Regulation of Buy-Now-Pay-Later in the EU: new regime on the horizon

1. Introduction

In recent years, boosted by the changing consumer habits in the wake of the COVID-19 pandemic, the e-commerce sector has experienced an exponential growth. This new environment has created particular fertile breeding ground for the rapid emergence of a new consumer financing model that is getting ever more popular, the so-called Buy-Now-Pay-Later (BNPL). Introduced first by financial technology firms (FinTechs), BNPL has rapidly become one of the most frequently used payment options in the e-commerce ecosystem promising the convenience and flexibility for consumers around the world.

In a nutshell, BNPL is a point of sale loan provided by the BNPL provider that enables consumers to purchase goods (usually online) with a simultaneous postponement of the payment date – for instance within 30 days as of the date of purchase. In a typical BNPL structure, once the consumer creates the purchase order and chooses BNPL as a payment option, at the point of sale the BNPL provider pays to the merchant for the product instead of the consumer. By doing so, the BNPL provider basically grants a credit to the consumer which is usually interest free conditional upon the consumer repaying the borrowed amount within the agreed period. Many consumers around the world, have started to use BNPL as a payment option of preference during the COVID-19 pandemic given that this gave them a chance to pay for the goods purchased online, after they receive and inspect them or eventually not pay at all should they decide to return the purchased goods to the merchant.

And while the e-commerce market was fast in adopting this new consumer financing model, the laws and regulations regulating the credit agreements, did not adapt at the same pace to this new environment leaving a space for license free operation of BNPL providers in many EU Member States.

2. Current situation in the EU

When it comes to regulation of BNPL providers, the current state of the EU financial regulatory framework is far from harmonized. The existing regime based on the Consumer Credit Directive, generally does not apply to the most common credit structures that BNPL providers are using. This is particularly the case with credit agreements involving a total amount of credit less than EUR 200 as well as credit agreements where the credit is granted free of interest and which has to be repaid within three months.

Further, national regulations of individual EU Member States also provide for specific exceptions to the application of consumer credit regulations to BNPL providers, in particular when it comes to provision of interest-free loans, small value loans as well as short-term loans.

However, even under existing framework, BNPL providers are not able to operate in every EU Member State without a license. Namely in Germany, where strict rules around the granting and taking of loans of any kind (including interest free loans) apply, BNPL providers are not able to provide their products to customers without triggering application of existing regulations. Namely, with the aim of avoiding application of strict regulatory requirements applicable to provision of credit (Kreditgeschäft), BNPL providers operating in Germany are frequently relying on a less onerous framework that applies to factoring firms under German law. In this structure, the BNPL provider basically acquires the merchant’s payment claim against the customer, pays the online merchant immediately, and allows the consumer to pay the amount owned later or in installments. Where an ongoing cooperation between the merchant and the BNPL provider exist in this structure, this generally constitutes factoring within the meaning of the German Banking Act (KreditwesengesetzKWG”), an activity for which special license issued by the German Federal Financial Supervisory Authority (Bundesanstalt für FinanzdienstleistungsaufsichtBaFin”) is needed.

As the awareness of the risks that BNPL structures may pose to consumers started to rise, some EU Member States have started to amend their national legislation with the aim of bringing BNPL providers under the scope of application of financial regulation. For Instance, in Ireland, BNPL providers were up until recently exempt from the supervision and regulation by the Central Bank of Ireland given that the interest-free deferred payment structures were falling outside the definition of “credit” set out in the Central Bank Act 1997. However, on 16 May 2022, the Consumer Protection (Regulation of Retail Credit and Credit Servicing Firms) Act 2022 was commenced that aims to bring the BNPL providers under the scope of Irish financial regulation. The Act expands the definition of “credit” in the Central Bank Act 1997 by including within the definition “deferred payments” and “other similar financial accommodation” alongside cash loans. The provision of indirect credit is also within scope for the new Act for the first time which (among other) refers to the provision of credit by BNPL providers.

3. Revision of the Consumer Credit Directive

As part of its New Consumer Agenda launched in November 2020, on 30 June 2021 the European Commission adopted a legislative proposal that shall revise the existing Consumer Credit Directive. As a rationale for the proposed change of the existing regime, the Commission has pointed out that certain credit agreements that currently fall outside the scope of the existing Consumer Credit Directive, like short-term high cost loans whose amount is typically lower than the minimum threshold of EUR 200, can be detrimental for consumers, and as such shall be brought under the scope of existing rules applicable to credit providers. In the Commission’s view, other potentially detrimental products for consumers can also be interest free loans, that in the case of missed payment, can entail high fees or interest for consumers and as such, shall be equally regulated under the existing regime applicable to credit providers.

Against this backdrop, the Commission has concluded that these types of credit arrangements that BNPL providers are using, should be covered by the revised Directive, to ensure increased transparency and better consumer protection, resulting in higher consumer confidence.

Under the published proposal, the Commission is proposing significant expansion of the scope of application of the existing regime to:

  • credit agreements under EUR 200 and up to EUR 100 000;
  • leasing agreements that have an option to purchase goods or services (e.g. certain motor finance products);
  • credit agreements where the credit is granted free of interest and without any other charges; and
  • credit agreements under the terms of which the credit has to be repaid within three months and only insignificant charges are payable, capturing buy-now pay-later (BNPL) products.

Under the new rules, the lenders will also be required to ensure sure that consumers have easy access to all necessary information and that they are informed about the total cost of the credit, especially in digital and smart device friendly format that enables consumers to read all information contained in an advertisement or pre-contractual documentation. Further, the use of pre-ticked boxes in consumer agreements as well as certain tying practices will be completely prohibited.

On 2 December 2022, the Council and the Parliament announced that they had reached provisional political agreement on the revised text of the proposal. However, at the time of writing of this publication the revised text is still not published.

4. Outlook

With the proposed revision of the Consumer Credit Directive, which shall include introduction of the light-touch framework of BNPL providers, the EU Commission aims to achieve more harmonization in regulation of credit providers operating in the EU that shall enable all consumers in the EU to enjoy a high and equivalent level of protection of their interests within the well-functioning EU Single Market for financial services.

Despite being the first major jurisdiction that is openly looking to regulate BNPL sector, the EU does not appear to be alone in this race. For instance, in the UK, where BNPL models generally fall outside of Financial Conduct Authority (FCA) regulations, the Government is looking to amend the Consumer Credit Act 1974, with the aim of requiring BNPL providers to obtain FCA authorization and comply with the number of regulatory requirements when offering BNPL products to the UK customers.

And despite the increasing regulatory scrutiny, more companies are looking to include BNPL products as part of their service with the aim of joining FinTech firms in the battle for customers interested in BNPL as a payment option. In June 2022, Apple has announced that it will soon be launching a new payment option ‚Apple Buy Later‘, as part of their IOS 16, which shall allow their users to spread the cost of a purchase into four payments over six weeks. This type of initiatives together with the proposed regulatory framework that shall apply to all BNPL providers across the EU, may encourage more traditional banks to try entering into the space and to start testing this type of consumer credit product on their huge customer bases in the coming period.

Nonetheless, it is yet to be seen once the revised Consumer Credit Directive becomes operational, what practical impact will the new rules have on existing BNPL providers as well as new firms that are entering into the space in the coming years.

DORA – ein inhaltlicher Überblick

Nachdem wir uns im ersten Teil der Beitragsreihe mit dem Anwendungsbereich von DORA beschäftigt haben, betrachten wir in diesem zweiten Teil nun die inhaltlichen Regelungen der neuen europäischen Verordnung etwas genauer. Dieser Blogbeitrag beleuchtet fünf Handlungsfelder von DORA, die entsprechenden Anpassungsaufwand auf Seiten der betroffenen Finanzunternehmen nach sich ziehen werden.

