01

Geldwäsche

Das Geldwäschegesetz hilft dabei, Terrorismus zu bekämpfen und Steuerhinterziehung aufzudecken. Besonders im Immobiliensektor fließen hohe Geldsummen, und häufig ist die Herkunft der Mittel unklar. Aus diesem Grund nimmt der Gesetzgeber Immobilienmakler in die Pflicht. Bei Verstößen gegen diese Pflichten drohen hohe Bußgelder. 

Verstößt ein Immobilienmakler gegen die Geldwäschevorschriften, handelt es sich um eine Ordnungswidrigkeit, die je Einzelverstoß mit einer Geldbuße von bis zu 100.000 Euro geahndet werden kann. Bei vorsätzlichem Handeln sind es bis zu 150.000 Euro (§ 56 Abs. 1 und 2 GwG). Zudem besteht die Gefahr strafrechtlicher Konsequenzen, da ein Makler als Gehilfe der Geldwäsche oder Terrorismusfinanzierung fungieren kann. Des Weiteren werden Verstöße für fünf Jahre öffentlich bekannt gemacht und führen somit automatisch zu schweren Imageschäden. 

Immobilienmakler gehören nach § 2 Abs. 1 Nr. 14 GwG zu den Verpflichteten und müssen zwar nicht zwangsläufig einen Geldwäschebeauftragten ernennen, jedoch die entsprechenden Maßnahmen unabhängig von der Unternehmensgröße umsetzen. Zur Einhaltung des Geldwäschegesetzes und zur Vermeidung von Bußgeldern sollten folgende Punkte umgesetzt sein: 

– Anmeldung bei der Zentralstelle für Finanztransaktionsuntersuchungen 

– Sorgfaltspflichten: Wann muss identifiziert werden? Wie muss identifiziert werden? 

– Risikomanagement und interne Sicherungsmaßnahmen 

– Geldwäsche in der Praxis: Wann wird es verdächtig, und was ist zu tun? 

Anmeldung bei der Zentralstelle für Finanztransaktionsuntersuchungen 

Alle geldwäscherechtlich Verpflichteten, zu denen auch Immobilienmakler gehören, müssen sich auf dem Portal der Zentralstelle für Finanztransaktionsuntersuchungen (FIU) elektronisch anmelden (www.goaml.fiu.bund.de). Bei der FIU können Verdachtsmeldungen gemäß Geldwäschegesetz abgegeben werden. Die Anmeldung stellt somit die Grundlage für die Tätigkeitsaufnahme dar. Beim Anmeldeprozess müssen persönliche Angaben zu den verantwortlichen Personen gemacht werden. 

Sorgfaltspflichten 

Wann muss identifiziert werden? 

Immobilienmakler sind verpflichtet, die Identität ihrer Kunden zu überprüfen und bei Verdachtsmomenten eine Meldung an die FIU (Financial Intelligence Unit) abzugeben. Die folgenden Geschäftsvorgänge gelten als identifizierungspflichtig: 

Vermittlung von Immobilien zum Kauf oder Verkauf:  

Dabei sind beide Vertragsparteien zu identifizieren (§ 10 Abs. 6 Nr. 1 GwG). Besonders zu beachten ist, dass die Identifizierung bereits bei ernsthaftem Interesse erfolgen muss (§ 11 Abs. 2 GwG). Dies kann beispielsweise bei Erhalt eines Kaufvertrags, der Vereinbarung einer Reservierungsbestätigung oder der Zahlung einer Reservierungsgebühr der Fall sein. 

Vermittlung von Mietverträgen mit einer monatlichen Miete über 10.000 Euro:  

Auch hier sind beide Vertragsparteien zu identifizieren (§ 10 Abs. 6 Nr. 1 GwG). Die Identifizierung des Auftraggebers muss bereits bei Auftragserteilung erfolgen. Die Ausnahmen nach § 11 Abs. 2 GwG, wie sie beim Immobilienkauf gelten, finden hier ausdrücklich keine Anwendung. 

Praxistipp: Die Identifizierung durch oder beim Notar ist nicht ausreichend. Zudem muss der Immobilienmakler bei sogenannten „Stammkunden“ und einem erneuten Vertragsschluss die bereits erhobenen Angaben und Dokumente überprüfen und ggf. aktualisieren. 

Wie muss identifiziert werden? 

Grundsätzlich müssen Immobilienmakler Käufer oder Verkäufer identifizieren. Dabei ist zwischen natürlichen und juristischen Personen zu unterscheiden. 

Natürliche Personen: 

Der Kauf/Verkauf durch eine natürliche Person ist die übliche Fallkonstellation für Immobilienmakler. Gemäß GwG besteht die Verpflichtung, folgende Daten zur Identifizierung zu erfassen (§ 11 Abs. 4 S. 1 GwG): 

– Vorname und Nachname 
– Geburtsort 
– Geburtsdatum 
– Staatsangehörigkeit 
– Wohnanschrift 

Die Identifizierung erfolgt anhand eines gültigen, amtlichen und originalen Personalausweises oder Reisepasses. Diese Identifikation ist zu dokumentieren, z. B. durch Kopie, Scan oder Foto des Ausweises. Immobilienmakler sind nicht nur verpflichtet, sondern durch das Geldwäschegesetz auch berechtigt, vollständige Kopien der Identifikationsunterlagen anzufertigen. 

Praxistipp: Die Kopie des Ausweises ist mit den Vorgaben der EU-DSGVO grundsätzlich vereinbar. Eine Weitergabe an Dritte ist jedoch untersagt – außer an Strafverfolgungsbehörden. Achten Sie im Rahmen deiner Löschkonzepte auf die fristgerechte Vernichtung. Dokumente zur Erfüllung des Geldwäschegesetzes müssen mindestens fünf, aber maximal zehn Jahre aufbewahrt werden, sofern keine längeren gesetzlichen Aufbewahrungsfristen gelten. 

Juristische Personen: 

Bei Verkäufen durch juristische Personen – z. B. Gesellschaften – sind die Eigentumsstrukturen mit angemessenem Aufwand zu ermitteln (§ 10 Abs. 1 Nr. 2 GwG). Neben dem wirtschaftlich Berechtigten müssen folgende Informationen erhoben und dokumentiert werden (§ 11 Abs. 4 S. 2 GwG): 

– Firma, Name oder Bezeichnung 
– Rechtsform 
– Registernummer (falls vorhanden) 
– Anschrift des Sitzes oder der Hauptniederlassung 
– Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter 
– Falls ein Vertreter eine juristische Person ist: auch deren entsprechende Daten 

Makler müssen einen Nachweis aus dem Transparenzregister oder einen Auszug der dort verfügbaren Daten einholen (§ 11 Abs. 5 Satz 2 GwG). 

