Final ESMA Guidelines on cloud outsourcing

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

  • Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

  • Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

  • Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

  • Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

  • Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

  • Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

  • Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

  • Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.

Brexit update on cross-border services: MiFID II requirements vs. reverse solicitation

The European Securities and Markets Authority (ESMA) has recently issued a public statement to remind firms of the MiFID II requirements on the provision of investment services to retail or professional clients by third-country firms. With the end of the UK transition period on December 2020, UK firms now qualify as third-country firms under the MiFID II regime. The third country status of the UK as of 2021 was explicitly confirmed by the German regulator BaFin in a recent publication.

Pursuant to MiFID II, EU Member States may require that a third-country firm intending to provide investment services to retail or to professional clients in its territory have to establish a branch in that Member State or may conduct business requiring a license on a cross-border basis, without having a presence in Germany (so-called notification procedure/EU Passport). However, according to MiFID II, where a retail or professional client established or situated in the EU initiates at its own exclusive initiative the provision of an investment service or activity by a third-country firm, the third country firm is not subject to the MiFID II requirement to establish a branch and to obtain a license (so-called reverse solicitation).

With the end of the UK transition period on December 2020, ESMA notes that some “questionable” practices by firms around reverse solicitation have emerged. For example, ESMA states that some firms appear to be trying to circumvent MiFID II requirements by including general clauses in their Terms of Business or by using online pop-up boxes whereby clients state that any transactions are executed in the exclusive initiative of the client.

With its public statement, ESMA aims to remind firms that pursuant to MiFID II, where a third-country firm solicits (potential) clients in the EU or promotes or advertises investment services in the EU, the investment service is not provided at the initiative of the client and, therefore, MiFID II requirements apply. Every communication means used (press release, advertising on internet, brochures, phone calls etc.) should be considered to determine if the client has been subject to any solicitation, promotion or advertising in the EU on the firm´s investment service or activities. Reverse solicitation only applies if the client actually initiates the provision of an investment service or activity, it does not apply if the investment firm “disguises” its own initiative as one of the client.

However, despite this seemingly rather strict approach of ESMA, reverse solicitation is generally still applicable if a (UK) third-country firm

  • only offers services at the sole initiative of the client,
  • (only) continues an already existing client relationship or
  • continues to inform its clients about its range of products within the scope of existing business relationships (which is often agreed upon in the client´s contract).

It is argued that, for example, in the case of an existing account or deposit or an existing loan agreement that a UK third country firm continues to provide to an EU client after Brexit, no direct marketing or solicitation of the client in the EU takes place. In this case, the third country firm would not have solicited the client.

In a nutshell: What UK firms should consider

The provision of investment services in the EU is subject to license requirements and can include the requirement to establish a branch or a subsidiary in the relevant EU member state. The provision of investment services without proper authorization exposes investment firms to administrative or criminal proceedings. Where a client established in the EU initiates at its own exclusive initiative the provision of an investment service by a third-country firm, such firm is not subject to the requirement to establish a branch or to obtain a license (reverse solicitation). Generally, reverse solicitation also applies when existing client relationships are continued (which have been legitimately established), as the investment firm would not solicit a client in this case.

ESMA gibt technische Empfehlungen für Nachhaltigkeit im Fondsbereich heraus

Auch bei Investmentfonds wird Nachhaltigkeit als aufsichtsrechtliches Thema immer wichtiger. Am 3. Mai hat die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA) ihre Technischen Empfehlungen zu nachhaltigem Finanzwesen an die EU-Kommission veröffentlicht, die sich auf die Integration von Nachhaltigkeitsrisiken und faktoren in europäische Regelwerke für Investmentfonds beziehen.


Nachdem die Europäische Kommission im Juli 2018 die ESMA um eine Konsultation bezüglich Änderungen der europäischen Regelwerke für Investmentfonds ersucht hatte, konsultierte die ESMA ihre Vorschläge von Dezember 2018 bis April 2019 (siehe dazu auch hier). Die Technische Empfehlung basiert auf der Konsultation und den erfolgten Stellungnahmen.

Eckpunkte der finalen Empfehlungen

Die Technischen Empfehlungen modifizieren die AIFMD und die UCITS-Richtlinie in Bezug auf Organisationspflichten, Voraussetzungen für den Geschäftsbetrieb und das Risikomanagement der KVGen.

• Bezüglich der Organisationspflichten müssen Nachhaltigkeitsrisiken nunmehr bei allgemeinen Anforderungen an Verfahren und Organisation berücksichtigt werden, außerdem müssen bei den Mitarbeitern Ressourcen und Fachkenntnisse für die wirksame Integration von Nachhaltigkeitsrisiken gegeben sein. Die Verantwortlichkeit für die Integration der Nachhaltigkeitsrisiken liegt bei der Geschäftsleitung.

