Compliance-Begriffe, kurz erklärt.

AML / AMLA

• AMLR — das EU-AML-Single-Rulebook

  Das „Single Rulebook” bezeichnet vor allem die AMLR — die Geldwäsche-Verordnung (EU) 2024/1624 —, ein unmittelbar geltendes, EU-weit einheitliches AML/CFT-Regelwerk, das den Flickenteppich der national umgesetzten Geldwäsche-Richtlinien ablöst. Sie ist Teil des EU-AML-Pakets 2024 zusammen mit der AMLA-Verordnung (EU) 2024/1620 (neue EU-Aufsichtsbehörde mit Sitz in Frankfurt) und der 6. Geldwäsche-Richtlinie (EU) 2024/1640. Die AMLR gilt ab dem 10. Juli 2027.

  Lesen→

DORA

• DORA Art. 28 — ICT-Drittparteienregister

  Das ICT-Drittparteienregister nach Art. 28 der DORA-Verordnung (EU) 2022/2554 ist ein verpflichtendes Verzeichnis aller IKT-Dienstleister, das jedes betroffene Finanzinstitut führen und einmal jährlich zum 31. März an die zuständige Aufsichtsbehörde übermitteln muss. Es dokumentiert pro Anbieter mindestens: Identifikation, Dienstleistungs­art, Kritikalitäts­bewertung, Vertragsdatum, Sub-Outsourcing-Kette und Daten­verarbeitungs­standort.

  Lesen→

• Informationsregister (DORA Register of Information)

  Das Informationsregister ist das nach DORA (Verordnung (EU) 2022/2554, Art. 28 Abs. 3) zu führende Verzeichnis aller vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen durch IKT-Drittdienstleister — geführt auf Unternehmens-, teilkonsolidierter und konsolidierter Ebene. Die Meldevorlagen sind in der Durchführungsverordnung (EU) 2024/2956 festgelegt; eine erste Erhebung der Register durch die Aufsicht fand im Frühjahr 2025 statt.

  Lesen→

• TLPT — Threat-Led Penetration Testing (DORA)

  TLPT ist die fortgeschrittene, bedrohungsorientierte Penetrationstest-Pflicht unter DORA (Verordnung (EU) 2022/2554, Art. 26–27): Von der Aufsicht identifizierte Finanzunternehmen müssen mindestens alle drei Jahre einen realitätsnahen Angriffstest auf ihre kritischen Live-Systeme durchführen lassen. Das Verfahren beruht auf dem TIBER-EU-Rahmen; die Detailregeln stehen in der Delegierten Verordnung (EU) 2025/1190.

  Lesen→

Nachhaltigkeit / CSRD

• Doppelte Wesentlichkeit (Double Materiality)

  Doppelte Wesentlichkeit ist das Kernprinzip der CSRD-Berichterstattung: Ein Nachhaltigkeitsthema ist zu berichten, wenn es aus der Wirkungsperspektive (die Auswirkungen des Unternehmens auf Mensch und Umwelt, Innen-nach-außen) oder aus der finanziellen Perspektive (wie das Thema Lage und Ergebnis des Unternehmens beeinflusst, Außen-nach-innen) wesentlich ist — eine der beiden Sichten genügt. Rechtsgrundlage ist die CSRD (Richtlinie (EU) 2022/2464), operationalisiert in ESRS 1.

  Lesen→

• ESRS — European Sustainability Reporting Standards

  Die ESRS sind die Standards, nach denen Unternehmen unter der CSRD über Nachhaltigkeit berichten. Das erste Set wurde als Delegierte Verordnung (EU) 2023/2772 (angenommen am 31. Juli 2023) erlassen und umfasst zwölf Standards: zwei übergreifende (ESRS 1, ESRS 2), fünf Umwelt- (E1–E5), vier Sozial- (S1–S4) und einen Governance-Standard (G1). Sie bauen auf der doppelten Wesentlichkeit auf. Nach dem Omnibus-Paket wird derzeit ein verschlankter, überarbeiteter Satz entwickelt — Stand 2. Juni 2026 noch im Entwurf.

