DORA – ein inhaltlicher Überblick

Nachdem wir uns im ersten Teil der Beitragsreihe mit dem Anwendungsbereich von DORA beschäftigt haben, betrachten wir in diesem zweiten Teil nun die inhaltlichen Regelungen der neuen europäischen Verordnung etwas genauer. Dieser Blogbeitrag beleuchtet fünf Handlungsfelder von DORA, die entsprechenden Anpassungsaufwand auf Seiten der betroffenen Finanzunternehmen nach sich ziehen werden.

Am 27. Dezember 2022 wurde die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) im Amtsblatt der Europäischen Union veröffentlicht. DORA tritt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union – und damit am 16. Januar 2023 – in Kraft und muss von den betroffenen Unternehmen nach einer Umsetzungsfrist von 24 Monaten nach der Veröffentlichung, folglich ab dem 17. Januar 2025 angewendet werden (Art. 64 DORA). Die Anforderungen der DORA sind damit in allen EU-Mitgliedstaaten einheitlich. Hieran anknüpfend werden die Europäischen Aufsichtsbehörden (ESAs), die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Konkretisierung des Rechtsakts technische Standards (sog. Regulatory Technical Standards – RTS) ausarbeiten, die von den jeweiligen Unternehmen erfüllt werden müssen.

Betroffenen Unternehmen ist zu raten, den persönlichen Anwendungsbereich von DORA zu prüfen und sich mit den gesetzlichen Verpflichtungen bereits frühzeitig vertraut zu machen. DORA enthält fünf Themenbereiche, die im Folgenden zusammenfassend dargestellt und eingeordnet werden.

1. IKT-Risikomanagement

Wenig überraschend muss das Risikomanagement von regulierten Finanzmarktteilnehmern auch nach DORA künftig das IKT-Risiko umfassen. Das ist nach der MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT, ZAIT und VAIT keine neue Vorgabe. Allerdings sind die Vorgaben in DORA konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin.

Kapitel II von DORA enthält Vorschriften zum IKT-Risikomanagement von Finanzunternehmen. Ein Einsatz von IKT muss durch das Finanzunternehmen in die Unternehmensstrategie integriert werden. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich bei der Geschäftsleitung des jeweiligen Finanzunternehmens. Zudem werden mit DORA Verpflichtungen eingeführt, die sicherstellen sollen, dass IKT-Systeme kontinuierlich überwacht und kontrolliert werden, sowie durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden. Um Ausfallzeiten von IKT-Systemen zu minimieren, müssen betroffene Unternehmen auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten. Sämtliche interne Risikodokumente müssen verschriftlicht sein, um entsprechend intern und extern überprüfbar zu sein.

2. Berichterstattung / Meldepflichten

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. Nach Kapitel III von DORA werden Finanzunternehmen künftig verpflichtet sein, einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen zu implementieren. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat (vgl. Art. 3 Nr. 8 DORA).

Finanzunternehmen müssen nach Art. 17 DORA Frühwarnindikatoren einrichten, um Cyberangriffe zu erkennen und zu bewältigen. Weiterhin schafft DORA einheitliche und standardisierte Vorgaben zum Vorgehen bei IT-Sicherheitsvorfällen. So beschreibt beispielsweise Art. 18 DORA ein Verfahren zur Klassifizierung, basierend auf Faktoren wie Dauer und Schwere des IKT-bezogenen Vorfalls auf die IKT-Systeme des Finanzunternehmens.

Schwerwiegende IKT-bezogene Vorfälle (vgl. Art. 3 Nr. 10 DORA) müssen durch das jeweilige Finanzunternehmen gemäß Art. 19 DORA der zuständigen Aufsichtsbehörde (vgl. Art. 46 DORA) gemeldet werden.

Bereits unter der derzeit geltenden Rechtslage bestehen Berichts- und Meldepflichten etwa durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister oder die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Die DORA-Verordnung baut dabei auf der NIS-Richtlinie auf und beseitigt mögliche Überschneidungen durch eine Ausnahme mittels des lex specialis Prinzips, sodass die Regelungen der DORA grundsätzlich Vorrang genießen sollten.

