Kontoinformationsdienste und Finanztransfergeschäft – BaFin aktualisiert ihre Verwaltungspraxis zum ZAG

Mitte Februar hat die BaFin das Merkblatt zum ZAG und mithin ihre Verwaltungspraxis aktualisiert. Für die Praxis erfreuliche Klarstellungen hat sie insbesondere zu Kontoinformationsdiensten (Account Information Services – AIS) und dem Finanztransfergeschäft aufgenommen. Darauf wollen wir einen genaueren Blick werfen.

AIS nur mit Kundencredentials

AIS sind Online-Dienste zur Mitteilung konsolidierter Informationen über ein Zahlungskonto des AIS-Nutzers, das er bei seiner Bank führt. Allgemein bekannt sind z.B. Apps, mit denen man als Kontoinhaberin z.B. monatliche Ausgaben in verschiedene Kategorien, z.B. Versicherungen, Lebensmittel etc., einteilen und graphisch aufbereitet darstellen lassen kann.

Sehr zu begrüßen ist, dass die BaFin nun ausdrücklich klarstellt, dass AIS nur erbracht werden, wenn der Zahlungsdienstleister vom Kunden dessen Kontozugangsdaten (sog. Credentials, z.B. PIN, TAN) erhält und mit diesen auf das Konto des Kunden zugreifen kann. Nicht als AIS zu qualifizieren sind daher Dienste, bei denen dem Kunden zwar (weiterverarbeitete) Kontoinformationen zur Verfügung gestellt werden, der Kontozugriff aber nicht mittels der Kundencredentials erfolgt. Keine AIS sind daher Dienstleistungen, bei denen der Kontozugriff des Dienstleisters aufgrund einer Vollmacht erfolgt, auf deren Grundlage er vom kontoführenden Institut des Kunden eigene Credentials für den Kontozugriff erhält. In diesen Fällen kann der Kontoinhaber sein Schutzbedürfnis hinsichtlich eines nicht ausufernden Zugriffs auf sein Konto bereits mit der von ihm erteilten Vollmacht regeln und braucht nicht den Schutz einer ZAG-Regulierung.

Für den klassischen AIS, der sich an eine Vielzahl von Kunden richtet und häufig via App zur Verfügung gestellt wird, wird die Vollmachtslösung aber weiterhin keine Option sein. Der Anwendungsbereich des erlaubnispflichtigen AIS wird durch die Klarstellung der BaFin daher nicht kleiner werden. Der Grund ist schlicht, dass für klassische AIS via App individuelle Kontovollmachten von einer Vielzahl von Nutzern schlicht nicht praktikabel sind. Zudem ist äußert fraglich, ob der klassische AIS-App Nutzer dem Dienstleister eigene Zugangscredentials auf sein Konto einräumen würde. Die Vollmacht wird daher weiterhin nur eine Lösung für individuellere Dienstleistungen sein, bei denen nur wenigen, ausgewählten Personen Zugriff auf das Konto gewährt werden soll.

Auch beim Finanztransfergeschäft gibt es eine Vollmachtslösung…

Beim Finanztransfergeschäft wird der Zahlungsdienstleister als Bote für Zahlungen zwischen Zahler und Zahlungsempfänger tätig; die Gelder fließen in der Regel über ein Treuhandkonto des Dienstleisters, der damit Zugriff auf für ihn rechtlich fremde Gelder erhält. Das Finanztransfergeschäft ist ein Zahlungsdienst, bei dem der Zahlungsdienstleister selbst kein Zahlungskonto für seinen Kunden führt.

Erlaubnispflichtiges Finanztransfergeschäft wird auch dann schon erbracht, wenn der Zahlungsdienstleister an ein Konto des Kunden (nur) anknüpft, das dieser bei seiner Bank führt, etwa, indem er sich eine entsprechende Vollmacht einräumen lässt. Durch die Nutzung der Vollmacht erhält der Zahlungsdienstleister eigenständige Befugnisse für Geldtransfers und damit Zugriff auf fremde Gelder, was ein ureigenes Merkmal des Finanztransfergeschäfts ist.

Ist die Vollmacht aber eng genug ausgestaltet und werden damit die Zugriffsrechte des Zahlungsdienstleisters eingeschränkt, besteht, ähnlich wie im Rahmen der AIS, kein aufsichtsrechtliches Schutzbedürfnis. Die BaFin geht von einer ausreichend engen Vollmacht aus, wenn sie bedingungslos und jederzeit widerruflich ist, die Verfügungsmacht des Kontoinhabers über sein Konto unbeschränkt bleibt, konkret die vom Dienstleister zu erbringengen, zahlungsbezogenen Dienstleistungen benennt und offenkundig kein geldwäscherechtliches Risiko besteht.

Die Verwaltungspraxis der BaFin sollte aber nicht dahingehend missverstanden werden, dass bei einer Vollmachtslösung nie erlaubnispflichtiges Finanztransfergeschäft erbracht werden kann. Umgehungen des erlaubnispflichtigen Finanztransfergeschäfts über die Vollmachtslösung beugt die BaFin vor, indem sie weiterhin prüft, ob wirtschaftlich ein Bezahlverfahren etabliert wird. Ist das der Fall, wird, trotz Vollmachtslösung, Finanztransfergeschäft erbracht; es besteht weiterhin ein Aufsichtsbedürfnis.

… und eine Klarstellung zum Umfang der Inkasso-Ausnahme

Schließlich ist es sehr zu begrüßen, dass die BaFin wieder ausführlicher ihr Verständnis der sog. Inkasso-Ausnahme in ihr Merkblatt aufnimmt. Die Inkassotätigkeit ist im Rechtsdienstleistungsgesetz (RDG) definiert als die Einziehung fremder oder zum Zweck der Einziehung auf fremde Rechnung abgetretener Forderungen, wenn die Forderungseinziehung als eigenständiges Geschäft betrieben wird. Dafür ist eine Registrierung unter dem RDG erforderlich. Weil ein Forderungseinzug je nach konkreter Ausgestaltung der Tätigkeit grundsätzlich auch ein Zahlungsdienst im Sinne des ZAG darstellen kann, bestand hier schon immer das Erfordernis einer Einzelfallprüfung, ob die konkrete Tätigkeit (auch) eine ZAG-Erlaubnis erfordert.

Bereits in ihrem ZAG-Merkblatt unter der PSD1 hatte die BaFin ausgeführt, dass nur bestimmte Inkassotätigkeiten kein Finanztransfergeschäft darstellen sollen. Das galt insbesondere für die Beitreibung von Forderungen in Form von Mahn- und Vollstreckungsaktivitäten sowie der gerichtlichen Geltendmachung von Forderungen. Implizit galt damit auch schon unter der PSD1, dass nur die Beitreibung zahlungsgestörter Forderungen (nur für diese ist z.B. ein Mahn- und Vollstreckungsverfahren überhaupt notwendig) kein Finanztransfergeschäft darstellt. Im bisherigen Merkblatt zum ZAG unter der PSD2 war dann auch nur noch ein kurzer Hinweis enthalten, dass nur die Eintreibung nicht bezahlter, also zahlungsgestörter Forderungen kein Zahlungsdienst darstellt. Diese Verkürzung hat leider teilweise zu dem Missverständnis geführt, dass bei sämtlichen, wie auch immer gestalteten Tätigkeiten der Forderungseintreibung (Inkasso) kein Zahlungsdienst und insbesondere kein Finanztransfergeschäft vorliegen kann und eine ZAG-Erlaubnis von vornherein ausscheidet.

Nun stellt die BaFin wieder ausdrücklich klar, dass nur Inkassotätigkeiten bzgl. zahlungsgestörter Forderungen, also Mahn- und Vollstreckungsaktivitäten sowie die gerichtliche Geltendmachung von Forderungen, keinen Zahlungsdienst darstellen. Bei Geschäftstätigkeiten, die umfangreicher in die Forderungsabwicklung eingebunden sind, sich etwa um die Abwicklung schlicht rechtzeitig bezahlter Forderungen kümmern, ist weiterhin zu prüfen, ob im Einzelfall eine ZAG-Erlaubnis erforderlich ist.

