Ein Update zur EU Nachhaltigkeitsregulierung des Finanzmarktes

Diesen Sommer geht es bisher Schlag auf Schlag und es gibt zahlreiche Updates zur EU Nachhaltigkeitsregulierung des Finanzmarktes. In diesem Beitrag wollen wir einen Überblick geben, was im Juni und Juli 2023 so alles passiert ist und welche Gesetzesvorhaben noch anstehen.

  • EU Sustainable Finance Package

Im Rahmen des EU Sustainable Finance Package hat die EU-Kommission technische Bewertungskriterien für die bislang noch nicht konkretisierten vier Umweltziele der Taxonomie-Verordnung (Wasser- und Meeresressourcen, Übergang zu einer Kreislaufwirtschaft, Umweltverschmutzung, Biodiversität und Ökosysteme) grundsätzlich genehmigt. Sie müssen nun noch dem EU Parlament und Rat zur Prüfung übermittelt werden. Voraussichtlich ab Januar 2024 sollen sie dann gelten. 

Zudem wurden Ergänzungen zu den bereits bestehenden Konkretisierungen (Klimaschutz, Anpassung an Klimawandel) vorgenommen, mit denen bisher nicht berücksichtigte Wirtschaftstätigkeiten, die zum Klimaschutz und zur Anpassung an den Klimawandel beitragen, ausgeweitet werden, insbesondere im verarbeitenden Gewerbe und im Verkehrssektor.

Ein weiterer zentraler Punkt ist der Entwurf einer Regulierung für ESG Rating Anbieter. ESG Ratings spielen eine wichtige Rolle, denn sie sind häufig Informationsquelle für z.B. Anlagestrategien und Risikomanagementaspekte. Mit der neuen Verordnung soll die Zuverlässigkeit und Transparenz von ESG-Ratings verbessert werden und ESG-Ratinganbieter, die in der EU ihre Dienstleistungen anbieten, von der ESMA zugelassen und beaufsichtigt werden.

  •  Auslegung der Taxonomie-Verordnung

Die EU-Kommission hat eine Bekanntmachung zur Auslegung bestimmter Regelungen der Taxonomie und zu ihrem Zusammenspiel mit der SFDR veröffentlicht. Interessant ist hier vor allem die Klarstellung zu der Frage, ob Taxonomie-konforme Investitionen als nachhaltige Investitionen i.S.d. SFDR gelten. Es wird klargestellt, dass nachhaltige Investitionen i.S.d. SFDR (Beitrag zu einem Umwelt-/Sozialziel, keine Beeinträchtigung der Ziele und Mindeststandard gute Unternehmensführung) Investitionen in ökologisch nachhaltige Wirtschaftätigkeiten umfasst. Denn ökologisch nachhaltig i.S.d. Taxonomie ist eine Tätigkeit per definitionem nur, wenn neben einem Beitrag zu einem Umweltziel und der fehlenden Beeinträchtigung der anderen Ziele auch Mindeststandards der guten Unternehmensführung eingehalten werden. Ökologisch nachhaltige Tätigkeiten i.S.d. Taxonomie erfüllen also die Kriterien der nachhaltigen Investition der SFDR. Dass diese beiden Begrifflichkeiten (handwerklich) noch nicht richtig synchronisiert sind, ist äußerst bedauerlich (hier soll aber vom EU-Gesetzgeber wohl noch Abhilfe geschaffen werden).

  • CSRD Reporting Standards

Veröffentlicht wurde zudem ein erster Entwurf zu Reporting Standards unter der CSRD. Zur Erinnerung: die CSRD gilt grds. auch für Unternehmen des Finanzmarktes.

  • ESMA Call for Evidence zur Abfrage von Nachhaltigkeitspräferenzen

Die ESMA hat einen Call for Evidence zur Abfrage von Nachhaltigkeitspräferenzen beim Kunden im Rahmen der MiFID II-Pflichten veröffentlicht. Durch die Sammlung von Branchenfeedback soll die Entwicklung des Marktes sowie die Umsetzung der Anforderungen an die Abfrage der Nachhaltigkeitspräferenzen beim Kunden besser verstanden werden. Input ist bis September 23 möglich.

  • BaFin Nachhaltigkeitsstrategie

Die BaFin hat ihre Nachhaltigkeitsstrategie veröffentlicht. Die Einhaltung der ESG-Regulierung ist ein Aufsichtsschwerpunkt. Verhinderung von Greenwashing ist dabei ein wesentlicher Treiber. Der Verbraucherschutz bleibt also weiter im Fokus. Durch die BaFin kontrolliert wird insbesondere die Einhaltung der SFDR und die Abfrage der Nachhaltigkeitspräferenzen beim Kunden im Rahmen des Vertriebs. Im Rahmen der Bilanzkontrolle wird die Einhaltung der CSRD überwacht. ESG-Risiken sind im Risikomanagement zu berücksichtigten. Je besser die Datenlage, insbesondere durch Inkrafttreten der CSRD, wird, desto besser können ESG-Risiken auch eingeschätzt werden. Wie stets übt die BaFin auch ihre Aufsicht im Nachhaltigkeitsbereich risikoorientiert aus.

  • Stand der Umsetzung der Nachhaltigkeitsregulierung im Fondsbereich

Wie weit die Umsetzung der Nachhaltigkeitsregulierung im Fondsbereich ist, werden die ESMA und die nationalen Aufsichtsbehörden in einer Common Supervisory Action genauer erheben. Ziel ist, die Einhaltung der Bestimmungen der SFDR und der Einbeziehung von Nachhaltigkeitsrisiken im Risikomanagement zu bewerten. Die Ergebnisse sollen dazu beitragen, einen EU-weit einheitlichen Aufsichtsstandard zu fördern, Verbesserungspotenzial der bestehenden Regulierung zu benennen und Greenwashing-Risiken konkreter zu identifizieren.

  • Update BaFin FAQ zur SFDR und Ausfüllhinweise zu SFDR Templates

Die BaFin hat ihre FAQ zur SFDR abermals aktualisiert. Neu stellt sie auch Ausfüllhinweise zu den vorvertraglichen Templates zu Art. 8 und Art. 9 SFDR zur Verfügung.

  • Und sonst?

Ausstehend ist insbesondere noch eine verbindliche Produktregulierung zu ESG- und Impact-Fonds. Details zu einem ersten Entwurf der ESMA gibt es hier zum Nachlesen. Hierzu soll wohl in Q3 2023 ein Update kommen. Da die SFDR zudem nie als Produktlabel gedacht war, wird es wohl auch noch (weitere) EU-Regelungen zum ESG-Labeling geben. Weiter auf sich warten lässt die Ergänzung der Taxonomie zu den sozialen Zielen. Der Fokus liegt aber zunächst auf der Weiterentwicklung des bestehenden Regelwerks zur ökologischen Nachhaltigkeit.

Das Zukunftsfinanzierungsgesetz oder: Immobilienfonds dürfen Infrastruktur

Mitte April 2023 wurde der Entwurf des Zukunftsfinanzierungsgesetzes (ZuFinG) veröffentlicht. Mit dem ZuFinG soll die Finanzierung von zukunftssichernden Investitionen sichergestellt, also Kapital in z.B. Anlagen zur Gewinnung von erneuerbarer Energie gelenkt werden. Einen Beitrag dazu soll der kapitalträchtige Fondsmarkt leisten. In diesem Blog schauen wir uns an, wie Fonds bisher schon in Infrastrukturprojekte investieren dürfen und welchen Neuerungen das ZuFinG bringen wird.

1. Wie können Fonds bisher schon in Infrastruktur-Projekte investieren?

Nach der derzeitigen Rechtslage können bestimmte Fonds Beteiligungen an Infrastruktur-Projektgesellschaften erwerben. Infrastruktur-Projektgesellschaften sind Gesellschaften, die dem Gemeinwesen dienende Einrichtungen, Anlagen oder Bauwerke errichten, sanieren, betreiben oder bewirtschaften. Derzeit können Fonds also nur indirekt in Infrastrukturprojekte investieren, ein Direkterwerb ist nicht möglich.

