Regulierung für ESG-Rating Anbieter

Mitte Juni 2023 hat die EU-Kommission einen Verordnungsvorschlag („ESG-Rating Verordnung“) zur Regulierung von ESG-Rating Anbietern veröffentlicht. In diesem Beitrag schauen wir uns näher an, warum eine Regulierung von ESG-Rating Anbietern erforderlich ist und wie die Regulierung aussehen soll.

Was sind ESG-Ratings überhaupt?

ESG-Ratings stellen eine Bewertung hinsichtlich der Nachhaltigkeitsmerkmale Umwelt, Soziales und Governance zur Verfügung. Sie bewerten z.B., wie ein Unternehmen oder ein Finanzprodukt gegenüber Nachhaltigkeitsmerkmalen exponiert ist oder welche Nachhaltigkeitsauswirkungen ein Unternehmen oder ein Finanzprodukt auf die Außenwelt hat. In der Regel bieten ESG-Rating Anbieter nicht nur die Ratings, sondern auch die den Ratings zugrunde liegenden ESG-Daten an.

Wie werden ESG-Ratings genutzt und warum sollen die Anbieter reguliert werden?

ESG-Ratings werden genutzt, um Nachhaltigkeitsrisiken einschätzen zu können. Anleger und Emittenten von Finanzprodukten nutzen ESG-Ratings zunehmend als Grundlage für eine fundierte und nachhaltige Investitions- oder Finanzierungsentscheidung. So kann ein Anleger bspw. anhand eines ESG-Rating beurteilen, ob Nachhaltigkeitsaspekte für ein Unternehmen, in das der Anleger investieren möchte, ein finanzielles Risiko darstellen oder ob das Unternehmen umgekehrt wesentliche Nachhaltigkeitsauswirkungen hat. Regulierte Institute nutzen ESG-Rating zudem häufig für das Screening von Anlagen (z.B. die Aufnahme oder den Ausschluss von Aktien in ein Portfolio oder ein Fonds), für die Analyse nach der Anlage (z.B. Bewertung der Nachhaltigkeit eines Anlageprodukts oder eines Fonds) oder für die Integration von ESG in Anlagestrategien. Zudem werden ESG-Ratings z.B. auch von Unternehmen genutzt, um operationelle Risiken zu berücksichtigen. Letztlich werden ESG-Ratings also für Investitionsentscheidungen und die Zuweisung von Kapital verwendet.

ESG-Ratings haben daher, ähnlich wie Bonitäts-Ratings, eine erhebliche Marktmacht und Einfluss auf das Funktionieren der Märkte. Von Anlegern und Verbrauchern wird ihnen häufig hohes Vertrauen entgegengebracht. Es ist zu erwarten, dass der Markt für ESG-Ratings in den kommenden Jahren weiter stark wachsen wird.  Ziel der angestrebten Regulierung ist es daher, die Transparenz der Methoden von ESG-Ratings zu erhöhen und die Integrität von ESG-Rating Anbietern, etwa durch die Vermeidung von Interessenskonflikten, sicherzustellen. Dadurch soll die Qualität der ESG-Ratings verbessert werden.

Was will die Regulierung nicht?

Die ESG-Rating Verordnung zielt nicht darauf ab, Ratingmethoden zu harmonieren. Anbieter von ESG-Ratings haben weiterhin die Kontrolle über die von ihnen genutzten Daten und verwendeten Methoden. Sie müssen diesbezüglich (zukünftig) nur transparent sein.

Für wen soll die Regulierung genau gelten?

Von der ESG-Rating Verordnung erfasst werden sollen ESG-Ratings, die von einem europäischen ESG-Rating Anbieter abgegeben und veröffentlicht oder an regulierte Finanzunternehmen geliefert werden. Nicht erfasst sein sollen hingegen z.B. von regulierten Unternehmen für rein interne Zwecke selbst erstellte ESG-Ratings (wohl z.B. eigene, im Rahmen des Risikomanagements entwickelte ESG-Ratings) oder die Bereitstellung von ESG-Rohdaten, die keine Bewertung und Modellierung erfahren haben.

Wie soll die Regulierung aussehen?

Das Anbieten von ESG-Ratings in der EU soll zukünftig einem Zulassungserfordernis durch die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) unterliegen. Im Rahmen des Zulassungsantrags sind insbesondere die Gesellschafterstruktur des ESG-Rating Anbieters, die Eignung seiner Geschäftsführung sowie die für das Rating verwendeten Methoden darzulegen. Zugelassene ESG-Rating Anbieter sollen in einem ESMA-Register geführt werden.

Um die Integrität von ESG-Rating Tätigkeiten sicherzustellen, müssen die ESG-Rating Anbieter (i) ihre Unabhängigkeit sicherstellen und dürfen z.B. keine Beratungs- oder Anlagetätigkeiten ausüben, oder Referenzwerte entwickeln, (ii) sicherstellen, dass ihre Mitarbeiter ausreichend qualifiziert und frei von Insiderkonflikten sind, (iii) über ihre Tätigkeiten Aufzeichnungen führen, (iv) Beschwerdeverfahren vorhalten, (v) Vorgaben für Auslagerungen beachten, (vi) Interessenkonflikte vermeiden und (vii) Transparenzanforderungen erfüllen und dazu auf ihrer Webseite insbesondere z.B. Informationen über die verwendeten Rating-Methoden, Datenprozesse und Datenquellen, die Gewichtung von den drei Faktoren Umwelt, Soziales, Governance und den Einsatz von KI veröffentlichen.

Wie stets im Aufsichtsrecht sind dazu eine klare Organisationsstruktur, Prozesse und Verfahren einschließlich verschriftliche Policies vorzuhalten und einer regelmäßigen Prüfung zu unterziehen.

Wer überwacht die Einhaltung der Vorgaben?

Die Beaufsichtigung der ESG-Rating Anbieter soll, wie bei den Kredit-Ratingagenturen auch, zentral durch die ESMA ausgeübt werden. Dazu sieht die ESG-Rating Verordnung die üblichen aufsichtlichen Befugnisse wie z.B. die Vorlage von Informationen, Vor-Ort Prüfungen sowie Sanktionen wie den Entzug der Zulassung oder der Verhängung von Geldbußen vor. Zur Durchführung von aufsichtlichen Maßnahmen kann die ESMA allerdings auf die nationalen Aufsichtsbehörden zurückgreifen.

Ausblick und Fazit

Die ESG-Rating Verordnung befindet sich derzeit noch im Entwurf und nimmt nun ihren Weg durch das weitere Gesetzgebungsverfahren; EU-Parlament und der Rat müssen noch zustimmen. Änderungen am derzeitigen Entwurf sind daher noch möglich. Geplant ist wohl, dass die Verordnung in der zweiten Hälfte von 2024 in Kraft tritt. Insgesamt erscheint eine Regulierung mit dem erklärten Ziel einer gesteigerten Transparenz hinsichtlich der für das ESG-Rating verwendeten Daten und Methoden vor dem Hintergrund ihre wohl noch weiter zunehmenden Marktmacht durchaus begrüßenswert.

Ein Update zur EU Nachhaltigkeitsregulierung des Finanzmarktes

Diesen Sommer geht es bisher Schlag auf Schlag und es gibt zahlreiche Updates zur EU Nachhaltigkeitsregulierung des Finanzmarktes. In diesem Beitrag wollen wir einen Überblick geben, was im Juni und Juli 2023 so alles passiert ist und welche Gesetzesvorhaben noch anstehen.

  • EU Sustainable Finance Package

Im Rahmen des EU Sustainable Finance Package hat die EU-Kommission technische Bewertungskriterien für die bislang noch nicht konkretisierten vier Umweltziele der Taxonomie-Verordnung (Wasser- und Meeresressourcen, Übergang zu einer Kreislaufwirtschaft, Umweltverschmutzung, Biodiversität und Ökosysteme) grundsätzlich genehmigt. Sie müssen nun noch dem EU Parlament und Rat zur Prüfung übermittelt werden. Voraussichtlich ab Januar 2024 sollen sie dann gelten. 

Zudem wurden Ergänzungen zu den bereits bestehenden Konkretisierungen (Klimaschutz, Anpassung an Klimawandel) vorgenommen, mit denen bisher nicht berücksichtigte Wirtschaftstätigkeiten, die zum Klimaschutz und zur Anpassung an den Klimawandel beitragen, ausgeweitet werden, insbesondere im verarbeitenden Gewerbe und im Verkehrssektor.