Fazit

AIS und Finanztransfergeschäft sind Zahlungsdienste, die häufiger mal unbemerkt in Geschäftsmodellen von Dienstleistern „versteckt liegen“, die sich selbst gar nicht als Zahlungsdienstleister verstehen, deren Serviceleistung aber z.B. einen Kontozugriff oder die Abwicklung von Zahlungen beinhaltet.  Die BaFin zeigt mit ihren Aktualisierungen nun deutlich den Rahmen für erlaubnispflichtige AIS und erlaubnispflichtiges Finanztransfergeschäft auf und trägt damit zu mehr Rechtsverständnis und -klarheit bei der aufsichtsrechtlichen Einordnung von Geschäftsmodellen bei.

Die neue Inhaberkontrollverordnung – Änderungen seit 28. Dezember 2022 in Kraft

Am 27. Dezember 2022 wurde die sog. Dritte Verordnung zur Änderung der Inhaberkontrollverordnung (Verordnung über die Anzeigen nach § 2c des Kreditwesengesetzes und § 17 des Versicherungsgesetztes – kurz: Inhaberkontrollverordnung – InhKontrollV) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Bundesgesetzblatt veröffentlicht (BGBl. Nr. 55). Am 28. Dezember 2022 trat die neue Verordnung in Kraft. Da das Inhaberkontrollverfahren ein Dauerthema ist, gibt es hier einen Überblick über die verschärften Anzeigepflichten.

Hintergrund: Was regelt die InhKontrollV?

Das Ziel eines Inhaberkontrollverfahrens ist es, die Aufsichtsbehörden frühzeitig über Veränderungen in der Inhaberstruktur eines Instituts zu informieren. Die zuständige Aufsichtsbehörde kann den beabsichtigten Erwerb der bedeutenden Beteiligung oder ihre Erhöhung auch untersagen.

Die InhKontrollV statuiert daher Anzeigepflichten von Personen und Unternehmen (sog. Anzeigepflichtige), die den Erwerb einer bedeutenden Beteiligung an einem Kreditinstitut, Finanzdienstleistungsinstitut, Versicherungsunternehmen, Pensionsfonds bzw. an bestimmten Versicherungs-Holdings (sog. Zielunternehmen) beabsichtigen.

Eine bedeutende Beteiligung wird in § 1 Abs. 9 des Kreditwesengesetzes (KWG) definiert, der wiederum auf Art. 4 Abs. 1 Nr. 36 der Verordnung (EU) Nr. 575/2013 (CRR-Verordnung) verweist. Danach ist unter einer bedeutenden Beteiligung „das direkte oder indirekte Halten von mindestens 10 % des Kapitals oder der Stimmrechte eines Unternehmens oder eine andere Möglichkeit der Wahrnehmung eines maßgeblichen Einflusses auf die Geschäftsführung dieses Unternehmens“ zu verstehen.

Die Anzeigepflichtigen müssen im Rahmen eines Inhaberkontrollverfahrens gegenüber der BaFin und der für das betroffene Institut zuständigen Hauptverwaltung der Deutschen Bundesbank eine Vielzahl an Erklärungen abgeben und umfangreiche Dokumente wie bspw. Lebensläufe und polizeiliche Führungszeugnisse zur Beurteilung der Zuverlässigkeit von Geschäftsleitern einreichen.

Was hat sich durch die gesetzliche Neuregelung konkret geändert?

Durch die Änderung der InhKontrollV werden zahlreiche, in den letzten Jahren erfolgte Änderungen des KWG und des Versicherungsaufsichtsgesetzes (VAG) berücksichtigt. Anpassungsbedarf bestand aufgrund von Änderungen des Risikoreduzierungsgesetzes (RiG). Zudem wurden nun auch die „Gemeinsamen Leitlinien zur aufsichtsrechtlichen Beurteilung des Erwerbs und der Erhöhung von qualifizierten Beteiligungen im Finanzsektor“ der Europäischen Aufsichtsbehörden für Banken, Versicherer und den Wertpapierhandel (EBA, EIOPA und ESMA) in der Neufassung der InhKontrollV einbezogen. Darüber hinaus wurden auch redaktionelle Anpassungen vorgenommen.

Insgesamt ergeben sich für Anzeigepflichtige durch die Neufassung sowohl Verschärfungen als auch einige Erleichterungen bei der Einreichung von Unterlagen im Rahmen eines Inhaberkontrollverfahrens.

Verschärfungen durch die neue InhKontrollV

So müssen etwa zukünftig ausführlichere Informationen zu neuen Geschäftsleitern (Angaben zu der Zeit, die Geschäftsleiter jährlich und monatlich ihrer Funktion in dem Zielunternehmen widmen) und zu Nebentätigkeiten der Geschäftsleiter (Angaben über weitere Mandate als Geschäftsleiter oder als Mitglieder von Verwaltungs- oder Aufsichtsorganen anderer Unternehmen) bei der BaFin eingereicht werden (§ 8 Nr. 8 und Nr. 9 InhKontrollV).

Auch unterliegen fortan bestimmte Anzeigepflichtige (juristische Personen mit Sitz in einem Drittstaat, Staatsfonds, Private Equity Fonds und Hedgefonds) durch den neu eingefügten § 8a InhKontrollV verschärften Anzeigepflichten.

Hat der Anzeigepflichtige seinen Sitz in einem Drittstaat, so sind den Anzeigen zukünftig folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 1 InhKontrollV):

1. eine von öffentlichen Stellen des Drittstaats ausgegebene Unbedenklichkeitsbescheinigung oder, sofern der Drittstaat keine Unbedenklichkeitsbescheinigungen ausstellt, eine gleichwertige Bescheinigung, die von der Finanzaufsichtsbehörde des Drittstaats in Bezug auf den Anzeigepflichtigen ausgestellt wurde,

2. wenn verfügbar, eine Erklärung der Finanzaufsichtsbehörde des Drittstaats, dass keine Hindernisse oder Beschränkungen hinsichtlich der Bereitstellung der für die Beaufsichtigung des Zielunternehmens erforderlichen Informationen vorliegen, und

3. eine Zusammenfassung der für den Anzeigepflichtigen geltenden aufsichtsrechtlichen Vorschriften des Drittstaats.

Ist der Anzeigepflichtige ein Staatsfonds, so sind den Anzeigen folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 2 InhKontrollV):

1. Angaben mit der genauen Bezeichnung des Ministeriums oder der Regierungsabteilung, das bzw. die für die Festlegung der Anlagepolitik des Fonds zuständig ist,

2. Einzelheiten zur Anlagepolitik und zu sämtlichen Anlagebeschränkungen,

3. der Name und die Funktionsbezeichnung der Personen, die die Anlageentscheidungen für den Fonds treffen, und

4. Einzelheiten zu dem Einfluss, den das Ministerium oder die Regierungsabteilung nach Nr. 1 auf das Tagesgeschäft des Fonds und das Zielunternehmen ausübt.

Ist der Anzeigepflichtige ein Private-Equity-Fonds oder ein Hedgefonds, so sind den Anzeigen folgende Unterlagen und Erklärungen beizufügen (§ 8a Abs. 3 InhKontrollV):

1. eine detaillierte Beschreibung der Wertentwicklung bedeutender Beteiligungen an Kreditinstituten, Finanzdienstleistungsinstituten, Versicherungsunternehmen oder Pensionsfonds, die der Anzeigepflichtige früher erworben hat,

2. Einzelheiten zur Anlagepolitik und zu sämtlichen Anlagebeschränkungen einschließlich Einzelheiten zur Überwachung der Investitionen,

3. Faktoren, die ihm als Grundlage für die Anlageentscheidung in Bezug auf das Zielunternehmen dienen, und Faktoren, die zur Änderung seiner Erfolgsstrategie führen würden,

4. seine Entscheidungsstrukturen einschließlich der Namen und Funktionsbezeichnungen der Personen, die die Anlageentscheidungen treffen, und

5. eine detaillierte Beschreibung seiner Verfahren zur Bekämpfung von Geldwäsche einschließlich des hierfür geltenden rechtlichen Rahmens.

Darüber hinaus unterliegen Anzeigepflichtige, durch den ebenfalls neu gefassten § 9 InhKontrollV, erweiterten Angaben zur Zuverlässigkeit.