2. Was wird zukünftig möglich sein?

Neuerungen gibt es nach dem ZuFinG für (i) Immobilien-Sondervermögen, (ii) Infrastruktur-Sondervermögen und (ii) Spezial-AIF mit festen Anlagebedingungen. Schauen wir uns das im Einzelnen genauer an.

a) Immobilien-Sondervermögen: Neuer Anlagegegenstand und Erweiterung Bewirtschaftungsgegenstände

Zukünftig dürfen offene Publikumsfonds in Form von Immobilien-Sondervermögen (§§ 230 ff KAGB)unbebaute Grundstücke erwerben, die für die Errichtung von Erneuerbare-Energien-Anlagen bestimmt und geeignet sind. Eine Bebauung des Grundstücks mit einem Gebäude ist nicht notwendig. Damit wird es möglich, in Erneuerbare-Energien-Anlagen auch dann zu investieren, wenn kein unmittelbarer baulicher Zusammenhang mit einem Gebäude besteht (sog. Freiflächenanlagen). Erworben werden können zukünftig also explizit Grundstücke, auf denen sich nur Freiflächenanlagen befinden bzw. befinden sollen.

Um den Charakter des Immobilienfonds zu wahren, muss aber weiterhin ein gewisser Grundstücksbezug des Fondsinvestments erhalten bleiben. Anlagen, die sich auf Grundstücken ohne Bezug zum Immobilienfonds befinden, dürfen daher nicht erworben werden.  Zudem soll der Erwerb von Erneuerbare-Energie-Anlagen auch nicht zum Hauptzweck des Immobilienfonds werden. Angemessen ist eine Beimischung, sodass eine Anlagegrenze von 15% des Wertes des Fonds vorgesehen ist.

Was ist mit Aufdachanlagen und E-Ladestationen?

Schon nach der bisherigen Rechtslage durften Aufdachanlagen oder sonstige Anlagen, die in einem gewissen baulichen Zusammenhang mit einem Gebäude stehen (z.B. E-Ladestationen), (wohl) als Bewirtschaftungsgegenstand von dem Fonds für sein Gebäude erworben werden; aber nur dann, wenn die von der Anlage produzierte Energie für das Gebäude benötigt oder von dessen Mietern abgenommen wurde. Mit dem ZuFinG wird nun klargestellt, dass Aufdachanlagen und E-Ladestationen auch dann als Bewirtschaftungsgegenstand vom Fonds erworben werden dürfen, wenn sie mehr Energie produzieren, als für das Gebäude benötigt wird oder von dessen Mietern nicht abgenommen wird.

Die Klarstellung erweitert damit den Begriff des Bewirtschaftungsgegenstandes. Auch wenn Aufdachanlagen, die mehr Energie produzieren, als vom Fonds-Gebäude oder dessen Mietern benötigt wird, und E-Ladestationen in einem strengen technischen Sinne nicht für das Gebäude erforderlich sind, dürfen sie nunmehr erworben werden. Diese Klarstellung ist zu begrüßen, denn nur so kann den geänderten Marktansprüchen an die technische Gebäudeausstattung entsprochen werden und der Immobilienfonds damit wettbewerbsfähig bleiben.

Was ist mit dem Betrieb von Freiflächenanlagen, Aufdachanlagen und E-Ladestationen?

Klargestellt wird schließlich auch, dass Freiflächenanlagen, Aufdachanlagen und E-Ladestationen vom Immobilienfonds betrieben werden dürfen, ohne dass der Fonds dadurch seinen vermögensverwaltenden Charakter verliert und sich zu einem operativ tätigen Unternehmen wandelt. Der Betrieb schließt dabei ausdrücklich auch den Verkauf von Strom mit ein.

b) Infrastruktur-Sondervermögen und Spezial-AIF: Erweiterung Anlagekatalog

Zukünftig dürfen offene Publikumsfonds in Form von Infrastruktur-Sondervermögen (§§ 260a ff KAGB) und offene Spezial-AIF mit festen Anlagebedingungen (§ 284 KAGB) direkt in Erneuerbare-Energien-Anlagen investieren. Bisher war nur der indirekte Erwerb über Infrastruktur-Projektgesellschaften möglich. Anders als bei Immobilienfonds ist bei Infrastrukturfonds ein Bezug der Erneuerbaren-Energien-Anlage zu einem Fondsgrundstück nicht erforderlich.

3. Zeitplan und Fazit

Geplant ist, dass das Gesetzgebungsverfahren zum ZuFinG Ende 2023 abschlossen ist. Mit wesentlichen Änderungen der Entwurfsfassung des ZuFinG ist derzeit nicht zu rechnen. Die geplanten Änderungen eröffnen gerade Immobilienfonds neue Anlageoptionen und tragen den aktuellen Ansprüchen an die technische Ausstattung eines Gebäudes Rechnung. Das beträchtliche Potential des Fondsmarktes, einen finanziellen Beitrag zur Energiewende zu leisten, wird mit dem ZuFinG weiter ausgeschöpft.

AI in Financial Services: embracing the new reality

For more than a decade, the use of innovative technologies has been dramatically reshaping the financial services sector that we know. Use of online banking apps, chat-bots and innovative payment solutions has become a new normal for consumers around the globe and some more advanced technological breakthroughs like crypto-assets are becoming ever less strange area for a great number of people as well. In the background, financial institutions have been leveraging the use of new technologies for the more efficient provision of financial services, from cloud computing, algorithmic and high frequency trading systems all the way to the distributed ledger technology (DLT).

Aiming to achieve better cost and time efficiency as well as better customer experience and investment outcome, financial institutions are competing with each other in a continuous race all looking to get the answer to the same question: what is going to be “the next big thing”?

End of last year, the wider public was for the first time able to see the capabilities of generative artificial intelligence (AI) based systems following the release of the chat-bot called „ChatGPT”. This sent the shockwaves throughout the world as well as the clear signal to big enterprises, including the financial institutions, that investment in AI shall be put (back) on the top of their agenda in the years to come.

It is no secret anymore that businesses and governments around the world are increasingly focusing on AI since according to some estimations, it is expected that AI could contribute up to $15.7 trillion to the global economy in 2030 by increasing productivity across various sectors.

In our latest publication, our experts Dr. Verena Ritter Döring (Partner, Banking & Finance Regulatory) and Miroslav Đurić (Associate, Banking & Finance Regulatory) analyse legal and regulatory aspects of the use of AI based systems in the financial services sector, by focusing on the existing challenges and upcoming regulatory developments in this space.

Kontoinformationsdienste und Finanztransfergeschäft – BaFin aktualisiert ihre Verwaltungspraxis zum ZAG

Mitte Februar hat die BaFin das Merkblatt zum ZAG und mithin ihre Verwaltungspraxis aktualisiert. Für die Praxis erfreuliche Klarstellungen hat sie insbesondere zu Kontoinformationsdiensten (Account Information Services – AIS) und dem Finanztransfergeschäft aufgenommen. Darauf wollen wir einen genaueren Blick werfen.

AIS nur mit Kundencredentials

AIS sind Online-Dienste zur Mitteilung konsolidierter Informationen über ein Zahlungskonto des AIS-Nutzers, das er bei seiner Bank führt. Allgemein bekannt sind z.B. Apps, mit denen man als Kontoinhaberin z.B. monatliche Ausgaben in verschiedene Kategorien, z.B. Versicherungen, Lebensmittel etc., einteilen und graphisch aufbereitet darstellen lassen kann.

Sehr zu begrüßen ist, dass die BaFin nun ausdrücklich klarstellt, dass AIS nur erbracht werden, wenn der Zahlungsdienstleister vom Kunden dessen Kontozugangsdaten (sog. Credentials, z.B. PIN, TAN) erhält und mit diesen auf das Konto des Kunden zugreifen kann. Nicht als AIS zu qualifizieren sind daher Dienste, bei denen dem Kunden zwar (weiterverarbeitete) Kontoinformationen zur Verfügung gestellt werden, der Kontozugriff aber nicht mittels der Kundencredentials erfolgt. Keine AIS sind daher Dienstleistungen, bei denen der Kontozugriff des Dienstleisters aufgrund einer Vollmacht erfolgt, auf deren Grundlage er vom kontoführenden Institut des Kunden eigene Credentials für den Kontozugriff erhält. In diesen Fällen kann der Kontoinhaber sein Schutzbedürfnis hinsichtlich eines nicht ausufernden Zugriffs auf sein Konto bereits mit der von ihm erteilten Vollmacht regeln und braucht nicht den Schutz einer ZAG-Regulierung.

Für den klassischen AIS, der sich an eine Vielzahl von Kunden richtet und häufig via App zur Verfügung gestellt wird, wird die Vollmachtslösung aber weiterhin keine Option sein. Der Anwendungsbereich des erlaubnispflichtigen AIS wird durch die Klarstellung der BaFin daher nicht kleiner werden. Der Grund ist schlicht, dass für klassische AIS via App individuelle Kontovollmachten von einer Vielzahl von Nutzern schlicht nicht praktikabel sind. Zudem ist äußert fraglich, ob der klassische AIS-App Nutzer dem Dienstleister eigene Zugangscredentials auf sein Konto einräumen würde. Die Vollmacht wird daher weiterhin nur eine Lösung für individuellere Dienstleistungen sein, bei denen nur wenigen, ausgewählten Personen Zugriff auf das Konto gewährt werden soll.