3. Prüfung der digitalen Betriebsstabilität durch Test-Verfahren

DORA schreibt weiterhin auch umfassende Verfahren zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests vor (Kapitel IV DORA). Dabei sind diese Prüfungen anhand des bereits erwähnen risikobasierten Ansatzes unter Berücksichtigung der Größe und Geschäfts- und Risikoprofile der jeweiligen Finanzunternehmen durchzuführen. Die DORA-Verordnung listet in Art. 25 Abs. 1 Beispiele geeigneter Tests auf, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von OpenSource-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.

Finanzunternehmen müssen mindestens einmal jährlich alle kritischen IKT-Systeme und IKT-Anwendungen prüfen. Diese Prüfungen können dabei sowohl durch externe als auch durch interne Prüfer durchgeführt werden (vgl. Art. 24 Abs. 4, 6 DORA).

Systemrelevante Institute hingegen werden höheren Anforderungen mit Blick auf die Prüfung ihrer IKT-Systeme unterworfen. DORA sieht für diese Institute erweiterte Prüfungen durch die Durchführung sog. bedrohungsorientierter Penetrationstests vor, wobei diese Tests in regelmäßigen Abständen mindestens alle drei Jahre durchzuführen sind.

4. IKT-Risiken Dritter / Outsourcing

Da Institute ihre IT häufig an große Technologieanbieter auslagern oder solche Anbieter für einzelne Dienstleistungen verwenden, werden Finanzinstitute deshalb im Rahmen ihres Risikomanagements verpflichtet, auch IKT-Drittparteienrisiken zu betrachten (Kapitel V DORA). So legt etwa Art. 30 DORA wesentliche Vertragsbestimmungen für Auslagerungsverträge fest. Derartige Verträge müssen z.B. eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, fortlaufende Überwachungsrechte des Finanzunternehmens oder auch Kündigungsrechte und Ausstiegsstrategien enthalten. Diese Vorgaben knüpfen nahtlos an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer an.

5. Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsregimes für kritische Technologieanbieter, die im Finanzsektor genutzt werden. Das ist auf europäischer Ebene neu, in Deutschland wurde eine entsprechende Kompetenz der BaFin bereits durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 25b Abs. 4a KWG eingeführt. Allerdings gehen die Befugnisse der BaFin beim Durchgriff auf das IT-Auslagerungsunternehmen nicht so weit, wie es DORA vorsieht. Nach § 25b KWG kann die BaFin im Einzelfall geeignete Anordnungen gegenüber IT-Auslagerungsunternehmen erlassen. Die aufsichtlichen Befugnisse bei der Überwachung der IKT-Drittanbieter nach Art. 35 DORA sind wesentlich detaillierter und weitgehender. Sie umfassen beispielsweise die Anforderung von Informationen und Unterlagen, Vor-Ort-Prüfungen oder auch die Verhängung von Zwangsgeldern, um den jeweiligen kritischen IKT-Drittanbieter zur Einhaltung der gesetzlichen Regelungen zu zwingen. Die neuen Befugnisse ermöglichen der BaFin eine umfassende Aufsicht der kritischen IKT-Drittanbieter.

Die Einstufung eines Technologieanbieters als kritischer IKT-Drittdienstleister und dessen Überwachung obliegt den ESAs. Dabei basiert die Ernennung auf festgelegten Kriterien, wie etwa:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen

Zusammenfassung und Ausblick

Durch den umfassenden Anwendungsbereich von DORA werden Unternehmen aus zahlreichen Bereichen des Finanzsektors erfasst. Mit DORA wird ein Rechtsrahmen entstehen, der bestehende regulatorische Anforderungen an die IT-Sicherheit für die gesamte Finanzbranche zusammenfasst und einen europäisch einheitlichen Aufsichtsrahmen schafft.