• Im Geschäftsbetrieb müssen Interessenkonflikte, die sich im Zusammenhang mit der Integration von Nachhaltigkeitsrisiken und –faktoren ergeben, berücksichtigt werden. Hier wird der finale Entwurf konkreter als der konsultierte Entwurf: Die ESMA hebt insbesondere Konflikte hervor, die sich aus der Vergütung oder den persönlichen Geschäften einzelner Mitarbeiter ergeben können. Konkret sollten Konfliktquellen, die Greenwashing, Misselling oder Churning unterstützen, identifiziert werden. Greenwashing bezeichnet das Suggerieren tatsächlich nicht vorliegender Nachhaltigkeit. Misselling liegt vor, wenn Mitarbeiter Kunden Produkte verkaufen, die für den Kunden ungeeignet sind, oder wenn die Produkte im Vertrag falsch dargestellt werden. Beim Churning kauft und verkauft ein Mitarbeiter zum Nachteil des Kunden übermäßig viele Wertpapiere über das Kundenkonto, um Provisionen zum eigenen Nutzen zu erzielen.

Auch widersprüchliche Interessen zwischen Fonds mit unterschiedlichen Anlagestrategien, die von derselben OGAW-Verwaltungsgesellschaft oder demselben AIFM verwaltet werden, sowie Situationen, in denen es andere Geschäftsbeziehungen zu Beteiligungsgesellschaften gibt, sollten bei der Identifizierung von Interessenkonflikten berücksichtigt werden.

Zudem müssen im Rahmen der Due Diligence Nachhaltigkeitsrisiken bei der Auswahl und Überwachung von Investments berücksichtigt sowie Wissen und Kenntnisse der Mitarbeiter dazu sichergestellt werden. Dies kann etwa dadurch erreicht werden, dass Richtlinien und Prozesse entwickelt und wirksame Maßnahmen eingeführt werden, bspw. um die nachteiligen Auswirkungen von Beteiligungsunternehmen auf Nachhaltigkeitsfaktoren zu verringern.

• Bei der Entwicklung, Implementierung und Aufrechterhaltung angemessener und dokumentierter Richtlinien zum Risikomanagement müssen auch Nachhaltigkeitsrisiken berücksichtigt werden.

Die Regelungen sind prinzipienbasiert, sodass die Anforderungen der Aufsicht von Größe und Leistungsfähigkeit jeder Kapitalverwaltungsgesellschaft sowie vom Umfang der betriebenen Geschäfte abhängig sind.

Fazit und Ausblick

Die Technischen Empfehlungen integrieren Nachhaltigkeitsrisiken und –faktoren in die AIFMD und die UCITS-Richtlinie gleichermaßen und stellen einen weiteren Schritt in Richtung nachhaltiger Finanzwirtschaft dar. Allerdings geben sie keine Definition der Nachhaltigkeitsrisiken und –faktoren an, was die harmonisierte Anwendung in allen Mitgliedstaaten zumindest nicht erleichtert. Auch welche konkreten Aktivitäten die verschiedenen ESG-Kriterien Environment, Social und Governance in welchem Maße fördern, geht aus den Technischen Empfehlungen nicht hervor. Zwar ist jetzt klar, in welchen Situationen Nachhaltigkeitsrisiken und –faktoren beachtet werden müssen. Ohne einheitliche Begriffsdefinition besteht jedoch bspw. das Risiko, dass Produkte fälschlicherweise als nachhaltig klassifiziert werden oder dass zwischen Kunden und Investmentfirmen bzw. Fonds Uneinigkeit über das Vorliegen von Nachhaltigkeitsfaktoren entstehen können.

Auf den ersten Blick wären Definitionen der Nachhaltigkeitsrisiken und –faktoren in die Technischen Empfehlungen wünschenswert gewesen, sinnvoller ist jedoch eine übergreifende Regelung, die sich auch auf andere Regelwerke übertragen lässt. Die europäischen Gesetzgebungsorgane beschäftigen sich derzeit mit der Schaffung einer einheitlichen Taxonomie zu nachhaltigen Wirtschaftstätigkeiten. Eine harmonisierte Anwendung der Technischem Empfehlungen ist voraussichtlich mit Umsetzung der einheitlichen Taxonomie leichter. Die Schnittstellen, an denen Nachhaltigkeitsaspekte Eingang in den Fondsbereich finden, sind durch die Technischen Empfehlungen aber absehbar.