  Lesen→

Governance

• Fit & Proper (fachliche Eignung und Zuverlässigkeit)

  Fit-&-Proper-Anforderungen stellen sicher, dass Personen, die ein beaufsichtigtes Unternehmen leiten oder eine Schlüsselfunktion innehaben, geeignet sind: 'fit' meint fachliche Qualifikation, Wissen und Erfahrung, 'proper' meint Integrität und guten Leumund. Für Versicherer ist Art. 42 Solvency II (Richtlinie 2009/138/EG) die Grundlage, für Banken Art. 91 CRD (Richtlinie 2013/36/EU); die gemeinsamen ESMA/EBA-Leitlinien zur Eignung (EBA/GL/2021/06) konkretisieren die Bewertung.

  Lesen→

EU AI Act

• FRIA — Fundamental Rights Impact Assessment

  Die FRIA (Fundamental Rights Impact Assessment) ist eine in Art. 27 der Verordnung (EU) 2024/1689 vorgeschriebene Grundrechte-Folgenabschätzung, die bestimmte Deployer — darunter ausdrücklich Versicherer im Sinne von Annex III Nr. 5 — vor Inbetriebnahme eines Hochrisiko-KI-Systems durchführen müssen. Sie ergänzt die DSGVO-DPIA, ersetzt sie aber nicht: Die FRIA betrachtet die Grundrechte breiter (Nicht-Diskriminierung, Menschenwürde, Freizügigkeit) und muss der nationalen Marktüberwachungsbehörde mitgeteilt werden; das EU-Büro für Künstliche Intelligenz soll dafür nach Art. 27 Abs. 5 ein Template entwickeln (Stand Mitte 2026 noch nicht veröffentlicht).

  Lesen→

Nachhaltigkeit

• Greenwashing (EU-Sustainable-Finance)

  Greenwashing bezeichnet irreführende Nachhaltigkeitsaussagen über ein Unternehmen, ein Produkt oder eine Dienstleistung. Es gibt kein einzelnes Anti-Greenwashing-Gesetz; durchgesetzt wird über SFDR, MiFID II, IDD, UCITS/AIFMD und die Richtlinie über unlautere Geschäftspraktiken. Die drei EU-Aufsichtsbehörden (EBA, EIOPA, ESMA) veröffentlichten am 4. Juni 2024 ihre Abschlussberichte; die ESMA-Leitlinien zu Fondsnamen verlangen u.a. einen 80-%-Schwellenwert und gelten seit dem 21. November 2024.

  Lesen→

Banken / Aufsicht

• ICAAP — Internal Capital Adequacy Assessment Process

  Der ICAAP ist der bankinterne Prozess, mit dem ein Institut laufend ermittelt und sicherstellt, dass sein internes Kapital ausreicht, um alle wesentlichen Risiken abzudecken, denen es ausgesetzt ist oder sein könnte. Rechtsgrundlage ist Art. 73 der Eigenkapitalrichtlinie CRD (Richtlinie 2013/36/EU). Die EZB erwartet zwei Perspektiven — eine normative (mehrjährig, regulatorisch) und eine ökonomische — und der ICAAP fließt direkt in den SREP und damit in die Festsetzung von P2R und P2G ein.

  Lesen→

• Output-Floor (CRR III / Basel III)

  Der Output-Floor ist das Kernstück der EU-Umsetzung der Basel-III-Finalisierung. Er begrenzt den Kapitalvorteil interner Modelle, indem er die risikogewichteten Aktiva einer Bank auf mindestens 72,5 % des Werts nach den Standardansätzen anhebt. Rechtsgrundlage ist CRR III (Verordnung (EU) 2024/1623); der Floor wird ab dem 1. Januar 2025 (Start bei 50 %) schrittweise eingeführt und erreicht 2030 die vollen 72,5 %.