Neu aufgenommen wurden auch Regelungen zu Auswirkungen der Gruppenstruktur auf die Aufsicht vgl. (§ 11a InhKontrollV). Hierdurch ist einer Anzeige zukünftig eine Analyse des Umfangs der Beaufsichtigung auf konsolidierter Basis beizufügen. Dabei sind auch Angaben dazu zu machen, welche Unternehmen der Gruppe nach dem Erwerb oder der Erhöhung unter den Anwendungsbereich der Beaufsichtigung auf konsolidierter Basis fallen würden oder fallen und auf welchen Ebenen innerhalb der Gruppe diese Beaufsichtigung auf konsolidierter oder auf unterkonsolidierter Basis erfolgen würde oder erfolgt.

Erleichterungen durch die neue InhKontrollV

Neben den oben dargestellten Verschärfungen, ergeben sich aufgrund der Gesetzesänderung für Anzeigepflichtige auch Erleichterungen, wie etwa aus § 16 InhKontrollV. Ein Anzeigepflichtiger muss nach neuer Rechtslage Unterlagen und Erklärungen nicht erneut einreichen, die er innerhalb der letzten zwei Jahre vor der aktuellen Anzeige mit einer Anzeige eingereicht hat, es sei denn, die in den Unterlagen und Erklärungen enthaltenen Angaben treffen nicht mehr zu (§ 16 Abs. 1 InhKontrollV). Diese Frist lag bislang bei nur einem Jahr.

Eine weitere Neuerung ergibt sich bei der Anzeige von Anzeigepflichtigen, die konzernangehörig sind. Diese müssen ihrer Anzeige in Zukunft keinen Geschäftsplan mehr beifügen, wenn sie am Zielunternehmen nur indirekt beteiligt sind und nicht an der Konzernspitze stehen. Sofern es sich in bei dem Zielunternehmen in diesem Fall um ein Finanzdienstleistungsinstitut handelt, welches ausschließlich Factoring und Finanzierungsleasing (§ 1 Abs. 1a S. 2 Nr. 9 und Nr. 10 KWG) erbringt, sieht § 16 Abs. 12 InhKontrollV sogar einen kompletten Verzicht auch auf sonstige Erklärungen und Unterlagen vor.

Zusammenfassung und Ausblick

Die geänderte InhKontrollV dehnt den Umfang der von den Anzeigepflichtigen einzureichenden Unterlagen und Erklärungen insgesamt aus, beinhaltet aber gleichzeitig teilweise Erleichterungen für Anzeigepflichtige. Besonders positiv zu bewerten ist etwa die verlängerte Möglichkeit auf bereits bei der Aufsicht eigereichte Unterlagen zu verweisen. Insbesondere für Anzeigepflichtige aus Drittstaaten, Staatsfonds sowie Private-Equity- und Hedgefonds bringt die Neuregelung jedoch auch zusätzliche Vorgaben. Es bleibt alles in allem jedoch weiterhin mühsam.

DORA – ein inhaltlicher Überblick

Nachdem wir uns im ersten Teil der Beitragsreihe mit dem Anwendungsbereich von DORA beschäftigt haben, betrachten wir in diesem zweiten Teil nun die inhaltlichen Regelungen der neuen europäischen Verordnung etwas genauer. Dieser Blogbeitrag beleuchtet fünf Handlungsfelder von DORA, die entsprechenden Anpassungsaufwand auf Seiten der betroffenen Finanzunternehmen nach sich ziehen werden.

Am 27. Dezember 2022 wurde die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) im Amtsblatt der Europäischen Union veröffentlicht. DORA tritt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union – und damit am 16. Januar 2023 – in Kraft und muss von den betroffenen Unternehmen nach einer Umsetzungsfrist von 24 Monaten nach der Veröffentlichung, folglich ab dem 17. Januar 2025 angewendet werden (Art. 64 DORA). Die Anforderungen der DORA sind damit in allen EU-Mitgliedstaaten einheitlich. Hieran anknüpfend werden die Europäischen Aufsichtsbehörden (ESAs), die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Konkretisierung des Rechtsakts technische Standards (sog. Regulatory Technical Standards – RTS) ausarbeiten, die von den jeweiligen Unternehmen erfüllt werden müssen.

Betroffenen Unternehmen ist zu raten, den persönlichen Anwendungsbereich von DORA zu prüfen und sich mit den gesetzlichen Verpflichtungen bereits frühzeitig vertraut zu machen. DORA enthält fünf Themenbereiche, die im Folgenden zusammenfassend dargestellt und eingeordnet werden.

1. IKT-Risikomanagement

Wenig überraschend muss das Risikomanagement von regulierten Finanzmarktteilnehmern auch nach DORA künftig das IKT-Risiko umfassen. Das ist nach der MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT, ZAIT und VAIT keine neue Vorgabe. Allerdings sind die Vorgaben in DORA konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin.

Kapitel II von DORA enthält Vorschriften zum IKT-Risikomanagement von Finanzunternehmen. Ein Einsatz von IKT muss durch das Finanzunternehmen in die Unternehmensstrategie integriert werden. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich bei der Geschäftsleitung des jeweiligen Finanzunternehmens. Zudem werden mit DORA Verpflichtungen eingeführt, die sicherstellen sollen, dass IKT-Systeme kontinuierlich überwacht und kontrolliert werden, sowie durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden. Um Ausfallzeiten von IKT-Systemen zu minimieren, müssen betroffene Unternehmen auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten. Sämtliche interne Risikodokumente müssen verschriftlicht sein, um entsprechend intern und extern überprüfbar zu sein.

2. Berichterstattung / Meldepflichten

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. Nach Kapitel III von DORA werden Finanzunternehmen künftig verpflichtet sein, einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen zu implementieren. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat (vgl. Art. 3 Nr. 8 DORA).

Finanzunternehmen müssen nach Art. 17 DORA Frühwarnindikatoren einrichten, um Cyberangriffe zu erkennen und zu bewältigen. Weiterhin schafft DORA einheitliche und standardisierte Vorgaben zum Vorgehen bei IT-Sicherheitsvorfällen. So beschreibt beispielsweise Art. 18 DORA ein Verfahren zur Klassifizierung, basierend auf Faktoren wie Dauer und Schwere des IKT-bezogenen Vorfalls auf die IKT-Systeme des Finanzunternehmens.

Schwerwiegende IKT-bezogene Vorfälle (vgl. Art. 3 Nr. 10 DORA) müssen durch das jeweilige Finanzunternehmen gemäß Art. 19 DORA der zuständigen Aufsichtsbehörde (vgl. Art. 46 DORA) gemeldet werden.

Bereits unter der derzeit geltenden Rechtslage bestehen Berichts- und Meldepflichten etwa durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister oder die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Die DORA-Verordnung baut dabei auf der NIS-Richtlinie auf und beseitigt mögliche Überschneidungen durch eine Ausnahme mittels des lex specialis Prinzips, sodass die Regelungen der DORA grundsätzlich Vorrang genießen sollten.

3. Prüfung der digitalen Betriebsstabilität durch Test-Verfahren

DORA schreibt weiterhin auch umfassende Verfahren zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests vor (Kapitel IV DORA). Dabei sind diese Prüfungen anhand des bereits erwähnen risikobasierten Ansatzes unter Berücksichtigung der Größe und Geschäfts- und Risikoprofile der jeweiligen Finanzunternehmen durchzuführen. Die DORA-Verordnung listet in Art. 25 Abs. 1 Beispiele geeigneter Tests auf, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von OpenSource-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.

Finanzunternehmen müssen mindestens einmal jährlich alle kritischen IKT-Systeme und IKT-Anwendungen prüfen. Diese Prüfungen können dabei sowohl durch externe als auch durch interne Prüfer durchgeführt werden (vgl. Art. 24 Abs. 4, 6 DORA).

Systemrelevante Institute hingegen werden höheren Anforderungen mit Blick auf die Prüfung ihrer IKT-Systeme unterworfen. DORA sieht für diese Institute erweiterte Prüfungen durch die Durchführung sog. bedrohungsorientierter Penetrationstests vor, wobei diese Tests in regelmäßigen Abständen mindestens alle drei Jahre durchzuführen sind.

4. IKT-Risiken Dritter / Outsourcing

Da Institute ihre IT häufig an große Technologieanbieter auslagern oder solche Anbieter für einzelne Dienstleistungen verwenden, werden Finanzinstitute deshalb im Rahmen ihres Risikomanagements verpflichtet, auch IKT-Drittparteienrisiken zu betrachten (Kapitel V DORA). So legt etwa Art. 30 DORA wesentliche Vertragsbestimmungen für Auslagerungsverträge fest. Derartige Verträge müssen z.B. eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, fortlaufende Überwachungsrechte des Finanzunternehmens oder auch Kündigungsrechte und Ausstiegsstrategien enthalten. Diese Vorgaben knüpfen nahtlos an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer an.

5. Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsregimes für kritische Technologieanbieter, die im Finanzsektor genutzt werden. Das ist auf europäischer Ebene neu, in Deutschland wurde eine entsprechende Kompetenz der BaFin bereits durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 25b Abs. 4a KWG eingeführt. Allerdings gehen die Befugnisse der BaFin beim Durchgriff auf das IT-Auslagerungsunternehmen nicht so weit, wie es DORA vorsieht. Nach § 25b KWG kann die BaFin im Einzelfall geeignete Anordnungen gegenüber IT-Auslagerungsunternehmen erlassen. Die aufsichtlichen Befugnisse bei der Überwachung der IKT-Drittanbieter nach Art. 35 DORA sind wesentlich detaillierter und weitgehender. Sie umfassen beispielsweise die Anforderung von Informationen und Unterlagen, Vor-Ort-Prüfungen oder auch die Verhängung von Zwangsgeldern, um den jeweiligen kritischen IKT-Drittanbieter zur Einhaltung der gesetzlichen Regelungen zu zwingen. Die neuen Befugnisse ermöglichen der BaFin eine umfassende Aufsicht der kritischen IKT-Drittanbieter.

Die Einstufung eines Technologieanbieters als kritischer IKT-Drittdienstleister und dessen Überwachung obliegt den ESAs. Dabei basiert die Ernennung auf festgelegten Kriterien, wie etwa:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen

Zusammenfassung und Ausblick

Durch den umfassenden Anwendungsbereich von DORA werden Unternehmen aus zahlreichen Bereichen des Finanzsektors erfasst. Mit DORA wird ein Rechtsrahmen entstehen, der bestehende regulatorische Anforderungen an die IT-Sicherheit für die gesamte Finanzbranche zusammenfasst und einen europäisch einheitlichen Aufsichtsrahmen schafft.

Erstmals sind nun auch kritische IKT-Dienstleister, die als Auslagerungsunternehmen für regulierte Finanzmarktteilnehmer agieren, von der Regulierung umfasst.

 

Die Verordnung des europäischen Parlamentes und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) – ab 16.1.2023 in Kraft

Die Digitalisierung des Finanzsektors durch den Einsatz von Informationstechnik (IT) schafft für Anbieter von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten, birgt für die Branche jedoch, angesichts der wachsenden Gefahr von Cyberangriffen, auch zahlreiche Risiken. In Zukunft wird mit dem sog. Digital Operational Resilience Act – („DORA“) ein EU-weiter Rechtsrahmen für die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor zu beachten sein.

Was ist DORA?

Um die Stabilität des Finanzmarktes auch im Falle einer schwerwiegenden Störung zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission am 24. September 2020 den DORA-Regulationsentwurf im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package) vorgelegt, der auch die Digital Finance Strategy, die Retail Payment Strategy, einen Vorschlag zur Distributed-Ledger-Technologie (DLT) sowie den Act on Markets in Crypto Assets (MiCA) enthält.

Derzeit müssen sich Unternehmen des Finanz- und Versicherungssektors bei einem Einsatz von IT oder der Einbeziehung von IT-Dienstleistungen auf nationaler Ebene an eine Vielzahl aufsichtsrechtlicher Anforderungen mit Blick auf Cybersicherheit halten. In Deutschland zeigt sich dies etwa an den Vorgaben der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT, die für jede Branche des Finanz- und Versicherungsmarktes individuelle Regelungen aufstellen. Wir fangen hier in Deutschland also nicht bei Null an, sondern bauen auf einem Standard auf, der bereits seit Jahren im Fokus der Aufsicht steht und bereits eine gewisse Resilienz bewiesen hat.

Ziel von DORA ist die Harmonisierung der nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor. Innerhalb der Europäischen Union soll so ein einheitlicher Rechtsakt über die digitale Betriebsstabilität von Finanzdienstleistungen entstehen. Bezweckt ist die Schaffung eines umfassenden Rahmens auf Ebene der Europäischen Union mit einheitlichen Vorschriften, die den Anforderungen an die digitale Betriebsstabilität von regulierten Unternehmen auf dem Finanzmarkt Rechnung tragen sowie die Schaffung eines gemeinsamen Aufsichtsrahmens für Drittanbieter von Informations- und Kommunikationstechnologien (IKT).

Wer ist von DORA betroffen?

DORA wird auf Finanzunternehmen und sog. IKT-Drittanbieter anwendbar sein. Unter einem IKT-Drittanbieter ist ein Unternehmen zu verstehen, welches digitale Dienste und Datendienste erbringt und schließt auch Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren ein.  

Welche Unternehmen unter die Sammelbezeichnung der Finanzunternehmen zu fassen sind, wird in Art. 2 Abs. 1 a) bis t) DORA aufgelistet. Demnach sind nicht nur Kreditinstitute, Zahlungsdienstleister, E-Geld-Institute und Wertpapierfirmen vom Anwendungsbereich von DORA umfasst, sondern beispielsweise auch Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Dienstleister, Ratingagenturen und Anbieter von Krypto-Dienstleistungen.

Der insgesamt sehr weite Anwendungsbereich von DORA soll nach dem Willen des europäischen Gesetzgebers für eine möglichst einheitliche Anwendung der gesetzlichen Verpflichtungen im Hinblick auf IKT-Risiken sorgen und letztlich gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen schaffen.

Was sind die zentralen Verpflichtungen unter DORA?

Die neue Verordnung berücksichtigt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Aus diesem Grund verfolgt DORA einen risikobasierten Regulierungsansatz unter Beachtung der Verhältnismäßigkeit (sog. Proportionalitätsprinzip). Dies dient dazu, den weiten Anwendungsbereich von DORA zu korrigieren und sorgt dafür, dass je nach Größe des Unternehmens unterschiedliche Anforderungen gelten. Dadurch fallen auch Kleinstunternehmen nahezu gänzlich aus dem Anwendungsbereich von DORA heraus. DORA wurde zudem technologieneutral ausgestaltet, wodurch auch künftige technologische Entwicklungen auf dem Finanzmarkt erfasst werden sollen.

DORA sieht dabei eine Reihe von Handlungsfeldern vor, die entsprechenden Anpassungsaufwand auf Seiten der Finanzunternehmen nach sich ziehen. Diese sollen in einem Teil 2 zu diesem Beitrag näher beleuchtet werden.

Gegen Greenwashing: Neue Regulierung von Fondsnamen

ESG, green, sustainable, impact investing…der Name eines Fondsprodukt ist oft das, was ein potentieller Investor als Erstes sieht. Auch wenn für die Rendite letztlich maßgeblich ist, welche Assets im Fonds enthalten sind, ist der Name des Fonds doch häufig das, was das Interesse weckt. Hier ist die Gefahr von Greenwashing, sprich der Verwendung von ESG-Begriffen, ohne dass aber entsprechendes Commitment besteht, also besonders groß.

Die gesamte Nachhaltigkeitsregulierung im Finanzmarkt dient deshalb dem übergeordneten Ziel, Transparenz zu schaffen, Anlegervertrauen zu fördern und damit Kapital hin zu einer nachhaltigeren Wirtschaft bereitzustellen. Dazu legt z.B. die Taxonomie-Verordnung als Grundlage eine einheitliche Definition nachhaltiger Wirtschaftstätigkeit fest. Die EU-Offenlegungsverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) regelt z.B. nachhaltigkeitsbezogene vorvertragliche Informationspflichten. Ein weiterer Baustein gegen Greenwashing ist nun die Schaffung von EU-Vorgaben zu Fondsnamen.

