Das Gesetz zur Einführung von elektronischen Wertpapieren (eWpG) – Rechtsgrundlage für die Modernisierung des deutschen Finanzmarktes

Einführung

Im Bewusstsein über die schnelle Digitalisierung des Finanzsektors hat die Bundesregierung in ihrer Blockchain-Strategie bereits 2019 angekündigt, dass das deutsche Recht für elektronische Wertpapiere geöffnet werden muss. Bis vor kurzem musste jedes Wertpapier noch in einer physischen Wertpapierurkunde verbrieft werden. Dazu wurden bisher in der Regel die Wertpapieremissionen in einer physischen Wertpapierurkunde (d.h. einer Globalurkunde) verbrieft, die dann bei einem Zentralverwahren hinterlegt wurde. Angesichts der Tatsache, dass heutzutage der Wertpapierhandel vollständig elektronisch stattfindet, hatte diese physische Urkunde wohl wenig Bedeutung für Anleger, die mit Wertpapieren handeln. Dieses Relikt der Vergangenheit stellte zudem ein wesentliches Hindernis für die Digitalisierung des deutschen Finanzmarktes durch die Anwendung von innovativen Technologien wie Blockchain bzw. DLT dar.  Vor diesem Hintergrund hat der Deutsche Bundestag am 6. Mai 2021 das Gesetz zur Einführung von elektronischen Wertpapieren (eWpG) beschlossen, das die Tür für die Begebung von Wertpapieren in elektronischer Form öffnen soll.

Modernisierung des Wertpapierrechtes

Das am 10. Juni 2021 in Kraft getretene eWpG gibt die bisher geltende, zwingende urkundliche Verkörperung von Wertpapieren auf und ermöglicht die Begebung von Wertpapieren in folgenden zwei Formen:

  • dem Zentralregisterwertpapier (§ 4 Abs. 2 eWpG), das ein elektronisches Wertpapier ist, das durch die Eintragung in ein zentrales Wertpapierregister entsteht, und
  • dem Kryptowertpapier (§ 4 Abs. 3 eWpG), was ein Wertpapier ist, das durch die Eintragung in ein Kryptowertpapierregister entsteht.

Die bisher erforderliche physische Urkunde wird durch die Eintragung im Wertpapierregister oder Kryptowertpapierregister vollständig ersetzt werden. Zentralregisterwertpapiere und Kryptowertpapiere werden den urkundlich verbrieften Wertpapieren gleichgestellt werden. Die Begebung von Wertpapieren, die in einer physischen Urkunde verbrieft werden, wird aber weiterhin alternativ zur Begebung von Wertpapieren in oben erwähnten elektronischen Formen möglich bleiben.

Nach dem eWpG ist es künftig möglich, folgende Arten von Wertpapieren in einer der oben erwähnten Form zu begeben:

  • Inhaberschuldverschreibungen (klassische Anleihen, Genussscheine, Zertifikate, Pfandbriefe etc.) und
  • Anteile an Sondervermögen im Sinne des § 95 Kapitalanlagegesetzbuch (KAGB).

Somit wird das eWpG zunächst keine Möglichkeit für die Begebung von Aktien in elektronischer oder Krypto-Form ermöglichen. Wegen der vielfältigen gesellschaftsrechtlichen Aspekte, die mit der Gründung einer Aktiengesellschaft und der Ausgabe und Übertragung von Aktien verbunden sind, ist die Erweiterung des neuen Regimes auf Aktien aber für einen späteren Zeitpunkt geplant.

Zentralregister und Kryptowertpapierregister

Die Führung eines zentralen Registers für Zentralregisterwertpapiere wird eine erlaubnispflichtige Tätigkeit sein. Ein Zentralregister kann von einer Wertpapiersammelbank oder einem vom Emittenten ausdrücklich in Textform ernannten Verwahrer, der eine Erlaubnis zum Betrieben des Depotgeschäfts hat, geführt werden. Das Gesetz sieht sowohl die Möglichkeit für eine Sammel- als auch eine Einzeleintragung in Zentralregister elektronischer Wertpapieren vor.

Das eWpG definiert zudem spezifische Voraussetzungen für die Führung eines Kryptowertpapierregisters. Ein Kryptowertpapierregister muss in einem fälschungssicheren Aufzeichnungssystem geführt werden, in dem die Daten in der Zeitfolge protokolliert und gegen unbefugte Löschung sowie nachträgliche Veränderung geschützt gespeichert werden. Das eWpG präzisiert insoweit, dass ein Aufzeichnungssystem in diesem Zusammenhang ein dezentraler Zusammenschluss ist, in dem die Kontrollrechte zwischen den das jeweilige System betreibenden Einheiten nach einem im Vorhinein festgelegten Muster verteilt sind. Aus dieser Beschreibung lässt sich schließen, dass der Gesetzgeber die Anwendung von Blockchain bzw. DLT vor Augen hatte, obwohl das nicht ausdrücklich so in dem Gesetztext erwähnt wurde.

Die Führung eines Kryptowertpapierregisters wird ebenfalls eine erlaubnispflichtige Tätigkeit sein (§ 1 Abs. 1a Satz 2 Nr. 8 Kreditwesengesetz – KWG); künftige Führer von Kryptowertpapierregistern (registerführende Stellen) müssten daher zukünftig eine Erlaubnis nach § 32 KWG beantragen. Für die Führung des Kryptowertpapierregisters wird eine registerführende Stelle verantwortlich, die von dem Emittenten von Kryptowertpapieren zu benennen ist. Sollte der Emittent keine registerführende Stelle benennen, gilt der Emittent als registerführende Stelle. Da für eine Erlaubnis nach § 32 KWG umfangreiche Anforderungen erfüllt werden müssen, werden sich höchstwahrscheinlich nur wenige Emittenten für eine self-custody Lösung entscheiden, sondern sich stattdessen wohl eher auf ein spezialisiertes Unternehmen mit der Erlaubnis für die Führung des Kryptowertpapierregisters verlassen.