Auch beim Finanztransfergeschäft gibt es eine Vollmachtslösung…

Beim Finanztransfergeschäft wird der Zahlungsdienstleister als Bote für Zahlungen zwischen Zahler und Zahlungsempfänger tätig; die Gelder fließen in der Regel über ein Treuhandkonto des Dienstleisters, der damit Zugriff auf für ihn rechtlich fremde Gelder erhält. Das Finanztransfergeschäft ist ein Zahlungsdienst, bei dem der Zahlungsdienstleister selbst kein Zahlungskonto für seinen Kunden führt.

Erlaubnispflichtiges Finanztransfergeschäft wird auch dann schon erbracht, wenn der Zahlungsdienstleister an ein Konto des Kunden (nur) anknüpft, das dieser bei seiner Bank führt, etwa, indem er sich eine entsprechende Vollmacht einräumen lässt. Durch die Nutzung der Vollmacht erhält der Zahlungsdienstleister eigenständige Befugnisse für Geldtransfers und damit Zugriff auf fremde Gelder, was ein ureigenes Merkmal des Finanztransfergeschäfts ist.

Ist die Vollmacht aber eng genug ausgestaltet und werden damit die Zugriffsrechte des Zahlungsdienstleisters eingeschränkt, besteht, ähnlich wie im Rahmen der AIS, kein aufsichtsrechtliches Schutzbedürfnis. Die BaFin geht von einer ausreichend engen Vollmacht aus, wenn sie bedingungslos und jederzeit widerruflich ist, die Verfügungsmacht des Kontoinhabers über sein Konto unbeschränkt bleibt, konkret die vom Dienstleister zu erbringengen, zahlungsbezogenen Dienstleistungen benennt und offenkundig kein geldwäscherechtliches Risiko besteht.

Die Verwaltungspraxis der BaFin sollte aber nicht dahingehend missverstanden werden, dass bei einer Vollmachtslösung nie erlaubnispflichtiges Finanztransfergeschäft erbracht werden kann. Umgehungen des erlaubnispflichtigen Finanztransfergeschäfts über die Vollmachtslösung beugt die BaFin vor, indem sie weiterhin prüft, ob wirtschaftlich ein Bezahlverfahren etabliert wird. Ist das der Fall, wird, trotz Vollmachtslösung, Finanztransfergeschäft erbracht; es besteht weiterhin ein Aufsichtsbedürfnis.

… und eine Klarstellung zum Umfang der Inkasso-Ausnahme

Schließlich ist es sehr zu begrüßen, dass die BaFin wieder ausführlicher ihr Verständnis der sog. Inkasso-Ausnahme in ihr Merkblatt aufnimmt. Die Inkassotätigkeit ist im Rechtsdienstleistungsgesetz (RDG) definiert als die Einziehung fremder oder zum Zweck der Einziehung auf fremde Rechnung abgetretener Forderungen, wenn die Forderungseinziehung als eigenständiges Geschäft betrieben wird. Dafür ist eine Registrierung unter dem RDG erforderlich. Weil ein Forderungseinzug je nach konkreter Ausgestaltung der Tätigkeit grundsätzlich auch ein Zahlungsdienst im Sinne des ZAG darstellen kann, bestand hier schon immer das Erfordernis einer Einzelfallprüfung, ob die konkrete Tätigkeit (auch) eine ZAG-Erlaubnis erfordert.

Bereits in ihrem ZAG-Merkblatt unter der PSD1 hatte die BaFin ausgeführt, dass nur bestimmte Inkassotätigkeiten kein Finanztransfergeschäft darstellen sollen. Das galt insbesondere für die Beitreibung von Forderungen in Form von Mahn- und Vollstreckungsaktivitäten sowie der gerichtlichen Geltendmachung von Forderungen. Implizit galt damit auch schon unter der PSD1, dass nur die Beitreibung zahlungsgestörter Forderungen (nur für diese ist z.B. ein Mahn- und Vollstreckungsverfahren überhaupt notwendig) kein Finanztransfergeschäft darstellt. Im bisherigen Merkblatt zum ZAG unter der PSD2 war dann auch nur noch ein kurzer Hinweis enthalten, dass nur die Eintreibung nicht bezahlter, also zahlungsgestörter Forderungen kein Zahlungsdienst darstellt. Diese Verkürzung hat leider teilweise zu dem Missverständnis geführt, dass bei sämtlichen, wie auch immer gestalteten Tätigkeiten der Forderungseintreibung (Inkasso) kein Zahlungsdienst und insbesondere kein Finanztransfergeschäft vorliegen kann und eine ZAG-Erlaubnis von vornherein ausscheidet.

Nun stellt die BaFin wieder ausdrücklich klar, dass nur Inkassotätigkeiten bzgl. zahlungsgestörter Forderungen, also Mahn- und Vollstreckungsaktivitäten sowie die gerichtliche Geltendmachung von Forderungen, keinen Zahlungsdienst darstellen. Bei Geschäftstätigkeiten, die umfangreicher in die Forderungsabwicklung eingebunden sind, sich etwa um die Abwicklung schlicht rechtzeitig bezahlter Forderungen kümmern, ist weiterhin zu prüfen, ob im Einzelfall eine ZAG-Erlaubnis erforderlich ist.

Fazit

AIS und Finanztransfergeschäft sind Zahlungsdienste, die häufiger mal unbemerkt in Geschäftsmodellen von Dienstleistern „versteckt liegen“, die sich selbst gar nicht als Zahlungsdienstleister verstehen, deren Serviceleistung aber z.B. einen Kontozugriff oder die Abwicklung von Zahlungen beinhaltet.  Die BaFin zeigt mit ihren Aktualisierungen nun deutlich den Rahmen für erlaubnispflichtige AIS und erlaubnispflichtiges Finanztransfergeschäft auf und trägt damit zu mehr Rechtsverständnis und -klarheit bei der aufsichtsrechtlichen Einordnung von Geschäftsmodellen bei.

Die neue Inhaberkontrollverordnung – Änderungen seit 28. Dezember 2022 in Kraft

Am 27. Dezember 2022 wurde die sog. Dritte Verordnung zur Änderung der Inhaberkontrollverordnung (Verordnung über die Anzeigen nach § 2c des Kreditwesengesetzes und § 17 des Versicherungsgesetztes – kurz: Inhaberkontrollverordnung – InhKontrollV) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bundesgesetzblatt veröffentlicht (BGBl. Nr. 55). Am 28. Dezember 2022 trat die neue Verordnung in Kraft. Da das Inhaberkontrollverfahren ein Dauerthema ist, gibt es hier einen Überblick über die verschärften Anzeigepflichten.

Hintergrund: Was regelt die InhKontrollV?

Das Ziel eines Inhaberkontrollverfahrens ist es, die Aufsichtsbehörden frühzeitig über Veränderungen in der Inhaberstruktur eines Instituts zu informieren. Die zuständige Aufsichtsbehörde kann den beabsichtigten Erwerb der bedeutenden Beteiligung oder ihre Erhöhung auch untersagen.

Die InhKontrollV statuiert daher Anzeigepflichten von Personen und Unternehmen (sog. Anzeigepflichtige), die den Erwerb einer bedeutenden Beteiligung an einem Kreditinstitut, Finanzdienstleistungsinstitut, Versicherungsunternehmen, Pensionsfonds bzw. an bestimmten Versicherungs-Holdings (sog. Zielunternehmen) beabsichtigen.

Eine bedeutende Beteiligung wird in § 1 Abs. 9 des Kreditwesengesetzes (KWG) definiert, der wiederum auf Art. 4 Abs. 1 Nr. 36 der Verordnung (EU) Nr. 575/2013 (CRR-Verordnung) verweist. Danach ist unter einer bedeutenden Beteiligung „das direkte oder indirekte Halten von mindestens 10 % des Kapitals oder der Stimmrechte eines Unternehmens oder eine andere Möglichkeit der Wahrnehmung eines maßgeblichen Einflusses auf die Geschäftsführung dieses Unternehmens“ zu verstehen.

