REGULATORIK NEWSLETTER
19.08.2025 | Bank- und Prozessrecht
REGULATORIK NEWSLETTER
Die Themen:
- Umsetzung der Verbraucherkreditrichtlinie (EU) 2023/2225 (CCD2): Neuer Ordnungsrahmen für Kreditvergabe an Verbraucher
- Nachhaltigkeit wird zur Pflicht – was die CSRD für Unternehmen bedeutet
- 9 Abs. 2 DORA: „Encryption in Use“
- NIS-2-Umsetzung: Neue Pflichten für Unternehmen
- Die FiDA-Verordnung – Neue EU-Vorgaben für den sektorübergreifenden Zugang zu Finanzdaten
Umsetzung der Verbraucherkreditrichtlinie (EU) 2023/2225 (CCD2): Neuer Ordnungsrahmen für Kreditvergabe an Verbraucher
Mit der am 20. November 2023 in Kraft getretenen Richtlinie (EU) 2023/2225 (CCD2) hat der europäische Gesetzgeber den rechtlichen Rahmen für Verbraucherkreditverträge grundlegend überarbeitet. Die Umsetzungsfrist für die Mitgliedstaaten läuft bis zum 20. November 2025; die neuen Regelungen sind ab dem 20. November 2026 unionsweit anzuwenden. Ziel ist die umfassende Harmonisierung des Verbraucherschutzes im Kreditwesen – unter Berücksichtigung digitaler Entwicklungen und neuer Geschäftsmodelle wie etwa „Buy Now Pay Later“ (BNPL).
Der vom Bundesministerium der Justiz im Juni 2025 vorgelegte Referentenentwurf sieht tiefgreifende Änderungen des deutschen Rechts vor.
Zunächst wird der sachliche Anwendungsbereich in § 491 Abs. 2 BGB-E erheblich erweitert. Künftig unterliegen auch bislang ausgenommene Kreditformen – wie z.B. unentgeltliche Kleinkredite, kurzfristige Finanzierungshilfen sowie Zahlungsaufschübe im Rahmen von BNPL-Angeboten – den Verbraucherschutzvorgaben der §§ 491 ff. BGB. Gleichzeitig entfallen die bislang geltenden betragsmäßigen Ausnahmen (§ 491 Abs. 2 BGB a.F.), sodass sämtliche Verbraucherdarlehensverträge, unabhängig vom Kreditbetrag, erfasst werden.
Die Neufassung des § 505b BGB-E regelt die Anforderungen an die Kreditwürdigkeitsprüfung. Danach ist der Darlehensgeber verpflichtet, vor Abschluss eines Verbraucherdarlehensvertrags eine eigenverantwortliche Bewertung der Rückzahlungsfähigkeit des Verbrauchers vorzunehmen – erforderlichenfalls unter Heranziehung externer Datenbanken. Die Beurteilung muss sich auf hinreichende Informationen stützen und ein positives Ergebnis zur Rückzahlungswahrscheinlichkeit ermöglichen. Die erforderliche Prüftiefe ist dabei abhängig von Art, Laufzeit, Höhe und Risiko des Darlehens. Wird ein Darlehen abgelehnt, so besteht gemäß § 505a Abs. 2 BGB-E im Falle eines Allgemein-Verbraucherdarlehensvertrags eine Mitteilungspflicht gegenüber dem Verbraucher, die auch einen Hinweis auf eine Schuldnerberatung umfassen kann.
- 30 Absatz 6 BDSG-E räumt Darlehensnehmerinnen und Darlehensnehmern darüber hinaus das Recht ein, anstelle einer ausschließlich automatisierten Datenverarbeitung bei der Kreditwürdigkeitsprüfung eine Entscheidung durch eine natürliche Person zu verlangen. Im Zusammenhang mit den hierfür herangezogenen Datenbanken wird zudem ein verstärkter Schutz personenbezogener Daten, insbesondere solcher aus sozialen Netzwerken, gewährleistet.
Im Bereich der Formvorgaben sieht § 492 Abs. 1 BGB-E eine Flexibilisierung vor: Künftig genügt regelmäßig die Textform für den Abschluss eines Allgemein-Verbraucherdarlehensvertrags. Die bisherige Schriftform nebst qualifizierter elektronischer Signatur wird damit entbehrlich – mit Ausnahme von Immobiliar-Verbraucherdarlehensverträgen.