Am 27. Dezember 2022 wurde die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) im Amtsblatt der Europäischen Union veröffentlicht. DORA tritt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union – und damit am 16. Januar 2023 – in Kraft und muss von den betroffenen Unternehmen nach einer Umsetzungsfrist von 24 Monaten nach der Veröffentlichung, folglich ab dem 17. Januar 2025 angewendet werden (Art. 64 DORA). Die Anforderungen der DORA sind damit in allen EU-Mitgliedstaaten einheitlich. Hieran anknüpfend werden die Europäischen Aufsichtsbehörden (ESAs), die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Konkretisierung des Rechtsakts technische Standards (sog. Regulatory Technical Standards – RTS) ausarbeiten, die von den jeweiligen Unternehmen erfüllt werden müssen.

Betroffenen Unternehmen ist zu raten, den persönlichen Anwendungsbereich von DORA zu prüfen und sich mit den gesetzlichen Verpflichtungen bereits frühzeitig vertraut zu machen. DORA enthält fünf Themenbereiche, die im Folgenden zusammenfassend dargestellt und eingeordnet werden.

1. IKT-Risikomanagement

Wenig überraschend muss das Risikomanagement von regulierten Finanzmarktteilnehmern auch nach DORA künftig das IKT-Risiko umfassen. Das ist nach der MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT, ZAIT und VAIT keine neue Vorgabe. Allerdings sind die Vorgaben in DORA konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin.

Kapitel II von DORA enthält Vorschriften zum IKT-Risikomanagement von Finanzunternehmen. Ein Einsatz von IKT muss durch das Finanzunternehmen in die Unternehmensstrategie integriert werden. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich bei der Geschäftsleitung des jeweiligen Finanzunternehmens. Zudem werden mit DORA Verpflichtungen eingeführt, die sicherstellen sollen, dass IKT-Systeme kontinuierlich überwacht und kontrolliert werden, sowie durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden. Um Ausfallzeiten von IKT-Systemen zu minimieren, müssen betroffene Unternehmen auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten. Sämtliche interne Risikodokumente müssen verschriftlicht sein, um entsprechend intern und extern überprüfbar zu sein.

2. Berichterstattung / Meldepflichten

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. Nach Kapitel III von DORA werden Finanzunternehmen künftig verpflichtet sein, einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen zu implementieren. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat (vgl. Art. 3 Nr. 8 DORA).

Finanzunternehmen müssen nach Art. 17 DORA Frühwarnindikatoren einrichten, um Cyberangriffe zu erkennen und zu bewältigen. Weiterhin schafft DORA einheitliche und standardisierte Vorgaben zum Vorgehen bei IT-Sicherheitsvorfällen. So beschreibt beispielsweise Art. 18 DORA ein Verfahren zur Klassifizierung, basierend auf Faktoren wie Dauer und Schwere des IKT-bezogenen Vorfalls auf die IKT-Systeme des Finanzunternehmens.

Schwerwiegende IKT-bezogene Vorfälle (vgl. Art. 3 Nr. 10 DORA) müssen durch das jeweilige Finanzunternehmen gemäß Art. 19 DORA der zuständigen Aufsichtsbehörde (vgl. Art. 46 DORA) gemeldet werden.

Bereits unter der derzeit geltenden Rechtslage bestehen Berichts- und Meldepflichten etwa durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister oder die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Die DORA-Verordnung baut dabei auf der NIS-Richtlinie auf und beseitigt mögliche Überschneidungen durch eine Ausnahme mittels des lex specialis Prinzips, sodass die Regelungen der DORA grundsätzlich Vorrang genießen sollten.

3. Prüfung der digitalen Betriebsstabilität durch Test-Verfahren

DORA schreibt weiterhin auch umfassende Verfahren zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests vor (Kapitel IV DORA). Dabei sind diese Prüfungen anhand des bereits erwähnen risikobasierten Ansatzes unter Berücksichtigung der Größe und Geschäfts- und Risikoprofile der jeweiligen Finanzunternehmen durchzuführen. Die DORA-Verordnung listet in Art. 25 Abs. 1 Beispiele geeigneter Tests auf, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von OpenSource-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.

Finanzunternehmen müssen mindestens einmal jährlich alle kritischen IKT-Systeme und IKT-Anwendungen prüfen. Diese Prüfungen können dabei sowohl durch externe als auch durch interne Prüfer durchgeführt werden (vgl. Art. 24 Abs. 4, 6 DORA).

Systemrelevante Institute hingegen werden höheren Anforderungen mit Blick auf die Prüfung ihrer IKT-Systeme unterworfen. DORA sieht für diese Institute erweiterte Prüfungen durch die Durchführung sog. bedrohungsorientierter Penetrationstests vor, wobei diese Tests in regelmäßigen Abständen mindestens alle drei Jahre durchzuführen sind.

4. IKT-Risiken Dritter / Outsourcing

Da Institute ihre IT häufig an große Technologieanbieter auslagern oder solche Anbieter für einzelne Dienstleistungen verwenden, werden Finanzinstitute deshalb im Rahmen ihres Risikomanagements verpflichtet, auch IKT-Drittparteienrisiken zu betrachten (Kapitel V DORA). So legt etwa Art. 30 DORA wesentliche Vertragsbestimmungen für Auslagerungsverträge fest. Derartige Verträge müssen z.B. eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, fortlaufende Überwachungsrechte des Finanzunternehmens oder auch Kündigungsrechte und Ausstiegsstrategien enthalten. Diese Vorgaben knüpfen nahtlos an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer an.

5. Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsregimes für kritische Technologieanbieter, die im Finanzsektor genutzt werden. Das ist auf europäischer Ebene neu, in Deutschland wurde eine entsprechende Kompetenz der BaFin bereits durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 25b Abs. 4a KWG eingeführt. Allerdings gehen die Befugnisse der BaFin beim Durchgriff auf das IT-Auslagerungsunternehmen nicht so weit, wie es DORA vorsieht. Nach § 25b KWG kann die BaFin im Einzelfall geeignete Anordnungen gegenüber IT-Auslagerungsunternehmen erlassen. Die aufsichtlichen Befugnisse bei der Überwachung der IKT-Drittanbieter nach Art. 35 DORA sind wesentlich detaillierter und weitgehender. Sie umfassen beispielsweise die Anforderung von Informationen und Unterlagen, Vor-Ort-Prüfungen oder auch die Verhängung von Zwangsgeldern, um den jeweiligen kritischen IKT-Drittanbieter zur Einhaltung der gesetzlichen Regelungen zu zwingen. Die neuen Befugnisse ermöglichen der BaFin eine umfassende Aufsicht der kritischen IKT-Drittanbieter.

Die Einstufung eines Technologieanbieters als kritischer IKT-Drittdienstleister und dessen Überwachung obliegt den ESAs. Dabei basiert die Ernennung auf festgelegten Kriterien, wie etwa:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen

Zusammenfassung und Ausblick

Durch den umfassenden Anwendungsbereich von DORA werden Unternehmen aus zahlreichen Bereichen des Finanzsektors erfasst. Mit DORA wird ein Rechtsrahmen entstehen, der bestehende regulatorische Anforderungen an die IT-Sicherheit für die gesamte Finanzbranche zusammenfasst und einen europäisch einheitlichen Aufsichtsrahmen schafft.

Erstmals sind nun auch kritische IKT-Dienstleister, die als Auslagerungsunternehmen für regulierte Finanzmarktteilnehmer agieren, von der Regulierung umfasst.


Neue FAQ zur Taxonomie-Verordnung

Ende 2022 hat die EU-Kommission den Entwurf eines FAQ-Dokuments zu den technischen Bewertungskriterien der Taxonomie-Verordnung veröffentlicht. Wir werfen einen genaueren Blick darauf und schauen uns an, warum die Einordnung einer Tätigkeit als nachhaltig unter der Taxonomie-Verordnung für Immobilienunternehmen, Finanzmarktteilnehmer und Anleger gleichermaßen wichtig ist.

