DDatenschutz

Datenschutz im Zahlungsverkehr – Rechtliche Grundlagen und Besonderheiten

Datenschutz im Zahlungsverkehr – Rechtliche Grundlagen und Besonderheiten Data Protection in Payment Services – Legal Framework and Key Particularities
Photo: NongAsimo – Adobestock
0
Shares
0
0
0
0
0
0

I. Einleitung

Open Banking, Echtzeitzahlungen, digitale Wallets -die Modernisierung des Zahlungsverkehrs bringt nicht nur neue Geschäftsmodelle, sondern auch neue datenschutzrechtliche Herausforderungen mit sich. Neue Akteure wie Payment Initiation Services (PISP) und Account Information Service Provider (AISP) werfen die Frage auf, wer für welche Daten datenschutzrechtlich verantwortlich ist.

Für Zahlungsdienstleister entsteht ein komplexes Spannungsfeld: Einerseits erfordert eine reibungslose Zahlungsabwicklung die Verarbeitung sensibler Kundendaten in Echtzeit und über Unternehmensgrenzen hinweg. Andererseits unterliegt genau diese Verarbeitung einem dichten Regelwerk aus der Datenschutzgrundverordnung (DSGVO), der Payment Services Directive 2 (PSD2) und dem Zahlungsdiensteaufsichtsgesetz (ZAG) -Rechtsquellen, die sich nicht immer widerspruchsfrei zueinander verhalten. Hinzu kommen aufsichtsrechtliche Pflichten nach dem GwG, die eigenständige Datenverarbeitungen zwingend erfordern.

Dieser Beitrag beleuchtet die wichtigsten datenschutzrechtlichen Grundlagen im Zahlungsverkehr: vom Begriff der Zahlungsdaten über das Verhältnis der einschlägigen Rechtsquellen bis hin zur Rollenverteilung zwischen den beteiligten Akteuren.

II. Besonderheiten von Zahlungsdaten

IBAN, Kontoinhaber, Transaktionsbetrag, Buchungsdatum, Verwendungszweck, Zahlungsempfänger -all das sind personenbezogene Daten i.S.d. Art. 4 Nr. 1 DSGVO. Im Online-Banking-Kontext kommen personalisierte Sicherheitsmerkmale wie PINs und TANs sowie Gerätedaten zur starken Kundenauthentifizierung hinzu. Fast alles, was bei einer Zahlung anfällt, ist datenschutzrechtlich relevant.

Der Katalog besonderer Kategorien personenbezogener Daten in Art. 9 Abs. 1 DSGVO erfasst Zahlungsdaten jedoch nicht. Daraus darf aber nicht der Schluss gezogen werden, dass es sich hier nicht um sensible Daten handelt. Die eigentliche Gefahr liegt nämlich nicht im einzelnen Datenpunkt, sondern in der Kombination: Wer regelmäßig Transaktionsdaten auswertet, kann präzise Rückschlüsse auf Lebensgewohnheiten, Konsumverhalten und wirtschaftliche Lage ziehen -genau die persönlichen Aspekte, die das Profiling nach Art. 4 Nr. 4 DSGVO erfasst. Überweisungen an Arztpraxen, religiöse Einrichtungen oder politische Parteien können zudem mittelbar auf Kategorien des Art. 9 Abs. 1 DSGVO schließen lassen, ohne formell unter diesen Katalog zu fallen.

Von den besonderen Kategorien personenbezogener Daten abzugrenzen sind die sensiblen Zahlungsdaten nach Art. 4 Nr. 32 PSD2 bzw. § 1 Abs. 26 ZAG. Darunter fallen Daten -einschließlich personalisierter Sicherheitsmerkmale —, die für betrügerische Handlungen verwendet werden können. Beide Kategorien verfolgen einen unterschiedlichen Schutzzweck: Während Art. 9 DSGVO den Schutz vor Persönlichkeitsverletzungen bezweckt, zielt § 1 Abs. 26 ZAG auf die Verhinderung von Missbrauch im Zahlungsverkehr. Konzeptionell sind sie daher voneinander zu trennen, auch wenn sich im Einzelfall -etwa beim Einsatz biometrischer Authentifizierungsmerkmale -Überschneidungen ergeben können.