Die im Zusammenhang mit dem Abschluss eines Allgemein-Verbraucherdarlehensvertrags zu erbringenden Beratungsleistungen werden in den Anwendungsbereich des § 511 BGB einbezogen, entsprechend den bereits für Immobiliar-Verbraucherdarlehensverträge bestehenden Vorgaben. Vor Erbringung der Beratungsleistungen hat der Darlehensgeber den Darlehensnehmer über die in § 511 BGB-E sowie in Artikel 247 § 18 EGBGB-E vorgesehenen Einzelheiten zu unterrichten.
Das Widerrufsrecht des Darlehensnehmers erlischt gemäß § 356b Abs. 2 Satz 5 BGB-E spätestens zwölf Monate und 14 Tage nach Vertragsschluss, sofern der Verbraucher ordnungsgemäß über sein Widerrufsrecht belehrt wurde. Die bislang in Rechtsprechung und Praxis relevante Figur des „ewigen Widerrufs“ soll hierdurch unionsrechtskonform beseitigt werden und Rechtssicherheit geschaffen werden.
Kündigt der Darlehensgeber eine eingeräumte Überziehungsmöglichkeit oder die Duldung von Überziehungen ganz oder teilweise, so hat er den Darlehensnehmer hierüber mindestens 30 Tage vor dem Wirksamwerden der Kündigung gemäß den §§ 504 und 505 BGB-E zu informieren. Zudem ist der Darlehensgeber nach Maßgabe der §§ 504 und 505 BGB-E verpflichtet, dem Darlehensnehmer vor Einleitung eines Zwangsvollstreckungsverfahrens infolge der Kündigung die Möglichkeit einzuräumen, die in Anspruch genommene und gekündigte Überziehungsmöglichkeit oder geduldete Überziehung in zwölf Monatsraten zu dem vereinbarten Sollzinssatz zurückzuführen.
- 497a BGB-E normiert erstmals zivilrechtlich geregelte Nachsichtspflichten. Kreditgeber sollen im Falle eines Zahlungsverzugs verpflichtet sein, angemessene Unterstützungsmaßnahmen zu prüfen, etwa in Form von Stundungen, Laufzeitverlängerungen oder Umschuldungen.
Erwähnenswert ist ferner das in § 492a Abs. 1 BGB-E verankerte Verbot bestimmter Kopplungsgeschäfte. Danach dürfen Verbraucherdarlehen grundsätzlich nicht an den Abschluss zusätzlicher Verträge – etwa Versicherungen – gebunden werden. Nur in begrenzten Ausnahmefällen darf der Abschluss eines Allgemein-Verbraucherdarlehensvertrages von der Führung eines Zahlungs- oder Sparkontos abhängig gemacht werden. Dadurch soll insbesondere gewährleistet werden, dass weiterhin Vertragsmodelle ermöglicht werden, die im besonderen Interesse der Verbraucherinnen und Verbraucher liegen, wie etwa der Abschluss von Bausparverträgen.
Abschließend lässt sich festhalten, dass die Umsetzung der CCD2 zu einer erheblichen Ausweitung und Verfeinerung der verbraucherschützenden Normen im Darlehensvertragsrecht führt. Der vorliegende Entwurf zeigt sich im Grundsatz systematisch konsistent, lässt jedoch in sensiblen Bereichen – etwa bei der Handhabung automatisierter Verfahren – noch Auslegungs- und ggf. Regelungsspielraum. Kreditinstitute sind gut beraten, ihre internen Prozesse, Governance-Strukturen und digitalen Entscheidungssysteme an die neuen Anforderungen anzupassen.
Larissa Normann, Frankfurt am Main
Nachhaltigkeit wird zur Pflicht – was die CSRD für Unternehmen bedeutet
Referentenentwurf vom 10. Juli 2025 zur Umsetzung der Richtlinie (EU) 2022/2464
Das Bundesministerium der Justiz und für Verbraucherschutz hat am 10. Juli 2025 einen neuen Gesetzesentwurf veröffentlicht, mit dem die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (RL (EU) 2022/2464) von Unternehmen in das deutsche Recht umgesetzt werden soll
Ab dem Geschäftsjahr 2025 stehen demnach viele Unternehmen in der EU vor einer grundlegenden Veränderung in ihrer Berichterstattung: Die neue Corporate Sustainability Reporting Directive (CSRD) verpflichtet sie dazu, deutlich umfassender und standardisierter über Umwelt-, Sozial- und Governance-Themen (ESG) zu berichten als bisher. Damit rückt das Thema Nachhaltigkeit endgültig auf Augenhöhe mit der klassischen Finanzberichterstattung – nicht nur als freiwillige Maßnahme, sondern als regulatorische Pflicht.