Ein weiterer zentraler Punkt ist der Entwurf einer Regulierung für ESG Rating Anbieter. ESG Ratings spielen eine wichtige Rolle, denn sie sind häufig Informationsquelle für z.B. Anlagestrategien und Risikomanagementaspekte. Mit der neuen Verordnung soll die Zuverlässigkeit und Transparenz von ESG-Ratings verbessert werden und ESG-Ratinganbieter, die in der EU ihre Dienstleistungen anbieten, von der ESMA zugelassen und beaufsichtigt werden.

  •  Auslegung der Taxonomie-Verordnung

Die EU-Kommission hat eine Bekanntmachung zur Auslegung bestimmter Regelungen der Taxonomie und zu ihrem Zusammenspiel mit der SFDR veröffentlicht. Interessant ist hier vor allem die Klarstellung zu der Frage, ob Taxonomie-konforme Investitionen als nachhaltige Investitionen i.S.d. SFDR gelten. Es wird klargestellt, dass nachhaltige Investitionen i.S.d. SFDR (Beitrag zu einem Umwelt-/Sozialziel, keine Beeinträchtigung der Ziele und Mindeststandard gute Unternehmensführung) Investitionen in ökologisch nachhaltige Wirtschaftätigkeiten umfasst. Denn ökologisch nachhaltig i.S.d. Taxonomie ist eine Tätigkeit per definitionem nur, wenn neben einem Beitrag zu einem Umweltziel und der fehlenden Beeinträchtigung der anderen Ziele auch Mindeststandards der guten Unternehmensführung eingehalten werden. Ökologisch nachhaltige Tätigkeiten i.S.d. Taxonomie erfüllen also die Kriterien der nachhaltigen Investition der SFDR. Dass diese beiden Begrifflichkeiten (handwerklich) noch nicht richtig synchronisiert sind, ist äußerst bedauerlich (hier soll aber vom EU-Gesetzgeber wohl noch Abhilfe geschaffen werden).

  • CSRD Reporting Standards

Veröffentlicht wurde zudem ein erster Entwurf zu Reporting Standards unter der CSRD. Zur Erinnerung: die CSRD gilt grds. auch für Unternehmen des Finanzmarktes.

  • ESMA Call for Evidence zur Abfrage von Nachhaltigkeitspräferenzen

Die ESMA hat einen Call for Evidence zur Abfrage von Nachhaltigkeitspräferenzen beim Kunden im Rahmen der MiFID II-Pflichten veröffentlicht. Durch die Sammlung von Branchenfeedback soll die Entwicklung des Marktes sowie die Umsetzung der Anforderungen an die Abfrage der Nachhaltigkeitspräferenzen beim Kunden besser verstanden werden. Input ist bis September 23 möglich.

  • BaFin Nachhaltigkeitsstrategie

Die BaFin hat ihre Nachhaltigkeitsstrategie veröffentlicht. Die Einhaltung der ESG-Regulierung ist ein Aufsichtsschwerpunkt. Verhinderung von Greenwashing ist dabei ein wesentlicher Treiber. Der Verbraucherschutz bleibt also weiter im Fokus. Durch die BaFin kontrolliert wird insbesondere die Einhaltung der SFDR und die Abfrage der Nachhaltigkeitspräferenzen beim Kunden im Rahmen des Vertriebs. Im Rahmen der Bilanzkontrolle wird die Einhaltung der CSRD überwacht. ESG-Risiken sind im Risikomanagement zu berücksichtigten. Je besser die Datenlage, insbesondere durch Inkrafttreten der CSRD, wird, desto besser können ESG-Risiken auch eingeschätzt werden. Wie stets übt die BaFin auch ihre Aufsicht im Nachhaltigkeitsbereich risikoorientiert aus.

  • Stand der Umsetzung der Nachhaltigkeitsregulierung im Fondsbereich

Wie weit die Umsetzung der Nachhaltigkeitsregulierung im Fondsbereich ist, werden die ESMA und die nationalen Aufsichtsbehörden in einer Common Supervisory Action genauer erheben. Ziel ist, die Einhaltung der Bestimmungen der SFDR und der Einbeziehung von Nachhaltigkeitsrisiken im Risikomanagement zu bewerten. Die Ergebnisse sollen dazu beitragen, einen EU-weit einheitlichen Aufsichtsstandard zu fördern, Verbesserungspotenzial der bestehenden Regulierung zu benennen und Greenwashing-Risiken konkreter zu identifizieren.

  • Update BaFin FAQ zur SFDR und Ausfüllhinweise zu SFDR Templates

Die BaFin hat ihre FAQ zur SFDR abermals aktualisiert. Neu stellt sie auch Ausfüllhinweise zu den vorvertraglichen Templates zu Art. 8 und Art. 9 SFDR zur Verfügung.

  • Und sonst?

Ausstehend ist insbesondere noch eine verbindliche Produktregulierung zu ESG- und Impact-Fonds. Details zu einem ersten Entwurf der ESMA gibt es hier zum Nachlesen. Hierzu soll wohl in Q3 2023 ein Update kommen. Da die SFDR zudem nie als Produktlabel gedacht war, wird es wohl auch noch (weitere) EU-Regelungen zum ESG-Labeling geben. Weiter auf sich warten lässt die Ergänzung der Taxonomie zu den sozialen Zielen. Der Fokus liegt aber zunächst auf der Weiterentwicklung des bestehenden Regelwerks zur ökologischen Nachhaltigkeit.

AI in Financial Services: embracing the new reality

For more than a decade, the use of innovative technologies has been dramatically reshaping the financial services sector that we know. Use of online banking apps, chat-bots and innovative payment solutions has become a new normal for consumers around the globe and some more advanced technological breakthroughs like crypto-assets are becoming ever less strange area for a great number of people as well. In the background, financial institutions have been leveraging the use of new technologies for the more efficient provision of financial services, from cloud computing, algorithmic and high frequency trading systems all the way to the distributed ledger technology (DLT).

Aiming to achieve better cost and time efficiency as well as better customer experience and investment outcome, financial institutions are competing with each other in a continuous race all looking to get the answer to the same question: what is going to be “the next big thing”?

End of last year, the wider public was for the first time able to see the capabilities of generative artificial intelligence (AI) based systems following the release of the chat-bot called „ChatGPT”. This sent the shockwaves throughout the world as well as the clear signal to big enterprises, including the financial institutions, that investment in AI shall be put (back) on the top of their agenda in the years to come.

It is no secret anymore that businesses and governments around the world are increasingly focusing on AI since according to some estimations, it is expected that AI could contribute up to $15.7 trillion to the global economy in 2030 by increasing productivity across various sectors.

In our latest publication, our experts Dr. Verena Ritter Döring (Partner, Banking & Finance Regulatory) and Miroslav Đurić (Associate, Banking & Finance Regulatory) analyse legal and regulatory aspects of the use of AI based systems in the financial services sector, by focusing on the existing challenges and upcoming regulatory developments in this space.

Kontoinformationsdienste und Finanztransfergeschäft – BaFin aktualisiert ihre Verwaltungspraxis zum ZAG

Mitte Februar hat die BaFin das Merkblatt zum ZAG und mithin ihre Verwaltungspraxis aktualisiert. Für die Praxis erfreuliche Klarstellungen hat sie insbesondere zu Kontoinformationsdiensten (Account Information Services – AIS) und dem Finanztransfergeschäft aufgenommen. Darauf wollen wir einen genaueren Blick werfen.

AIS nur mit Kundencredentials

AIS sind Online-Dienste zur Mitteilung konsolidierter Informationen über ein Zahlungskonto des AIS-Nutzers, das er bei seiner Bank führt. Allgemein bekannt sind z.B. Apps, mit denen man als Kontoinhaberin z.B. monatliche Ausgaben in verschiedene Kategorien, z.B. Versicherungen, Lebensmittel etc., einteilen und graphisch aufbereitet darstellen lassen kann.

Sehr zu begrüßen ist, dass die BaFin nun ausdrücklich klarstellt, dass AIS nur erbracht werden, wenn der Zahlungsdienstleister vom Kunden dessen Kontozugangsdaten (sog. Credentials, z.B. PIN, TAN) erhält und mit diesen auf das Konto des Kunden zugreifen kann. Nicht als AIS zu qualifizieren sind daher Dienste, bei denen dem Kunden zwar (weiterverarbeitete) Kontoinformationen zur Verfügung gestellt werden, der Kontozugriff aber nicht mittels der Kundencredentials erfolgt. Keine AIS sind daher Dienstleistungen, bei denen der Kontozugriff des Dienstleisters aufgrund einer Vollmacht erfolgt, auf deren Grundlage er vom kontoführenden Institut des Kunden eigene Credentials für den Kontozugriff erhält. In diesen Fällen kann der Kontoinhaber sein Schutzbedürfnis hinsichtlich eines nicht ausufernden Zugriffs auf sein Konto bereits mit der von ihm erteilten Vollmacht regeln und braucht nicht den Schutz einer ZAG-Regulierung.

