Josefine Spengler, Author at PAYMENT.TECHNOLOGY.LAW.

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement • Teil 1: Überblick über die wichtigsten Neuerungen

4 Minuten

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement 2/2

vonJosefine Spengler
23. Oktober 2025

Die neuen EBA-Leitlinien erweitern das Verständnis von Drittparteienrisiken deutlich. Dieser zweite Teil zeigt, was dies konkret für Banken, Zahlungs- und E-Geldinstitute bedeutet – von neuen organisatorischen Anforderungen bis zur Integration mit DORA. Was sind die größten Herausforderungen und wo ergeben sich Chancen?

LLegal

7 Minuten

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement 1/2

vonJosefine Spengler
9. Oktober 2025

Am 8. Juli 2025 hat die European Banking Authority (EBA) ein neues Konsultationspapier zu den EBA-Leitlinien für das Drittparteienmanagement veröffentlicht. Der Entwurf geht deutlich über die bisherigen Outsourcing Guidelines von 2019 hinaus. Ziel ist die Schaffung eines einheitlichen europäischen Rahmens für das Management von Drittparteienrisiken, der insbesondere mit dem Digital Operational Resilience Act (DORA) abgestimmt ist. Der erste Teil der Analyse beleuchtet die wichtigsten Neuerungen und zentralen Inhalte; eine praxisorientierte Bewertung folgt in Teil 2.

DDatenschutz

Meilenstein im Datenschutz: EuGH zu Pseudonymisierung, Anonymisierung und Transparenzpflichten im Datenschutz 1

4 Minuten

Meilenstein im Datenschutz: EuGH zu Pseudonymisierung, Anonymisierung und Transparenzpflichten im Datenschutz

vonJosefine Spengler
30. September 2025

Der EuGH hat mit Urteil vom 04.09.2025 zentrale Grundsätze des Datenschutzrechts bestätigt: Auch pseudonymisierte und subjektive Daten sind personenbezogen. Die Entscheidung hebt die Transparenzpflichten bei der Weitergabe von Daten hervor – mit klarer Relevanz auch für die DSGVO.

FFinTech

4 Minuten

Cyber Resilience Act: Das unterschätzte Puzzlestück für die Finanz-IT

vonJosefine Spengler
11. September 2025

Digitale Produkte wie Babyphones oder Smartwatches sind aus dem Alltag nicht mehr wegzudenken – doch sie bergen Sicherheitsrisiken, vor allem wenn Hersteller keine Updates bereitstellen. Der neue Cyber Resilience Act (CRA) der EU, in Kraft seit dem 10. Dezember 2024, soll genau das ändern. Was bedeutet das für die Finanzwelt?

FFinTech

Von Onboarding bis Offboarding: Lifecycle-Management von IKT-Drittparteienbeziehungen unter DORA 2

10 Minuten

Von Onboarding bis Offboarding: Lifecycle-Management von IKT-Drittparteienbeziehungen unter DORA

vonJosefine Spengler
28. August 2025

Die DORA Verordnung (EU) 2022/2554 verpflichtet Finanzunternehmen, ihre IKT-Drittanbieterbeziehungen strukturiert über den gesamten Lebenszyklus hinweg zu steuern – von der Auswahl bis zum Exit. Für FinTechs bedeutet das: Ad-hoc-Einkäufe von IT-Services gehören der Vergangenheit an.

DDORA & IT-Sicherheit

4 Minuten

Der neue DORA-RTS SUB ist da!

vonJosefine Spengler,Peter Frey
21. August 2025

Am 02.07.2025 hat die Europäische Kommission den technischen Regulierungsstandard RTS SUB (Delegierte Verordnung (EU) 2025/532) erlassen. Er konkretisiert, welche Anforderungen Finanzinstitute bei der (Sub-)Vergabe von IKT-Dienstleistungen erfüllen müssen, wenn diese kritische oder wichtige Funktionen unterstützen.

DDORA & IT-Sicherheit

NIS2 trifft DORA – Was ändert sich für Finanzunternehmen durch das NIS2UmsuCG? 4

5 Minuten

NIS2 trifft DORA – Was ändert sich für Finanzunternehmen durch das NIS2UmsuCG?

vonJosefine Spengler
12. August 2025

Am 30. Juli 2025 hat die Bundesregierung den Entwurf des NIS2UmsuCG vorgelegt. Damit wird die NIS2-Richtlinie (EU) 2022/2555 in deutsches Recht umgesetzt und das IT-Sicherheitsrecht erweitert. Für den Finanzsektor, der seit dem 17. Januar 2025 der DORA-Verordnung (EU) 2022/2554 unterliegt, stellt sich die Frage: Müssen wir uns noch mit NIS2 befassen – oder sind wir befreit?