Betroffen sind künftig nicht nur große kapitalmarktorientierte Unternehmen, sondern auch zahlreiche andere Unternehmen, die bislang nicht berichtspflichtig waren. Die Berichtspflicht gilt gestaffelt: Ab dem Geschäftsjahr 2025 sind zunächst alle großen Unternehmen in der EU berichtspflichtig, die bereits unter die bisherige Non-Financial Reporting Directive (NFRD) fielen. Das sind in der Regel börsennotierte Unternehmen mit mehr als 500 Beschäftigten im Jahresdurchschnitt. Auch große Kreditinstitute und Versicherungsunternehmen sind erfasst – unabhängig davon, ob sie börsennotiert sind –, sofern sie die Mitarbeitendenschwelle überschreiten. In der zweiten Stufe, ursprünglich ab 2026 vorgesehen, wären alle großen Unternehmen mit mehr als 250 Mitarbeitenden, über 25 Millionen Euro Bilanzsumme oder 50 Millionen Euro Umsatz berichtspflichtig geworden. Aufgrund der sogenannten Stop-the-Clock-Richtlinie auf EU-Ebene wird dieser Termin nun voraussichtlich auf 2027 verschoben. Eine weitere Stufe betrifft börsennotierte kleine und mittlere Unternehmen (KMU), für die die Berichtspflicht nun frühestens ab 2028 greifen soll.
Insgesamt wird der Kreis der verpflichteten Unternehmen in Deutschland von derzeit rund 500 auf etwa 15.000 bis 16.000 wachsen. Zusätzlich entsteht eine indirekte Berichtspflicht für viele kleinere Unternehmen, etwa als Zulieferer von berichtspflichtigen Konzernen, die Nachhaltigkeitsdaten entlang der Lieferkette benötigen.
Im Fokus der Berichterstattung stehen künftig nicht nur die Auswirkungen von ESG-Faktoren auf das Unternehmen selbst, sondern auch der Einfluss des Unternehmens auf Umwelt und Gesellschaft – ein Prinzip, das als „doppelte Wesentlichkeit“ bezeichnet wird. Die Inhalte orientieren sich an den neuen European Sustainability Reporting Standards (ESRS), die eine detaillierte und vergleichbare Berichterstattung ermöglichen sollen. Dazu gehören unter anderem Angaben zu CO₂-Emissionen, Klimarisiken, Ressourcenverbrauch, Arbeitsbedingungen, Diversität, Menschenrechten, Governance-Strukturen und internen Kontrollmechanismen.
Die Umsetzung der CSRD stellt Unternehmen vor erhebliche Herausforderungen – insbesondere im Hinblick auf Datenmanagement, Prozesse und Verantwortlichkeiten. ESG-Daten müssen künftig nicht nur systematisch erfasst und aufbereitet werden, sondern auch den Anforderungen einer externen Prüfung standhalten. Der Nachhaltigkeitsbericht wird integraler Bestandteil des Lageberichts und muss von einem Wirtschaftsprüfer testiert werden.
Dieser Wandel markiert einen grundlegenden Schritt in der Unternehmensberichterstattung: Nachhaltigkeit wird zur rechtlich verpflichtenden Managementaufgabe. Unternehmen sollten sich mit den neuen Anforderungen vertraut machen, um regulatorische Risiken zu minimieren und die notwendigen Prozesse rechtssicher zu gestalten.
Jennifer Stuppy, Frankfurt am Main
Art. 9 Abs. 2 DORA: „Encryption in Use“
Positionspapier der Deutschen Kreditwirtschaft vom 29.07.2025
Zur Erreichung ihres übergeordneten Ziels – der Stärkung der digitalen operationalen Resilienz im Finanzsektor – verfolgt DORA verschiedene Ansätze. Einer davon besteht in Vorgaben für Finanzunternehmen zum Schutz deren IKT-Systeme sowie zur Gewährleistung eines hohen Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten. Dabei wird unter anderem vorgeschrieben, dass sich die Maßnahmen zur Sicherstellung der Datensicherheit auch auf diejenigen Daten erstrecken müssen, die gerade verwendet werden (vgl. Art. 9 Abs. 2 DORA).