Die Anzeigepflichtigen müssen im Rahmen eines Inhaberkontrollverfahrens gegenüber der BaFin und der für das betroffene Institut zuständigen Hauptverwaltung der Deutschen Bundesbank eine Vielzahl an Erklärungen abgeben und umfangreiche Dokumente wie bspw. Lebensläufe und polizeiliche Führungszeugnisse zur Beurteilung der Zuverlässigkeit von Geschäftsleitern einreichen.

Was hat sich durch die gesetzliche Neuregelung konkret geändert?

Durch die Änderung der InhKontrollV werden zahlreiche, in den letzten Jahren erfolgte Änderungen des KWG und des Versicherungsaufsichtsgesetzes (VAG) berücksichtigt. Anpassungsbedarf bestand aufgrund von Änderungen des Risikoreduzierungsgesetzes (RiG). Zudem wurden nun auch die „Gemeinsamen Leitlinien zur aufsichtsrechtlichen Beurteilung des Erwerbs und der Erhöhung von qualifizierten Beteiligungen im Finanzsektor“ der Europäischen Aufsichtsbehörden für Banken, Versicherer und den Wertpapierhandel (EBA, EIOPA und ESMA) in der Neufassung der InhKontrollV einbezogen. Darüber hinaus wurden auch redaktionelle Anpassungen vorgenommen.

Insgesamt ergeben sich für Anzeigepflichtige durch die Neufassung sowohl Verschärfungen als auch einige Erleichterungen bei der Einreichung von Unterlagen im Rahmen eines Inhaberkontrollverfahrens.

Verschärfungen durch die neue InhKontrollV

So müssen etwa zukünftig ausführlichere Informationen zu neuen Geschäftsleitern (Angaben zu der Zeit, die Geschäftsleiter jährlich und monatlich ihrer Funktion in dem Zielunternehmen widmen) und zu Nebentätigkeiten der Geschäftsleiter (Angaben über weitere Mandate als Geschäftsleiter oder als Mitglieder von Verwaltungs- oder Aufsichtsorganen anderer Unternehmen) bei der BaFin eingereicht werden (§ 8 Nr. 8 und Nr. 9 InhKontrollV).

Auch unterliegen fortan bestimmte Anzeigepflichtige (juristische Personen mit Sitz in einem Drittstaat, Staatsfonds, Private Equity Fonds und Hedgefonds) durch den neu eingefügten § 8a InhKontrollV verschärften Anzeigepflichten.

Hat der Anzeigepflichtige seinen Sitz in einem Drittstaat, so sind den Anzeigen zukünftig folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 1 InhKontrollV):

1. eine von öffentlichen Stellen des Drittstaats ausgegebene Unbedenklichkeitsbescheinigung oder, sofern der Drittstaat keine Unbedenklichkeitsbescheinigungen ausstellt, eine gleichwertige Bescheinigung, die von der Finanzaufsichtsbehörde des Drittstaats in Bezug auf den Anzeigepflichtigen ausgestellt wurde,

2. wenn verfügbar, eine Erklärung der Finanzaufsichtsbehörde des Drittstaats, dass keine Hindernisse oder Beschränkungen hinsichtlich der Bereitstellung der für die Beaufsichtigung des Zielunternehmens erforderlichen Informationen vorliegen, und

3. eine Zusammenfassung der für den Anzeigepflichtigen geltenden aufsichtsrechtlichen Vorschriften des Drittstaats.

Ist der Anzeigepflichtige ein Staatsfonds, so sind den Anzeigen folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 2 InhKontrollV):

1. Angaben mit der genauen Bezeichnung des Ministeriums oder der Regierungsabteilung, das bzw. die für die Festlegung der Anlagepolitik des Fonds zuständig ist,

2. Einzelheiten zur Anlagepolitik und zu sämtlichen Anlagebeschränkungen,

3. der Name und die Funktionsbezeichnung der Personen, die die Anlageentscheidungen für den Fonds treffen, und

4. Einzelheiten zu dem Einfluss, den das Ministerium oder die Regierungsabteilung nach Nr. 1 auf das Tagesgeschäft des Fonds und das Zielunternehmen ausübt.

Ist der Anzeigepflichtige ein Private-Equity-Fonds oder ein Hedgefonds, so sind den Anzeigen folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 3 InhKontrollV):

1. eine detaillierte Beschreibung der Wertentwicklung bedeutender Beteiligungen an Kreditinstituten, Finanzdienstleistungsinstituten, Versicherungsunternehmen oder Pensionsfonds, die der Anzeigepflichtige früher erworben hat,

2. Einzelheiten zur Anlagepolitik und zu sämtlichen Anlagebeschränkungen einschließlich Einzelheiten zur Überwachung der Investitionen,

3. Faktoren, die ihm als Grundlage für die Anlageentscheidung in Bezug auf das Zielunternehmen dienen, und Faktoren, die zur Änderung seiner Erfolgsstrategie führen würden,

4. seine Entscheidungsstrukturen einschließlich der Namen und Funktionsbezeichnungen der Personen, die die Anlageentscheidungen treffen, und

5. eine detaillierte Beschreibung seiner Verfahren zur Bekämpfung von Geldwäsche einschließlich des hierfür geltenden rechtlichen Rahmens.

Darüber hinaus unterliegen Anzeigepflichtige, durch den ebenfalls neu gefassten § 9 InhKontrollV, erweiterten Angaben zur Zuverlässigkeit.

Neu aufgenommen wurden auch Regelungen zu Auswirkungen der Gruppenstruktur auf die Aufsicht vgl. (§ 11a InhKontrollV). Hierdurch ist einer Anzeige zukünftig eine Analyse des Umfangs der Beaufsichtigung auf konsolidierter Basis beizufügen. Dabei sind auch Angaben dazu zu machen, welche Unternehmen der Gruppe nach dem Erwerb oder der Erhöhung unter den Anwendungsbereich der Beaufsichtigung auf konsolidierter Basis fallen würden oder fallen und auf welchen Ebenen innerhalb der Gruppe diese Beaufsichtigung auf konsolidierter oder auf unterkonsolidierter Basis erfolgen würde oder erfolgt.

Erleichterungen durch die neue InhKontrollV

Neben den oben dargestellten Verschärfungen, ergeben sich aufgrund der Gesetzesänderung für Anzeigepflichtige auch Erleichterungen, wie etwa aus § 16 InhKontrollV. Ein Anzeigepflichtiger muss nach neuer Rechtslage Unterlagen und Erklärungen nicht erneut einreichen, die er innerhalb der letzten zwei Jahre vor der aktuellen Anzeige mit einer Anzeige eingereicht hat, es sei denn, die in den Unterlagen und Erklärungen enthaltenen Angaben treffen nicht mehr zu (§ 16 Abs. 1 InhKontrollV). Diese Frist lag bislang bei nur einem Jahr.

Eine weitere Neuerung ergibt sich bei der Anzeige von Anzeigepflichtigen, die konzernangehörig sind. Diese müssen ihrer Anzeige in Zukunft keinen Geschäftsplan mehr beifügen, wenn sie am Zielunternehmen nur indirekt beteiligt sind und nicht an der Konzernspitze stehen. Sofern es sich in bei dem Zielunternehmen in diesem Fall um ein Finanzdienstleistungsinstitut handelt, welches ausschließlich Factoring und Finanzierungsleasing (§ 1 Abs. 1a S. 2 Nr. 9 und Nr. 10 KWG) erbringt, sieht § 16 Abs. 12 InhKontrollV sogar einen kompletten Verzicht auch auf sonstige Erklärungen und Unterlagen vor.

Zusammenfassung und Ausblick

Die geänderte InhKontrollV dehnt den Umfang der von den Anzeigepflichtigen einzureichenden Unterlagen und Erklärungen insgesamt aus, beinhaltet aber gleichzeitig teilweise Erleichterungen für Anzeigepflichtige. Besonders positiv zu bewerten ist etwa die verlängerte Möglichkeit auf bereits bei der Aufsicht eigereichte Unterlagen zu verweisen. Insbesondere für Anzeigepflichtige aus Drittstaaten, Staatsfonds sowie Private-Equity- und Hedgefonds bringt die Neuregelung jedoch auch zusätzliche Vorgaben. Es bleibt alles in allem jedoch weiterhin mühsam.

Regulation of Buy-Now-Pay-Later in the EU: new regime on the horizon

1. Introduction

In recent years, boosted by the changing consumer habits in the wake of the COVID-19 pandemic, the e-commerce sector has experienced an exponential growth. This new environment has created particular fertile breeding ground for the rapid emergence of a new consumer financing model that is getting ever more popular, the so-called Buy-Now-Pay-Later (BNPL). Introduced first by financial technology firms (FinTechs), BNPL has rapidly become one of the most frequently used payment options in the e-commerce ecosystem promising the convenience and flexibility for consumers around the world.