Der Vertrieb von Fondsanteilen und MiFID-Pflichten

Kapitalverwaltungsgesellschaften (KVGen) treffen zum Vertrieb ihrer Fondsprodukte regelmäßig Vertriebsvereinbarungen mit Finanzanlagenvermittlern, die unter einer Gewerbeerlaubnis nach § 34 f GewO tätig werden. KVGen können sich dadurch ein breites Vertriebsnetz sichern. Der Beratungs- bzw. Vermittlungsvertrag wird dann unmittelbar zwischen dem potentiellen Anleger und dem Finanzanlagenvermittler geschlossen.

Die folgende Grafik veranschaulicht am Beispiel der Anlageberatung und unter Berücksichtigung des Entwurfs der neuen FinVermV, welche regulatorischen Pflichten der Zweiten Finanzmarktrichtlinie (MiFID II) die KVG und welche der Finanzanlagenvermittler in dem Dreiecksverhältnis KVG-Finanzanlagenvermittler-Anleger erfüllen müssen. Erbringt die KVG die Beratungsleistung selbst, trifft sie das volle MiFID II-Programm, wie es das WpHG vorsieht.

In der Grafik wird deutlich, dass die Finanzanlagenvermittler nicht 1:1 die MiFID-Dokumente der KVG verwenden können, weil sie eigene Pflichten gegenüber den beratenen Anlegern haben.


ESMA updated AIFMD and UCITS Q&As

On June 4, 2019 ESMA published updates questions and answers on the application of the AIFM Directive (available here) and the UCITs Directive (available here). ESMA’s intention of publishing und regularly updating the Q&A documents ensures common supervisory approaches and practices in relation to both the AIFM Directive and the UCITS Directive and their implementing measures.

The latest update refers to the depositories and the possibilities to delegate the safekeeping of assets of the funds. ESMA clarifies that supporting tasks that are linked to depositary tasks such as administrative or technical functions performed as part of the depositary tasks could be entrusted to third parties where all of the following conditions are met:

  1. the execution of the tasks does not involve any discretionary judgement or interpretation by the third party in relation to the depositary functions;
  2. the execution of the tasks does not require specific expertise in regard to the depositary function; and
  3. the tasks are standardised and pre-defined.

Where depositaries entrust tasks to third parties and give them the ability to transfer assets belonging to AIFs or UCITS without requiring the intervention of the depositary, these arrangements are subject to the delegation requirements, in Germany subject to Para. 36 KAGB.

Another question relates to the supervision of branches of depositories. The AIFM Directive, the UCITS Directive, the CRD and the MiFID II do not grant any passporting rights for depositary activities in relation to safekeeping assets for AIFs or UCITS. Branches of depositories located in the home Member State of the AIF or UCITS that is not the home Member State of the depositary’s head office may also be subject to local authorisation in order to perform depositaries activities in relation to AIFs or UCITS. In this case, the competent authority for supervising the activities in relation to AIFs or UCITS is the one located in the Member State of the depository’s branch.

The guidance provided by ESMA in the Q&A documents for AIFs and UCITS regarding the depository function do not contain any surprising elements but further strengthen the harmonized interpretation and application of the AIFM and UCITS Directives in Europe.

Anlageberater und Anlagevermittler: Zwei Aufsichtsregime für dieselbe Tätigkeit

Teil 3: Was verbirgt sich hinter der Geeignetheitsprüfung?

Die neue Finanzanlagenvermittlerverordnung (FinVermV), die voraussichtlich im Juni in Kraft tritt, sieht für Finanzanlagenvermittler nun auch eine Geeignetheitsprüfung vor. Was bedeutet das und deckt sich die Pflicht mit der für volllizenzierte Anlageberater nach dem Kreditwesengesetz (KWG)?

Nachdem Teil 1 die allgemeinen Unterschiede der Aufsicht nach KWG und nach der Gewerbeordnung (GewO) im Überblick dargestellt hat und Teil 2 sich mit der Frage befasst hat, welche MiFID II-Pflichten für welche Anlageberater und wann gelten, werfen wir nun einen genaueren Blick auf die aufsichtsrechtlichen Anforderungen an die Geeignetheits- und Angemessenheitsprüfung, die von den Finanzanlagenvermittlern vor Erbringung der Anlageberatung und Anlagevermittlung konkret durchzuführen sind.

