Kostenloses Erstgespräch

Kategorie: blog DE

Dez. 01, 2025

Benötigen Emittenten von Kryptowerten neben dem MiCAR-Whitepaper auch ein PRIIPs-KID?

Die EU-Verordnung Nr. 1286/2014 (PRIIPs-VO) verpflichtet seit mehr als einem Jahrzehnt Emittenten und Anbieter von verpackten Anlageprodukten für Kleinanleger und Versicherungsanlageprodukten zur Erstellung, Veröffentlichung und Bereitstellung von Basisinformationsblättern (PRIIPs-KID). Das Basisinformationsblatt soll Retailanlegern einen übersichtlichen und gut verständlichen Überblick über das zugrundeliegende Anlageprodukt verschaffen. Es darf deshalb nicht länger als drei DIN A4 Seiten lang sein und muss die wesentlichen, von der PRIIPs-VO vorgeschriebenen Kerninformationen sowie Warnhinweise enthalten. Die Rechtsform des Anlageprodukts spielt dabei grundsätzlich keine Rolle, weshalb ein PRIIPs-KID für Emissionen sowohl von Wertpapieren, als auch beispielsweise von Anteilen an Investmentvermögen oder Vermögensanlagen nach dem Vermögensanlagengesetz (VermAnlG) zu erstellen sein kann, solange das Produkt Retailinvestoren angeboten werden soll. Auch grundsätzlich unregulierte Anlageprodukte können der PRIIPs-VO unterfallen, sofern das Produkt deren Anforderungen an ein verpacktes Anlageprodukt oder Versicherungsanlageprodukt erfüllt. Vor diesem Hintergrund stellt sich die Frage, ob auch Emittenten von Kryptowerten verpflichtet sein können, ein Basisinformationsblatt für eine Token-Emission zu erstellen, zumal der Verordnungsgeber der PRIIPs-VO im Jahre 2014 sicher nicht die erst seit Ende 2024 geltende MiCAR vor Augen hatte.

Prospektpflichten nach anderen Vorschriften sind für Anwendbarkeit der PRIIPs-VO irrelevant

Der Umstand, dass Emittenten und Anbieter von Anlageprodukten nach anderen Vorschriften wie etwa der Prospektverordnung, dem KAGB oder dem VermAnlG verpflichtet sein können, Prospekte oder sonstige Dokumentationen zu ihren Produkten zu erstellen und zu veröffentlichen, ist für die Frage der Anwendbarkeit der PRIIPs-VO grundsätzlich ohne Bedeutung. Die Pflicht zur Erstellung und Veröffentlichung eines Basisinformationsblattes kann daher auch neben der Pflicht zur Prospekterstellung bestehen, sofern das betreffende Anlageprodukt die Voraussetzungen der PRIIPs-VO erfüllt. Das Vorliegen eines verpackten Anlageprodukts für Kleinanleger im Sinne der PRIIPs-VO erfordert nach Art. 4 Abs. 1 PRIIPs-VO insbesondere, dass der dem Kleinanleger rückzuzahlende Betrag Schwankungen unterliegt, die sich aus der Entwicklung von Referenzwerten ergeben, die nicht direkt vom Kleinanleger erworben werden. Relevant sind hier nach der Verwaltungspraxis der BaFin nur externe Referenzwerte wie beispielsweise der Wert von Edelmetallen, Anlageprodukten von Drittanbietern oder Kryptowerten. Interne Referenzwerte wie z.B. emittenten- oder konzernbezogene Gewinnkennzahlen wie etwa der Gewinn nach Steuern oder das EBITDA führen demgegenüber nicht zum Vorliegen eines PRIIP. Nach diesen Grundsätzen können grundsätzlich auch Kryptowerte im Sinne von Art. 3 Abs. 1 Nr. 5 MiCAR als PRIIP qualifizieren, sofern sie an Retailinvestoren vertrieben werden sollen und sie eine Rückzahlung an den Investor vorsehen, deren Höhe von einem externen Referenzwert abhängig ist. Wichtig ist in diesem Zusammenhang, dass Eine Rückzahlung im Sinne der PRIIPs-VO nicht nur echte Rückzahlungsansprüche am Ende einer Laufzeit, sondern auch Zinsen oder sonstige Rückflüsse aus dem Anlageprodukt während der Inhaberschaft sein können.

PRIIPs-KID und Kryptowerte-Whitepaper bei bestimmten Kryptowerten denkbar

Erfüllt ein Kryptowert die dargestellten Anforderungen, können der Emittent und auch die Personen, die zu dem Kryptowert beraten oder ihn verkaufen dazu verpflichtet sein, ein PRIIPs-KID zu erstellen, es zu veröffentlichen und es dem Anleger rechtzeitig vor Zeichnung bereitzustellen. Die Pflichten aus der PRIIPs-VO sind dann neben den Pflichten aus der MiCAR anwendbar, so dass neben der Erstellung des PRIIPs-KID auch die Erstellung und Veröffentlichung eines Kryptowerte-Whitepapers erforderlich sein kann. Der Emittent eines Kryptowerts muss deshalb beide EU-Verordnungen bei der Planung seiner Token-Emission berücksichtigen. Wichtig ist in diesem Zusammenhang auch, die weiteren Pflichten aus der PRIIPs-VO und der MiCAR zu beachten, die für Emittenten und Anbieter im Bereich der Werbemaßnahmen und Marketingmitteilungen für das Angebot des Anlageprodukts bzw. des Kryptowerts strenge Vorgaben machen. Keine werbliche Aussage darf den Angaben im PRIIPs-KID oder im Kryptowerte-Whitepaper relativieren oder ihr wiedersprechen. Es ist deshalb von erheblicher Bedeutung, im Fall der Anwendbarkeit der PRIIPs-VO bei einer Token-Emission auf Kongruenz von Kryptowerte-Whitepaper nach MiCAR und Basisinformationsblatt nach PRIIPs-VO zu achten.

Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

I.  https://fin-law.de

E. info@fin-law.de

Newsletter abonnieren

This Blog Article as Podcast?

The Gist of It:

Presentation

    Kontakt

    info@fin-law.de

    Nov. 17, 2025

    Von Basistests bis TLPT: DORA definiert die Anforderungen an Resilienztests neu

    Seit dem 17. Januar 2025 müssen Finanzunternehmen die Anforderungen der Verordnung (EU) 2022/2554, besser bekannt als DORA, zwingend anwenden. Diese Verordnung schafft einen harmonisierten Rechtsrahmen, um die digitale operationale Resilienz im gesamten EU-Finanzsektor zu stärken und den wachsenden Risiken durch Cyberangriffe und IKT-Betriebsstörungen zu begegnen. Um dieses Ziel zu erreichen, etabliert DORA ein komplexes Regelwerk, das durch detaillierte technische Regulierungsstandards (RTS) der Europäischen Aufsichtsbehörden (ESAs) ergänzt wird. Ein entscheidender Pfeiler zur Sicherstellung dieser Resilienz ist die Art und Weise, wie Unternehmen ihre Systeme testen. DORA führt insgesamt weitreichendere, einheitlichere und konkretere Testpflichten für Finanzunternehmen ein, als sie bisher bestanden haben. Während frühere Vorgaben oft fragmentiert waren oder Interpretationsspielraum ließen, verlangt DORA nun ein strukturiertes und umfassendes Testprogramm. Dieses reicht von regelmäßigen Basistests bis hin zu anspruchsvollen, bedrohungsgeleiteten Penetrationstests (TLPT) für systemrelevante Institute. Diese neuen Pflichten erfordern eine genaue Auseinandersetzung mit den Details der Verordnung und der zugehörigen RTS. Im Folgenden wird daher dargestellt, welche allgemeinen Anforderungen an das Testprogramm gestellt werden und was bei den erweiterten Tests, den sogenannten TLPTs, zu beachten ist.

    Generelle Vorgaben der DORA zu Resilienztests

    Finanzunternehmen, die keine Kleinstunternehmen sind, müssen ein solides und umfassendes Programm für das Testen der digitalen operationalen Resilienz erstellen, pflegen und überprüfen. Dieses Programm ist ein integraler Bestandteil des IKT-Risikomanagementrahmens (gemäß Art. 6 DORA). Das Hauptziel des Testprogramms ist es, die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in der digitalen operationalen Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen. Finanzunternehmen müssen bei der Ausführung des Testprogramms einen risikobasierten Ansatz verfolgen. Dabei sind die sich entwickelnden IKT-Risikolandschaften, spezifische Risiken, denen das Unternehmen ausgesetzt ist, und die Kritikalität von Informations-Assets und erbrachten Dienstleistungen gebührend zu berücksichtigen. Das Programm muss eine Reihe von Bewertungen, Tests, Methoden, Verfahren und Tools umfassen, darunter Schwachstellenbewertung und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen (Gap-Analysen), Überprüfungen der physischen Sicherheit, Szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests sowie Penetrationstests. Bei allen IKT-Systemen und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, müssen mindestens einmal jährlich angemessene Tests durchgeführt werden. Durchgeführt werden sollen die Tests von unabhängigen internen Mitarbeitern oder externen Personen. Die Erkenntnisse und Herausforderungen, die sich aus den Tests der digitalen operationalen Resilienz ergeben, müssen kontinuierlich ordnungsgemäß in den IKT-Risikobewertungsprozess einbezogen werden. Sie dienen als Grundlage für angemessene Überprüfungen der relevanten Komponenten des IKT-Risikomanagementrahmens.