Zahlungsdaten sind damit in einer datenschutzrechtlichen Zwischenkategorie angesiedelt: Sie unterfallen dem allgemeinen Regime der Art. 5 und 6 DSGVO und sind keine besonderen Kategorien i.S.d. Art. 9 Abs. 1 DSGVO. Gleichwohl kann Art. 9 DSGVO mittelbar eingreifen, sobald aus Transaktionsdaten Rückschlüsse auf die dort genannten Kategorien möglich sind. Daneben genießen Zahlungsdaten sektorspezifischen Schutz -insbesondere durch den Zustimmungsvorbehalt des Art. 94 Abs. 2 PSD2.

III. Rechtliche Grundlagen der Datenverarbeitung

Ein eigenständiges Finanzdatenschutzrecht existiert nicht. Der datenschutzrechtliche Rahmen für Zahlungsdienstleister ergibt sich vielmehr aus dem Zusammenspiel dreier Regelungsebenen: der DSGVO, der PSD2 als sektorspezifischer Unionsrichtlinie sowie dem ZAG als deren nationales Umsetzungsgesetz.

1. Zusammenspiel von ZAG, PSD2 und DSGVO

Die DSGVO ist als unmittelbar anwendbare EU-Verordnung in allen Mitgliedstaaten verbindlich und bildet den datenschutzrechtlichen Rahmen für jede Verarbeitung personenbezogener Daten. Sie liefert die Erlaubnistatbestände des Art. 6 Abs. 1 DSGVO, die allgemeinen Verarbeitungsgrundsätze nach Art. 5 DSGVO sowie die Betroffenenrechte. Die PSD2 ist demgegenüber eine EU-Richtlinie, die nicht unmittelbar gilt, sondern der Umsetzung in nationales Recht bedarf -in Deutschland durch das ZAG. Sie konkretisiert den DSGVO-Rahmen sektorspezifisch: Erwägungsgrund 89 PSD2 verlangt die Angabe konkreter Verarbeitungszwecke sowie die Einhaltung der Grundsätze der Notwendigkeit, Zweckbindung und Datensparsamkeit. Art. 66 Abs. 3 lit. g PSD2 normiert für Zahlungsauslösedienste ein striktes Zweckbindungsgebot. Die datenschutzrechtliche Kernregelung der PSD2 findet sich in Art. 94, der durch § 59 ZAG in deutsches Recht überführt wird und sowohl eine Erlaubnisnorm zur Betrugsprävention als auch ein ausdrückliches Zustimmungserfordernis des Zahlungsdienstnutzer für Verarbeitungen der für das Erbringen der Zahlungsdienste notwendigen personenbezogenen Daten enthält.

2. Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO

a. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die naheliegendste Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO: Die Verarbeitung ist erlaubt, soweit sie zur Erfüllung des Zahlungsdienstevertrags objektiv erforderlich ist -etwa die Verarbeitung von IBAN, Betrag und Verwendungszweck. Der EuGH legt den Begriff der Erforderlichkeit eng aus: Die Verarbeitung muss „objektiv unerlässlich“ sein, um einen Zweck zu verwirklichen, der notwendiger Bestandteil der bestimmten Vertragsleistung ist, so dass der Hauptgegenstand des Vertrags ohne diese Verarbeitung nicht erfüllt werden kann. Für die Ausgabenanalysen greift Art. 6 Abs. 1 lit. b DSGVO daher nicht, soweit sie nicht objektiv zur Erfüllung der vertraglich geschuldeten Kernleistung (z.B. Ausführung des Zahlungstransfers) erforderlich sind, sondern nicht abwählbare Komfort- oder Mehrwertfunktionen darstellen. Anders liegt der Fall, wenn die Ausgabenanalyse selbst als eigenständige Hauptleistung vertraglich vereinbart ist (etwa als separat buchbares Dienstleistungsmodul eines Zahlungsdienstleisters oder eines Kontoinformations- bzw. Zahlungsauslösedienstes). Im letzteren Fall kann die hierfür erforderliche Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Die Darlegungs- und Beweislast für die Erforderlichkeit für die Vertragserfüllung trägt nach Art. 5 Abs. 2 DSGVO der Verantwortliche.

b. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Eine weitere Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. c DSGVO, der die Verarbeitung personenbezogener Daten erlaubt, soweit sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist. Zahlungsdienstleister unterliegen einer Vielzahl gesetzlicher Pflichten, die eigenständige Datenverarbeitungen erfordern: Identifizierungspflichten und Transaktionsüberwachung nach dem GwG, steuerrechtliche Aufbewahrungspflichten sowie aufsichtsrechtliche Meldepflichten nach dem ZAG. Gemeint sind Verpflichtungen kraft objektiven Rechts, Daten zu verarbeiten -nicht vertraglich begründete Pflichten.

c. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Art. 6 Abs. 1 lit. f DSGVO setzt nach ständiger EuGH-Rechtsprechung drei kumulative Voraussetzungen voraus: ein berechtigtes Interesse, die Erforderlichkeit der Verarbeitung und kein Überwiegen der Betroffeneninteressen. Im Zahlungsverkehr kommt diese Rechtsgrundlage vor allem für Fraud-Prevention-Maßnahmen in Betracht – ErwG 47 DSGVO erkennt Betrugsprävention ausdrücklich als berechtigtes Interesse an. Für Analysen und Zusatzdienste kommt es auf den konkreten Verarbeitungszweck und die Interessenabwägung im Einzelfall an; entscheidend ist auch, ob die betroffene Person vernünftigerweise mit der Verarbeitung rechnen musste. Stets ist der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO mitzuprüfen.

3. Spezifische Vorschriften nach ZAG und PSD2

Die datenschutzrechtliche Kernregelung des Zahlungsdiensterechts findet sich in Art. 94 PSD2, umgesetzt durch § 59 ZAG. § 59 Abs. 1 ZAG gestattet Zahlungssystemen und Zahlungsdienstleistern die Verarbeitung personenbezogener Daten, soweit dies zur Verhütung, Ermittlung und Feststellung von Betrugsfällen im Zahlungsverkehr notwendig ist. Die Norm stellt eine sektorspezifische Erlaubnisnorm dar; ihre Einordnung im DSGVO-Gefüge -als Konkretisierung des Art. 6 Abs. 1 lit. e, c oder als Ausprägung des berechtigten Interesses nach Art. 6 Abs. 1 lit. f -ist bislang nicht höchstrichterlich geklärt. Empfehlenswert ist daher eine Dokumentation, die beiden Anforderungen gerecht wird.

Für darüber hinausgehende Verarbeitungen normiert § 59 Abs. 2 ZAG ein ausdrückliches Zustimmungserfordernis: Zahlungsdienstleister dürfen die für die Erbringung ihrer Dienste notwendigen personenbezogenen Daten nur mit ausdrücklicher Zustimmung des Nutzers abrufen, verarbeiten und speichern. Wörtlich verstanden würde diese Regelung die einwilligungsfreien Erlaubnistatbestände der DSGVO im Zahlungsverkehr weitgehend leerlaufen lassen. Der EDPB hat jedoch in seinen Leitlinien klargestellt, dass Art. 94 Abs. 2 PSD2 nicht als zusätzliche Rechtsgrundlage neben dem abschließenden Katalog des Art. 6 Abs. 1 DSGVO zu verstehen ist, sondern als zusätzliche vertraglich zu verankernde Transparenzanforderung. Rechtsgrundlage für die Datenverarbeitung bleibt demnach Art. 6 Abs. 1 lit. b DSGVO.