Erstmals sind nun auch kritische IKT-Dienstleister, die als Auslagerungsunternehmen für regulierte Finanzmarktteilnehmer agieren, von der Regulierung umfasst.

 

Die Verordnung des europäischen Parlamentes und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) – ab 16.1.2023 in Kraft

Die Digitalisierung des Finanzsektors durch den Einsatz von Informationstechnik (IT) schafft für Anbieter von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten, birgt für die Branche jedoch, angesichts der wachsenden Gefahr von Cyberangriffen, auch zahlreiche Risiken. In Zukunft wird mit dem sog. Digital Operational Resilience Act – („DORA“) ein EU-weiter Rechtsrahmen für die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor zu beachten sein.

Was ist DORA?

Um die Stabilität des Finanzmarktes auch im Falle einer schwerwiegenden Störung zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission am 24. September 2020 den DORA-Regulationsentwurf im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package) vorgelegt, der auch die Digital Finance Strategy, die Retail Payment Strategy, einen Vorschlag zur Distributed-Ledger-Technologie (DLT) sowie den Act on Markets in Crypto Assets (MiCA) enthält.

Derzeit müssen sich Unternehmen des Finanz- und Versicherungssektors bei einem Einsatz von IT oder der Einbeziehung von IT-Dienstleistungen auf nationaler Ebene an eine Vielzahl aufsichtsrechtlicher Anforderungen mit Blick auf Cybersicherheit halten. In Deutschland zeigt sich dies etwa an den Vorgaben der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT, die für jede Branche des Finanz- und Versicherungsmarktes individuelle Regelungen aufstellen. Wir fangen hier in Deutschland also nicht bei Null an, sondern bauen auf einem Standard auf, der bereits seit Jahren im Fokus der Aufsicht steht und bereits eine gewisse Resilienz bewiesen hat.

Ziel von DORA ist die Harmonisierung der nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor. Innerhalb der Europäischen Union soll so ein einheitlicher Rechtsakt über die digitale Betriebsstabilität von Finanzdienstleistungen entstehen. Bezweckt ist die Schaffung eines umfassenden Rahmens auf Ebene der Europäischen Union mit einheitlichen Vorschriften, die den Anforderungen an die digitale Betriebsstabilität von regulierten Unternehmen auf dem Finanzmarkt Rechnung tragen sowie die Schaffung eines gemeinsamen Aufsichtsrahmens für Drittanbieter von Informations- und Kommunikationstechnologien (IKT).

Wer ist von DORA betroffen?

DORA wird auf Finanzunternehmen und sog. IKT-Drittanbieter anwendbar sein. Unter einem IKT-Drittanbieter ist ein Unternehmen zu verstehen, welches digitale Dienste und Datendienste erbringt und schließt auch Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren ein.  

Welche Unternehmen unter die Sammelbezeichnung der Finanzunternehmen zu fassen sind, wird in Art. 2 Abs. 1 a) bis t) DORA aufgelistet. Demnach sind nicht nur Kreditinstitute, Zahlungsdienstleister, E-Geld-Institute und Wertpapierfirmen vom Anwendungsbereich von DORA umfasst, sondern beispielsweise auch Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Dienstleister, Ratingagenturen und Anbieter von Krypto-Dienstleistungen.

Der insgesamt sehr weite Anwendungsbereich von DORA soll nach dem Willen des europäischen Gesetzgebers für eine möglichst einheitliche Anwendung der gesetzlichen Verpflichtungen im Hinblick auf IKT-Risiken sorgen und letztlich gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen schaffen.

Was sind die zentralen Verpflichtungen unter DORA?

Die neue Verordnung berücksichtigt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Aus diesem Grund verfolgt DORA einen risikobasierten Regulierungsansatz unter Beachtung der Verhältnismäßigkeit (sog. Proportionalitätsprinzip). Dies dient dazu, den weiten Anwendungsbereich von DORA zu korrigieren und sorgt dafür, dass je nach Größe des Unternehmens unterschiedliche Anforderungen gelten. Dadurch fallen auch Kleinstunternehmen nahezu gänzlich aus dem Anwendungsbereich von DORA heraus. DORA wurde zudem technologieneutral ausgestaltet, wodurch auch künftige technologische Entwicklungen auf dem Finanzmarkt erfasst werden sollen.

