Nachhaltigkeit bleibt Thema – BaFin veröffentlicht Aufsichtsschwerpunkte für das Jahr 2020

Wie jedes Jahr zu Jahresbeginn hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auch Anfang Januar 2020 ihre Aufsichtsschwerpunkte veröffentlicht. Marktteilnehmer können sich so frühzeitig auf den aufsichtsrechtlichen Fokus in der Verwaltungspraxis der BaFin einstellen.

Die diesjährigen Schwerpunkte der BaFin sind:

  • Digitalisierung
  • Integrität des Finanzsystems
  • Nachhaltigkeit

Digitalisierung

Im Jahr 2020 wird die BaFin im Bereich der Digitalisierung Schwerpunkte in drei Bereichen setzen. Im Bereich Big Data und künstliche Intelligenz soll Markteilnehmern mehr Rechtssicherheit beim Einsatz dieser Technologien verschafft werden, indem die Aufsicht prinzipienbasiert den Handlungsrahmen für beaufsichtigte Unternehmen vorgibt. Im Bereich Distributed-Ledger-Technologie, virtuellen Währungen und Initial Coin Offering wird mit der Umsetzung der Fünften EU-Geldwäscherichtlinie der erlaubnispflichtige Tatbestand des Kryptoverwahrgeschäfts etabliert und eine neue Kategorie von Finanzinstrumenten in das Kreditwesengesetz (KWG) eingeführt. Außerdem wird die BaFin die IT- und Cybersicherheit der Unternehmen weiterhin verstärkt prüfen. Der Verbraucher- und Anlegerschutz ist dabei stets im Fokus der Aufsicht.

Integrität des Finanzsystems

Wenig überraschend wird auch in diesem Jahr die Integrität des Finanzsystems betont. Hier ist vor allem Geldwäscheprävention ein Thema. Die BaFin wird allgemein strenger bestehende Präventionsmaßnahmen der von ihr beaufsichtigten Institute prüfen. Ein spezielles Augenmerk im Bereich der Geldwäscheprävention wird die BaFin bei der Verbreitung von Kryptowerten legen. Mit ihrer Verbreitung steigen auch damit verbundene Geldwäscherisiken, insbesondere, weil sich Zahlungsflüsse dann nicht mehr so einfach nachvollziehen lassen. Daher wird die BaFin vermehrt analysieren, in welcher Art und in welchem Umfang Geschäfte mit Kryptowährungen abgewickelt werden.

Nachhaltigkeit

Bereits mit der Veröffentlichung ihres Merkblatts zum Umgang mit Nachhaltigkeitsrisiken kurz vor Weihnachten hat die BaFin deutlich gemacht, dass sie Nachhaltigkeitsrisiken künftig stärker in den Fokus nehmen wird, ohne durch das Merkblatt rechtliche Vorgaben machen zu wollen (darüber hatten wir hier bereits berichtet). Nachhaltigkeitsrisiken sollen zukünftig systematisch in das Risikomanagement integriert werden. Das Merkblatt gibt Anregungen, wie das aus Sicht der BaFin gelingen kann.

Ergänzend zu den Bemühungen um eine Förderung des nachhaltigen Finanzmarkts auf europäischer Ebene hebt die BaFin im Bereich der Nachhaltigkeit zwei Punkte hervor. Zum wird sie in ihrer Verwaltungspraxis künftig verstärkt auf nachhaltige Geschäftsmodelle schauen. Aufgrund des aktuellen Niedrigzinsumfelds, sich eintrübender Konjunkturprognosen und weiteren Herausforderungen, wie z.B. der digitale Wandel, müssen Institute besonders widerstands- und tragfähig sein. Deshalb wird die BaFin einen Fokus auf die Angemessenheit des Risikomanagements legen. Zum anderen wird ein Schwerpunkt im Bereich nachhaltige Finanzwirtschaft und Sustainable Finance liegen.

Vorbereitung der Aufsicht über die Finanzanlagenvermittler

Die BaFin, die ab 1. Januar 2021 die Aufsicht über die Finanzanlagenvermittler übernehmen wird, bereitet sich im Bereich der Wertpapieraufsicht bereits auf dieses neue Betätigungsfeld vor, um eine reibungslose Übernahme der Aufsicht von den Ordnungs- und Gewerbeämtern zu gewährleisten.

Finanzaufsicht in Zeiten der Digitalisierung

Die Digitalisierung der Bankenwelt ist zur Zeit ein zentrales Thema. Digitalisierung ist ein positiv besetzter Begriff, der neue Geschäftsmodelle zu versprechen scheint und oft verwendet wird als Gegensatz zum Angebot traditioneller Banken. Neue Finanzprodukte von FinTechs, die innovativ oder gar disruptiv sind, zeigen neue Möglichkeiten einer Digitalisierung im Finanzmarkt. Auch soll durch die Auswertung von Big Data und die Verwendung von Algorithmen und künstlicher Intelligenz die Benutzerfreundlichkeit erhöht und die Kundenerfahrung verbessert werden – alles digital.

Gleichzeitig treten wichtige neue Fragen des Verbraucherschutzes, der Daten- und Cybersicherheit auf, die die Digitalisierung womöglich bremsen können und die Aufsicht auf den Plan rufen. Aber auch die Anbieter selbst betonen immer wieder, dass Datenschutz und Cybersecurity für alle Marktteilnehmer essentiell sind, um das Vertrauen der Kunden zu erlangen und zu halten.