    Erweiterte Tests: Bedrohungsgeleitete Penetrationstests (TLPT)

    Über die allgemeinen Tests hinaus verpflichtet DORA bestimmte Finanzunternehmen zur Durchführung erweiterter Tests, bekannt als Bedrohungsgeleitete Penetrationstests (Threat-led Penetration Testing, TLPT). Die gesetzliche Grundlage hierzu findet sich in Art. 26 und 27 DORA. TLPT ist ein weiteres Instrument zur Stärkung der operationalen Resilienz. Die DORA orientieret sich dabei an internationalen Standards wie den G7 Fundamental Elements und Rahmenwerken wie TIBER-EU und definiert TLPT in Art. 3 Nr. 17 DORA als ein Rahmen, der Taktik, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung empfunden werden, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht. Die Vorgaben der Art. 26 und 27 DORA werden ausführlich ergänzt und konkretisiert durch die Delegierte Verordnung (EU) 2025/1190 (RTS zu TLTP). Welche Unternehmen TLPTs durchführen müssen, wird von der BaFin als zuständige Aufsichtsbehörde oder im Falle von signifikanten Kreditinstituten von der EZB bestimmt. Die Kriterien für die Einstufung sind hierbei in Art 28 Abs. 8 Unterabsatz. 3 DORA festgelegt. Berücksichtigt werden, die Auswirkungen des fraglichen Finanzunternehmens, sein systemischer Charakter und sein IKT-Risikoprofil auf der Grundlage der in Art. 2 des RTS zu TLPT festgelegten Kriterien. Kleinstunternehmen sind von der Verpflichtung zur Durchführung von TLPT ausgenommen.

    FIN LAW

    I.  https://fin-law.de

    E. info@fin-law.de

    Newsletter abonnieren

    This Blog Article as Podcast?

      Kontakt

      info@fin-law.de

      Nov. 10, 2025

      Bedrohungen, Vorfälle und Angriffe unter DORA – Was Finanzunternehmen wissen müssen

      Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 – besser bekannt als DORA – für Finanzunternehmen verbindlich anzuwenden. Ein zentrales Anliegen der Verordnung ist es, die digitale operationale Resilienz der Finanzbranche zu stärken und klare Strukturen für den Umgang mit IKT-Risiken zu schaffen. Doch nicht alle Risiken sind gleich: DORA unterscheidet präzise zwischen Bedrohungen, Vorfällen und Angriffen – und knüpft an jede Kategorie unterschiedliche Pflichten. Während Bedrohungen als potenzielle Gefahrenquellen primär intern zu analysieren sind, lösen tatsächliche Vorfälle und Angriffe konkrete Melde- und Handlungsverpflichtungen aus. Besonders relevant wird diese Unterscheidung bei der Frage, wann Finanzunternehmen verpflichtet sind, Behörden oder Betroffene zu informieren. Die Verordnung definiert dabei nicht nur, was unter einer Cyberbedrohung, einem IKT-bezogenen Vorfall oder einem Cyberangriff zu verstehen ist, sondern legt auch fest, welche Schritte Unternehmen in jedem Fall ergreifen müssen. Die genaue Einordnung ist nicht nur für die Compliance, sondern auch für die strategische Ausrichtung des IKT-Risikomanagements von zentraler Bedeutung.

      Was sind Bedrohungen, Vorfälle und Angriffe unter DORA

      DORA kennt eine Reihe unterschiedlicher Begriffe für Angriffe und Vorfälle. Die Begriffe lassen sich grob in zwei Kategorien einteilen: Bedrohungen (die potenziell Schaden anrichten können) und Vorfälle/Angriffe (die tatsächlichen Ereignisse, die Schaden verursacht haben oder verursachen). Bedrohungen beziehen sich auf mögliche Umstände oder Handlungen, die Netzwerk- und Informationssysteme (IKT) beeinträchtigen können. Nach Art. 3 Nr. 12 DORA, bezeichnet eine Cyberbedrohung einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte. Eine erhebliche Cyberbedrohung ist gemäß Art. 3 Nr. 13 DORA eine Cyberbedrohung, deren technische Merkmale darauf hindeuten, dass sie das Potenzial haben könnte, einen schwerwiegenden IKT-bezogenen Vorfall oder einen schwerwiegenden zahlungsbezogenen Betriebs- oder Sicherheitsvorfall zu verursachen. Ein IKT-bezogener Vorfall ist die allgemeinste Kategorie eines negativen Ereignisses im IKT-Bereich. Er wird nach Art. 3 Nr. 8 DORA definiert als ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat. Weiter unterteilt werden die IKT-bezogenen Vorfälle in schwerwiegende IKT-bezogene Vorfälle und schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle i.S.d. Art. 3 Nr. 10 und Nr. 11 DORA. Dagegen meint ein Cyberangriff nach Art. 3 Nr. 14 DORA einen böswilligen IKT-bezogenen Vorfall, der auf den Versuch eines Angreifers zurückgeht, einen Vermögenswert zu zerstören, freizulegen, zu verändern, zu deaktivieren, zu entwenden oder auf unberechtigte Weise auf diesen Vermögenswert zuzugreifen oder ihn auf unberechtigte Weise zu nutzen.

      Welche Pflichten gehen mit den jeweiligen Kategorien einher?

      Die DORA knüpft unterschiedliche Rechtsfolgen und Pflichten an Bedrohungen, Vorfälle und Angriffe. Für Cyberbedrohungen als generelle Bedrohungskategorie besteht keine externe Meldepflicht. Die Informationen dienen primär der internen Analyse und Weiterentwicklung der digitalen operationalen Resilienz. Die Meldung einer erheblichen Cyberbedrohung an die zuständigen Behörden ist nach Art. 19 Abs. 2 DORA freiwillig. Finanzunternehmen können diese Informationen austauschen, wenn sie die Bedrohung für das Finanzsystem, Dienstnutzer oder Kunden als relevant erachten. Sowohl IKT-bezogene Vorfälle als auch Cyberangriffe lösen nur dann eine externe Meldepflicht aus, wenn sie eine bestimmte Schwere erreichen, d. h., wenn sie als schwerwiegend klassifiziert werden. Finanzunternehmen müssen nach Art. 19 Abs. 1 DORA schwerwiegende IKT-bezogene Vorfälle also zwingend der zuständigen Behörde melden. Kreditinstitute, E-Geld-Institute, Zahlungsinstitute und Kontoinformationsdienstleister müssen gemäß Art. 23 DORA außerdem schwerwiegende zahlungsbezogene Betriebs- oder Sicherheitsvorfälle zwingend melden. Aus den Erwägungsgründen 23 und 54 der DORA folgt, dass diese spezielle Meldepflicht die entsprechenden Meldepflichten aus der PSD2 ersetzt, um doppelte Anforderungen zu vermeiden. Doch die Pflichten der Finanzunternehmen sind nicht auf Meldepflichten beschränkt. Nach Störungen der Haupttätigkeiten infolge schwerwiegender IKT-bezogener Vorfälle müssen Finanzunternehmen nachträgliche Prüfungen des IKT-bezogenen Vorfalls vorsehen. Diese Prüfungen sollen die Ursachen untersuchen und Verbesserungen an IKT-Vorgängen oder in der IKT-Geschäftsfortführungsleitlinie identifizieren. Außerdem müssen Finanzunternehmen, die keine Kleinstunternehmen sind, den zuständigen Behörden nach Art. 13 DORA auf Verlangen die Änderungen mitteilen, die nach der Prüfung IKT-bezogener Vorfälle vorgenommen wurden. Folglich setzt DORA bei Bedrohungen auf proaktive Integration in das Risikomanagement und freiwilligen Informationsaustausch, während bei Vorfällen/Angriffen klare reaktive Pflichten wie Meldung, Schadensbegrenzung, Wiederherstellung und Ursachenanalyse im Vordergrund stehen.

      FIN LAW

      I.  https://fin-law.de

      E. info@fin-law.de

      Newsletter abonnieren

      This Blog Article as Podcast?

      The Gist of It:

      Presentation

        Kontakt

        info@fin-law.de

        Okt. 27, 2025

        Vertragsgestaltung im Kontext der DORA Verordnung – Worauf müssen Finanzunternehmen achten?