Die Verwahrung von Kryptowertpapieren sollte allerdings nicht verwechselt werden mit dem Kryptoverwahrgeschäft im Sinne von § 1 Abs. 1a S. 2 Nr. 6 KWG. Letzteres umfasst lediglich die Verwaltung, Verwahrung und Sicherung von Kryptowerten im Sinne des § 1 Abs. 11 Nr. 10 KWG. Nach dem eWpG wird es für die zuvor erwähnten Kryptoverwahrer hingegen auch erlaubt sein, die privaten kryptografischen Schlüssel zu sichern, die dazu dienen, Krypto-Wertpapiere für andere zu halten, zu speichern oder darüber zu verfügen. Die Verwahrung von Kryptowertpapieren wird daher, wie die Verwahrung herkömmlicher Wertpapiere auch, Depotgeschäft darstellen, dessen Erbringung von der Erlaubnis zur Erbringung des Kryptoverwahrgeschäfts gerade nicht umgefasst ist.

Ausblick

Die Änderungen, die durch eWpG nun eingeführt wurden, sorgen für eine Erfrischung des deutschen Wertpapierrechtes, das bis vor kurzem nicht für die digitale Realität des Finanzsektors geeignet war. Angesichts seines relativ engen Anwendungsbereiches scheint das dennoch nur ein erster Schritt in die richtige Richtung gewesen zu sein. Im Rahmen ihres Digital Finance Package hat die EU-Kommission schon den Entwurf einer Richtlinie veröffentlicht, die die Definition von Finanzinstrumenten nach MiFID II entsprechend erweitern wird, um die Begebung von allen Arten von Finanzinstrumenten mittels DLT oder einer ähnlichen Technologie zu ermöglichen. Dabei unterscheidet der EU-Gesetzgeber im Unterschied zum deutschen nicht zwischen Equity- und Debt- Finanzinstrumenten. Vor diesem Hintergrund wird der deutsche Gesetzgeber wohl relativ bald eine weitere Gesetzesänderung vorbereiten müssen, die dieses Mal den Schritten des europäischen Gesetzgebers ein wenig genauer folgen sollte.

Langsam wird es ernst: Die neue Mantelverordnung zum Wertpapierinstitutsgesetz

In wenigen Wochen, nämlich am 26. Juni 2021, wird das neue Wertpapierinstitutsgesetz („WpIG“) in Kraft treten. Durch das WpIG wurde ein eigenes Aufsichtsregime für Wertpapierfirmen geschaffen und sog. kleine und mittlere Wertpapierinstitute aus dem Aufsichtsregime des Kreditwesengesetzes („KWG“) herausgelöst. Letzteres wird in Zukunft nur noch für bankenähnliche, sog. große Wertpapierfirmen, gelten. Das neue WpIG haben wir bereits hier und hier ausführlich vorgestellt.

Anfang Mai diesen Jahres hat die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) ihre Konsultation zur Mantelverordnung zum WpIG veröffentlicht. Darin hat sie Entwürfe der

  • Wertpapierinstituts-Prüfungsberichtsverordnung („WpI-PrüfbV),
  • Wertpapierinstituts-Vergütungsverordnung („WpI-VergV“),
  • Wertpapierinstituts-Inhaberkontrollverordnung („WpI-IKV“) und der
  • Wertpapierinstituts-Anzeigenverordnung („WpI-AnzV“)

zur Ergänzung und Vervollständigung des neuen Aufsichtsregimes des WpIG veröffentlicht. Bis Ende Mai konnten Stellungnahmen dazu abgegeben werden. Im Folgenden stellen wir die einzelnen Verordnungen im Überblick vor.

Die Wertpapierinstituts-Prüfungsberichtsverordnung

Die WpI-PrüfbV regelt den Gegenstand und den Zeitpunkt der Prüfung des externen Wirtschaftsprüfers, denen sich die verpflichteten Wertpapierinstitute unterziehen müssen, sowie den Inhalt und die Form der vom externen Prüfer anzufertigenden Prüfungsberichte. Damit werden die §§ 77 ff WpIG konkretisiert. Die WpI-PrüfbV wird nur für kleine und mittlere Wertpapierinstitute gelten. Große Wertpapierinstitute werden weiterhin der nach dem KWG ergangenen Prüfungsverordnung (PrüfbV) unterliegen.

Die Wertpapierinstituts-Vergütungsverordnung

Die WpI-VergV wird die Artikel 30 bis 34 der Richtlinie EU 2019/2034 über die Beaufsichtigung von Wertpapierfirmen („IFD“) umsetzen. Inhaltlich orientiert sie sich an der nach dem KWG erlassenen Instituts-Vergütungsverordnung, ist aber in ihrem Umfang deutlich schlanker.

Nach § 3 der WpI-VergV trägt die Geschäftsleitung die Verantwortung für die angemessene Ausgestaltung der Vergütungssysteme. Es werden Kriterien vorgegeben, wann von einer angemessenen Ausgestaltung des Vergütungssystems auszugehen ist (§ 5 WpI-VergV). Die Vergütungsstrategie und die Vergütungssysteme des Wertpapierinstituts müssen auf die Erreichung der Ziele ausgerichtet sein, die in den Geschäfts-und Risikostrategien des Instituts niedergelegt sind (§ 4 WpI-VergV). Damit sollen Fehlanreize verhindert werden. Entsprechend der Instituts-Vergütungsverordnung sind insbesondere auch die Anforderungen an die variable Vergütung detailliert geregelt (§ 6 WpI-VergV). Die Grundsätze zum Vergütungssystem sind vom Institut schriftlich niederzulegen und zu dokumentieren (§ 9 WpI-VergV).

Zudem sieht die WpI-VergV vor, dass das Wertpapierinstitut darauf hinwirkt, dass bestehende Verträge mit den Mitarbeiterinnen und Mitarbeitern, die mit den Vorgaben der WpI-VergV nicht vereinbar sind, angepasst werden (§ 12 WpI-VergV). Schließlich werden auch die Aufgaben des Vergütungskontrollausschusses und die Offenlegungspflichten in Bezug auf die Vergütung geregelt (§§ 13, 14 WpI-VergV).