In a nutshell, BNPL is a point of sale loan provided by the BNPL provider that enables consumers to purchase goods (usually online) with a simultaneous postponement of the payment date – for instance within 30 days as of the date of purchase. In a typical BNPL structure, once the consumer creates the purchase order and chooses BNPL as a payment option, at the point of sale the BNPL provider pays to the merchant for the product instead of the consumer. By doing so, the BNPL provider basically grants a credit to the consumer which is usually interest free conditional upon the consumer repaying the borrowed amount within the agreed period. Many consumers around the world, have started to use BNPL as a payment option of preference during the COVID-19 pandemic given that this gave them a chance to pay for the goods purchased online, after they receive and inspect them or eventually not pay at all should they decide to return the purchased goods to the merchant.

And while the e-commerce market was fast in adopting this new consumer financing model, the laws and regulations regulating the credit agreements, did not adapt at the same pace to this new environment leaving a space for license free operation of BNPL providers in many EU Member States.

2. Current situation in the EU

When it comes to regulation of BNPL providers, the current state of the EU financial regulatory framework is far from harmonized. The existing regime based on the Consumer Credit Directive, generally does not apply to the most common credit structures that BNPL providers are using. This is particularly the case with credit agreements involving a total amount of credit less than EUR 200 as well as credit agreements where the credit is granted free of interest and which has to be repaid within three months.

Further, national regulations of individual EU Member States also provide for specific exceptions to the application of consumer credit regulations to BNPL providers, in particular when it comes to provision of interest-free loans, small value loans as well as short-term loans.

However, even under existing framework, BNPL providers are not able to operate in every EU Member State without a license. Namely in Germany, where strict rules around the granting and taking of loans of any kind (including interest free loans) apply, BNPL providers are not able to provide their products to customers without triggering application of existing regulations. Namely, with the aim of avoiding application of strict regulatory requirements applicable to provision of credit (Kreditgeschäft), BNPL providers operating in Germany are frequently relying on a less onerous framework that applies to factoring firms under German law. In this structure, the BNPL provider basically acquires the merchant’s payment claim against the customer, pays the online merchant immediately, and allows the consumer to pay the amount owned later or in installments. Where an ongoing cooperation between the merchant and the BNPL provider exist in this structure, this generally constitutes factoring within the meaning of the German Banking Act (KreditwesengesetzKWG”), an activity for which special license issued by the German Federal Financial Supervisory Authority (Bundesanstalt für FinanzdienstleistungsaufsichtBaFin”) is needed.

As the awareness of the risks that BNPL structures may pose to consumers started to rise, some EU Member States have started to amend their national legislation with the aim of bringing BNPL providers under the scope of application of financial regulation. For Instance, in Ireland, BNPL providers were up until recently exempt from the supervision and regulation by the Central Bank of Ireland given that the interest-free deferred payment structures were falling outside the definition of “credit” set out in the Central Bank Act 1997. However, on 16 May 2022, the Consumer Protection (Regulation of Retail Credit and Credit Servicing Firms) Act 2022 was commenced that aims to bring the BNPL providers under the scope of Irish financial regulation. The Act expands the definition of “credit” in the Central Bank Act 1997 by including within the definition “deferred payments” and “other similar financial accommodation” alongside cash loans. The provision of indirect credit is also within scope for the new Act for the first time which (among other) refers to the provision of credit by BNPL providers.

3. Revision of the Consumer Credit Directive

As part of its New Consumer Agenda launched in November 2020, on 30 June 2021 the European Commission adopted a legislative proposal that shall revise the existing Consumer Credit Directive. As a rationale for the proposed change of the existing regime, the Commission has pointed out that certain credit agreements that currently fall outside the scope of the existing Consumer Credit Directive, like short-term high cost loans whose amount is typically lower than the minimum threshold of EUR 200, can be detrimental for consumers, and as such shall be brought under the scope of existing rules applicable to credit providers. In the Commission’s view, other potentially detrimental products for consumers can also be interest free loans, that in the case of missed payment, can entail high fees or interest for consumers and as such, shall be equally regulated under the existing regime applicable to credit providers.

Against this backdrop, the Commission has concluded that these types of credit arrangements that BNPL providers are using, should be covered by the revised Directive, to ensure increased transparency and better consumer protection, resulting in higher consumer confidence.

Under the published proposal, the Commission is proposing significant expansion of the scope of application of the existing regime to:

  • credit agreements under EUR 200 and up to EUR 100 000;
  • leasing agreements that have an option to purchase goods or services (e.g. certain motor finance products);
  • credit agreements where the credit is granted free of interest and without any other charges; and
  • credit agreements under the terms of which the credit has to be repaid within three months and only insignificant charges are payable, capturing buy-now pay-later (BNPL) products.

Under the new rules, the lenders will also be required to ensure sure that consumers have easy access to all necessary information and that they are informed about the total cost of the credit, especially in digital and smart device friendly format that enables consumers to read all information contained in an advertisement or pre-contractual documentation. Further, the use of pre-ticked boxes in consumer agreements as well as certain tying practices will be completely prohibited.

On 2 December 2022, the Council and the Parliament announced that they had reached provisional political agreement on the revised text of the proposal. However, at the time of writing of this publication the revised text is still not published.

4. Outlook

With the proposed revision of the Consumer Credit Directive, which shall include introduction of the light-touch framework of BNPL providers, the EU Commission aims to achieve more harmonization in regulation of credit providers operating in the EU that shall enable all consumers in the EU to enjoy a high and equivalent level of protection of their interests within the well-functioning EU Single Market for financial services.

Despite being the first major jurisdiction that is openly looking to regulate BNPL sector, the EU does not appear to be alone in this race. For instance, in the UK, where BNPL models generally fall outside of Financial Conduct Authority (FCA) regulations, the Government is looking to amend the Consumer Credit Act 1974, with the aim of requiring BNPL providers to obtain FCA authorization and comply with the number of regulatory requirements when offering BNPL products to the UK customers.

And despite the increasing regulatory scrutiny, more companies are looking to include BNPL products as part of their service with the aim of joining FinTech firms in the battle for customers interested in BNPL as a payment option. In June 2022, Apple has announced that it will soon be launching a new payment option ‚Apple Buy Later‘, as part of their IOS 16, which shall allow their users to spread the cost of a purchase into four payments over six weeks. This type of initiatives together with the proposed regulatory framework that shall apply to all BNPL providers across the EU, may encourage more traditional banks to try entering into the space and to start testing this type of consumer credit product on their huge customer bases in the coming period.

Nonetheless, it is yet to be seen once the revised Consumer Credit Directive becomes operational, what practical impact will the new rules have on existing BNPL providers as well as new firms that are entering into the space in the coming years.

DORA – ein inhaltlicher Überblick

Nachdem wir uns im ersten Teil der Beitragsreihe mit dem Anwendungsbereich von DORA beschäftigt haben, betrachten wir in diesem zweiten Teil nun die inhaltlichen Regelungen der neuen europäischen Verordnung etwas genauer. Dieser Blogbeitrag beleuchtet fünf Handlungsfelder von DORA, die entsprechenden Anpassungsaufwand auf Seiten der betroffenen Finanzunternehmen nach sich ziehen werden.

Am 27. Dezember 2022 wurde die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) im Amtsblatt der Europäischen Union veröffentlicht. DORA tritt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union – und damit am 16. Januar 2023 – in Kraft und muss von den betroffenen Unternehmen nach einer Umsetzungsfrist von 24 Monaten nach der Veröffentlichung, folglich ab dem 17. Januar 2025 angewendet werden (Art. 64 DORA). Die Anforderungen der DORA sind damit in allen EU-Mitgliedstaaten einheitlich. Hieran anknüpfend werden die Europäischen Aufsichtsbehörden (ESAs), die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Konkretisierung des Rechtsakts technische Standards (sog. Regulatory Technical Standards – RTS) ausarbeiten, die von den jeweiligen Unternehmen erfüllt werden müssen.

Betroffenen Unternehmen ist zu raten, den persönlichen Anwendungsbereich von DORA zu prüfen und sich mit den gesetzlichen Verpflichtungen bereits frühzeitig vertraut zu machen. DORA enthält fünf Themenbereiche, die im Folgenden zusammenfassend dargestellt und eingeordnet werden.

