Um Compliance-Risiken und Bußgelder zu vermeiden, müssen sich die Finanzdienstleister rasch darum kümmern. Der IT-Dienstleister adesso nennt die wichtigsten:
- Nachhaltigkeitsberichte werden mit der CSRD zur Pflicht: Aufgrund der EU-Taxonomieverordnung müssen Finanzunternehmen ihre Wirtschaftstätigkeiten und Investitionen bereits hinsichtlich der ökologischen Nachhaltigkeit bewerten. Mit der im Januar 2023 in Kraft getretenen Corporate Sustainability Reporting Directive (CSRD) kommen jedoch deutlich umfangreichere Pflichten zur Berichterstattung auf sie zu – unter anderem gibt es detaillierte Vorgaben zum Aufbau und Inhalt der Nachhaltigkeitsberichte: die European Sustainability Reporting Standards (ESRS). Viele Banken und Versicherer müssen erstmals für das gerade beendete Geschäftsjahr 2024 einen CSRD-Bericht erstellen, und oft tun sie das noch manuell. Bei mehr als 1.000 Datenpunkten ist es allerdings sinnvoll, diesen Prozess möglichst bald zu automatisieren, sprich: Daten aus verschiedenen Quellen mit intelligenter Software zu analysieren und in den Bericht zu integrieren.
- DORA soll für mehr Cyberresilienz sorgen: Die seit dem 17. Januar 2025 anzuwendende Verordnung „Digital Operational Resilience Act“, kurz DORA, soll Banken und Versicherer widerstandsfähiger gegenüber Angriffen auf und Störungen von Informations- und Kommunikationstechnologie (IKT) machen, indem sie unter anderem Maßnahmen zum Risikomanagement und zur Behandlung von Vorfällen vorschreibt. Ein wichtiger Punkt ist dabei eine Übersicht über die von Dritten – etwa Cloud-Anbietern und IKT-Dienstleistern – bezogenen Services, das sogenannte Informationsregister. Es muss bis spätestens 11. April 2025 bei der BaFin eingereicht werden und soll sowohl der Finanzaufsicht als auch den Unternehmen helfen, Vernetzungen und Abhängigkeiten zu erkennen. Die Finanzaufsicht hat bereits angekündigt, das Drittparteienrisiko in der Branche möglichst schnell zu prüfen.
- EU AI Act definiert einen Rahmen für den KI-Einsatz: Das KI-Gesetz der EU wurde im vergangenen Mai verabschiedet und kommt schrittweise bis zum August 2027 zur Anwendung. KI-Systeme mit unannehmbaren Risiken, die beispielsweise Menschen manipulieren oder anhand sozialer Merkmale klassifizieren, sind bereits seit Februar dieses Jahres verboten. Ab August kommen verschiedene Verpflichtungen für KI-Modelle mit allgemeinem Verwendungszweck hinzu, etwa zur technischen Dokumentation und zur Einhaltung des Urheberrechts. Die meisten Vorgaben, die Banken und Versicherer betreffen, werden zwar erst ab August 2026 beziehungsweise August 2027 angewendet. Dazu gehören beispielsweise die Verpflichtung zur Offenlegung, wenn Menschen mit KI-Systemen wie Chatbots interagieren, und besondere Sorgfalt bei der Auswahl von Trainingsdaten für risikoreiche KI. Dennoch sollten Finanzunternehmen das Thema nicht aufschieben. Schließlich führen sie bereits jetzt viele KI-Systeme ein, für die später die Bestimmungen des EU AI Act gelten. Bei Verstößen drohen empfindliche Geldbußen. Besonderes Augenmerk sollten sie auf den Datenschutz richten, nachdem der Europäische Datenschutzausschuss (EDSA) inzwischen klargestellt hat, unter welchen Bedingungen ein „Berechtigtes Interesse“ als Grundlage für die Verarbeitung personenbezogener Daten durch KI infrage kommt.
- SPEA Instant Payments vereinfachen das Bezahlen: Mit einer Verordnung beschleunigt die EU die Einführung von Echtzeitüberweisungen. Bereits seit Januar dieses Jahres müssen Banken und Versicherer, die über eine Banklizenz verfügen und Zahlungsdienste anbieten, Instant Payments empfangen können. Ab dem 9. Oktober 2025 müssen sie dann in der Lage sein, diese zu senden. Um die Akzeptanz von Echtzeitüberweisungen zu erhöhen und diese den klassischen SEPA-Überweisungen gleichzustellen, dürfen sie nicht mehr kosten. Da sich die Prüfungen, ob gegen Zahler oder Empfänger bestimmte Sanktionen verhängt wurden, bei Echtzeitüberweisungen schwieriger gestalten, empfiehlt die Verordnung zudem regelmäßige, mindestens tägliche Kontrollen statt transaktionsbasierter Checks. Auf diese Änderungen und die mit Instant Payments steigenden Anforderungen an IT-Infrastrukturen müssen sich Zahlungsdienstleister einstellen.
- Verordnung zu Barrierefreiheit verbessert den Zugang zu digitalen Kanälen: Viele Webseiten und Apps sind für ältere Menschen oder Menschen mit Behinderungen nur schwer nutzbar. Zu den Hürden zählen beispielsweise niedrige Kontraste, fehlende Alternativtexte für Bilder und schlecht verständliche Informationen. Das Barrierefreiheitsstärkungsgesetz soll das ändern. Es tritt zum 28. Juni 2025 in Kraft und wird durch eine Verordnung ergänzt, die konkrete Vorgaben zur Bereitstellung von Informationen und Dienstleistungen macht. Unter anderem müssen Informationen über mehr als einen sensorischen Kanal bereit- und in verständlicher Weise dargestellt werden. Finanzunternehmen müssen ihre Webseiten, Kundenportale und Apps entsprechend anpassen. Für Bankdienstleistungen schreibt die Verordnung darüber hinaus auch barrierefreie Authentifizierungsmethoden und Zahlungsservices vor, was mit einigen Herausforderungen verbunden ist. Denn viele textbasierte Sicherheitsabfragen, QR-Codes und Captchas gelten nicht als barrierefrei, sodass Alternativen integriert werden müssen, um Logins zu bestätigen oder Zahlungen freizugeben.