Die BaFin-Richtlinie für nachhaltige Investmentvermögen

Bereits im August 2021 hat die BaFin den Entwurf einer Richtlinie für nachhaltige Investmentvermögen zur Konsultation gestellt, die in ihrem Anwendungsbereich allerdings auf Publikumsfonds beschränkt ist. Sie zielt auf solche Publikumsfonds ab, die in ihrem Namen einen Nachhaltigkeitsbezug aufweisen. Drei Möglichkeiten sind vorgesehen, unter denen ein Fonds als nachhaltig aufgelegt werden kann: (i) aufgrund der Investition in nachhaltige Vermögensgegenstände, (ii) aufgrund einer nachhaltigen Anlagestrategie und (iii) durch die Nachbildung eines nachhaltigen Index. Eine Investition in nachhaltige Vermögensgegenstände kann durch die Aufnahme einer Regelung in die Anlagegrenzen erfolgen, wonach der Fonds zu mind. 75% in Taxonomie-konforme Vermögensgegenstände investiert sein muss. Ausführlich haben wir bereits hier darüber berichtet. Vor dem Hintergrund der dynamischen regulatorischen Lage hat die BaFin sich allerdings dazu entschlossen, die Richtlinie zurückzustellen, gleichzeitig ihre Verwaltungspraxis aber an den dort genannten Grundsätzen auszurichten.

Der Vorschlag der ESMA

Mitte November 2022 hat die ESMA ihren Entwurf für Guidelines für Fondsnamen mit ESG-Bezug veröffentlicht. Diese sind bereits deutlich konkreter als das vorangegangene Supervisory Briefing vom Mai 2022.

…gilt für…

Die Guidelines sollen für sämtliche Fondsverwaltungsgesellschaften gelten, erfassen also v.a. OGAW und AIF und sind insbesondere nicht auf Publikumsfonds beschränkt. Durch die Guidelines werden die in der OGAW-Richtlinie, der AIFMD und der Verordnung zum grenzüberschreitenden Fondsvertrieb enthaltenen Grundsätze des redlichen Verhaltens von Fondsverwaltungsgesellschaften sowie die Verpflichtung zu fairer, klarer und nicht irreführender Werbung konkretisiert.

Relevant werden die Guidelines für sämtliche Fondsdokumentation wie den Prospekt, die vorvertraglichen Informationen, die Halbjahres- und Jahresberichte und die Gründungsdokumente sowie für sämtliche Marketingkommunikation, geäußert z.B. durch Pressemitteilungen, auf Webseiten, mittels Präsentationen, auf Social Media oder im Rahmen von Diskussionsforen. Sie sollen nicht nur die Fondsverwaltungsgesellschaften selbst, sondern auch für ihre Vertriebspartner gelten.

…und regelt

Unter der SFDR sind Fonds bereits jetzt verpflichtet, z.B. in vorvertraglichen Informationen offenzulegen, wie die geförderten sozialen oder ökologischen Merkmale (Art. 8 SFDR) bzw. die nachhaltigen Anlageziele (Art. 9 SFDR) erreicht werden. Ab 2023 sind dazu verbindliche Vorlagen des EU-Gesetzgebers zu verwenden. Dabei ist auch offenzulegen, welcher Anteil der dem Fonds zugrunde liegenden Vermögensgegenstände verwendet wird, um die geförderten Merkmale bzw. die nachhaltige Anlagestrategie zu erreichen.

Hier setzt der Vorschlag der ESMA an:

  • Bei Fonds, die einen ESG- oder impact-Bezug im Namen aufweisen, müssen mindestens 80% der Vermögenswerte dazu verwendet werden, die geförderten ökologischen oder sozialen Merkmale bzw. die nachhaltigen Anlageziele zu erreichen.
  • Bei Fonds, die einen Nachhaltigkeitsbezug im Namen aufweisen, müssen von diesen 80% mindestens 50% die Voraussetzungen von Art. 2 Nr. 17 SFDR erfüllen, also letztlich Taxonomie-konform sein.
  • Für die verbleibenden Vermögenswerte sowie als grundsätzliche Mindestanforderung an alle Vermögenswerte schlägt die ESMA die Anwendung der Mindestanforderungen vor, die bereits im Zusammenhang mit Klimabenchmarks geregelt sind. Ausgeschlossen wären danach z.B. Investments in Unternehmen, die an umstrittenen Waffen beteiligt sind.
  • Die Wörter „Impact“ oder „Impact Investing“ dürfen von Fonds nur verwendet werden, wenn die o.g. Schwellenwerte eingehalten werden und Investitionen unter diesen Mindestanteilen zudem mit der Absicht getätigt werden, neben einer finanziellen Rendite positive, messbare soziale oder ökologische Auswirkungen zu erzielen.

Durch die Guidelines will die ESMA EU-weit einheitliche Regelungen erreichen, was insbesondere den grenzüberschreitenden Fondsvertrieb erleichtert. Die von ihr vorgeschlagene Quote für Investitionen in Taxonomie-konforme Investments ist deutlich niedriger als die 75% der BaFin. Wie immer bei EU-Guidelines müssen die nationalen Aufsichtsbehörden erklären, ob sie diese anwenden und falls nein, begründen, warum nicht. Es bleibt daher abzuwarten, wie die BaFin mit ihrer Richtlinie umgehen wird. Eine Möglichkeit wäre, die ESMA Guidelines als Mindeststandard anzuwenden, für Publikumsfonds aber an der Richtlinie festzuhalten.

Ab wann gilts?

Die ESMA will finale Guidelines in Q2/Q3 2023 veröffentlichen. Für Fonds, die vor den finalen Guidelines aufgelegt wurden, ist eine Übergansphase von 6 Monaten vorgesehen. Diese haben somit ein halbes Jahr Zeit, entweder die Vorgaben der Guidelines zu erfüllen oder den Fondsnamen zu ändern. Erfahrungsgemäß halten sich Änderungen zur Entwurfsfassung in der Regel in Grenzen, sodass Marktteilnehmer ihre Produkte bereits einer entsprechenden Prüfung unterziehen sollten.

Update Nachhaltigkeitsregulierung – Was gibt es Neues?

In der Nachhaltigkeitsregulierung steckt derzeit selbst für das die Schnelllebigkeit gewohnte Finanzaufsichtsrecht viel Dynamik. In der Vergangenheit hatten wir bspw. schon über das Lieferkettensorgfaltspflichtengesetz, die Richtlinie der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) für nachhaltige Investmentvermögen und die technischen Regulierungsstandards zur EU-Transparenzverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) berichtet. Doch was hat sich in der Zwischenzeit getan? Nachfolgend gibt es ein Update über ausgewählte aktuelle Entwicklungen der Nachhaltigkeitsregulierung.

1. Finale RTS zur SFDR

Die durch mehrere „Entwurfsrunden“ gegangenen technischen Regulierungsstandards (Regulatory Technical Standards – „RTS“) liegen mittlerweile als Delegierte Verordnung (EU) 2022/1288 in finaler Fassung vor (abrufbar hier). Die RTS zur SFDR konkretisieren insbesondere die Anforderungen an die Transparenzpflichten in vorvertraglichen Informationen, auf der Internetseite und in Jahresberichten. Die dazu in der Delegierte Verordnung (EU) 2022/1288 enthaltenen Vorlagen gelten ab dem 1. Januar 2023.

2. ESMA Sustainable Finance Timeline

Wer sich einen aktuellen Überblick über den zeitlichen Fahrplan der Nachhaltigkeitsregulierung verschaffen möchte, ist bei der Sustainable Finance Timeline der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) vom 26. September 2022 gut aufgehoben.

3. BaFin Q&A zur SFDR

Zudem hat die BaFin am 5. September Q&A zur SFDR veröffentlicht. Ausgewählte Fragen und Antworten werden nachfolgen näher vorgestellt.

Die BaFin stellt nochmal ausdrücklich klar, dass Finanzanlagenvermittler nach § 34f GewO nicht nach der SFDR verpflichtet sind. Sie qualifizieren aufgrund der Bereichsausnahme des KWG (§ 2 Abs. 6 S. 1 Nr. 8 KWG) nicht als Finanzdienstleistungsinstitut und damit auch nicht als MiFID II-Wertpapierfirma; (nur) an diese richtet sich aber die SFDR.