Dogmatik zum Einstieg: Die FAQ als Level 3 Maßnahme

Die Taxonomie-Verordnung regelt EU-weit einheitlich, unter welchen Voraussetzungen eine Wirtschaftstätigkeit als ökologisch nachhaltig gilt. Dazu muss die Wirtschaftstätigkeit einen Beitrag zu einem Umweltziel (Klimaschutz, Anpassung an den Klimawandel, Schutz von Meeresressourcen, Übergang zur Kreislaufwirtschaft, Vermeidung von Umweltverschmutzung, Schutz der Biodiversität) leisten und darf keines dieser Ziele erheblich beeinträchtigen. EU-Verordnungen wie die Taxonomie-Verordnung werden als „oberster gesetzgeberischer Rahmen“ als Level 1 Maßnahme bezeichnet.

Zwei der genannten Umweltziele werden mithilfe von technischen Bewertungskriterien in Form einer Delegierten Verordnung (2021/2139) konkretisiert (die Konkretisierung der übrigen vier Ziele wird vom EU-Gesetzgeber noch ausgearbeitet). Delegierte Verordnungen werden, da sie Level 1 Maßnahme konkretisieren, häufig als Level 2 Maßnahmen bezeichnet. Für die Immobilienwirtschaft unterscheidet die Delegierte Verordnung insbesondere zwischen technischen Bewertungskriterien für (i) den Neubau, (ii) die Renovierung bestehender Gebäude und (iii) den Erwerb bzw. Eigentum an Gebäuden. Mit anderen Worten: Sie regelt, welche Bedingungen bei einem Neubau, bei einer Renovierung oder beim Erwerb eines Gebäudes erfüllt sein müssen, damit diese Tätigkeit als nachhaltig qualifiziert. Die Renovierung eines Gebäudes stellt z.B. eine nachhaltige Tätigkeit dar, wenn sie u.a. den Primärenergiebedarf des Gebäudes um 30% verringert.

Der nun von der EU-Kommission veröffentlichte FAQ-Entwurf greift in der Praxis gestellte Fragen zu den technischen Bewertungskriterien auf und beantwortet diese. Diese Guidance wird als Level 3 Maßnahme bezeichnet. Diese hat keinen Gesetzescharakter, ist aber in der Praxis wichtig, da hier häufig erst Detailfragen zur Auslegung und zum Verständnis des eigentlichen Gesetzestextes (Level 1) geklärt werden können.

Top 5 FAQ

Welche Konkretisierungen zu den technischen Bewertungskriterien für die Wirtschaftstätigkeit der Immobilienbranche halten die FAQ bereit? Nachfolgend unsere Top 5:


  • Zum Nachweis der Einhaltung der technischen Bewertungskriterien werden Bewertungssysteme wie das Deutsche Gütesiegel Nachhaltiges Bauen (DGNB) von der Delegierten Verordnung zwar nicht erwähnt; sie können aber verwendet werden, soweit sie dazu geeignet sind.


  • Die technischen Bewertungskriterien besagen, dass der Bau eines Gebäudes die Umweltziele nicht beeinträchtigt, wenn es u.a. nicht der Gewinnung, der Lagerung, Transport oder Herstellung von fossilen Brennstoffen dient. Das schließt aber nicht aus, dass ein Neubau, in dem geringe Mengen an Brennstoffen gelagert oder transportiert werden müssen, z. B. um das Funktionieren der Energieerzeugungsanlagen zu gewährleisten, Taxonomie-konform sein kann, wenn dieser einem anderen Zweck dient, z.B. Wohngebäude ist.


  • Renovierungen sind Taxonomie-konform, wenn u.a. der Wasserverbrauch für Sanitäranlagen, die im Rahmen der Renovierung installiert werden, bestimmte Verbrauchsmengen nicht überschreiten. Der Nachweis der Einhaltung der Verbrauchsgrenzen kann z.B. durch Produktblätter oder einer Gebäudezertifizierung erfolgen.


  • Für die Frage, wann das Eigentum an einem Gebäude als nachhaltig eingestuft werden kann, kommt es u.a. auf das Datum des Baus an. Maßgeblich ist hier das Datum der Baugenehmigung, nicht etwa das Datum der Fertigstellung oder Übergabe an den Bauherren.
  • Gebäude, die vor 2020 gebaut wurden, sind nachhaltig, wenn sie z.B. zu den oberen 15% des Gebäudebestandes bzgl. des Energiebedarfs gehören. Hierbei handelt es sich um eine dynamische Größe, für die es keinen Bestandsschutz gibt. Ändern sich die Kriterien oder wird den Kriterien nicht mehr entsprochen, muss neu bewertet werden, ob die Kriterien eingehalten werden und ggf. Maßnahmen ergriffen werden, um deren weitere Einhaltung sicherzustellen.

Warum sind die Konkretisierungen für die Immobilien-, die Finanzwirtschaft und Anleger gleichermaßen wichtig?

Für Unternehmen der Immobilienwirtschaft ist eine rechtssichere Anwendung der technischen Bewertungskriterien der Taxonomie-Verordnung wichtig, um korrekte Angaben darüber machen zu können, ob ihre Tätigkeit, sprich ein Immobilienvorhaben, nachhaltig im Sinne der Taxonomie ist.

Diese Information der Immobilienunternehmen sind wiederum für Finanzmarktteilnehmer wichtig, die über Finanzprodukte Investitionen in Immobilien anbieten, zum Beispiel in Form eines Immobilienfonds.  Zum einen unterliegen sie selbst nachhaltigkeitsbezogenen Transparenzpflichten bzgl. ihrer Finanzprodukte. Diese unterscheiden sich u.a. danach, ob einem Immobilienfonds nachhaltige Immobilien im Sinne der Taxonomie zugrunde liegen, oder nicht. Finanzmarktteilnehmer haben also schon aus eigenen Compliance-Gründen ein Interesse an diesen Informationen. Zum anderen sind diese Informationen vor allem aber für den potentiellen Investor eines Immobilienfonds interessant und werden diesem vom Finanzmarktteilnehmer, der den Immobilienfonds anbietet, auch mitgeteilt. Anlagen in nachhaltige Investments erfreuen sich derzeit großer Nachfrage und Beliebtheit. Die Nachhaltigkeitsinformationen zum Finanzprodukt können die Anlageentscheidung des Investors daher ganz erheblich beeinflussen und ein wichtiges Marketingtool für das Produkt sein.


Die technischen Bewertungskriterien und die Level 3 Guidance dazu sind die maßgebliche Grundlage für die Nachhaltigkeitsinformationen, die vom Immobilienunternehmen über den Finanzmarktteilnehmer an den potentiellen Investor eines Immobilienfonds gelangen. Nur wenn die technischen Bewertungskriterien in der Praxis funktionieren, sind die Angaben korrekt und für den Investor für seine Anlageentscheidung hilfreich. Letztlich wird also durch eine saubere und rechtssichere Anwendung der technischen Bewertungskriterien Greenwashing verhindert. Das stärkt das Vertrauen der Anleger und hilft so, Kapital in nachhaltige Wirtschaftstätigkeiten zu lenken.

Die Verordnung des europäischen Parlamentes und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) – ab 16.1.2023 in Kraft

Die Digitalisierung des Finanzsektors durch den Einsatz von Informationstechnik (IT) schafft für Anbieter von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten, birgt für die Branche jedoch, angesichts der wachsenden Gefahr von Cyberangriffen, auch zahlreiche Risiken. In Zukunft wird mit dem sog. Digital Operational Resilience Act – („DORA“) ein EU-weiter Rechtsrahmen für die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor zu beachten sein.