Praxistipp: Ein Handelsregisterauszug genügt, wenn alle Angaben bereits daraus eindeutig hervorgehen. Unternehmen sind verpflichtet, ihre Angaben im Transparenzregister stets aktuell zu halten. Die Maßnahmen zur Identitätsprüfung sowie auftretende Schwierigkeiten müssen dokumentiert werden. 

Risikomanagement und interne Sicherungsmaßnahmen 

Zur Verhinderung von Geldwäsche und Terrorismusfinanzierung müssen Verpflichtete ein wirksames Risikomanagement implementieren (§ 4 GwG). Dieses umfasst: 

– Eine Risikoanalyse 
– Interne Sicherungsmaßnahmen 

Beide Aspekte stehen in direktem Zusammenhang. Die Maßnahmen ergeben sich aus der Risikoanalyse. 

Risikoanalyse: 

Makler müssen prüfen, ob und wie sie mit Personen in Kontakt kommen könnten, die Schwarzgeld durch Immobiliengeschäfte waschen wollen. Dieses Risiko ist vollständig zu erfassen, zu bewerten und zu dokumentieren. Ein Risikofaktor kann z. B. der Wohnsitz eines Kunden in einem Drittstaat mit hoher Korruptionsrate sein. 

Praxistipp: Die Risikoanalyse muss dokumentiert, jährlich überprüft und zentral gespeichert werden. Auf Anfrage der Aufsichtsbehörde muss sie aktuell und nachvollziehbar vorgelegt werden können. 

Interne Sicherungsmaßnahmen: 

Beispiele für interne Sicherungsmaßnahmen (§ 6 Abs. 2 GwG): 

– Zuverlässigkeitsprüfung der Mitarbeitenden (z. B. polizeiliches Führungszeugnis) 
– Schulungen zum Thema Geldwäsche inkl. Dokumentationsnachweis 
– Arbeitsanweisungen für Verdachtsfälle 
– Checklisten für Immobilientransaktionen im EU-Ausland 

Praxistipp: Dokumentieren Sie alle Maßnahmen zentral, um sie jederzeit auf Verlangen der Behörden vorlegen zu können. 

Geldwäsche in der Praxis 

Wann wird es verdächtig? 

Folgende Situationen können eine Verdachtsmeldung erforderlich machen: 

– Der Käufer zahlt ohne einen plausiblen Grund einen überhöhten Preis deutlich über dem Marktwert
– Der Käufer oder Verkäufer möchte die Courtage oder Teile des Kaufpreises bar begleichen
– Der Kunde verweigert die Offenlegung seiner Identität oder das Vorzeigen eines Ausweises
– Der Käufer oder Verkäufer verlangt im Notarvertrag einen niedrigeren Kaufpreis anzugeben 
– Der Käufer verweigert den Kapital- oder Finanzierungsnachweis 
– Kapitalnachweis stammt aus dem EU-Ausland 

Wichtig: Bei einer Meldung an die FIU ist der Makler in der Regel von der Verantwortlichkeit freigestellt – es sei denn, die Meldung war vorsätzlich oder grob fahrlässig unwahr (§ 48 Abs. 1 GwG). Nach Abgabe einer Meldung muss die FIU innerhalb von 3 Werktagen reagieren. Bis dahin darf der Kauf/Verkauf nicht abgeschlossen werden. 

Hinweis: Es besteht ein striktes Informationsverbot – Käufer oder Verkäufer dürfen über die Verdachtsmeldung nicht informiert werden. 

Praxistipp: Auch wenn Sie sich gegen eine Meldung entscheiden, dokumentieren Sie Ihre Beweggründe sorgfältig. So schützen sie sich und ihr Unternehmen vor möglichen Konsequenzen.

Zusammenfassung durch NNW Consulting 

Das existenzielle Risiko durch unzureichende Beachtung der GwG-Vorgaben wird häufig unterschätzt. Das bloße Kopieren eines Ausweises genügt nicht und schützt nicht vor Bußgeldern. Schon mit wenigen, gut durchdachten Maßnahmen und einem kompetenten Partner an Ihrer Seite können Sie ihr Unternehmen absichern. 

NNW Consulting ist zertifiziert und hilft Ihnen dabei, Ihr Unternehmen „Geldwäsche-ready“ aufzustellen – damit Sie sich voll und ganz auf Ihren Geschäftserfolg konzentrieren können. 

02

Informationssicherheit

Allgemeines und Etablierung 

Ein Informationssicherheitsniveau im Unternehmen aufzubauen, dauerhaft zu etablieren und durchgehend zu verbessern, erfordert verschiedene regelmäßig durchzuführende Schritte. Diese folgen einem kontinuierlichen Verbesserungsprozess (KVP). 

In einem Informationssicherheits-Managementsystem (ISMS) gibt es eine Reihe von Prozessschritten, die umgesetzt werden müssen, um ein angemessenes Sicherheitsniveau zu erreichen und nachhaltig zu verankern. Die grundlegenden Schritte werden bei der Einführung des Systems typischerweise in einer festgelegten Reihenfolge durchlaufen. 

Die Implementierung des Managementsystems, die praxisgerechte und konforme Umsetzung von Maßnahmen sowie die notwendige Sensibilisierung der Unternehmenskultur erfordern entsprechende Fachkompetenz und langjährige Erfahrung. 

Unsere Leistung 
Das erprobte Vorgehen zur Etablierung besteht aus mehreren Aktivitäten, die in der Regel im Rahmen eines Einführungsprojekts erstmals umgesetzt werden. Dabei folgt NNW Consulting dem bewährten System des Plan-Do-Check-Act-Zyklus (PDCA-Zyklus). Wir begleiten Sie ganzheitlich – von der strategischen Etablierung einer Informationssicherheitsorganisation über die Erfüllung übergreifender Anforderungen bis hin zur Durchführung von Audits, der Berichterstattung und der Umsetzung von Verbesserungen. 

Im Rahmen unserer Datenschutzleistungen nach DSGVO oder als Ihr externer Datenschutzbeauftragter zeigen wir Ihnen zudem mögliche Schnittstellen und Optimierungspotenziale auf. So ermöglichen wir eine ganzheitliche, praxisnahe Umsetzung der jeweiligen Anforderungen und helfen Ihnen dabei, Quick Wins zu realisieren. 