        Seit dem 17. Januar 2025 ist die Verordnung (EU) 2022/2554 – besser bekannt als DORA – für Finanzunternehmen und IKT-Drittdienstleister verbindlich anwendbar. Die Verordnung stellt nicht nur hohe Anforderungen an die digitale operationale Resilienz, sondern wirkt sich auch direkt auf die Vertragsgestaltung aus. Eine zentrale Frage, die sich in der Praxis stellt lautet: Wann liegt überhaupt eine IKT-Dienstleistung im Sinne von DORA vor? Diese Abgrenzung ist von entscheidender Bedeutung, denn Verträge über IKT-Dienstleistungen müssen nach Art. 30 DORA bestimmte Mindestinhalte aufweisen. Dazu zählen unter anderem klare Regelungen zu Risikomanagement, Vorfallsmeldung, Audit-Rechten und Exit-Strategien. Die Einordnung einer Dienstleistung als IKT-Dienstleistung hat somit weitreichende Konsequenzen für die Vertragsverhandlungen zwischen Finanzunternehmen und ihren Dienstleistern. Werden Dienstleistungen fälschlicherweise nicht als IKT-Dienstleistungen qualifiziert, drohen nicht nur Compliance-Risiken, sondern auch vertragliche Lücken, die im Ernstfall zu Haftungsfragen führen können. Gleichzeitig verschiebt DORA das Machtgefälle in Vertragsverhandlungen: Finanzunternehmen sind nun verpflichtet, strenge Vorgaben an ihre Dienstleister zu stellen – was den Verhandlungsspielraum für beide Seiten neu definiert. Doch wie lassen sich IKT-Dienstleistungen eindeutig identifizieren, und welche Vertragsklauseln sind zwingend erforderlich, um den DORA-Anforderungen gerecht zu werden? Diese Fragen stehen im Fokus der aktuellen Diskussionen und zeigen, dass DORA nicht nur eine regulatorische, sondern auch eine vertragsrechtliche Herausforderung darstellt.

        Was sind IKT-Dienstleistungen?

        IKT-Dienstleistungen sind nach Art. 3 Nr. 21 DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Die Definition hierbei sehr weit gefasst. Es sollen möglichst viele IKT-Dienstleistungen erfasst werden, um die Ziele der DORA effektiv umzusetzen. Eine wesentliche, in der Definition angelegte Einschränkung des Anwendungsbereichs ist, dass nur digitale Dienste und Datendienste umfasst werden sollen, die dauerhaft bereitgestellt werden. Umfasst sind also regelmäßig nur Dauerschuldverhältnisse, nicht umfasst sind nur einmalige Dienstleistungen. Eine große Hilfestellung bei der Einordnung einer Dienstleistung findet sich in Anhang III der Durchführungsverordnung (EU) 2024/2956 der Kommission zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister (ITS on register of information). Hier findet sich eine Liste mit Kategorien von IKT-Dienstleistungen, jeweils mit einer kurzen Beschreibung. Diese Liste kann bei der ersten Einordnung als Hilfsmittel herangezogen werden. Zu den genannten Dienstleistungen gehören: IKT-Projektmanagement, IKT-Entwicklung, IKT-Helpdesk und First-Level-Support, IKT-Sicherheitsmanagementdienste, Bereitstellung von Daten, Datenanalyse, IKT-Betriebsmittel und Hostingdienste (ohne Cloud-Dienste), Rechenleistung, Datenspeicherung außerhalb der Cloud, Telekommunikationsanbieter, Netzwerkinfrastruktur, Hardware und physische Geräte, Softwarelizenzierung (ohne SaaS), IKT-Betriebsmanagement (einschließlich Wartung), IKT-Beratung, IKT-Risikomanagement, IaaS, PaaS und SaaS.

        Art. 30 DORA setzt klare Mindeststandards für IKT-Verträge sowohl für Standard- als auch für kritische Dienstleistungen

        Jeder Vertrag über IKT-Dienstleistungen muss zunächst eine präzise Beschreibung der Leistungen, Rechte und Pflichten enthalten, inklusive der genauen Standorte, an denen Daten verarbeitet und gespeichert werden. Informationssicherheit und Datenschutz sind zentral: Hier müssen konkrete technische und organisatorische Maßnahmen festgelegt werden, um Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit aller Daten zu gewährleisten – unabhängig davon, ob es sich um personenbezogene Daten handelt oder nicht. Zudem sind Regelungen zum Datenzugang bei Insolvenz oder Vertragsende unverzichtbar, um die Kontinuität der Dienstleistung zu sichern. Service Level Agreements (SLAs) mit quantitativen und qualitativen Leistungszielen sind Pflicht, ebenso wie die Verpflichtung des Dienstleisters, bei IKT-Vorfällen zu unterstützen und das Finanzunternehmen bei der Erfüllung seiner Meldepflichten zu entlasten. Die Zusammenarbeit mit Aufsichtsbehörden muss vertraglich verankert sein, und Kündigungsrechte des Finanzunternehmens – etwa bei Verstößen gegen Compliance-Vorgaben oder Mängeln im Risikomanagement – müssen explizit definiert werden. Schließlich sollte die Teilnahme an Schulungen zur digitalen Resilienz vereinbart werden, sofern der Dienstleister nicht bereits über eigene Qualifikationsnachweise verfügt. Handelt es sich um kritische oder wichtige Funktionen, verschärfen sich die Anforderungen: Hier sind erweiterte Berichtspflichten, Notfallpläne, Mitwirkung an Penetrationstests sowie umfassende Auditrechte des Finanzunternehmens zwingend. Besonders relevant sind auch Exit-Management-Regelungen, die einen geordneten Übergang bei Vertragsende oder Dienstleisterwechsel sicherstellen. Zudem müssen Unterauftragsvergaben streng kontrolliert und vertraglich abgesichert werden, um ungewollte Risiken zu vermeiden.

        FIN LAW

        I.  https://fin-law.de

        E. info@fin-law.de

        Newsletter abonnieren

        This Blog Article as Podcast?

          Kontakt

          info@fin-law.de

          Okt. 20, 2025

          Zahlungsdienste im Online-Glücksspiel – Wo sind die Grenzen des Zulässigen?

          Die Glücksspielregulierung ist in Deutschland grundsätzlich Ländersache. Die Regelungen zur Zulässigkeit oder Unzulässigkeit von Glücksspielen sind daher in jedem Bundesland gesondert in Glücksspielgesetzen geregelt. Für den Bereich der Online-Glücksspiele haben sich die Bundesländer Deutschlands jedoch dazu entschlossen, eine einheitliche, für das gesamte deutsche Staatsgebiet geltende Regulierung einzuführen. Die Schaffung einheitlicher Regeln für Glücksspiele im Internet ist sinnvoll, zumal der Zugang zu ihnen sich üblicherweise nicht an Landesgrenzen hält. Zur Erreichung dieses Ziels haben die sechzehn deutschen Bundesländer im Jahr 2021 den Glücksspielstaatsvertrag (GlüStV) geschlossen. Enthalten sind neben einigen generellen, auch stationäre Angebote betreffenden Vorschriften insbesondere Bestimmungen für gemeinsame Regelungen im Bereich des internetbasierten Glücksspiels und strenge Compliance-Pflichten für Veranstalter und Vermittler von Online-Glücksspielen. Neben dem Erfordernis der vorherigen Einholung einer Erlaubnis zur Veranstaltung etwa von virtuellen Automatenspielen, Online-Casinospielen oder Sportwetten sieht § 4 Abs. 1 Satz 2 GlüStV das sogenannte Mitwirkungsverbot vor, dass die Erbringung von Zahlungsdiensten für Anbieter unerlaubter Glücksspiele untersagt. Diesen nachvollziehbaren Grundsatz erweitert § 4 Abs. 1 Satz 3 GlüStV allerdings noch dahingehend, dass auch die Mitwirkung am Zahlungsverkehr für sonstige Leistungen eines Anbieters verboten ist, wenn dieser grundsätzlich zulässige Leistungen mit dem Angebot unerlaubter Glücksspiele vermischt.

          Zahlungsinstitute müssen Geschäftsmodelle ihrer Kunden umfassend verstehen

          Die Befolgung des Mitwirkungsverbots nach § 4 Abs. 1 Satz 3 GlüStV kann für Zahlungsinstitute durchaus herausfordernd sein. Denn um nicht gegen das Mitwirkungsverbot zu verstoßen, muss das Zahlungsinstitut das Geschäftsmodell des Kunden umfassend verstehen und glücksspielrechtlich einordnen können. Beinhaltet das Leistungsangebot des Kunden eines Zahlungsinstituts etwa Gamification-Elemente oder schlicht zufallsabhängige Gewinnchancen, muss das Zahlungsinstitut rechtssicher feststellen, ob im Geschäftsmodell des betreffenden Kunden Elemente unerlaubten Glücksspiels enthalten sind. Soweit in solchen Fällen eine Vermischung von grundsätzlich zulässigen Leistungen mit unerlaubtem Glücksspiel dazu führt, dass Zahlungen in Bezug auf diese Leistungen nicht eindeutig von den sich auf das unerlaubte Glücksspiel beziehenden Zahlungen getrennt werden können und deshalb illegale Zahlungsströme nicht eindeutig identifizierbar sind, greift das Verbot der Mitwirkung nach § 4 Abs. 1 Satz 3 GlüStV. In der Konsequenz darf der Zahlungsdienstleister entsprechende Zahlungen nicht ausführen bzw. keine Zahlungsdienste in Bezug auf solche Transaktionen erbringen. Zahlungsinstitute müssen daher die Geschäftsmodelle ihrer gewerblichen Kunden vollständig dahingehend überprüfen, ob ggfs. Elemente unerlaubten Glücksspiels enthalten sind.