In Art. 9 Abs. 2 DORA heißt es dazu, die IKT-Sicherheitsrichtlinien, -verfahren, -protokolle und -Tools eines Finanzunternehmen sollen hohe Standards in Bezug auf die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit von Daten aufrechterhalten, „unabhängig davon, ob diese Daten gespeichert sind, oder gerade verwendet oder übermittelt werden (Art. 9 Abs. 2 DORA).
Zu den Anforderungen an die Sicherheit von Daten während deren Verwendung („Encryption in Use“) hat sich nun die Deutsche Kreditwirtschaft in einem Positionspapier vom 29.07.2025 geäußert.
Die Deutsche Kreditwirtschaft stellt heraus, dass die Sicherheit von Daten während ihrer Verwendung – anders als bei der Speicherung oder Übertragung – regulatorisches Neuland sei und sowohl im Hinblick auf die praktische Relevanz als auch die aktuell verfügbaren technischen Möglichkeiten von der Sicherheit bei der Datenspeicherung oder -übermittlung zu differenzieren sei.
Auch vor dem Hintergrund neuer Bedrohungen – Stichwort: KI – sei ein Angriff auf gerade verwendete Daten in technischer Hinsicht ungleich komplexer durchzuführen, erfordere spezielles Fachwissen und die Überwindung mehrerer Sicherheitsmechanismen, da er auf den Arbeitsspeicher des angegriffenen IKT-Systems ausgerichtet sei.
Weiter sei zu berücksichtigen, dass die Verschlüsselung von Daten im Arbeitsspeicher eines Rechners technologisch noch nicht weit vorangeschritten sei, zumal die Ver- und Entschlüsselung enorme Rechenkapazitäten erfordere. Eine Verwendung von Daten in einem abgeschotteten Hardware-Umfeld würde neue Abhängigkeiten schaffen und die Datensicherheitsthematik auf den Hardware-Anbieter verlagern. Soll die Verwendung von Daten dann noch im Rahmen einer Kunden-App oder sonst wie online erfolgen, stelle sich das Problem, dass eine „Encryption in Use“ auf den aktuell verfügbaren Endgeräten nicht umsetzbar sei, zumal sich zudem die Frage stelle, wie ein Finanzunternehmen die Einhaltung regulatorischer Anforderungen bei einem Endgerät eines Kunden sicherstellen soll. Schließlich würde die Anforderung einer „Encryption in Use“ auch und gerade bei KI-basierten Anwenderschnittstellen derzeit wohl unüberwindbare Probleme aufwerfen und deren Einsatz durch Finanzunternehmen im Kundendialog blockieren.
Die Deutsche Kreditwirtschaft verweist allerdings darauf, dass bereits jetzt eine Vielzahl bewährter Sicherheitsmaßnahmen zum Einsatz kommen, die einen effektiven Schutz von Daten während deren Verwendung gewährleisten. Dazu zählten insbesondere physisch abgeschottete und dadurch manipulationssichere Verschlüsselungsmethoden, wie sie etwa bereits im Zahlungsverkehr zur Anwendung gelangen. Auch Schutzmaßnahmen, die bereits in den Bereichen der Datenspeicherung und –übertragung ein verlässliches Sicherheitsniveau böten, wie etwa Zugangskontrolle, Segmentierung oder sichere Laufzeitumgebungen, wirkten sich positiv auf die Sicherheit der Daten im Moment deren Verwendung aus.
Die Deutsche Kreditwirtschaft appelliert daher an die Aufsicht, die derzeitigen technischen Limitierungen zu berücksichtigen, eine angemessene Entwicklung der technologischen, wirtschaftlichen und betrieblichen Rahmenbedingungen zu ermöglichen und somit einstweilen die bewährten und dem aktuellen Stand der Technologie für die Sicherheit bei der Speicherung und Übermittlung von Daten entsprechenden Maßnahmen als gleichwertige Alternativen zu einer technischen „Encryption in Use“ anzuerkennen.