Informationssicherheit nach ISO 27001 

Die Unternehmenswelt ist zunehmend mit sich rasant entwickelnden Technologien und Digitalisierungsstandards konfrontiert. Diese schaffen einerseits neue Möglichkeiten, bergen jedoch andererseits erhebliche Risiken. In sämtlichen Unternehmensprozessen steht der Schutz von Daten bzw. Informationen im Mittelpunkt – unabhängig davon, ob es sich um personenbezogene oder andere sensible Informationen handelt. Ziel ist es, Informationssicherheit zu gewährleisten. 

Dabei geht es nicht nur um den angemessenen Schutz vor Verlust oder unberechtigtem Zugriff auf Informationen (z. B. Kunden- und Mitarbeiterdaten, Patente, Unternehmensdokumente), sondern ebenso um die dauerhafte Verfügbarkeit sowie ein fehlerfreies und unverfälschtes Funktionieren der Kernprozesse und der dafür eingesetzten Systeme. 

Der Schutz personenbezogener Daten ist darüber hinaus durch das Grundrecht auf informationelle Selbstbestimmung besonders geschützt. 

Begriffe und Standards der Informationssicherheit 

Innerhalb der Informationssicherheit gibt es zahlreiche relevante Begriffe. Der Begriff selbst stammt unter anderem aus den IT-Grundschutzkatalogen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sowie aus der internationalen Norm ISO/IEC 27001. Letztere ist in der Unternehmenspraxis weit verbreitet. Die Normenreihe ISO/IEC 2700x beinhaltet international anerkannte Standards für Informationssicherheitsmanagement (engl. Information Security Management). 

Unternehmen sämtlicher Branchen können ihr Informationssicherheitsmanagementsystem (ISMS) – also ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit – nach ISO/IEC 27001:2013 zertifizieren lassen. Ziel ist es, alle relevanten Aspekte des Informationsschutzes abzudecken. Die drei zentralen Schutzziele sind: 

  • Vertraulichkeit bedeutet, dass Informationen – je nach Sensitivität – nur autorisierten Personen zugänglich sind. Dies betrifft sowohl digitale Systeme als auch physische Bereiche, wie z. B. sensible IT-Räume. Maßnahmen zur Wahrung der Vertraulichkeit sind unter anderem Zutritts-, Zugangs- und Berechtigungskonzepte, die unbefugten Zugriff verhindern sollen. 
  • Integrität bedeutet, dass Informationen und Systeme korrekt, unverändert und verlässlich sind. Ein Angriff auf die Integrität liegt beispielsweise vor, wenn Daten verfälscht werden oder Empfänger andere Inhalte erhalten als ursprünglich versendet. Ursache hierfür können sowohl technische Defekte als auch fehlende Zugriffsbeschränkungen sein. Angriffe auf die Integrität können somit versehentlich oder vorsätzlich erfolgen. 
  • Verfügbarkeit bedeutet, dass Informationen und IT-Systeme stets so zur Verfügung stehen, wie es für die Geschäftsprozesse erforderlich ist. Besonders bei der Nutzung externer IT-Infrastrukturen ist die Gewährleistung der Verfügbarkeit kritisch. Diese sollte durch geeignete vertragliche Regelungen, z. B. für den Umgang mit Serverausfällen, abgesichert sein. 

Abgrenzung verwandter Begriffe 

Die Begriffe Datensicherheit, IT-Sicherheit und Datenschutz stehen in engem Zusammenhang mit der Informationssicherheit: 

  • Datensicherheit bezieht sich auf den generellen Schutz aller Daten, unabhängig davon, ob sie personenbezogen sind. Ziel ist es, Risiken wie Manipulation, Verlust oder unbefugte Kenntnisnahme zu minimieren. 
  • IT-Sicherheit ist ein Teilbereich der Informationssicherheit und fokussiert sich auf den Schutz elektronisch gespeicherter Daten sowie die sichere Funktion von IT-Systemen. 
  • Datenschutz hingegen verfolgt ausschließlich das Ziel, personenbezogene Daten zu schützen. 

Trotz ihrer unterschiedlichen Schwerpunkte überschneiden sich Datenschutz, Datensicherheit, IT-Sicherheit und Informationssicherheit in der praktischen Umsetzung. Gemeinsam wirken sie durch technisch-organisatorische Maßnahmen (TOMs) synergetisch zusammen und stärken sich gegenseitig. 

Informationssicherheitsbeauftragter (ISB) 

Grundsätzlich muss die Unternehmensführung sicherstellen, dass die Prozesse im Unternehmen die informationssicherheitsrelevanten Anforderungen einhalten – denn sie trägt die Verantwortung für die Informationssicherheit. Die Durchführung dieser Aufgaben kann jedoch delegiert werden. Typischerweise wird dafür das Informationssicherheitsmanagement (ISM) als Instanz implementiert, wobei der ISB Informationssicherheitsbeauftragte eine zentrale Rolle einnimmt. 

Wir begleiten Sie dauerhaft als externer Informationssicherheitsbeauftragter. Weitere Informationen erhalten Sie [hier]. 

Innerhalb des Unternehmens sollten sowohl interne als auch externe Themen identifiziert werden, die den Geschäftszweck beeinflussen. Diese Analyse bildet die Grundlage zur Definition der Sicherheitsziele sowie zur Identifikation von Risiken und Chancen im Umfeld des ISMS. Daraus ergeben sich geeignete Maßnahmen zur Risikobehandlung – mit dem ISB in zentraler Rolle. 

Zu seinen Aufgaben zählen insbesondere: 

  • Verantwortung im Rahmen des ISM Informationssicherheitsmanagements 
  • Beratung der Unternehmensführung und der Mitarbeitenden zu informationssicherheitsrelevanten Themen 
  • Durchführung von Schulungen und Sensibilisierungsmaßnahmen 
  • Aufbau eines Auditmanagements inkl. Durchführung und Dokumentation von Audits 
  • Berichtspflicht gegenüber der Unternehmensführung 
  • Erstellung und Pflege des Risikokatalogs und Risikobehandlungsplans 
  • Koordination von Informationssicherheitsvorfällen 
  • Ansprechpartner für Aufsichtsbehörden und weitere externe Stellen 
  • Abstimmung und enge Zusammenarbeit mit dem Datenschutzbeauftragten 

 

Wichtig: Aufgrund seiner Funktion ist bei der Ernennung eines ISBInformationssicherheitsbeauftragten sicherzustellen, dass keine Interessenkonflikte entstehen – etwa durch gleichzeitige Ausübung operativer Funktionen (z. B. als IT-Leiter oder Mitarbeitender der IT-Abteilung). Es muss eine klare Trennung zwischen operativem Geschäft und Kontrollfunktionen gewährleistet sein. 