Die WpI-VergV wird nur für mittlere Wertpapierinstitute gelten. Für kleine Wertpapierinstitute sieht das WpIG eine entsprechende Befreiung vor. Große Wertpapierinstitute unterliegen weiterhin der Instituts-Vergütungsverordnung nach dem KWG.

Die Wertpapierinstituts-Inhaberkontrollverordnung

Die WpI-IKV regelt, welche Informationen und Unterlagen bei einer im Rahmen des Erlaubnisverfahrens bzw. sonstigen Inhaberkontrolle eines Wertpapierinstituts bei der BaFin einzureichen sind. Inhaltlich orientiert sie sich an der Inhaberkontrollverordnung des KWG, ist aber wesentlich schlanker, da die Inhaberkontrolle bei Wertpapierfirmen seit einiger Zeit EU-weit einheitlich (Delegierte Verordnung (EU) 2017/1946) geregelt ist; so konkretisiert die WpI-IKV zum Teil (lediglich) die Vorgaben der Delegierten Verordnung (§ 6 WpI-IKV). Die WpI-IKV gilt für kleine, mittlere und große Wertpapierinstitute.

Die Wertpapierinstituts-Anzeigenverordnung

Die WpI-AnzV orientiert sich inhaltlich an der Anzeigeverordnung nach dem KWG (AnzV). Sie konkretisiert die Anzeigepflichten nach §§ 64 ff WpIG und verweist auf entsprechend zu verwendende Formulare, die sich im Anhang der WpI-AnzV befinden. Je nach konkreter Anzeigepflicht ist danach zu unterscheiden, ob z.B. alle Wertpapierinstitute verpflichtet sind (§ 64 WpIG), nur große Wertpapierinstitute (§ 65 WpIG), nur kleine und mittlere Wertpapierinstitute (§ 66 WpIG) oder die Geschäftsleiter eines Wertpapierinstituts (§ 67 WpIG). Die WpI-AnzV gilt deshalb, je noch konkreter Anzeigepflicht, für kleine, mittlere und große Wertpapierinstitute.

Fazit Die Mantelverordnung soll zusammen mit dem WpIG, also am 26. Juni 2021 in Kraft treten. Das neue Aufsichtsregime für Wertpapierfirmen nimmt damit nun endgültig konkrete Gestalt an. Durch die Mantelverordnung kann das WpIG nunmehr auch gut in der Praxis umgesetzt werden und den Besonderheiten der Wertpapierinstitute bzw. der von ihnen ausgehenden Risiken wird passgenau Rechnung getragen.

Sustainable Finance Package

Finalisation of the regulatory framework on sustainable finance in sight

The EU has taken major steps over the past number of years to build a sustainable financial system. On this blog, we have repeatedly given updates on the EU Taxonomy Regulation, the Sustainable Finance Disclosure Regulation and the Benchmark Regulation that form the foundation of the EU’s work to increase transparency and provide tools for investors to identify sustainable investment opportunities. We are now steering toward a final regulatory framework on sustainable finance.

Sustainable Finance Package in a nutshell

On 21 April 2021, the European Commission has adopted a comprehensive package of measures (the Sustainable Finance Package) as part of its wider policy initiative on sustainable finance, which aims to re-orient capital flows towards more sustainable investments and enable the EU to reduce its carbon-footprint by at least 55% by 2030 and reach carbon neutrality by 2050.

The Sustainable Finance Package is comprised of:

  • Corporate Sustainability Reporting Directive (CSRD), which amends the existing reporting requirements under Directive 2014/95/E (Non-Financial Reporting Directive, NFRD) by expanding the scope of sustainability-related reporting requirements to more corporate entities;
  • Taxonomy Climate Delegated Act, which provides technical screening criteria under which an economic activity qualifies as environmentally sustainable, by contributing substantially to climate change mitigation or climate change adaptation while making no significant harm to any of the other environmental objectives;
  • Six Delegated Acts that amend requirements under UCITS, AIFMD, and MiFID II framework by incorporating new rules on consideration of sustainability risks, factors and preferences by investment managers and investment firms.

Corporate Sustainability Reporting Directive (CSRD)

With the aim to capture a wider group of companies and to bring sustainability reporting over time on a par to financial reporting, CSRD expands the scope of the existing NRFD, which currently applies only to companies with over 500 employees (even though national law in certain EU Member States stipulates lower thresholds).

The CSRD expands the scope of application of sustainability-related reporting requirements to all large undertakings (whether listed or not) that meet two of the following three criteria:

  • balance sheet total of EUR 20,000,000,
  • net turnover of EUR 40,000,000,
  • an average of 250 employees during the financial year.

In addition to large undertakings, the CSRD reporting requirements will apply to all companies listed on the EU regulated market as well, with the exception of listed micro companies.

To that end, the CSRD aims to capture nearly 50,000 companies in the EU in comparison to only 11,000 companies that are currently subject to reporting requirements under NFRD. This should provide financial institutions that are subject to Regulation (EU) 2020/2088 (Sustainable Finance Disclosure Regulation, SFDR) with more relevant sustainability-related data about prospective investee companies, based on which they will be able to fulfil disclosure requirements under the SFDR.

As a next step, the Commission will engage in discussions on the CSRD Proposal with the European Parliament and Council.

Taxonomy Climate Delegated Act

The Taxonomy Climate Delegated Act represents the first set of technical screening criteria that are intended to serve as a basis for the determination which economic activities can be deemed as environmentally sustainable under the Taxonomy Regulation. Developed based on the scientific advice of the Technical Expert Group (TEG), the Delegated Act provides technical screening criteria for determination whether an economic activity contributes significantly to either climate change mitigation or climate change adaption while making no significant harm to any other environmental objective under Article 9 of the Taxonomy Regulation.

Final Draft of the Delegated Act still needs to be officially adopted by the Commission, after which the European Parliament and the Council will have 4 months (which can be extended by additional 2 months) to officially adopt it.

Amending Delegated Acts

As part of the Sustainable Finance Package, the Commission has also published six long-awaited final versions of the draft amending delegated acts under MiFID II, UCITS and AIFMD framework with the aim of incorporating additional requirements on consideration of sustainability risks, factors and preferences by investment managers and investment firms.

