Payment & Banking Fintech Podcast

Was Open Finance wirklich braucht Von der Konfrontation zur Kooperation Was heute oft wie ein Buzzword klingt, war vor einigen Jahren noch echtes Neuland. Jenke beschreibt, wie sich das Verhältnis zwischen Banken und Fintechs verändert hat: „Anfangs war das stark konfrontativ. Fintechs gegen Banken. Aber über gemeinsame Runden bei der BaFin, in API-Workshops oder Branchengremien ist ein neues Verständnis entstanden.“ Open Banking funktioniert – wenn man es will Dass Open Banking gescheitert sei, wie manche Kritiker:innen behaupten, kann Jenke nicht nachvollziehen. Sie nennt konkrete Beispiele: etwa den vollautomatisierten Kreditantragsprozess der DKB auf Basis von Echtzeitdaten via Tink. Hier werden Lohnabrechnungen und Haushaltsrechnungen nicht mehr manuell eingereicht, sondern intelligent und DSGVO-konform abgerufen. Ein Mehrwert, auch in puncto Geschwindigkeit, Fehlervermeidung und UX. Die Debatte um fehlende Use Cases sieht sie daher kritisch: „Wer behauptet, es gäbe keine Kundennachfrage, hat den Markt nicht genau angeschaut oder Angst vor dem Verlust der Datenhoheit.“ Was Finanzdatenhalter jetzt brauchen Laut Jenke braucht es für eine erfolgreiche Open-Finance-Strategie drei zentrale Schritte: Aufzählungs-TextStrategie: Banken und Versicherer müssen verstehen, welche Daten sie haben und welchen Mehrwert sie daraus für ihre Kund:innen schaffen können. Aufzählungs-TextInfrastruktur: Es reicht nicht, nur regulatorische Mindestanforderungen zu erfüllen. APIs müssen leistungsfähig, sicher und skalierbar sein. Aufzählungs-TextMarktzugang: Wer sich nicht als aktiver Teil eines Ökosystems sieht, wird im Wettbewerb um die Kundenschnittstelle verlieren. FIDA als neue Chance – aber auch als Risiko Mit FIDA (Financial Data Access) geht Open Finance in Europa in die nächste Runde. Jenke begrüßt den klaren Regulierungsrahmen, mahnt aber zur Balance: „Die EU sollte Leitplanken setzen, aber nicht so eng, dass Innovation von vornherein ausgebremst wird.“ Ein umstrittener Punkt ist die Monetarisierung von Schnittstellen: Während PSD2 den kostenlosen Datenzugang vorschreibt, soll FIDA hier mehr Spielraum lassen. Sie plädiert für Augenmaß: „Der Zugang zu Kundendaten sollte nicht kommerzialisiert werden – wohl aber die Qualität, Frequenz und Services drumherum.“ Kooperation statt Datenmauern Eine der zentralen Erkenntnisse der Folge: Daten sollten nicht nur ausgetauscht, sondern gemeinsam genutzt werden. Jenke nennt als positives Beispiel die automatisierte Haushaltsrechnung, aber auch neue Anwendungsfälle wie KI-basierte Finanzassistenten, die auf angereicherten Datenquellen basieren – unter Wahrung der Kund:innen-Souveränität. Gerade im B2B2C-Modell sieht sie enormes Potenzial: „Wer Daten teilt, kann sie veredeln – und daraus Produkte schaffen, die ohne Partnerschaft nicht möglich wären.“ Tink, Visa und der Anspruch, Brücken zu bauen Zum Schluss gibt Jenke einen Einblick, wie Tink sich im Markt positioniert: „Wir verstehen uns als Technologiepartner und Brückenbauer zwischen Banken, Fintechs, Startups und Versicherern.“

mit André Bajorat & Jochen Siegert Die digitale Identität ist ein wachsendes und komplexes Feld. N26 hat weiterhin mit Personalwechseln zu kämpfen. eToro bringt eine Visa Debitkarte nach Europa. Ivy kooperiert mit Circle für Stablecoin-Transaktionen. Allunity hat erfolgreich einen Euro Stablecoin eingeführt. UpWest entwickelt digitale Rentenlösungen. WeFox erhält 151 Millionen Euro zur Finanzierung. SumUp bringt ein neues All-in-one Terminal auf den Markt. - Revolut hat eine beeindruckende Bewertung von 65 Milliarden Euro. Kurze Richtigstellung: Qonto hat die Banklizenz nicht bei der BaFin, sondern bei der französischen Aufsicht beantragt. Bisher haben sie es offiziell bestätigt, dass der Antrag gestellt wurde – die Lizenz haben sie noch nicht erhalten. Perspektivisch würden sie dann über das EU-Passporting agieren.