Die Geeignetheits- und Angemessenheitsprüfung gilt für Anlageberater und –vermittler mit KWG-Lizenz schon länger und wurde durch die Regelungen der MiFID II konkretisiert. Die entsprechenden Vorgaben finden sich im Wertpapierhandelsgesetz (WpHG). Die neue FinVermV sieht für die Anlageberatung durch 34f-ler nun ebenfalls eine Geeignetheitsprüfung vor.

Nach dem WpHG müssen Anlageberater vor einer Anlageberatung (und auch vor jeder Finanzportfolioverwaltung) prüfen, ob das empfohlene Finanzinstrument für den jeweiligen Kunden geeignet ist. Geeignet ist es dann, wenn die Anlageempfehlung im Einklang mit den Kundenzielen, seiner Risikotoleranz und Risikotragfähigkeit steht und der Kunde in der Lage ist, mit seinen Kenntnissen und Erfahrungen das Risiko des empfohlenen Finanzinstruments zu verstehen. Diese Informationspflicht führt die neue FinVermV nun auch für Finanzanlagenvermittler mit GewO-Erlaubnis ein. Danach soll es für den Kunden egal sein, wer ihm gegenüber die Anlageberatung erbringt. Denn in jedem Fall wird sein individuelles Anlageziel berücksichtigt. Die BaFin fordert in ihrer Verwaltungspraxis für volllizensierte Anlageberater bei einer beschränkten Produktauswahl eine besonders sorgfältige Geeignetheitsprüfung. Fehlt es in dem angebotenen Portfolio an einem geeigneten Produkt, sollte keine Empfehlung erfolgen. Auch sollte bei einer kontinuierlichen Geschäftsbeziehung die Geeignetheit der Produkte regelmäßig überprüft werden.

In der Praxis ist für die Prüfung der Geeignetheit eines Finanzinstruments die Verwendung eines vorgefertigten Fragebogens zur Einholung der erforderlichen Informationen ratsam. Anhand der gewonnenen Informationen kann dann leicht bestimmt werden, welche Anlagemöglichkeit für den Kunden geeignet ist. Wenn ein Berater die erforderlichen Informationen vom Anleger nicht bekommt und die Geeignetheit nicht bestimmen kann, darf er im Rahmen der Anlageberatung keine Finanzanlage empfehlen.

Auch die Anlagevermittlung darf nicht ohne Prüfung erfolgen

Im Rahmen der Anlagevermittlung ist der Gesetzgeber nicht ganz so streng, sondern erfordert nur eine Angemessenheitsprüfung, mittels derer überprüft werden soll, ob der Kunde anhand seiner Kenntnisse und Erfahrungen die Risiken des Finanzinstruments verstehen kann. Anlageziele und finanzielle Erfahrungen müssen nicht abgefragt werden.. Das gilt sowohl für volllizensierte Anlagevermittler als auch für 34f-ler. Hier bringt die novellierte FinVermV nichts Neues.

Auch hier empfiehlt sich die Verwendung eines vorgefertigten Fragebogens. Gelangt der Vermittler zu der Auffassung, dass die gewünschte Finanzanlage für den Anleger nicht angemessen ist oder erhält er die erforderlichen Informationen vom Anleger nicht, muss dem Anleger gegenüber ein Warnhinweis ausgesprochen werden. Die Vermittlung darf in diesen Fällen dennoch stattfinden.

ESMA Supervisory briefing zur Angemessenheitsprüfung nach der MiFID II

Die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets AuthorityESMA) hat zur Angemessenheitsprüfung am 04. April 2019 ein Supervisory briefing veröffentlicht (abrufbar hier). Es richtet sich zwar nur an die nationalen Aufsichtsbehörden unmittelbar, zeigt jedoch die Empfehlungen für die Aufsichtspraxis hinsichtlich der Umsetzung der MiFID-Richtlinie auf, an denen sich die nationalen Aufsichtsbehörden in der Regel orientieren. Deshalb profitieren auch Marktteilnehmer davon, da sie einen Einblick erhalten, welche Maßnahmen zur Einhaltung der aufsichtsrechtlichen Anforderungen der Angemessenheitsprüfung nach MiFID II erforderlich sind.

Das Supervisory briefing gibt den nationalen Behörden Bespielfragen an die Hand, mittels derer sie die Einhaltung der vorgesehenen Standards überprüfen können. Im Einzelnen werden so verschiedene Bereiche präzisiert: die Identifikation von Sachverhalten, in denen eine Angemessenheitsprüfung erforderlich ist, Art und Umfang der Informationen, die das Unternehmen vom Kunden für die Angemessenheitsprüfung einholen muss, inhaltliche Anforderungen an die Angemessenheitsprüfung selbst sowie an die Warnungen, die in bestimmten Fällen gegenüber Kunden ausgesprochen werden müssen.

