Warum Banken wissen sollten, was es mit dem Lieferkettensorgfaltsplichtengesetz auf sich hat

Das Lieferkettensorgfaltspflichtengesetz (LkSG) ist ab 2023 an Unternehmen der Realwirtschaft in Deutschland mit mehr als 3.000 Mitarbeitern gerichtet. Ab 2024 erweitert und verfünffacht sich der Adressatenkreis auf Unternehmen in Deutschland mit mehr als 1.000 Mitarbeiter. Mit dem LkSG wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten wurde am 22. Juli 2021 im Bundesgesetzblatt veröffentlicht.

Ziel des Gesetzes ist es, die unter den Anwendungsbereich fallenden Unternehmen dazu zu verpflichten, in ihren Lieferketten menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten. Das LkSG enthält einen abschließenden Katalog von elf international anerkannten Menschenrechtsübereinkommen, aus denen Verhaltensvorgaben bzw. Verbote für unternehmerisches Handeln abgeleitet werden, um eine Verletzung geschützter Rechtspositionen zu verhindern. Dazu zählen insbesondere die Verbote von Kinderarbeit, Sklaverei und Zwangsarbeit, die Missachtung des Arbeits- und Gesundheitsschutzes, die Vorenthaltung eines angemessenen Lohns, die Missachtung des Rechts, Gewerkschaften bzw. Mitarbeitervertretungen zu bilden, die Verwehrung des Zugangs zu Nahrung und Wasser sowie der widerrechtliche Entzug von Land und Lebensgrundlagen. Kommen Unternehmen ihren gesetzlichen Pflichten nicht nach, können Bußgelder bis zu 8 Millionen Euro oder bis zu 2% des weltweiten Jahresumsatzes verhängt werden. Unternehmen müssen dem Bundesamt für Wirtschaft und Ausfuhrkontrolle jährlich einen Bericht über die Umsetzung der Sorgfaltspflichten vorlegen und ihn online spätestens vier Monate nach Ende des Geschäftsjahrs veröffentlichen.

Das LkSF fällt in den Bereich der Corporate Social Responsibility und stellt ein weiteres Puzzleteil auf dem Weg zu einer nachhaltigeren Wirtschaft dar. Die ESG-Regulierung des Finanzmarktes mit der Offenlegungsverordnung (Sustainable Finance Reporting Directive – SFRD) und der Taxonomie-Verordnung stellt ein weiteres Puzzleteil dar. In vielen Rechtsbereichen gibt es inzwischen Regulierung hin zu mehr Nachhaltigkeit und entsprechenden Compliance-Vorgaben (ein Überblick findet sich hier). Die einzelnen Puzzleteile greifen ineinander. Das ist der Grund, weshalb auch Banken das LkSG kennen sollten.

Sechs Gründe, warum das LkSG für Banken generell relevant werden kann

1.

Die Bindung an Recht und Gesetz ist Teil der Verantwortung jeder Geschäftsleitung in Banken. Sofern Banken bei ihren Kunden feststellen, dass diese gegen das LkSG verstoßen, müssen sie handeln und den Kunden zumindest zur Compliance anhalten. Das gilt auch vor dem Hintergrund der Pressemeldung der BaFin von 29.11.2021, in der diese ankündigt, künftig in den Konzernabschlüssen 2021 schwerpunktmäßig Lieferkettenfinanzierungen (Reverse Factoring) zu überprüfen. Beim Reverse Factoring handelt es sich um Vereinbarungen, in denen sich Käufer und Verkäufer darauf verständigen, dass die Schuld des Käufers von einem Dritten beglichen wird. Die BaFin wird vor allem darauf achten, wie Reverse-Factoring-Transaktionen in den Bilanzen und der Kapitalflussrechnungen dargestellt werden. Da liegt es nahe, dass Verstöße gegen das LkSG auffallen können, weil einfach genauer hingeschaut werden wird. Banken sollten das entsprechend auf dem Schirm haben.

2.

Nach der SFRD muss jede Bank inzwischen eine Geschäftsstrategie auf ihrer Webseite veröffentlichen, in der sie auch die Strategie zur Einbeziehung von Nachhaltigkeitsrisiken bei ihren Investitionsentscheidungsprozessen offenlegt. So könnte sich eine Bank z.B. strategisch so ausrichten, dass sie bei Investitionen oder Kreditgewährungen darauf achtet, dass die Vorgaben des LkSG eingehalten werden. Dies wäre dann Teil der eigenen ESG-Strategie und würde unter den sozialen Aspekt gefasst werden können.

3.

Banken müssen bereits heute als Teil ihres Risikoverständnisses und ihres Risikomanagements sämtliche ESG-Risiken bei allen Bankgeschäften berücksichtigen. Dabei kann die Einhaltung des LkSG durch Zielunternehmen bei Investitionen oder durch Kreditnehmer eine Rolle spielen, weil sich in Lieferketten Risiken für Umwelt und Soziales niederschlagen können.

4.

Bei Nicht-Compliance des Unternehmens, in das die Bank entweder für ihr eigenes Buch oder für Kunden investiert hat oder dem sie Kredite gewährt hat, besteht ein höheres Ausfallrisiko. Denn Verstöße gegen das LkSG können teuer werden, was wiederum Auswirkungen haben kann auf eine Kreditrückzahlung durch das Unternehmen oder die Rendite eines Investments in das Unternehmen.

5.

Das LkSG führt zu einer besseren Datengrundlage für nachhaltige Investitionen. Sobald Unternehmen, die nach dem LkSG verpflichtet sind, sich an den Kapitalmarkt zur Kapitalbeschaffung wenden und dazu ein entsprechendes Finanzinstrument emittieren, müssen sie nach der SFRD Nachhaltigkeits-Informationen zu dem jeweiligen Finanzinstrument offenlegen. Sofern das Finanzinstrument ökologische oder soziale Merkmale bewirbt, werden in den Unternehmensdaten Angaben zu den Lieferkettensorgfaltspflichten erforderlich sein. Diese tragen dann wieder dazu bei, dass dem Markt mehr Daten für die Einordnung des Finanzinstruments hinsichtlich der Nachhaltigkeitskriterien zur Verfügung stehen.