mit Dana Wondra & Peter Frey von Annerton Die Reform des Zahlungsdiensterechts schreitet voran und mit ihr verschieben sich die Verantwortlichkeiten. In der dritten Folge unserer Podcastreihe zu PSD3 und PSR sprechen Dana Wondra und Peter Frey über eines der sensibelsten Themen der neuen Regelwerke: Haftung und Schutz vor Betrug. Denn während bisher vor allem die Haftung für unautorisierte Zahlungen im Mittelpunkt der Haftungsfragen stand, will die EU nun auch bei betrügerischen autorisierten Zahlungen neue Maßstäbe setzen. Der Begriff „Social Engineering“ ist längst keine Randnotiz mehr, sondern ein Auslöser für tiefgreifende regulatorische Konsequenzen. Was genau zählt als autorisierte Zahlung? Welche Rolle spielt der Zahlungszweck? Und wie sehr verschiebt sich die Beweislast, wenn ein Fall von Betrug im Raum steht? Im Gespräch zeigt Peter Frey, wie die EU versucht, Betrugsrisiken stärker systemisch zu begegnen. Mit neuen Schulungspflichten, verschärften Anforderungen an Kundenkommunikation und präventiven Maßnahmen wie dem IBAN/Name-Check. Besonders brisant: In bestimmten Konstellationen könnten Zahlungsdienstleister künftig selbst dann haften, wenn die Zahlung formal korrekt autorisiert wurde, etwa wenn Nutzer:innen durch Identitätsbetrug oder raffinierte Täuschung zur Freigabe verleitet wurden. Ein komplexes Spannungsfeld zwischen Sicherheit, Nutzerfreundlichkeit und Zumutbarkeit und eines, das für alle Marktteilnehmer enorme praktische Relevanz haben wird.

mit Maik Klotz & Sascha Dewald Maik Klotz und Sascha Dewald sind zurück, um ein Update zu allem rund um KI, Finanzen und Payment zu geben. Im Mittelpunkt stehen diese Woche die Fortschritte rund um das MCP-Protokoll, das den Zahlungsverkehr effizienter und sicherer macht und neue Möglichkeiten für Banken und Fintechs eröffnet. Claude for Finance ist ein weiteres aktuelles Highlight: Das Tool übernimmt repetitive Analystenaufgaben, liefert fundierte Reports in Sekunden und könnte damit den Alltag von Junior‑Analysten komplett verändern. Auch die geopolitische Dimension der KI kommt nicht zu kurz. Sascha und Maik sprechen über Trumps Stargate-Projekt, die massiven Investitionen von OpenAI und Oracle in Rechenzentren und die zunehmende Bedeutung des Energiebedarfs als strategischer Faktor für die KI-Entwicklung. Gleichzeitig werfen sie einen Blick auf die praktischen KI-Anwendungen im Banking. KI-Agenten beschleunigen Workflows, Smart Devices und neue Tools vereinfachen den Alltag, und der neue AI‑Browser Comet zeigt, wie sich die Interaktion mit dem Internet schon bald verändern könnte. Dabei bleibt Online-Sicherheit ein zentrales Thema, denn nur wer Vertrauen aufbaut, kann KI-gestützte Prozesse langfristig erfolgreich einsetzen. 