Die Auslegungsentscheidung der ESMA wird für Finanzanlagenvermittler nicht direkt gelten. Und es ist zu erwarten, dass auch die BaFin hier keine so strengen Anforderungen an Finanzanlagenvermittler, die ja nur ein begrenztes Produktportfolio anbieten, stellt. Insoweit ist auch die Verhältnismäßigkeit zu wahren, die auch von der BaFin berücksichtigt wird. Die einzelnen Finanzanlagenvermittler sollten entsprechend ihrem Geschäftsmodell interne Prozesse für die Geeignetheits- und Angemessenheitsprüfung vorhalten.

Anlageberater und Anlagevermittler: Zwei Aufsichtsregime für dieselbe Tätigkeit

Anlageberater und Anlagevermittler: Zwei Aufsichtsregime für dieselbe Tätigkeit

Teil 2: Welche Compliance-Vorgaben gelten für wen und wann?

Im ersten Teil hatten wir über die zwei Aufsichtsregime für Anlageberater und Anlagevermittler nach § 34f GewO und dem KWG berichtet. Jetzt werfen wir einen genaueren Blick auf die Compliance-Vorgaben. Finanzanlagenvermittler nach der GewO fallen nicht unter das Wertpapierhandelsgesetz (WpHG), das die Regelungen der MiFID II für volllizensierte Anlageberater und Anlagevermittler umsetzt. Voraussichtlich ab Juni 2019 gilt aber die neue Finanzanlagenvermittlerverordnung (FinVermV), die einen Teil der MiFID II-Vorgaben auf die 34f-ler überträgt.

Sind die Finanzanlagenvermittler nun ebenso stark reguliert wie die Anlageberater und Anlagevermittler mit KWG-Erlaubnis?

Der Umgang mit Zuwendungen ist vergleichbar, allerdings für Finanzanlagenvermittler immer noch weniger streng. Unter beiden Aufsichtsregimen müssen Zuwendungen dem Kunden gegenüber offengelegt werden. Nach dem WpHG muss eine Zuwendung, die der Berater oder Vermittler erhält, immer auch der Qualitätssicherung der erbrachten Dienstleistung dienen. Dieses Erfordernis enthält die neue FinVermV nicht.

Im Rahmen der Anlageberatung ist die Pflicht zur Prüfung der Geeignetheit der Finanzanlage für den jeweiligen Investor unter beiden Regimen gleich. Bezüglich der Prüfung der Angemessenheit sieht die neue FinVermV eigene Regelungen vor, die den Anforderungen des WpHG aber weitestgehend entsprechen.

Künftig sollen auch Anlageberater und Anlagevermittler nach der GewO ihre Beratungs- und Vermittlungsgespräche aufzeichnen, wenn diese am Telefon erfolgen. Die Vorgaben hinsichtlich Telefon-Taping und Aufzeichnungspflicht elektronischer Kommunikation sind mit denen des WpHG für volllizensierte Berater vergleichbar. Bevor Finanzanlagenvermittler hier in eine neue Technik investieren, sollten sie überlegen, ob in ihrem Geschäftsmodell die Möglichkeit besteht, Beratungs- und Vermittlungsgespräche nur persönlich mit den Kunden und gerade nicht am Telefon zu führen.

Die Informationspflichten über Risiken, Kosten und Nebenkosten sowie die nun erforderliche Bereitstellung eines Informationsblatts in der neuen FinVermV sind mit denen des WpHG vergleichbar. Das ist aus Sicht der Politik, die hier auch den Verbraucherschutz als Motivation für die Novelle der FinVermV anführt, nur konsequent.

Im Umgang mit Interessenskonflikten wird die neue FinVermV an das WpHG angeglichen. Künftig müssen Interessenskonflikte nicht mehr nur offengelegt werden. Auch Finanzanlagenvermittler müssen nun vielmehr in einem ersten Schritt aktiv versuchen, Interessenskonflikte zu vermeiden. Und nur, wo das nicht gelingen kann, reicht eine Offenlegung des konkreten Interessenskonflikts aus. Anknüpfend an diese Regelung müssen künftig auch Anlageberater und Anlagevermittler nach der GewO bei der Ausgestaltung der Vergütung ihrer Vertriebsmitarbeiter streng darauf achten, dass Interessenskonflikte zwischen Kunden und Mitarbeitern vermieden werden.