  Lesen→

• P2R & P2G — Säule-2-Anforderung und -Empfehlung

  P2R und P2G sind die kapitalbezogenen Ergebnisse des aufsichtlichen SREP für Banken. Die Säule-2-Anforderung (P2R) ist ein verbindlicher, institutsindividueller Eigenmittelaufschlag über die Säule-1-Mindestanforderungen hinaus (Art. 104a CRD). Die Säule-2-Empfehlung (P2G) ist eine nicht verbindliche aufsichtliche Erwartung eines zusätzlichen Puffers oberhalb der bindenden Anforderungen (Art. 104b CRD). Die Verletzung der P2R kann über die kombinierte Pufferanforderung Ausschüttungsbeschränkungen (MDA) auslösen; ein Unterschreiten der P2G nicht automatisch.

  Lesen→

• SREP — Supervisory Review and Evaluation Process

  Der SREP ist der Prozess, mit dem die Bankenaufsicht regelmäßig Geschäftsmodell, Governance, Kapital und Liquidität jeder Bank bewertet und daraus entscheidet, ob zusätzliche Eigenmittel oder andere Maßnahmen aufzuerlegen sind. Rechtsgrundlage sind Art. 97 und 104 der Eigenkapitalrichtlinie CRD (Richtlinie 2013/36/EU); die Methodik harmonisieren die EBA-Leitlinien EBA/GL/2022/03. Wesentliches Ergebnis sind die Pillar-2-Anforderung (P2R, bindend) und die Pillar-2-Empfehlung (P2G, nicht bindend).

  Lesen→

Märkte / MAR

• MAR — Marktmissbrauchsverordnung

  Die Marktmissbrauchsverordnung (MAR) — Verordnung (EU) Nr. 596/2014, anwendbar seit dem 3. Juli 2016 — verbietet Marktmissbrauch: Insidergeschäfte, die unrechtmäßige Offenlegung von Insiderinformationen und Marktmanipulation in Bezug auf Finanzinstrumente. Für Emittenten zentral sind die Ad-hoc-Publizität (Art. 17), Insiderlisten (Art. 18) und die Meldung von Eigengeschäften von Führungskräften (Art. 19). Krypto-Assets fallen nicht unter MAR, sondern unter das separate Marktmissbrauchsregime in Titel VI der MiCA.

  Lesen→

MiCA

• MiCA CASP-Lizenz

  Die CASP-Lizenz nach Art. 60 ff. der Verordnung (EU) 2023/1114 (MiCA) ist die EU-einheitliche Zulassung für Krypto-Asset-Dienstleister (Crypto-Asset Service Providers). Sie ersetzt nationale Krypto-Erlaubnisse und gewährt EU-Passporting (Art. 65) — eine in einem Mitgliedstaat erteilte Lizenz erlaubt das Operieren in der gesamten EU nach schriftlicher Notifikation. Der Tätigkeitskatalog (Art. 3 Nr. 16) umfasst sieben Service-Typen, darunter Verwahrung, Vermittlung, Custody, Beratung und Portfolio-Management.

  Lesen→

Solvency II

• ORSA — Own Risk and Solvency Assessment

  Die ORSA (Own Risk and Solvency Assessment) ist die in Art. 45 der Solvency-II-Richtlinie 2009/138/EG vorgeschriebene unternehmens­eigene Risiko- und Solvabilitäts­beurteilung. Versicherer müssen mindestens jährlich beurteilen, ob ihre Eigenmittel den eigenen Gesamtsolvabilitäts­bedarf decken — über die regulatorische SCR hinaus, über den gesamten Geschäftsplanungs­horizont, und unter eigen­definierten Stress-Szenarien. Die Richtlinie (EU) 2025/2 erweitert die ORSA ab dem 30.01.2027 um explizite Liquiditäts-, Nachhaltigkeits- und Systemrisiko-Szenarien.