Für den klassischen AIS, der sich an eine Vielzahl von Kunden richtet und häufig via App zur Verfügung gestellt wird, wird die Vollmachtslösung aber weiterhin keine Option sein. Der Anwendungsbereich des erlaubnispflichtigen AIS wird durch die Klarstellung der BaFin daher nicht kleiner werden. Der Grund ist schlicht, dass für klassische AIS via App individuelle Kontovollmachten von einer Vielzahl von Nutzern schlicht nicht praktikabel sind. Zudem ist äußert fraglich, ob der klassische AIS-App Nutzer dem Dienstleister eigene Zugangscredentials auf sein Konto einräumen würde. Die Vollmacht wird daher weiterhin nur eine Lösung für individuellere Dienstleistungen sein, bei denen nur wenigen, ausgewählten Personen Zugriff auf das Konto gewährt werden soll.

Auch beim Finanztransfergeschäft gibt es eine Vollmachtslösung…

Beim Finanztransfergeschäft wird der Zahlungsdienstleister als Bote für Zahlungen zwischen Zahler und Zahlungsempfänger tätig; die Gelder fließen in der Regel über ein Treuhandkonto des Dienstleisters, der damit Zugriff auf für ihn rechtlich fremde Gelder erhält. Das Finanztransfergeschäft ist ein Zahlungsdienst, bei dem der Zahlungsdienstleister selbst kein Zahlungskonto für seinen Kunden führt.

Erlaubnispflichtiges Finanztransfergeschäft wird auch dann schon erbracht, wenn der Zahlungsdienstleister an ein Konto des Kunden (nur) anknüpft, das dieser bei seiner Bank führt, etwa, indem er sich eine entsprechende Vollmacht einräumen lässt. Durch die Nutzung der Vollmacht erhält der Zahlungsdienstleister eigenständige Befugnisse für Geldtransfers und damit Zugriff auf fremde Gelder, was ein ureigenes Merkmal des Finanztransfergeschäfts ist.

Ist die Vollmacht aber eng genug ausgestaltet und werden damit die Zugriffsrechte des Zahlungsdienstleisters eingeschränkt, besteht, ähnlich wie im Rahmen der AIS, kein aufsichtsrechtliches Schutzbedürfnis. Die BaFin geht von einer ausreichend engen Vollmacht aus, wenn sie bedingungslos und jederzeit widerruflich ist, die Verfügungsmacht des Kontoinhabers über sein Konto unbeschränkt bleibt, konkret die vom Dienstleister zu erbringengen, zahlungsbezogenen Dienstleistungen benennt und offenkundig kein geldwäscherechtliches Risiko besteht.

Die Verwaltungspraxis der BaFin sollte aber nicht dahingehend missverstanden werden, dass bei einer Vollmachtslösung nie erlaubnispflichtiges Finanztransfergeschäft erbracht werden kann. Umgehungen des erlaubnispflichtigen Finanztransfergeschäfts über die Vollmachtslösung beugt die BaFin vor, indem sie weiterhin prüft, ob wirtschaftlich ein Bezahlverfahren etabliert wird. Ist das der Fall, wird, trotz Vollmachtslösung, Finanztransfergeschäft erbracht; es besteht weiterhin ein Aufsichtsbedürfnis.

… und eine Klarstellung zum Umfang der Inkasso-Ausnahme

Schließlich ist es sehr zu begrüßen, dass die BaFin wieder ausführlicher ihr Verständnis der sog. Inkasso-Ausnahme in ihr Merkblatt aufnimmt. Die Inkassotätigkeit ist im Rechtsdienstleistungsgesetz (RDG) definiert als die Einziehung fremder oder zum Zweck der Einziehung auf fremde Rechnung abgetretener Forderungen, wenn die Forderungseinziehung als eigenständiges Geschäft betrieben wird. Dafür ist eine Registrierung unter dem RDG erforderlich. Weil ein Forderungseinzug je nach konkreter Ausgestaltung der Tätigkeit grundsätzlich auch ein Zahlungsdienst im Sinne des ZAG darstellen kann, bestand hier schon immer das Erfordernis einer Einzelfallprüfung, ob die konkrete Tätigkeit (auch) eine ZAG-Erlaubnis erfordert.

Bereits in ihrem ZAG-Merkblatt unter der PSD1 hatte die BaFin ausgeführt, dass nur bestimmte Inkassotätigkeiten kein Finanztransfergeschäft darstellen sollen. Das galt insbesondere für die Beitreibung von Forderungen in Form von Mahn- und Vollstreckungsaktivitäten sowie der gerichtlichen Geltendmachung von Forderungen. Implizit galt damit auch schon unter der PSD1, dass nur die Beitreibung zahlungsgestörter Forderungen (nur für diese ist z.B. ein Mahn- und Vollstreckungsverfahren überhaupt notwendig) kein Finanztransfergeschäft darstellt. Im bisherigen Merkblatt zum ZAG unter der PSD2 war dann auch nur noch ein kurzer Hinweis enthalten, dass nur die Eintreibung nicht bezahlter, also zahlungsgestörter Forderungen kein Zahlungsdienst darstellt. Diese Verkürzung hat leider teilweise zu dem Missverständnis geführt, dass bei sämtlichen, wie auch immer gestalteten Tätigkeiten der Forderungseintreibung (Inkasso) kein Zahlungsdienst und insbesondere kein Finanztransfergeschäft vorliegen kann und eine ZAG-Erlaubnis von vornherein ausscheidet.

Nun stellt die BaFin wieder ausdrücklich klar, dass nur Inkassotätigkeiten bzgl. zahlungsgestörter Forderungen, also Mahn- und Vollstreckungsaktivitäten sowie die gerichtliche Geltendmachung von Forderungen, keinen Zahlungsdienst darstellen. Bei Geschäftstätigkeiten, die umfangreicher in die Forderungsabwicklung eingebunden sind, sich etwa um die Abwicklung schlicht rechtzeitig bezahlter Forderungen kümmern, ist weiterhin zu prüfen, ob im Einzelfall eine ZAG-Erlaubnis erforderlich ist.

Fazit

AIS und Finanztransfergeschäft sind Zahlungsdienste, die häufiger mal unbemerkt in Geschäftsmodellen von Dienstleistern „versteckt liegen“, die sich selbst gar nicht als Zahlungsdienstleister verstehen, deren Serviceleistung aber z.B. einen Kontozugriff oder die Abwicklung von Zahlungen beinhaltet.  Die BaFin zeigt mit ihren Aktualisierungen nun deutlich den Rahmen für erlaubnispflichtige AIS und erlaubnispflichtiges Finanztransfergeschäft auf und trägt damit zu mehr Rechtsverständnis und -klarheit bei der aufsichtsrechtlichen Einordnung von Geschäftsmodellen bei.

Die neue Inhaberkontrollverordnung – Änderungen seit 28. Dezember 2022 in Kraft

Am 27. Dezember 2022 wurde die sog. Dritte Verordnung zur Änderung der Inhaberkontrollverordnung (Verordnung über die Anzeigen nach § 2c des Kreditwesengesetzes und § 17 des Versicherungsgesetztes – kurz: Inhaberkontrollverordnung – InhKontrollV) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bundesgesetzblatt veröffentlicht (BGBl. Nr. 55). Am 28. Dezember 2022 trat die neue Verordnung in Kraft. Da das Inhaberkontrollverfahren ein Dauerthema ist, gibt es hier einen Überblick über die verschärften Anzeigepflichten.

Hintergrund: Was regelt die InhKontrollV?

Das Ziel eines Inhaberkontrollverfahrens ist es, die Aufsichtsbehörden frühzeitig über Veränderungen in der Inhaberstruktur eines Instituts zu informieren. Die zuständige Aufsichtsbehörde kann den beabsichtigten Erwerb der bedeutenden Beteiligung oder ihre Erhöhung auch untersagen.

Die InhKontrollV statuiert daher Anzeigepflichten von Personen und Unternehmen (sog. Anzeigepflichtige), die den Erwerb einer bedeutenden Beteiligung an einem Kreditinstitut, Finanzdienstleistungsinstitut, Versicherungsunternehmen, Pensionsfonds bzw. an bestimmten Versicherungs-Holdings (sog. Zielunternehmen) beabsichtigen.