          Wann liegt unerlaubtes Glücksspiel vor?

          Die generelle Erlaubnispflicht für das veranstalten oder das Vermitteln von öffentlichen Glücksspielen folgt aus § 4 Abs. 1 Satz 1 GlüStV. Unerlaubtes Glücksspiel im Sinne des Mitwirkungsverbots ist damit jede Veranstaltung oder Vermittlung von öffentlichen Glücksspielen ohne die dafür erforderliche Erlaubnis im Sinne von § 4 Abs. 1 Satz 1 GlüStV. Was genau der Staatsvertrag unter einem Glücksspiel versteht, regelt § 3 Abs. 1 GlüStV. Danach liegt ein Glücksspiel vor, wenn im Rahmen eines Spiels für den Erwerb einer Gewinnchance ein Entgelt verlangt wird und die Entscheidung über den Gewinn ganz oder überwiegend vom Zufall abhängt. Der Begriff des Zufalls kann insbesondere bei Sportwetten und Pferdewetten sowie beim Online-Poker Auslegungsschwierigkeiten bereiten, jedoch stellt der Staatsvertrag insoweit klar, dass es die Abhängigkeit vom Zufall jedenfalls dann anzunehmen ist, wenn der ungewisse Eintritt oder Ausgang zukünftiger Ereignisse maßgeblich ist. Öffentlich ist ein Glücksspiel dann, wenn für einen größeren, nicht geschlossenen Personenkreis eine Teilnahmemöglichkeit besteht, aber auch, wenn es sich um gewohnheitsmäßig veranstaltete Glücksspiele in Vereinen oder sonstigen geschlossenen Gesellschaften handelt. Die Frage der Erlaubnispflichtigkeit kann im Einzelfall schwierig sein, insbesondere in Fällen, in denen das eine Veranstaltung eines öffentlichen Glücksspiels vom Kunden des Zahlungsdienstleister eigentlich gar nicht intendiert ist, sondern eher als zufälliges Nebenprodukt beispielsweise im Rahmen von Marketingmaßnahmen Bestandteil des Leistungsspektrums des Kunden ist.

          Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

          I.  https://fin-law.de

          E. info@fin-law.de

          Newsletter abonnieren

          This Blog Article as Podcast?

          The Gist of It:

          Presentation

            Kontakt

            info@fin-law.de

            Okt. 13, 2025

            Vertriebsstellen im Sinne der PSD3 – Sind E-Geld-Agenten ein Auslaufmodell?

            Die Verhandlungen über die Neugestaltung des europäischen Zahlungsdiensterechts sind bereits weit fortgeschritten. Künftig soll es mit der Zahlungsdiensteverordnung (PSR) und der dritten Zahlungsdiensterichtlinie (PSD3) zwei neue europäische Rechtsakte geben, die sowohl die privatrechtlichen Regeln für Zahlungsdienste in Europa unmittelbar gültig als Verordnung (PSR) als auch die aufsichtsrechtlichen Leitplanken für die nationalen Gesetzgeber der Mitgliedstaaten (PSD3) vorgeben sollen. Neben Zahlungsdiensten soll die neue PSD3 auch die aufsichtsrechtlichen Anforderungen an Unternehmen regeln, die Geschäfte mit E-Geld machen oder solches emittieren. Bislang waren die entsprechenden Bestimmungen in der zweiten E-Geld-Richtlinie (EMD2) geregelt, die mit Inkrafttreten der PSD3 abgeschafft werden soll. Art. 3 Abs. 4 EMD2 verpflichtet die Mitgliedstaaten dazu, E-Geld-Instituten in ihrem jeweiligen nationalen Aufsichtsrecht die Möglichkeit einzuräumen, E-Geld über natürliche oder juristische Personen zu vertreiben und rückzutauschen, die auch als E-Geld-Agenten bezeichnet werden. Nicht erlaubt ist hingegen die Ausgabe von E-Geld-Einheiten über E-Geld-Agenten. Die Emission der E-Geld-Einheiten muss nach Art 3 Abs. 5 EMD2 zwingend durch die E-Geld-Institute selbst erfolgen. Der deutsche Gesetzgeber hat diese Vorgaben im Zahlungsdiensteaufsichtsgesetz (ZAG) umgesetzt. Nach § 1 Abs. 10 ZAG ist E-Geld-Agent jede natürliche oder juristische Person, die als selbständiger Gewerbetreibender im Namen eines E-Geld-Instituts beim Vertrieb und Rücktausch von E-Geld tätig ist. Unter dem Regime der PSD3 soll es indessen keine E-Geld-Agenten mehr geben. Die Richtlinie sieht das Agenten-Konzept ausschließlich für Zahlungsdienste vor, nicht hingegen für die neu einzuführenden E-Geld-Dienste. Jedoch soll der neue Begriff der Vertriebstelle eingeführt werden.

            Was ist eine Vertriebsstelle nach PSD3?

            Nach Art. 2 Abs. 36 des Richtlinienentwurfs der EU-Kommission (PSD3-E) soll eine Vertriebstelle eine natürliche oder juristische Person sein, die E-Geld im Namen eines Zahlungsinstituts vertreibt oder zurücktauscht. Die Definition erinnert sehr stark an die Definition von E-Geld-Agenten aus der abzulösende EMD2. Soweit ersichtlich liegt der einzige Unterschied zwischen den Definitionen in der Tatsache, dass Vertriebstellen von Zahlungsinstituten und E-Geld-Agenten von E-Geld-Instituten in Anspruch genommen werden können. Da aber unter der PSD3 auch der Begriff des E-Geld-Instituts abgeschafft werden soll und stattdessen Zahlungsinstitute zusätzlich die Erlaubnis beantragen können sollen, E-Geld-Dienste zu erbringen, ist die Bezugnahme auf Zahlungsinstitute in der neuen Definition nicht verwunderlich. Die im Entwurf für die PSD3 vorgesehene Abkehr vom Begriff des E-Geld-Agenten scheint dazu zu dienen, eine klarere begriffliche Abgrenzung zwischen für Zahlungsdienste einsetzbare Agenten und für den Vertrieb und den Rücktausch von E-Geld einsetzbare Vertriebstellen herbeizuführen. Zu beachten ist, dass E-Geld-Dienste im künftigen PSD3-Regime gerade keine Zahlungsdienste, sondern eine eigene Art von regulierten Dienstleistungen darstellen sollen, für deren Erbringung Zahlungsinstitute eine Erlaubnis erhalten können. Darüber hinaus ist zu beachten, dass Vertriebstellen gerade nicht zur Erbringung von E-Geld-Diensten einsetzbar sein sollen, sondern lediglich durch Zahlungsinstitute für den Vertrieb und den Rücktausch von E-Geld unterbeauftragt werden können. In diesem Punkt unterscheiden sich die beiden Konzepte erheblich. Die Einführung des Begriffs der Vertriebstellen hat vor diesem Hintergrund durchaus klarstellende Wirkung.

            Was soll eine E-Geld-Vertriebsstelle machen dürfen?

            Nach Art. 20 Abs. 1 des Entwurfs für die PSD3 sollen Mitgliedstaaten E-Geld-Dienste erbringenden Zahlungsinstituten gestatten, für den Vertrieb und den Rücktausch von E-Geld Vertriebsstellen in Anspruch zu nehmen. Art. 20 Abs. 2 des Entwurfs ist vor diesem Hintergrund mindestens irreführend formuliert, da er anordnet, dass Zahlungsinstitute die in Art. 19 PSD3-E festgelegten Anforderungen an den Einsatz von Zahlungsagenten entsprechend einhalten sollen, wenn sie E-Geld-Dienste über Vertriebsstellen zu erbringen beabsichtigen. Vor dem Hintergrund des eindeutigen Wortlauts der Definition der Vertriebsstelle in Art. 2 Abs. 36 PSD3-E und der klaren Definition von E-Geld-Diensten in Anhang II PSD3-E, die nur die Ausgabe von E-Geld, die Führung von Zahlungskonten für E-Geld-Einheiten und die Übertragung von E-Geld-Einheiten umfassen sollen, nicht aber auch den Vertrieb und den Rücktausch, macht die Vorschrift des Art. 20 Abs. 2 PSD3-E keinen Sinn. Bis zur finalen Fassung der PSD3 sollte Art. 20 Abs.2 des Entwurfs daher in jedem Fall noch einmal überarbeitet werden. Einsetzbar sollen Vertriebsstellen vielmehr ausschließlich für den Vertrieb und den Rücktausch der E-Geld-Einheiten sein. Erlaubnispflichtige E-Geld-Dienste werden sie nicht erbringen dürfen. Insofern wird es in der Sache kaum Unterschiede zwischen den E-Geld-Agenten nach der EMD2 und den Vertriebsstellen im Sinne der PSD3 geben.

            Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

            I.  https://fin-law.de

            E. info@fin-law.de

            Newsletter abonnieren

            This Blog Article as Podcast?