Michael Dreyer, Frankfurt am Main
NIS-2-Umsetzung: Neue Pflichten für Unternehmen
Mit dem aktuellen Gesetzentwurf zur Umsetzung der NIS-2-Richtlinie (EU 2022/2555) unternimmt die Bundesregierung einen entscheidenden Schritt zur umfassenden Modernisierung des deutschen Cybersicherheitsrechts. Der Entwurf (Bearbeitungsstand 23.06.2025) überführt die europäischen Vorgaben in nationales Recht, um ein einheitlich hohes Sicherheitsniveau in Wirtschaft und Verwaltung zu gewährleisten.
Der Anwendungsbereich wird gegenüber der bisherigen Rechtslage deutlich ausgeweitet. Künftig unterfallen nicht nur Betreiber kritischer Infrastrukturen im Sinne des bisherigen BSI-Gesetzes, sondern auch zahlreiche weitere Unternehmen aus Sektoren wie Energie, Verkehr, Finanz- und Versicherungswesen, Gesundheitswesen, Abfallwirtschaft, Post- und Kurierdienste, öffentliche Verwaltung sowie Hersteller bestimmter kritischer Produkte den neuen Vorgaben. Die Einstufung erfolgt in zwei Kategorien: „besonders wichtige Einrichtungen“ und „wichtige Einrichtungen“, abhängig von der Branche, der Unternehmensgröße und der Bedeutung für die Aufrechterhaltung wesentlicher gesellschaftlicher oder wirtschaftlicher Tätigkeiten.
Beide Kategorien sind verpflichtet, ein umfassendes Bündel technischer, organisatorischer und physischer Maßnahmen umzusetzen, das unter anderem Konzepte zur Risikoanalyse und zum Risikomanagement, Verfahren zur Bewältigung von Sicherheitsvorfällen, Vorkehrungen zur Aufrechterhaltung des Betriebs, Maßnahmen zur Sicherung und Überwachung der Lieferkette, den Einsatz von Kryptografie und Verschlüsselung, Konzepte zur Sicherheit des Personals, Zugriffskontrollmechanismen, den verpflichtenden Einsatz von Multi-Faktor-Authentifizierung sowie regelmäßige Schulungen von Geschäftsführung und Personal umfasst.
Betroffene Unternehmen sollten die Verantwortung für die IT- und Informationssicherheit daher klar definieren. Sämtliche relevante Stellen im Unternehmen – einschließlich Geschäftsführung, Compliance und Informationssicherheitsbeauftragte – sollten sich eng miteinander vernetzen, um die Umsetzung der Maßnahmen koordinieren zu können. Die Geschäftsleitung bleibt jedoch für die Einhaltung der Pflichten verantwortlich und hat die Angemessenheit und Wirksamkeit der ergriffenen Maßnahmen sicherzustellen. Es ist daher ratsam, dass sich die Geschäftsleitung selbst regelmäßig zu Fragen der Cybersicherheit fortbildet. Noch vor Inkrafttreten der neuen Pflichten sollte das aktuelle IT-Sicherheitsniveau festgestellt werden. Auf dieser Grundlage können dann gezielt Maßnahmen zur Erreichung des neuen Stands der Technik ergriffen werde. Auch eine Anbindung an Warn- und Informationssysteme des Bundesamts für Sicherheit in der Informationstechnik wird wohl unerlässlich sein.
Verstöße gegen die gesetzlichen Pflichten können für besonders wichtige Einrichtungen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes und für wichtige Einrichtungen mit bis zu 7 Millionen Euro oder 1,4 Prozent des weltweiten Jahresumsatzes geahndet werden, wobei jeweils der höhere Betrag maßgeblich ist. Eine strategisch geplante Umsetzung der Anforderungen ist daher nicht nur zur Vermeidung erheblicher Sanktionen geboten, sondern leistet auch einen wesentlichen Beitrag zur nachhaltigen Stärkung der Cyberresilienz des Unternehmens.