1. IKT-Risikomanagement

Wenig überraschend muss das Risikomanagement von regulierten Finanzmarktteilnehmern auch nach DORA künftig das IKT-Risiko umfassen. Das ist nach der MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT, ZAIT und VAIT keine neue Vorgabe. Allerdings sind die Vorgaben in DORA konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin.

Kapitel II von DORA enthält Vorschriften zum IKT-Risikomanagement von Finanzunternehmen. Ein Einsatz von IKT muss durch das Finanzunternehmen in die Unternehmensstrategie integriert werden. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich bei der Geschäftsleitung des jeweiligen Finanzunternehmens. Zudem werden mit DORA Verpflichtungen eingeführt, die sicherstellen sollen, dass IKT-Systeme kontinuierlich überwacht und kontrolliert werden, sowie durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden. Um Ausfallzeiten von IKT-Systemen zu minimieren, müssen betroffene Unternehmen auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten. Sämtliche interne Risikodokumente müssen verschriftlicht sein, um entsprechend intern und extern überprüfbar zu sein.

2. Berichterstattung / Meldepflichten

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. Nach Kapitel III von DORA werden Finanzunternehmen künftig verpflichtet sein, einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen zu implementieren. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat (vgl. Art. 3 Nr. 8 DORA).

Finanzunternehmen müssen nach Art. 17 DORA Frühwarnindikatoren einrichten, um Cyberangriffe zu erkennen und zu bewältigen. Weiterhin schafft DORA einheitliche und standardisierte Vorgaben zum Vorgehen bei IT-Sicherheitsvorfällen. So beschreibt beispielsweise Art. 18 DORA ein Verfahren zur Klassifizierung, basierend auf Faktoren wie Dauer und Schwere des IKT-bezogenen Vorfalls auf die IKT-Systeme des Finanzunternehmens.

Schwerwiegende IKT-bezogene Vorfälle (vgl. Art. 3 Nr. 10 DORA) müssen durch das jeweilige Finanzunternehmen gemäß Art. 19 DORA der zuständigen Aufsichtsbehörde (vgl. Art. 46 DORA) gemeldet werden.

Bereits unter der derzeit geltenden Rechtslage bestehen Berichts- und Meldepflichten etwa durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister oder die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Die DORA-Verordnung baut dabei auf der NIS-Richtlinie auf und beseitigt mögliche Überschneidungen durch eine Ausnahme mittels des lex specialis Prinzips, sodass die Regelungen der DORA grundsätzlich Vorrang genießen sollten.

3. Prüfung der digitalen Betriebsstabilität durch Test-Verfahren

DORA schreibt weiterhin auch umfassende Verfahren zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests vor (Kapitel IV DORA). Dabei sind diese Prüfungen anhand des bereits erwähnen risikobasierten Ansatzes unter Berücksichtigung der Größe und Geschäfts- und Risikoprofile der jeweiligen Finanzunternehmen durchzuführen. Die DORA-Verordnung listet in Art. 25 Abs. 1 Beispiele geeigneter Tests auf, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von OpenSource-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.

Finanzunternehmen müssen mindestens einmal jährlich alle kritischen IKT-Systeme und IKT-Anwendungen prüfen. Diese Prüfungen können dabei sowohl durch externe als auch durch interne Prüfer durchgeführt werden (vgl. Art. 24 Abs. 4, 6 DORA).

Systemrelevante Institute hingegen werden höheren Anforderungen mit Blick auf die Prüfung ihrer IKT-Systeme unterworfen. DORA sieht für diese Institute erweiterte Prüfungen durch die Durchführung sog. bedrohungsorientierter Penetrationstests vor, wobei diese Tests in regelmäßigen Abständen mindestens alle drei Jahre durchzuführen sind.

4. IKT-Risiken Dritter / Outsourcing

Da Institute ihre IT häufig an große Technologieanbieter auslagern oder solche Anbieter für einzelne Dienstleistungen verwenden, werden Finanzinstitute deshalb im Rahmen ihres Risikomanagements verpflichtet, auch IKT-Drittparteienrisiken zu betrachten (Kapitel V DORA). So legt etwa Art. 30 DORA wesentliche Vertragsbestimmungen für Auslagerungsverträge fest. Derartige Verträge müssen z.B. eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, fortlaufende Überwachungsrechte des Finanzunternehmens oder auch Kündigungsrechte und Ausstiegsstrategien enthalten. Diese Vorgaben knüpfen nahtlos an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer an.

5. Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsregimes für kritische Technologieanbieter, die im Finanzsektor genutzt werden. Das ist auf europäischer Ebene neu, in Deutschland wurde eine entsprechende Kompetenz der BaFin bereits durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 25b Abs. 4a KWG eingeführt. Allerdings gehen die Befugnisse der BaFin beim Durchgriff auf das IT-Auslagerungsunternehmen nicht so weit, wie es DORA vorsieht. Nach § 25b KWG kann die BaFin im Einzelfall geeignete Anordnungen gegenüber IT-Auslagerungsunternehmen erlassen. Die aufsichtlichen Befugnisse bei der Überwachung der IKT-Drittanbieter nach Art. 35 DORA sind wesentlich detaillierter und weitgehender. Sie umfassen beispielsweise die Anforderung von Informationen und Unterlagen, Vor-Ort-Prüfungen oder auch die Verhängung von Zwangsgeldern, um den jeweiligen kritischen IKT-Drittanbieter zur Einhaltung der gesetzlichen Regelungen zu zwingen. Die neuen Befugnisse ermöglichen der BaFin eine umfassende Aufsicht der kritischen IKT-Drittanbieter.

Die Einstufung eines Technologieanbieters als kritischer IKT-Drittdienstleister und dessen Überwachung obliegt den ESAs. Dabei basiert die Ernennung auf festgelegten Kriterien, wie etwa:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen

Zusammenfassung und Ausblick

Durch den umfassenden Anwendungsbereich von DORA werden Unternehmen aus zahlreichen Bereichen des Finanzsektors erfasst. Mit DORA wird ein Rechtsrahmen entstehen, der bestehende regulatorische Anforderungen an die IT-Sicherheit für die gesamte Finanzbranche zusammenfasst und einen europäisch einheitlichen Aufsichtsrahmen schafft.

Erstmals sind nun auch kritische IKT-Dienstleister, die als Auslagerungsunternehmen für regulierte Finanzmarktteilnehmer agieren, von der Regulierung umfasst.

 

Neue FAQ zur Taxonomie-Verordnung

Ende 2022 hat die EU-Kommission den Entwurf eines FAQ-Dokuments zu den technischen Bewertungskriterien der Taxonomie-Verordnung veröffentlicht. Wir werfen einen genaueren Blick darauf und schauen uns an, warum die Einordnung einer Tätigkeit als nachhaltig unter der Taxonomie-Verordnung für Immobilienunternehmen, Finanzmarktteilnehmer und Anleger gleichermaßen wichtig ist.

Dogmatik zum Einstieg: Die FAQ als Level 3 Maßnahme

Die Taxonomie-Verordnung regelt EU-weit einheitlich, unter welchen Voraussetzungen eine Wirtschaftstätigkeit als ökologisch nachhaltig gilt. Dazu muss die Wirtschaftstätigkeit einen Beitrag zu einem Umweltziel (Klimaschutz, Anpassung an den Klimawandel, Schutz von Meeresressourcen, Übergang zur Kreislaufwirtschaft, Vermeidung von Umweltverschmutzung, Schutz der Biodiversität) leisten und darf keines dieser Ziele erheblich beeinträchtigen. EU-Verordnungen wie die Taxonomie-Verordnung werden als „oberster gesetzgeberischer Rahmen“ als Level 1 Maßnahme bezeichnet.

Zwei der genannten Umweltziele werden mithilfe von technischen Bewertungskriterien in Form einer Delegierten Verordnung (2021/2139) konkretisiert (die Konkretisierung der übrigen vier Ziele wird vom EU-Gesetzgeber noch ausgearbeitet). Delegierte Verordnungen werden, da sie Level 1 Maßnahme konkretisieren, häufig als Level 2 Maßnahmen bezeichnet. Für die Immobilienwirtschaft unterscheidet die Delegierte Verordnung insbesondere zwischen technischen Bewertungskriterien für (i) den Neubau, (ii) die Renovierung bestehender Gebäude und (iii) den Erwerb bzw. Eigentum an Gebäuden. Mit anderen Worten: Sie regelt, welche Bedingungen bei einem Neubau, bei einer Renovierung oder beim Erwerb eines Gebäudes erfüllt sein müssen, damit diese Tätigkeit als nachhaltig qualifiziert. Die Renovierung eines Gebäudes stellt z.B. eine nachhaltige Tätigkeit dar, wenn sie u.a. den Primärenergiebedarf des Gebäudes um 30% verringert.