            The Gist of It:

            Presentation

              Kontakt

              info@fin-law.de

              Sep. 29, 2025

              E-Geld-Dienste im Sinne der PSD3 – Was genau soll die neue Tätigkeit umfassen?

              Der Europäische Gesetzgeber arbeitet fleißig an der Neugestaltung des europäischen Zahlungsdiensterechts. Es wird erwartet, dass die finalen Fassungen der neuen Zahlungsdiensteverordnung (PSR) sowie der dritten Zahlungsdiensterichtlinie (PSD3) Ende 2025 oder Anfang 2026 verabschiedet werden können. Eines der wesentlichen Anliegen der vorgeschlagenen Neufassungen ist die Abschaffung der zweiten E-Geld-Richtlinie (EMD2) bei gleichzeitiger Einbeziehung der Vorschriften zum E-Geld in die neue PSD3 und die PSR. Die EU-Kommission hatte im Regime der aktuellen PSD2 und EMD2 festgestellt, dass es in der praktischen Auslegung der Richtlinien durch die Aufsichtsbehörden der Mitgliedsaaten insbesondere bei der Abgrenzung von Zahlungs- und E-Geld-Produkten Unterschiede gab, die von antragstellenden Unternehmen ausgenutzt wurden. Zukünftig sollen deshalb alle aufsichtsrechtlichen und zivilrechtlichen Vorschriften in Bezug auf Zahlungsdienste und E-Geld-Dienste einheitlich durch die PSD3 und die PSR geregelt sein. Den Begriff des E-Geld-Instituts wird es dann nicht mehr geben. Vielmehr sollen Zahlungsinstitute neben der Beantragung einer Zulassung für Zahlungsdienste zusätzlich oder auch ausschließlich eine Zulassung für die Erbringung von E-Geld-Diensten bei der BaFin bzw. der im Einzelfall zuständigen Behörde beantragen können. Doch was genau werden E-Geld-Dienste in diesem Zusammenhang sein?

              E-Geld-Dienste als neue regulierte Tätigkeit im Zahlungsdiensterecht

              Integriert werden soll die aufsichtsrechtliche Behandlung des E-Geld-Geschäfts nach dem aktuellen Entwurf zu PSD3 durch die Einführung des neuen Begriffs der E-Geld-Dienste. Danach sollen E-Geld-Dienste die Ausgabe von E-Geld, die Führung von Zahlungskonten zur Speicherung von E-Geld-Einheiten und den Transfer von E-Geld-Einheiten umfassen. E-Geld-Dienste wären damit nicht nur die originäre Ausgabe von E-Geld, sondern auch nachgelagerte Dienstleistungen im Zusammenhang mit der Speicherung von E-Geld und dem Transfer der E-Geld-Einheiten. Auffällig ist, dass die Definition des aktuellen PSD3-Entwurfs die drei unterschiedlichen Tätigkeiten von E-Geld-Diensten nicht mit einem „oder“ trennt. Auch die Vorschriften des Entwurfs beispielsweise für das erforderliche Anfangskapital, das E-Geld-Dienste erbringende Zahlungsinstitute benötigen sollen, beträgt einheitlich 400.000 Euro ohne Rücksicht darauf, ob E-Geld ausgegeben wird oder lediglich Transferdienstleistungen in Bezug auf – ggfs. nicht selbst ausgegebenes E-Geld – erbracht werden sollen. Weiter wird im Entwurf zur PSD3 für die Berechnung der erforderlichen Eigenmittel unterschieden, ob ein Zahlungsinstitut E-Geld-Dienste anbietet oder nicht. Diejenigen Institute, die ausschließlich E-Geld-Dienste anbieten, sollen stets Methode D anwenden müssen, nach der sich die Eigenmittel des Instituts stets auf mindestens 2% des durchschnittlichen E-Geld-Umlaufs zu belaufen haben. Diese Vorschriften lassen nur den Schluss zu, dass die Erbringung von E-Geld-Diensten nur einheitlich vorliegen kann, mithin beispielsweise das schlichte Angebot einer Speichermöglichkeit für fremdausgegebene E-Geld-Einheiten auf einem Zahlungskonto nicht als E-Geld-Dienst einzuordnen wäre.

              Dienstleistungen in Bezug auf E-Geld-Einheiten ohne Emittenteneigenschaft dennoch nicht unreguliert

              Dienstleistungen von Zahlungsinstituten, die selbst nicht als E-Geld-Emittent agieren, würden dennoch als regulierte Tätigkeit von den neuen Vorschriften nach PSD3 und PSR erfasst. Denn E-Geld-Einheiten sollen nach den neuen Begriffsbestimmungen der PSD3 stets auch als Geld qualifizieren. Damit sind E-Geld-Einheiten ganz generell auch potenzieller Gegenstand von klassischen Zahlungsdiensten. Sofern daher beispielsweise ein Dienstleister anbieten möchte, von einem Dritten ausgegebene E-Geld-Einheiten auf einem Zahlungskonto zu speichern und Transfers dieser Einheiten von und an das Zahlungskonto zu ermöglichen, könnte diese Tätigkeit schlicht das Ein- und Auszahlungsgeschäft im Sinne der Nr. 1 und bzw. oder 2 des Anhangs I zur PSD3 darstellen. Der Anbieter müsste dann für diese Tätigkeit eine Zulassung als Zahlungsinstitut einholen. Eine Zulassung für die Erbringung von E-Geld-Diensten wäre nicht erforderlich. Besonders häufig könnten entsprechende Abgrenzungsfragen zukünftig im Bereich von E-Geld-Token auftreten, die nach Art. 48 Abs. 2 MiCAR auch als E-Geld gelten. Es liegt in der Natur von Token, dass sie nicht ausschließlich vom Emittenten gehalten oder transferiert werden können. Demzufolge liegt es auch sehr nahe, dass Unternehmen beispielsweise Finanztransfergeschäfte oder andere Zahlungsdienste mit ihnen erbringen. In solchen Fällen stellt sich die zusätzlich Frage, ob neben einer BaFin Erlaubnis für Zahlungsdienste auch eine Zulassung als Anbieter von Kryptowerte-Dienstleistungen erforderlich ist.

              Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

              I.  https://fin-law.de

              E. info@fin-law.de

              Newsletter abonnieren

              This Blog Article as Podcast?

              The Gist of It:

              Presentation

                Kontakt

                info@fin-law.de

                Sep. 15, 2025

                Welche Zahlungsdienste bieten Krypto-Verwahrer mit EMT an?

                Die Verwahrung von Kryptowerten ist seit Ende letzten Jahres als Kryptowerte-Dienstleistung in der Markets in Crypto Assets Regulation (MiCAR) geregelt. Anbieter dieser Dienstleistung müssen von der für sie zuständigen Aufsichtsbehörde – in Deutschland ist dies die BaFin – eine Zulassung nach Art. 62 MiCAR einholen, bevor sie für Kunden Kryptowerte verwahren dürfen. Mit einer solchen Zulassung sind Kryptoverwahrer berechtigt, alle Token für Kunden zu verwahren, die als Kryptowerte nach der MiCAR qualifizieren. Das sind neben klassischen Kryptowerten wie Bitcoin und Ether auch die in der Verordnung geregelten Spezialformen von Kryptowerten wie vermögenswertereferenzierte Token (ART) und E-Geld Token (EMT). Beide vorgenannten Arten sog. Stablecoins zeichnen sich dadurch aus, dass sie darauf angelegt sind, eine Wertstabilität durch Bezugnahme auf einen anderen stabilen Wert herbeizuführen. Im Fall von ART kann sich der Referenzwert dabei aus anderen amtlichen Währungen, aus Wertpapieren, anderen Kryptowerten oder aus anderen Gegenständen ergeben. Ist der Bezugswert des Token hingegen eine einzige amtliche Währung wie etwa Euro, US-Dollar oder z.B. der Schweizer Franken, liegt ein EMT vor. Kryptoverwahrer sehen sich bei der Verwahrung von E-Geld Token für Ihre Kunden zusätzlichen aufsichtsrechtlichen Problematiken ausgesetzt, da E-Geld Token nicht nur als Kryptowerte nach der MiCAR einzuordnen sind, sondern auch als E-Geld im Sinne der in der Europäischen Union geltenden zweiten E-Geld-Richtlinie (2009/110/EG). Das hat zur Folge, dass sie auch als Geldbeträge im Sinne der zweiten Zahlungsdiensterichtlinie (PSD2) gelten, was die European Banking Authority EBA jüngst noch einmal bestätigt hatte.

