Alser Straße 26/7a, 1090 Wien

News / Termine

Vortrag: „Erfahrungen mit der EBA Guideline on Outsourcing“
ARS Jahrestagung BWG 2019

Im Rahmen der vom 12.11.2019 – 13.11.2019 abgehaltenen ARS Jahrestagung BWG 2019 der ARS – Akademie für Recht, Steuern & Wirtschaft, sprechen MMag. Duy und Mag. Stempkowski am 13.11.2019 über die ersten Erfahrungen in der Anwendung der sei 30.09.2019 geltenden EBA Guidline on Outsourcing. Neben dem Überblick über die aktuelle Regelungslage stehen Auslagerungsverträge und Auslagerungen in Gruppen im besonderen Fokus.

Details zur Veranstaltung finden Sie hier.

Programm

Vortrag: „Explizite Betrachtung von Conduct Risk“
Forum Gesamtbanksteuerung 2019

Im Rahmen des von 12.11.2019 – 14.11.2019 abgehaltenen Forum Gesamtbanksteuerung 2019 der imh Institut Manfred Hämmerle GmbH, spricht Mag. Stempkowski am 13.11.2019 über die aufsichtsrechtlichen Anforderungen in Bezug auf das Conduct Risk. Als Experte für Bankaufsichts und Bankvertragsrecht, berichtet er von den Herusforderungen der Praxis und gibt Tipps zur Vermeiidung der Fallstricke für (künftige) Gerichtsverfahren.

Details zur Veranstaltung finden Sie hier.

Programm

Blickpunkt: Versicherung & Recht
Neues Forum für Finanzinstitutionen

Am 27. Juni 2019 veranstaltet die Duy Rechtsanwalt GmbH, gemeinsam mit der VMG Versicherungsmakler GmbH, das erste interdisziplinäre Forum für Finanzinstitutionen „Blickpunkt: Versicherung & Recht“. Es richtet sich gezielt an Entscheidungsträger von Finanzinstitutionen und soll diesen praxisnah Werkzeuge für den sichern Umgang mit (Rechts)Risiken zur Verfügung stellen.

Details zur Veranstaltung und zur Anmeldung finden Sie hier.

Blickpunkt-Programm-Juni-2019

Vortrag zu PSD II an der Universität Liechtenstein

Im Rahmen der Tagung Zahlungsdienste im Binnenmarkt: PSD II und ZDG neu der Universität Liechtenstein waren MMag. Duy und Mag. Stempkowski eingeladen über die Umsetzungserfordernisse der PSDII zu sprechen. Die Tagung fand am Dienstag, 7. Mai 2019, an der Universität Liechtenstein in Vaduz, statt.

Im Rahmen dieser Tagung erörtern namhafte Expertinnen und Experten über die Problemstellung, dass durch die Ablösung der ersten Zahlungsdiensterichtlinie (Payment Services Directive – PSD I) und PSD II der europäische Gesetzgeber neue Spielregeln im Zahlungsverkehr mit Auswirkungen für alle Zahlungsdienstleister geschaffen hat. Neben den Herausforderungen und Chancen, welche die Gesetzesänderung mit sich bringt, wurden auch zahlreiche Anwendungsfälle und Ausnahmebestimmungen der PSD II bzw des ZDG neu sowie Fragen des Verbraucherschutzes und des Haftungsregimes besprochen Die Richtlinie befindet sich derzeit noch im EWR-Übernahmeverfahren, jedoch hat sich Liechtenstein aufgrund der Wichtigkeit für den Finanzplatz zu einer Vorabumsetzung der europäischen Regelung ins nationale Recht entschlossen. Mit 1. Oktober 2019 soll nun das neue Zahlungsdienstegesetz (ZDG) in Liechtenstein in Kraft treten.

Das Programm finden Sie hier.

Die Unterlagen dieses Vortrages finden Sie hier zum Download.