6.

Zuletzt birgt der Verstoß gegen das LkSG durch einen Kunden oder ein Zielunternehmen im Rahmen einer Investition auch Reputationsrisiken oder Chancen. Die sozialen Aspekte in Lieferketten, die auch unter dem Schlagwort „Modern Slavery“ zusammengefasst werden, rücken immer mehr ins Bewusstsein der Verbraucher und Bankkunden. Auch ist zu erwarten, dass die Taxonomie-Verordnung, die sich derzeit auf Umweltaspekte beschränkt, in einer bereits geplanten Anpassung hinsichtlich der sozialen Nachhaltigkeitsziele die Aspekte des LkSG aufnehmen wird. Dann ist es immer ein Marktvorteil, wenn man als Bank bereits entsprechende Prozesse etabliert hat, um bei Unternehmen mit Lieferketten bereits den Mindestmaßstab an Menschenrechten anhand der Vorgaben des LkSG einzufordern.

Wann das LkSG direkt gilt

Grundsätzlich können Banken mit der relevanten Mitarbeiterzahl auch direkt als Unternehmen nach dem LkSG verpflichtet sein. Eine Lieferkette im Sinne des LkSG bezieht sich auf alle Produkte und Dienstleistungen eines Unternehmens, die zur Herstellung der Produkte oder zur Erbringung der Dienstleistung erforderlich sind. Auch wenn diese Definition auf Banken intuitiv nicht recht passen mag, stellt die Gesetzesbegründung zum LkSG klar, dass Finanzdienstleistungen unter den Begriff der Dienstleistungen fallen. Grundsätzlich gilt, dass Banken ihren unmittelbaren Vertragspartner / Kreditnehmer, der in eine Lieferkette involviert ist, prüfen soll, ob dieser die Pflichten aus dem LkSG einhält. Da das praktisch aber schwer umsetzbar sein wird, hat der Gesetzgeber in der Gesetzesbegründung insoweit Erleichterungen geschaffen, als er für die Banken nur bei Großkrediten i.S.d. Art. 392 der CRR besondere Informations- und Kontrollpflichten gegenüber dem Kreditnehmer vorsieht. Bei mittelbaren Zulieferern weiter unten in der Lieferkette erwartet das Gesetz von den Banken nur dann ein Eingreifen, wenn die Bank substantiierte Kenntnis von Menschenrechtsverletzung oder Umweltschäden hat. Dieser unbestimmte Rechtsbegriff wird von der zuständigen Behörde (BAFA) noch konkretisiert werden.

Fazit

Das LkSG trifft nicht nur die Unternehmen, an die sich das Gesetz direkt richtet, sondern auch die Geschäftspartner dieser Unternehmen. Das können Kapitalgeber sein, aber natürlich am Ende auch die Konsumenten. Eine Bank sollte als Kreditgeber stets darauf achten, ob sie ggf. direkte Pflichten aus dem LkSG gegenüber dem Kreditnehmer, der mit dem Darlehen eine Lieferkette mitfinanziert, hat.

Stärkung des Anlegerschutzes: Änderungen des VermAnlG und KAGB

Bereits Ende Dezember 2020 hat das Bundesfinanzministerium den Entwurf eines Gesetzes zur weiteren Stärkung des Anlegerschutzes veröffentlicht Das Gesetz setzt das Maßnahmenpaket zur weiteren Stärkung des Anlegerschutzes des Bundesfinanz- und Bundesjustizministeriums aus 2019 um.

Mit den vorgesehenen Maßnahmen soll ein Umfeld geschaffen werden, in dem insbesondere auch Privatanleger möglichst weitgehend eigenverantwortliche Anlageentscheidungen ermöglicht werden. Hierzu enthält der Entwurf insbesondere folgende Regelungen: (i) Verbot von Blindpool-Anlagen, (ii) Beschränkung des Vertriebs von Vermögensanlagen auf beaufsichtigte Anlageberater bzw. Finanzanlagevermittler, (iii) Einführung einer Mittelverwendungskontrolle und (iv) Abschaffung der bloßen Registrierungsmöglichkeit bei geschlossenen Publikumsfonds. Im Folgenden betrachten wir die Einzelheiten der geplanten Änderungen etwas genauer.

Verbot von Blindpool-Anlagen

Vermögensanlagen im Sinne des Vermögensanlagengesetzes (VermAnlG) in Form von Blindpool-Konstruktionen sollen zukünftig nicht mehr für Privatanleger zum öffentlichen Angebote zugelassen sein. Bestimmte institutionelle Anleger sollen von dem Verbot ausgenommen sein.

Bei Blindpool-Konstruktionen stehen die konkreten Anlageobjekte, die mit den Anlegergeldern finanziert werden sollen, zum Zeitpunkt der Prospekterstellung bzw. zum Zeitpunkt des Vermögensanlagen-Informationsblattes (VIB) noch nicht fest. Eine vollständige Bewertung der Vermögensanlage durch den Anleger ist daher nicht möglich. Mangels detailliertem Bild über das Geschäftsmodell des Emittenten kann der Anleger somit auch nicht abschätzen, mit welcher Wahrscheinlichkeit die versprochene Rendite erzielt werden kann. Zudem fehlt es bei Blindpool-Konstruktionen am Abschluss wesentlicher (Vor)Verträge etwa über die Anschaffung oder Herstellung der Anlageobjekte, sodass der Anleger auch wichtige Geschäftspartner des Emittenten nicht kennt und beurteilen kann. Die Schutzbedürftigkeit des Privatanlegers führt zum Verbot des Angebots solcher Blindpool-Anlagen. Da institutionelle Anleger weniger schutzbedürftig sind, sind sie von dem geplanten Verbot ausgenommen.