Eine bedeutende Beteiligung wird in § 1 Abs. 9 des Kreditwesengesetzes (KWG) definiert, der wiederum auf Art. 4 Abs. 1 Nr. 36 der Verordnung (EU) Nr. 575/2013 (CRR-Verordnung) verweist. Danach ist unter einer bedeutenden Beteiligung „das direkte oder indirekte Halten von mindestens 10 % des Kapitals oder der Stimmrechte eines Unternehmens oder eine andere Möglichkeit der Wahrnehmung eines maßgeblichen Einflusses auf die Geschäftsführung dieses Unternehmens“ zu verstehen.

Die Anzeigepflichtigen müssen im Rahmen eines Inhaberkontrollverfahrens gegenüber der BaFin und der für das betroffene Institut zuständigen Hauptverwaltung der Deutschen Bundesbank eine Vielzahl an Erklärungen abgeben und umfangreiche Dokumente wie bspw. Lebensläufe und polizeiliche Führungszeugnisse zur Beurteilung der Zuverlässigkeit von Geschäftsleitern einreichen.

Was hat sich durch die gesetzliche Neuregelung konkret geändert?

Durch die Änderung der InhKontrollV werden zahlreiche, in den letzten Jahren erfolgte Änderungen des KWG und des Versicherungsaufsichtsgesetzes (VAG) berücksichtigt. Anpassungsbedarf bestand aufgrund von Änderungen des Risikoreduzierungsgesetzes (RiG). Zudem wurden nun auch die „Gemeinsamen Leitlinien zur aufsichtsrechtlichen Beurteilung des Erwerbs und der Erhöhung von qualifizierten Beteiligungen im Finanzsektor“ der Europäischen Aufsichtsbehörden für Banken, Versicherer und den Wertpapierhandel (EBA, EIOPA und ESMA) in der Neufassung der InhKontrollV einbezogen. Darüber hinaus wurden auch redaktionelle Anpassungen vorgenommen.

Insgesamt ergeben sich für Anzeigepflichtige durch die Neufassung sowohl Verschärfungen als auch einige Erleichterungen bei der Einreichung von Unterlagen im Rahmen eines Inhaberkontrollverfahrens.

Verschärfungen durch die neue InhKontrollV

So müssen etwa zukünftig ausführlichere Informationen zu neuen Geschäftsleitern (Angaben zu der Zeit, die Geschäftsleiter jährlich und monatlich ihrer Funktion in dem Zielunternehmen widmen) und zu Nebentätigkeiten der Geschäftsleiter (Angaben über weitere Mandate als Geschäftsleiter oder als Mitglieder von Verwaltungs- oder Aufsichtsorganen anderer Unternehmen) bei der BaFin eingereicht werden (§ 8 Nr. 8 und Nr. 9 InhKontrollV).

Auch unterliegen fortan bestimmte Anzeigepflichtige (juristische Personen mit Sitz in einem Drittstaat, Staatsfonds, Private Equity Fonds und Hedgefonds) durch den neu eingefügten § 8a InhKontrollV verschärften Anzeigepflichten.

Hat der Anzeigepflichtige seinen Sitz in einem Drittstaat, so sind den Anzeigen zukünftig folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 1 InhKontrollV):

1. eine von öffentlichen Stellen des Drittstaats ausgegebene Unbedenklichkeitsbescheinigung oder, sofern der Drittstaat keine Unbedenklichkeitsbescheinigungen ausstellt, eine gleichwertige Bescheinigung, die von der Finanzaufsichtsbehörde des Drittstaats in Bezug auf den Anzeigepflichtigen ausgestellt wurde,

2. wenn verfügbar, eine Erklärung der Finanzaufsichtsbehörde des Drittstaats, dass keine Hindernisse oder Beschränkungen hinsichtlich der Bereitstellung der für die Beaufsichtigung des Zielunternehmens erforderlichen Informationen vorliegen, und

3. eine Zusammenfassung der für den Anzeigepflichtigen geltenden aufsichtsrechtlichen Vorschriften des Drittstaats.

Ist der Anzeigepflichtige ein Staatsfonds, so sind den Anzeigen folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 2 InhKontrollV):

1. Angaben mit der genauen Bezeichnung des Ministeriums oder der Regierungsabteilung, das bzw. die für die Festlegung der Anlagepolitik des Fonds zuständig ist,

2. Einzelheiten zur Anlagepolitik und zu sämtlichen Anlagebeschränkungen,

3. der Name und die Funktionsbezeichnung der Personen, die die Anlageentscheidungen für den Fonds treffen, und

4. Einzelheiten zu dem Einfluss, den das Ministerium oder die Regierungsabteilung nach Nr. 1 auf das Tagesgeschäft des Fonds und das Zielunternehmen ausübt.

Ist der Anzeigepflichtige ein Private-Equity-Fonds oder ein Hedgefonds, so sind den Anzeigen folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 3 InhKontrollV):

1. eine detaillierte Beschreibung der Wertentwicklung bedeutender Beteiligungen an Kreditinstituten, Finanzdienstleistungsinstituten, Versicherungsunternehmen oder Pensionsfonds, die der Anzeigepflichtige früher erworben hat,

2. Einzelheiten zur Anlagepolitik und zu sämtlichen Anlagebeschränkungen einschließlich Einzelheiten zur Überwachung der Investitionen,

3. Faktoren, die ihm als Grundlage für die Anlageentscheidung in Bezug auf das Zielunternehmen dienen, und Faktoren, die zur Änderung seiner Erfolgsstrategie führen würden,

4. seine Entscheidungsstrukturen einschließlich der Namen und Funktionsbezeichnungen der Personen, die die Anlageentscheidungen treffen, und

5. eine detaillierte Beschreibung seiner Verfahren zur Bekämpfung von Geldwäsche einschließlich des hierfür geltenden rechtlichen Rahmens.

Darüber hinaus unterliegen Anzeigepflichtige, durch den ebenfalls neu gefassten § 9 InhKontrollV, erweiterten Angaben zur Zuverlässigkeit.

Neu aufgenommen wurden auch Regelungen zu Auswirkungen der Gruppenstruktur auf die Aufsicht vgl. (§ 11a InhKontrollV). Hierdurch ist einer Anzeige zukünftig eine Analyse des Umfangs der Beaufsichtigung auf konsolidierter Basis beizufügen. Dabei sind auch Angaben dazu zu machen, welche Unternehmen der Gruppe nach dem Erwerb oder der Erhöhung unter den Anwendungsbereich der Beaufsichtigung auf konsolidierter Basis fallen würden oder fallen und auf welchen Ebenen innerhalb der Gruppe diese Beaufsichtigung auf konsolidierter oder auf unterkonsolidierter Basis erfolgen würde oder erfolgt.

Erleichterungen durch die neue InhKontrollV

Neben den oben dargestellten Verschärfungen, ergeben sich aufgrund der Gesetzesänderung für Anzeigepflichtige auch Erleichterungen, wie etwa aus § 16 InhKontrollV. Ein Anzeigepflichtiger muss nach neuer Rechtslage Unterlagen und Erklärungen nicht erneut einreichen, die er innerhalb der letzten zwei Jahre vor der aktuellen Anzeige mit einer Anzeige eingereicht hat, es sei denn, die in den Unterlagen und Erklärungen enthaltenen Angaben treffen nicht mehr zu (§ 16 Abs. 1 InhKontrollV). Diese Frist lag bislang bei nur einem Jahr.

Eine weitere Neuerung ergibt sich bei der Anzeige von Anzeigepflichtigen, die konzernangehörig sind. Diese müssen ihrer Anzeige in Zukunft keinen Geschäftsplan mehr beifügen, wenn sie am Zielunternehmen nur indirekt beteiligt sind und nicht an der Konzernspitze stehen. Sofern es sich in bei dem Zielunternehmen in diesem Fall um ein Finanzdienstleistungsinstitut handelt, welches ausschließlich Factoring und Finanzierungsleasing (§ 1 Abs. 1a S. 2 Nr. 9 und Nr. 10 KWG) erbringt, sieht § 16 Abs. 12 InhKontrollV sogar einen kompletten Verzicht auch auf sonstige Erklärungen und Unterlagen vor.