Der nun von der EU-Kommission veröffentlichte FAQ-Entwurf greift in der Praxis gestellte Fragen zu den technischen Bewertungskriterien auf und beantwortet diese. Diese Guidance wird als Level 3 Maßnahme bezeichnet. Diese hat keinen Gesetzescharakter, ist aber in der Praxis wichtig, da hier häufig erst Detailfragen zur Auslegung und zum Verständnis des eigentlichen Gesetzestextes (Level 1) geklärt werden können.

Top 5 FAQ

Welche Konkretisierungen zu den technischen Bewertungskriterien für die Wirtschaftstätigkeit der Immobilienbranche halten die FAQ bereit? Nachfolgend unsere Top 5:

Allgemein

  • Zum Nachweis der Einhaltung der technischen Bewertungskriterien werden Bewertungssysteme wie das Deutsche Gütesiegel Nachhaltiges Bauen (DGNB) von der Delegierten Verordnung zwar nicht erwähnt; sie können aber verwendet werden, soweit sie dazu geeignet sind.

Neubau

  • Die technischen Bewertungskriterien besagen, dass der Bau eines Gebäudes die Umweltziele nicht beeinträchtigt, wenn es u.a. nicht der Gewinnung, der Lagerung, Transport oder Herstellung von fossilen Brennstoffen dient. Das schließt aber nicht aus, dass ein Neubau, in dem geringe Mengen an Brennstoffen gelagert oder transportiert werden müssen, z. B. um das Funktionieren der Energieerzeugungsanlagen zu gewährleisten, Taxonomie-konform sein kann, wenn dieser einem anderen Zweck dient, z.B. Wohngebäude ist.

Renovierung

  • Renovierungen sind Taxonomie-konform, wenn u.a. der Wasserverbrauch für Sanitäranlagen, die im Rahmen der Renovierung installiert werden, bestimmte Verbrauchsmengen nicht überschreiten. Der Nachweis der Einhaltung der Verbrauchsgrenzen kann z.B. durch Produktblätter oder einer Gebäudezertifizierung erfolgen.

Erwerb

  • Für die Frage, wann das Eigentum an einem Gebäude als nachhaltig eingestuft werden kann, kommt es u.a. auf das Datum des Baus an. Maßgeblich ist hier das Datum der Baugenehmigung, nicht etwa das Datum der Fertigstellung oder Übergabe an den Bauherren.
  • Gebäude, die vor 2020 gebaut wurden, sind nachhaltig, wenn sie z.B. zu den oberen 15% des Gebäudebestandes bzgl. des Energiebedarfs gehören. Hierbei handelt es sich um eine dynamische Größe, für die es keinen Bestandsschutz gibt. Ändern sich die Kriterien oder wird den Kriterien nicht mehr entsprochen, muss neu bewertet werden, ob die Kriterien eingehalten werden und ggf. Maßnahmen ergriffen werden, um deren weitere Einhaltung sicherzustellen.

Warum sind die Konkretisierungen für die Immobilien-, die Finanzwirtschaft und Anleger gleichermaßen wichtig?

Für Unternehmen der Immobilienwirtschaft ist eine rechtssichere Anwendung der technischen Bewertungskriterien der Taxonomie-Verordnung wichtig, um korrekte Angaben darüber machen zu können, ob ihre Tätigkeit, sprich ein Immobilienvorhaben, nachhaltig im Sinne der Taxonomie ist.

Diese Information der Immobilienunternehmen sind wiederum für Finanzmarktteilnehmer wichtig, die über Finanzprodukte Investitionen in Immobilien anbieten, zum Beispiel in Form eines Immobilienfonds.  Zum einen unterliegen sie selbst nachhaltigkeitsbezogenen Transparenzpflichten bzgl. ihrer Finanzprodukte. Diese unterscheiden sich u.a. danach, ob einem Immobilienfonds nachhaltige Immobilien im Sinne der Taxonomie zugrunde liegen, oder nicht. Finanzmarktteilnehmer haben also schon aus eigenen Compliance-Gründen ein Interesse an diesen Informationen. Zum anderen sind diese Informationen vor allem aber für den potentiellen Investor eines Immobilienfonds interessant und werden diesem vom Finanzmarktteilnehmer, der den Immobilienfonds anbietet, auch mitgeteilt. Anlagen in nachhaltige Investments erfreuen sich derzeit großer Nachfrage und Beliebtheit. Die Nachhaltigkeitsinformationen zum Finanzprodukt können die Anlageentscheidung des Investors daher ganz erheblich beeinflussen und ein wichtiges Marketingtool für das Produkt sein.

Fazit

Die technischen Bewertungskriterien und die Level 3 Guidance dazu sind die maßgebliche Grundlage für die Nachhaltigkeitsinformationen, die vom Immobilienunternehmen über den Finanzmarktteilnehmer an den potentiellen Investor eines Immobilienfonds gelangen. Nur wenn die technischen Bewertungskriterien in der Praxis funktionieren, sind die Angaben korrekt und für den Investor für seine Anlageentscheidung hilfreich. Letztlich wird also durch eine saubere und rechtssichere Anwendung der technischen Bewertungskriterien Greenwashing verhindert. Das stärkt das Vertrauen der Anleger und hilft so, Kapital in nachhaltige Wirtschaftstätigkeiten zu lenken.

Die Verordnung des europäischen Parlamentes und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) – ab 16.1.2023 in Kraft

Die Digitalisierung des Finanzsektors durch den Einsatz von Informationstechnik (IT) schafft für Anbieter von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten, birgt für die Branche jedoch, angesichts der wachsenden Gefahr von Cyberangriffen, auch zahlreiche Risiken. In Zukunft wird mit dem sog. Digital Operational Resilience Act – („DORA“) ein EU-weiter Rechtsrahmen für die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor zu beachten sein.

Was ist DORA?

Um die Stabilität des Finanzmarktes auch im Falle einer schwerwiegenden Störung zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission am 24. September 2020 den DORA-Regulationsentwurf im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package) vorgelegt, der auch die Digital Finance Strategy, die Retail Payment Strategy, einen Vorschlag zur Distributed-Ledger-Technologie (DLT) sowie den Act on Markets in Crypto Assets (MiCA) enthält.

Derzeit müssen sich Unternehmen des Finanz- und Versicherungssektors bei einem Einsatz von IT oder der Einbeziehung von IT-Dienstleistungen auf nationaler Ebene an eine Vielzahl aufsichtsrechtlicher Anforderungen mit Blick auf Cybersicherheit halten. In Deutschland zeigt sich dies etwa an den Vorgaben der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT, die für jede Branche des Finanz- und Versicherungsmarktes individuelle Regelungen aufstellen. Wir fangen hier in Deutschland also nicht bei Null an, sondern bauen auf einem Standard auf, der bereits seit Jahren im Fokus der Aufsicht steht und bereits eine gewisse Resilienz bewiesen hat.

Ziel von DORA ist die Harmonisierung der nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor. Innerhalb der Europäischen Union soll so ein einheitlicher Rechtsakt über die digitale Betriebsstabilität von Finanzdienstleistungen entstehen. Bezweckt ist die Schaffung eines umfassenden Rahmens auf Ebene der Europäischen Union mit einheitlichen Vorschriften, die den Anforderungen an die digitale Betriebsstabilität von regulierten Unternehmen auf dem Finanzmarkt Rechnung tragen sowie die Schaffung eines gemeinsamen Aufsichtsrahmens für Drittanbieter von Informations- und Kommunikationstechnologien (IKT).

Wer ist von DORA betroffen?

DORA wird auf Finanzunternehmen und sog. IKT-Drittanbieter anwendbar sein. Unter einem IKT-Drittanbieter ist ein Unternehmen zu verstehen, welches digitale Dienste und Datendienste erbringt und schließt auch Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren ein.  

Welche Unternehmen unter die Sammelbezeichnung der Finanzunternehmen zu fassen sind, wird in Art. 2 Abs. 1 a) bis t) DORA aufgelistet. Demnach sind nicht nur Kreditinstitute, Zahlungsdienstleister, E-Geld-Institute und Wertpapierfirmen vom Anwendungsbereich von DORA umfasst, sondern beispielsweise auch Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Dienstleister, Ratingagenturen und Anbieter von Krypto-Dienstleistungen.