PPayTechTalk & Co.

Auf dem Prüfstand: Wie DORA das Resilienz-Testing neu definiert | ALLES LEGAL #105 5

2 Minuten

Auf dem Prüfstand: Wie DORA das Resilienz-Testing neu definiert | ALLES LEGAL #105

vonJosefine Spengler,PayTechLaw-Team
16. Juli 2025

In der sechsten und (vorerst) letzten Folge unserer DORA-Reihe beleuchten wir ein zentrales Element der Verordnung: die verpflichtenden Tests zur digitalen Resilienz. Jetzt reinhören!

PPayTechTalk & Co.

Business Continuity unter DORA | ALLES LEGAL #104 6

2 Minuten

Business Continuity unter DORA | ALLES LEGAL #104

vonJosefine Spengler,PayTechLaw-Team
9. Juli 2025

Was tun, wenn der Cloud-Dienstleister versagt oder ein Cyberangriff die Systeme lahmlegt? In dieser Folge sprechen wir über Business Continuity Management (BCM) und warum es für Banken und Fintechs mit der DORA-Verordnung zur zentralen Pflicht wird. Jetzt reinhören!

PPayTechTalk & Co.

Im Ernstfall zählt jede Minute – was DORA bei einem IT-Vorfall verlangt | ALLES LEGAL #103 7

2 Minuten

Im Ernstfall zählt jede Minute – was DORA bei einem IT-Vorfall verlangt | ALLES LEGAL #103

vonJosefine Spengler
2. Juli 2025

Wenn Systeme ausfallen oder ein Cyberangriff stattfindet, kommt es auf jede Minute an. In Folge 103 von „Alles Legal – Fintech-Recht kompakt“ erklärt Josefine Spengler, wie Unternehmen auf schwerwiegende IT-Zwischenfälle reagieren müssen – und welche Meldefristen DORA vorgibt. Jetzt reinhören!

PPayTechTalk & Co.

Digitale Resilienz ist Chefsache | ALLES LEGAL #102 8

2 Minuten

Digitale Resilienz ist Chefsache | ALLES LEGAL #102

vonJosefine Spengler
25. Juni 2025

In dieser Folge erläutert Josefine Spengler, welche konkreten Anforderungen der Digital Operational Resilience Act (DORA) an das IKT-Risikomanagement stellt – und warum digitale Resilienz künftig zur Aufgabe der Geschäftsleitung gehört.

PPayTechTalk & Co.

Was DORA beim IT-Einkauf verlangt | ALLES LEGAL #101 9

2 Minuten

Was DORA beim IT-Einkauf verlangt | ALLES LEGAL #101

vonJosefine Spengler
18. Juni 2025

In dieser Folge erklärt Josefine Spengler, Rechtsanwältin bei Annerton, worauf Finanzunternehmen beim Einkauf von IT-Dienstleistungen künftig achten müssen. Der Digital Operational Resilience Act (DORA) verpflichtet Unternehmen, externe IKT-Dienstleistungen systematisch zu erfassen, zu bewerten und zu überwachen – von Cloud-Services über Telekommunikation bis hin zur Hardwarebereitstellung.

PPayTechTalk & Co.

2 Minuten

DORA: Einstieg in die digitale Resilienz für Finanzunternehmen | ALLES LEGAL #100

vonJosefine Spengler
11. Juni 2025

In dieser Podcastfolge geht es um den neuen EU-Rechtsrahmen DORA (Digital Operational Resilience Act), der alle regulierten Finanzunternehmen betrifft – vom FinTech über Zahlungsdienstleister bis hin zur Großbank. Mit DORA wird erstmals verbindlich geregelt, wie Finanzunternehmen ihre digitale Widerstandsfähigkeit stärken müssen.

FFinTech

Quo vadis, Finanzbranche? DORA wird wirksam 10

7 Minuten

Quo vadis, Finanzbranche? DORA wird wirksam

vonJosefine Spengler,Svetlana Ulrici
17. Januar 2025

Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) ist ein…