Zusammenfassung und Ausblick

Die geänderte InhKontrollV dehnt den Umfang der von den Anzeigepflichtigen einzureichenden Unterlagen und Erklärungen insgesamt aus, beinhaltet aber gleichzeitig teilweise Erleichterungen für Anzeigepflichtige. Besonders positiv zu bewerten ist etwa die verlängerte Möglichkeit auf bereits bei der Aufsicht eigereichte Unterlagen zu verweisen. Insbesondere für Anzeigepflichtige aus Drittstaaten, Staatsfonds sowie Private-Equity- und Hedgefonds bringt die Neuregelung jedoch auch zusätzliche Vorgaben. Es bleibt alles in allem jedoch weiterhin mühsam.

Regulation of Buy-Now-Pay-Later in the EU: new regime on the horizon

1. Introduction

In recent years, boosted by the changing consumer habits in the wake of the COVID-19 pandemic, the e-commerce sector has experienced an exponential growth. This new environment has created particular fertile breeding ground for the rapid emergence of a new consumer financing model that is getting ever more popular, the so-called Buy-Now-Pay-Later (BNPL). Introduced first by financial technology firms (FinTechs), BNPL has rapidly become one of the most frequently used payment options in the e-commerce ecosystem promising the convenience and flexibility for consumers around the world.

In a nutshell, BNPL is a point of sale loan provided by the BNPL provider that enables consumers to purchase goods (usually online) with a simultaneous postponement of the payment date – for instance within 30 days as of the date of purchase. In a typical BNPL structure, once the consumer creates the purchase order and chooses BNPL as a payment option, at the point of sale the BNPL provider pays to the merchant for the product instead of the consumer. By doing so, the BNPL provider basically grants a credit to the consumer which is usually interest free conditional upon the consumer repaying the borrowed amount within the agreed period. Many consumers around the world, have started to use BNPL as a payment option of preference during the COVID-19 pandemic given that this gave them a chance to pay for the goods purchased online, after they receive and inspect them or eventually not pay at all should they decide to return the purchased goods to the merchant.

And while the e-commerce market was fast in adopting this new consumer financing model, the laws and regulations regulating the credit agreements, did not adapt at the same pace to this new environment leaving a space for license free operation of BNPL providers in many EU Member States.

2. Current situation in the EU

When it comes to regulation of BNPL providers, the current state of the EU financial regulatory framework is far from harmonized. The existing regime based on the Consumer Credit Directive, generally does not apply to the most common credit structures that BNPL providers are using. This is particularly the case with credit agreements involving a total amount of credit less than EUR 200 as well as credit agreements where the credit is granted free of interest and which has to be repaid within three months.

Further, national regulations of individual EU Member States also provide for specific exceptions to the application of consumer credit regulations to BNPL providers, in particular when it comes to provision of interest-free loans, small value loans as well as short-term loans.

However, even under existing framework, BNPL providers are not able to operate in every EU Member State without a license. Namely in Germany, where strict rules around the granting and taking of loans of any kind (including interest free loans) apply, BNPL providers are not able to provide their products to customers without triggering application of existing regulations. Namely, with the aim of avoiding application of strict regulatory requirements applicable to provision of credit (Kreditgeschäft), BNPL providers operating in Germany are frequently relying on a less onerous framework that applies to factoring firms under German law. In this structure, the BNPL provider basically acquires the merchant’s payment claim against the customer, pays the online merchant immediately, and allows the consumer to pay the amount owned later or in installments. Where an ongoing cooperation between the merchant and the BNPL provider exist in this structure, this generally constitutes factoring within the meaning of the German Banking Act (KreditwesengesetzKWG”), an activity for which special license issued by the German Federal Financial Supervisory Authority (Bundesanstalt für FinanzdienstleistungsaufsichtBaFin”) is needed.

As the awareness of the risks that BNPL structures may pose to consumers started to rise, some EU Member States have started to amend their national legislation with the aim of bringing BNPL providers under the scope of application of financial regulation. For Instance, in Ireland, BNPL providers were up until recently exempt from the supervision and regulation by the Central Bank of Ireland given that the interest-free deferred payment structures were falling outside the definition of “credit” set out in the Central Bank Act 1997. However, on 16 May 2022, the Consumer Protection (Regulation of Retail Credit and Credit Servicing Firms) Act 2022 was commenced that aims to bring the BNPL providers under the scope of Irish financial regulation. The Act expands the definition of “credit” in the Central Bank Act 1997 by including within the definition “deferred payments” and “other similar financial accommodation” alongside cash loans. The provision of indirect credit is also within scope for the new Act for the first time which (among other) refers to the provision of credit by BNPL providers.

3. Revision of the Consumer Credit Directive

As part of its New Consumer Agenda launched in November 2020, on 30 June 2021 the European Commission adopted a legislative proposal that shall revise the existing Consumer Credit Directive. As a rationale for the proposed change of the existing regime, the Commission has pointed out that certain credit agreements that currently fall outside the scope of the existing Consumer Credit Directive, like short-term high cost loans whose amount is typically lower than the minimum threshold of EUR 200, can be detrimental for consumers, and as such shall be brought under the scope of existing rules applicable to credit providers. In the Commission’s view, other potentially detrimental products for consumers can also be interest free loans, that in the case of missed payment, can entail high fees or interest for consumers and as such, shall be equally regulated under the existing regime applicable to credit providers.

Against this backdrop, the Commission has concluded that these types of credit arrangements that BNPL providers are using, should be covered by the revised Directive, to ensure increased transparency and better consumer protection, resulting in higher consumer confidence.

Under the published proposal, the Commission is proposing significant expansion of the scope of application of the existing regime to:

  • credit agreements under EUR 200 and up to EUR 100 000;
  • leasing agreements that have an option to purchase goods or services (e.g. certain motor finance products);
  • credit agreements where the credit is granted free of interest and without any other charges; and
  • credit agreements under the terms of which the credit has to be repaid within three months and only insignificant charges are payable, capturing buy-now pay-later (BNPL) products.

Under the new rules, the lenders will also be required to ensure sure that consumers have easy access to all necessary information and that they are informed about the total cost of the credit, especially in digital and smart device friendly format that enables consumers to read all information contained in an advertisement or pre-contractual documentation. Further, the use of pre-ticked boxes in consumer agreements as well as certain tying practices will be completely prohibited.

On 2 December 2022, the Council and the Parliament announced that they had reached provisional political agreement on the revised text of the proposal. However, at the time of writing of this publication the revised text is still not published.

4. Outlook

With the proposed revision of the Consumer Credit Directive, which shall include introduction of the light-touch framework of BNPL providers, the EU Commission aims to achieve more harmonization in regulation of credit providers operating in the EU that shall enable all consumers in the EU to enjoy a high and equivalent level of protection of their interests within the well-functioning EU Single Market for financial services.

Despite being the first major jurisdiction that is openly looking to regulate BNPL sector, the EU does not appear to be alone in this race. For instance, in the UK, where BNPL models generally fall outside of Financial Conduct Authority (FCA) regulations, the Government is looking to amend the Consumer Credit Act 1974, with the aim of requiring BNPL providers to obtain FCA authorization and comply with the number of regulatory requirements when offering BNPL products to the UK customers.

And despite the increasing regulatory scrutiny, more companies are looking to include BNPL products as part of their service with the aim of joining FinTech firms in the battle for customers interested in BNPL as a payment option. In June 2022, Apple has announced that it will soon be launching a new payment option ‚Apple Buy Later‘, as part of their IOS 16, which shall allow their users to spread the cost of a purchase into four payments over six weeks. This type of initiatives together with the proposed regulatory framework that shall apply to all BNPL providers across the EU, may encourage more traditional banks to try entering into the space and to start testing this type of consumer credit product on their huge customer bases in the coming period.

Nonetheless, it is yet to be seen once the revised Consumer Credit Directive becomes operational, what practical impact will the new rules have on existing BNPL providers as well as new firms that are entering into the space in the coming years.

DORA – ein inhaltlicher Überblick

Nachdem wir uns im ersten Teil der Beitragsreihe mit dem Anwendungsbereich von DORA beschäftigt haben, betrachten wir in diesem zweiten Teil nun die inhaltlichen Regelungen der neuen europäischen Verordnung etwas genauer. Dieser Blogbeitrag beleuchtet fünf Handlungsfelder von DORA, die entsprechenden Anpassungsaufwand auf Seiten der betroffenen Finanzunternehmen nach sich ziehen werden.