The proposed changes introduced by delegated acts, which are expected to apply from October 2022, can be summarized as follows:

Product Governance: changes to MiFID II Delegated Directive (EU) 2017/593 put the obligation on manufacturers and distributors of financial instruments to take into consideration relevant sustainability factors and clients’ sustainability objectives in the process of product manufacturing and distribution.

Suitability assessment: changes to MiFID II Delegated Regulation (EU) 2017/565 require investment firms to take into account clients’ sustainability preferences in the course of suitability assessment. Given that requirements on suitability assessment apply only to firms providing investment advisory and portfolio management services, ESMA is separately considering (ESMA Consultation on appropriateness and execution only under MiFID II) whether the consideration of sustainability risks and factors shall be taken into account in the case of provision of other investment services for which requirements on appropriateness assessment apply.

Integration of sustainability risks and factors: amendments to MiFID II Delegated Regulation (EU) 2017/565, UCITS Delegated Directive 2010/43/EU and AIFMD Delegated Regulation (EU) 231/2013 impose new obligations on investment firms and asset managers, by requiring them to take into account sustainability risks and factors when complying with organisational requirements, including requirements on risk management and conflict of interest requirements.

Further, UCITS and AIF management companies that consider principal adverse impacts of their investment decisions on sustainability factors under SFDR (e.g. impact of an investment in a fossil fuel company on climate and environment), will be required to consider this when complying with due diligence requirements stipulated under UCITS and AIFMD framework.

The Sustainable Finance Package also includes similar changes to Delegated Acts under IDD, which affect insurance distributors.

Conclusion

The proposals published as part of the Sustainable Finance Package represent some of the last pieces in the puzzle of the EU regulatory framework on sustainable finance, which aims to support the EU on its way towards creation of a more sustainable economy. These latest efforts by the Commission provide some further clarity to corporate entities and financial institutions that have been facing with new regulatory challenges for quite some time now.  In the meantime, on 7 May 2021 the Commission has also published one additional Delegated Act under the Taxonomy Regulation, which outlines requirements on the content, methodology and presentation of key performance indicators (KPIs) that entities, which are subject to reporting requirements under Article 8 of the Taxonomy Regulation, need to comply with.

Nevertheless, there are some other important legislative proposals that still need to be published, like the final version of regulatory technical standards under the SFDR that is essential for compliance of financial institutions with disclosure requirements stipulated by this Regulation.  Those regulatory initiatives show that aiming at a sustainable financial market in Europe is more than a fancy trend but rather a new effort which needs to be taken seriously and is not to be underestimated. If you have any questions about the EU regulatory framework on sustainable finance and its impact on your business, please get in touch with us.

Es ist vollbracht: Mein Blog „Notizen zum Aufsichtsrecht“ ist wieder am Start!

Sie finden uns nun unter aufsichtsrechtsnotizen-taylorwessing.de. Nach seinem Umzug und einem optischen Refresh möchten wir Sie fortan wieder an den Erfahrungen aus unserer Beratungspraxis teilhaben lassen. Schauen Sie gerne vorbei!

Neben meinen Beiträgen dürfen Sie sich unverändert auch auf die Insights meiner Co-Autoren Charlotte Dreisigacker und Miroslav Djuric freuen.


Wir freuen uns auf Ihren Besuch

Stärkung des Anlegerschutzes: Änderungen des VermAnlG und KAGB

Bereits Ende Dezember 2020 hat das Bundesfinanzministerium den Entwurf eines Gesetzes zur weiteren Stärkung des Anlegerschutzes veröffentlicht Das Gesetz setzt das Maßnahmenpaket zur weiteren Stärkung des Anlegerschutzes des Bundesfinanz- und Bundesjustizministeriums aus 2019 um.

Mit den vorgesehenen Maßnahmen soll ein Umfeld geschaffen werden, in dem insbesondere auch Privatanleger möglichst weitgehend eigenverantwortliche Anlageentscheidungen ermöglicht werden. Hierzu enthält der Entwurf insbesondere folgende Regelungen: (i) Verbot von Blindpool-Anlagen, (ii) Beschränkung des Vertriebs von Vermögensanlagen auf beaufsichtigte Anlageberater bzw. Finanzanlagevermittler, (iii) Einführung einer Mittelverwendungskontrolle und (iv) Abschaffung der bloßen Registrierungsmöglichkeit bei geschlossenen Publikumsfonds. Im Folgenden betrachten wir die Einzelheiten der geplanten Änderungen etwas genauer.

Verbot von Blindpool-Anlagen

Vermögensanlagen im Sinne des Vermögensanlagengesetzes (VermAnlG) in Form von Blindpool-Konstruktionen sollen zukünftig nicht mehr für Privatanleger zum öffentlichen Angebote zugelassen sein. Bestimmte institutionelle Anleger sollen von dem Verbot ausgenommen sein.

Bei Blindpool-Konstruktionen stehen die konkreten Anlageobjekte, die mit den Anlegergeldern finanziert werden sollen, zum Zeitpunkt der Prospekterstellung bzw. zum Zeitpunkt des Vermögensanlagen-Informationsblattes (VIB) noch nicht fest. Eine vollständige Bewertung der Vermögensanlage durch den Anleger ist daher nicht möglich. Mangels detailliertem Bild über das Geschäftsmodell des Emittenten kann der Anleger somit auch nicht abschätzen, mit welcher Wahrscheinlichkeit die versprochene Rendite erzielt werden kann. Zudem fehlt es bei Blindpool-Konstruktionen am Abschluss wesentlicher (Vor)Verträge etwa über die Anschaffung oder Herstellung der Anlageobjekte, sodass der Anleger auch wichtige Geschäftspartner des Emittenten nicht kennt und beurteilen kann. Die Schutzbedürftigkeit des Privatanlegers führt zum Verbot des Angebots solcher Blindpool-Anlagen. Da institutionelle Anleger weniger schutzbedürftig sind, sind sie von dem geplanten Verbot ausgenommen.