4. Ausblick: PSD3 und Payment Services Regulation (PSR)

Die laufenden Gesetzgebungsarbeiten zu PSD3 und PSR bringen datenschutzrechtlich eine wesentliche materielle Änderung. Sie betrifft die Verarbeitung besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO im Zahlungsverkehr. Art. 9 Abs. 1 DSGVO stellt den Grundsatz auf, dass die Verarbeitung besonderer Datenkategorien vorbehaltlich der in Art. 9 Abs. 2 DSGVO vorgesehenen Ausnahmen untersagt ist. Der PSR-Entwurf schafft erstmals eine sektorspezifische Erlaubnis im Sinne des Art. 9 Abs. 2 lit. g für die Verarbeitung besonderer Datenkategorien im Zahlungsverkehr (Art. 80 PSR‑Entwurf) und schließt damit eine der größten praktischen Lücken des geltenden Rechts -bislang mussten Zahlungsdienstleister für die strukturell unvermeidliche Mitverarbeitung solcher Daten auf eine kaum handhabbare Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO zurückgreifen. An der Notwendigkeit, zusätzlich eine Rechtsgrundlage nach Art. 6 DSGVO nachzuweisen, ändert sich hingegen nichts.

Als Verordnung wäre die PSR unmittelbar anwendbares Unionsrecht und könnte -anders als die PSD3, die nationalen Umsetzungsspielraum beinhalten würde -eine europaweit einheitliche Regelung schaffen. Ob und in welcher Form diese Regelungen Eingang in den finalen Text finden, bleibt dem Ausgang des noch laufenden Gesetzgebungsverfahrens vorbehalten.

IV. Datenschutzrechtliche Rollen und Verantwortlichkeiten

1. Grundsätzliche Rollen nach der DSGVO

Verantwortlicher ist nach Art. 4 Nr. 7 DSGVO, wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Entscheidend ist die tatsächliche Entscheidungsbefugnis -nicht die formelle Vertragsbezeichnung. Abzugrenzen ist der Auftragsverarbeiter, der keine eigenen Zwecke verfolgt und den Weisungen des Verantwortlichen unterliegt (Art. 28 Abs. 3 lit. a DSGVO). Soweit er unter Verstoß gegen die DSGVO eigene Interessen an der Datenverarbeitung entwickelt, wird er nach Art. 28 Abs. 10 DSGVO selbst zum Verantwortlichen.

Gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 S. 1 DSGVO setzt voraus, dass zwei oder mehr Stellen gemeinsam über Zwecke und Mittel der Verarbeitung entscheiden -sei es durch eine gemeinsam getroffene Entscheidung oder durch konvergierende Einzelentscheidungen mehrerer Stellen, sofern sich diese gegenseitig ergänzen und spürbare Auswirkungen auf die Bestimmung von Zwecken und Mitteln haben. Entscheidend ist, dass die Verarbeitung ohne die Beteiligung beider Parteien nicht möglich wäre.

2. Typische Akteure und ihre Rolle

Die Hauptakteure im gewerblichen Zahlungsverkehr -PSP, kontoführende Institute, PISP, AISP, technische Dienstleister und Zahler und Zahlungsempfänger (in der Regel Händler) -sind in § 1 ZAG definiert. Die datenschutzrechtliche Einordnung ist dabei nicht statisch, sondern richtet sich nach der jeweiligen Verarbeitungsphase und dem tatsächlichen Einfluss auf Zwecke und Mittel der Verarbeitung.

Für PISP und AISP gilt nach den EDPB-Guidelines 06/2020 eine zweistufige Betrachtung: Im Zeitpunkt des initialen Datenzugriffs auf die Kontodaten besteht in der Regel gemeinsame Verantwortlichkeit mit dem kontoführenden Institut nach Art. 26 DSGVO. Für die nachgelagerte Verarbeitung in der eigenen Sphäre – etwa die Weiterverarbeitung von Kontoinformationen für eigene Dienste – sind PISP und AISP hingegen als alleinige Verantwortliche einzustufen.