                Kryptoverwahrer benötigen für den geschäftlichen Umgang mit E-Geld Token bald auch Erlaubnis nach ZAG

                Zwar rät die EBA den Aufsichtsbehörden der Mitgliedstaaten in ihrem No-Action-Letter vom 10. Juni 2025 dazu, die Einhaltung der aufsichtsrechtlichen Pflichten nach der PSD2, die in Deutschland im Zahlungsdiensteaufsichtsgesetz (ZAG) umgesetzt sind, erst nach dem 2. März 2026 gegenüber den Marktteilnehmern zu einfordern. Kryptoverwahrer, die ihren Kunden die Verwahrung auch von E-Geld Token anbieten wollen, sollten sich dennoch bereits jetzt für die Zweit nach dem 2. März 2026 in Stellung bringen und sich um die Einholung einer ZAG Erlaubnis kümmern. Die EBA rät den Aufsichtsbehörden an, einige sich für Zahlungsdienstleister ergebende Pflichten zu depriorisieren. Die grundsätzliche zusätzliche Erlaubnispflicht besteht jedoch in jedem Fall. Kryptoverwahrer, die ihren Kunden auch anbieten wollen, EMT auf ihren Wallets zu halten und diese an andere Wallets zu senden bzw. EMT von anderen Wallets zu empfangen, werden dann auch Zahlungsdienste erbringen. Einschlägig sind in diesen Fällen insbesondere die Zahlungsdienste des Einzahlungsgeschäfts (§ 1 Abs. 1 Satz 2 Nr. 1 ZAG) und des Auszahlungsgeschäfts (§ 1 Abs. 1 Satz 2 Nr. 2 ZAG). Auch das Zahlungsgeschäft nach § 1 Abs. 1 Satz 2 Nr. 3 ZAG und das Zahlungsgeschäft mit Kreditgewährung nach § 1 Abs. 1 Satz 2 Nr. 4 ZAG können einschlägig sein, wenn Kryptoverwahrer EMT von Kunden an andere Wallets versenden.

                Welche Alternativen bestehen für Kryptoverwahrer zur eigenen ZAG Erlaubnis?

                Nicht in jedem Fall macht die Beantragung einer eigenen Erlaubnis nach § 10 Abs. 1 ZAG für die Erbringung von Zahlungsdiensten Sinn. Kryptoverwahrer können im Einzelfall etwa Probleme damit haben, dass ihre Geschäftsleiter gegebenenfalls die fachliche Eignung für die Kryptoverwahrung mitbringen, im Zahlungsdienstgeschäft aber eventuell noch ohne fachliche Erfahrungen sind. Es ist nicht unwahrscheinlich, dass die BaFin in entsprechenden Erlaubnisverfahren fordern wird, dass die Geschäftsleitung verändert bzw. um qualifizierte Geschäftsleiter mit ZAG-Erfahrung erweitert wird. In solchen Fällen kann es in Betracht kommen, die zusätzlichen, sich im Zusammenhang mit der Verwahrung von E-Geld Token ergebenden Zahlungsdienste beispielsweise über eine Auslagerungslösung von einem anderen Institut erbringen zu lassen. Eine eigene Erlaubnis muss dann für die Erbringung der Zahlungsdienste nicht eingeholt werden. Möchte der Kryptoverwahrer die Zahlungsdienste selbst seinem Kunden anbieten können, kann auch überlegt werden, ob der Kryptoverwahrer eventuell Zahlungsagent des anderen Zahlungsinstituts werden sollte. Dann kann er als selbstständiger Gewerbetreibender die regulierten Zahlungsdienste im Namen des anderen Instituts ausführen. Seine Handlungen werden dann aufsichtsrechtlich und zivilrechtlich dem Zahlungsinstitut zugerechnet.

                Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

                I.  https://fin-law.de

                E. info@fin-law.de

                Newsletter abonnieren

                This Blog Article as Podcast?

                The Gist of It:

                Presentation

                  Kontakt

                  info@fin-law.de

                  Sep. 08, 2025

                  Neue Umsetzungshinweise der BaFin zum vereinfachte IKT-Risikomanagementrahmen

                  Die EU-Verordnung über die digitale operative Resilienz im Finanzsektor (DORA) gilt bereits seit dem 17. Januar 2025 und ist für die von ihr regulierten Unternehmen umzusetzen. Auch noch über 7 Monate nach dem Inkrafttreten sind längst nicht alle Rechtsfragen, die sich aus der DORA ergeben, geklärt. Die zuständige Behörde für die meisten deutschen Finanzunternehmen ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Der Begriff des Finanzunternehmens im Sinne der DORA umfasst dabei einen umfangreichen Katalog verschiedener Unternehmen der Finanzbranche, zum Beispiel Kreditinstitute, Zahlungsinstitute, Kontoinformationsdienstleister, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Dienstleistungen, Versicherungs- und Rückversicherungsunternehmen, Datenbereitstellungsdienste und viele weitere. Damit ist die DORA der zentrale Rechtsakt für die Stärkung der digitalen operativen Resilienz des Finanzsektors beim Einsatz von Informations- und Kommunikationstechnologien (IKT). Eine der Grundfesten der DORA ist dabei die Verpflichtung der Finanzunternehmen, einen IKT-Risikomanagementrahmen aufzubauen, aufrechtzuerhalten und kontinuierlich zu verbessern. Genauso vielfältig wie die Anzahl der regulierten Unternehmen, die als Finanzunternehmen in Betracht kommen, können dabei auch die Risiken sein, denen ein Finanzunternehmen im Einzelfall ausgesetzt ist. Daher setzt die DORA auf den Grundsatz der Verhältnismäßigkeit. Dieser ist in Art. 4 DORA ausdrücklich verankert und fordert unter anderem, dass bei der Erfüllung der Anforderungen zum IKT-Risikomanagement Größe und Gesamtrisikoprofil des Finanzunternehmens sowie Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte Rechnung zu tragen ist. Der Verhältnismäßigkeitsgrundsatz zeigt sich weiter in der Unterscheidung zwischen dem grundsätzlich geltenden IKT-Risikomanagementrahmen und dem vereinfachten Risikomanagementrahmen, der nur für bestimmte, meist kleinere Finanzunternehmen gilt. Zum in Art. 16 DORA beschriebenen vereinfachten IKT-Risikomanagementrahmen hat die BaFin nun in einer neuen Aufsichtsmitteilung vom 21. August 2025 einige hilfreiche Hinweise gegeben.

                  Für welche Finanzunternehmen gilt der vereinfachte IKT-Risikomanagementrahmen?

                  Auf welche Unternehmen der vereinfachte IKT-Risikomanagementrahmen in Deutschland anzuwenden ist, ergibt sich zum einen direkt aus der DORA und zum anderen aus den nationalen Gesetzen. Nach Art. 16 DORA sind in Deutschland kleine, nicht verflochtene Wertpapierfirmen und kleine Einrichtungen der betrieblichen Altersversorgung erfasst. Darüber hinaus ist der vereinfachte IKT-Risikomanagementrahmen auf nationaler Ebene durch das Gesetz über die Digitalisierung des Finanzmarktes (Finanzmarktdigitalisierungsgesetz – FinmadiG) auf weitere Finanzunternehmen des Banken- und Versicherungssektors ausgedehnt worden. So werden durch eine Neufassung des Versicherungsaufsichtsgesetzes (§ 293 Abs. 5 VAG) nun auch bestimmte Versicherungsholdings den Anforderungen des Artikels 16 DORA unterstellt. Ferner verpflichtet eine Anpassung im Kreditwesengesetz (§ 1a Abs. 2a KWG) alle Institute, die nicht bereits unter DORA fallen, die Verordnung ab dem 1. Januar 2027 anzuwenden. Für diese letztgenannten Institute, zu denen beispielsweise Bürgschaftsbanken sowie Finanzdienstleistungsinstitute wie Leasing- und Factoringunternehmen und Kryptowertpapierregisterführer zählen, gelten bis Ende 2026 weiterhin die BAIT.

                  Welche Hinweise hat die BaFin konkret gegeben und worauf müssen Finanzunternehmen weiter achten?

                  Die Aufsichtsmitteilung der BaFin umfasst eine Übersicht über die Dokumentationsanforderungen an Finanzunternehmen gemäß Art. 16 DORA. Aus dieser Übersicht lässt sich entnehmen, welche Dokumentationen, Sicherheitsmaßnahmen, Verfahren, Pläne, Prozesse und Leitlinien nach Auffassung der BaFin notwendig sind, um den Anforderungen von Art. 16 DORA und den ergänzenden technischen Regulierungsstandards (RTS) zur Festlegung der Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie des vereinfachten IKT-Risikomanagementrahmens zu genügen. Die BaFin betont in diesem Zusammenhang, dass es sich um eine nicht verpflichtende Hilfestellung handelt und dass die Übersicht keine verbindliche Auslegung der BaFin darstellt. Dennoch spiegelt die Übersicht im Ergebnis wider, wie die BaFin als zuständige Aufsichtsbehörde die DORA-Verordnung auslegt, und gibt den betroffenen Finanzunternehmen damit einen konkreten Fahrplan auf dem Weg zur DORA-Compliance. Die Übersicht lässt jedoch offen, wie die aufgeführten Dokumente inhaltlich auszugestalten sind. Dies ist auch sinnvoll, da die Anforderungen in jedem Einzelfall nach dem Grundsatz der Verhältnismäßigkeit zu bestimmen sind. Außerdem ist es für Finanzunternehmen, auch wenn sie unter den vereinfachten IKT-Risikomanagementrahmen fallen, wichtig, im Blick zu behalten, dass es trotz der Vereinfachungen durch den IKT-Risikomanagementrahmen keine Erleichterungen bei den sonstigen Anforderungen der DORA gibt. So müssen die betroffenen Unternehmen beispielsweise dennoch die in den Artikeln 28 bis 30 DORA festgelegten Prinzipien für ein solides Management des IKT-Drittparteienrisikos einhalten.