Angebot von Vermögensanlagen nur über Finanzdienstleister oder Finanzanlagenvermittler

Zukünftig sollen nur solche Vermögensanlagen zum öffentlichen Angebote zugelassen sind, die im Wege der Anlageberatung oder Anlagevermittlung durch ein Finanzdienstleistungsinstitut oder einen Finanzanlagevermittler vertrieben werden. Ein Eigenvertrieb durch den Anbieter der Vermögensanlage wird grundsätzlich nicht mehr möglich sein. Im Falle des Eigenvertriebs erfolgt regelmäßig keine Anlagevermittlung oder -beratung und damit auch keine Prüfung der Angemessenheit bzw. Geeignetheit der Vermögensanlage für den Anleger. Zugleich hat der Anbieter der Vermögensanlage ein starkes Interessen an einer erfolgreichen Platzierung seiner Vermögensanlage. Mit der Beschränkung des Vertriebs von Vermögensanlagen auf regulierte Finanzdienstleistungsinstitute und Finanzanlagenvermittler soll sichergestellt werden, dass gegenüber dem Anleger eine Angemessenheits- bzw. Geeignetheitsprüfung erfolgt. Zudem unterliegen regulierte Finanzdienstleistungsinstitute und Finanzanlagenvermittler besonderen Verhaltens- und Transparenzpflichten und müssen über die erforderliche Sachkunde verfügen. Möglich bleibt aber eine Personenidentität zwischen dem Anlagevermittler bzw. -berater und dem Anbieter. Denn auch in diesem Falle greifen die finanzaufsichtsrechtlichen Vorgaben, die dem Anlegerschutz dienen.

Zukünftig wird der Anleger also nicht mehr nur auf die eigene Bewertung der Vermögensanlagen mittels Prospekt bzw. VIB angewiesen sein, sondern kann sich bei seiner Anlageentscheidung zudem auf das Ergebnis einer Angemessenheits- bzw. Geeignetheitsprüfung stützen.

Mittelverwendungskontrolle

Neu im Vermögensanlagengesetz eingeführt werden sollen Vorgaben zur sog. Mittelverwendungskontrolle. Diese Vorgaben sollen für Investments gelten, die unmittelbar den Erwerbs eines Sachguts, eines Rechts an einem Sachgut oder die Pacht von Sachgütern zum Gegenstand haben. Anschauliches Beispiel ist z.B. die Investition in Container oder in Baumplantagen. Erfasst sein sollen auch solche Fälle, in den Anlegergelder vom Emittenten einer entsprechenden Vermögensanlage an z.B. Zweckgesellschaften weitergereicht werden, die dann erst auf einer weiteren Ebene das konkrete Sachgut erwerben.

In diesen Fällen hat der Gesetzgeber ein Transparenzdefizit bzgl. der tatsächlichen Existenz der Sachgüter zulasten des Anlegers erkannt. So kann diese Information zum Zeitpunkt der Prospektbilligung in dem Verkaufsprospekts darin noch gar nicht enthalten sein, da der Erwerb der Sachgüter regelmäßig erst mit den eingeworbenen Anlegergeldern und damit zeitlich nachgelagert stattfindet. Auch in späteren Jahresabschlüssen ist diese Information mangels zwangsweiser Aufsplittung der einzelnen Bilanzposten nicht in jedem Fall erkennbar. Der Anleger soll sich sicher sein können, dass der Emittent auch tatsächlich für die der Anlage zugrunde liegenden Sachgüter verwendet.

Zum Ausgleich dieses Transparenzdefizits soll zukünftig ein geeigneter, unabhängiger Dritter (z.B. Rechtsanwalt oder WP), die tatsächliche Verwendung der Mittel nach Beginn des öffentlichen Angebots kontrollieren. Der Mittelkontrolleur soll dazu zunächst ein Mittelverwendungskonto führen, auf das die eingeworbenen Anlegergelder eingezahlt werden. Diese werden erst dann freigegeben, sofern die im Vertrag durch die Vertragspartien festgelegten Kriterien durch den Anbieter erfüllt sind. Die anschließende Kontrolle, ob der Emittent die Anlegergelder entsprechend des im Vertrag definierten Umfangs verwendet (z.B. zum Erwerb einer bestimmten Baumplantage oder bestimmter Container), ist spätestens sechs Monate nach Beginn des öffentlichen Angebots und fortlaufend mindestens alle sechs Monate bis zur ordnungsgemäßen Verwendung der Anlegergelder durchzuführen. Hat der Emittent die Anlegergelder vollständig investiert, wird die Prüfung mit einem abschließenden Bericht nebst Bestätigungsvermerk beendet. Die Berichte zur laufenden und abschließenden Kontrolle sind im Bundesanzeiger zu veröffentlichen.

Abschaffung der Registrierungsmöglichkeit bei geschlossenen Publikumsfonds

Zukünftig soll die Möglichkeit der bloßen Registrierung für sog. Mini-Publikums-KVGen und Kleine Publikums-KVGen entfallen.

Eine Mini-Publikums-KVG ist die interne KVG eines geschlossenen Publikums-AIF, dessen Vermögensgegenstände 5 Mio. Euro nicht überschreiten und die Zahl der Anleger fünf natürliche Personen nicht übersteigt. Kleine Publikums-KVGen sind solche, die nicht ausschließlich geschlossene Spezial-AIF verwalten und deren verwaltete Vermögensgegenstände 100 Mio. Euro nicht überschreiten. Eine nur registrierte KVG unterliegt, im Gegensatz zu einer KVG mit einer vollumfänglichen Erlaubnis, nur in eingeschränkten Umfang dem Regelungsregime des Kapitalanlagegesetzbuchs (KAGB), sog. Regulierung light. Für KVGen von offenen AIF besteht von vornherein nicht die Möglichkeit einer bloßen Registrierung.

Zukünftig müssen auch Mini-Publikums-KVGen und Kleine Publikums-KVGen eine volle KVG-Erlaubnis beantragen. Damit soll ein einheitliches Anlegerschutzniveau gewährleistet sein, unabhängig davon, ob der Anleger in einen offenen oder geschlossenen Investmentfonds investiert. Da es derzeit nur eine geringe Zahl registrierter geschlossener Publikumsfonds gibt, werden sich die praktischen Auswirkungen dieser Änderungen in Grenzen halten.