VORTRAGSUNTERLAGEN

Buchbeiträge „Kompendium Bankwissen 2. Auflage“

Wir freuen uns, dass sowohl Herr MMag. Duy als auch Herr Mag. Stempkowski als Autoren an der 2. Auflage des von Dr. Splechtna als Herausgeber betreuten „Kompendium Bankwissen“  des Finanz Colloquium Heidelberg GmbH mitwirken konnten. Das Werk richtet sich gezielt an Aufsichtsräte, Vorstände, Schlüsselkräfte und alle anderen bankinteressierten Leser und zielt darauf ab ihnen einen aktualisierten Überblick über die relevanten Regeln für das Management von Banken in Österreich und der EU zu geben. Das Buch stellt wie bereits die erste Auflage Richtlinien, Gesetze, Verordnungen und Veröffentlichungen der Aufsicht, wie z. B. MiFID II, BWG, WAG, HIKrG, CRD IV, CRR, MAR, einzelne EBA-Standards, Mindeststandards der FMA und Leitfäden der OENB, ebenso die wichtigsten Bankprodukte in den Bereichen Giro, Sparen, Kredit und Wertpapier dar. Für die zweite Auflage wurden die regulatorischen Neuerungen in allen Kapiteln eingearbeitet. Wo Neuerungen noch nicht in Kraft bzw. noch nicht final umgesetzt sind – wie etwa für den Basel IV Themenkomplex – wurden die absehbaren Entwicklungen als Exkurs ergänzt, so dass sowohl die aktuell gültige Rechtslage als auch die zu erwartenden Änderungen dargestellt sind. Zudem wurde in der zweiten Auflage das Thema Non Performing Loans umfassend berücksichtigt, da dies seitens des Regulators und der Aufsichtsbehörden als wesentlicher Indikator für die Stabilität der Branche gewertet wird. Zusätzlich werden die rechtlichen Zusammenhänge zwischen Regeln auf EU-Ebene und Bundesebene sowie den Empfehlungen der Europäischen Bankenaufsicht und der österreichischen Finanzmarktaufsicht erläutert. Das zusammengefasste Wissen kann als Grundlage für die Anforderungen der Aufsichtsbehörden im Rahmen der Fit & Proper-Richtlinien verwendet werden.

Details zum Buch, das am 08.04.2019 erschienen ist, finden Sie hier.

Inhaltsverzeichnis

Zeitschriftenartikel „PSD II und Datenschutz – Wofür dürfen Zahlungsdienstleister die Daten ihrer Kunden verwenden?“

Die zweite Zahlungsdiensterichtlinie (Payment Service Directive „PSD II“) bzw. deren österreichische Umsetzung, das Zahlungsdienstegesetz 2018 („ZaDiG 2018“) , sehen eine Vielzahl von datenschutzrechtlichen Bestimmungen vor. So werden Kontoinformationsdienstleister und Zahlungsauslösedienstleister in der Verwendung von Daten, die im Rahmen der Ausführung des Zahlungsdienstes generiert wurden, wesentlich eingeschränkt. Mehrere Geschäftsmodelle, die auf der Verwertung der genannten Daten abzielen, wurden so unterbunden. Unklar ist auch, ob die in § 90 Abs 4 1. Satz ZaDiG 2018 vorgesehene „Zustimmung“ zur Erbringung von Zahlungsdiensten als „Einwilligung“ iSd Datenschutz-Grundverordnung („DSGVO“) zu interpretieren ist und damit auf bestehende Zahlungsdienste wesentliche Auswirkungen hat. Der Beitrag der Experten der Duy Rechtsanwalt GmbH im widmet sich diesen in der Literatur noch wenig beachteten Themen.

Den Zeitschriftenartikel finden Sie hier.

PDF

Zeitschriftenartikel „PSD II: Änderungen durch die neue Zahlungsdienste-Richtlinie für Banken“

Die Experten der Duy Rechtsanwalt GmbH haben sich schon frühzeitig mit den Änderungen der zweite Zahlungsdienste-Richtlinie (Payment Service Directive II, kurz PSD II) befasst und im Sommer 2017, noch bevor der nationale Umsetzungsentwurf für Österreich vorgelegen ist, einen Beitrag in der Zeitschrift ecolex, welcher einen Überblick über die durch die PSD II bedingten Änderungen bietet, verfasst. Der besondere Fokus lag dabei auf dem Umsetzungsbedarf für Banken.
Den vollen Artikel (ecolex2017/645) finden Sie hier.