Der insgesamt sehr weite Anwendungsbereich von DORA soll nach dem Willen des europäischen Gesetzgebers für eine möglichst einheitliche Anwendung der gesetzlichen Verpflichtungen im Hinblick auf IKT-Risiken sorgen und letztlich gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen schaffen.

Was sind die zentralen Verpflichtungen unter DORA?

Die neue Verordnung berücksichtigt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Aus diesem Grund verfolgt DORA einen risikobasierten Regulierungsansatz unter Beachtung der Verhältnismäßigkeit (sog. Proportionalitätsprinzip). Dies dient dazu, den weiten Anwendungsbereich von DORA zu korrigieren und sorgt dafür, dass je nach Größe des Unternehmens unterschiedliche Anforderungen gelten. Dadurch fallen auch Kleinstunternehmen nahezu gänzlich aus dem Anwendungsbereich von DORA heraus. DORA wurde zudem technologieneutral ausgestaltet, wodurch auch künftige technologische Entwicklungen auf dem Finanzmarkt erfasst werden sollen.

DORA sieht dabei eine Reihe von Handlungsfeldern vor, die entsprechenden Anpassungsaufwand auf Seiten der Finanzunternehmen nach sich ziehen. Diese sollen in einem Teil 2 zu diesem Beitrag näher beleuchtet werden.

Gegen Greenwashing: Neue Regulierung von Fondsnamen

ESG, green, sustainable, impact investing…der Name eines Fondsprodukt ist oft das, was ein potentieller Investor als Erstes sieht. Auch wenn für die Rendite letztlich maßgeblich ist, welche Assets im Fonds enthalten sind, ist der Name des Fonds doch häufig das, was das Interesse weckt. Hier ist die Gefahr von Greenwashing, sprich der Verwendung von ESG-Begriffen, ohne dass aber entsprechendes Commitment besteht, also besonders groß.

Die gesamte Nachhaltigkeitsregulierung im Finanzmarkt dient deshalb dem übergeordneten Ziel, Transparenz zu schaffen, Anlegervertrauen zu fördern und damit Kapital hin zu einer nachhaltigeren Wirtschaft bereitzustellen. Dazu legt z.B. die Taxonomie-Verordnung als Grundlage eine einheitliche Definition nachhaltiger Wirtschaftstätigkeit fest. Die EU-Offenlegungsverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) regelt z.B. nachhaltigkeitsbezogene vorvertragliche Informationspflichten. Ein weiterer Baustein gegen Greenwashing ist nun die Schaffung von EU-Vorgaben zu Fondsnamen.

Die BaFin-Richtlinie für nachhaltige Investmentvermögen

Bereits im August 2021 hat die BaFin den Entwurf einer Richtlinie für nachhaltige Investmentvermögen zur Konsultation gestellt, die in ihrem Anwendungsbereich allerdings auf Publikumsfonds beschränkt ist. Sie zielt auf solche Publikumsfonds ab, die in ihrem Namen einen Nachhaltigkeitsbezug aufweisen. Drei Möglichkeiten sind vorgesehen, unter denen ein Fonds als nachhaltig aufgelegt werden kann: (i) aufgrund der Investition in nachhaltige Vermögensgegenstände, (ii) aufgrund einer nachhaltigen Anlagestrategie und (iii) durch die Nachbildung eines nachhaltigen Index. Eine Investition in nachhaltige Vermögensgegenstände kann durch die Aufnahme einer Regelung in die Anlagegrenzen erfolgen, wonach der Fonds zu mind. 75% in Taxonomie-konforme Vermögensgegenstände investiert sein muss. Ausführlich haben wir bereits hier darüber berichtet. Vor dem Hintergrund der dynamischen regulatorischen Lage hat die BaFin sich allerdings dazu entschlossen, die Richtlinie zurückzustellen, gleichzeitig ihre Verwaltungspraxis aber an den dort genannten Grundsätzen auszurichten.

Der Vorschlag der ESMA

Mitte November 2022 hat die ESMA ihren Entwurf für Guidelines für Fondsnamen mit ESG-Bezug veröffentlicht. Diese sind bereits deutlich konkreter als das vorangegangene Supervisory Briefing vom Mai 2022.

…gilt für…

Die Guidelines sollen für sämtliche Fondsverwaltungsgesellschaften gelten, erfassen also v.a. OGAW und AIF und sind insbesondere nicht auf Publikumsfonds beschränkt. Durch die Guidelines werden die in der OGAW-Richtlinie, der AIFMD und der Verordnung zum grenzüberschreitenden Fondsvertrieb enthaltenen Grundsätze des redlichen Verhaltens von Fondsverwaltungsgesellschaften sowie die Verpflichtung zu fairer, klarer und nicht irreführender Werbung konkretisiert.

Relevant werden die Guidelines für sämtliche Fondsdokumentation wie den Prospekt, die vorvertraglichen Informationen, die Halbjahres- und Jahresberichte und die Gründungsdokumente sowie für sämtliche Marketingkommunikation, geäußert z.B. durch Pressemitteilungen, auf Webseiten, mittels Präsentationen, auf Social Media oder im Rahmen von Diskussionsforen. Sie sollen nicht nur die Fondsverwaltungsgesellschaften selbst, sondern auch für ihre Vertriebspartner gelten.

…und regelt

Unter der SFDR sind Fonds bereits jetzt verpflichtet, z.B. in vorvertraglichen Informationen offenzulegen, wie die geförderten sozialen oder ökologischen Merkmale (Art. 8 SFDR) bzw. die nachhaltigen Anlageziele (Art. 9 SFDR) erreicht werden. Ab 2023 sind dazu verbindliche Vorlagen des EU-Gesetzgebers zu verwenden. Dabei ist auch offenzulegen, welcher Anteil der dem Fonds zugrunde liegenden Vermögensgegenstände verwendet wird, um die geförderten Merkmale bzw. die nachhaltige Anlagestrategie zu erreichen.

Hier setzt der Vorschlag der ESMA an:

  • Bei Fonds, die einen ESG- oder impact-Bezug im Namen aufweisen, müssen mindestens 80% der Vermögenswerte dazu verwendet werden, die geförderten ökologischen oder sozialen Merkmale bzw. die nachhaltigen Anlageziele zu erreichen.
  • Bei Fonds, die einen Nachhaltigkeitsbezug im Namen aufweisen, müssen von diesen 80% mindestens 50% die Voraussetzungen von Art. 2 Nr. 17 SFDR erfüllen, also letztlich Taxonomie-konform sein.
  • Für die verbleibenden Vermögenswerte sowie als grundsätzliche Mindestanforderung an alle Vermögenswerte schlägt die ESMA die Anwendung der Mindestanforderungen vor, die bereits im Zusammenhang mit Klimabenchmarks geregelt sind. Ausgeschlossen wären danach z.B. Investments in Unternehmen, die an umstrittenen Waffen beteiligt sind.
  • Die Wörter „Impact“ oder „Impact Investing“ dürfen von Fonds nur verwendet werden, wenn die o.g. Schwellenwerte eingehalten werden und Investitionen unter diesen Mindestanteilen zudem mit der Absicht getätigt werden, neben einer finanziellen Rendite positive, messbare soziale oder ökologische Auswirkungen zu erzielen.

Durch die Guidelines will die ESMA EU-weit einheitliche Regelungen erreichen, was insbesondere den grenzüberschreitenden Fondsvertrieb erleichtert. Die von ihr vorgeschlagene Quote für Investitionen in Taxonomie-konforme Investments ist deutlich niedriger als die 75% der BaFin. Wie immer bei EU-Guidelines müssen die nationalen Aufsichtsbehörden erklären, ob sie diese anwenden und falls nein, begründen, warum nicht. Es bleibt daher abzuwarten, wie die BaFin mit ihrer Richtlinie umgehen wird. Eine Möglichkeit wäre, die ESMA Guidelines als Mindeststandard anzuwenden, für Publikumsfonds aber an der Richtlinie festzuhalten.

Ab wann gilts?

Die ESMA will finale Guidelines in Q2/Q3 2023 veröffentlichen. Für Fonds, die vor den finalen Guidelines aufgelegt wurden, ist eine Übergansphase von 6 Monaten vorgesehen. Diese haben somit ein halbes Jahr Zeit, entweder die Vorgaben der Guidelines zu erfüllen oder den Fondsnamen zu ändern. Erfahrungsgemäß halten sich Änderungen zur Entwurfsfassung in der Regel in Grenzen, sodass Marktteilnehmer ihre Produkte bereits einer entsprechenden Prüfung unterziehen sollten.