Angebot von Vermögensanlagen nur über Finanzdienstleister oder Finanzanlagenvermittler

Zukünftig sollen nur solche Vermögensanlagen zum öffentlichen Angebote zugelassen sind, die im Wege der Anlageberatung oder Anlagevermittlung durch ein Finanzdienstleistungsinstitut oder einen Finanzanlagevermittler vertrieben werden. Ein Eigenvertrieb durch den Anbieter der Vermögensanlage wird grundsätzlich nicht mehr möglich sein. Im Falle des Eigenvertriebs erfolgt regelmäßig keine Anlagevermittlung oder -beratung und damit auch keine Prüfung der Angemessenheit bzw. Geeignetheit der Vermögensanlage für den Anleger. Zugleich hat der Anbieter der Vermögensanlage ein starkes Interessen an einer erfolgreichen Platzierung seiner Vermögensanlage. Mit der Beschränkung des Vertriebs von Vermögensanlagen auf regulierte Finanzdienstleistungsinstitute und Finanzanlagenvermittler soll sichergestellt werden, dass gegenüber dem Anleger eine Angemessenheits- bzw. Geeignetheitsprüfung erfolgt. Zudem unterliegen regulierte Finanzdienstleistungsinstitute und Finanzanlagenvermittler besonderen Verhaltens- und Transparenzpflichten und müssen über die erforderliche Sachkunde verfügen. Möglich bleibt aber eine Personenidentität zwischen dem Anlagevermittler bzw. -berater und dem Anbieter. Denn auch in diesem Falle greifen die finanzaufsichtsrechtlichen Vorgaben, die dem Anlegerschutz dienen.

Zukünftig wird der Anleger also nicht mehr nur auf die eigene Bewertung der Vermögensanlagen mittels Prospekt bzw. VIB angewiesen sein, sondern kann sich bei seiner Anlageentscheidung zudem auf das Ergebnis einer Angemessenheits- bzw. Geeignetheitsprüfung stützen.

Mittelverwendungskontrolle

Neu im Vermögensanlagengesetz eingeführt werden sollen Vorgaben zur sog. Mittelverwendungskontrolle. Diese Vorgaben sollen für Investments gelten, die unmittelbar den Erwerbs eines Sachguts, eines Rechts an einem Sachgut oder die Pacht von Sachgütern zum Gegenstand haben. Anschauliches Beispiel ist z.B. die Investition in Container oder in Baumplantagen. Erfasst sein sollen auch solche Fälle, in den Anlegergelder vom Emittenten einer entsprechenden Vermögensanlage an z.B. Zweckgesellschaften weitergereicht werden, die dann erst auf einer weiteren Ebene das konkrete Sachgut erwerben.

In diesen Fällen hat der Gesetzgeber ein Transparenzdefizit bzgl. der tatsächlichen Existenz der Sachgüter zulasten des Anlegers erkannt. So kann diese Information zum Zeitpunkt der Prospektbilligung in dem Verkaufsprospekts darin noch gar nicht enthalten sein, da der Erwerb der Sachgüter regelmäßig erst mit den eingeworbenen Anlegergeldern und damit zeitlich nachgelagert stattfindet. Auch in späteren Jahresabschlüssen ist diese Information mangels zwangsweiser Aufsplittung der einzelnen Bilanzposten nicht in jedem Fall erkennbar. Der Anleger soll sich sicher sein können, dass der Emittent auch tatsächlich für die der Anlage zugrunde liegenden Sachgüter verwendet.

Zum Ausgleich dieses Transparenzdefizits soll zukünftig ein geeigneter, unabhängiger Dritter (z.B. Rechtsanwalt oder WP), die tatsächliche Verwendung der Mittel nach Beginn des öffentlichen Angebots kontrollieren. Der Mittelkontrolleur soll dazu zunächst ein Mittelverwendungskonto führen, auf das die eingeworbenen Anlegergelder eingezahlt werden. Diese werden erst dann freigegeben, sofern die im Vertrag durch die Vertragspartien festgelegten Kriterien durch den Anbieter erfüllt sind. Die anschließende Kontrolle, ob der Emittent die Anlegergelder entsprechend des im Vertrag definierten Umfangs verwendet (z.B. zum Erwerb einer bestimmten Baumplantage oder bestimmter Container), ist spätestens sechs Monate nach Beginn des öffentlichen Angebots und fortlaufend mindestens alle sechs Monate bis zur ordnungsgemäßen Verwendung der Anlegergelder durchzuführen. Hat der Emittent die Anlegergelder vollständig investiert, wird die Prüfung mit einem abschließenden Bericht nebst Bestätigungsvermerk beendet. Die Berichte zur laufenden und abschließenden Kontrolle sind im Bundesanzeiger zu veröffentlichen.

Abschaffung der Registrierungsmöglichkeit bei geschlossenen Publikumsfonds

Zukünftig soll die Möglichkeit der bloßen Registrierung für sog. Mini-Publikums-KVGen und Kleine Publikums-KVGen entfallen.

Eine Mini-Publikums-KVG ist die interne KVG eines geschlossenen Publikums-AIF, dessen Vermögensgegenstände 5 Mio. Euro nicht überschreiten und die Zahl der Anleger fünf natürliche Personen nicht übersteigt. Kleine Publikums-KVGen sind solche, die nicht ausschließlich geschlossene Spezial-AIF verwalten und deren verwaltete Vermögensgegenstände 100 Mio. Euro nicht überschreiten. Eine nur registrierte KVG unterliegt, im Gegensatz zu einer KVG mit einer vollumfänglichen Erlaubnis, nur in eingeschränkten Umfang dem Regelungsregime des Kapitalanlagegesetzbuchs (KAGB), sog. Regulierung light. Für KVGen von offenen AIF besteht von vornherein nicht die Möglichkeit einer bloßen Registrierung.