  Lesen→

SFDR / ESG

• PAI — Principal Adverse Impacts (SFDR Art. 4)

  Principal Adverse Impacts (PAI) sind die wesentlichen negativen Auswirkungen von Investitionsentscheidungen und Anlageberatung auf Nachhaltigkeitsfaktoren — Umwelt, Soziales und Beschäftigung, Menschenrechte sowie Korruptions- und Bestechungsbekämpfung. Art. 4 der Offenlegungs-Verordnung SFDR (EU) 2019/2088 verlangt auf Unternehmensebene eine Erklärung dazu nach dem „Comply-or-explain”-Prinzip — verpflichtend für Finanzmarktteilnehmer mit mehr als 500 Beschäftigten. Die konkreten Indikatoren stehen in den RTS, der Delegierten Verordnung (EU) 2022/1288.

  Lesen→

PRIIPs / Anlegerschutz

• PRIIPs-KID — Basisinformationsblatt

  Das PRIIPs-KID (Basisinformationsblatt) ist ein standardisiertes, höchstens dreiseitiges vorvertragliches Dokument, das Kleinanlegern die wesentlichen Merkmale, Risiken und Kosten eines verpackten Anlage- oder Versicherungsanlageprodukts (PRIIP) verständlich und vergleichbar darstellt. Rechtsgrundlage ist die PRIIPs-Verordnung (EU) Nr. 1286/2014 (anwendbar seit dem 1.1.2018); die überarbeiteten technischen Standards gelten seit dem 1.1.2023. Seither brauchen auch OGAW/UCITS-Fonds ein KID statt der früheren wAI/KIID.

  Lesen→

Methodik

• RegTech

  RegTech (Regulatory Technology) ist der Sammelbegriff für Software, die Finanzinstitute beim Erfüllen regulatorischer Anforderungen unterstützt — durch Automatisierung von Monitoring, Klassifizierung, Reporting und Audit-Dokumentation. Anders als FinTech adressiert RegTech nicht den Endkunden, sondern die Compliance-, Risk- und Legal-Funktion der Bank, des Versicherers oder des CASP.

  Lesen→

Versicherer / Aufsicht

• SCR — Solvenzkapitalanforderung (Solvency Capital Requirement)

  Die SCR ist die risikosensitive Kapitalanforderung unter Solvency II (Richtlinie 2009/138/EG, Art. 100–127). Sie ist so kalibriert, dass die anrechenbaren Eigenmittel eines Versicherers einen Verlust abdecken, wie er statistisch einmal in 200 Jahren eintritt — ein Value-at-Risk zum Konfidenzniveau von 99,5 % über einen Zeithorizont von einem Jahr (Art. 101 Abs. 3). Berechnet wird sie über die Standardformel oder ein genehmigtes internes Modell.

  Lesen→

Nachhaltigkeit / SFDR

• SFDR Artikel 8 & Artikel 9 (Produkte)

  Unter der Offenlegungsverordnung SFDR (Verordnung (EU) 2019/2088) bewerben Artikel-8-Produkte ökologische und/oder soziale Merkmale, während Artikel-9-Produkte nachhaltige Investitionen als Ziel verfolgen. Es sind Offenlegungskategorien, keine förmlichen Labels — die Marktbegriffe 'hellgrün' und 'dunkelgrün' stehen nicht im Gesetzestext. Die Vorlagen regelt die RTS (Delegierte Verordnung (EU) 2022/1288). Stand 2. Juni 2026 ist dieses Schema verbindlich; eine Reform (SFDR 2.0) ist vorgeschlagen, aber nicht verabschiedet.