5 Takeaways: MCP-Protokolle verändern den Zahlungsverkehr und schaffen neue Chancen für Banken und Fintechs. Claude for Finance automatisiert Analystenaufgaben und beschleunigt Reporting-Prozesse. Politische Strategien und Energiebedarf bestimmen die Geschwindigkeit der globalen KI‑Entwicklung. Online‑Sicherheit und Datenschutz sind unverzichtbar für den Einsatz von KI im Finance‑Umfeld. Smart Devices und KI‑Agenten verändern Arbeitsprozesse und den Finanzalltag nachhaltig. Viel Spaß beim Hören! Shownotes Mollie bringt MCP‑Plugin: https://www.mollie.com/growth/mollie-mcp Claude for Finance vorgestellt: https://www.anthropic.com/news/claude-for-financial-services Trump: Amerika wird das KI‑Rennen gewinnen: https://www.heise.de/news/Trump-Amerika-wird-das-KI-Rennen-gewinnen-10498607.html Bericht: Noch kein Vertrag für Trumps KI‑Bündnis: https://www.handelsblatt.com/technik/ki/bericht-noch-kein-einziger-vertrag-fuer-trumps-ki-buendnis-abgeschlossen/100143324.html OpenAI, Oracle und Meta im Supercomputer‑Wettrennen: https://www.heise.de/news/OpenAI-Oracle-und-Meta-im-Wettrennen-um-die-groessten-Gigawatt-Supercomputer-10496337.html Sam Altman warnt vor eigenem ChatGPT‑Agenten: https://www.heise.de/news/Sam-Altman-raet-vom-eigenen-ChatGPT-Agenten-ab-10494062.html OpenAI startet Stargate Norway: https://openai.com/index/introducing-stargate-norway/ OpenAI bereitet GPT‑5 vor: https://www.theverge.com/notepad-microsoft-newsletter/712950/openai-gpt-5-model-release-date-notepad Deutschlands KI‑Agenda im Fokus: https://www.tagesschau.de/wirtschaft/digitales/chipsfabriken-hightech-agenda-102.html Zuckerberg: Ohne KI‑Brillen bist du benachteiligt: https://techcrunch.com/2025/07/30/zuckerberg-says-people-without-ai-glasses-will-be-at-a-disadvantage-in-the-future/ Alibaba zeigt erste KI‑Brille: https://www.scmp.com/tech/big-tech/article/3319701/alibaba-previews-its-first-ai-powered-glasses-joining-chinas-heated-smart-wearable-race Frankfurter Flughafen testet KI‑Bildanalyse: https://www.heise.de/news/Frankfurter-Flughafen-KI-Bildanalyse-soll-Flugzeugabfertigung-beschleunigen-10498460.html Aleph Alpha bekommt neuen Co‑CEO: https://www.handelsblatt.com/technik/ki/aleph-alpha-reto-spoerri-wird-co-chef-personalie-heizt-spekulationen-an/100143830.html Tools Lumo Tool: https://lumo.proton.me/guest Higgsfield Reference (Steal): https://chromewebstore.google.com/detail/higgsfield-reference/oohmjaflbknghbidmaoonmchcodhmkgj Opal: http://opal.withgoogle.com Disclaimer Was ihr hier hört, sind unsere Gedanken und Meinungen, nicht die unserer Arbeitgeber, Zimmerpflanzen oder Haustiere. Als Enthusiasten versuchen wir euch Einblicke in die Welt von künstlicher Intelligenz in Finance zu geben, aber wir sind nur AI-Enthusiasten, keine Hellseher. Unsere Einschätzungen könnten genauso gut aus einem Horoskop stammen. Also, macht's euch gemütlich und genießt die Show!