Zukünftig müssen auch Mini-Publikums-KVGen und Kleine Publikums-KVGen eine volle KVG-Erlaubnis beantragen. Damit soll ein einheitliches Anlegerschutzniveau gewährleistet sein, unabhängig davon, ob der Anleger in einen offenen oder geschlossenen Investmentfonds investiert. Da es derzeit nur eine geringe Zahl registrierter geschlossener Publikumsfonds gibt, werden sich die praktischen Auswirkungen dieser Änderungen in Grenzen halten.

Fazit

Anlegerschutz wird weiter groß geschrieben. Der Gesetzgeber dürfte sich in seiner Richtung durch jüngste Skandale im Finanzmarkt bestätigt fühlen. Aktuell wird aus gegebenem Anlass z.B. schon über eine strengere Regulierung sog. Zinsvermittlungsplattformen

Finanzmarktteilnehmer und Finanzberater aufgepasst! Seit dem 10. März ist die Transparenzverordnung umzusetzen

Sie ist, für neue Finanzmarktregulierung ungewöhnlich leise und unscheinbar, dahergekommen: die sog. Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR). Bereits Ende 2019 in Kraft getreten, ist die SFDR nun in wesentlichen Teilen ab 10. März 2021 anzuwenden.

Die SFDR ist Teil des EU Aktionsplans für eine nachhaltige Finanzwirtschaft und verfolgt den Zweck, dem Anleger eine fundierte Informationsgrundlage über die Berücksichtigung von Nachhaltigkeitsrisiken (Environmental, Social and Governance – ESG)  im Rahmen der ihm gegenüber erbrachten Finanzdienstleistung und der ihm angebotenen Produkte zur Verfügung zu stellen, damit er diese in seiner Anlageentscheidung besser und gezielter berücksichtigen kann. Dazu legt sie Finanzmarkteilnehmer und Finanzberatern vielfältige Transparenzpflichten auf, die v.a. durch zahlreiche Veröffentlichungen auf der Homepage, im Rahmen vorvertraglicher Informationen und in regelmäßigen Berichten zu erfüllen sind. Über das neue Pflichtenregime der SFDR haben wir hier und hier bereit ausführlich gebloggt.

Die Erfüllung aller Transparenzpflichten erfordert einen hohen internen Umsetzungs- und Anpassungsaufwand. Manch einer wird überrascht sein – aber ein Vergleich zur MiFID II lässt sich durchaus ziehen.

Besonders herausfordernd ist die praktische Umsetzung der SFDR auch deshalb, weil bislang noch viele der Daten fehlen, die zur Erfüllung der Transparenzpflichten benötigt werden. Ein anschauliches Beispiel: Zukünftig ist der Anleger z.B. für jedes ihm angebotene Fondsprodukt darüber zu informieren, ob und wie in dem Fonds ESG-Risiken berücksichtigt werden. Diese Informationen muss der Portfolioverwalter bzw. Anlageberater im Wege der vorvertraglichen Information zur Verfügung zu stellen. Portfolioverwalter und Anlageberater erstellen diese Informationen aber nicht selbst, sondern sind dafür auf Input der KVGen angewiesen. Und diese benötigen wiederum eine entsprechende Datenbasis, um die erforderlichen Informationen überhaupt bereitstellen zu können. Der Markt wird sich anpassen und entsprechende Daten werden bald verfügbar sein – bis dahin gilt es, die SFDR so gut umsetzen, wie es derzeit eben geht.

Aber da nach der Regulierung vor der Regulierung ist, sind neue Vorgaben dem Thema ESG bereits unterwegs. So hat die EBA etwa Anfang März ihre Implementing Technical Standards on Pillar 3 disclosures of ESG risks zur Konsultation gestellt: große Institute sollen zukünftig Informationen über ihr ESG Exposure und ihre ESG Strategien veröffentlichen – stay tuned!

Update zur Transparenzverordnung: Level 2-Maßnahmen zu nachhaltigkeitsbezogenen Offenlegungspflichten veröffentlicht

Ab dem 10. März diesen Jahres muss die neue Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR) von Finanzmarktteilnehmern und Finanzberatern umgesetzt werden. Anleger, die in nachhaltige Finanzprodukte investieren, sollen zukünftig besser informiert werden. Die SFDR beinhaltet die Pflicht zur Offenlegung der wichtigsten nachteiligen Nachhaltigkeitsauswirkungen von Anlageentscheidungen sowie Transparenzpflichten bzgl. nachhaltigkeitsbezogener Finanzprodukte, die von Finanzmarktteilnehmern und Finanzberatern vertrieben werden. Über das Pflichtenprogramm der SFDR haben wir bereits hier ausführlich berichtet. Für einen schnellen Überblick ist auch die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jüngst veröffentlichte Übersichtstabelle zur SFDR nützlich.

Anfang Februar diesen Jahres haben die Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESAs, also ESMA EBA und EIOPA) nun ihren finalen Bericht zu den von ihnen erarbeiteten technischen Regulierungsstandards (Regulatory Technical Standards – RTS) veröffentlicht. Darin werden die Anforderungen der SFDR konkretisiert und definiert, welche Inhalte zu ESG-Standards offengelegt werden müssen, mit welcher Methodik dies geschehen soll und wie sie dargestellt werden. Zudem werden zahlreiche Templates bereitgestellt, die von den Marktteilnehmern zur Erfüllung ihrer Transparenzpflichten genutzt werden können; dies sollte die Umsetzung zumindest in Teilen erleichtern.

Die RTS sollen voraussichtlich ab 01. Januar 2022 gelten. Bereits ab dem 10. März sind aber die Transparenzpflichten der SFDR von Finanzmarkteilnehmern und -beratern umzusetzen. Bis zum Inkrafttreten der RTS sollten sich die Unternehmen nach Ansicht der BaFin daher bei der Umsetzung an den RTS orientieren. Zur Ergänzung der Level 2- RTS wird erwartet, dass es von den ESAs wahrscheinlich in Q3/Q4 2021 Level 3-Guidance geben wird. 