Zudem wird zunehmend klarer, was genau unter „bewerben“ im Sinne des Art. 8 SFDR zu verstehen ist. Nach Art. 8 SFDR sind für Finanzprodukte, die ökologische oder soziale Merkmale bewerben, bestimmte vorvertragliche Transparenzpflichten zu erfüllen. Die BaFin legt „bewerben“ als „fördern“ aus. Das führt dazu, dass es für die Anwendbarkeit der Transparenzpflichten nach Art. 8 SFDR nicht erforderlich ist, dass für ein Finanzprodukt Werbung betreiben wird, z.B. in Form von Marketingmitteilungen. Umgekehrt wird Art. 8 SFDR nicht schon dadurch „ausgelöst“, dass lediglich angegeben wird, wie Nachhaltigkeitsrisiken bei Investitionsentscheidungen einbezogen werden (das ist vielmehr Grundinformation in vorvertraglichen Informationen für sämtliche Finanzprodukte, vgl. Art. 6 SFDR). Vielmehr muss das Finanzprodukt ökologische oder soziale Merkmale zielgerichtet fördern und dies nach außen kommunizieren. Dem Fördern können aktive oder passive Anlagestrategien zugrunde liegen. Ein zielgerichtetes Fördern von ökologischen Merkmalen könnte etwa bei einem Immobilienfonds vorliegen, der bei der Auswahl der Immobilien deren CO2-Fußabdruck berücksichtigt und dies entsprechend in der Fondsdokumentation verschriftlich ist.

4. Siebte MaRisk-Novelle

Bereits am 20.Dezember 2019 hat die BaFin ein Merkblatt zum Umgang mit Nachhaltigkeitsrisiken veröffentlicht. Darin empfiehlt die BaFin eine strategische Befassung mit Nachhaltigkeitsrisiken und eine Anpassung des Risikomanagements. Das Merkblatt enthält jedoch lediglich eine Zusammenstellung von unverbindlichen Verfahrensweisen (Good-Practice).

Mit der Konsultation zu den geplanten Änderungen der Mindestanforderungen an das Risikomanagement („MaRisk“) sollen die Leitplanken des Merkblatts nunmehr in den Regelungstext der MaRisk aufgenommen. Die Anforderungen an die Berücksichtigung von Nachhaltigkeitsrisiken im Risikomanagement werden damit zu prüfungsrelevanten Anforderungen. Im Ergebnis sollen beaufsichtigte Unternehmen auch im Umgang mit Nachhaltigkeitsrisiken einen ihrem Geschäftsmodell und Risikoprofil angemessenen Ansatz entwickeln. Dazu sind bisherige Prozesse anzupassen und neue Mess-, Steuerungs- und Risikominderungsinstrumente zu entwickeln. Auch hier gilt aber der Proportionalitätsgrundsatz, sodass bei einem schwächer ausgeprägtem Risikoprofil einfacherer Prozesse ausreichen werden.

Und sonst?

Derzeit arbeitet der europäische Gesetzgeber an der Erweiterung der Taxonomie-Verordnung zur Definition von sozialer Wirtschaftstätigkeit sowie Vorgaben zur guten Unternehmensführung; bisher deckt die Taxonomie-Verordnung nur die ökologische Nachhaltigkeit und damit nur das „E“ aus „ESG“ ab. Die EU Platform for Sustainable Finance hat dazu bereits im Februar diesen Jahres einen Final Report veröffentlicht.

Der Entwurf des BaFin-Richtlinie für nachhaltige Investmentvermögen ist hingegen erstmal wieder zurückgestellt, zu dynamisch schien das derzeitige regulatorische Umfeld für eine finale Regelung. Gleichzeitig wird die BaFin aber ihre Verwaltungspraxis an dort genannten Grundsätzen ausrichten, sodass sich der Markt faktisch an der Richtlinie orientieren wird.

Es ist also Bewegung in der Nachhaltigkeitsregulierung und längst sind noch nicht alle Fragen der Praxis geklärt. Es bleibt daher, wie immer im Aufsichtsrecht, spannend.

Bedeutung der Reverse Solicitation im grenzüberschreitenden Fondsvertrieb – Kommt ein neues Reporting?

Ende letzten Jahres hat die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA) Daten dazu veröffentlicht, in welchem Umfang über die sog. Reverse Solicitation in Fondsprodukte investiert wird. In diesem Beitrag wollen wir einen Blick darauf werfen, wie sich die sog. Reverse Solicitation vom klassischen Vertrieb unterscheidet und welche Daten es zu Reverse Solicitation gibt.

Fonds sind nichts Anderes als gebündeltes Kapital von Anlegern. Damit diese Gelder investieren können, müssen sie erst einmal von der Anlagemöglichkeit wissen und Zugriff auf die Fonds haben. Das geschieht, indem die Kapitalverwaltungsgesellschaft (KVG) ihre Produkte auf dem Markt anbietet, diese also vertreibt. Der Vertrieb ist aufsichtsrechtlich reguliert und als das Anbieten und Platzieren von Fondsanteilen oder –aktien definiert. Damit ein Fondsprodukt auf dem deutschen Markt vertrieben werden darf, muss die KVG bestimmte regulatorische Anforderungen erfüllen, z.B. dem Anleger bestimmte Informationen und Dokumente über ihr Produkt zur Verfügung stellen.

Vertriebsvorgaben gelten dabei nicht nur für deutsche Fonds, die auf dem deutschen Markt angeboten werden sollen. Aufsichtsrechtliche Vertriebsvorgaben gelten auch für EU-Fonds, die in Deutschland angeboten werden sollen. So muss bspw. eine luxemburgische KVG, die einen luxemburgischen Fonds auf dem deutschen Markt anbieten will, diese erfüllen. Gemeinsam ist diesen Vertriebskonstellationen, dass die Initiative von der KVG ausgeht; sie bietet ihre Fondsprodukte zur Zeichnung aktiv auf dem Markt an und möchte deutsche Anleger erreichen.

Allerdings: Viele Investoren, gerade institutionelle, wissen häufig genau, welche Anlagemöglichkeit sie suchen und wie diese ausgestaltet sein soll. Sie warten also nicht, bis ihnen auf dem Markt eine geeignete Investitionsmöglichkeit angeboten wird, sondern fragen diese aktiv selbst an. Hier geht die Investitionsinitiative also von dem Investor, und nicht von der KVG aus. Aufsichtsrechtlich liegt dann kein Vertrieb vor und die Vertriebsvorgaben finden keine Anwendung.

Entsprechendes gilt auch für grenzüberschreitende Konstellationen: Fragt z.B. ein deutscher Anleger ein irisches Fondsprodukt einer irischen KVG an, geht die Investitionsinitiative von ihm aus, einen aktiven Vertrieb der irischen KVG auf dem deutschen Markt gibt es in dieser Konstellation nicht. Der Anleger macht hier von seiner passiven Dienstleistungsfreiheit (sog. Reverse Solicitation) Gebrauch. Die passive Dienstleistungsfreiheit ist Teil der EU-Grundfreiheiten und wird durch die aufsichtsrechtliche Regulierung des Vertriebs nicht berührt. Sie schützt die Freiheit, dass ein Empfänger einer Dienstleistung (hier der deutsche Anleger) aus einem anderen Mitgliedstaat kommt (aus Sicht der irischen KVG also Deutschland) als der Dienstleister (in unserem Beispiel die irische KVG).

Lässt sich Kapital also ganz einfach über die passive Dienstleistungsfreiheit einsammeln und damit die aufsichtsrechtlichen Anforderungen an den Vertrieb umgehen? Könnten sich KVGen also stets darauf berufen, gar nichts selbst auf den Markt zugegangen zu sein, sondern dass die Initiative stets vom Anleger ausging? Hier ist Vorsicht geboten. Fondsanbieter sollten keine vollständigen Vertriebsmodelle auf die Reverse Solicitation stützen. Der gesetzliche Regelfall ist der Vertrieb, also, dass die KVG ihr Produkt aktiv auf dem Markt platziert. Ist es ausnahmsweise umgekehrt und der Investor kommt aktiv mit einer Investitionsanfrage auf den Anbieter zu, sollte die KVG sich (gegenüber der Aufsicht) absichern und das gut dokumentieren.

Auf Anfrage der EU-Kommission hat die ESMA bei den nationalen Aufsichtsbehörden nun eine Umfrage durchgeführt, in welchem Umfang über die sog. Reverse Solicitation in Fondsprodukte investiert wird. Interessant sind diese Daten für die EU z.B. deshalb, weil sie mit der AIFMD II jüngst ein Regelwerk verabschiedet hat, das den grenzüberschreitenden Fondsvertrieb erleichtern und vor allem vereinheitlichen soll (dazu haben wir bereits hier, hier und hier ausführlich berichtet). Die nationalen Aufsichtsbehörden verfügen laut ESMA jedoch nur vereinzelt über solche Daten. Laut der italienischen Aufsichtsbehörde Consob stammt ein Viertel des investierten Kapitals aus Reverse Solicitation, wovon wiederum 99% auf professionelle Investoren entfallen. In Zypern stammt laut CySEC 30% des von OGAW-KVGen und 50% des von AIF-KVGen genutzten Kapitals aus Reverse Solicitation. In Spanien hingegen geht man davon aus, dass lediglich ca. 1,3% des Kapital aus Reverse Solicitation stammen. Daten für Deutschland wurden nicht veröffentlicht.