DORA sieht dabei eine Reihe von Handlungsfeldern vor, die entsprechenden Anpassungsaufwand auf Seiten der Finanzunternehmen nach sich ziehen. Diese sollen in einem Teil 2 zu diesem Beitrag näher beleuchtet werden.

Konsultation zur MaRisk Novelle veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Anfang Dezember bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen MaRisk setzt aktuelle europäische Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposuresNPL Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements Outsourcing Guidelines) und zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Änderungen und Ergänzungen der MaRisk aufgrund der Umsetzung der NPL, der Outsourcing sowie der ICT Guidelines im Überblick vor.

Kurz erklärt: die MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor.

Umsetzung der NPL Guidelines

Die NPL Guidelines geben vor, wie notleidende und gestundete Risikopositionen von Instituten im Rahmen des Riskmanagements zu berücksichtigen sind. Institute sollten über einen angemessenen Rahmen zur Identifizierung, Messung, Verwaltung, Überwachung und Reduzierung von notleidenden Risikopositionen verfügen. Je mehr notleidende Risikopositionen ein Institut hat, desto strengere Anforderungen sind grundsätzlich zu erfüllen.

Deshalb ist zu unterscheiden: Einige Vorgaben gelten nur für solche Institute, die eine Quote notleidender Kredite von 5% oder mehr aufweisen (sog. High-NPL-Institute). High-NPL-Institute müssen

  • eine Strategie für notleidende Risikopositionen einführen, um letztlich einen Abbau der notleidenden Risikopositionen vornehmen zu können (AT 4.2 MaRisk),
  • besondere Anforderungen an die Risikocontrolling-Funktion erfüllen, indem z.B. NPE-bezogene Risiken (non-performing-exposures) überwacht und Auswirkungen auf die Eigenkapitalanforderungen berücksichtigt werden (AT 4.4 MaRisk).
  • Problemkredite sind anhand festgelegter Kriterien an eine Abwicklungs-. bzw. Sanierungseinheit des Instituts zu übergeben; nunmehr sind spezialisierte Abwicklungseinheiten (sog. NPE-Workout Units) einzurichten; (BTO 1.2 MaRisk),
  • in den Risikoberichten der Risikocontrolling-Funktion ist eine gesonderte Darstellung von notleidenden und gestundeten Risikopositionen aufnehmen (BT 3.2 MaRisk).

Zudem setzt die MaRisk Vorgaben der NPL Guidelines um, die nicht nur auf High-NPL-Institute, sondern auf alle Institute anwendbar sind. Neu sind dabei umfassende Vorgaben zur sog. Forbearance. Erfasst sind jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden. Als anschauliches Beispiel dient die Stundung von Tilgungsraten. Ziel solcher Maßnahmen ist es, dass Risikopositionen nicht notleidend werden, sondern zurückgezahlt werden können.

  • Institute müssen eine Forbearance-Richtlinie entwickeln, die bspw. die Verfahren zur Gewährung von Forbearance-Maßnahmen sowie die Verfahren zur Entscheidungsfindung und eine Beschreibung verfügbarer Forbearance-Maßnahmen enthält (BTO 1.3 MaRisk).
  • Zudem sind Forbearance-Prozesse zu entwickeln, die z.B. Kriterien festzulegen, anhand derer eine Einstufung von Forbearance-Risikopositionen in notleidende Positionen erfolgt (BTO 1.3 MaRisk).