Mit Dr. Carlos Nasher & Nicole Nitsche Was noch vor wenigen Jahren als simpel galt – Geld von A nach zu B bewegen –, ist heute ein hochkomplexes Feld, von Account to Account bis Künstliche Intelligenz, von Echtzeitüberweisung bis Embedded Finance. Unternehmen, Regulatoren und Technologieanbieter liefern sich ein Wettrennen um die klügsten Lösungen, neue Geschäftsmodelle und sichere, nutzer:innen-freundliche Prozesse. Doch wie steht es wirklich um den aktuellen Status – und wie sieht der Ausblick für die nächsten Jahre aus? Mit Carlos Nasher (Managing Partner bei Thede Consulting) haben wir einen echten Experten der Branche zu Gast. Er spricht über grundlegende Marktumwälzungen in der VUKA-Welt über die Chancen und Grenzen digitaler Währungen und europäischer Initiativen, bis hin zu den Game-Changern der Branche wie Embedded Finance und KI. Es erwarten euch Antworten auf die dringendsten Fragen: Ist der digitale Euro Hoffnungsträger oder Parallelangebot? Wer gibt beim Thema Embedded Finance wirklich den Takt vor? Wo geht im Dickicht der Regulierung der Überblick verloren – und wo liegen „blinde Flecken“ bei Cyber Security und KI? Und wie werden digitale Identitäten, eIDAS und Data Analytics die Customer Experience langfristig verändern? https://paymentandbanking.com/whitepaper-so-koennte-sich-die-payment-branche-entwickeln/

mit Dana Wondra & Peter Frey von Annerton Die PSD3 bringt neue Regeln für Zahlungsinstitute, während die PSR erstmals direkt in allen Mitgliedstaaten gilt – und zwar nicht nur für Institute mit Lizenz, sondern auch für technische Dienstleister, Plattformen und Mobilfunkanbieter. Ziel ist mehr Sicherheit, weniger Missbrauch und ein funktionierender Binnenmarkt. Doch die Abgrenzung ist nicht immer einfach. Wer unter PSD3 und PSR fällt – und wer nicht Während die PSD3 wie bisher Zahlungsinstitute erfasst, geht die PSR in ihrem Anwendungsbereich deutlich weiter: Sie gilt auch für Banken, technische Dienstleister und Betreiber von Zahlungssystemen – etwa im Rahmen der Betrugsprävention. E-Geld-Institute werden künftig nicht mehr gesondert behandelt, sondern als Zahlungsinstitute geführt. Der Katalog der Zahlungsdienste selbst bleibt weitgehend unverändert. Neu ist hingegen: Auch Anbieter elektronischer Kommunikationsdienste können unter die PSR fallen – etwa im Hinblick auf Pflichten im Zusammenhang mit Betrugsprävention. Ausnahmen mit Folgen – von Cashback bis Konzernzahlungen Viele bislang geltende Ausnahmen bleiben bestehen, etwa für Handelsvertreter oder geschlossene Zahlungssysteme wie Tankkarten oder Gutscheine (Limited Network/Range). Auch die Konzernausnahme wird übernommen – jedoch mit einer Erweiterung: Zukünftig sind bestimmte konzernexterne Zahlungen erfasst, was besonders für Payment-Factories relevant ist. Neu ist eine Ausnahme für Bargeldauszahlung im Einzelhandel ohne vorherigen Kauf – bis zu 150 Euro. Auch das Thema Cashback wird konkretisiert, bleibt im Kern aber bestehen. Registrierung statt Lizenz – was Open-Banking-Anbieter und ATM-Betreiber erwartet Nicht alle Anbieter brauchen künftig eine Lizenz: Für Kontoinformationsdienste bleibt das bekannte Registrierungsverfahren bestehen. Neu hinzu kommt eine Registrierungspflicht für unabhängige Geldautomatenbetreiber – ein Bereich, der bisher rechtlich umstritten war. MiCAR trifft PSD3 – Gefahr der Doppelregulierung? Kritisch wird es beim Zusammenspiel mit der MiCAR-Verordnung. E-Geld-Token gelten künftig als reguliertes E-Geld – und unterfallen damit zugleich der PSD3/PSR. Der Rat hat einzelne Ausnahmefälle formuliert, etwa für Transfers zwischen Self-Custody-Wallets oder den Tausch von Token. Doch in der Praxis bleibt vieles unklar. Die Abgrenzung dürfte aufwendig bleiben – und könnte für Kryptodienstleister neue regulatorische Hürden mit sich bringen. Vorschau auf Folge 3 In der nächsten Folge sprechen wir über die neuen Haftungsregeln, Schutzmechanismen gegen Betrug und Social Engineering sowie die Neuverteilung der Sicherheitsverantwortung zwischen Anbietern und Nutzern.

