltende Relevanz und Wirkung der FATF-Bewertungen.

In Zukunft wird der Finanzsektor wahrscheinlich ein robusteres regulatorische Umfeld mit einer strengeren Durchsetzung der Anti-Geldwäschevorschriften erleben.

Am 23. Oktober 2023 veröffentlichte das Bundesfinanzministerium einen ersten Referentenentwurf, der auf seiner Internetseite öffentlich zugänglich ist.

Es wird erwartet, dass die nächste Verhandlungsrunde mit dem Europäischen Parlament im November stattfinden wird.

Die EIOPA konkretisiert, wie das Risiko von Forderungen einer Captive gegenüber dem Cash Pool gemäß der Standardformel zu bewerten seien.

Besonders interessant ist dabei, dass die Drittlandproblematik – normalerweise an sich schon das K.-o.-Kriterium der Aufsichtsbehörden – nicht explizit behandelt wird.

Ein ambitioniertes Projekt auf Basis künstlicher Intelligenz (KI) sollte ursprünglich entwickelt werden, um verdächtige Finanztransaktionen zu identifizieren.

Die Europäische Zentralbank (EZB) hat am 24. Juli 2023 eine öffentliche Konsultation zu ihrem Entwurf eines Leitfadens für die effektive Aggregation von Risikodaten und die Risikoberichterstattung gestartet.

Laut einer Studie des Digital-Branchenverbands Bitkom haben Cyberangriffe auf deutsche Unternehmen in den vergangenen Jahren immens zugenommen.

Wirecard und Compliance – Warum sich eine ernsthafte Compliance-Kultur auszahlt

Interne Untersuchungen in einem Unternehmen werden oftmals dann durchgeführt, wenn ein Verdacht auf strafbares Verhalten oder sonstige grobe Pflichtverletzungen von Beschäftigten vorliegt.

Am 22. August 2023 veröffentlichte die BaFin die Ergebnisse der im Jahr 2022 gestarteten Umfrage bei Lebens-, Kranken-, Schaden-, Unfall- sowie Rückversicherungsunternehmen.

Der Druck auf die Schweiz, mehr gegen Geldwäsche und Finanzkriminalität zu unternehmen, hat zugenommen.

Nach Angaben des Statistischen Bundesamtes haben im Jahr 2021 bereits 71 % der großen Unternehmen in Deutschland Cloud-Dienste in ihrer IT-Architektur eingesetzt.

Der Jahreskongress zur Bekämpfung der Geldwäsche und zur Bekämpfung der Terrorismusfinanzierung spielt eine entscheidende Rolle bei der Aufdeckung und Bekämpfung dieser Vergehen.

Bundesfinanzminister Christian Lindner plant laut einem Gesetzesentwurf die Schaffung einer neuen Behörde zur intensiveren Bekämpfung von Geldwäsche in Deutschland ab 2024.

Kritische Stimmen weisen zudem auf die sich zuspitzende Klimakrise hin und fordern eine möglichst rasche Einigung.

Compliance Management wird im deutschen Profifußball zunehmend gefordert

Immer noch und spätestens seit dem 2. Juli 2023 wieder in aller Munde: Das Hinweisgeberschutzgesetz (HinSchG).

Die NIS2-Richtlinie zielt auf den Cyberschutz ab, während die Resilienz-Richtlinie (EU RCE/CER Direktive) den physischen Schutz vor nicht-cyberbezogenen Gefahren wie Naturkatastrophen und Sabotage betrifft.

Welche Bedrohungen Geldwäsche auf die Stabilität der Finanzsektoren haben kann und wie die KI diese lösen kann, konnten Sie am 07. September bei unserem WAVESTONE Compliance Breakfast erfahren.

Das Hinweisgeberschutzgesetz musste einen langen Entwicklungsprozess durchlaufen, hat nun aber alle Hürden genommen und ist am 02.07.2023 endlich in Kraft getreten.

Die BaFin hat ihr Rundschreiben Mindestanforderungen an die Compliance-​Funktion (MaComp) aktualisiert und zum 30. Juni 2023 veröffentlicht.

Die Europäische Union hat am 23. Juni 2023 das elfte Sanktionspaket gegen Russland verabschiedet.

In der schattenhaften Welt der Finanzkriminalität ist die Financial Intelligence Unit (FIU) so etwas wie der Leuchtfeuerwärter.

rotz massiver Kritik hat die Mehrheit des EU-Parlaments am 1. Juni 2023 für eine Verschärfung des ursprünglichen Gesetzesvorschlags der EU-Kommission gestimmt.

rotz massiver Kritik hat die Mehrheit des EU-Parlaments am 1. Juni 2023 für eine Verschärfung des ursprünglichen Gesetzesvorschlags der EU-Kommission gestimmt.