Was ist DORA?

Um die Stabilität des Finanzmarktes auch im Falle einer schwerwiegenden Störung zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission am 24. September 2020 den DORA-Regulationsentwurf im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package) vorgelegt, der auch die Digital Finance Strategy, die Retail Payment Strategy, einen Vorschlag zur Distributed-Ledger-Technologie (DLT) sowie den Act on Markets in Crypto Assets (MiCA) enthält.

Derzeit müssen sich Unternehmen des Finanz- und Versicherungssektors bei einem Einsatz von IT oder der Einbeziehung von IT-Dienstleistungen auf nationaler Ebene an eine Vielzahl aufsichtsrechtlicher Anforderungen mit Blick auf Cybersicherheit halten. In Deutschland zeigt sich dies etwa an den Vorgaben der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT, die für jede Branche des Finanz- und Versicherungsmarktes individuelle Regelungen aufstellen. Wir fangen hier in Deutschland also nicht bei Null an, sondern bauen auf einem Standard auf, der bereits seit Jahren im Fokus der Aufsicht steht und bereits eine gewisse Resilienz bewiesen hat.

Ziel von DORA ist die Harmonisierung der nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor. Innerhalb der Europäischen Union soll so ein einheitlicher Rechtsakt über die digitale Betriebsstabilität von Finanzdienstleistungen entstehen. Bezweckt ist die Schaffung eines umfassenden Rahmens auf Ebene der Europäischen Union mit einheitlichen Vorschriften, die den Anforderungen an die digitale Betriebsstabilität von regulierten Unternehmen auf dem Finanzmarkt Rechnung tragen sowie die Schaffung eines gemeinsamen Aufsichtsrahmens für Drittanbieter von Informations- und Kommunikationstechnologien (IKT).

Wer ist von DORA betroffen?

DORA wird auf Finanzunternehmen und sog. IKT-Drittanbieter anwendbar sein. Unter einem IKT-Drittanbieter ist ein Unternehmen zu verstehen, welches digitale Dienste und Datendienste erbringt und schließt auch Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren ein.  

Welche Unternehmen unter die Sammelbezeichnung der Finanzunternehmen zu fassen sind, wird in Art. 2 Abs. 1 a) bis t) DORA aufgelistet. Demnach sind nicht nur Kreditinstitute, Zahlungsdienstleister, E-Geld-Institute und Wertpapierfirmen vom Anwendungsbereich von DORA umfasst, sondern beispielsweise auch Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Dienstleister, Ratingagenturen und Anbieter von Krypto-Dienstleistungen.

Der insgesamt sehr weite Anwendungsbereich von DORA soll nach dem Willen des europäischen Gesetzgebers für eine möglichst einheitliche Anwendung der gesetzlichen Verpflichtungen im Hinblick auf IKT-Risiken sorgen und letztlich gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen schaffen.

Was sind die zentralen Verpflichtungen unter DORA?

Die neue Verordnung berücksichtigt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Aus diesem Grund verfolgt DORA einen risikobasierten Regulierungsansatz unter Beachtung der Verhältnismäßigkeit (sog. Proportionalitätsprinzip). Dies dient dazu, den weiten Anwendungsbereich von DORA zu korrigieren und sorgt dafür, dass je nach Größe des Unternehmens unterschiedliche Anforderungen gelten. Dadurch fallen auch Kleinstunternehmen nahezu gänzlich aus dem Anwendungsbereich von DORA heraus. DORA wurde zudem technologieneutral ausgestaltet, wodurch auch künftige technologische Entwicklungen auf dem Finanzmarkt erfasst werden sollen.

DORA sieht dabei eine Reihe von Handlungsfeldern vor, die entsprechenden Anpassungsaufwand auf Seiten der Finanzunternehmen nach sich ziehen. Diese sollen in einem Teil 2 zu diesem Beitrag näher beleuchtet werden.

Gegen Greenwashing: Neue Regulierung von Fondsnamen

ESG, green, sustainable, impact investing…der Name eines Fondsprodukt ist oft das, was ein potentieller Investor als Erstes sieht. Auch wenn für die Rendite letztlich maßgeblich ist, welche Assets im Fonds enthalten sind, ist der Name des Fonds doch häufig das, was das Interesse weckt. Hier ist die Gefahr von Greenwashing, sprich der Verwendung von ESG-Begriffen, ohne dass aber entsprechendes Commitment besteht, also besonders groß.

Die gesamte Nachhaltigkeitsregulierung im Finanzmarkt dient deshalb dem übergeordneten Ziel, Transparenz zu schaffen, Anlegervertrauen zu fördern und damit Kapital hin zu einer nachhaltigeren Wirtschaft bereitzustellen. Dazu legt z.B. die Taxonomie-Verordnung als Grundlage eine einheitliche Definition nachhaltiger Wirtschaftstätigkeit fest. Die EU-Offenlegungsverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) regelt z.B. nachhaltigkeitsbezogene vorvertragliche Informationspflichten. Ein weiterer Baustein gegen Greenwashing ist nun die Schaffung von EU-Vorgaben zu Fondsnamen.

Die BaFin-Richtlinie für nachhaltige Investmentvermögen

Bereits im August 2021 hat die BaFin den Entwurf einer Richtlinie für nachhaltige Investmentvermögen zur Konsultation gestellt, die in ihrem Anwendungsbereich allerdings auf Publikumsfonds beschränkt ist. Sie zielt auf solche Publikumsfonds ab, die in ihrem Namen einen Nachhaltigkeitsbezug aufweisen. Drei Möglichkeiten sind vorgesehen, unter denen ein Fonds als nachhaltig aufgelegt werden kann: (i) aufgrund der Investition in nachhaltige Vermögensgegenstände, (ii) aufgrund einer nachhaltigen Anlagestrategie und (iii) durch die Nachbildung eines nachhaltigen Index. Eine Investition in nachhaltige Vermögensgegenstände kann durch die Aufnahme einer Regelung in die Anlagegrenzen erfolgen, wonach der Fonds zu mind. 75% in Taxonomie-konforme Vermögensgegenstände investiert sein muss. Ausführlich haben wir bereits hier darüber berichtet. Vor dem Hintergrund der dynamischen regulatorischen Lage hat die BaFin sich allerdings dazu entschlossen, die Richtlinie zurückzustellen, gleichzeitig ihre Verwaltungspraxis aber an den dort genannten Grundsätzen auszurichten.

Der Vorschlag der ESMA

Mitte November 2022 hat die ESMA ihren Entwurf für Guidelines für Fondsnamen mit ESG-Bezug veröffentlicht. Diese sind bereits deutlich konkreter als das vorangegangene Supervisory Briefing vom Mai 2022.

…gilt für…

Die Guidelines sollen für sämtliche Fondsverwaltungsgesellschaften gelten, erfassen also v.a. OGAW und AIF und sind insbesondere nicht auf Publikumsfonds beschränkt. Durch die Guidelines werden die in der OGAW-Richtlinie, der AIFMD und der Verordnung zum grenzüberschreitenden Fondsvertrieb enthaltenen Grundsätze des redlichen Verhaltens von Fondsverwaltungsgesellschaften sowie die Verpflichtung zu fairer, klarer und nicht irreführender Werbung konkretisiert.

Relevant werden die Guidelines für sämtliche Fondsdokumentation wie den Prospekt, die vorvertraglichen Informationen, die Halbjahres- und Jahresberichte und die Gründungsdokumente sowie für sämtliche Marketingkommunikation, geäußert z.B. durch Pressemitteilungen, auf Webseiten, mittels Präsentationen, auf Social Media oder im Rahmen von Diskussionsforen. Sie sollen nicht nur die Fondsverwaltungsgesellschaften selbst, sondern auch für ihre Vertriebspartner gelten.