Am 27. Dezember 2022 wurde die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) im Amtsblatt der Europäischen Union veröffentlicht. DORA tritt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union – und damit am 16. Januar 2023 – in Kraft und muss von den betroffenen Unternehmen nach einer Umsetzungsfrist von 24 Monaten nach der Veröffentlichung, folglich ab dem 17. Januar 2025 angewendet werden (Art. 64 DORA). Die Anforderungen der DORA sind damit in allen EU-Mitgliedstaaten einheitlich. Hieran anknüpfend werden die Europäischen Aufsichtsbehörden (ESAs), die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Konkretisierung des Rechtsakts technische Standards (sog. Regulatory Technical Standards – RTS) ausarbeiten, die von den jeweiligen Unternehmen erfüllt werden müssen.

Betroffenen Unternehmen ist zu raten, den persönlichen Anwendungsbereich von DORA zu prüfen und sich mit den gesetzlichen Verpflichtungen bereits frühzeitig vertraut zu machen. DORA enthält fünf Themenbereiche, die im Folgenden zusammenfassend dargestellt und eingeordnet werden.

1. IKT-Risikomanagement

Wenig überraschend muss das Risikomanagement von regulierten Finanzmarktteilnehmern auch nach DORA künftig das IKT-Risiko umfassen. Das ist nach der MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT, ZAIT und VAIT keine neue Vorgabe. Allerdings sind die Vorgaben in DORA konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin.

Kapitel II von DORA enthält Vorschriften zum IKT-Risikomanagement von Finanzunternehmen. Ein Einsatz von IKT muss durch das Finanzunternehmen in die Unternehmensstrategie integriert werden. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich bei der Geschäftsleitung des jeweiligen Finanzunternehmens. Zudem werden mit DORA Verpflichtungen eingeführt, die sicherstellen sollen, dass IKT-Systeme kontinuierlich überwacht und kontrolliert werden, sowie durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden. Um Ausfallzeiten von IKT-Systemen zu minimieren, müssen betroffene Unternehmen auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten. Sämtliche interne Risikodokumente müssen verschriftlicht sein, um entsprechend intern und extern überprüfbar zu sein.

2. Berichterstattung / Meldepflichten

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. Nach Kapitel III von DORA werden Finanzunternehmen künftig verpflichtet sein, einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen zu implementieren. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat (vgl. Art. 3 Nr. 8 DORA).

Finanzunternehmen müssen nach Art. 17 DORA Frühwarnindikatoren einrichten, um Cyberangriffe zu erkennen und zu bewältigen. Weiterhin schafft DORA einheitliche und standardisierte Vorgaben zum Vorgehen bei IT-Sicherheitsvorfällen. So beschreibt beispielsweise Art. 18 DORA ein Verfahren zur Klassifizierung, basierend auf Faktoren wie Dauer und Schwere des IKT-bezogenen Vorfalls auf die IKT-Systeme des Finanzunternehmens.

Schwerwiegende IKT-bezogene Vorfälle (vgl. Art. 3 Nr. 10 DORA) müssen durch das jeweilige Finanzunternehmen gemäß Art. 19 DORA der zuständigen Aufsichtsbehörde (vgl. Art. 46 DORA) gemeldet werden.

Bereits unter der derzeit geltenden Rechtslage bestehen Berichts- und Meldepflichten etwa durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister oder die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Die DORA-Verordnung baut dabei auf der NIS-Richtlinie auf und beseitigt mögliche Überschneidungen durch eine Ausnahme mittels des lex specialis Prinzips, sodass die Regelungen der DORA grundsätzlich Vorrang genießen sollten.

3. Prüfung der digitalen Betriebsstabilität durch Test-Verfahren

DORA schreibt weiterhin auch umfassende Verfahren zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests vor (Kapitel IV DORA). Dabei sind diese Prüfungen anhand des bereits erwähnen risikobasierten Ansatzes unter Berücksichtigung der Größe und Geschäfts- und Risikoprofile der jeweiligen Finanzunternehmen durchzuführen. Die DORA-Verordnung listet in Art. 25 Abs. 1 Beispiele geeigneter Tests auf, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von OpenSource-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.

Finanzunternehmen müssen mindestens einmal jährlich alle kritischen IKT-Systeme und IKT-Anwendungen prüfen. Diese Prüfungen können dabei sowohl durch externe als auch durch interne Prüfer durchgeführt werden (vgl. Art. 24 Abs. 4, 6 DORA).

Systemrelevante Institute hingegen werden höheren Anforderungen mit Blick auf die Prüfung ihrer IKT-Systeme unterworfen. DORA sieht für diese Institute erweiterte Prüfungen durch die Durchführung sog. bedrohungsorientierter Penetrationstests vor, wobei diese Tests in regelmäßigen Abständen mindestens alle drei Jahre durchzuführen sind.

4. IKT-Risiken Dritter / Outsourcing

Da Institute ihre IT häufig an große Technologieanbieter auslagern oder solche Anbieter für einzelne Dienstleistungen verwenden, werden Finanzinstitute deshalb im Rahmen ihres Risikomanagements verpflichtet, auch IKT-Drittparteienrisiken zu betrachten (Kapitel V DORA). So legt etwa Art. 30 DORA wesentliche Vertragsbestimmungen für Auslagerungsverträge fest. Derartige Verträge müssen z.B. eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, fortlaufende Überwachungsrechte des Finanzunternehmens oder auch Kündigungsrechte und Ausstiegsstrategien enthalten. Diese Vorgaben knüpfen nahtlos an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer an.

5. Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsregimes für kritische Technologieanbieter, die im Finanzsektor genutzt werden. Das ist auf europäischer Ebene neu, in Deutschland wurde eine entsprechende Kompetenz der BaFin bereits durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 25b Abs. 4a KWG eingeführt. Allerdings gehen die Befugnisse der BaFin beim Durchgriff auf das IT-Auslagerungsunternehmen nicht so weit, wie es DORA vorsieht. Nach § 25b KWG kann die BaFin im Einzelfall geeignete Anordnungen gegenüber IT-Auslagerungsunternehmen erlassen. Die aufsichtlichen Befugnisse bei der Überwachung der IKT-Drittanbieter nach Art. 35 DORA sind wesentlich detaillierter und weitgehender. Sie umfassen beispielsweise die Anforderung von Informationen und Unterlagen, Vor-Ort-Prüfungen oder auch die Verhängung von Zwangsgeldern, um den jeweiligen kritischen IKT-Drittanbieter zur Einhaltung der gesetzlichen Regelungen zu zwingen. Die neuen Befugnisse ermöglichen der BaFin eine umfassende Aufsicht der kritischen IKT-Drittanbieter.

Die Einstufung eines Technologieanbieters als kritischer IKT-Drittdienstleister und dessen Überwachung obliegt den ESAs. Dabei basiert die Ernennung auf festgelegten Kriterien, wie etwa:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen

Zusammenfassung und Ausblick

Durch den umfassenden Anwendungsbereich von DORA werden Unternehmen aus zahlreichen Bereichen des Finanzsektors erfasst. Mit DORA wird ein Rechtsrahmen entstehen, der bestehende regulatorische Anforderungen an die IT-Sicherheit für die gesamte Finanzbranche zusammenfasst und einen europäisch einheitlichen Aufsichtsrahmen schafft.

Erstmals sind nun auch kritische IKT-Dienstleister, die als Auslagerungsunternehmen für regulierte Finanzmarktteilnehmer agieren, von der Regulierung umfasst.

 

Neue FAQ zur Taxonomie-Verordnung

Ende 2022 hat die EU-Kommission den Entwurf eines FAQ-Dokuments zu den technischen Bewertungskriterien der Taxonomie-Verordnung veröffentlicht. Wir werfen einen genaueren Blick darauf und schauen uns an, warum die Einordnung einer Tätigkeit als nachhaltig unter der Taxonomie-Verordnung für Immobilienunternehmen, Finanzmarktteilnehmer und Anleger gleichermaßen wichtig ist.

Dogmatik zum Einstieg: Die FAQ als Level 3 Maßnahme

Die Taxonomie-Verordnung regelt EU-weit einheitlich, unter welchen Voraussetzungen eine Wirtschaftstätigkeit als ökologisch nachhaltig gilt. Dazu muss die Wirtschaftstätigkeit einen Beitrag zu einem Umweltziel (Klimaschutz, Anpassung an den Klimawandel, Schutz von Meeresressourcen, Übergang zur Kreislaufwirtschaft, Vermeidung von Umweltverschmutzung, Schutz der Biodiversität) leisten und darf keines dieser Ziele erheblich beeinträchtigen. EU-Verordnungen wie die Taxonomie-Verordnung werden als „oberster gesetzgeberischer Rahmen“ als Level 1 Maßnahme bezeichnet.