mit Dana Wondra & Peter Frey von Annerton Die EU krempelt das Zahlungsverkehrsrecht um. Mit der neuen Zahlungsdiensterichtlinie PSD3 und der begleitenden Zahlungsdiensteverordnung PSR verfolgt die Kommission ambitionierte Ziele: weniger Betrug, mehr Verbraucherschutz, eine Stärkung von Open Finance und vor allem eine echte Harmonisierung des europäischen Markts. In der ersten Folge der neuen Reihe „Alles Legal – Fintech-Recht kompakt“ spricht Dana Wondra mit Peter Frey, Partner bei Annerton und Experte für Finanzmarktrecht, über die Hintergründe und Auswirkungen des Reformpakets. Besonders im Fokus: Warum aus einer Richtlinie nun zwei Rechtsakte wurden und was das für die Praxis bedeutet. Richtlinie plus Verordnung – was steckt dahinter? Statt wie bisher nur auf eine Richtlinie zu setzen, geht die EU mit PSD3 und PSR nun zweigleisig vor. Die PSD3 bleibt Richtlinie und muss wie gewohnt in nationales Recht umgesetzt werden. Die PSR hingegen ist eine Verordnung und gilt direkt in allen Mitgliedstaaten. Damit entfällt der nationale Umsetzungsspielraum. Das ist ein klarer Schritt in Richtung einheitlicher Rechtsrahmen. Was sich für Deutschland ändert Gerade in Deutschland wird die Umstellung tiefgreifende Folgen haben: Viele Regelungen des ZAG und zivilrechtliche Vorschriften aus dem BGB – etwa zur starken Kundenauthentifizierung oder zu Zahlungsdienstverträgen – werden durch die unmittelbar geltende PSR ersetzt. Das ZAG wird deutlich verschlankt, die §§ 675c ff. BGB verlieren in vielen Fällen ihre Bedeutung. Einheitlicher Markt statt Theorie Ein zentrales Ziel der Reform ist ein funktionierender Binnenmarkt für Zahlungsdienste. Bislang scheiterten grenzüberschreitende Geschäftsmodelle oft an nationalen Besonderheiten. Künftig sollen Zahlungsdienstleister dank klarer, einheitlicher Regeln einfacher EU-weit agieren können. Das ist ein echter Fortschritt für den Wettbewerb. Ausblick: Was noch kommt In den nächsten Folgen der Podcastreihe geht es um zentrale Detailfragen: – Wer fällt unter PSD3 und PSR? – Welche Ausnahmen gelten? – Wie verhalten sich PSD3 und MiCAR zueinander? – Was ändert sich bei der Haftung und dem Betrugsschutz? Das waren die bisherigen Podcastfolgen zu PSD3 PSR: https://youtu.be/QZkqEE-ooc0?si=U1fT9HSnze0NbIf2 https://youtu.be/cioHcJY20tU?si=3fMmta7FjM9GMS https://youtu.be/r-vqQ04kBsY?si=43YfJcjvou517uPV https://youtu.be/R8ChDH4cxvk?si=7WQ3t4WETTBQLBlo https://youtu.be/IJtEt-Cb3S4?si=MPF9ocvKEi0NEDOa https://youtu.be/I5UrYEHa9JI?si=Z08GKKwRdQLFbaoz