PDF

DATENSCHUTZ NEU – DIE ZEIT LÄUFT (AB)


Mit der in knapp einem Jahr, am 25.05.2018, in Kraft tretenden, direkt anwendbaren, europäischen Datenschutz-Grundverordnung (DSGVO) wird die gesamte Landschaft des Datenschutzrechts umfassend geändert. Die Neuerungen treffen jedes Unternehmen jeder Branche und machen es notwendig, dass diese in nur kurzer Zeit ihre Datenanwendungen und alle Prozesse im gesamten Bereich des Datenschutzes überprüfen und anpassen müssen. Erschwert wird die Vorbereitung durch den Umstand, dass die Verordnung über 50 „Öffnungsklauseln“ enthält die, trotz direkter Anwendbarkeit, dem nationalen Gesetzgeber gewisse Spielräume für die Detailgestaltung einräumen. Der am 15.05.2017 präsentierte Entwurf dafür und die Einbettung in bzw. die Adaption des DSG müssen sich noch im Begutachtungsverfahren bewähren, weshalb die genaue Rechtslage noch nicht mit abschließender Rechtssicherheit bekannt ist. Dennoch kann jedes Unternehmen bereits jetzt umfangreiche Vorbereitungsmaßnahmen treffen, die ein rechtzeitiges Erfüllen der neuen Regelungen erleichtern werden. Es gilt existierende Prozesse, Templates, Checklisten und Vertragsdokumente in ihrer Gesamtheit zu überprüfen und gezielt zu überarbeiten.

Der erste Schritt ist eine umfassende Erhebung des Ist-Standes im eigenen Unternehmen.

Dabei gilt es zu erfassen wo und zu welchem Zweck im Unternehmen bzw. im Konzern personenbezogene Daten (z.B. Name, Adresse, Geburtsdatum, Bankdaten, etc.) gesammelt sowie über welchen Zeitraum gespeichert und verwendet werden. Insbesondere gilt es bestehende Datenanwendungen, sowohl aktuell im Datenverarbeitungsregister registrierte, als auch der bisher nicht registrierungspflichtigen Standardanwendungen (vgl. Standard- und Muster-Verordnung 2004, BGBl. II Nr. 312/2004 idgF) zu erfassen. Im nächsten Schritt ist die jeweilige Rechtsgrundlage für die Datenanwendung zu identifizieren und auf ihre Aktualität nach den neuen Regelungen zu prüfen. Diese liegt oft in einer Einwilligung durch die betroffene Person oder in der Notwendigkeit zur Erfüllung einer vertraglichen Verpflichtung. Wichtig wird auch sein, ob ein Datentransfer oder eine Datenspeicherung im EU Ausland erfolgt.

In Zukunft wird die Verpflichtung zur Registrierung von Datenanwendungen bei der Datenschutzbehörde durch ein intern zu führendes Register ersetzt, welches insbesondere bei nicht nur gelegentlicher Datenverarbeitung – also z.B. bei laufender Lohnverrechnung – erforderlich ist. Besondere Regeln gelten künftig für das „Profiling“, also jede Art der automatisierten Verarbeitung personenbezogener Daten, die dazu dient bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, analysieren oder vorherzusagen (z.B: Bonitätsprüfungen).-

Im juristischen Fokus liegt auch die umfassende Beurteilung der AGB, laufenden Verträge, die Prüfung von Dienstverträgen, Betriebsvereinbarungen, Dienstordnungen und internen wie auch im Einsatz mit Kunden verwendeten Datenschutzerklärungen, sowie die Prüfung von sämtlichen Website-Funktionen, -Voreinstellungen und Inhalten. Ebenso sind bestehende Verträge mit Datendienstleistern zu prüfen.
<
In einem weiteren Schritt sind die Ergebnisse mit den neuen Anforderungen der DSGVO in Einklang zu bringen.
Es gilt die Informationspflichten und Betroffenenrechte (Auskunftsrecht, Recht auf Richtigstellung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und Recht auf Vergessenwerden) zu wahren und geeignete interne Prozesse dafür aufzusetzen. Dabei ist unter anderem zu unterscheiden, ob die Daten bei Betroffenen direkt erhoben werden oder nicht. Außerdem müssen die Herausforderungen der neuen Grundsätze erfolgreich umgesetzt werden, wie z.B. die „Datenschutz-Folgenabschätzung“ (impact assessment) samt möglicherweise erforderlicher Vorabkonsultation der Aufsichtsbehörde, oder ob der Datenschutz durch das technische Design der IT Systeme und die getroffenen Voreinstellungen (data protection by design and default) in Verbindung mit den organisatorischen Maßnahmen wirksam ist. Ergänzt werden muss das durch umfassende Unternehmensrichtlinien zu Datensicherheitsmaßnahmen und definierten Prozessen zur Vermeidung und nötigenfalls zur Meldung von Datenschutzverletzungen. Zudem gilt es zu klären, ob ein Datenschutzbeauftragter erforderlich sein wird (Achtung: dieser ist kein verantwortlicher Beauftragter nach § 9 Abs 2 VStG, sodass die Verantwortung bei der Geschäftsleitung verbleibt).