Zudem erfordert die Position des ISB eine hohe fachliche Qualifikation. Gerade in kleinen und mittelständischen Unternehmen fehlt es oft an entsprechend ausgebildetem Personal. Daher bietet sich die Bestellung eines externen ISB Informationssicherheitsbeauftragten an. 

Vorteile eines externen Informationssicherheitsbeauftragten: 

  • Wegfall von Kosten für Aus- und Fortbildungsmaßnahmen interner ISBs 
  • Kontinuierliche Vertretung und Verfügbarkeit 
  • Keine zusätzlichen Kosten für die Schulung von Vertretungspersonal 
  • Entlastung interner Mitarbeitender, die diese Funktion häufig nur nebenbei ausüben 
  • Zugriff auf umfassende Expertise und praxiserprobtes Know-how 

Sprechen Sie uns an – wir erstellen Ihnen gerne ein auf Ihre Bedürfnisse zugeschnittenes Angebot. 

 

Begriffe der Informationssicherheit im Kontext der Authentizität 
Bei der Sicherstellung der Authentizität werden drei Vorgänge unterschieden: 

  • Authentisierung 
    Vorgang, bei dem eine Person oder Entität ihre Identität oder eine bestimmte Eigenschaft nachweist. Die Authentisierung kann z. B. durch Passwörter, Chipkarten oder biometrische Merkmale erfolgen. Eine Authentisierung von Daten erfolgt häufig mithilfe kryptografischer Signaturen. 
  • Authentifizierung 
    Prüfung und Bestätigung der Identität oder weiterer Eigenschaften einer Person oder Entität. Bei authentischen Informationen ist sichergestellt, dass sie tatsächlich von der angegebenen Quelle stammen. Die Authentizität beschreibt somit die Eigenschaft, dass ein Kommunikationspartner tatsächlich derjenige ist, der er vorgibt zu sein. 
  • Autorisierung 
    Prüfung, ob eine Person oder Entität berechtigt ist, eine bestimmte Aktion oder Handlung durchzuführen. Bei der Autorisierung wird kontrolliert, ob eine entsprechende Zugriffs- oder Nutzungsberechtigung vorliegt. 

 

Zwei-Faktor-Authentifizierung (2FA) 

Die Zwei-Faktor-Authentifizierung (2FA) ist eine Methode zur Erhöhung der Sicherheit bei Online-Zugängen. Sie stellt sicher, dass nur berechtigte Benutzer Zugriff auf ein Konto erhalten, indem sie zwei voneinander unabhängige Faktoren zur Identitätsprüfung verwendet. 

Die erste Stufe der Authentifizierung besteht in der Eingabe eines Benutzernamens und Passworts, wie sie üblicherweise bereits Teil des Anmeldevorgangs sind. Die zweite Stufe umfasst die Überprüfung eines zusätzlichen Faktors, beispielsweise eines Einmalpassworts (OTP) oder eines biometrischen Merkmals. 

Einmalpasswörter werden häufig per SMS oder über eine Authentifizierungs-App auf einem mobilen Gerät generiert und müssen innerhalb eines bestimmten Zeitraums eingegeben werden. Biometrische Merkmale können z. B. die Gesichtserkennung, ein Fingerabdruck oder ein Iris-Scan sein. 

Die Verwendung von 2FA erhöht die Sicherheit, da selbst bei einem kompromittierten Passwort kein unautorisierter Zugriff erfolgen kann. Ein Angreifer müsste sowohl das Passwort als auch den zweiten Faktor kennen oder erlangen, um Zugang zu erhalten. 

Es ist zu beachten, dass 2FA nicht bei allen Online-Diensten verfügbar ist und nicht für jeden Nutzenden praktikabel sein muss. Ob der Einsatz sinnvoll ist, hängt vom individuellen Sicherheitsbedürfnis und Risikoprofil ab. Dennoch stellt die 2FA eine effektive Maßnahme dar – sowohl für Unternehmen und Organisationen mit erhöhtem Sicherheitsbedarf als auch für private Anwender, die den Schutz ihrer Online-Konten verbessern möchten. 

Kryptographie 

Kryptographie ist die Wissenschaft und Technik der Verschlüsselung von Informationen, um sie vor unautorisiertem Zugriff zu schützen. Sie lässt sich in zwei Hauptbereiche unterteilen: symmetrische und asymmetrische Kryptographie. 

Bei der symmetrischen Kryptographie wird derselbe Schlüssel sowohl zum Ver- als auch zum Entschlüsseln der Daten verwendet. Dieser Ansatz ist schnell und effizient, hat jedoch den Nachteil, dass der Schlüssel beiden Kommunikationspartnern bekannt sein muss, was ein potenzielles Sicherheitsrisiko darstellt. 

In der asymmetrischen Kryptographie kommen zwei unterschiedliche Schlüssel zum Einsatz: ein öffentlicher und ein privater. Die Daten werden mit dem öffentlichen Schlüssel verschlüsselt, der frei zugänglich ist, und können nur mit dem privaten Schlüssel entschlüsselt werden, der geheim gehalten wird. Diese Methode bietet ein höheres Maß an Sicherheit, ist jedoch langsamer und komplexer als die symmetrische Variante. 

Kryptographie spielt eine zentrale Rolle in Bereichen wie der Datensicherheit, dem elektronischen Zahlungsverkehr, dem Schutz geistigen Eigentums sowie im militärischen Umfeld. Sie ist ein wesentlicher Bestandteil des modernen Datenschutzes und schützt Informationen vor unbefugtem Zugriff und Missbrauch.

03

Datenschutz

Schulung 

Der Gesetzgeber erwartet von Verantwortlichen im Sinne der DSGVO, dass sie geeignete Prozesse zur Einhaltung datenschutzrechtlicher Vorgaben implementieren. Im Rahmen eines übergeordneten Datenschutzmanagements zählt daher auch die Unterrichtung der Mitarbeitenden, die mit der Verarbeitung personenbezogener Daten betraut sind, zu den zentralen Aufgaben. 