Die RTS werden bei der Umsetzung sicher helfen, doch zeigen sie auch deutlich, welche Informationen zu jedem Finanzprodukt in Zukunft zur Verfügung stehen muss. Und das geht weit über die bisherigen Informationen hinaus und erfordert einen hohen Umsetzungsbedarf. In der Praxis wird eine reine Orientierung an den RTS auch alles sein, was die Institute derzeit leisten können.

Passend dazu hat die BaFin Anfang Februar auch einen aktuellen Überblick zum Thema nachhaltige Finanzwirtschaft veröffentlicht Darin beleuchtet sie die aktuellen Entwicklungen beim Thema Nachhaltigkeit auch außerhalb des Finanzsektors und bezieht aktuelle Entwicklungen wie die Coronakrise mit ein.  

Final ESMA Guidelines on cloud outsourcing

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

  • Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

  • Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

  • Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

  • Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

  • Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

  • Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

  • Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

  • Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.

Nachhaltigkeitsberichterstattung von Unternehmen oder: Wo kommen eigentlich die Daten zur Beurteilung der ESG-Kriterien in Finanzprodukten her?

Nachdem wir uns in den letzten Wochen ausgetauscht haben über den neuen regulatorischen Rahmen der kommenden ESG-Transparenzanforderungen, wollen wir diese Woche einen Blick darauf werfen, wo die Daten zur Beurteilung der ESG-Kriterien in Finanzprodukten eigentlich herkommen. Und auch dazu hat sich die EU etwas gedacht und bis Juni 2020 eine Konsultation veröffentlicht zur Änderung der Richtlinie 2014/95/EU im Hinblick auf die Angabe nichtfinanzieller und die Diversität betreffender Informationen durch bestimmte große Unternehmen und Gruppen (NFRD). Es gibt also eine Richtlinie, die normalen Wirtschaftsunternehmen vorschreibt, welche Informationen ein solches Unternehmen veröffentlichen muss.

Wer ist von der Richtlinie betroffen?

Die Richtlinie adressiert alle gelisteten Unternehmen und alle großen Banken und Versicherungen, die als eine sog. Large public interest entity (PIE) qualifizieren. Das sind also große Unternehmen mit mehr als 500 Mitarbeitern, die als Unternehmen von öffentlichem Interesse sind. In der Konsultation wurde diskutiert, ob die Mitarbeiterschwelle auf 250 gesenkt werden sollte.

Um welche nichtfinanziellen Informationen geht es?

Im Kern geht es um relevante, verlässliche und vergleichbare Informationen, die eine informierte Investitionsentscheidung im Hinblick auf die Nachhaltigkeit des Geschäftsmodells und damit der Finanzinstrumente, die das Unternehmen emittiert (hat), ermöglichen. Schon heute müssen große Unternehmen in ihren Lagebericht eine nichtfinanzielle Erklärung aufnehmen, die diejenigen Angaben enthält, die für das Verständnis des Geschäftsverlaufs, des Geschäftsergebnisses, der Lage des Unternehmens sowie der Auswirkungen seiner Tätigkeit erforderlich sind und sich mindestens auf Umwelt-, Sozial-, und Arbeitnehmerbelange, auf die Achtung der Menschenrechte und auf die Bekämpfung von Korruption und Bestechung beziehen. Diese Informationen beinhalten

  1. eine kurze Beschreibung des Geschäftsmodells des Unternehmens;
  2. eine Beschreibung der von dem Unternehmen in Bezug auf diese Belange verfolgten Konzepte, einschließlich der angewandten Due-Diligence-Prozesse;
  3. die Ergebnisse dieser Konzepte;
  4. die wesentlichen Risiken im Zusammenhang mit diesen Belangen, die mit der Geschäftstätigkeit des Unternehmens verknüpft sind und die wahrscheinlich negative Auswirkungen auf diese Bereiche haben werden, sowie der Handhabung dieser Risiken durch das Unternehmen;
  5. die wichtigsten nichtfinanziellen Leistungsindikatoren, die für die betreffende Geschäftstätigkeit von Bedeutung sind.

Verfolgt das Unternehmen in Bezug auf einen oder mehrere dieser Belange kein Konzept, enthält die nichtfinanzielle Erklärung eine klare und begründete Erläuterung, warum dies der Fall ist.

Die Europäische Kommission hat im Juni 2019 bereits Leitlinien für die Berichterstattung über nichtfinanzielle Informationen veröffentlicht, die 30 Seiten lang sind und sich vor allem mit der klimabezogenen Berichterstattung befasst. Die Leitlinien sind rechtlich nicht verbindlich, geben aber die Richtung vor, welche Informationen von den Unternehmen zu veröffentlichen sind. Für potentielle Investoren ist es wichtig zu verstehen, wie sich nach Auffassung des Unternehmens der Klimawandel auf sein Geschäftsmodell und seine Geschäftsstrategie auswirkt und wie seine Tätigkeiten das Klima auf kurze, mittlere und lange Sicht beeinflussen können. Für eine adäquate Berichterstattung über Klimabelange müssen Unternehmen eine längerfristige Perspektive zugrunde legen, als sie dies normalerweise in der Finanzberichterstattung tun.

Die letzte Konsultation zur Änderung der NFRD legt nahe, dass die Informationsdichte noch zunehmen wird und sich Unternehmen mehr denn je an diesen Informationen messen lassen müssen.

Kleinere Wirtschaftsunternehmen

Für kleinere Wirtschaftsunternehmen gilt künftig, wer sich am Kapitalmarkt Geld beschaffen will und dafür Finanzprodukte ausgibt – in welcher Form auch immer –, wird sich an den ESG-Kriterien messen lassen müssen. Das bedeutet eben auch, dass entsprechende Informationen zur Beurteilung der ESG-Kriterien von allen Unternehmen offengelegt werden müssen. Die Taxonomieverordnung ist damit eben nicht mehr nur für den Finanzmarkt und seine Akteure relevant, sondern für alle Unternehmen, die sich auf den Finanzmarkt begeben.

Konsultation zur neuen BAIT veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Ende November bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen BAIT setzt aktuelle Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Neuerungen der BAIT aufgrund der Umsetzung der ICT Guidelines im Überblick vor.