Für technische Dienstleister gilt, dass eine pauschale Einordnung als Auftragsverarbeiter nicht in allen Konstellationen trägt: Soweit sie an der Authentifizierung oder Autorisierung von Zahlungsvorgängen beteiligt sind und dabei eigene gesetzlich definierte Pflichten erfüllen, können sie insoweit partiell als Verantwortliche zu qualifizieren sein. Die nachfolgende Übersicht dient insoweit lediglich als erste Orientierungshilfe. Die datenschutzrechtliche Rollenverteilung ist stets anhand der konkreten tatsächlichen und rechtlichen Ausgestaltung des jeweiligen Leistungsmodells im Einzelfall zu beurteilen. Insbesondere die Abgrenzung zwischen (partieller) Verantwortlichkeit und Auftragsverarbeitung erfordert eine eingehende Einzelfallprüfung unter Berücksichtigung der jeweiligen Einfluss-, Entscheidungs- und Pflichtenkreise der beteiligten Parteien

Akteur Typische Rolle 
Kontoführendes Institut Verantwortlicher
PSP (für eigene Pflichten) Verantwortlicher
PISP / AISP beim initialen Datenzugriff  Ggfs. gemeinsam Verantwortlicher mit kontoführendem Institut (Art. 26 DSGVO)

 
PISP / AISP für nachgelagerte Verarbeitung Alleiniger Verantwortlicher
Technischer Dienstleister (ohne eigene Zwecke oder gesetzliche Pflichten) Auftragsverarbeiter
Händler als Zahlungsempfänger Verantwortlicher (für eigene Verarbeitung)

 
Mehrparteienmodelle Jeder alleiniger Verantwortlicher oder gemeinsam Verantwortliche nach Art. 26 DSGVO

3. Praktische Abgrenzungsprobleme und Rechtsfolgen

Eine häufige Fehlannahme ist die automatische Einordnung von Zahlungsdienstleistern als Auftragsverarbeiter, etwa mit der Begründung, sie leiteten Daten lediglich „durch“. Diese Einordnung verkennt, dass Zahlungsdienstleister über eigene gesetzliche Pflichten nach GwG und ZAG verfügen, die sie unabhängig von Weisungen erfüllen müssen -und damit selbst über Zweck und Mittel der Verarbeitung entscheiden. Besonders herausfordernd sind Open-Banking-Strukturen und Mehrparteienmodelle, in denen mehrere Akteure auf dieselben Transaktionsdaten zugreifen. Maßgeblich ist stets der tatsächliche Einfluss -nicht die formale Vertragsgestaltung.

Die Bestimmung der datenschutzrechtlichen Rolle entscheidet unmittelbar über Pflichten und Haftung. Der Verantwortliche trägt die umfassende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und haftet gegenüber Betroffenen nach Art. 82 DSGVO auch für das Handeln des Auftragsverarbeiters; er unterliegt zudem einer dauerhaften Auswahl- und Überwachungspflicht nach Art. 28 Abs. 1 DSGVO. Bei gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO müssen die Beteiligten ihre jeweiligen datenschutzrechtlichen Pflichten -insbesondere hinsichtlich der Informationspflichten nach Art. 13, 14 DSGVO und Erfüllung der Betroffenenrechte -vertraglich festlegen. Im Schadensfall haften alle Beteiligten nach Art. 82 Abs. 4 DSGVO gesamtschuldnerisch.

V. Fazit

Der Datenschutz im Zahlungsverkehr ergibt sich aus dem Zusammenspiel von DSGVO, PSD2 und ZAG, die jeweils unterschiedliche Regelungszwecke verfolgen, sich aber gegenseitig ergänzen.

Zahlungsdaten sind zwar keine besonderen Kategorien i.S.d. Art. 9 Abs. 1 DSGVO, können jedoch durch ihre Kombination und Auswertung mittelbar Rückschlüsse auf besonders schutzwürdige Lebensbereiche ermöglichen. Die Wahl der richtigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO richtet sich nach dem jeweiligen Verarbeitungszweck; ebenso wie sich die datenschutzrechtliche Rollenverteilung zwischen Verantwortlichen, gemeinsam Verantwortlichen und Auftragsverarbeitern nach den tatsächlichen Verarbeitungsverhältnissen bestimmt. Letztere hat unmittelbare Auswirkungen auf die Pflichten nach Art. 26 und Art. 28 DSGVO sowie auf die Haftung nach Art. 82 DSGVO. Eine Einordnung, die sich allein an vertraglichen Gestaltungen orientiert, ohne die wirtschaftliche Realität zu berücksichtigen, wird diesen Anforderungen nicht gerecht.