Umsetzung der Outsourcing Guidelines

Die MaRisk Novelle setzt auch die Anforderungen der EBA Outsourcing Guidelines um. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Gänzlich neue Regelungen gibt es hier wenige. Alle Änderungen und Ergänzungen werden unter AT 9 MaRisk vorgenommen. Wesentliche Neuerungen bzw. Ergänzungen sind:

  • Bei Auslagerungen an Unternehmen mit Sitz in anderen EU-Mitgliedsstaaten ist sicherzustellen, dass eine ggf. erforderliche Erlaubnis zur Erbringung der ausgelagerten Tätigkeit vorliegt. Bei Auslagerung auf ein Drittstaaten-Unternehmen (Brexit!) muss, sofern es sich um eine ausgelagerte Aktivität handelt, die innerhalb des EWR eine Erlaubnis erfordern würde, sichergestellt werden, dass das Auslagerungsunternehmen in dem Drittstaat einer Aufsicht unterliegt und zwischen den zuständigen Aufsichtsbehörden eine entsprechende Kooperationsvereinbarung besteht.
  • Bei wesentlichen Auslagerungen werden zusätzliche konkret erforderliche vertragliche Regelungen, wie z.B. Zugangs- und Kündigungsrechte vorgeschrieben.
  • Es ist ein zentraler Auslagerungsbeauftragter zu benennen; er wird durch ein zentrales Auslagerungsmanagement unterstützt.
  • Es ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. So soll ein Informationsverlust über ausgelagerte Tätigkeiten im Falle personeller Wechsel verhindert werden.

Umsetzung der ICT Guidelines

Aufgrund der EBA ICT Guidelines werden Anforderungen an das Notfallmanagement (AT 7.3 MaRisk) neu gefasst. Institute müssen grundsätzlich auf Notfallsituationen vorbereitet sein und insbesondere Notfallpläne für zeitkritische Aktivitäten und Prozesse vorhalten. Ein aktuelles und anschauliches Beispiel sind die Auswirkungen der Corona-Krise; die Banken schienen mit Standortschließungen aufgrund von Lockdown-Maßnahmen grundsätzlich gut umgehen und schnell auf Notfallpläne wie z.B. Split-Operations-Maßnahmen zurückgreifen zu können. Im Einzelnen müssen Institute

  • Eine Risikoanalyse zur Identifikation zeitkritischer Aktivitäten und Prozesse sowie hierfür notweniger IT-Systeme durchführen,
  • ein Notfallkonzept erarbeiten, das darstellt, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Fazit

Mit der nun zur Konsultation gestellten MaRisk Novelle finden zahlreiche europäische Vorgaben nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Der Umgang mit ESG-Risiken – was erwartet die Aufsicht?

Zum Thema Nachhaltigkeit in der Finanzbranche gibt es derzeit viel neue Regulierung. Dabei fährt der Gesetzgeber zweigleisig: Zum einen sollen Finanzprodukte selbst nachhaltiger werden. Um dieses Ziel zu erreichen, wurden die Transparenz-Verordnung und die Taxonomie-Verordnung erlassen. Letztere definiert erstmals einheitlich, was in Europa unter Nachhaltigkeit zu verstehen ist. Denn um mehr grüne Finanzprodukte zu schaffen, bedarf es zunächst einer einheitlichen Bewertungsgrundlage, wann eine Wirtschaftstätigkeit überhaupt nachhaltig ist. Neben der Produktregulierung hält das Thema Nachhaltigkeit aber auch in die unmittelbare Beaufsichtigung von Finanzinstituten Einzug. Diese müssten sich vor allem über die Nachhaltigkeitsrisiken, denen sie ausgesetzt sind, klar werden und diese dann in ihrem internen Risikomanagement berücksichtigen.

Für Wertpapierfirmen wird Mitte Juni 2021 in neues Aufsichtsregime in Kraft treten. Darüber haben wir bereits in einem zweiteiligen Blogbeitrag hier geht es zu Teil 1, hier zu Teil 2) ausführlich berichtet. Die neuen Regelungen bestehen aus der EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), die durch das Wertpapierfirmengesetz (WpFG) in deutsches Recht umgesetzt werden soll, sowie der EU-Verordnung über die Aufsichtsanforderungen an Wertpapierfirmen (IFR).