Nach ihrer Umfrage kommt die ESMA zu dem Schluss, dass valide und permanente Daten über die Frage, wie viel Kapital für Fondsprodukte über den klassischen Vertrieb und über Reverse Solicitation eingesammelt wird, nur durch die Einführung eines neues Reporting gewährleisten werden. Konkrete Vorschläge für ein solches Reporting gibt es derzeit aber noch nicht. Es bleibt daher abzuwarten, ob die EU-Kommission den Vorschlag der ESMA aufgreifen wird, um sich ein genaueres Bild über die Bedeutung der Reverse Solicitation im grenzüberschreitenden Fondsvertrieb zu machen.

Institute und Risikoträger aufgepasst – die DelVO 2021/923 hat es in sich

Die sog. Risikoträger eines Instituts unterliegen Vergütungsbeschränkungen. Das ist nicht neu, schon im KWG ist festgelegt, dass Boni bei Risikoträgern in der Regel nur 200% der fixen Vergütung betragen dürfen.

Seit dem 27. Juni 2021 gibt es nun eine neue Rechtslage, die etwas unübersichtlich daherkommt. Seit der Umsetzung des Risikoreduzierungsgesetzes zum 29. Dezember 2020 gilt bereits für alle CRR-Institute eine Pflicht, ihre Risikoträger zu identifizieren. Im Gegensatz zu dem Regime für bedeutende Institute, das bisher in der DelVO 604/2014 geregelt war, traf die CRR-Institute aber nur ein Risikoträgeridentifizierungsregime „light“. Als Risikoträger galten Geschäftsleiter, Aufsichtsräte, bestimmte Führungspersonen. Nun gilt seit dem 27. Juni 2021 für alle die DelVO 2021/923 die wir kurz vorstellen möchten.

Was ist neu?

Die DelVO 2021/923 gibt nun allen Instituten qualitative und quantitative Merkmale zur Bestimmung ihrer Risikoträger an die Hand. Anknüpfungspunkt für die qualitativen Merkmale ist der Einfluss des jeweiligen Mitarbeiters auf das Risikoprofil des Instituts. Im Vergleich zu der Regelung des KWG ist die Liste der Risikoträger, die allein aufgrund ihrer Tätigkeit als Risikoträger betrachtet werden, wesentlich länger und weiter. Ab 27. Juni 2021 sind vor allem Mitarbeiter mit Managementzuständigkeiten für wesentliche Geschäftsbereiche oder für Kontrollaufgaben Risikoträger, da diese strategische oder andere grundlegende Entscheidungen treffen können, die sich auf die Geschäftstätigkeiten oder den angewendeten Kontrollrahmen auswirken. Dazu gehören auch Führungspersonen aus dem Bereich Risikomanagement, Compliance und Interne Revision sowie Mitarbeiter, die bei der Entscheidungsfindung wesentlich unterstützen.

Daneben gelten quantitative Merkmale, d.h. alle Mitarbeiter, die mehr als 750.000 EUR verdienen oder deren Verdienst in den oberen 0,3% der Gesamtvergütung des Instituts liegen, gelten ebenfalls als Risikoträger. Diese gesetzliche Vermutung kann ggf. widerlegt werden.

Was ist zu tun?

Bevor ein Institut anfangen kann, seine Risikoträger zu identifizieren, sollte eine Evaluation erfolgen, die folgende Punkte abdeckt:

  • Was ist das Risikoprofil der wesentlichen Geschäftsbereiche?
  • Wie ist das interne Kapital zur Absicherung der Risiken verteilt?
  • Was sind die Risikogrenzen des wesentlichen Geschäftsbereiche?
  • Was sind die Risiko- und Leistungsindikatoren zur Ermittlung, Steuerung und Überwachung der Risiken der wesentlichen Geschäftsbereiche?
  • Welche Leistungskriterien liegen der variablen Vergütung jeweils zugrunde?
  • Was sind die Pflichten und Befugnisse der einzelnen Mitarbeiter?

Sobald sich das Institut darüber im Klaren ist, welcher Mitarbeiter welches Risikoprofil hat, müssen in einem zweiten Schritt die Risikoträger jeweils identifiziert werden. Das alles ist zu dokumentieren. In einem dritten Schritt wäre dann zu prüfen, ob die Vergütungsbeschränkungen hinsichtlich der variablen Vergütung dieser Risikoträger eingehalten werden oder ob es arbeitsvertragliche Anpassungen geben muss.

Fazit

Grundsätzlich gilt auch hier der Proportionalitätsgrundsatz, so dass die Anzahl und Einordnung einzelnen Mitarbeiter von Institut zu Institut variieren kann. Die BaFin hat bereits angekündigt, dass die Institutsvergütungsverordnung und die Erläuterungen dazu noch angepasst werden müssen, was voraussichtlich nicht vor Q4 2021 erfolgen wird. Auch das KWG muss noch entsprechend angepasst werden. Das gibt den Instituten noch einen Spielraum zur Umsetzung der neuen Verordnung. Die Identifizierung der vorhandenen Risikoträger sowie die ggf. erforderliche Anpassung der Arbeitsverträge ist aber ohnehin nicht von heute auf morgen zu leisten.

Update: Fit and Proper Anforderungen an Geschäftsleiter

Anfang Juli haben die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) und die Europäische Bankaufsichtsbehörde (European Banking Authority – „EBA“) ihre überarbeiteten Joint Guidelines zu den Geeignetheitsanforderungen and Geschäftsleiter veröffentlicht. Wir geben dazu ein kurzes Update.

Was ist der Hintergrund?

Geschäftsleiter regulierter Institute müssen fachlich geeignet und zuverlässig sein und ihrer Tätigkeit ausreichend Zeit widmen. Die fachliche Eignung setzt voraus, dass die Geschäftsleiter in ausreichendem Maß theoretische und praktische Kenntnisse in den betreffenden Geschäften sowie Leitungserfahrung haben. Die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) hat zuletzt bereits die fachliche Eignung sowohl des einzelnen Geschäftsleiters als auch insbesondere die kollektive fachliche Eignung der Geschäftsführung als solcher in den aufsichtlichen Fokus gerückt. Darüber haben wir bereits hier berichtet.

Was beinhalten die überarbeiteten Joint Guidelines?

Zwei Punkte sind besonders interessant. Zum einen die erforderlichen Kenntnisse von Geschäftsleitern zur Verhinderung von Geldwäsche und zum anderen die geschlechterausgewogene Besetzung von Geschäftsleiterpositionen.

Kenntnisse zur Verhinderung von Geldwäsche

Die Joint Guidelines stellen klar, dass Kenntnisse im Bereich der Verhinderung von Geldwäsche und der Terrorismusfinanzierung Bestandteil der fachlichen Eignung von Geschäftsleitern sind. Ausreichende fachliche Eignung und Kenntnisse der Geschäftsleiterin, die für die Umsetzung und Einhaltung der geldwäscherechtlichen Vorschriften verantwortlich ist, schließt ausdrücklich die Identifizierung, das Management und die Minderung von Geldwäscherisiken und des Risikos der Terrorismusfinanzierung mit ein. Kenntnisse im Bereich der Geldwäsche sind auch für die kollektive fachliche Eignung der Geschäftsführung erforderlich. Diese können etwa durch entsprechende Schulungen sichergestellt werden. Diejenige Geschäftsleiterin aber, die die Umsetzung geldwäscherechtlicher Anforderungen verantwortet, bedarf hier vertiefter Kenntnisse.