Fangen Sie jetzt an den bereits absehbaren Änderungsbedarf zu identifizieren und planen Sie die erforderlichen Projekte rechtzeitig. Insbesondere die Änderungen an IT Systemen benötigen einen längeren Zeitraum, aber auch die Anpassung von Geschäftsabläufen. Bedenken Sie außerdem die frühzeitige Involvierung aller wichtigen Beteiligten, wie die Aufsichtsbehörde, den Betriebsrat, externe Unterstützung, etc. Ferner müssen die Maßnahmen in allen Auslandsgesellschaften implementiert werden und dem gleichen Schutzniveau entsprechen.

„Ergänzt werden müssen diese Maßnahmen durch umfassende Anpassungen und Ergänzungen in den Unternehmensrichtlinien zu den Thematiken des Datenschutzes“ führt Frau Bolek-Fügl, Senior Manager bei der BDO Austria in Wien aus. „Es muss ein juristisch fundiertes Gesamtkonzept erstellt werden, das nicht nur alle Datenverarbeitungsprozesse, sondern auch alle Verträge, insbesondere auch den Auftritt gegenüber dem Kunden (etwa Webshops) und Mitarbeiterschulungen, umfasst. Dies stellt eine große Herausforderung dar.“ pflichtet Johannes Duy, Partner der Duy Rechtsanwalt GmbH, bei.

Der nicht zu unterschätzende Aufwand rechtfertigt sich insbesondere durch einen Blick auf die massiven Ausmaße des Strafrahmens für Verstöße gegen die Datenschutz-Grundverordnung. Mit einer Höchstgrenze von 20 Millionen Euro bzw. 4% des konzernweiten Jahresumsatzes (wobei der jeweils höhere Betrag greift), ist dieses Gesetzt auch Anlass für grundlegende Fragen zur Reform des österreichischen Verwaltungsstrafrechts. Die Frage nach dem Recht auf einen gesetzlichen Richter, der Wegfall des Kumulationsprinzips sowie das Prinzip der Verschuldensvermutung sind nur 3 Beispiele dafür.

Zusammenfassend zeigt dies, dass das Thema einen besonders hohen Einflußfaktor auch über den rein datenschutzrechtlichen Bereich hinaus auf ein Unternehmen hat und erhöhte Sensibilität erfordert. Ein ehest mögliches befassen mit den soeben veröffentlichten österreichischen Entwürfen und den Vorgaben der DSGVO ist auf jeden Fall zu empfehlen.

EU-DATENSCHUTZ-GRUNDVERORDNUNG (EU-DSGVO)
DIE UMSETZUNGSPHASE BEGINNT

Die EU Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) wird am 25. Mai 2018 in Kraft treten. Durch die unmittelbare Geltung der Verordnung mussten die bestehenden nationalen datenschutzrechtlichen Regelungen adaptiert werden. Das lang erwartete Datenschutz-Anpassungsgesetz 2018 wurde knapp vor der parlamentarischen Sommerpause – aber ohne Änderung der bestehenden Verfassungsbestimmungen zum Datenschutz – beschlossen und am 31. Juli 2017 im Bundesgesetzblatt BGBl. I 120/2017 veröffentlicht.

Bis zum Inkrafttreten der EU-Datenschutz-Grundverordnung haben nunmehr alle Unternehmen, unabhängig von ihrer Größe, in nur kurzer Zeit ihre Datenanwendungen und alle Prozesse im gesamten Bereich des Datenschutzes zu überprüfen und an die neuen Vorgaben anzupassen. Es gilt existierende Arbeitsabläufe, Templates, Checklisten und Vertragsdokumente zu überprüfen und gezielt zu überarbeiten.