Unter anderem enthält die IFD Regelungen zum Umgang von Wertpapierfirmen mit Nachhaltigkeitsrisiken. Zur Konkretisierung der Vorgaben soll die European Banking Authority (EBA) zunächst einen Bericht über technische Kriterien erarbeiten, die die nationalen Aufsichtsbehörden bei der Überprüfung der Ursachen und Auswirkungen von ESG-Risiken auf Wertpapierfirmen heranziehen. Die EBA soll dabei insbesondere auch (i) ESG-Risiken für Wertpapierfirmen definieren, (ii) überprüfen, wie eine Konzentration bestimmter Vermögenswerte zu einer Erhöhung von ESG-Risiken führen kann, (iii) Prozesse beschreiben, mittels derer Wertpapierfirmen ihre ESG-Risiken ermitteln, bewerten und steuern können und (iv) Parameter und Kennzahlen entwickeln, die sowohl Aufsichtsbehörden als auch Wertpapierfirmen nutzen können, um die Auswirkungen von ESG-Risiken im Rahmen der laufenden Aufsicht bewerten zu können. Der EBA-Bericht soll bis Ende Dezember nächsten Jahres vorliegen.

Auf Grundlage dieses Berichts kann die EBA dann Leitlinien festlegen, mit denen Kriterien für die aufsichtliche Überprüfung und Berwertung von ESG-Risiken eingeführt werden. Die Berücksichtigung von Nachhaltigkeitsrisiken im Rahmen ihres Risikomanagements wird dadurch auch für Wertpapierfirmen weiter konkretisiert und verbindlich geregelt werden. Bereits heute müssen nach dem Kreditwesengesetz (KWG) regulierte Kredit- und Finanzdienstleistungsinstitute Nachhaltigkeitsrisiken im Rahmen des Risikomanagements berücksichtigen, ohne dass dabei aber bestimmte verbindliche Kriterien oder Parameter vorgegeben werden. Solange es noch keine EBA-Leitlinien zum Umgang mit Nachhaltigkeitsrisiken gibt, können sich Wertpapierfirmen wie bisher auch an dem Merkblatt der BaFin zum Umgang mit Nachhaltigkeitsrisiken schon mal eine rechtliche Einordnung des Merkblatts vorgenommen.

Die geplanten EBA Leitlinien zeigen: das Thema Nachhaltigkeit und vor allem der Umgang mit Nachhaltigkeitsrisiken bleibt im Fokus der aufsichtsrechtlichen Agenda.

EZB goes ESG – Ein Leitfaden zu Klima- und Umweltrisiken Teil 2

Ende Mai hat die Europäische Zentralbank (EZB) einen Leitfaden veröffentlicht, in dem sie darlegt, wie Klima- und Umweltrisiken gemäß dem derzeitigen Aufsichtsrahmen gesteuert und mehr Transparenz durch eine verbesserte Offenlegung von Informationen zu Klima- und Umweltrisiken erreicht werden kann. Die EZB hat den Leitfaden in Zusammenarbeit mit den zuständigen nationalen Aufsichtsbehörden entworfen. Im Rahmen der öffentlichen Konsultation können bis Ende September Stellungnahmen abgegeben werden.

Nachdem Teil 1 der Beitragsreihe sich mit dem Geltungsbereich des EZB Leitfadens sowie den inhaltlichen Anforderungen der EZB an die Institute hinsichtlich der Benennung und Überwachung von Klima- und Umweltrisiken im Rahmen ihrer Geschäftsstrategie und ihres Risikoappetits befasst hat, beleuchtet Teil 2 die Risikomanagement- und Offenlegungsanforderungen an die Institute.