                  FIN LAW

                  I. https://fin-law.de

                  E. info@fin-law.de

                  Newsletter abonnieren

                  This Blog Article as Podcast?

                    Kontakt

                    info@fin-law.de

                    Aug. 25, 2025

                    Nutzen die Aufsichtsbehörden bald KI-Tools in der Geldwäscheaufsicht?

                    Der Einsatz von innovativen Technologien wie Natural Language Processing (NLP) und KI verspricht eine bisher unerreichte Effizienzsteigerung für Unternehmen. Es gibt eine ganze Flut neuer KI-Unternehmen, die sich die neu eröffneten Möglichkeiten zunutze machen und neue Geschäftsmodelle entwickeln. Noch unklar ist, ob sich die unter massiven Investitionen stets weiterentwickelnden Technologien dem Hype gerecht werden können oder ob sich eine Blase bildet, die wie die „Dotcom-Blase“ zu platzen droht. Im Moment scheint jedoch festzustehen, dass KI gekommen ist, um zu bleiben, und nicht länger ignoriert werden kann. Dies scheinen auch die europäischen Aufsichtsbehörden begriffen zu haben, wie ein Bericht der European Banking Authority (EBA) über den Einsatz supervisory technology tools (sog. SupTech) in der geldwäscherechtlichen Aufsicht durch die nationalen Aufsichtsbehörden zeigt. Doch wie weit fortgeschritten ist die SupTech-Revolution in den nationalen Aufsichtsbehörden bisher, und welche Folgen ergeben sich für beaufsichtigte Unternehmen?

                    AMLA und der Einsatz von SupTech

                    Mit dem neuen Paket zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung der EU vom 19. Juni 2024 wurde unter anderem eine neue europäische Aufsichtsbehörde ins Leben gerufen, die die nationalen Aufsichtsbehörden unterstützen soll, indem sie nationale Geldwäschebehörden koordiniert und eine einheitliche Anwendung der EU-Gesetze sicherstellt. Die Anti-Geldwäschebehörde (AMLA) hat ihre Tätigkeit am 1. Juli 2025 aufgenommen. Die EBA hat unter anderem die Gründung der AMLA und die damit verbundene zunehmende Kooperation der Aufsichtsbehörden zum Anlass genommen, zu untersuchen, wie die nationalen Behörden SupTech bereits jetzt einsetzen. Das Ergebnis der Untersuchung hat sie in einem Report vom 12. August 2025 zusammengefasst. Dieser bietet einen guten Überblick über die aktuellen Entwicklungen. Die Nutzung von SupTech-Tools in der Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML/CFT-Aufsicht) ist in der EU noch in den Anfängen. Viele Behörden befinden sich in der Erkundungs- oder frühen Umsetzungsphase. Es werden aber auch große Chancen ausgemalt. Die zunehmende Einführung von SupTech signalisiert einen Wandel hin zu effizienteren, datengetriebenen Ansätzen zur Bekämpfung von Finanzkriminalität. Genutzte Technologien umfassen z. B. KI, Blockchain-Analyse und die Generierung synthetischer Daten, um Risikobewertungen zu verbessern und die operationelle Effizienz zu steigern. Die SupTech-Tools sollen die Fähigkeit verbessern, große Datenmengen zu analysieren und umfassende Einblicke in die Aktivitäten überwachter Unternehmen zu gewinnen, Prozesse automatisieren, Ressourcen optimieren und die Zusammenarbeit zwischen den Behörden steigern. Es bestehen jedoch noch Herausforderungen wie etwa schlechte Datenqualität und -governance, die die effektive Nutzung behindern, begrenzte Budgets und erforderliche technologische Anpassungen, fehlende Klarheit bei den regulatorischen Rahmenbedingungen und Widerstand gegen Veränderungen sowie mangelnde digitale Kompetenz bei Mitarbeitenden der Behörden.

                    FinTech-Unternehmen, Krypto-Assets und KI-gestützter Betrug im Visier der Aufsicht

                    Trotz der aufgezeigten Umsetzungsschwierigkeiten scheint es unausweichlich zu sein, dass auch die Aufsichtsbehörden neue Technologien einsetzen und dadurch die Aufsicht über betroffene Unternehmen noch effizienter und umfassender ausüben werden. In der Folge sollten Unternehmen noch mehr als bisher darauf bedacht sein, ihren geldwäscherechtlichen Compliance-Anforderungen gerecht zu werden. Der Fokus der Aufsicht scheint hierbei auch zunehmend auf FinTech-Unternehmen zu liegen. So wird in der Stellungnahme der EBA zu Geldwäsche- und Terrorismusfinanzierungsrisiken vom 28. Juli 2025 festgehalten, dass 70 % der zuständigen Behörden in der EU hohe oder steigende ML/TF-Risiken im FinTech-Sektor berichten. Der Marktanteil von FinTech-Unternehmen wächst rapide, und verspricht, das Kundenerlebnis durch den Zugang zu Innovationen im Bereich der Finanzdienstleistungen zu verbessern. Die Aufsichtsbehörden befürchten, dass dieses rasante Wachstum dazu führt, dass FinTech-Unternehmen Innovation und Kundengewinnung über Compliance stellen, was zu unzureichenden AML/CFT-Kontrollen führt. Für FinTech-Unternehmen bedeutet dies, dass sie sich besonders sorgfältig mit dem Thema Geldwäsche-Compliance auseinandersetzen müssen. Auch wenn dies eine hohe bürokratische Belastung gerade für kleinere Unternehmen darstellt, müssen die gesetzlichen Pflichten unbedingt eingehalten werden.

                    FIN LAW

                    I. https://fin-law.de

                    E. info@fin-law.de

                    Newsletter abonnieren

                    This Blog Article as Podcast?

                    The Gist of It:

                    Presentation

                      Kontakt

                      info@fin-law.de

                      Aug. 18, 2025

                      Eignen sich Stablecoins als Zahlungsmittel in begrenzten Händlernetzen?

                      Stablecoins sind bereits seit Sommer 2024 über die Vorschriften der Markets in Crypto Assets Regulation (MiCAR) spezifisch regulierte Kryptowerte. Sie können entweder als E-Geld-Token (EMT) oder als vermögenswertereferenzierte Token (ART) begeben werden. Insbesondere die Ausgabe von EMT oder ART als Emittent wird von der MiCAR streng und granular reglementiert. So ist die Ausgabe von EMT ausschließlich in der Europäischen Union zugelassenen E-Geld-Instituten oder Kreditinstituten vorbehalten. Die Ausgabe von ART darf grundsätzlich nur durch dafür nach den Art. 16 ff. MiCAR explizit als ART-Emittent zugelassene Unternehmen oder durch Kreditinstitute erfolgen. Doch nicht nur die Ausgabe von EMT oder ART kann mit Erlaubnispflichten verbunden sein. Werden EMT oder ART als Zahlungsmittel im Wirtschaftsleben akzeptiert, können transaktionsunterstützende Dienstleistungen gegebenenfalls zulassungspflichtige Tätigkeiten darstellen, die nicht ohne eine zuvor eingeholte Erlaubnis der zuständigen Aufsichtsbehörde – wie in Deutschland der BaFin – erbracht werden dürfen. Dabei spielt nicht nur die MiCAR eine Rolle, in der Kryptowerte-Dienstleistungen als zulassungspflichtige Tätigkeiten reguliert werden. Auch die Vorschriften des auf den Vorgaben der zweiten Zahlungsdiensterichtlinie (PSD2) beruhenden deutschen Zahlungsdiensteaufsichtsgesetzes (ZAG) können im Einzelfall zu berücksichtigen sein.

                      E-Geld-Token sind sowohl Kryptowert als auch E-Geld

                      Für E-Geld-Token sieht Art. 48 Abs. 2 MiCAR die Besonderheit vor, dass sie als E-Geld gelten. Zugleich werden sie jedoch auch in Art. 3 Abs. 1 Nr. 7 MiCAR als Kryptowerte definiert, deren Wertstabilität unter Bezugnahme auf den Wert einer amtlichen Währung gewahrt werden soll. EMT haben damit aufsichtsrechtlich einen hybriden Status inne. Während sie als Sonderform eines Kryptowertes den Vorschriften der MiCAR unterfallen, stellen sie als E-Geld i.S.v. Art. 2 Abs. 2 der zweiten E-Geldrichtlinie (EMD2) bzw. § 1 Abs. 2 Satz 3 ZAG zugleich eine Form von Geldbeträgen nach dem Verständnis von Art. 4 Nr. 25 PSD2 dar und können damit Gegenstand von erlaubnispflichtigen Zahlungsdiensten sein. Diesbezüglich hatte die European Banking Authority (EBA) am 10. Juni 2025 einen „No-Action-Letter“ veröffentlicht, in dem sie nationalen Aufsichtsbehörden in der Europäischen Union dazu riet, Compliance mit den Vorschriften der PSD2 in Bezug auf die Erbringung von Zahlungsdiensten mit EMT gegenüber betroffenen Unternehmen erst ab dem 2. März 2026 einzufordern. Aktuell müssen daher Dienstleister, die Kunden etwa eine Verwahrmöglichkeit für oder transaktionsunterstützende Dienstleistungen im Zusammenhang mit EMT anbieten über eine Zulassung als Kryptowerte-Dienstleister (CASP) nach Art. 59 ff. MiCAR verfügen. Die Bereichsausnahme für begrenzte Händlernetze, für die ausschließliche Nutzung in geschlossenen Geschäftsräumen oder für sehr begrenzte Dienstleistungs- oder Warenspektren sieht die MiCAR nicht vor. Insofern gibt es in solchen Konstellationen auch keine Befreiung von der grundsätzlichen Zulassungspflicht als CASP. Für die Zeit nach dem 2. März 2026 kann in unter die Ausnahmetatbestände für begrenzte Händlernetze fallende Geschäftsmodelle jedoch die Möglichkeit bestehen, durch Inanspruchnahme dieser Ausnahmeregelungen eine zusätzliche Erlaubnispflicht nach § 10 Abs. 1 ZAG zu vermeiden.