Die Verordnung ist zum 16. Januar 2023 in Kraft getreten und sieht für die Umsetzung der Anforderungen eine Übergangsfrist von 24 Monaten bis zum 17. Januar 2025 vor.

Während Fragen zum Umgang mit personenbezogenen Daten (Stichwort Datenschutz) durch klare rechtliche Vorgaben beantwortet werden können, erscheinen die Antworten auf ethische Fragestellungen weniger offensichtlich.

Am 28. März 2023 hat die Finanzaufsicht BaFin gegenüber der AXA Krankenversicherung Aktiengesellschaft einen Kapitalaufschlag auf die Solvabilitätskapitalanforderung festgesetzt.

Im Zusammenhang mit einer weltweiten Aktion gegen die kalabrische Mafiaorganisation ‚Ndrangheta, Anfang Mai kam es in Thüringen zu Durchsuchungen durchgeführt und einer Festnahme.

Verordnung über Märkte für Kryptowerte (MiCA = Markets In Crypto Assets) verabschiedet

Die Europäische Kommission hat die technische Beratung der ESAs angefordert, um die Kriterien für kritische IKT-Drittdienstleister (CTPPs) gemäß Artikel 31 DORA näher zu spezifizieren.

Im Februar 2022 hat die Europäische Kommission ihren Vorschlag für eine Corporate Sustainability Due Diligence Directive (CSDDD) veröffentlicht.

Der neue Glücksspielstaatsvertrag ist gar nicht mehr so „neu”. Er ist ein Abkommen zwischen den deutschen Bundesländern, das die Regulierung von Glücksspielen in Deutschland regelt.

Am 28. März 2023 hat die EU-Kommission einen neuen Aktionsplan gegen Geldwäsche und Terrorismusfinanzierung vorgestellt.

Bereits seit dem 1. Januar 2023 gilt das Lieferkettensorgfaltspflichtengesetz (LkSG), das große Unternehmen dazu verpflichtet, nicht nur in ihrem eigenen Geschäftsbereich, sondern auch in ihrer Lieferkette Verantwortung für die Menschenrechte und Umwelt zu übernehmen.

Nachdem am 11. Mai 2023 der Deutsche Bundestag das neue Hinweisgeberschutzgesetz verabschiedet hat, hat auch der Bundesrat am 12. Mai 2023 seine Zustimmung gegeben.

Das Urteil des Europäischen Gerichtshofs in der Rechtssache C-300/21 befasst sich mit der Frage, welche Voraussetzungen erfüllt sein müssen, um einen Schadenersatzanspruch nach Art. 82 DSGVO geltend zu machen

Am 23. März 2023 haben sich unsere Compliance Expertinnen Sandy Schmitt und Sonja Wunderlich mit den Teilnehmenden des WAVESTONE Compliance Breakfast über den aktuellen Stand des Gesetzgebungsverfahrens zum Hinweisgeberschutzgesetz (HinSchG) und die Auswirkungen für betroffene Unternehmen ausgetauscht

Die Aufsicht hat das Thema Individuelle Datenverarbeitung (kurz: IDV) im Fokus und betrachtet es als Teilmenge der Anwendungsentwicklung.

Die BaFin hat am 22. Februar 2023 eine digitale Informationsveranstaltung durchgeführt und Antworten auf häufig gestellte Fragen zur Anzeige von Auslagerungen und Ausgliederungen über die Melde- und Veröffentlichungsplattform (MVP) vorgestellt.

Im Rahmen der Jahresabschlussprüfung hat die BaFin festgestellt, dass die Zweigniederlassung Frankfurt der Bank of China nicht ausreichend gegen Geldwäsche vorgeht und interne Kontrollen und Verfahren zur Bekämpfung von Geldwäsche nur unzureichend implementiert hat.

Mit der zunehmenden Verbreitung von Pur-Abo-Modellen auf Webseiten sind in den vergangenen Jahren verstärkt Datenschutzbedenken aufgekommen.

Am 24. Februar 2023 hat das European Data Protection Board (EDPB) die finale Version der Leitlinie zu den Kriterien für Drittlandübermittlung veröffentlicht.

Seit dem 29. November 2022 sind alle von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigten Unternehmen dazu verpflichtet, die Melde- und Veröffentlichungsplattform (MVP) für die Anzeige wesentliche Auslagerungen und wichtige Ausgliederungen zu nutzen.

Die BaFin hat am 25. Januar 2023 eine Geldbuße in Höhe von drei Millionen Euro gegen die Frankfurter Niederlassung einer niederländischen Großbank verhängt.

Am 27. Februar 2023 haben sich die EU-Staaten auf ein weiteres Sanktionspaket gegen Russland geeinigt.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.

Der monatliche Compliance & Regulatory Blog bietet einen Überblick über aktuelle regulatorische Entwicklungen, damit Sie Ihre Aktivitäten frühzeitig prüfen und anpassen können.