Fazit

Anlegerschutz wird weiter groß geschrieben. Der Gesetzgeber dürfte sich in seiner Richtung durch jüngste Skandale im Finanzmarkt bestätigt fühlen. Aktuell wird aus gegebenem Anlass z.B. schon über eine strengere Regulierung sog. Zinsvermittlungsplattformen

Finanzmarktteilnehmer und Finanzberater aufgepasst! Seit dem 10. März ist die Transparenzverordnung umzusetzen

Sie ist, für neue Finanzmarktregulierung ungewöhnlich leise und unscheinbar, dahergekommen: die sog. Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR). Bereits Ende 2019 in Kraft getreten, ist die SFDR nun in wesentlichen Teilen ab 10. März 2021 anzuwenden. Die SFDR ist Teil des EU Aktionsplans für eine nachhaltige Finanzwirtschaft und verfolgt den Zweck, dem Anleger eine fundierte Informationsgrundlage über die Berücksichtigung von Nachhaltigkeitsrisiken (Environmental, Social and Governance – ESG)  im Rahmen der ihm gegenüber erbrachten Finanzdienstleistung und der ihm angebotenen Produkte zur Verfügung zu stellen, damit er diese in seiner Anlageentscheidung besser und gezielter berücksichtigen kann. Dazu legt sie Finanzmarkteilnehmer und Finanzberatern vielfältige Transparenzpflichten auf, die v.a. durch zahlreiche Veröffentlichungen auf der Homepage, im Rahmen vorvertraglicher Informationen und in regelmäßigen Berichten zu erfüllen sind. Über das neue Pflichtenregime der SFDR haben wir hier und hier bereit ausführlich gebloggt.

Die Erfüllung aller Transparenzpflichten erfordert einen hohen internen Umsetzungs- und Anpassungsaufwand. Manch einer wird überrascht sein – aber ein Vergleich zur MiFID II lässt sich durchaus ziehen.

Besonders herausfordernd ist die praktische Umsetzung der SFDR auch deshalb, weil bislang noch viele der Daten fehlen, die zur Erfüllung der Transparenzpflichten benötigt werden. Ein anschauliches Beispiel: Zukünftig ist der Anleger z.B. für jedes ihm angebotene Fondsprodukt darüber zu informieren, ob und wie in dem Fonds ESG-Risiken berücksichtigt werden. Diese Informationen muss der Portfolioverwalter bzw. Anlageberater im Wege der vorvertraglichen Information zur Verfügung zu stellen. Portfolioverwalter und Anlageberater erstellen diese Informationen aber nicht selbst, sondern sind dafür auf Input der KVGen angewiesen. Und diese benötigen wiederum eine entsprechende Datenbasis, um die erforderlichen Informationen überhaupt bereitstellen zu können. Der Markt wird sich anpassen und entsprechende Daten werden bald verfügbar sein – bis dahin gilt es, die SFDR so gut umsetzen, wie es derzeit eben geht.

Aber da nach der Regulierung vor der Regulierung ist, sind neue Vorgaben dem Thema ESG bereits unterwegs. So hat die EBA etwa Anfang März ihre Implementing Technical Standards on Pillar 3 disclosures of ESG risks zur Konsultation gestellt: große Institute sollen zukünftig Informationen über ihr ESG Exposure und ihre ESG Strategien veröffentlichen – stay tuned!

Finanzmarktteilnehmer und Finanzberater aufgepasst! Seit dem 10. März ist die Transparenzverordnung umzusetzen

Sie ist, für neue Finanzmarktregulierung ungewöhnlich leise und unscheinbar, dahergekommen: die sog. Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR). Bereits Ende 2019 in Kraft getreten, ist die SFDR nun in wesentlichen Teilen ab 10. März 2021 anzuwenden.

Die SFDR ist Teil des EU Aktionsplans für eine nachhaltige Finanzwirtschaft und verfolgt den Zweck, dem Anleger eine fundierte Informationsgrundlage über die Berücksichtigung von Nachhaltigkeitsrisiken (Environmental, Social and Governance – ESG)  im Rahmen der ihm gegenüber erbrachten Finanzdienstleistung und der ihm angebotenen Produkte zur Verfügung zu stellen, damit er diese in seiner Anlageentscheidung besser und gezielter berücksichtigen kann. Dazu legt sie Finanzmarkteilnehmer und Finanzberatern vielfältige Transparenzpflichten auf, die v.a. durch zahlreiche Veröffentlichungen auf der Homepage, im Rahmen vorvertraglicher Informationen und in regelmäßigen Berichten zu erfüllen sind. Über das neue Pflichtenregime der SFDR haben wir hier und hier bereit ausführlich gebloggt.

Die Erfüllung aller Transparenzpflichten erfordert einen hohen internen Umsetzungs- und Anpassungsaufwand. Manch einer wird überrascht sein – aber ein Vergleich zur MiFID II lässt sich durchaus ziehen.

Besonders herausfordernd ist die praktische Umsetzung der SFDR auch deshalb, weil bislang noch viele der Daten fehlen, die zur Erfüllung der Transparenzpflichten benötigt werden. Ein anschauliches Beispiel: Zukünftig ist der Anleger z.B. für jedes ihm angebotene Fondsprodukt darüber zu informieren, ob und wie in dem Fonds ESG-Risiken berücksichtigt werden. Diese Informationen muss der Portfolioverwalter bzw. Anlageberater im Wege der vorvertraglichen Information zur Verfügung zu stellen. Portfolioverwalter und Anlageberater erstellen diese Informationen aber nicht selbst, sondern sind dafür auf Input der KVGen angewiesen. Und diese benötigen wiederum eine entsprechende Datenbasis, um die erforderlichen Informationen überhaupt bereitstellen zu können. Der Markt wird sich anpassen und entsprechende Daten werden bald verfügbar sein – bis dahin gilt es, die SFDR so gut umsetzen, wie es derzeit eben geht.

