Wir vertreten die wirtschaftlichen und ideellen Interessen unserer Mitglieder in allen kreditwirtschaftlichen Fragen. Einen Überblick zu allen Fachthemen, die wir behandeln, finden Sie auf folgenden Seiten.

Alle Themen

Digital Operational Resilience Act (DORA), Informationssicherheit und IT-Compliance

Die Widerstandsfähigkeit von IT-Infrastrukturen rückt nicht erst mit der seit Januar 2023 veröffentlichten, neuen europäischen DORA-Gesetzgebung immer mehr in den Mittelpunkt der Banken. Aufgrund der zunehmenden Digitalisierung, zusätzlicher Angriffsrisiken und generell einer komplexeren IT-Systemlandschaft rückt die Cyber-Resilienz auch unabhängig von der Regulatorik weiter in den Fokus. Die EZB plant aufsichtlich für 2024 zudem spezifische Stresstests zur Cyberresilienz für die von ihr direkt beaufsichtigten Institute.

Um den Anforderungen gerecht zu werden, rücken neben den nationalen insbesondere auch weltweiten, allgemeinen Standards (bspw. ISO/IEC 270xx für ein ISMS) sowie spezifische Industriestandards bzw. solche von übergreifenden Initiativen (wie bspw. das MITRE Framework zur Klassifizierung von Bedrohungen und Angriffserkennung) in den Fokus der Banken. So können diese darauf basierenden Systeme im Zusammenspiel mit einem Security Information and Event Management (SIEM), angedockt an ein Security Operations Center (SOC) zur Durchführung gezielter Maßnahmen, eine ganzheitliche Betrachtung und einen wichtigen Teilbereich bspw. der IT-Systembezogenen Informationssicherheit abdecken. 

Auf regulatorischer Ebene soll das erste Paket der delegierten DORA-Rechtsakte Mitte Juni 2023 von den europäischen Aufsichtsbehörden EIOPA, EBA, ESMA und den ESAs zur Konsultation gestellt werden. Diese Konsultation läuft bis zum 11. September 2023. Das zweite Paket ist für November/Dezember 2023 angekündigt. Die zeitlichen Eckpunkte stehen bereits fest. So sollen die Rechtsakte des 1. Pakets am 17. Januar 2024 und die des 2. Pakets am 17. Juli 2024 final vorliegen. Alle Anforderungen sind bis zum 17. Januar 2025 umzusetzen bzw. anzuwenden.

Der deutsche Gesetzgeber plant für die DORA-Anwendung ein nationales Begleitgesetz für die den Mitgliedstaaten eingeräumten Optionen und für spezifische Aspekte zur Klarstellung. Dieses soll in Kürze auf den formalen Weg des Gesetzgebungsverfahrens gebracht werden. Neben DORA sollen in diesem Gesetz auch spezifische Aspekte der EU-Regulierung zu Markets in Crypto Assets (MiCA) für Deutschland geregelt werden. 

Wie in DORA generell vorgesehen, ist es für die Mitglieder ganz entscheidend, Handlungsspielräume für die Umsetzung in Abhängigkeit vom jeweiligen Geschäft zu erhalten. Dabei ist die Berücksichtigung von Proportionalität und Verhältnismäßigkeit, u. a. durch die Berücksichtigung von risikobasierten Ansätzen des jeweiligen Instituts, sehr wichtig. 
 

Europäische API-Zugangssysteme eröffnen neue Geschäftsmodelle

In Europa existieren derzeit zwei Initiativen, die den Zugang zu Daten und Diensten von Banken in einem sogenannten Scheme fachlich und rechtlich definieren: giroAPI und SEPA Payment Account Access (SPAA).

 Die Schemes erweitern die Dienste der PSD2. Die Zugriffe können bepreist werden, so dass ein neues Geschäftsmodell für Banken entsteht. Daher begrüßen wir die Initiativen und engagieren uns als VÖB in beiden Schemes, da wir sie als innovativ und zukunftsweisend bewerten.

In der giroAPI sollen sich die Entgelte an Marktpreisen orientieren. Das Kartellamt hat dafür grünes Licht gegeben und setzt nach einer Einführungsphase auf Entgelte, die zwischen Anbietern und Abnehmern ausgehandelte werden. In SPAA sollen die Entgelte kostenbasiert zuzüglich einer Marge kalkuliert werden. Die Berechnung ist wesentlich komplexer als erwartet, da Amortisationszeiten, erwartete Volumina und individuelle Kosten eine enorme Bandbreite an Entgelten zulassen.

Technisch unterscheiden sich beide Schemes: SPAA soll technisch agnostisch sein. Es ist offen, wie unterschiedliche Techniken miteinander interoperieren können. Die giroAPI setzt auf den Standard der Berlin Group, der im Scheme konkretisiert wird, um eine hohe Kompatibilität zu erreichen.

Beide Schemes sollen 2024 in Betrieb gehen. Die giroAPI wird von der DK und SPAA vom European Payment Council (EPC) verwaltet. Erste Institute bereiten sich auf die Teilnahme an der giroAPI vor. Auch bei SPAA laufen die Gespräche über die technische Umsetzung. Im Zusammenspiel mit der FIDA-Regulierung werden entsprechende Zugangssysteme zusätzlich stärkere Bedeutung erlangen, da nur über diese Geschäftsmodelle für die Beteiligten abbildbar sein werden.

Neue Meldeverfahren gegen Steuerbetrug und für Auszahlung von Hilfen

Das Jahressteuergesetz 2022 beschert den Instituten zwei neue Verfahren: Die Meldung von Daten zur Bekämpfung von Mehrwertsteuerbetrug und die Übermittlung von IBAN und Steuer-ID. Die Investitionen und laufenden Kosten für die beiden Verfahren können nicht durch Einnahmen kompensiert werden. Bestenfalls verbessern sie die Kundenbindung.

Die EU-Richtlinie zur Eindämmung des Mehrwertsteuerbetrugs wurde bereits Anfang 2020 verabschiedet und wird mit Artikel 17 des Jahressteuergesetzes 2022 in deutsches Recht umgesetzt. Danach müssen mehr als 25 grenzüberschreitende Zahlungen pro Quartal an einen Empfänger dem Bundeszentralamt für Steuern (BZSt) gemeldet werden. Die Zählweise ist komplex und die Daten müssen elektronisch an das BZSt übermittelt werden. Die Zeit für die Umsetzung in den Instituten drängt, da die Daten ab dem 1. Januar 2024 erhoben und zu Beginn des 2. Quartals 2024 gemeldet werden müssen.

Mit dem Jahressteuergesetz 2022 werden in § 139b Abs. 10 - 13 die Mitteilungspflichten der Abgabenordnung um die Übermittlung von IBAN und Steuer-ID erweitert. Mit der Änderung will der Gesetzgeber die Hilfen schnell und direkt an die Bürger auszahlen können. Daher sollen unter anderem IBAN und Steuer-ID online über ELSTER, Steuerberater oder Kreditinstitute an das BZSt übermittelt werden. Die Institute müssen ihren Kunden dafür eine papierhafte oder Web-Schnittstelle anbieten. Zur Identifikation des Kunden benötigt das BZSt neben der IBAN und der Steuer-ID zusätzlich das Geburtsdatum, den Geburtsort, den Vor- und Nachnamen sowie bei ausländischen Konten den BIC. IBAN und BIC müssen jedoch nicht von Drittinstituten akzeptiert werden. Die Kreditinstitute müssen ihren Kunden diese Schnittstelle voraussichtlich ab Frühjahr 2024 anbieten und die Daten zeitnah an das BZSt übermitteln.