Im Folgenden zeigen wir auf, welche Regelungen es im Zusammenhang mit IT-Sicherheit bereits gibt, wie die Aufsicht damit umgeht und ob der aufsichtsrechtliche Rahmen genug Raum lässt für die Digitalisierung bestehender und die Entwicklung neuer (digitaler) Geschäftsmodelle.

Wir betrachten zunächst, wie die BaFin mit der Digitalisierung der Bankenwelt umgeht und wie sie darauf reagiert. Hierzu gibt die Darstellung der Drei-Säulen-Strategie der BaFin im Umgang mit der Digitalisierung Aufschluss, die BaFin-Präsident Felix Hufeld am 10. April auf der BaFin-Tech in Berlin vorgestellt hat. Danach werden in der ersten Säule „Aufsicht und Regulierung“ die neuen Geschäftsmodelle und die Veränderungen der Wertschöpfungsstrukturen anhand des bestehenden Aufsichtsrahmens geprüft, während die zweite Säule speziell die IT-Aufsicht zum Gegenstand hat und die IT-Sicherheit der Unternehmen im laufenden Geschäftsbetrieb überwacht. In der dritten Säule beschäftigt sich die BaFin mit ihren eigenen Prozessen, um eine wirksame Aufsicht auch in Bezug auf innovative Strukturen und Geschäftsmodelle gewährleisten zu können. Das zeigt, dass die BaFin vom Zeitpunkt der ersten Beurteilung von Geschäftsmodellen an laufend die IT-Prozesse von Banken und Finanzdienstleistern überwacht, und in Ergänzung dazu auch selbst dazulernt. Die Darstellung von Herrn Hufeld passt zu den am 9. Mai 2018 veröffentlichten Schwerpunkten der Bankenaufsicht  für das Jahr 2018. Die Aufsicht bekennt sich darin explizit dazu, sich u.a. auf fehlende Angemessenheit und Sicherheit der IT-Systeme der Banken konzentrieren zu wollen.

Was heißt das konkret? Wir wollen im Folgenden einen Blick auf drei aufsichtsrechtliche Themen werfen, die vor dem Hintergrund der Digitalisierung und als Rahmen der IT-Aufsicht ein besonderes Augenmerk verdienen. Diese legen die Verwaltungspraxis der BaFin offen, die auch bei der Prüfung und Beaufsichtigung von neuen, innovativen Geschäftsmodellen berücksichtigt werden.

Das erste Thema sind die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die zuletzt im Oktober 2017 überarbeitet wurden. Darin enthalten sind nach wie vor allgemeine Anforderungen an IT-Systeme und die dazugehörigen Prozesse und Notfallkonzepte. Neu eingefügt wurde mit der letzten Novelle ein Abschnitt zu den IT-Risiken, die fortan noch expliziter überwacht und gesteuert werden müssen. Überwachungs- und Steuerungsprozesse müssen IT-Risikokriterien festlegen, IT-Risiken identifizieren sowie den Schutzbedarf und entsprechende Maßnahmen zur Risikobehandlung und Risikominderung festlegen. Die MaRisk als Teil der prinzipienbasierten Aufsicht der BaFin gibt hier nur grobe Anforderungen vor und lässt den einzelnen Instituten offen, wie sie diese Anforderungen individuell auf das jeweilige Geschäftsmodell passend umsetzen.

Zweitens sind die von der BaFin im November 2017 erlassenen Bankaufsichtlichen Anforderungen an die IT (BAIT) zu nennen, die die Vorgaben der MaRisk für den IT-Bereich konkretisieren. Die BAIT macht etwa Vorgaben zu IT-Strategien, zur IT-Governance, zum IT-Risikomanagement und zum IT-Sicherheitsmanagement. Es finden sich hier z.B. Vorgaben, die verlangen, dass ein Institut insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten hat. Oder dass die Anforderungen eines Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien im Rahmen des IT-Risikomanagements festzulegen und in geeigneter Form in einem Sollmaßnahmenkatalog zu dokumentieren sind. Die BAIT weist die Verantwortung für die von ihr geregelten Bereiche mit IT-Bezug noch einmal explizit der Geschäftsleitung zu. Doch auch wenn auf 20 Seiten Vorgaben verschriftlicht werden, gilt dennoch, dass auch die BAIT wie die MaRisk lediglich weitere Prinzipien vorgibt, die von den Instituten ausgestaltet werden können, um ihr bestehendes Geschäftsmodell und auch neue, innovative Geschäftsmodelle sachgerecht und sicher abzubilden.

Ein dritter Punkt, der Erwähnung verdient, und zeigt, welchen Stellenwert der fachkundige Umgang mit IT-Themen in Banken für die BaFin hat: Die Bestellung von IT-Spezialisten zu Geschäftsleitern von Banken und anderen regulierten Instituten wird in der Verwaltungspraxis der BaFin derzeit begünstigt. Um das IT-Know-how auch in der Geschäftsleitung zu fördern, kann die BaFin im Einzelfall bei der Prüfung der fachlichen Eignung eines Geschäftsleiterkandidaten mit IT-Hintergrund für eine Bank oder ein Finanzinstitut entscheiden, dass eine praktische Vorerfahrung in der Führungsebene einer vergleichbaren Bank oder eines vergleichbaren Instituts von sechs Monaten (statt der üblichen drei Jahre) ausreichen.

Diese drei Beispiele zeigen, dass der bestehende Aufsichtsrahmen in Zeiten der Digitalisierung Bestand haben kann, denn aufgrund der prinzipienorientierten Aufsichtsvorgaben sind auch die IT-Innovationen in der Produktpalette von neuen Marktakteuren abgedeckt.