Kurz erklärt: die BAIT und ihr Zusammenspiel mit der MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor. Auch die MaRisk wurde jüngst überarbeitet und an aktuelle europäische Vorgaben angepasst; darüber haben wir bereits hier berichtet. Die BAIT ergänzen und konkretisieren die Vorgaben der MaRisk und geben einen praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement vor. Durch die Umsetzung der ICT Guidelines wurden die BAIT um zwei neue Kapital zu der operativen Informationssicherheit und zum IT-Notfallmanagement ergänzt, deren wesentlichen Inhalt wir nachfolgend näher betrachten.

Operative Informationssicherheit

Institute müssen für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Damit soll der operative Geschäftsbetrieb jederzeit sicher und reibungslos aufrecht erhalten werden können. Nach der BAIT müssen Institute deshalb

  • operative Informationssicherheitsmaßnahmen und Prozesse implementieren; diese müssen z.B. ein Schwachstellenmanagement und die Verschlüsselung von Daten berücksichtigen,
  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, z.B. die Erkennung vermehrter nicht autorisierter Zugriffsversuche,
  • sicherheitsrelevante Ereignisse zeitnah analysieren und auf diese angemessen reagieren; dazu kann die Einrichtung einer ständig besetzten zentralen Stelle, z.B. in Form eines Security Operation Centers, erforderlich sein,
  • IT-Sicherheitssysteme regelmäßig überprüfen, wobei sich Turnus, Art und Umfang der Überprüfung am Schutzbedarf und der möglichen Angriffsflächen des IT-Systems orientieren müssen.

IT-Notfallmanagement

Allgemeine Anforderungen an das Notfallmanagement von Instituten finden sich in der MaRisk (AT 7.3.). Die Vorgaben der BAIT konkretisieren diese und formulieren spezielle Vorgaben für das IT-Notfallmanagement. In diesem Zusammenhang müssen Institute

  • auf Basis der Ziele des allgemeinen Notfallmanagements auch die Ziele und Rahmenbedingungen des IT-Notfallmanagements festlegen,
  • IT-Notfallpläne erstellen, die Wiederanlauf-, Notbetriebs-, und Wiederherstellungspläne sowie zu berücksichtigende Abhängigkeiten z.B. von externen IT-Dienstleistern, berücksichtigen,
  • ihre IT-Notfallpläne durch mindestens jährliche IT-Notfalltests überprüfen; zu diesem Zweck ist ein IT-Testkonzept zu entwickeln,
  • nachweisen können, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse von einem anderen Rechenzentrum für eine angemessene Zeit erbracht werden können.

Ausblick ZAIT und Fazit

Die BAIT soll zukünftig zudem um ein Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ ergänzt werden, das sich eigens an Institute richten wird, die Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Die Inhalte dieses Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und anschließend in die finale Fassung der BAIT einfließen.

Mit der nun zur Konsultation gestellten BAIT Novelle finden die europäische Vorgaben der ICT Guidelines nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum (IT-) Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Konsultation zur MaRisk Novelle veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Anfang Dezember bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen MaRisk setzt aktuelle europäische Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposuresNPL Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements Outsourcing Guidelines) und zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Änderungen und Ergänzungen der MaRisk aufgrund der Umsetzung der NPL, der Outsourcing sowie der ICT Guidelines im Überblick vor.

Kurz erklärt: die MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor.

Umsetzung der NPL Guidelines

Die NPL Guidelines geben vor, wie notleidende und gestundete Risikopositionen von Instituten im Rahmen des Riskmanagements zu berücksichtigen sind. Institute sollten über einen angemessenen Rahmen zur Identifizierung, Messung, Verwaltung, Überwachung und Reduzierung von notleidenden Risikopositionen verfügen. Je mehr notleidende Risikopositionen ein Institut hat, desto strengere Anforderungen sind grundsätzlich zu erfüllen.

Deshalb ist zu unterscheiden: Einige Vorgaben gelten nur für solche Institute, die eine Quote notleidender Kredite von 5% oder mehr aufweisen (sog. High-NPL-Institute). High-NPL-Institute müssen

  • eine Strategie für notleidende Risikopositionen einführen, um letztlich einen Abbau der notleidenden Risikopositionen vornehmen zu können (AT 4.2 MaRisk),
  • besondere Anforderungen an die Risikocontrolling-Funktion erfüllen, indem z.B. NPE-bezogene Risiken (non-performing-exposures) überwacht und Auswirkungen auf die Eigenkapitalanforderungen berücksichtigt werden (AT 4.4 MaRisk).
  • Problemkredite sind anhand festgelegter Kriterien an eine Abwicklungs-. bzw. Sanierungseinheit des Instituts zu übergeben; nunmehr sind spezialisierte Abwicklungseinheiten (sog. NPE-Workout Units) einzurichten; (BTO 1.2 MaRisk),
  • in den Risikoberichten der Risikocontrolling-Funktion ist eine gesonderte Darstellung von notleidenden und gestundeten Risikopositionen aufnehmen (BT 3.2 MaRisk).

Zudem setzt die MaRisk Vorgaben der NPL Guidelines um, die nicht nur auf High-NPL-Institute, sondern auf alle Institute anwendbar sind. Neu sind dabei umfassende Vorgaben zur sog. Forbearance. Erfasst sind jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden. Als anschauliches Beispiel dient die Stundung von Tilgungsraten. Ziel solcher Maßnahmen ist es, dass Risikopositionen nicht notleidend werden, sondern zurückgezahlt werden können.

  • Institute müssen eine Forbearance-Richtlinie entwickeln, die bspw. die Verfahren zur Gewährung von Forbearance-Maßnahmen sowie die Verfahren zur Entscheidungsfindung und eine Beschreibung verfügbarer Forbearance-Maßnahmen enthält (BTO 1.3 MaRisk).
  • Zudem sind Forbearance-Prozesse zu entwickeln, die z.B. Kriterien festzulegen, anhand derer eine Einstufung von Forbearance-Risikopositionen in notleidende Positionen erfolgt (BTO 1.3 MaRisk).