Viele Dokumente sind digitalisiert, aber selten sind die Dateien sortiert. Wie die Firma Infosoft das ändern will, erklärt Marketingmanagerin Sarah Karbach in der neuesten „3x3=10”-Episode. Spoiler: Auch Bankapps spielen dabei eine Rolle. In einer Welt, in der Rechnungen, Verträge und Kontoauszüge digitalisiert, aber selten wirklich organisiert sind, braucht es irgendeine kluge Lösung. Könnte das womöglich die Anwendung Docutain sein? In der neuen Folge unseres Podcasts „3x3=10“ sprechen wir mit Sarah Karbach, Marketingmanagerin bei der dafür verantwortlichen Firma Infosoft über die Idee der Lösung – und warum sie mehr als nur eine Scanner-App ist. Zwar begann bei Infosoft alles mit der einfachen Idee, Dokumente schnell per Smartphone zu digitalisieren. Doch längst hat sich die Anwendung zu einem vollwertigen Dokumentenmanagementsystem (DMS) entwickelt, inklusive strukturierter Ablage, OCR-Texterkennung, Schlagwortvergabe und intuitiver Suche. Intuitiv für Privatpersonen – durchdacht für Unternehmen Gerade Privatpersonen sollen von der Lösung profitieren, ohne sich mit überkomplexen Systemen herumschlagen zu müssen. Genau darin sieht Sarah Karbach auch ihr wichtigstes Verkaufsargument: „Viele der etablierten Systeme sind für den privaten Gebrauch viel zu überladen – wir gestalten es einfach und intuitiv." Über Kooperationen mit Multibanking-Apps wie Outbank oder StarMoney ist es zudem möglich, eine gescannte Rechnung direkt aus der Docutain-App heraus zur Zahlung anzuweisen. Anders als viele Wettbewerber speichert Docutain alle Daten ausschließlich lokal auf dem Gerät der Nutzer:innen. Keine Cloud, keine Server, keine Auslesemöglichkeit von außen. „Das ist uns eine echte Herzensangelegenheit“, betont Karbach im Podcast. Gerade in Bereichen mit sensiblen Dokumenten wie Gesundheit oder Finanzen sei dies wichtig. Synergien der Docutain App für Firmenkunden in Form des Docutain SDK Künftig will Docutain auch im Firmenkundenbereich wachsen. Das Marktpotenzial für das Docutain SDK (Scanne, Texterkennen und Extrahieren von Daten) sei weltweit riesig, so Karbach, Immerhin wäre so ein Angebotfür alle Unternehmen interessant, die ihre Prozesse durch digitale Dokumentenverwaltung optimieren möchten. Das sei bei der Transport- und Logistikbranche, Versicherern, im Banken- und Finanzsektor, im Gesundheitswesen, Softwareanbietern und weiteren der Fall. Mit dem jüngsten Produktzweig im SDK-Geschäft, dem Docutain Photo Payment SDK, ermöglicht Docutain auch die Integration einer fertigen Fotoüberweisungsfunktion für Banking-App Anbieter. Ihren Vorteil sieht Karbach wieder beim Datenschutz. Im Gegensatz zum Anbieter Gini findet die Datenerkennung bei Docutain ausschließlich lokal auf dem Gerät statt. Es sind keine externen Server angebunden, wie es beim Konkurrenten der Fall ist. Die Überzeugung: Auf einer Rechnung sind viele sensible Daten enthalten, die Rückschlüsse auf Vorlieben, Krankheitsbilder und Ähnliches erlauben. Diese Informationen spielen für den Prozess der Fotoüberweisung aber keine Rolle, denn gebraucht werden IBAN, Betrag, Verwendungszweck und Empfänger. 🎧 Jetzt die neue Folge mit Sarah Karbach hören!