Larissa Normann, Frankfurt am Main
Die FiDA-Verordnung – Neue EU-Vorgaben für den sektorübergreifenden Zugang zu Finanzdaten
Mit der geplanten Financial-Data-Access-Verordnung (kurz: FiDA-Verordnung) verfolgt die Europäische Kommission das Ziel, den Zugang zu und den Austausch von Finanzdaten unionsweit zu harmonisieren. Die Verordnung soll insbesondere die Interoperabilität zwischen Finanzinstituten, Versicherungsunternehmen und sonstigen relevanten Akteuren stärken sowie datengetriebene Finanzdienstleistungen fördern. Sie bildet zugleich eine Weiterentwicklung des EU Data Act und ergänzt diesen um spezifische Regelungen für den Finanzsektor.
Zentrales Anliegen der FiDA-Verordnung ist die Schaffung eines strukturierten, sicheren und diskriminierungsfreien Zugangs zu Finanzdaten. Aufbauend auf den Erfahrungen mit der Zweiten Zahlungsdiensterichtlinie (PSD2) soll sich der Anwendungsbereich der Verordnung auf nahezu sämtliche zentrale Finanzprodukte und -dienstleistungen erstrecken. Hierzu zählen insbesondere Verbraucherkredite, Bankkonten, Spar- und Anlageprodukte, Versicherungsverträge, Altersvorsorgeprodukte sowie Investitionen in Krypto-Assets.
Der Verordnungsentwurf sieht vor, dass Kundendaten auf Antrag in Echtzeit, unentgeltlich und kontinuierlich zur Verfügung gestellt werden müssen. Dies kann entweder auf Veranlassung des betroffenen Kunden oder durch einen Finanzinformationsdienstleister (sog. Financial Information Service Provider – FISP) erfolgen. Voraussetzung hierfür ist stets eine ausdrückliche, informierte und jederzeit widerrufbare Einwilligung der betroffenen Person.
Die Verpflichtung zur Datenfreigabe richtet sich an sämtliche Institute, die als „Dateninhaber“ qualifiziert sind, d. h. über entsprechende Kundendaten verfügen. Hierzu zählen insbesondere Finanz- und Kreditinstitute, Wertpapierfirmen, Versicherungsunternehmen, Verwahrstellen, Krypto-Dienstleister, Ratingagenturen, Finanz- und Versicherungsmakler sowie Anbieter von alternativen Investmentfonds. Diese Dateninhaber sind verpflichtet, standardisierte technische Schnittstellen bereitzustellen, über welche ein datenschutzkonformer und sicherer Zugriff auf die relevanten Daten ermöglicht wird.
Neben der operativen Umsetzung ist die rechtliche Einbettung der FiDA-Verordnung in bestehende regulatorische und vertragliche Strukturen von zentraler Bedeutung. In diesem Zusammenhang stellen sich insbesondere komplexe Fragen im Hinblick auf die vertragliche Ausgestaltung der Beziehungen zu Drittanbietern, die datenschutzrechtliche Verantwortlichkeit im Sinne der DSGVO, die Compliance- und Sorgfaltspflichten bei der Authentifizierung und Autorisierung von Zugriffsberechtigten sowie die Verteilung von Haftungsrisiken im Falle von Datenmissbrauch, Systemversagen oder anderweitigen Funktionsstörungen. Vor diesem Hintergrund empfiehlt sich für Finanzinstitute, eine frühzeitige Analyse der regulatorischen Anforderungen sowie der technischen und haftungsrechtlichen Implikationen vorzunehmen.
Derzeit befindet sich die FiDA-Verordnung im Trilogverfahren zwischen dem Europäischem Parlament, dem Rat der EU und der Europäischen Kommission. Der Kommissionsentwurf wurde am 28. Juni 2023 veröffentlicht. Im März 2025 haben sowohl der Rat als auch das Parlament jeweils eigene Verhandlungspositionen vorgelegt. Eine Einigung wird bis Ende 2025 erwartet. Ein formales Inkrafttreten könnte im Laufe des Jahres 2026 erfolgen. Als Verordnung im Sinne von Art. 288 AEUV ist sie unmittelbar in allen Mitgliedstaaten anwendbar und bedarf keiner weiteren Umsetzung in nationales Recht.
Die operative und strategische Vorbereitung auf die FiDA-Verordnung ist enorm wichtig für die Wettbewerbsfähigkeit und regulatorische Sicherheit von Finanzinstituten. Sie sollte im Kontext bestehender und künftiger Regulierungswerke wie DORA, PSR, PSD3 und der DSGVO erfolgen.
Pascal Schäfer, Frankfurt am Main