…und regelt

Unter der SFDR sind Fonds bereits jetzt verpflichtet, z.B. in vorvertraglichen Informationen offenzulegen, wie die geförderten sozialen oder ökologischen Merkmale (Art. 8 SFDR) bzw. die nachhaltigen Anlageziele (Art. 9 SFDR) erreicht werden. Ab 2023 sind dazu verbindliche Vorlagen des EU-Gesetzgebers zu verwenden. Dabei ist auch offenzulegen, welcher Anteil der dem Fonds zugrunde liegenden Vermögensgegenstände verwendet wird, um die geförderten Merkmale bzw. die nachhaltige Anlagestrategie zu erreichen.

Hier setzt der Vorschlag der ESMA an:

  • Bei Fonds, die einen ESG- oder impact-Bezug im Namen aufweisen, müssen mindestens 80% der Vermögenswerte dazu verwendet werden, die geförderten ökologischen oder sozialen Merkmale bzw. die nachhaltigen Anlageziele zu erreichen.
  • Bei Fonds, die einen Nachhaltigkeitsbezug im Namen aufweisen, müssen von diesen 80% mindestens 50% die Voraussetzungen von Art. 2 Nr. 17 SFDR erfüllen, also letztlich Taxonomie-konform sein.
  • Für die verbleibenden Vermögenswerte sowie als grundsätzliche Mindestanforderung an alle Vermögenswerte schlägt die ESMA die Anwendung der Mindestanforderungen vor, die bereits im Zusammenhang mit Klimabenchmarks geregelt sind. Ausgeschlossen wären danach z.B. Investments in Unternehmen, die an umstrittenen Waffen beteiligt sind.
  • Die Wörter „Impact“ oder „Impact Investing“ dürfen von Fonds nur verwendet werden, wenn die o.g. Schwellenwerte eingehalten werden und Investitionen unter diesen Mindestanteilen zudem mit der Absicht getätigt werden, neben einer finanziellen Rendite positive, messbare soziale oder ökologische Auswirkungen zu erzielen.

Durch die Guidelines will die ESMA EU-weit einheitliche Regelungen erreichen, was insbesondere den grenzüberschreitenden Fondsvertrieb erleichtert. Die von ihr vorgeschlagene Quote für Investitionen in Taxonomie-konforme Investments ist deutlich niedriger als die 75% der BaFin. Wie immer bei EU-Guidelines müssen die nationalen Aufsichtsbehörden erklären, ob sie diese anwenden und falls nein, begründen, warum nicht. Es bleibt daher abzuwarten, wie die BaFin mit ihrer Richtlinie umgehen wird. Eine Möglichkeit wäre, die ESMA Guidelines als Mindeststandard anzuwenden, für Publikumsfonds aber an der Richtlinie festzuhalten.

Ab wann gilts?

Die ESMA will finale Guidelines in Q2/Q3 2023 veröffentlichen. Für Fonds, die vor den finalen Guidelines aufgelegt wurden, ist eine Übergansphase von 6 Monaten vorgesehen. Diese haben somit ein halbes Jahr Zeit, entweder die Vorgaben der Guidelines zu erfüllen oder den Fondsnamen zu ändern. Erfahrungsgemäß halten sich Änderungen zur Entwurfsfassung in der Regel in Grenzen, sodass Marktteilnehmer ihre Produkte bereits einer entsprechenden Prüfung unterziehen sollten.

Update Nachhaltigkeitsregulierung – Was gibt es Neues?

In der Nachhaltigkeitsregulierung steckt derzeit selbst für das die Schnelllebigkeit gewohnte Finanzaufsichtsrecht viel Dynamik. In der Vergangenheit hatten wir bspw. schon über das Lieferkettensorgfaltspflichtengesetz, die Richtlinie der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) für nachhaltige Investmentvermögen und die technischen Regulierungsstandards zur EU-Transparenzverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) berichtet. Doch was hat sich in der Zwischenzeit getan? Nachfolgend gibt es ein Update über ausgewählte aktuelle Entwicklungen der Nachhaltigkeitsregulierung.

1. Finale RTS zur SFDR

Die durch mehrere „Entwurfsrunden“ gegangenen technischen Regulierungsstandards (Regulatory Technical Standards – „RTS“) liegen mittlerweile als Delegierte Verordnung (EU) 2022/1288 in finaler Fassung vor (abrufbar hier). Die RTS zur SFDR konkretisieren insbesondere die Anforderungen an die Transparenzpflichten in vorvertraglichen Informationen, auf der Internetseite und in Jahresberichten. Die dazu in der Delegierte Verordnung (EU) 2022/1288 enthaltenen Vorlagen gelten ab dem 1. Januar 2023.

2. ESMA Sustainable Finance Timeline

Wer sich einen aktuellen Überblick über den zeitlichen Fahrplan der Nachhaltigkeitsregulierung verschaffen möchte, ist bei der Sustainable Finance Timeline der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) vom 26. September 2022 gut aufgehoben.

3. BaFin Q&A zur SFDR

Zudem hat die BaFin am 5. September Q&A zur SFDR veröffentlicht. Ausgewählte Fragen und Antworten werden nachfolgen näher vorgestellt.

Die BaFin stellt nochmal ausdrücklich klar, dass Finanzanlagenvermittler nach § 34f GewO nicht nach der SFDR verpflichtet sind. Sie qualifizieren aufgrund der Bereichsausnahme des KWG (§ 2 Abs. 6 S. 1 Nr. 8 KWG) nicht als Finanzdienstleistungsinstitut und damit auch nicht als MiFID II-Wertpapierfirma; (nur) an diese richtet sich aber die SFDR.

Zudem wird zunehmend klarer, was genau unter „bewerben“ im Sinne des Art. 8 SFDR zu verstehen ist. Nach Art. 8 SFDR sind für Finanzprodukte, die ökologische oder soziale Merkmale bewerben, bestimmte vorvertragliche Transparenzpflichten zu erfüllen. Die BaFin legt „bewerben“ als „fördern“ aus. Das führt dazu, dass es für die Anwendbarkeit der Transparenzpflichten nach Art. 8 SFDR nicht erforderlich ist, dass für ein Finanzprodukt Werbung betreiben wird, z.B. in Form von Marketingmitteilungen. Umgekehrt wird Art. 8 SFDR nicht schon dadurch „ausgelöst“, dass lediglich angegeben wird, wie Nachhaltigkeitsrisiken bei Investitionsentscheidungen einbezogen werden (das ist vielmehr Grundinformation in vorvertraglichen Informationen für sämtliche Finanzprodukte, vgl. Art. 6 SFDR). Vielmehr muss das Finanzprodukt ökologische oder soziale Merkmale zielgerichtet fördern und dies nach außen kommunizieren. Dem Fördern können aktive oder passive Anlagestrategien zugrunde liegen. Ein zielgerichtetes Fördern von ökologischen Merkmalen könnte etwa bei einem Immobilienfonds vorliegen, der bei der Auswahl der Immobilien deren CO2-Fußabdruck berücksichtigt und dies entsprechend in der Fondsdokumentation verschriftlich ist.

4. Siebte MaRisk-Novelle

Bereits am 20.Dezember 2019 hat die BaFin ein Merkblatt zum Umgang mit Nachhaltigkeitsrisiken veröffentlicht. Darin empfiehlt die BaFin eine strategische Befassung mit Nachhaltigkeitsrisiken und eine Anpassung des Risikomanagements. Das Merkblatt enthält jedoch lediglich eine Zusammenstellung von unverbindlichen Verfahrensweisen (Good-Practice).