Aber da nach der Regulierung vor der Regulierung ist, sind neue Vorgaben dem Thema ESG bereits unterwegs. So hat die EBA etwa Anfang März ihre Implementing Technical Standards on Pillar 3 disclosures of ESG risks zur Konsultation gestellt: große Institute sollen zukünftig Informationen über ihr ESG Exposure und ihre ESG Strategien veröffentlichen – stay tuned!

Update zur Transparenzverordnung: Level 2-Maßnahmen zu nachhaltigkeitsbezogenen Offenlegungspflichten veröffentlicht

Ab dem 10. März diesen Jahres muss die neue Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR) von Finanzmarktteilnehmern und Finanzberatern umgesetzt werden. Anleger, die in nachhaltige Finanzprodukte investieren, sollen zukünftig besser informiert werden. Die SFDR beinhaltet die Pflicht zur Offenlegung der wichtigsten nachteiligen Nachhaltigkeitsauswirkungen von Anlageentscheidungen sowie Transparenzpflichten bzgl. nachhaltigkeitsbezogener Finanzprodukte, die von Finanzmarktteilnehmern und Finanzberatern vertrieben werden. Über das Pflichtenprogramm der SFDR haben wir bereits hier ausführlich berichtet. Für einen schnellen Überblick ist auch die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jüngst veröffentlichte Übersichtstabelle zur SFDR nützlich.

Anfang Februar diesen Jahres haben die Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESAs, also ESMA EBA und EIOPA) nun ihren finalen Bericht zu den von ihnen erarbeiteten technischen Regulierungsstandards (Regulatory Technical Standards – RTS) veröffentlicht. Darin werden die Anforderungen der SFDR konkretisiert und definiert, welche Inhalte zu ESG-Standards offengelegt werden müssen, mit welcher Methodik dies geschehen soll und wie sie dargestellt werden. Zudem werden zahlreiche Templates bereitgestellt, die von den Marktteilnehmern zur Erfüllung ihrer Transparenzpflichten genutzt werden können; dies sollte die Umsetzung zumindest in Teilen erleichtern.

Die RTS sollen voraussichtlich ab 01. Januar 2022 gelten. Bereits ab dem 10. März sind aber die Transparenzpflichten der SFDR von Finanzmarkteilnehmern und -beratern umzusetzen. Bis zum Inkrafttreten der RTS sollten sich die Unternehmen nach Ansicht der BaFin daher bei der Umsetzung an den RTS orientieren. Zur Ergänzung der Level 2- RTS wird erwartet, dass es von den ESAs wahrscheinlich in Q3/Q4 2021 Level 3-Guidance geben wird. 

Die RTS werden bei der Umsetzung sicher helfen, doch zeigen sie auch deutlich, welche Informationen zu jedem Finanzprodukt in Zukunft zur Verfügung stehen muss. Und das geht weit über die bisherigen Informationen hinaus und erfordert einen hohen Umsetzungsbedarf. In der Praxis wird eine reine Orientierung an den RTS auch alles sein, was die Institute derzeit leisten können.

Passend dazu hat die BaFin Anfang Februar auch einen aktuellen Überblick zum Thema nachhaltige Finanzwirtschaft veröffentlicht Darin beleuchtet sie die aktuellen Entwicklungen beim Thema Nachhaltigkeit auch außerhalb des Finanzsektors und bezieht aktuelle Entwicklungen wie die Coronakrise mit ein.  

Neues zum Geldwäscherecht: Die europäische Vernetzung der Transparenzregister und mehr Transparenz beim wirtschaftlich Berechtigten

Bereits Ende 2020 wurde der Gesetzentwurf zur europäischen Vernetzung der Transparenzregister gemäß der EU-Geldwäscherichtlinie sowie zur Umsetzung der EU-Finanzinformationsrichtlinie veröffentlicht (etwas sperrig das sog. Transparenz-Finanzinformationsgesetz Geldwäsche – TraFinG Gw). Es dient der weiteren Verbesserung der Bekämpfung von Geldwäsche und Terrorismusfinanzierung durch Schaffung von mehr Transparenz über Rechtseinheiten und ihrer wirtschaftlich Berechtigten.

Was ist neu?

Das TraFinG Gw enthält vier wesentlichen Neuerungen, die durch Änderungen des Geldwäschegesetztes (GwG) umgesetzt werden sollen:

  • Einheitliche Definition des wirtschaftlich Berechtigten

Zukünftig knüpft die Definition des wirtschaftlich Berechtigten (§ 3 Abs. 1 GwG) nicht mehr an den Begriff des Vertragspartners an. Das hat folgenden Hintergrund: Ursprünglich war der Begriff des wirtschaftlich Berechtigten in der geldwäscherechtlichen Gesetzgebung ausschließlich für die Kundensorgfaltspflichten relevant; der wirtschaftlich Berechtigte des Vertragspartners ist von dem jeweiligen geldwäscherechtlich Verpflichteten zu identifizieren. Bisher qualifizierte als wirtschaftlich Berechtigter deshalb u.a. die natürliche Person, in deren Eigentum oder unter deren Kontrolle der Vertragspartner des geldwäscherechtlich Verpflichteten steht.

Seit der Einführung der Regelungen zum Transparenzregister wurde die Definition des wirtschaftlich Berechtigten aber aus diesem Zusammenhang gelöst und hat, über die Vorschriften zur Kundenidentifizierung hinaus, auch Bedeutung für das Transparenzregister erlangt. Zukünftig qualifiziert deshalb als wirtschaftlich Berechtigter die natürliche Person, in deren Eigentum oder unter deren Kontrolle die juristische Person steht. Für den geldwäscherechtlich Verpflichteten ist damit bzgl. der Kundenidentifizierung immer noch sein Vertragspartner in Form einer juristische Person gemeint. Gleichzeitig sind damit nunmehr aber auch sprachlich eindeutig die Rechtseinheiten erfasst, die nach den Regelungen des GwG transparenzregisterpflichtig sind und ihren wirtschaftlich Berechtigten für das Transparenzregister ermitteln müssen.

Die nicht auf die Transparenzregisterpflicht passende frühere Formulierung hat in der Vergangenheit in der Praxis immer wieder für Verwirrung gesorgt, sodass die Änderung, auch wenn es sich insoweit nur um eine sprachliche Klarstellung handelt, zu begrüßen ist.