Anforderungen an das Risikomanagement

  • Klima- und Umweltrisiken als Bestimmungsfaktoren etablierter Risikokategorien
    Institute sollten eingehend untersuchen, auf welche Weise Klima- und Umweltrisiken auf die verschiedenen bestehenden Risikobereiche wie z.B. das Kredit-, das Markt- und das operationelle Risiko durchschlagen. Das ermöglicht ihnen ein ganzheitliches Verständnis der Auswirkungen von Klima- und Umweltrisiken.Dazu gehört z.B. dass Institute zu Beginn einer Kundenbeziehung ordnungsgemäße Due-Diligence Prüfungen zu Klima- und Umweltrisiken durchführen. Das würde dem Institut z.B. bei der Bestimmung des Kreditrisikos dieses Kunden helfen, insbesondere wenn der Kunde seinen Sitz in einer klimagestressten Region hat und häufig von Starkwetterereignissen betroffen ist, was letztendlich zu seinem Ausfall führen kann.
  • Berücksichtigung von Klima- und Umweltrisiken im Kreditgewährungsprozess
    Im Rahmen des Kreditgewährungsprozesses sollten Institute bspw. angemessene Risikoindikatoren- und Ratings für ihre Geschäftspartner definieren; dabei ist auch Klima- und Umweltrisiken Rechnung zu tragen. Auch sollten Institute Klima- und Umweltrisiken bei der Bewertung von Sicherheiten berücksichtigen (z.B. Energieeffizienz der Immobilien). Auch in der Preisgestaltung der Kredite sollten sich Klima- und Umweltrisiken widerspiegeln; so könnten z.B. Immobilienkredite für energieeffiziente Immobilien günstiger ausgestaltet sein, also solche für weniger energieeffiziente Immobilien.
  • Aufrechterhaltung des Geschäftsbetriebs und Reputationsrisiken
    Institute sollten ermitteln und überwachen, inwiefern sich Klima- und Umweltrisiken als operationelle Risiken auswirken können. Bspw. sind bei einer Auslagerung von (IT)-Dienstleistungen an Anbieter mit Sitz an Standorten, die häufig extremen Wetterereignissen ausgesetzt sind, entsprechende Vorkehrungen für einen Ausfall der Dienstleister zu treffen.Institute sollten zudem im Rahmen ihres Risikomanagements generell überprüfen, inwieweit sie Reputationsschäden aufgrund von Klimarisiken ausgesetzt sein können. Dreht sich bspw. die Stimmung am Markt in Bezug auf Klima- und Umweltrisiken können sich solche rasch verwirklichen. Man erinnere sich nur an die Kontroversen, mit denen sich Siemens seinerzeit bzgl. seiner Lieferungen für ein australisches Kohlebergwerk konfrontiert sah.
  • Überwachung der Auswirkungen von Klimarisiken auf Marktrisikopositionen
    Klima- und Umweltrisiken können sich auch im Rahmen des Marktrisikos niederschlagen, da sie die Verfügbarkeit von und die Nachfrage nach bestimmten Finanzinstrumenten, Produkten oder Dienstleistungen verändern können, was sich dann in deren Wert entsprechend niederschlagen würde. So könnten zukünftig bspw. „grüne Anleihen“ stärker als andere Produkte nachgefragt werden.
  • Durchführung von Szenarioanalysen und Stresstests
    Stresstestszenarien sollten alle wesentlichen Risiken beinhalten, die eine substanzielle Verringerung des internen Kapitals bewirken oder Auswirkungen auf die aufsichtsrechtlichen Kapitalquoten haben könnten. Die von den Instituten durchzuführende Stresstests sollten auch Klima- und Umweltrisiken und deren kurz-, mittel- und langfristige Auswirkungen berücksichtigen.
  • Steuerung des Liquiditätsrisikos
    Institute sollten beurteilen, ob wesentliche Klima- und Umweltrisiken zu Nettozahlungsmittelabflüssen oder zu massiven Abbau von Liquiditätspuffern führen könnte. Das könnte z.B. der Fall sein, wenn Klima- und Umweltrisiken den Wert nationaler Währungen, die Teil des Liquiditätspuffers sind, beeinflussen. Wenn das der Fall ist, sollten sie diese Risiken in die Steuerung ihres Liquiditätsrisikos und der Kalibrierung der Liquiditätspuffer einbeziehen.