Neben der Vermittlung grundlegender Datenschutzkenntnisse beinhalten Schulungen typischerweise folgende Themen: 

  • Richtiges Verhalten im Umgang mit Datenschutzverletzungen 
  • Wichtige unternehmensinterne Dokumente, wie z. B. die Datenschutzrichtlinie oder Regelungen zur privaten Nutzung dienstlicher Geräte 
  • Zentrale Datenschutzthemen wie: 
      – Umgang mit Passwörtern 
      – Verhalten bei Sicherheitsvorfällen und -problemen 
      – Regelungen zum Arbeitsplatz (z. B. Sperren des Bildschirms, Clean-Desk-Policy) 
      – Umgang mit Social Media 
      – Daten- und Datenträgervernichtung 
      – Einsatz von Cookies 
  • Sensibilisierung für das Erkennen „außergewöhnlicher Situationen“, z. B. Hinweise auf mögliche Schadsoftware 
  • Schulung zu unternehmensspezifischen datenschutzrelevanten Themen 
  • Mögliche Sanktionen bei Verstößen 

Damit die Inhalte nachhaltig wirken, ist eine zielgruppengerechte Ausrichtung der Schulungs- und Sensibilisierungsmaßnahmen entscheidend. Typische Zielgruppen sind: 

  • Alle Mitarbeitenden – allgemeine Einführung in datenschutzrechtliche Anforderungen 
  • Führungskräfte – haben meist Zugriff auf besonders sensible Daten
  • IT-Mitarbeitende – aufgrund ihrer erweiterten Zugriffsrechte und zentralen technischen Aufgaben 
  • Personalabteilung sowie Personal- bzw. Betriebsrat – da bei Beschäftigtendaten zusätzliche datenschutzrechtliche Anforderungen gelten 
  • Vertriebsmitarbeitende – da Marketing und werbliche Kommunikation unter besonderer Beobachtung durch Verbraucher und Aufsichtsbehörden stehen 

Grundsätzlich sieht die DSGVO vor, dass der Datenschutzbeauftragte – insbesondere aufgrund seiner fachlichen Qualifikation – für die Unterrichtung über relevante externe und interne Datenschutzanforderungen zuständig ist. Doch nicht jedes Unternehmen verfügt über einen Datenschutzbeauftragten. Damit Sie als Verantwortlicher dennoch zielgruppenorientiert schulen und sensibilisieren können, unterstützen wir Sie individuell und bedarfsgerecht. 

 

Datenschutzbeauftragter (DSB) 

Auch wenn keine gesetzliche Pflicht zur formalen Benennung eines betrieblichen DSB besteht, bleibt die Verantwortung zur Einhaltung der datenschutzrechtlichen Vorgaben dennoch bestehen. 

Daher ist es grundsätzlich sinnvoll, innerhalb des Unternehmens eine entsprechende Position zu besetzen oder sich zumindest extern datenschutzrechtlich beraten zu lassen. 

Aufgrund seiner zentralen Rolle in der Unternehmensorganisation fordern sowohl die DSGVO als auch die Datenschutzaufsichtsbehörden, dass der DSB aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt wird. Dabei sind unter anderem die Unternehmensgröße, die Anzahl und Art der Verarbeitungsvorgänge sowie die technische Infrastruktur zu berücksichtigen. 

Zu den Kernaufgaben des Datenschutzbeauftragten zählen: 

  • Verantwortung im Rahmen des Datenschutzmanagementsystems 
  • Schulung und Unterrichtung des Verantwortlichen, der Mitarbeitenden und ggf. der Auftragsverarbeiter 
  • Überwachung und Kontrolle der Einhaltung datenschutzrechtlicher Vorschriften im Unternehmen 
  • Beratung zu datenschutzrelevanten Fragestellungen 
  • Ansprechpartner für betroffene Personen, z. B. bei allgemeinen Fragen oder Auskunftsersuchen 
  • Anlaufstelle und Koordination bei der Zusammenarbeit mit der Aufsichtsbehörde 
  • Koordination bei der Pflege des Verzeichnisses von Verarbeitungstätigkeiten 

Wichtiger Hinweis zur Unabhängigkeit: 

Bei der Ernennung eines DSB ist darauf zu achten, dass keine Interessenkonflikte durch andere Funktionen der benannten Person entstehen. Gesetzgeber und Aufsichtsbehörden weisen ausdrücklich darauf hin, dass bestimmte Rollen nicht mit der Funktion des DSB vereinbar sind. Dazu zählen typischerweise Inhaber, Geschäftsführer, Vorstandsmitglieder, IT-Mitarbeitende, Betriebsleiter, Personalverantwortliche, Marketingverantwortliche und Mitglieder der Personalvertretung. 

Vorteile eines externen DSB: 

  • Vermeidung von Interessenkonflikten 
  • Wegfall der Kosten für Aus- und Fortbildungsmaßnahmen eines internen DSB 
  • Dauerhafte Sicherstellung einer fachkundigen Vertretung 
  • Keine zusätzlichen Schulungskosten für die Vertretungsperson 
  • Externe DSB konzentrieren sich vollumfänglich auf ihre Aufgabe – im Gegensatz zu internen Mitarbeitenden, die diese häufig nur nebenbei übernehmen 

 

EU-Datenschutzgrundverordnung (EU-DSGVO) 

Der Schutz personenbezogener Daten stellt einen Grundrechtsschutz dar. Es geht dabei um den Schutz des Einzelnen, denn im Umgang mit seinen Daten dürfen seine Persönlichkeitsrechte nicht beeinträchtigt werden. Deshalb beginnt die Festschreibung der Persönlichkeitsrechte bereits in der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK) und der Charta der Grundrechte der Europäischen Union (GRC). Die EU-Datenschutzgrundverordnung knüpft daran an und ist als Verordnung unmittelbar anwendbares Recht in den Mitgliedstaaten. Sie schafft einen neuen Rechtsrahmen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. 

Die EU-DSGVO löste dabei das bis dahin bestehende Bundesdatenschutzgesetz (BDSG a.F.) ab. Mit der Datenschutzgrundverordnung soll ein weitgehend einheitliches Datenschutzniveau in allen Mitgliedstaaten der EU geschaffen werden. Gleichzeitig möchte der Gesetzgeber den Umgang mit personenbezogenen Daten in einer sich schnell entwickelnden Technologie- und Digitalisierungsumgebung zeitgemäß regeln. 

Dabei wird die EU-DSGVO durch weitere nationale sowie europäische Vorgaben ergänzt bzw. konkretisiert. Dazu zählen unter anderem die E-Privacy-Richtlinie, das Bundesdatenschutzgesetz (BDSG neu), das Gesetz gegen den unlauteren Wettbewerb (UWG), das Telemediengesetz (TMG) sowie das Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG). 

Die EU-DSGVO regelt unter anderem: 

Grundsätze der Verarbeitungstätigkeit 

Jede Verarbeitung personenbezogener Daten darf nur nach bestimmten Grundsätzen erfolgen – beispielsweise auf rechtmäßige Weise sowie für festgelegte, eindeutige und legitime Zwecke. Darüber hinaus dürfen personenbezogene Daten nur so lange gespeichert werden, wie es zur Erfüllung des Zwecks erforderlich ist. 