Zwei der genannten Umweltziele werden mithilfe von technischen Bewertungskriterien in Form einer Delegierten Verordnung (2021/2139) konkretisiert (die Konkretisierung der übrigen vier Ziele wird vom EU-Gesetzgeber noch ausgearbeitet). Delegierte Verordnungen werden, da sie Level 1 Maßnahme konkretisieren, häufig als Level 2 Maßnahmen bezeichnet. Für die Immobilienwirtschaft unterscheidet die Delegierte Verordnung insbesondere zwischen technischen Bewertungskriterien für (i) den Neubau, (ii) die Renovierung bestehender Gebäude und (iii) den Erwerb bzw. Eigentum an Gebäuden. Mit anderen Worten: Sie regelt, welche Bedingungen bei einem Neubau, bei einer Renovierung oder beim Erwerb eines Gebäudes erfüllt sein müssen, damit diese Tätigkeit als nachhaltig qualifiziert. Die Renovierung eines Gebäudes stellt z.B. eine nachhaltige Tätigkeit dar, wenn sie u.a. den Primärenergiebedarf des Gebäudes um 30% verringert.

Der nun von der EU-Kommission veröffentlichte FAQ-Entwurf greift in der Praxis gestellte Fragen zu den technischen Bewertungskriterien auf und beantwortet diese. Diese Guidance wird als Level 3 Maßnahme bezeichnet. Diese hat keinen Gesetzescharakter, ist aber in der Praxis wichtig, da hier häufig erst Detailfragen zur Auslegung und zum Verständnis des eigentlichen Gesetzestextes (Level 1) geklärt werden können.

Top 5 FAQ

Welche Konkretisierungen zu den technischen Bewertungskriterien für die Wirtschaftstätigkeit der Immobilienbranche halten die FAQ bereit? Nachfolgend unsere Top 5:

Allgemein

  • Zum Nachweis der Einhaltung der technischen Bewertungskriterien werden Bewertungssysteme wie das Deutsche Gütesiegel Nachhaltiges Bauen (DGNB) von der Delegierten Verordnung zwar nicht erwähnt; sie können aber verwendet werden, soweit sie dazu geeignet sind.

Neubau

  • Die technischen Bewertungskriterien besagen, dass der Bau eines Gebäudes die Umweltziele nicht beeinträchtigt, wenn es u.a. nicht der Gewinnung, der Lagerung, Transport oder Herstellung von fossilen Brennstoffen dient. Das schließt aber nicht aus, dass ein Neubau, in dem geringe Mengen an Brennstoffen gelagert oder transportiert werden müssen, z. B. um das Funktionieren der Energieerzeugungsanlagen zu gewährleisten, Taxonomie-konform sein kann, wenn dieser einem anderen Zweck dient, z.B. Wohngebäude ist.

Renovierung

  • Renovierungen sind Taxonomie-konform, wenn u.a. der Wasserverbrauch für Sanitäranlagen, die im Rahmen der Renovierung installiert werden, bestimmte Verbrauchsmengen nicht überschreiten. Der Nachweis der Einhaltung der Verbrauchsgrenzen kann z.B. durch Produktblätter oder einer Gebäudezertifizierung erfolgen.

Erwerb

  • Für die Frage, wann das Eigentum an einem Gebäude als nachhaltig eingestuft werden kann, kommt es u.a. auf das Datum des Baus an. Maßgeblich ist hier das Datum der Baugenehmigung, nicht etwa das Datum der Fertigstellung oder Übergabe an den Bauherren.
  • Gebäude, die vor 2020 gebaut wurden, sind nachhaltig, wenn sie z.B. zu den oberen 15% des Gebäudebestandes bzgl. des Energiebedarfs gehören. Hierbei handelt es sich um eine dynamische Größe, für die es keinen Bestandsschutz gibt. Ändern sich die Kriterien oder wird den Kriterien nicht mehr entsprochen, muss neu bewertet werden, ob die Kriterien eingehalten werden und ggf. Maßnahmen ergriffen werden, um deren weitere Einhaltung sicherzustellen.

Warum sind die Konkretisierungen für die Immobilien-, die Finanzwirtschaft und Anleger gleichermaßen wichtig?

Für Unternehmen der Immobilienwirtschaft ist eine rechtssichere Anwendung der technischen Bewertungskriterien der Taxonomie-Verordnung wichtig, um korrekte Angaben darüber machen zu können, ob ihre Tätigkeit, sprich ein Immobilienvorhaben, nachhaltig im Sinne der Taxonomie ist.

Diese Information der Immobilienunternehmen sind wiederum für Finanzmarktteilnehmer wichtig, die über Finanzprodukte Investitionen in Immobilien anbieten, zum Beispiel in Form eines Immobilienfonds.  Zum einen unterliegen sie selbst nachhaltigkeitsbezogenen Transparenzpflichten bzgl. ihrer Finanzprodukte. Diese unterscheiden sich u.a. danach, ob einem Immobilienfonds nachhaltige Immobilien im Sinne der Taxonomie zugrunde liegen, oder nicht. Finanzmarktteilnehmer haben also schon aus eigenen Compliance-Gründen ein Interesse an diesen Informationen. Zum anderen sind diese Informationen vor allem aber für den potentiellen Investor eines Immobilienfonds interessant und werden diesem vom Finanzmarktteilnehmer, der den Immobilienfonds anbietet, auch mitgeteilt. Anlagen in nachhaltige Investments erfreuen sich derzeit großer Nachfrage und Beliebtheit. Die Nachhaltigkeitsinformationen zum Finanzprodukt können die Anlageentscheidung des Investors daher ganz erheblich beeinflussen und ein wichtiges Marketingtool für das Produkt sein.

Fazit

Die technischen Bewertungskriterien und die Level 3 Guidance dazu sind die maßgebliche Grundlage für die Nachhaltigkeitsinformationen, die vom Immobilienunternehmen über den Finanzmarktteilnehmer an den potentiellen Investor eines Immobilienfonds gelangen. Nur wenn die technischen Bewertungskriterien in der Praxis funktionieren, sind die Angaben korrekt und für den Investor für seine Anlageentscheidung hilfreich. Letztlich wird also durch eine saubere und rechtssichere Anwendung der technischen Bewertungskriterien Greenwashing verhindert. Das stärkt das Vertrauen der Anleger und hilft so, Kapital in nachhaltige Wirtschaftstätigkeiten zu lenken.

Die Verordnung des europäischen Parlamentes und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) – ab 16.1.2023 in Kraft

Die Digitalisierung des Finanzsektors durch den Einsatz von Informationstechnik (IT) schafft für Anbieter von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten, birgt für die Branche jedoch, angesichts der wachsenden Gefahr von Cyberangriffen, auch zahlreiche Risiken. In Zukunft wird mit dem sog. Digital Operational Resilience Act – („DORA“) ein EU-weiter Rechtsrahmen für die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor zu beachten sein.

Was ist DORA?

Um die Stabilität des Finanzmarktes auch im Falle einer schwerwiegenden Störung zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission am 24. September 2020 den DORA-Regulationsentwurf im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package) vorgelegt, der auch die Digital Finance Strategy, die Retail Payment Strategy, einen Vorschlag zur Distributed-Ledger-Technologie (DLT) sowie den Act on Markets in Crypto Assets (MiCA) enthält.

Derzeit müssen sich Unternehmen des Finanz- und Versicherungssektors bei einem Einsatz von IT oder der Einbeziehung von IT-Dienstleistungen auf nationaler Ebene an eine Vielzahl aufsichtsrechtlicher Anforderungen mit Blick auf Cybersicherheit halten. In Deutschland zeigt sich dies etwa an den Vorgaben der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT, die für jede Branche des Finanz- und Versicherungsmarktes individuelle Regelungen aufstellen. Wir fangen hier in Deutschland also nicht bei Null an, sondern bauen auf einem Standard auf, der bereits seit Jahren im Fokus der Aufsicht steht und bereits eine gewisse Resilienz bewiesen hat.

Ziel von DORA ist die Harmonisierung der nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor. Innerhalb der Europäischen Union soll so ein einheitlicher Rechtsakt über die digitale Betriebsstabilität von Finanzdienstleistungen entstehen. Bezweckt ist die Schaffung eines umfassenden Rahmens auf Ebene der Europäischen Union mit einheitlichen Vorschriften, die den Anforderungen an die digitale Betriebsstabilität von regulierten Unternehmen auf dem Finanzmarkt Rechnung tragen sowie die Schaffung eines gemeinsamen Aufsichtsrahmens für Drittanbieter von Informations- und Kommunikationstechnologien (IKT).