Können sich Finanzanlagenvermittler zukünftig an der bestehenden Verwaltungspraxis der ESMA und der BaFin orientieren?

Für die Finanzanlagenvermittler sind die Auslegungshinweise der ESMA zu MiFID II nicht direkt anwendbar. Im Zweifelsfall können sie als guter Maßstab herangezogen werden. Aber auch hier gilt, was die BaFin seit Jahren in ihrer Verwaltungspraxis etabliert hat: der Proportionalitätsgrundsatz soll stets gewahrt bleiben. D.h. kleine Unternehmen, die mit einer 34f-Erlaubnis Anlageberatung und –vermittlung erbringen, dürfen bei der Umsetzung der Vorgaben ihrer Größe und dem Umfang ihrer Geschäftstätigkeit Rechnung tragen.

Und unterm Strich?

Insgesamt sind die Vorgaben des WpHG an volllizensierte Anlageberater und Anlagevermittler immer noch weitgehender als die der neuen FinVermV. So muss etwa ein Wertpapierdienstleistungsunternehmen, das Anlageberatung und Anlagevermittlung unter einer KWG-Lizenz erbringt, über eine ordnungsgemäße Geschäftsorganisation verfügen, die u.a. ein angemessenes und wirksames Risikomanagement umfasst. Außerdem muss das Unternehmen Vorkehrungen treffen, die die Kontinuität und Regelmäßigkeit der Wertpapierdienstleistung gewährleisten, es muss Zielvorgaben so ausgestalten, umsetzen und überwachen, dass Kundeninteressen nicht beeinträchtigt werden, sowie über solide Sicherheitsmechanismen für Informationsübermittlungswege verfügen, die das Risiko des unbefugten Zugriffs minimieren oder verhindern. Auch die Anforderungen an die Geschäftsleiter sind für volllizensierte Unternehmen höher.

Das mag den Finanzanlagenvermittlern dennoch nur ein kleiner Trost sein. Auf sie kommt durch die neue FinVermV ein Organisationsaufwand zu, der erst einmal umgesetzt werden muss. Vor dem Hintergrund der kommenden BaFin-Aufsicht empfiehlt es sich vor allem, die bestehenden internen Geschäftsprozesse an die neuen Vorgaben anzupassen und die Anpassungen auch zu dokumentieren. Die neuen Prozesse können etwa in Arbeitsanweisungen und/oder Dokumentenvorlagen niedergelegt werden. Auf diese Weise kann auch sichergestellt werden, dass eine etwaige Prüfung durch die BaFin an Schrecken verliert.

Anlageberater und Anlagevermittler: Zwei Aufsichtsregime für dieselbe Tätigkeit

Teil 1: Unterschiede und Gemeinsamkeiten der Aufsicht nach KWG und nach der Gewerbeordnung

Im Juni 2019 wird voraussichtlich die neue Finanzanlagenvermittlerverordnung (FinVermV) in Kraft treten, die einen Teil des Pflichtenregimes der zweiten Finanzmarktrichtlinie (MiFID II) auf die Finanzanlagenvermittler nach § 34f der Gewerbeordnung (GewO) überträgt.

Das wollen wir zum Anlass nehmen, in einem dreiteiligen Beitrag die Anlageberatung und Anlagevermittlung sowohl nach dem Kreditwesengesetz (KWG) als auch nach der GewO vorzustellen. Teil 1 des Beitrags wird zunächst den Umfang der erlaubten Tätigkeiten und im Anschluss die wesentlichen Unterschiede zwischen einer Erbringung der Anlageberatung und Anlagevermittlung nach dem KWG und der GewO darstellen.

Anlageberatung und Anlagevermittlung nach KWG und GewO

Anlagevermittlung ist die Vermittlung von Geschäften über die Anschaffung und die Veräußerung von Finanzinstrumenten. Der Anlagevermittler übermittelt den Kundenauftrag an den Produktanbieter, ist also Mittelsperson für die vom Kunden getroffene Anlageentscheidung. Sobald der Kunde dem Anlagevermittler aber eingeräumt hat, an seiner Stelle eine eigene Anlageentscheidung zu treffen, liegt keine Anlagevermittlung mehr vor, sondern ggf. Abschlussvermittlung oder Finanzportfolioverwaltung.

Um Anlageberatung handelt es sich, wenn der Berater eine persönliche Empfehlung gegenüber dem Kunden abgibt, die sich auf Geschäfte mit bestimmten Finanzinstrumenten bezieht und auf einer Prüfung der persönlichen Umstände des Anlegers gestützt ist. In der Praxis geht einer Anlagevermittlung in der Regel eine Anlageberatung voraus.