Betroffenenrechte 

Mit Inkrafttreten der EU-DSGVO wurden die Rechte der Betroffenen gestärkt. Dazu zählen unter anderem Informations-, Auskunfts-, Löschungs- und Widerspruchsrechte. Verantwortliche sind verpflichtet, Prozesse zu schaffen, um diesen Rechten nachzukommen. 

Verantwortliche und Auftragsverarbeiter 

Den Begriff des Verantwortlichen im datenschutzrechtlichen Sinne gab es bereits im alten Bundesdatenschutzgesetz, wurde jedoch durch die EU-DSGVO präzisiert. Unabhängig davon, ob man als alleiniger Verantwortlicher, als „gemeinsam für die Verarbeitung Verantwortlicher“ oder in einer vertraglich geregelten „Auftragsverarbeitung“ agiert – zentrale Anforderungen bestehen insbesondere in der Gewährleistung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten. Dazu zählen unter anderem Zutritts-, Zugangs- und Zugriffskonzepte. Auch die gesamte IT-Infrastruktur ist essenziell für eine ordnungsgemäße Datenschutzorganisation. 

Insgesamt ergänzen und überschneiden sich die Anforderungen von Informationssicherheit und Datenschutz. Geeignete technische und organisatorische Maßnahmen wirken sich positiv auf den Schutz personenbezogener sowie unternehmensbezogener Daten aus und tragen somit zu einem wirksamen Datenschutz- und Informationssicherheitsmanagement bei. 

Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen 

Das Urteil des Europäischen Gerichtshofs vom Juli 2020 (Schrems II) zur Ungültigkeit des „Privacy Shield“-Abkommens für den Datenaustausch zwischen Europa und den USA macht deutlich: Auch bei der Übermittlung personenbezogener Daten außerhalb der Europäischen Union müssen die allgemeinen Grundsätze der EU-DSGVO eingehalten werden. 

Sanktionen 

Der europäische Gesetzgeber betont in der EU-DSGVO ausdrücklich die Bedeutung abschreckender Sanktionen. In Art. 83 DSGVO heißt es, dass die Aufsichtsbehörden sicherstellen müssen, dass jedes Bußgeld „wirksam, verhältnismäßig und abschreckend“ ist. Der Bußgeldrahmen unterstreicht dies: Bei schwerwiegenden Verstößen gegen die genannten Anforderungen drohen Bußgelder von bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. 

Sie haben sich bisher noch nicht mit den Folgen der EU-DSGVO befasst und möchten wissen, was dies konkret für Ihr Unternehmen bedeutet? 
Gerne unterstützen wir Sie bei der Analyse und Umsetzung. 

 

TOMs und Artikel 25 der DSGVO 

Artikel 25 der Datenschutz-Grundverordnung (DSGVO) legt die Verantwortlichkeiten und Pflichten von Unternehmen und Organisationen bei der Verarbeitung personenbezogener Daten fest. 

Unter Artikel 25 wird verlangt, dass Unternehmen und Organisationen angemessene technische und organisatorische Maßnahmen (TOMs) ergreifen, um den Schutz personenbezogener Daten sicherzustellen. Dies beinhaltet die Bewertung potenzieller Risiken sowie die regelmäßige Überprüfung und Anpassung dieser Maßnahmen. 

Ein zentrales Element von Artikel 25 ist das Prinzip des „Datenschutzes durch Technikgestaltung“ und „durch datenschutzfreundliche Voreinstellungen“ (Privacy by Design und Privacy by Default). Das bedeutet, dass Datenschutzaspekte bereits bei der Konzeption und Entwicklung von Produkten und Dienstleistungen berücksichtigt werden müssen. 

Zusätzlich müssen Unternehmen und Organisationen in der Lage sein, nachzuweisen, dass sie die Anforderungen von Artikel 25 erfüllen. Dies kann beispielsweise durch Datenschutz-Audits oder interne Prüfungen erfolgen. 

Technisch-organisatorische Maßnahmen (TOMs) dienen dazu, personenbezogene Daten vor Verlust, Zerstörung, Manipulation und unbefugtem Zugriff zu schützen. Beispiele für TOMs sind: 

  • Verschlüsselung von Daten 
  • Regelmäßige Erstellung von Sicherungskopien 
  • Zugriffskontrollen für Mitarbeitende 
  • Überwachung von Netzwerken und Systemen 
  • Dokumentation von Verfahren und Prozessen 
  • Schulungen und Sensibilisierungsmaßnahmen für Mitarbeitende 
  • Überprüfung von Dienstleistern und Auftragsverarbeitern 

Es ist wichtig zu beachten, dass die Auswahl und Umsetzung der TOMs stets der Art, dem Umfang, den Umständen und den Zwecken der Datenverarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken angepasst werden müssen. Außerdem sollten sie regelmäßig auf ihre Aktualität und Wirksamkeit überprüft werden. 

Ein Verstoß gegen Artikel 25 kann erhebliche finanzielle Sanktionen nach sich ziehen, da die DSGVO eine konsequente Durchsetzung und empfindliche Bußgelder bei Verstößen vorsieht. 

Insgesamt ist Artikel 25 ein wesentlicher Bestandteil der DSGVO und legt die zentrale Verantwortung für den Schutz personenbezogener Daten bei den Verantwortlichen. Es ist entscheidend, dass Unternehmen die Anforderungen von Artikel 25 verstehen und konsequent umsetzen, um einen wirksamen Datenschutz zu gewährleisten. 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und möchten wissen, was das konkret für Ihr Unternehmen bedeutet? 
Gerne unterstützen wir Sie dabei! 

 

Verstoß gegen die DSGVO 

Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) sind Handlungen oder Unterlassungen, die gegen die Regelungen der DSGVO verstoßen und somit den Schutz personenbezogener Daten beeinträchtigen können. Die Folgen solcher Verstöße können hohe Geldbußen, negative Publicity und der Verlust des Kundenvertrauens sein. 

Einige Beispiele für Verstöße gegen die DSGVO sind: 

  • Datenschutzverletzungen: Unbefugter Zugriff auf personenbezogene Daten, Verlust oder Diebstahl von Daten, unberechtigte Weitergabe an Dritte usw. 
  • Fehlende Dokumentation: Unzureichende Dokumentation von Verfahren und Prozessen, insbesondere im Zusammenhang mit der Verarbeitung personenbezogener Daten. 
  • Mangelhafte Einwilligung: Nutzung personenbezogener Daten ohne gültige Einwilligung der betroffenen Person oder ohne eine anderweitige rechtliche Grundlage. 
  • Nichteinhaltung der Löschpflicht: Unterlassung der unverzüglichen Löschung personenbezogener Daten, wenn diese nicht mehr erforderlich sind oder die Einwilligung widerrufen wurde. 
  • Unzulässige Datenübermittlung: Übertragung personenbezogener Daten in ein Land außerhalb der Europäischen Union (EU), ohne dass angemessene Schutzmaßnahmen vorhanden sind. 