Mit den laufenden Gesetzgebungsarbeiten zu PSD3 und PSR steht zudem eine Neujustierung des regulatorischen Rahmens bevor -insbesondere die geplante sektorspezifische Erlaubnis für die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO könnte bestehende Rechtsunsicherheiten beseitigen, sofern sie Eingang in den finalen Text findet.

0
0

Josefine Spengler ist Rechtsanwältin und Fachanwältin für IT-Recht im Berliner Büro von Annerton. Sie verfügt über langjährige Inhouse-Erfahrung als Head of Legal und Datenschutzbeauftragte bei einem Payment Service Provider. Als Expertin im IT- und FinTech-Segment berät Josefine Spengler nationale und internationale Mandanten in allen Fragen an der Schnittstelle zwischen Regulierungsrecht und IT-Recht sowie zu Compliance- und AML-Themen. Josefine Spengler ist regelmäßig Referentin bei Veranstaltungen zum IT-Recht und zu regulatorischen Anforderungen an die IT von Finanzunternehmen.

Svetlana ist Rechtsanwältin bei der Annerton Rechtsanwaltsgesellschaft mbH. Sie berät nationale und internationale FinTech-Unternehmen sowie Finanzdienstleistungsinstitute in Fragestellungen des IT- und Datenschutzrechts sowie im gewerblichen Rechtsschutz. Ihre Beratungsschwerpunkte liegen im Bereich Outsourcing, IT-rechtlicher Vertragsgestaltung sowie bei den regulatorischen Anforderungen an die Zahlungsdienstleister im Schnittstellenbereich des IT-, Datenschutz- und Finanzaufsichtsrechts.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
BBanking
BRUBEG – Noch strengere Regulierung für M&A Transaktionen im Bankensektor
Weiterlesen
  • 4 Minuten

BRUBEG – Noch strengere Regulierung für M&A Transaktionen im Bankensektor

Das BRUBEG erweitert die aufsichtsrechtlichen Anforderungen für M&A-Transaktionen und Reorganisationen im Bankensektor erheblich. Neben neuen Genehmigungspflichten für den Erwerb wesentlicher Beteiligungen werden künftig auch Verschmelzungen, Spaltungen und bestimmte Asset Deals einer formellen aufsichtsrechtlichen Kontrolle unterworfen.
Weiterlesen
BBitcoin & Kryptowährungen
MiCAR trifft PSD2: Warum E-Geld-Token plötzlich doppelt reguliert werden | ALLES LEGAL #138
Weiterlesen
  • 2 Minuten

MiCAR trifft PSD2: Warum E-Geld-Token plötzlich doppelt reguliert werden | ALLES LEGAL #138

Seit dem Ende der EBA-Übergangsphase im März 2026 müssen viele Kryptowerte-Dienstleister prüfen, ob neben der MiCAR auch eine PSD2- beziehungsweise ZAG-Lizenz erforderlich ist. In dieser Folge erklärt Kemal Ahmedi, warum sich Krypto- und Zahlungsdiensterecht überschneiden und welche Folgen das für Geschäftsmodelle und Lizenzstrategien hat.
Weiterlesen
RRegulatory
Der Bafin-Jahresbericht 2025: Zwischen Cyber-Resilienz, Geldwäscheprävention und dem Blick nach Europa The BaFin Annual Report 2025: Between Cyber Resilience, Anti-Money Laundering and a European Perspective
Weiterlesen
  • 5 Minuten

Der Bafin-Jahresbericht 2025: Zwischen Cyber-Resilienz, Geldwäscheprävention und dem Blick nach Europa

Der BaFin-Jahresbericht 2025 zeigt einen tiefgreifenden Wandel der Finanzaufsicht. Neben Cyber-Resilienz, DORA und ESG-Regulierung rücken insbesondere datenbasierte Aufsicht, Geldwäscheprävention und eine stärkere europäische Harmonisierung in den Fokus. Gleichzeitig wachsen die Anforderungen an Governance, IT-Strukturen und persönliche Verantwortung von Geschäftsleitern.
Weiterlesen