Anlageberater und Anlagevermittler haben derzeit zwei Möglichkeiten, ihr Geschäft zu gestalten. Sie können wählen zwischen zwei Aufsichtsregimen, das eine umfangreich, das andere weniger umfangreich. Wer darf also was?

Anlagevermittler und -berater benötigen grundsätzlich eine KWG-Erlaubnis und unterliegen damit dem gesamten Pflichtenkatalog des Wertpapierhandelsgesetzes (WpHG) und der vollen Aufsicht durch die BaFin. Eine Ausnahme gibt es für Anlageberater und Anlagevermittler, die ausschließlich Fondsprodukte nach dem Kapitalanlagesetzbuch (KAGB) und Vermögensanlagen nach dem Vermögensanlagengesetz (VermAnlG) vertreiben. Für die Vermittlung von und Beratung zu solchen Produkten ist keine KWG-Erlaubnis, sondern lediglich eine Erlaubnis nach § 34f GewO erforderlich. Die Erlaubnis nach der GewO ist nicht vergleichbar mit der nach KWG und vielmehr eine Formalität. Derzeit sind dafür noch die Gewerbeämter und IHKen zuständig. Ein Grund für die Ausnahmeregelung nach KWG ist, dass die Produktanbieter und Produkte nach dem KAGB und dem VermAnlG selbst schon strengen Produktanforderungen und ‑regulierungen unterliegen, wodurch dem Anlegerschutz bereits Rechnung getragen wird.

Die volllizensierten Anlageberater und Anlagevermittler nach KWG dürfen zu allen Finanzprodukte beraten und diese vermitteln.

Wesentliche Unterschiede bei Anlageberatung und –vermittlung nach KWG und GewO

Neben der unterschiedlichen Produktpalette ergeben sich Unterschiede bei Anlageberatern und Anlagevermittlern mit KWG-Erlaubnis und solchen mit einer Erlaubnis nach der GewO vor allem bezüglich (i) des Europäischen Passes und (ii) den Compliance-Vorgaben der MiFID II. 

1. Europäischer Pass

Das sog. Passporting ermöglicht es Unternehmen, die eine Erlaubnis in ihrem Heimatstaat haben, ihre Produkte und Dienstleistungen im Wege des grenzüberschreitenden Dienstleistungsverkehrs oder durch die Gründung einer Zweigniederlassung auch in anderen EU-Mitgliedsstaaten zu erbringen, ohne in den einzelnen Mitgliedsstaaten erneut eine Erlaubnis beantragen zu müssen. Es genügt vielmehr ein einfaches Anzeigeverfahren. Hintergrund ist der identische europäische Rechtsrahmen, der eine einheitliche Regulierung der Unternehmen gewährleistet. Wurde einmal eine Erlaubnis in einem beliebigen Mitgliedsstaat beantragt, ist auch für die anderen Länder gewährleistet, dass das Unternehmen die nationalen rechtlichen Anforderungen erfüllt.

Anlagevermittlung und –berater, die eine KWG-Erlaubnis besitzen, können ihre Dienstleistungen daher auch in jedem anderen EU-Staat erbringen, ohne dafür eine neue Erlaubnis beantragen zu müssen. Das ist mit einer Gewerbeerlaubnis nach § 34f GewO hingegen nicht möglich.

2. MiFID II Pflichten

Die MiFID II stellt für Anlageberater und Anlagevermittler zahlreiche Verhaltens- und Organisationspflichten auf. In Deutschland sind diese Pflichten im Wertpapierhandelsgesetz (WpHG) umgesetzt.

Wie das KWG sieht aber auch das WpHG eine Bereichsausnahme für die Anlageberater und Anlagevermittler vor, die unter der GewO-Erlaubnis aktiv sind. Für diese gibt es schon lange eine Verordnung, die grundlegende Compliance-Vorgaben auch regelt (wie etwa die Pflicht zur Offenlegung von Provisionen und Interessenskonflikten). Nun wird diese voraussichtlich im Juni diesen Jahres novelliert und die neue FinVermV enthält einen Teil der MiFID II-Vorgaben auch für Anlageberater und Anlagevermittler nach der GewO. Zu den neuen Vorgaben haben wir bereit im Dezember hier berichtet.

Was genau die neue FinVermV bringt und welche Pflichten für die volllizenzierten Anlageberater und –vermittler gelten, berichten wir in Kürze im 2. Teil dieses Beitrags.