Wer ist von DORA betroffen?

DORA wird auf Finanzunternehmen und sog. IKT-Drittanbieter anwendbar sein. Unter einem IKT-Drittanbieter ist ein Unternehmen zu verstehen, welches digitale Dienste und Datendienste erbringt und schließt auch Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren ein.  

Welche Unternehmen unter die Sammelbezeichnung der Finanzunternehmen zu fassen sind, wird in Art. 2 Abs. 1 a) bis t) DORA aufgelistet. Demnach sind nicht nur Kreditinstitute, Zahlungsdienstleister, E-Geld-Institute und Wertpapierfirmen vom Anwendungsbereich von DORA umfasst, sondern beispielsweise auch Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Dienstleister, Ratingagenturen und Anbieter von Krypto-Dienstleistungen.

Der insgesamt sehr weite Anwendungsbereich von DORA soll nach dem Willen des europäischen Gesetzgebers für eine möglichst einheitliche Anwendung der gesetzlichen Verpflichtungen im Hinblick auf IKT-Risiken sorgen und letztlich gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen schaffen.

Was sind die zentralen Verpflichtungen unter DORA?

Die neue Verordnung berücksichtigt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Aus diesem Grund verfolgt DORA einen risikobasierten Regulierungsansatz unter Beachtung der Verhältnismäßigkeit (sog. Proportionalitätsprinzip). Dies dient dazu, den weiten Anwendungsbereich von DORA zu korrigieren und sorgt dafür, dass je nach Größe des Unternehmens unterschiedliche Anforderungen gelten. Dadurch fallen auch Kleinstunternehmen nahezu gänzlich aus dem Anwendungsbereich von DORA heraus. DORA wurde zudem technologieneutral ausgestaltet, wodurch auch künftige technologische Entwicklungen auf dem Finanzmarkt erfasst werden sollen.

DORA sieht dabei eine Reihe von Handlungsfeldern vor, die entsprechenden Anpassungsaufwand auf Seiten der Finanzunternehmen nach sich ziehen. Diese sollen in einem Teil 2 zu diesem Beitrag näher beleuchtet werden.

Update Nachhaltigkeitsregulierung – Was gibt es Neues?

In der Nachhaltigkeitsregulierung steckt derzeit selbst für das die Schnelllebigkeit gewohnte Finanzaufsichtsrecht viel Dynamik. In der Vergangenheit hatten wir bspw. schon über das Lieferkettensorgfaltspflichtengesetz, die Richtlinie der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) für nachhaltige Investmentvermögen und die technischen Regulierungsstandards zur EU-Transparenzverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) berichtet. Doch was hat sich in der Zwischenzeit getan? Nachfolgend gibt es ein Update über ausgewählte aktuelle Entwicklungen der Nachhaltigkeitsregulierung.

1. Finale RTS zur SFDR

Die durch mehrere „Entwurfsrunden“ gegangenen technischen Regulierungsstandards (Regulatory Technical Standards – „RTS“) liegen mittlerweile als Delegierte Verordnung (EU) 2022/1288 in finaler Fassung vor (abrufbar hier). Die RTS zur SFDR konkretisieren insbesondere die Anforderungen an die Transparenzpflichten in vorvertraglichen Informationen, auf der Internetseite und in Jahresberichten. Die dazu in der Delegierte Verordnung (EU) 2022/1288 enthaltenen Vorlagen gelten ab dem 1. Januar 2023.

2. ESMA Sustainable Finance Timeline

Wer sich einen aktuellen Überblick über den zeitlichen Fahrplan der Nachhaltigkeitsregulierung verschaffen möchte, ist bei der Sustainable Finance Timeline der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) vom 26. September 2022 gut aufgehoben.

3. BaFin Q&A zur SFDR

Zudem hat die BaFin am 5. September Q&A zur SFDR veröffentlicht. Ausgewählte Fragen und Antworten werden nachfolgen näher vorgestellt.

Die BaFin stellt nochmal ausdrücklich klar, dass Finanzanlagenvermittler nach § 34f GewO nicht nach der SFDR verpflichtet sind. Sie qualifizieren aufgrund der Bereichsausnahme des KWG (§ 2 Abs. 6 S. 1 Nr. 8 KWG) nicht als Finanzdienstleistungsinstitut und damit auch nicht als MiFID II-Wertpapierfirma; (nur) an diese richtet sich aber die SFDR.

Zudem wird zunehmend klarer, was genau unter „bewerben“ im Sinne des Art. 8 SFDR zu verstehen ist. Nach Art. 8 SFDR sind für Finanzprodukte, die ökologische oder soziale Merkmale bewerben, bestimmte vorvertragliche Transparenzpflichten zu erfüllen. Die BaFin legt „bewerben“ als „fördern“ aus. Das führt dazu, dass es für die Anwendbarkeit der Transparenzpflichten nach Art. 8 SFDR nicht erforderlich ist, dass für ein Finanzprodukt Werbung betreiben wird, z.B. in Form von Marketingmitteilungen. Umgekehrt wird Art. 8 SFDR nicht schon dadurch „ausgelöst“, dass lediglich angegeben wird, wie Nachhaltigkeitsrisiken bei Investitionsentscheidungen einbezogen werden (das ist vielmehr Grundinformation in vorvertraglichen Informationen für sämtliche Finanzprodukte, vgl. Art. 6 SFDR). Vielmehr muss das Finanzprodukt ökologische oder soziale Merkmale zielgerichtet fördern und dies nach außen kommunizieren. Dem Fördern können aktive oder passive Anlagestrategien zugrunde liegen. Ein zielgerichtetes Fördern von ökologischen Merkmalen könnte etwa bei einem Immobilienfonds vorliegen, der bei der Auswahl der Immobilien deren CO2-Fußabdruck berücksichtigt und dies entsprechend in der Fondsdokumentation verschriftlich ist.

4. Siebte MaRisk-Novelle

Bereits am 20.Dezember 2019 hat die BaFin ein Merkblatt zum Umgang mit Nachhaltigkeitsrisiken veröffentlicht. Darin empfiehlt die BaFin eine strategische Befassung mit Nachhaltigkeitsrisiken und eine Anpassung des Risikomanagements. Das Merkblatt enthält jedoch lediglich eine Zusammenstellung von unverbindlichen Verfahrensweisen (Good-Practice).

Mit der Konsultation zu den geplanten Änderungen der Mindestanforderungen an das Risikomanagement („MaRisk“) sollen die Leitplanken des Merkblatts nunmehr in den Regelungstext der MaRisk aufgenommen. Die Anforderungen an die Berücksichtigung von Nachhaltigkeitsrisiken im Risikomanagement werden damit zu prüfungsrelevanten Anforderungen. Im Ergebnis sollen beaufsichtigte Unternehmen auch im Umgang mit Nachhaltigkeitsrisiken einen ihrem Geschäftsmodell und Risikoprofil angemessenen Ansatz entwickeln. Dazu sind bisherige Prozesse anzupassen und neue Mess-, Steuerungs- und Risikominderungsinstrumente zu entwickeln. Auch hier gilt aber der Proportionalitätsgrundsatz, sodass bei einem schwächer ausgeprägtem Risikoprofil einfacherer Prozesse ausreichen werden.

Und sonst?

Derzeit arbeitet der europäische Gesetzgeber an der Erweiterung der Taxonomie-Verordnung zur Definition von sozialer Wirtschaftstätigkeit sowie Vorgaben zur guten Unternehmensführung; bisher deckt die Taxonomie-Verordnung nur die ökologische Nachhaltigkeit und damit nur das „E“ aus „ESG“ ab. Die EU Platform for Sustainable Finance hat dazu bereits im Februar diesen Jahres einen Final Report veröffentlicht.

Der Entwurf des BaFin-Richtlinie für nachhaltige Investmentvermögen ist hingegen erstmal wieder zurückgestellt, zu dynamisch schien das derzeitige regulatorische Umfeld für eine finale Regelung. Gleichzeitig wird die BaFin aber ihre Verwaltungspraxis an dort genannten Grundsätzen ausrichten, sodass sich der Markt faktisch an der Richtlinie orientieren wird.

Es ist also Bewegung in der Nachhaltigkeitsregulierung und längst sind noch nicht alle Fragen der Praxis geklärt. Es bleibt daher, wie immer im Aufsichtsrecht, spannend.