Es ist wichtig zu beachten, dass Verstöße gegen die DSGVO ein zentrales Thema für Unternehmen und Organisationen darstellen, die personenbezogene Daten verarbeiten. Durch die Einhaltung der Vorschriften und die Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOMs) kann das Risiko von Verstößen deutlich reduziert werden. 

Sie haben bisher noch nicht über die Folgen der EU-DSGVO nachgedacht und möchten wissen, was dies konkret für Ihr Unternehmen bedeutet? 

 

Die Informationsklassifizierung nach DSGVO 

Die Informationsklassifizierung nach der Datenschutz-Grundverordnung (DSGVO) ist ein zentraler Bestandteil des Datenschutzes. Sie dient dazu, die Sensibilität von Daten zu bewerten und durch geeignete Maßnahmen angemessen zu schützen. 

Dabei werden Daten anhand ihres Schutzbedarfs und der potenziellen Folgen im Falle eines Datenverlusts oder -missbrauchs kategorisiert. Dies kann persönliche Daten von Personen, geschäftliche Informationen oder vertrauliche Daten betreffen. 

Ein Beispiel für eine hochsensible Datenkategorie sind personenbezogene Gesundheitsdaten wie Krankenakten oder Röntgenbilder. Solche Daten erfordern ein besonders hohes Schutzniveau und dürfen nur von autorisierten Personen zu rechtmäßigen Zwecken verarbeitet werden. 

Ein Beispiel für eine weniger sensible Datenkategorie ist die E-Mail-Adresse einer Person. Diese darf verarbeitet werden, sofern eine gültige Einwilligung der betroffenen Person vorliegt und ein berechtigter Zweck gegeben ist. 

Die angemessene Klassifizierung von Daten sowie die Umsetzung entsprechender Schutzmaßnahmen sind essenziell, um Missbrauch und Datenverluste zu vermeiden. Sie tragen zudem zur Klarstellung der Zuständigkeiten und zur Einhaltung der DSGVO-Vorgaben bei. 

Sie haben sich bisher noch nicht mit den Anforderungen der EU-DSGVO beschäftigt und möchten wissen, was dies konkret für Ihr Unternehmen bedeutet? 

Wir unterstützen Sie gerne beim Aufbau einer passenden Informationsklassifizierung! 

 

Das „Schrems II“-Urteil 

Das „Schrems II“-Urteil ist ein bedeutendes Urteil des Europäischen Gerichtshofs (EuGH) im Bereich des Datenschutzes, das im Juli 2020 verkündet wurde. Es betrifft die Standardvertragsklauseln (SCC) und insbesondere das sogenannte „Privacy Shield“-Abkommen, das bis dahin als Grundlage für die Übermittlung personenbezogener Daten aus der EU in die USA diente. 

Der EuGH entschied, dass das „Privacy Shield“-Abkommen ungültig ist, da es keinen ausreichenden Schutz für personenbezogene Daten vor dem Zugriff durch US-Behörden bietet. Gleichzeitig bestätigte der EuGH, dass die Standardvertragsklauseln grundsätzlich weiterhin gültig sind – jedoch nur unter der Bedingung, dass im konkreten Einzelfall ein gleichwertiges Schutzniveau wie in der EU gewährleistet ist. Unternehmen müssen daher zusätzliche Maßnahmen prüfen und ggf. ergreifen, um den Datenschutz sicherzustellen. 

Das Urteil wurde im Rahmen einer Klage von Max Schrems, einem österreichischen Datenschutzaktivisten, gegen Facebook Ireland erlassen. Die Entscheidung hat weitreichende Auswirkungen auf Unternehmen, die personenbezogene Daten grenzüberschreitend übermitteln, insbesondere in Drittländer mit einem niedrigeren Datenschutzniveau wie die USA. Sie zwingt Unternehmen dazu, alternative oder ergänzende Schutzmechanismen zu etablieren, um den Anforderungen der DSGVO zu genügen. 

Das „Schrems II“-Urteil unterstreicht die Bedeutung eines hohen und durchsetzbaren Datenschutzstandards für den Schutz personenbezogener Daten und betont die Verantwortung von Unternehmen, ihre Datenübermittlungen sorgfältig zu prüfen und DSGVO-konform zu gestalten. 

Sie haben sich bisher noch nicht mit den Folgen der EU-DSGVO beschäftigt und möchten wissen, was das konkret für Ihr Unternehmen bedeutet? 

Verzeichnis von Verarbeitungstätigkeiten (VVT) 

Das VVT ist ein zentrales Dokument im Datenschutzmanagement nach der Datenschutz-Grundverordnung (DSGVO). Es dient der Transparenz und Nachvollziehbarkeit der Verarbeitung personenbezogener Daten innerhalb eines Unternehmens oder einer Organisation. 

Nach Art. 30 DSGVO ist jeder Verantwortliche und jeder Auftragsverarbeiter verpflichtet, ein solches Verzeichnis zu führen – unabhängig davon, ob die Datenverarbeitung digital oder analog erfolgt. Im VVT müssen u.a. folgende Informationen enthalten sein: 

– Zweck der Datenverarbeitung 
– Kategorien betroffener Personen und Daten 
– Empfänger der Daten 
– Angaben zu Übermittlungen in Drittländer 
– Löschfristen 
– Technische und organisatorische Maßnahmen (TOMs) zum Datenschutz 

Das VVT hilft nicht nur dabei, die gesetzlichen Pflichten zu erfüllen, sondern auch, Datenschutzrisiken zu erkennen und Maßnahmen gezielt umzusetzen. 

Auftragsverarbeitungsvertrag (AVV)  

Ein AVV ist eine schriftliche Vereinbarung zwischen einem Verantwortlichen (z. B. einem Unternehmen) und einem Auftragsverarbeiter (z. B. einem externen Dienstleister), der im Auftrag des Unternehmens personenbezogene Daten verarbeitet. 

Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass ein solcher Vertrag abgeschlossen werden muss, wenn externe Dienstleister Zugriff auf personenbezogene Daten haben – zum Beispiel beim Hosting, der Lohnabrechnung oder dem E-Mail-Marketing. 