Update: Politische Einigung zum Pre-Marketing erzielt

Am 05. Februar 2019 haben sich das EU-Parlament und die Mitgliedsstaaten politisch über den Vorschlag der EU-Kommission vom März 2018 über einheitliche Regelungen des sog. Pre-Marketing im Zusammenhang mit dem grenzüberschreitenden Fondsvertrieb geeinigt (Pressemitteilung abrufbar hier ).

Der Kommissionvorschlag beinhaltet sowohl Änderungen der Verordnungen über Europäische Risikokapitalfonds (EuVECA) und Europäische Fonds für soziales Unternehmertum (EuSEF) als auch Änderungen der Richtlinie über Verwalter alternativer Investmentfonds (AIFMD). Zukünftig soll das sog. Pre-Marketing von Fondsmanagern EU-weit reguliert sein und damit einen einheitlichen Regelungsrahmen im EU-Binnenmarkt etablieren, um den grenzüberschreitenden Fondsvertrieb zu vereinfachen. Nähere Informationen zu diesem Thema finden Sie in diesem früheren Blogbeitrag.

ESMA Supervisory briefing on the supervision of non-EU branches of EU firms providing investment services and activities

With Brexit coming up, many companies, especially those in the financial sector, have taken precautions and relocated their EU head offices to one of the 27 remaining EU member state to ensure that, whatever the outcome of the Brexit negotiations, they will have access to the European single market.  Offices in the UK, which will qualify as a third country after Brexit, will often be operated as branches.

On February 6, 2019, ESMA published its MIFID II Supervisory briefing on the supervision of non-EU branches of EU firms providing investment services and activities. Through its new Supervisory briefing, ESMA aims to ensure effective oversight of the non-EU branches by the competent authority of the firm´s home member state.

This article provides an overview of the measures proposed by ESMA to national regulatory authorities, divided into three areas: (i) ESMA´s supervisory expectations in relation to the authorisation of investment firms; (ii) the supervision of ongoing activities of non-EU branches by the competent authority; and (iii) ESMA´s proposed supervisory activity of the competent authority.

Supervisory expectations in relation to the authorisation of investment firms

The relocation of a company to the EU means that an authorisation covering the respective business model must be applied for in the respective EU member state. The authorisation procedure must, inter alia, include a description of the company’s organisational structure, including its non-EU branches. The competent authority should be satisfied that the use of the non-EU branch is based on objective reasons linked to the services provided in the non-EU jurisdiction and does not result in situations where such non-EU branches perform material functions or provide services back into the EU, while the office relocated to the EU is only used as a letter box entity. To this end, the competent authority should make its judgement on the substance of the business activity, the organisation, the governance and the risk management arrangements of the applicant in relation to the establishment and the use of branches in non-EU jurisdictions. Therefore, the firm´s program of operations should explain how the relocated EU head office will be able to monitor and manage any non-EU branch, clarify the role of the non-EU branch and provide detailed information, such as:

  • an overview of how the non-EU branch will contribute to the investment firm´s strategy;
  • the activities and functions that will be performed by the non-EU branch;
  • a description of how the firm will ensure that any local requirements in the non-EU jurisdiction do not interfere with the compliance by the EU firm with legal requirements applicable to it in accordance with EU law.

Supervision of ongoing activities of non-EU branches

In order to allow the competent authority to appropriately monitor firms providing investment services or activities on an ongoing basis, firms should provide the competent authority of its home member state with relevant information on any new non-EU branch that they plan to establish or on any material change in the activities of non-EU branches already established. Therefore, the competent authority should, taking into account the importance of non-EU branches for the relevant firm, request on an ad hoc or a periodic basis, information on, inter alia:

  • the number and the geographical distribution of clients served by the non-EU branches;
  • the activities and the functions provided by the non-EU branch to the EU head office.

Supervisory activity of the competent authority

The competent authority should put in place internal criteria and arrangements to supervise comprehensively and in sufficient depth the activities that branches of EU firms under their supervision perform outside of the EU. For that purpose, the competent authority should prepare plans for the supervision of non-EU branches of EU firms and identify resources dedicated to this activity. These resources should be capable of performing a critical screening of the firms under their supervision that have established non-EU branches, including, information received or requested in relation to these branches.


As the Supervisory briefing shows, EU supervisors are urged by ESMA to ensure that companies relocating to the EU as a result of Brexit are not just used as mere letter box entities to gain access to the European single market and the actual investment services are provided via the non-EU branch. Therefore, the competent authorities should take a closer look at the firm´s non-EU branches, to ensure that the branch has the function of a branch not only on paper but also in practice. Investment firms should be prepared for this supervisory practice.