mit André Bajorat & Roger Gothmann von Taxdoo Mit der Bezeichnung „Taxfluencer” kann Roger Gothmann nicht so wirklich etwas anfangen, aber im Gespräch mit André M. Bajorat im Fintech Podcast kann er nicht von der Hand weisen, dass er sich gerade mit dem Thema Steuern ein Publikum aufgebaut hat. In seinem Newsletter "Skin in the Game" informiert er über die neuesten Innovationen und führt es wie ein Tagebuch über seinen Alltag als Gründer des Steuer-Fintech Taxdoo. Roger war früher Finanzbeamter, bis ihm die Decke auf den Kopf fiel. Im anschließenden Studium an der Uni Hamburg entwickelte er mit seinen Mitgründern Christian und Matthias die Idee für eine Lösung, die E-Commerce-Händler:innen bei der Abwicklung ihrer Umsatzsteuer unterstützt. Möglich wurde der Start des 2015 gegründeten Unternehmens durch das EXIST-Gründerstipendium, das die Entwicklung der ersten Version finanzierte. Heute hilft Taxdoo sowohl kleinen Shops als auch größeren Plattformanbietern, ihre steuerlichen Pflichten effizient zu erfüllen. Die Software analysiert Transaktionen, erkennt Steuerpflichten und erstellt die passenden Reports. Ziel ist es, Fehler zu vermeiden und manuelle Prozesse zu reduzieren – gerade bei grenzüberschreitendem Handel, der durch EU-Vorgaben zunehmend komplex wird. KI, Plattformdenken und Partnerschaft mit Kanzleien Im Gespräch mit André M. Bajorat betont Roger, dass sich der Markt für Steuerberatung stark verändern wird. Mehr Automatisierung, weniger Einzelfallbearbeitung – und langfristig eine stärkere Zentralisierung rund um skalierbare Plattformen. Künstliche Intelligenz spielt dabei eine zentrale Rolle: Sie kann Muster erkennen, Rückfragen reduzieren und Kanzleien bei der Bearbeitung entlasten. Taxdoo arbeitet deshalb eng mit Steuerberater:innen zusammen – nicht als Konkurrenz, sondern als technologische Ergänzung. So können Kanzleien effizienter arbeiten und gleichzeitig ihre Mandant:innen besser betreuen. Für viele Probleme sei weiterhin eine echte Beratung nötig. Jetzt reinhören! Wie Roger vom Finanzbeamten zum Gründer wurde, warum KI die Branche verändert und wieso Taxdoo auf Partnerschaften statt Konkurrenz setzt – erfährst du in der aktuellen Folge des Payment & Banking Fintech Podcasts:

mit Dana Wondra & Josefine Spengler von Annerton Unter DORA sind regelmäßige Sicherheitsprüfungen kein Nice-to-have, sondern Pflicht. In der letzten Folge unserer DORA-Reihe erklärt Fachanwältin für IT-Recht Josefine Spengler, was genau getestet werden muss – und warum sich der Aufwand und ein strategisches Vorgehen dabei lohnen. Sicher ist nur, was geprüft wird – und das regelmäßig, realitätsnah und risikoorientiert. Die letzte Folge der sechsteiligen DORA-Serie von Alles Legal – Fintech-Recht kompakt widmet sich einem der zentralen Elemente des Gesetzes: die Pflicht zu testen, wie robust digitale Prozesse bei Ausfällen oder Angriffen bleiben. Die Anforderungen an Finanzunternehmen sind dabei hoch. Im Gespräch mit Dana Wondra erklärt Josefine Spengler von Annerton, welche Testverfahren DORA konkret verlangt. Während grundlegende (Basis-)Testprogramme für alle Finanzunternehmen verpflichtend sind, unterliegen systemrelevante Unternehmen zusätzlichen Anforderungen: Sie müssen sogenannte Threat-Led Penetration Tests (TLPT) durchführen. Dabei handelt es sich um simulierte Cyber-Angriffe, die auf realistischen Bedrohungen basieren und gezielt die operative Belastbarkeit der jeweiligen Systeme überprüfen. Auch kleinere Unternehmen sind nicht von der Testpflicht ausgenommen: Zwar gelten für Kleinstunternehmen und kleine Institute vereinfachte Regeln, ein risikobasierter Testansatz bleibt dennoch Pflicht. DORA fordert damit nicht bloß Nachweise für die Aufsicht, sondern zielt auf eine tiefere Verankerung von Testing als Teil der unternehmerischen Risikokultur. Warum genau das ein strategischer Hebel für mehr Sicherheit ist, was bei internen Prüfer:innen beachtet werden muss und wie die BaFin über die Pflicht zu erweiterten Tests entscheidet, erfährst du in dieser kompakten Podcastfolge.