EU-Compliance für Finanzdienstleistungen

DORA, BaFin-Aufsicht (MaRisk/BAIT/VAIT), Geldwäschegesetz (GwG), MiFID II, PSD2/PSD3 und MiCA — für Banken, Versicherer, Zahlungs- und Krypto-Institute.

Regulatorischer Rahmen der deutschen Finanzaufsicht

Der deutsche Finanzsektor unterliegt einer der striktesten Aufsichten Europas. BaFin, Bundesbank und EZB setzen europäische (DORA, AMLR, MiFID II, PSD3, MiCA) und nationale Anforderungen (MaRisk, BAIT, VAIT, KAIT, GwG) parallel durch. Wir begleiten Finanzinstitute durch diese komplexe Aufsichtslandschaft — operativ, revisionsfest und mit klarer Kommunikation zur Aufsicht.

Unsere Leistungen für Finanzinstitute

DORA — Digital Operational Resilience

Umsetzung der DORA-Verordnung nach Art. 5–16 (ICT-Risikomanagement), 17–23 (Vorfall-Meldung), 24–27 (Resilienz-Tests inkl. TLPT) und 28–44 (Third-Party-Risk).

BaFin-konforme ICT-Compliance

Umsetzung der BaFin-Rundschreiben MaRisk, BAIT (Banken), VAIT (Versicherer), KAIT (Kapitalverwaltungsgesellschaften) mit klarem DORA-Mapping.

Geldwäscheprävention und Sanktionen

Aufbau und Betrieb eines GwG-konformen AML-Programms: KYC/KYB, Transaktionsmonitoring, Verdachtsmeldungen an die FIU (goAML) und Sanktionslisten-Screening.

DSGVO für Finanzdaten und Auslagerung

Datenschutz bei sensiblen Finanzdaten, Auslagerungsverträge nach § 25b KWG und Art. 28 DSGVO, internationale Transfers mit SCCs und EU-US DPF.

MiCA-Zulassung für Krypto-Dienstleister

Begleitung der CASP-Zulassung bei der BaFin, AML/CFT nach GwG (Travel Rule), ICT-Risikomanagement nach DORA, Transparenzpflichten nach MiCA.

Aufsichtsprüfungen und Stellungnahmen

Vorbereitung auf BaFin-Sonderprüfungen (§ 44 KWG), Koordination während der Prüfung, Formulierung der Stellungnahmen und Umsetzung des Maßnahmenplans.

Wichtigste Regelwerke für den deutschen Finanzsektor

DORA

Digital Operational Resilience Act (Verordnung (EU) 2022/2554)

Anwendbar seit 17. Januar 2025

MaRisk

Mindestanforderungen an das Risikomanagement (BaFin)

Laufend — AT 7.2 ICT-Risiken

BAIT / VAIT / KAIT

Bankaufsichtliche / Versicherungs- / Kapitalverwaltungs-Anforderungen an die IT

Laufend — Mapping mit DORA

GwG

Geldwäschegesetz (Umsetzung der EU-AMLD)

Laufend — AMLR ab 2027 unmittelbar

MiFID II / MiFIR

Wertpapierdienstleistungen und Marktinfrastruktur

Laufend — Review 2024/2025

MiCA

Markets in Crypto-Assets (Verordnung (EU) 2023/1114)

Anwendbar seit 30. Dezember 2024

Welche Institute wir betreuen

Banken und Sparkassen (CRR-Institute)

Versicherer und Rückversicherer

Wertpapierfirmen und Investment-Manager

Zahlungs- und E-Geld-Institute

Kapitalverwaltungsgesellschaften (KVGen)

Krypto-Dienstleister (CASPs)

FinTechs und Neobanken

Kreditkartenanbieter und Acquirer

Passende Leistungen

Finanz-Compliance (DORA)

Cyber Security & ISO 27001

Datenschutz & DSGVO

Vorfallmanagement

Weiterführende Ressourcen

DORA-Umsetzung: Leitfaden für Finanzinstitute BAIT vs. DORA: Was jetzt zusätzlich gilt MiCA-Zulassung als Krypto-Dienstleister

Häufige Fragen aus dem Finanzsektor

Wer in Deutschland unterliegt DORA?

DORA gilt für rund 22.000 Finanzunternehmen in der EU: Banken (CRR-Institute), Versicherer und Rückversicherer, Wertpapierfirmen, Zahlungs- und E-Geld-Institute, Kapitalverwalter, Krypto-Dienstleister (nach MiCA), Ratingagenturen und als kritisch designierte ICT-Dienstleister. Auch in die EU einliefernde Anbieter sind erfasst.

Wie unterscheiden sich BAIT und DORA in der Praxis?

BAIT (BaFin-Rundschreiben) ist detaillierter zu IT-Governance, Anforderungsmanagement und Informationssicherheit. DORA geht bei Third-Party-Risk (Art. 28–30), Resilienz-Tests (TLPT alle 3 Jahre) und einheitlichen Vorfall-Meldungen weiter. Für deutsche Institute gelten beide parallel — wir liefern ein sauberes Mapping.

Welche Meldepflichten gelten für Vorfälle?

DORA: Erstmeldung binnen 4 Stunden bei schwerwiegenden ICT-Vorfällen, Zwischenbericht 72 Stunden, Abschlussbericht nach Wiederherstellung — an BaFin/Bundesbank. Bei Datenpannen zusätzlich Art. 33 DSGVO (72h) an die Datenschutz-Aufsicht. Wir richten die Meldekanäle technisch und organisatorisch ein.

Was bringt MiCA für Krypto-Dienstleister?

MiCA schafft ein einheitliches EU-Regime für Krypto-Assets und -Dienstleister. Betroffene CASPs (Custodians, Handelsplätze, Emittenten) benötigen eine Zulassung bei der BaFin, müssen DORA-konform aufgestellt sein, AML/CFT nach GwG umsetzen (inkl. Travel Rule) und Transparenzpflichten erfüllen. Übergangsfristen bis Ende 2025/2026.

Ihre Aufsichts-Compliance im Finanzsektor

Kostenloses Erstgespräch — 30 Minuten. Wir analysieren Ihre Aufsichts-Landschaft und priorisieren die nächsten 90 Tage bei DORA, BaFin und GwG.

Beratungsgespräch vereinbaren