Mit der Konsultation zu den geplanten Änderungen der Mindestanforderungen an das Risikomanagement („MaRisk“) sollen die Leitplanken des Merkblatts nunmehr in den Regelungstext der MaRisk aufgenommen. Die Anforderungen an die Berücksichtigung von Nachhaltigkeitsrisiken im Risikomanagement werden damit zu prüfungsrelevanten Anforderungen. Im Ergebnis sollen beaufsichtigte Unternehmen auch im Umgang mit Nachhaltigkeitsrisiken einen ihrem Geschäftsmodell und Risikoprofil angemessenen Ansatz entwickeln. Dazu sind bisherige Prozesse anzupassen und neue Mess-, Steuerungs- und Risikominderungsinstrumente zu entwickeln. Auch hier gilt aber der Proportionalitätsgrundsatz, sodass bei einem schwächer ausgeprägtem Risikoprofil einfacherer Prozesse ausreichen werden.

Und sonst?

Derzeit arbeitet der europäische Gesetzgeber an der Erweiterung der Taxonomie-Verordnung zur Definition von sozialer Wirtschaftstätigkeit sowie Vorgaben zur guten Unternehmensführung; bisher deckt die Taxonomie-Verordnung nur die ökologische Nachhaltigkeit und damit nur das „E“ aus „ESG“ ab. Die EU Platform for Sustainable Finance hat dazu bereits im Februar diesen Jahres einen Final Report veröffentlicht.

Der Entwurf des BaFin-Richtlinie für nachhaltige Investmentvermögen ist hingegen erstmal wieder zurückgestellt, zu dynamisch schien das derzeitige regulatorische Umfeld für eine finale Regelung. Gleichzeitig wird die BaFin aber ihre Verwaltungspraxis an dort genannten Grundsätzen ausrichten, sodass sich der Markt faktisch an der Richtlinie orientieren wird.

Es ist also Bewegung in der Nachhaltigkeitsregulierung und längst sind noch nicht alle Fragen der Praxis geklärt. Es bleibt daher, wie immer im Aufsichtsrecht, spannend.

Bedeutung der Reverse Solicitation im grenzüberschreitenden Fondsvertrieb – Kommt ein neues Reporting?

Ende letzten Jahres hat die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA) Daten dazu veröffentlicht, in welchem Umfang über die sog. Reverse Solicitation in Fondsprodukte investiert wird. In diesem Beitrag wollen wir einen Blick darauf werfen, wie sich die sog. Reverse Solicitation vom klassischen Vertrieb unterscheidet und welche Daten es zu Reverse Solicitation gibt.

Fonds sind nichts Anderes als gebündeltes Kapital von Anlegern. Damit diese Gelder investieren können, müssen sie erst einmal von der Anlagemöglichkeit wissen und Zugriff auf die Fonds haben. Das geschieht, indem die Kapitalverwaltungsgesellschaft (KVG) ihre Produkte auf dem Markt anbietet, diese also vertreibt. Der Vertrieb ist aufsichtsrechtlich reguliert und als das Anbieten und Platzieren von Fondsanteilen oder –aktien definiert. Damit ein Fondsprodukt auf dem deutschen Markt vertrieben werden darf, muss die KVG bestimmte regulatorische Anforderungen erfüllen, z.B. dem Anleger bestimmte Informationen und Dokumente über ihr Produkt zur Verfügung stellen.

Vertriebsvorgaben gelten dabei nicht nur für deutsche Fonds, die auf dem deutschen Markt angeboten werden sollen. Aufsichtsrechtliche Vertriebsvorgaben gelten auch für EU-Fonds, die in Deutschland angeboten werden sollen. So muss bspw. eine luxemburgische KVG, die einen luxemburgischen Fonds auf dem deutschen Markt anbieten will, diese erfüllen. Gemeinsam ist diesen Vertriebskonstellationen, dass die Initiative von der KVG ausgeht; sie bietet ihre Fondsprodukte zur Zeichnung aktiv auf dem Markt an und möchte deutsche Anleger erreichen.

Allerdings: Viele Investoren, gerade institutionelle, wissen häufig genau, welche Anlagemöglichkeit sie suchen und wie diese ausgestaltet sein soll. Sie warten also nicht, bis ihnen auf dem Markt eine geeignete Investitionsmöglichkeit angeboten wird, sondern fragen diese aktiv selbst an. Hier geht die Investitionsinitiative also von dem Investor, und nicht von der KVG aus. Aufsichtsrechtlich liegt dann kein Vertrieb vor und die Vertriebsvorgaben finden keine Anwendung.

Entsprechendes gilt auch für grenzüberschreitende Konstellationen: Fragt z.B. ein deutscher Anleger ein irisches Fondsprodukt einer irischen KVG an, geht die Investitionsinitiative von ihm aus, einen aktiven Vertrieb der irischen KVG auf dem deutschen Markt gibt es in dieser Konstellation nicht. Der Anleger macht hier von seiner passiven Dienstleistungsfreiheit (sog. Reverse Solicitation) Gebrauch. Die passive Dienstleistungsfreiheit ist Teil der EU-Grundfreiheiten und wird durch die aufsichtsrechtliche Regulierung des Vertriebs nicht berührt. Sie schützt die Freiheit, dass ein Empfänger einer Dienstleistung (hier der deutsche Anleger) aus einem anderen Mitgliedstaat kommt (aus Sicht der irischen KVG also Deutschland) als der Dienstleister (in unserem Beispiel die irische KVG).

Lässt sich Kapital also ganz einfach über die passive Dienstleistungsfreiheit einsammeln und damit die aufsichtsrechtlichen Anforderungen an den Vertrieb umgehen? Könnten sich KVGen also stets darauf berufen, gar nichts selbst auf den Markt zugegangen zu sein, sondern dass die Initiative stets vom Anleger ausging? Hier ist Vorsicht geboten. Fondsanbieter sollten keine vollständigen Vertriebsmodelle auf die Reverse Solicitation stützen. Der gesetzliche Regelfall ist der Vertrieb, also, dass die KVG ihr Produkt aktiv auf dem Markt platziert. Ist es ausnahmsweise umgekehrt und der Investor kommt aktiv mit einer Investitionsanfrage auf den Anbieter zu, sollte die KVG sich (gegenüber der Aufsicht) absichern und das gut dokumentieren.

Auf Anfrage der EU-Kommission hat die ESMA bei den nationalen Aufsichtsbehörden nun eine Umfrage durchgeführt, in welchem Umfang über die sog. Reverse Solicitation in Fondsprodukte investiert wird. Interessant sind diese Daten für die EU z.B. deshalb, weil sie mit der AIFMD II jüngst ein Regelwerk verabschiedet hat, das den grenzüberschreitenden Fondsvertrieb erleichtern und vor allem vereinheitlichen soll (dazu haben wir bereits hier, hier und hier ausführlich berichtet). Die nationalen Aufsichtsbehörden verfügen laut ESMA jedoch nur vereinzelt über solche Daten. Laut der italienischen Aufsichtsbehörde Consob stammt ein Viertel des investierten Kapitals aus Reverse Solicitation, wovon wiederum 99% auf professionelle Investoren entfallen. In Zypern stammt laut CySEC 30% des von OGAW-KVGen und 50% des von AIF-KVGen genutzten Kapitals aus Reverse Solicitation. In Spanien hingegen geht man davon aus, dass lediglich ca. 1,3% des Kapital aus Reverse Solicitation stammen. Daten für Deutschland wurden nicht veröffentlicht.

Nach ihrer Umfrage kommt die ESMA zu dem Schluss, dass valide und permanente Daten über die Frage, wie viel Kapital für Fondsprodukte über den klassischen Vertrieb und über Reverse Solicitation eingesammelt wird, nur durch die Einführung eines neues Reporting gewährleisten werden. Konkrete Vorschläge für ein solches Reporting gibt es derzeit aber noch nicht. Es bleibt daher abzuwarten, ob die EU-Kommission den Vorschlag der ESMA aufgreifen wird, um sich ein genaueres Bild über die Bedeutung der Reverse Solicitation im grenzüberschreitenden Fondsvertrieb zu machen.