Umsetzung der Outsourcing Guidelines

Die MaRisk Novelle setzt auch die Anforderungen der EBA Outsourcing Guidelines um. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Gänzlich neue Regelungen gibt es hier wenige. Alle Änderungen und Ergänzungen werden unter AT 9 MaRisk vorgenommen. Wesentliche Neuerungen bzw. Ergänzungen sind:

  • Bei Auslagerungen an Unternehmen mit Sitz in anderen EU-Mitgliedsstaaten ist sicherzustellen, dass eine ggf. erforderliche Erlaubnis zur Erbringung der ausgelagerten Tätigkeit vorliegt. Bei Auslagerung auf ein Drittstaaten-Unternehmen (Brexit!) muss, sofern es sich um eine ausgelagerte Aktivität handelt, die innerhalb des EWR eine Erlaubnis erfordern würde, sichergestellt werden, dass das Auslagerungsunternehmen in dem Drittstaat einer Aufsicht unterliegt und zwischen den zuständigen Aufsichtsbehörden eine entsprechende Kooperationsvereinbarung besteht.
  • Bei wesentlichen Auslagerungen werden zusätzliche konkret erforderliche vertragliche Regelungen, wie z.B. Zugangs- und Kündigungsrechte vorgeschrieben.
  • Es ist ein zentraler Auslagerungsbeauftragter zu benennen; er wird durch ein zentrales Auslagerungsmanagement unterstützt.
  • Es ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. So soll ein Informationsverlust über ausgelagerte Tätigkeiten im Falle personeller Wechsel verhindert werden.

Umsetzung der ICT Guidelines

Aufgrund der EBA ICT Guidelines werden Anforderungen an das Notfallmanagement (AT 7.3 MaRisk) neu gefasst. Institute müssen grundsätzlich auf Notfallsituationen vorbereitet sein und insbesondere Notfallpläne für zeitkritische Aktivitäten und Prozesse vorhalten. Ein aktuelles und anschauliches Beispiel sind die Auswirkungen der Corona-Krise; die Banken schienen mit Standortschließungen aufgrund von Lockdown-Maßnahmen grundsätzlich gut umgehen und schnell auf Notfallpläne wie z.B. Split-Operations-Maßnahmen zurückgreifen zu können. Im Einzelnen müssen Institute

  • Eine Risikoanalyse zur Identifikation zeitkritischer Aktivitäten und Prozesse sowie hierfür notweniger IT-Systeme durchführen,
  • ein Notfallkonzept erarbeiten, das darstellt, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Fazit

Mit der nun zur Konsultation gestellten MaRisk Novelle finden zahlreiche europäische Vorgaben nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Der Umgang mit ESG-Risiken – was erwartet die Aufsicht?

Zum Thema Nachhaltigkeit in der Finanzbranche gibt es derzeit viel neue Regulierung. Dabei fährt der Gesetzgeber zweigleisig: Zum einen sollen Finanzprodukte selbst nachhaltiger werden. Um dieses Ziel zu erreichen, wurden die Transparenz-Verordnung und die Taxonomie-Verordnung erlassen. Letztere definiert erstmals einheitlich, was in Europa unter Nachhaltigkeit zu verstehen ist. Denn um mehr grüne Finanzprodukte zu schaffen, bedarf es zunächst einer einheitlichen Bewertungsgrundlage, wann eine Wirtschaftstätigkeit überhaupt nachhaltig ist. Neben der Produktregulierung hält das Thema Nachhaltigkeit aber auch in die unmittelbare Beaufsichtigung von Finanzinstituten Einzug. Diese müssten sich vor allem über die Nachhaltigkeitsrisiken, denen sie ausgesetzt sind, klar werden und diese dann in ihrem internen Risikomanagement berücksichtigen.

Für Wertpapierfirmen wird Mitte Juni 2021 in neues Aufsichtsregime in Kraft treten. Darüber haben wir bereits in einem zweiteiligen Blogbeitrag hier geht es zu Teil 1, hier zu Teil 2) ausführlich berichtet. Die neuen Regelungen bestehen aus der EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), die durch das Wertpapierfirmengesetz (WpFG) in deutsches Recht umgesetzt werden soll, sowie der EU-Verordnung über die Aufsichtsanforderungen an Wertpapierfirmen (IFR).

Unter anderem enthält die IFD Regelungen zum Umgang von Wertpapierfirmen mit Nachhaltigkeitsrisiken. Zur Konkretisierung der Vorgaben soll die European Banking Authority (EBA) zunächst einen Bericht über technische Kriterien erarbeiten, die die nationalen Aufsichtsbehörden bei der Überprüfung der Ursachen und Auswirkungen von ESG-Risiken auf Wertpapierfirmen heranziehen. Die EBA soll dabei insbesondere auch (i) ESG-Risiken für Wertpapierfirmen definieren, (ii) überprüfen, wie eine Konzentration bestimmter Vermögenswerte zu einer Erhöhung von ESG-Risiken führen kann, (iii) Prozesse beschreiben, mittels derer Wertpapierfirmen ihre ESG-Risiken ermitteln, bewerten und steuern können und (iv) Parameter und Kennzahlen entwickeln, die sowohl Aufsichtsbehörden als auch Wertpapierfirmen nutzen können, um die Auswirkungen von ESG-Risiken im Rahmen der laufenden Aufsicht bewerten zu können. Der EBA-Bericht soll bis Ende Dezember nächsten Jahres vorliegen.