Geschlechterausgewogene Besetzung

Zudem stellen die Joint Guidelines klar, dass Institute zum einen eine Policy aufgesetzt und implementieren haben sollten, die Diversität in der Geschäftsführung fördert, um eine möglichst große Vielfalt in deren Besetzung zu erreichen. Zum anderen sollten Institute auch ganz konkret eine angemessene Vertretung aller Geschlechter im Leitungsorgan anstreben und sicherstellen, dass bei der Auswahl der Mitglieder des Leitungsorgans das Prinzip der Chancengleichheit beachtet wird. Hierbei handelt es sich aber (noch) nicht um zwingende Regelungen, sondern um „Sollvorschriften“.

Allerdings hat die EZB passend dazu in einem jüngst veröffentlichten Leitartikel ausdrücklich betont, dass sie zukünftig genau prüfen wird, welche Fortschritte Banken beim Thema Diversität machen. Dabei werden auch Informationen darüber eingeholt werden, ob interne Diversitätsziele festgelegt wurden und ob diese Ziele erreicht wurden. Wenn diese internen Ziele verfehlt wurden, wird die EZB Maßnahmen zur Beseitigung von Ungleichgewichten in der Besetzung der Geschäftsleitung empfehlen. Außerdem werden die Banken zukünftig auf etwaige Mängel im Rahmen des jährlichen aufsichtlichen Bewertungs- und Überprüfungsprozesses hingewiesen werden. Die EZB betont, dass bei Nichteinhaltung interner Diversitätsziele verpflichtende Regelungen möglich sind.

Was bleibt mitzunehmen?

Das Thema Geldwäsche scheint ein aufsichtlicher Dauerbrenner zu werden. Institute sollten sicherstellen, dass ihre Geschäftsleiter hier über ausreichend Kenntnisse und Erfahrung verfügen. Darüber hinaus ist das Thema Geschlechterausgewogenheit nun auch endgültig auf höchster regulatorischer Ebene angekommen. Institute sollten mit gutem Beispiel vorangehen und eine ausgewogene Besetzung ihrer Geschäftsleitung nicht nur anstreben, sondern auch tatsächlich umsetzen.

Langsam wird es ernst: Die neue Mantelverordnung zum Wertpapierinstitutsgesetz

In wenigen Wochen, nämlich am 26. Juni 2021, wird das neue Wertpapierinstitutsgesetz („WpIG“) in Kraft treten. Durch das WpIG wurde ein eigenes Aufsichtsregime für Wertpapierfirmen geschaffen und sog. kleine und mittlere Wertpapierinstitute aus dem Aufsichtsregime des Kreditwesengesetzes („KWG“) herausgelöst. Letzteres wird in Zukunft nur noch für bankenähnliche, sog. große Wertpapierfirmen, gelten. Das neue WpIG haben wir bereits hier und hier ausführlich vorgestellt.

Anfang Mai diesen Jahres hat die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) ihre Konsultation zur Mantelverordnung zum WpIG veröffentlicht. Darin hat sie Entwürfe der

  • Wertpapierinstituts-Prüfungsberichtsverordnung („WpI-PrüfbV),
  • Wertpapierinstituts-Vergütungsverordnung („WpI-VergV“),
  • Wertpapierinstituts-Inhaberkontrollverordnung („WpI-IKV“) und der
  • Wertpapierinstituts-Anzeigenverordnung („WpI-AnzV“)

zur Ergänzung und Vervollständigung des neuen Aufsichtsregimes des WpIG veröffentlicht. Bis Ende Mai konnten Stellungnahmen dazu abgegeben werden. Im Folgenden stellen wir die einzelnen Verordnungen im Überblick vor.

Die Wertpapierinstituts-Prüfungsberichtsverordnung

Die WpI-PrüfbV regelt den Gegenstand und den Zeitpunkt der Prüfung des externen Wirtschaftsprüfers, denen sich die verpflichteten Wertpapierinstitute unterziehen müssen, sowie den Inhalt und die Form der vom externen Prüfer anzufertigenden Prüfungsberichte. Damit werden die §§ 77 ff WpIG konkretisiert. Die WpI-PrüfbV wird nur für kleine und mittlere Wertpapierinstitute gelten. Große Wertpapierinstitute werden weiterhin der nach dem KWG ergangenen Prüfungsverordnung (PrüfbV) unterliegen.

Die Wertpapierinstituts-Vergütungsverordnung

Die WpI-VergV wird die Artikel 30 bis 34 der Richtlinie EU 2019/2034 über die Beaufsichtigung von Wertpapierfirmen („IFD“) umsetzen. Inhaltlich orientiert sie sich an der nach dem KWG erlassenen Instituts-Vergütungsverordnung, ist aber in ihrem Umfang deutlich schlanker.

Nach § 3 der WpI-VergV trägt die Geschäftsleitung die Verantwortung für die angemessene Ausgestaltung der Vergütungssysteme. Es werden Kriterien vorgegeben, wann von einer angemessenen Ausgestaltung des Vergütungssystems auszugehen ist (§ 5 WpI-VergV). Die Vergütungsstrategie und die Vergütungssysteme des Wertpapierinstituts müssen auf die Erreichung der Ziele ausgerichtet sein, die in den Geschäfts-und Risikostrategien des Instituts niedergelegt sind (§ 4 WpI-VergV). Damit sollen Fehlanreize verhindert werden. Entsprechend der Instituts-Vergütungsverordnung sind insbesondere auch die Anforderungen an die variable Vergütung detailliert geregelt (§ 6 WpI-VergV). Die Grundsätze zum Vergütungssystem sind vom Institut schriftlich niederzulegen und zu dokumentieren (§ 9 WpI-VergV).

Zudem sieht die WpI-VergV vor, dass das Wertpapierinstitut darauf hinwirkt, dass bestehende Verträge mit den Mitarbeiterinnen und Mitarbeitern, die mit den Vorgaben der WpI-VergV nicht vereinbar sind, angepasst werden (§ 12 WpI-VergV). Schließlich werden auch die Aufgaben des Vergütungskontrollausschusses und die Offenlegungspflichten in Bezug auf die Vergütung geregelt (§§ 13, 14 WpI-VergV).

Die WpI-VergV wird nur für mittlere Wertpapierinstitute gelten. Für kleine Wertpapierinstitute sieht das WpIG eine entsprechende Befreiung vor. Große Wertpapierinstitute unterliegen weiterhin der Instituts-Vergütungsverordnung nach dem KWG.

Die Wertpapierinstituts-Inhaberkontrollverordnung

Die WpI-IKV regelt, welche Informationen und Unterlagen bei einer im Rahmen des Erlaubnisverfahrens bzw. sonstigen Inhaberkontrolle eines Wertpapierinstituts bei der BaFin einzureichen sind. Inhaltlich orientiert sie sich an der Inhaberkontrollverordnung des KWG, ist aber wesentlich schlanker, da die Inhaberkontrolle bei Wertpapierfirmen seit einiger Zeit EU-weit einheitlich (Delegierte Verordnung (EU) 2017/1946) geregelt ist; so konkretisiert die WpI-IKV zum Teil (lediglich) die Vorgaben der Delegierten Verordnung (§ 6 WpI-IKV). Die WpI-IKV gilt für kleine, mittlere und große Wertpapierinstitute.

Die Wertpapierinstituts-Anzeigenverordnung

Die WpI-AnzV orientiert sich inhaltlich an der Anzeigeverordnung nach dem KWG (AnzV). Sie konkretisiert die Anzeigepflichten nach §§ 64 ff WpIG und verweist auf entsprechend zu verwendende Formulare, die sich im Anhang der WpI-AnzV befinden. Je nach konkreter Anzeigepflicht ist danach zu unterscheiden, ob z.B. alle Wertpapierinstitute verpflichtet sind (§ 64 WpIG), nur große Wertpapierinstitute (§ 65 WpIG), nur kleine und mittlere Wertpapierinstitute (§ 66 WpIG) oder die Geschäftsleiter eines Wertpapierinstituts (§ 67 WpIG). Die WpI-AnzV gilt deshalb, je noch konkreter Anzeigepflicht, für kleine, mittlere und große Wertpapierinstitute.

Fazit Die Mantelverordnung soll zusammen mit dem WpIG, also am 26. Juni 2021 in Kraft treten. Das neue Aufsichtsregime für Wertpapierfirmen nimmt damit nun endgültig konkrete Gestalt an. Durch die Mantelverordnung kann das WpIG nunmehr auch gut in der Praxis umgesetzt werden und den Besonderheiten der Wertpapierinstitute bzw. der von ihnen ausgehenden Risiken wird passgenau Rechnung getragen.