Liebe Leserinnen und Leser, liebe Kollegen, Partner und Freunde,

unser Team verabschiedet sich in die Weihnachtspause – ab dem Januar 2022 sind wir wieder mit spannenden Beiträgen für Sie da.

Wir wünschen Ihnen ein fröhliches Weihnachtsfest im Kreise Eurer Liebsten und einen guten Rutsch ins neue Jahr!

Herzliche Grüße

Euer Finance & Banking Team.

Warum Banken wissen sollten, was es mit dem Lieferkettensorgfaltsplichtengesetz auf sich hat

Das Lieferkettensorgfaltspflichtengesetz (LkSG) ist ab 2023 an Unternehmen der Realwirtschaft in Deutschland mit mehr als 3.000 Mitarbeitern gerichtet. Ab 2024 erweitert und verfünffacht sich der Adressatenkreis auf Unternehmen in Deutschland mit mehr als 1.000 Mitarbeiter. Mit dem LkSG wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten wurde am 22. Juli 2021 im Bundesgesetzblatt veröffentlicht.

Ziel des Gesetzes ist es, die unter den Anwendungsbereich fallenden Unternehmen dazu zu verpflichten, in ihren Lieferketten menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten. Das LkSG enthält einen abschließenden Katalog von elf international anerkannten Menschenrechtsübereinkommen, aus denen Verhaltensvorgaben bzw. Verbote für unternehmerisches Handeln abgeleitet werden, um eine Verletzung geschützter Rechtspositionen zu verhindern. Dazu zählen insbesondere die Verbote von Kinderarbeit, Sklaverei und Zwangsarbeit, die Missachtung des Arbeits- und Gesundheitsschutzes, die Vorenthaltung eines angemessenen Lohns, die Missachtung des Rechts, Gewerkschaften bzw. Mitarbeitervertretungen zu bilden, die Verwehrung des Zugangs zu Nahrung und Wasser sowie der widerrechtliche Entzug von Land und Lebensgrundlagen. Kommen Unternehmen ihren gesetzlichen Pflichten nicht nach, können Bußgelder bis zu 8 Millionen Euro oder bis zu 2% des weltweiten Jahresumsatzes verhängt werden. Unternehmen müssen dem Bundesamt für Wirtschaft und Ausfuhrkontrolle jährlich einen Bericht über die Umsetzung der Sorgfaltspflichten vorlegen und ihn online spätestens vier Monate nach Ende des Geschäftsjahrs veröffentlichen.

Das LkSF fällt in den Bereich der Corporate Social Responsibility und stellt ein weiteres Puzzleteil auf dem Weg zu einer nachhaltigeren Wirtschaft dar. Die ESG-Regulierung des Finanzmarktes mit der Offenlegungsverordnung (Sustainable Finance Reporting Directive – SFRD) und der Taxonomie-Verordnung stellt ein weiteres Puzzleteil dar. In vielen Rechtsbereichen gibt es inzwischen Regulierung hin zu mehr Nachhaltigkeit und entsprechenden Compliance-Vorgaben (ein Überblick findet sich hier). Die einzelnen Puzzleteile greifen ineinander. Das ist der Grund, weshalb auch Banken das LkSG kennen sollten.

Sechs Gründe, warum das LkSG für Banken generell relevant werden kann


Die Bindung an Recht und Gesetz ist Teil der Verantwortung jeder Geschäftsleitung in Banken. Sofern Banken bei ihren Kunden feststellen, dass diese gegen das LkSG verstoßen, müssen sie handeln und den Kunden zumindest zur Compliance anhalten. Das gilt auch vor dem Hintergrund der Pressemeldung der BaFin von 29.11.2021, in der diese ankündigt, künftig in den Konzernabschlüssen 2021 schwerpunktmäßig Lieferkettenfinanzierungen (Reverse Factoring) zu überprüfen. Beim Reverse Factoring handelt es sich um Vereinbarungen, in denen sich Käufer und Verkäufer darauf verständigen, dass die Schuld des Käufers von einem Dritten beglichen wird. Die BaFin wird vor allem darauf achten, wie Reverse-Factoring-Transaktionen in den Bilanzen und der Kapitalflussrechnungen dargestellt werden. Da liegt es nahe, dass Verstöße gegen das LkSG auffallen können, weil einfach genauer hingeschaut werden wird. Banken sollten das entsprechend auf dem Schirm haben.


Nach der SFRD muss jede Bank inzwischen eine Geschäftsstrategie auf ihrer Webseite veröffentlichen, in der sie auch die Strategie zur Einbeziehung von Nachhaltigkeitsrisiken bei ihren Investitionsentscheidungsprozessen offenlegt. So könnte sich eine Bank z.B. strategisch so ausrichten, dass sie bei Investitionen oder Kreditgewährungen darauf achtet, dass die Vorgaben des LkSG eingehalten werden. Dies wäre dann Teil der eigenen ESG-Strategie und würde unter den sozialen Aspekt gefasst werden können.


Banken müssen bereits heute als Teil ihres Risikoverständnisses und ihres Risikomanagements sämtliche ESG-Risiken bei allen Bankgeschäften berücksichtigen. Dabei kann die Einhaltung des LkSG durch Zielunternehmen bei Investitionen oder durch Kreditnehmer eine Rolle spielen, weil sich in Lieferketten Risiken für Umwelt und Soziales niederschlagen können.


Bei Nicht-Compliance des Unternehmens, in das die Bank entweder für ihr eigenes Buch oder für Kunden investiert hat oder dem sie Kredite gewährt hat, besteht ein höheres Ausfallrisiko. Denn Verstöße gegen das LkSG können teuer werden, was wiederum Auswirkungen haben kann auf eine Kreditrückzahlung durch das Unternehmen oder die Rendite eines Investments in das Unternehmen.


Das LkSG führt zu einer besseren Datengrundlage für nachhaltige Investitionen. Sobald Unternehmen, die nach dem LkSG verpflichtet sind, sich an den Kapitalmarkt zur Kapitalbeschaffung wenden und dazu ein entsprechendes Finanzinstrument emittieren, müssen sie nach der SFRD Nachhaltigkeits-Informationen zu dem jeweiligen Finanzinstrument offenlegen. Sofern das Finanzinstrument ökologische oder soziale Merkmale bewirbt, werden in den Unternehmensdaten Angaben zu den Lieferkettensorgfaltspflichten erforderlich sein. Diese tragen dann wieder dazu bei, dass dem Markt mehr Daten für die Einordnung des Finanzinstruments hinsichtlich der Nachhaltigkeitskriterien zur Verfügung stehen.


Zuletzt birgt der Verstoß gegen das LkSG durch einen Kunden oder ein Zielunternehmen im Rahmen einer Investition auch Reputationsrisiken oder Chancen. Die sozialen Aspekte in Lieferketten, die auch unter dem Schlagwort „Modern Slavery“ zusammengefasst werden, rücken immer mehr ins Bewusstsein der Verbraucher und Bankkunden. Auch ist zu erwarten, dass die Taxonomie-Verordnung, die sich derzeit auf Umweltaspekte beschränkt, in einer bereits geplanten Anpassung hinsichtlich der sozialen Nachhaltigkeitsziele die Aspekte des LkSG aufnehmen wird. Dann ist es immer ein Marktvorteil, wenn man als Bank bereits entsprechende Prozesse etabliert hat, um bei Unternehmen mit Lieferketten bereits den Mindestmaßstab an Menschenrechten anhand der Vorgaben des LkSG einzufordern.