                      ART sind reine Kryptowerte und unterfallen nicht dem ZAG

                      Für vermögenswertereferenzierte Token stellt sich die Situation insoweit anders dar, als dass sie zwar nach Art. 3 Abs. 1 Nr. 6 MiCAR als Kryptowerte qualifizieren, die MiCAR jedoch keine Vorschrift enthält, die ART zugleich als Geldbeträge im Sinne der PSD2 einordnet. ART sind deshalb nicht dem Regulierungsregime des ZAG unterworfen. Zwar wird in Erwägungsgrund 62 MiCAR beispielsweise erwähnt, dass ART gegebenenfalls eine Bedrohung für das reibungslose Funktionieren von Zahlungssystemen, die geldpolitischen Transmission oder die Währungshoheit darstellen können, was sie zumindest in den Bereich von mit Geldbeträgen vergleichbaren Zahlungsmitteln rückt. Die EBA hat in ihrem „No-Action-Letter“ vom 10. Juni 2025 allerdings ebenfalls klargestellt, dass sie der Meinung ist, dass ART nicht als Geldbeträge im Sinne der PSD2 einzuordnen sind. Vor diesem Hintergrund kann nach aktueller Rechtslage davon ausgegangen werden, dass auf die Verwahrung von und die Transaktionsunterstützung im Zusammenhang mit ART allein die Vorschriften der MiCAR Anwendung finden. Entsprechende Dienstleister können sich deshalb nicht die aus dem Zahlungsdiensterecht stammenden Ausnahmetatbestände für geschlossene Händlernetze oder sehr begrenzte Waren- oder Dienstleistungsangebote zu Nutze machen. Sie haben entweder eine Zulassung nach der MiCAR als CASP einzuholen oder die in Art. 2 MiCAR geregelten Ausnahmetatbestände für ihr Geschäftsmodell bemühen, sofern dies im Einzelfall in Betracht kommen kann.

                      Rechtsanwalt Dr. Lutz Auffenberg, LL.M. (London)

                      I.  https://fin-law.de

                      E. info@fin-law.de

                      Newsletter abonnieren

                      This Blog Article as Podcast?

                      The Gist of It:

                      Presentation

                        Kontakt

                        info@fin-law.de

                        Aug. 11, 2025

                        KI-Compliance im Unternehmen (Teil III) – Anwendungsbereiche und Unterschiede zwischen DSGVO und KI-VO

                        In der rasanten Entwicklung der künstlichen Intelligenz stehen Unternehmen in der Europäischen Union vor einer komplexen regulatorischen Landschaft, die maßgeblich von zwei Säulen geprägt wird: der Datenschutz-Grundverordnung (DSGVO) und der neuen Verordnung über Künstliche Intelligenz (KI-VO). Während die DSGVO bereits seit Jahren den Umgang mit personenbezogenen Daten regelt und sich als Standard für den Datenschutz etabliert hat, tritt die KI-VO nun als erste umfassende Regulierung speziell für KI-Systeme auf den Plan. Auf den ersten Blick scheinen beide Regelwerke ähnliche Ziele zu verfolgen, wie den Schutz von Grundrechten und die Schaffung von Vertrauen in neue Technologien. Doch wie verhalten sich diese beiden umfangreichen Gesetze zueinander? Diese Frage wird insbesondere dann relevant, wenn KI-Systeme auf Basis personenbezogener Daten trainiert werden oder agieren. Personenbezogene Daten sind häufig der „Treibstoff“ von KI-Systemen. Diese doppelte Regulierung wirft entscheidende Fragen auf: Reicht die Einhaltung der einen Verordnung aus, oder entstehen hier neue, sich überschneidende Pflichten, die zu teuren Fallstricken führen können? Wenn Unternehmen auf den Einsatz von KI setzen wollen, sollten sie sich zunächst Klarheit über die Unterschiede und Gemeinsamkeiten von DSGVO und KI-VO verschaffen.

                        Anwendungsbereiche von DSGVO und KI-VO?

                        Die DSGVO konzentriert sich auf die Verarbeitung personenbezogener Daten. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Eine Verarbeitung ist somit so gut wie jeder Umgang mit den personenbezogenen Daten, von Auslesen über Speichern und Übermitteln bis hin zur Löschung. Die DSGVO ist technologieneutral konzipiert, was bedeutet, dass ihre Bestimmungen unabhängig von der verwendeten Technologie gelten, solange personenbezogene Daten verarbeitet werden. Dagegen reguliert die KI-VO primär die KI-Systeme und KI-Modelle selbst. Ein KI-System wird definiert als ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können (Art. 3 Nr. 1 KI-VO). Was ein KI-Modell ist, wird von der KI-VO nicht direkt definiert. Aus Erwägungsgrund 97 der Verordnung ergibt sich allerdings das KI-Modelle zentrale Bestandteile eines KI-Systems sind, die durch zusätzliche Komponenten wie eine Nutzerschnittstelle zu einem KI-System werden. Das KI-Modell ist demnach vereinfacht ausgedrückt das neuronale Netz und damit der Kern des KI Systems.

                        Unterschiede und Gemeinsamkeiten

                        Das Hauptziel der DSGVO ist der Schutz der Grundrechte natürlicher Personen vor Risiken, die sich aus einer Datenverarbeitung ergeben können. Die DSGVO verpflichtet Datenverantwortliche, sowohl technische als auch organisatorische Maßnahmen zu ergreifen, um den Risiken für die Betroffenen zu begegnen (Art. 25 und Art. 32 DSGVO). Personenbezogene Daten dürfen nur unter Einhaltung der von der DSGVO festgelegten Grundsätze für die Verarbeitung verarbeitet werden. Der Verantwortliche ist den Betroffenen hierbei Rechenschaft schuldig (Art. 5 Abs. 2 DSGVO). Die Rechtmäßigkeit für eine Verarbeitung muss hierbei in jedem Einzelfall geprüft werden. Im Fall der Verwendung neuer Technologien, unter die KI zweifelsohne fällt ist hierbei auch an eine gut dokumentierte Datenschutz-Folgenabschätzung zu denken (Art. 35 DSGVO). Die KI-VO hat zum Ziel, dass KI vertrauenswürdig und sicher ist und im Einklang mit den Grundrechten entwickelt und verwendet wird. Die KI-VO ist dabei in erster Linie Produktsicherheitsrecht, das einheitliche Regeln für das Inverkehrbringen, die Inbetriebnahme oder die Nutzung von KI-Systemen und KI-Modellen innerhalb der EU festlegt. In der Umsetzung setzt die KI-VO vor allem auf eine Einteilung von KI-Systemen und KI-Modellen in Bestimmte Risikoklassen, die unterschiedlichen Rechtsrahmen unterworfen werden. Ein Risiko definiert die KI-VO als die Kombination aus der Wahrscheinlichkeit des Auftretens eines Schadens und der Schwere dieses Schadens (Art. 3 Nr. 2 KI-VO). Den von KI ausgehenden Risiken beregnet die KI-VO, indem spezifische Regeln für KI-Technologien und deren Anwendung festlegt. Obwohl Die Schwerpunkte von DSGVO und KI-VO unterschiedlich sind, sind sie in Bereichen, in denen KI-Systeme personenbezogene Daten verarbeiten, eng miteinander verknüpft. Beide Gesetze haben die Risikominimierung zum Ziel. Die KI-VO ergänzt die DSGVO, indem spezifische Risiken von KI-Technologien adressiert werden. Auch wenn die Einhaltung der KI-VO auch dazu beitragen kann, den Anforderungen der DSGVO gerecht zu werden, ist KI-VO-Compliance allein hierfür regelmäßig nicht ausreichend.

                        FIN LAW

                        I. https://fin-law.de

                        E. info@fin-law.de

                        Newsletter abonnieren

                        This Blog Article as Podcast?

                        The Gist of It:

                        Presentation

                          Kontakt

                          info@fin-law.de

                          to top