Der AVV regelt unter anderem: 

  • den Gegenstand und die Dauer der Verarbeitung, 
  • Art und Zweck der Verarbeitung, 
  • Art der personenbezogenen Daten und die Kategorien betroffener Personen, 
  • die Pflichten und Rechte des Verantwortlichen, 
  • sowie die technischen und organisatorischen Maßnahmen (TOMs), die der Dienstleister zum Schutz der Daten ergreifen muss. 

Ziel des AVV ist es, den Datenschutz auch dann sicherzustellen, wenn Daten außerhalb des eigenen Unternehmens verarbeitet werden. Ohne gültigen AVV ist die Zusammenarbeit mit einem Auftragsverarbeiter unzulässig und kann zu erheblichen Bußgeldern führen. 

Datenschutz-Folgenabschätzung (DSFA) 

Die DSFA ist ein Instrument der DSGVO, das immer dann durchgeführt werden muss, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. 

Ziel der DSFA ist es, Risiken frühzeitig zu erkennen und geeignete Maßnahmen zu treffen, um den Schutz personenbezogener Daten sicherzustellen. Typische Anwendungsfälle sind etwa der Einsatz neuer Technologien, umfangreiche Überwachungsmaßnahmen oder die Verarbeitung sensibler Daten (z. B. Gesundheitsdaten). 

Die DSFA umfasst unter anderem: 

  • eine systematische Beschreibung der Verarbeitungsvorgänge, 
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, 
  • eine Analyse der Risiken für die Betroffenen sowie 
  • eine Darstellung der geplanten Abhilfemaßnahmen, z. B. technischer und organisatorischer Maßnahmen (TOMs). 

Kommt die DSFA zu dem Ergebnis, dass das Risiko trotz Maßnahmen hoch bleibt, muss vor Beginn der Verarbeitung die zuständige Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). 

Notfallmanagement im IT-Bereich 

Das Notfallmanagement im IT-Bereich umfasst alle organisatorischen und technischen Maßnahmen, die sicherstellen, dass ein Unternehmen bei schwerwiegenden IT-Störungen – etwa durch Cyberangriffe, Systemausfälle oder Naturkatastrophen – handlungsfähig bleibt. Ziel ist es, kritische Geschäftsprozesse schnellstmöglich wiederherzustellen und Datenverluste zu minimieren. 

Ein wirksames Notfallmanagement beinhaltet u. a. eine strukturierte Risikoanalyse, klare Verantwortlichkeiten, Notfallpläne (z. B. IT-Notfallhandbuch), regelmäßige Tests sowie Wiederanlauf- und Wiederherstellungsverfahren. So wird sichergestellt, dass Ausfälle weder den Geschäftsbetrieb dauerhaft gefährden noch zu erheblichen rechtlichen oder wirtschaftlichen Schäden führen. 

Gerade in Zeiten zunehmender digitaler Abhängigkeiten ist ein robustes IT-Notfallmanagement ein zentraler Baustein der Unternehmenssicherheit. 

Wertpapierhandelsgesetz (WpHG)  

Das WpHG ist ein zentrales Regelwerk der Finanzmarktregulierung in Deutschland. Es dient der Schaffung von Markttransparenz, dem Schutz der Anleger und der Sicherstellung eines fairen und funktionierenden Wertpapierhandels. Für Unternehmen im Finanzsektor bedeutet dies klare Anforderungen im Bereich Compliance, insbesondere im Hinblick auf Insiderhandel, Marktmanipulation, Publizitätspflichten sowie Wohlverhaltensregeln im Kundenumgang. 

Compliance-Verantwortliche müssen sicherstellen, dass interne Prozesse, Mitarbeiterschulungen und Kontrollen so ausgestaltet sind, dass die Vorgaben des WpHG eingehalten werden. Dies schließt unter anderem die Einrichtung von Insiderlisten, Verdachtsmeldungen an die BaFin sowie Aufzeichnungs- und Dokumentationspflichten ein. 

Ein wirksames WpHG-Compliance-Management ist nicht nur gesetzlich gefordert, sondern auch ein entscheidender Beitrag zur Integrität und zum Ansehen eines Unternehmens am Kapitalmarkt.

04

Auslagerungs-
management

04

Auslagerungs-
management

DORA-Verordnung 

Die DORA-Verordnung (Digital Operational Resilience Act) ist eine EU-Verordnung, die am 16. Januar 2023 in Kraft trat und ab dem 17. Januar 2025 verbindlich anzuwenden ist. Sie zielt darauf ab, die digitale Widerstandsfähigkeit des europäischen Finanzsektors zu stärken. DORA verpflichtet Finanzunternehmen – darunter Banken, Versicherungen, Wertpapierfirmen und IT-Dienstleister – dazu, Risiken aus Informations- und Kommunikationstechnologien (IKT) systematisch zu identifizieren, zu bewerten und zu beherrschen. 

Kernpunkte der Verordnung sind unter anderem: 

  • IKT-Risikomanagement (z. B. IT-Sicherheitsvorgaben), 
  • Meldung schwerwiegender IKT-Vorfälle an Aufsichtsbehörden, 
  • Testverfahren zur digitalen Resilienz (z. B. Penetrationstests), 
  • Anforderungen an den Umgang mit Drittanbietern, insbesondere Cloud-Dienste, 
  • sowie eine engere Überwachung durch Aufsichtsbehörden. 

DORA ergänzt bestehende Regelwerke wie die DSGVO, EBA-Leitlinien oder NIS-2 und soll ein einheitliches, robustes Sicherheitsniveau für alle betroffenen Akteure im Finanzsystem der EU schaffen. 

IKT im Rahmen der DORA-Verordnung 

Im Zusammenhang mit der DORA-Verordnung bezieht sich der Begriff Informations- und Kommunikationstechnologien (IKT) auf sämtliche IT-Systeme, Netzwerke, Software, Hardware und digitalen Dienste, die von Finanzunternehmen genutzt werden. Dazu gehören auch externe Dienstleistungen, etwa von Cloud-Anbietern oder IT-Support-Firmen. 

DORA legt besonderen Wert auf die Sicherheit, Verfügbarkeit und Zuverlässigkeit dieser Technologien, da Ausfälle, Angriffe oder Störungen in IKT-Systemen weitreichende Folgen für die Stabilität des Finanzmarkts haben können. Deshalb sind alle Unternehmen des Finanzsektors verpflichtet, ihre IKT-Risiken aktiv zu managen – z. B. durch Risikobewertungen, Notfallpläne, Sicherheitsvorgaben und regelmäßige Tests. 

IKT stehen bei DORA also im Zentrum der digitalen Resilienz und bilden die technologische Grundlage, die geschützt und überwacht werden muss.