Der Teufel steckt im Detail – was sind die wichtigsten Punkte für Ihr Unternehmen?

Die Erfüllung der vielen Detailverpflichtungen stellt eine große Herausforderung für Ihr Unternehmen dar. Essentiell ist es, die künftige Bedeutung des Datenschutzes zu erkennen und strategisch wie operativ anzugehen. Es wird notwendig sein, eine Compliance-Struktur zum Schutz der personenbezogenen Daten zu entwickeln, die geeigneten Grundsätze und Maßnahmen, aber auch den dazu notwendigen organisatorischen Aufbau zur Einhaltung des Datenschutzes festzulegen. Die neue Verordnung sieht für alle Unternehmen ein verpflichtend zu führendes Datenanwendungsverzeichnis samt Risiko- und Folgenabschätzung für die Betroffenen vor. Damit wird der Datenschutz zu einem festen Bestandteil des eigenen Risikomanagements. Die gesamten praktischen Aufgaben ergeben sich ganz zwangsläufig daraus.

Was geschieht, wenn in Ihrem Unternehmen nichts passiert?

Die Europäische Datenschutz-Grundverordnung sieht dafür empfindliche Geldbußen von bis zu 20 Mio. Euro oder bis zu 4 % des globalen Unternehmensumsatzes vor. Die Geldbußen sind extra so hoch gewählt, denn sie sollen wirksam und abschreckend sein.

Wir sind aber davon überzeugt, dass diese Aufgaben nicht nur eine lästige Pflicht darstellen, sondern bei gezielter Bearbeitung auch ein hohes Potential für einen wirtschaftlichen Mehrwert für Ihr Unternehmen haben werden. Das kritische Durchleuchten eigener Prozesse, die Steigerung der eigenen Datenqualität und die gezielte Reduktion der Datenquantität auf das Wesentliche sind dabei wichtige Elemente.

Sicherheit durch kombinierte Lösungen!

Die komplexen Fragestellungen der EU-DSGVO verlangen vernetztes Denken und kombinierte Lösungen.Durch die Partnerschaft zwischen der DUY Rechtsanwalt GmbH und der BDO Austria GmbH haben wir auch die Möglichkeit, für Ihre Herausforderungen ein interdisziplinäres Team aus den Bereichen Legal, Compliance, IT Audit & Advisory anzubieten.

Verschaffen Sie sich bei unserer Informationsveranstaltung einen Überblick und machen Sie sich EU-Datenschutzfit. Lernen Sie mit uns gemeinsam die Herausforderungen, aber auch das Potential der EU-DSGVO kennen und erfahren Sie von unseren Experten aus den Bereichen Recht, IT und Audit wie Sie die neuen Regelungen erfüllen und zu Ihrem Vorteil nutzen können.

  • Der Teufel steckt im Detail – was sind die wichtigsten Punkte für Ihr Unternehmen?
  • Was geschieht, wenn in Ihrem Unternehmen nichts passiert?
  • Umsetzungsschritte und Projektaufbau
  • Häufige Fragen

Diskutieren Sie mit den Experten:

  • MMag. Johannes Duy, MBA
    Rechtsanwalt der spezialisierten Kanzlei Duy Rechtsanwalt GmbH
  • Mag. Phillip Stempkowski
    Rechtsanwaltsanwärter bei der Duy Rechtsanwalt GmbH
  • Mag. Markus Trettnak
    Wirtschaftsprüfer, Steuerberater und Partner der BDO Austria GmbH
  • Mag. Christoph Achzet
    Wirtschaftsprüfer, Steuerberater und Partner der BDO Austria GmbH

 

ORT: BDO, Kohlmarkt 8-10, Eingang Wallnerstraße 1, 1010 Wien
DATUM: Mittwoch, 13. September 2017
ZEIT: 18.00 Uhr Empfang
18.30 Uhr bis 20.00 Uhr Impulsvorträge und Diskussion, anschließend Get Together

Um Ihre Anmeldung bis zum 08. September 2017 wird gebeten unter: events@bdo.at
Wir weisen Sie darauf hin, dass die Teilnehmerzahl begrenzt und die Einladung nicht übertragbar ist.

PDF