  Lesen→

Zahlungsdienste / PSD2

• SCA — Starke Kundenauthentifizierung

  Starke Kundenauthentifizierung (SCA) ist die von PSD2 (Artikel 97 der Richtlinie (EU) 2015/2366) verlangte Mehr-Faktor-Authentifizierung für elektronische Zahlungen und den Online-Zugriff auf Zahlungskonten. Sie beruht auf mindestens zwei von drei voneinander unabhängigen Elementen — Wissen (etwas, das nur der Nutzer weiß), Besitz (etwas, das nur der Nutzer hat) und Inhärenz (etwas, das der Nutzer ist). Die technischen Details — dynamische Verknüpfung, Ausnahmen und die sichere Kommunikation mit Drittdienstleistern — stehen in der SCA-RTS (Delegierte Verordnung (EU) 2018/389), anwendbar seit dem 14. September 2019.

  Lesen→

• Open Banking / XS2A

  Open Banking bezeichnet den durch PSD2 (Richtlinie (EU) 2015/2366) geschaffenen regulierten Zugang Dritter zu Zahlungskonten — „access to the account“ (XS2A). Mit Einwilligung des Kunden müssen kontoführende Banken (ASPSPs) lizenzierten Zahlungsauslösediensten (PISPs, Art. 66) und Kontoinformationsdiensten (AISPs, Art. 67) Zugang gewähren. Die sichere Schnittstelle (dedizierte API plus Fallback) und die starke Kundenauthentifizierung regelt die SCA-RTS (Delegierte Verordnung (EU) 2018/389). Die vorgeschlagene PSD3/PSR würde den API-Zugang verbessern; die vorgeschlagene FIDA-Verordnung würde das Prinzip über Zahlungskonten hinaus auf „Open Finance“ ausweiten — beide sind noch nicht Gesetz.

  Lesen→

Wohlverhalten / Vertrieb

• Geeignetheit & Nachhaltigkeitspräferenzen (MiFID II / IDD)

  Bei der Anlageberatung müssen Firmen die Geeignetheit prüfen: dass ein Produkt zu Kenntnissen und Erfahrung, finanzieller Situation und Anlagezielen des Kunden passt. Grundlage ist Art. 25 Abs. 2 MiFID II (Richtlinie 2014/65/EU). Seit dem 2. August 2022 muss die Prüfung zusätzlich die Nachhaltigkeitspräferenzen des Kunden erfassen — eingeführt durch die Delegierte Verordnung (EU) 2021/1253 (MiFID II) und (EU) 2021/1257 (IDD).

  Lesen→

AML / Krypto

• Travel Rule (TFR) für Krypto-Transfers

  Die Travel Rule verlangt, dass Identifizierungs­daten zu Auftraggeber und Begünstigtem jede Krypto-Transaktion „begleiten”, damit Transfers für AML/CFT-Zwecke nachverfolgbar bleiben. In der EU ist sie in der Geldtransfer-Verordnung — Verordnung (EU) 2023/1113 (TFR) — geregelt, die die FATF-Empfehlung 16 auf Krypto-Asset-Dienstleister (CASPs) ausweitet und seit dem 30.12.2024 gilt. Entscheidend: Für Krypto-Transfers gibt es — anders als bei Geldtransfers — keine Bagatellgrenze; die Daten sind unabhängig vom Betrag erforderlich.

  Lesen→

Geldwäscheprävention

• UBO — wirtschaftlich Berechtigter (Ultimate Beneficial Owner)

  Der wirtschaftlich Berechtigte (UBO) ist die natürliche Person, die eine juristische Person letztlich besitzt oder kontrolliert. Unter der neuen EU-Geldwäscheverordnung (AMLR, Verordnung (EU) 2024/1624, Art. 52) gilt als Eigentumsindikator das Halten von 25 % oder mehr der Anteile oder Stimmrechte — ein bewusster Wechsel weg vom früheren AMLD-Maßstab von mehr als 25 %. Die AMLR ist ab dem 10. Juli 2027 anzuwenden.

  Lesen→