  • Bestimmung des wirtschaftlich Berechtigten bei börsennotierten Gesellschaften

Neu ist auch, dass zukünftig auch für börsennotierte Gesellschaften die speziellen Regelungen zur Bestimmung des wirtschaftlich Berechtigten (§ 3 Abs. 2 GwG) gelten, wonach dieser anhand einer unwiderleglichen Vermutung mit zahlenmäßig fixierten Grenzen ermittelt wird; wirtschaftlich Berechtigter ist danach z.B. diejenige natürliche Person, die über 25% Anteilsbesitzt oder Stimmrechtskontrolle hat.

Bisher waren börsennotierte Gesellschaften von diesem Anwendungsbereich ausgenommen, sodass ihr wirtschaftlich Berechtigte „nur“ nach den allgemeinen Regelungen zu bestimmten waren und im Einzelfall zu untersuchen war, ob die Gesellschaft im Eigentum oder unter Kontrolle einer natürlichen Person steht. Zukünftig gibt es hier mehr Rechtsklarheit. Die Ermittlung des wirtschaftlich Berechtigten erfolgt nun auch im Falle börsennotierter Gesellschaften anhand der unwiderleglichen Vermutung mit zahlenmäßig fixierten Grenzen; wirtschaftlich Berechtigter einer börsennotierten Gesellschaft ist also z.B. diejenige natürliche Person, die über 25% Anteilsbesitzt oder Stimmrechtskontrolle hat. Das schließt aber nicht aus, dass im Einzelfall eine Person auch dann Kontrolle im Sinne der allgemeinen Regelung ausüben kann, wenn sie zwar einen deutlichen geringeren Anteil als 25% hält, aber dennoch Kontrolle z.B. aufgrund weiten Streubesitzes ausüben kann.

  • Transparenzregister: Vom Auffang- zum Vollregister und Wegfall der Meldefiktion

Zukünftig sollen die nationalen Transparenzregister europaweit verknüpft werden. Dazu müssen die Transparenzregister sowohl datentechnisch als auch inhaltlich kompatibel sein. Dies kann mit der derzeitigen Form des deutschen Transparenzregisters nicht dargestellt werden. Das deutsche Transparenzregister ist derzeit als sog. Auffangregister ausgestaltet, indem es für die im Handels-, Genossenschafts- oder Partnerschaftsregister eingetragenen Gesellschaften grundsätzlich auf diese Register verweist und nur andere Rechtseinheiten, wie z.B. Stiftungen, „auffängt“. Für den Großteil der deutschen Gesellschaften, die bereits in die genannten Register eingetragen sind, gilt bislang deshalb, dass sie den wirtschaftlich Berechtigten zwar ermitteln, aber nicht an das Transparenzregister melden müssen. Insoweit galt bisher eine sog. Mitteilungsfiktion, nach der die Mitteilung an das Transparenzregister mit der Eintragung in z.B. das Handelsregister als erfüllt angesehen wurde. Strukturierte Datensätze zu diesen Gesellschaften sind daher derzeit im Transparenzregister nicht enthalten.

Zu einer europaweiten Vernetzung ist das aber erforderlich, sodass zukünftig an die Stelle der Mitteilungsfiktion eine Mitteilungspflicht für alle Rechtseinheiten tritt. Alle Einheiten, die nach den geldwäscherechtliche Vorschriften zur Ermittlung des wirtschaftlich Berechtigten verpflichtet sind, müssen diese Daten zukünftig auch an das Transparenzregister melden.

Die Mitteilungspflicht gilt zukünftig auch für börsennotierte Unternehmen, die bisher insoweit bestehende Ausnahme wird gestrichen. Diese basierte auf der Annahme, dass hinreichende Beteiligungstransparenz bei börsennotierten Unternehmen schon durch die Stimmrechtsmitteilungen nach dem Wertpapierhandelsgesetz (WpHG) erreicht werden kann. In der Praxis kann die Ermittlung des wirtschaftlich Berechtigten auf diesem Wege aber mit einigem Aufwand verbunden sein, da dazu meistens eine historische Kette von Beteiligungsmitteilungen ausgewertet werden muss. Da ist es mit geringerem Aufwand verbunden, die börsennotierten Gesellschaften selbst zur Meldung zu verpflichten, insbesondere vor dem Hintergrund, dass sie sowieso schon zur Ermittlung ihres wirtschaftlich Berechtigten verpflichtet sind.

  • Kundensorgfaltspflichten: Identifizierung des wirtschaftlich Berechtigten

Zukünftig wird sprachlich eindeutiger geregelt, dass und welche Daten und Informationen zur Identifizierung des wirtschaftlich Berechtigten durch den geldwäscherechtlich Verpflichteten im Rahmen der Kundensorgfaltspflichten abgefragt werden müssen. Dabei ist wichtig, dass diese Informationen nicht bei dem wirtschaftlich Berechtigten, sondern vom jeweiligen Vertragspartner über dessen wirtschaftlich Berechtigten abgefragt werden müssen. Diese abgefragten Informationen sind im Rahmen der Kundenidentifizierung auch zu überprüfen. Nach den künftigen Regelungen kann dies durch einen Vergleich der beim Vertragspartner abgefragten Informationen über dessen wirtschaftlich Berechtigten mit den im Transparenzregistern hinterlegten Informationen erfolgen. Stimmen die Informationen überein, sind keine weiteren Schritte zur Überprüfung vorzunehmen.

Ausblick

Der Gesetzesentwurf sieht ein Inkrafttreten am 21. August 2021 vor. Ab diesem Zeitpunkt würden dann auch die Änderungen des GwG greifen. Es bleibt abzuwarten, ob es im Weiteren Gesetzgebungsverfahren noch zu Änderungen des TraFinG Gw  kommen wird. Da sich diese aber in der Regel eher auf Einzelheiten beschränken, sollten sich Unternehmen bereits jetzt insbesondere auf die umfassende Meldepflicht zum Transparenzregister einstellen.

Final ESMA Guidelines on cloud outsourcing

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

  • Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

  • Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

  • Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

  • Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

  • Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

  • Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

  • Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

  • Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.