Wann das LkSG direkt gilt

Grundsätzlich können Banken mit der relevanten Mitarbeiterzahl auch direkt als Unternehmen nach dem LkSG verpflichtet sein. Eine Lieferkette im Sinne des LkSG bezieht sich auf alle Produkte und Dienstleistungen eines Unternehmens, die zur Herstellung der Produkte oder zur Erbringung der Dienstleistung erforderlich sind. Auch wenn diese Definition auf Banken intuitiv nicht recht passen mag, stellt die Gesetzesbegründung zum LkSG klar, dass Finanzdienstleistungen unter den Begriff der Dienstleistungen fallen. Grundsätzlich gilt, dass Banken ihren unmittelbaren Vertragspartner / Kreditnehmer, der in eine Lieferkette involviert ist, prüfen soll, ob dieser die Pflichten aus dem LkSG einhält. Da das praktisch aber schwer umsetzbar sein wird, hat der Gesetzgeber in der Gesetzesbegründung insoweit Erleichterungen geschaffen, als er für die Banken nur bei Großkrediten i.S.d. Art. 392 der CRR besondere Informations- und Kontrollpflichten gegenüber dem Kreditnehmer vorsieht. Bei mittelbaren Zulieferern weiter unten in der Lieferkette erwartet das Gesetz von den Banken nur dann ein Eingreifen, wenn die Bank substantiierte Kenntnis von Menschenrechtsverletzung oder Umweltschäden hat. Dieser unbestimmte Rechtsbegriff wird von der zuständigen Behörde (BAFA) noch konkretisiert werden.


Das LkSG trifft nicht nur die Unternehmen, an die sich das Gesetz direkt richtet, sondern auch die Geschäftspartner dieser Unternehmen. Das können Kapitalgeber sein, aber natürlich am Ende auch die Konsumenten. Eine Bank sollte als Kreditgeber stets darauf achten, ob sie ggf. direkte Pflichten aus dem LkSG gegenüber dem Kreditnehmer, der mit dem Darlehen eine Lieferkette mitfinanziert, hat.

The EU Crowdfunding Regulation starts to apply: Overview & Practical Considerations (Part 2)


On 10 November 2021, the long-awaited EU Regulation on European Crowdfunding Service Providers, for business (Regulation (EU) 2020/1053) (the ECSPR) that aims to create a harmonised regulatory framework for crowdfunding platforms in the EU has started to apply.

In the first part of our publication we have analysed the scope of application of the ECSPR and the authorisation requirements that prospective CSPs will need to comply with under the new regime. In this second part of our publication we will take a closer look at the investor protection requirements under ECSPR and analyse the impact that the new regime will have on the existing regulatory framework on crowdfunding in Germany.

Investor Protection Requirements

Investor categorization & Entry knowledge test

In term of investor categorization, the ECSPR differentiates between sophisticated investors (professional clients under the MiFID II and persons meeting certain qualification criteria set out in Annex II of the new Regulation) and non-sophisticated investors. Whereas sophisticated investors will not be subject to any limitations when investing, non-sophisticated investors will be subject to mandatory entry knowledge test prior to investing in particular crowdfunding project. Therefore, prior to providing non-sophisticated investors with the full access to crowdfunding offers, CSPs will have to assess investors’ knowledge and experience, financial situation, investment objectives and risk awareness in order to assess which crowdfunding projects are appropriate for them. Periodic appropriateness assessment will have to be conducted every two years.

Key Investment Information Sheet (KIIS)

Inspired by similar concepts that have emerged years ago under the PRIIPs and the UCITS framework, the ECSPR requires CSPs to ensure that investors are provided with a so called Key Investor Information Sheet (KIIS) for each crowdfunding offer. Limited to maximum 6 A4 pages, the KIIS will have to contain key information about the project owner, the project itself, terms and conditions of the fund raising, risk factors, details on associated fees and costs as well as appropriate risk warnings. The KIIS will need to be drawn up by the project owner for each crowdfunding offer and CSPs will be required to have adequate procedures in place to verify the completeness, correctness and clarity of information contained in it.

Since the KIIS will neither be verified nor approved by the NCA like securities prospectus, project owners will be required to make proper disclosure thereto in order to warn prospective investors about the risks associated with investment in respective project. Lending based CSPs providing portfolio management services will be additionally required to draft the KIIS at platform level which shall contain key information on the CSP, available loans in which investors’ funds can be invested as well as information on fees and risks associated with investments.

Auto-investing and use of filtering tools

The use of commonly used filtering tools and automated systems have been also addressed in the new ECSPR. To that end, where filtering tools are available on the platform, based on which investor can shortlist available projects in accordance with the pre-specified criteria (e.g. economic sector, interest rate etc.), the results provided to investors are not to be considered as investment advice as long as information are provided in a neutral manner and without provision of a specific recommendation. On the other hand, CSPs using automated processes based on which investor funds can be automatically allocated to specific projects in accordance with predetermined parameters (so called auto-investing) will be considered as individual portfolio management of loans.

Right to withdraw

Non-sophisticated investors will be able to revoke their offer or expression of interest to invest in a particular crowdfunding offer, within a 4-day pre-contractual reflection period, without the need to provide any reason or to incur penalty of any kind. For this purpose, CSPs will need to provide investors with the clear information on the reflection period and the ways in which investors’ right can be exercised.

The impact of the ECSPR on national framework in Germany

Up until recently, the roles of fundraisers and investors in crowdfunding structures in Germany, could potentially fall under the scope of some regulated financial services.

  1. First, the lending activity of the investor itself could (under certain conditions) constitute the regulated activity of credit business (Kreditgeschäft) within the meaning of Section 1 paragraph 1 Nr. 2 of the German Banking Act (Kreditwesengesetz “KWG”).
  • Second the fundraising via crowdfunding platform could also trigger the licensing requirement for the provision of the so called deposit business (Einlagengeschäft) within the meaning of Section 1 paragraph 1 Nr. 1 KWG.

German national law and administrative practice of the German Federal Financial Supervisory Authority (BaFin) have stipulated a number of exemptions from these regulated activities whose application needs to be assessed always on a case by case basis (like for instance the frequently used exemption for qualified subordinated loans whose granting does not trigger either of the aforementioned regulated activities).

With the aim of bridging this regulatory uncertainty, the German national transposition law (Schwarmfinanzierung-Begleitgesetz), which was adopted on 10 June 2021, makes necessary amendments to KWG by stipulating that fundraisers and lenders that raise/invest funds via crowdfunding platform authorized under the ECSPR, are not to be considered to be providing either of the above mentioned regulated activities.

Further, public offering of securities can generally trigger prospectus obligation under the German Prospectus Act (Wertpapierprospektgesetz “WpPG”), where no exemptions apply. In line with the ECSPR, the national transposition law exempts securities offering made on crowdfunding platforms operating under the new regime from requirements under WpPG.

Timeline & Outlook

Whereas the ECSPR has started to apply as of 10 November 2021 for all in-scope CSPs, the Regulation provides for an additional transitional period for operators of crowdfunding platforms that were operating under national rules before the go-live date of the ECSPR. They will have to apply for a new license and bring their business in line with new requirements by 10 November 2022.

On 10 November 2021, ESMA has published the Final Report on Technical Standards (RTS and ITS) that shall help prospective European CSPs with preparation for compliance with new requirements. In addition to this, in February 2021 ESMA has also published Q&A that bring more clarity to questions around the use of SPVs in crowdfunding structures, transitional provisions and operational requirements under the ECSPR.

The ECSPR promises to overcome existing obstacles embedded in national regimes of individual Member States by enabling CSPs to provide crowdfunding services based on a single set of rules on a cross-border basis and project owners to raise funds from investors from all across the EU. However, it remains to be seen whether and to what extent will the new regime be accepted on the market and whether it will really meet the expectations of EU lawmakers and the crowdfunding industry.