Auf Grundlage dieses Berichts kann die EBA dann Leitlinien festlegen, mit denen Kriterien für die aufsichtliche Überprüfung und Berwertung von ESG-Risiken eingeführt werden. Die Berücksichtigung von Nachhaltigkeitsrisiken im Rahmen ihres Risikomanagements wird dadurch auch für Wertpapierfirmen weiter konkretisiert und verbindlich geregelt werden. Bereits heute müssen nach dem Kreditwesengesetz (KWG) regulierte Kredit- und Finanzdienstleistungsinstitute Nachhaltigkeitsrisiken im Rahmen des Risikomanagements berücksichtigen, ohne dass dabei aber bestimmte verbindliche Kriterien oder Parameter vorgegeben werden. Solange es noch keine EBA-Leitlinien zum Umgang mit Nachhaltigkeitsrisiken gibt, können sich Wertpapierfirmen wie bisher auch an dem Merkblatt der BaFin zum Umgang mit Nachhaltigkeitsrisiken schon mal eine rechtliche Einordnung des Merkblatts vorgenommen.

Die geplanten EBA Leitlinien zeigen: das Thema Nachhaltigkeit und vor allem der Umgang mit Nachhaltigkeitsrisiken bleibt im Fokus der aufsichtsrechtlichen Agenda.

Der Entwurf des neuen WpFG ist da! – Teil 2

Ende Juli 2020 hat das Bundesfinanzministerium den Entwurf des neuen Gesetzes zur Beaufsichtigung von Wertpapierfirmen (Wertpapierfirmengesetz – WpFG) veröffentlicht. Mit dem WpFG werden die Regelungen der neuen EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD) in nationales Recht umgesetzt. Flankiert wird das WpFG von den Detailregelungen der EU-Verordnung über die Aufsichtsanforderungen an Wertpapierfirmen (IFR), die als europäische Verordnung unmittelbar in jedem Mitgliedstaat Anwendung findet.

Im vorherigen Teil 1 haben wir beleuchtet, wie das WpFG die Struktur des bestehenden Aufsichtsregime verändern wird und welche Anforderungen an das Anfangskapital und die sonstigen Eigenmittel für Wertpapierfirmen zukünftig gelten. In diesem Teil 2 werden wir nun die besonderen aufsichtsrechtlichen Anforderungen des WpFG an Wertpapierfirmen (sog. Solvenzaufsicht) sowie die diesbezüglichen besonderen Aufsichtsbefugnisse der BaFin näher betrachten.

Anforderungen und Aufsichtsbefugnisse zur Solvenz von Wertpapierfirmen

  • Risikotragfähigkeit
    Wertpapierfirmen müssen laufend ihre Risikotragfähigkeit sicherstellen. Das bedeutet, dass sie stets genug Eigenmittel vorhalten müssen, um ihre spezifischen Risiken abzusichern. Um dies überprüfen zu können, müssen sie entsprechende interne Verfahren implementieren, die die bestehenden Risiken und die vorhandenen Eigenmittel stetig abgleichen.
  • Governance
    Das WpFG stellt konkrete Anforderungen an die interne Unternehmensführung von Wertpapierfirmen. Sie müssen klare Organisationsstrukturen und Berichtslinien, ein Risikomanagement und interne Kontrollmechanismen sowie geschlechtsneutrale Vergütungssysteme vorhalten. Eine entsprechende interne Unternehmensstruktur ist der Grundstein für aufsichtsrechtliche Compliance von Wertpapierfirmen.
  • Risikosteuerung
    Die Risikosteuerung ist Teil des Risikomanagements. Wertpapierfirmen müssen Strategien und Verfahren zur Risikosteuerung einrichten, mittels derer eine Identifikation, Beurteilung und Steuerung der Risiken einer Wertpapierfirma gewährleistet wird. Nur wenn die Wertpapierfirma ihre Risiken kennt und steuern kann, kann sie entsprechend agieren, Risiken begrenzen und schlussendlich im Rahmen der Risikotragfähigkeit sicherstellen, dass ausreichend Eigenmittel vorgehalten werden.
  • Vergütungsregelungen
    Das WpFG stellt Anforderungen an das interne Vergütungssystem von Wertpapierfirmen. So muss es bspw. ein angemessenes und transparentes Vergütungssystem für Geschäftsleiter und sonstige leitende Angestellte, wie z.B. dem Leiter der Compliance Funktion, verfügen. Zudem muss ein angemessenes Verhältnis zwischen fixer und variabler Vergütung vorhanden sein.
  • Geschäftsleiter und Aufsichtsorgan im Rahmen des Risikomanagements
    Geschäftsleiter von Wertpapierfirmen tragen die Gesamtverantwortung für die Risikostrategie und den Umgang mit Risiken. Das Aufsichtsorgan der Wertpapierfirma (je nach gesellschaftsrechtlichen Ausgestaltung z.B. der Aufsichtsrat) überwacht die Risikostrategie, die internen Verfahren zum Umgang mit diesen Risiken sowie die Vergütungssystem. Bestimmte „große“ Mittlere Wertpapierfirmen müssen zudem auf Ebene des Aufsichtsorgans einen Risikoausschuss und einen Vergütungskontrollausschuss einrichten. Die Ausschüsse unterstützen das Aufsichtsorgan in seinen jeweiligen Überwachungsfunktionen.
  • Besondere Aufsichtsbefugnisse der BaFin
    Zur Sicherstellung der Solvenz von Wertpapierfirmen werden der BaFin im WpFG besondere Aufsichtsbefugnisse verliehen. Insbesondere kann sie anordnen, dass Wertpapierfirmen zusätzliche Eigenmittel vorhalten, die über die Mindesteigenmittelanforderungen des WpFG hinausgehen. Auch die Zusammensetzung der zusätzlichen Eigenmittel ordnet die BaFin an. Diese Anordnungsbefugnis soll letztlich die Risikotragfähigkeit der Wertpapierfirmen sicherstellen.

Das neue WpFG: Fazit

Durch die Einführung des WpFG wird ein separates Aufsichtsregime für Wertpapierfirmen geschaffen. Damit wird anerkannt, dass der Tätigkeit von Wertpapierfirmen ein anderes Risikoprofil innewohnt als denen klassischer Banken. Das spiegelt sich insbesondere in den neuen Anforderungen an das Anfangskapital und die sonstigen Eigenmittelanforderungen wieder. Zukünftig werden Wertpapierfirmen somit passgenauer als bislang reguliert.