Anforderungen an die Offenlegung

  • Klima- und Umweltrisiken als Teil der regulatorischen Offenlegung
    Institute müssen Richtlinien zur Offenlegung von Informationen haben. Diese sollten umfassen, wie Institute bei der Beurteilung der Wesentlichkeit von Klima- und Umweltrisiken vorgehen. Erachtet ein Institut Klima- und Umweltrisiken nicht als wesentlich, sollte es die Informationen offenlegen, auf denen diese Einschätzung beruht. Beides dient einer größeren Transparenz im Finanzmarkt.

Fazit

Mit dem Leitfaden zu Klima- und Umweltrisiken legt die EZB erstmals ausführlich dar, was sie von den von ihr beaufsichtigten Instituten in Sachen Berücksichtigung und Bewertung von Klima- und Umweltrisiken konkret erwarten. Auch die Institute, die unter der Aufsicht der nationalen Aufsichtsbehörden stehen, sollten ihn aufmerksam lesen, da seine Grundgedanken und Kernpunkte auch auf sie Anwendung finden werden.

Durch den Leitfaden wird deutlich, dass das Thema Nachhaltigkeit und Klimarisiken vor keiner Branche haltmacht. Auch Finanzinstitute müssen sich (spätestens jetzt) Gedanken machen, wie Klimarisiken sie selbst und ihre Geschäftspartner beeinflussen können und werden und welche Risiken daraus entstehen. Angesichts erheblicher und langfristiger Klimarisiken wird es sich für die Institute lohnen, darauf vorbereitet zu sein.

EZB goes ESG – Ein Leitfaden zu Klima- und Umweltrisiken

Teil 1

Nach unserer Sommerpause melden wir uns mit einem der derzeit aktuellsten Themen zurück: die Nachhaltigkeit in der Finanzbranche. Ende Mai hat die Europäische Zentralbank (EZB) einen Leitfaden veröffentlicht, in dem sie darlegt, wie Klima- und Umweltrisiken gemäß dem derzeitigen Aufsichtsrahmen gesteuert und mehr Transparenz durch eine verbesserte Offenlegung von Informationen zu Klima- und Umweltrisiken erreicht werden kann. Die EZB hat den Leitfaden in Zusammenarbeit mit den zuständigen nationalen Aufsichtsbehörden entworfen. Im Rahmen der öffentlichen Konsultation können bis Ende September Stellungnahmen abgegeben werden.

In einem zweiteiligen Beitrag gehen wir der Frage nach, ob der Leitfaden rechtlich verbindlich werden wird, für wen er gilt und welche inhaltlichen Schwerpunkte er setzt.

Der EZB Leitfaden im regulatorischen Gefüge

Der Leitfaden ist rechtlich nicht bindend für die Institute. Vielmehr soll er die Grundlage für einen aufsichtlichen Dialog darstellen. Die EZB beabsichtigt, ihren in dem Leitfaden formulierten aufsichtlichen Ansatz zur Steuerung und Offenlegung von Klima- und Umweltrisiken im Laufe der Zeit weiterzuentwickeln und dabei regulatorische Entwicklungen einfließen zu lassen. Wie immer allerdings, wenn eine europäische Aufsichtsbehörde formaljuristisch nicht bindende Verlautbarungen, Erwartungen oder ähnliches veröffentlicht, sind die Institute in der Regeln dennoch gut beraten, die darin formulierten regulatorischen Anforderungen wahrzunehmen und umzusetzen. Das gilt allein schon im Interesse eines guten Verhältnisses mit der Aufsichtsbehörde.

Für welche Institute gilt der Leitfaden?

Die EZB erwartet, dass bedeutende Institute (SI) den Leitfaden nutzen. Beginnend mit dem Jahresende 2020 sind diese von der EZB deshalb aufgefordert, sie über jegliche Abweichungen ihrer Vorgehensweise von der in dem Leitfaden beschriebenen aufsichtlichen Erwartungen in Kenntnis zu setzen.

Im Hinblick auf weniger bedeutende Institute (LSI) empfiehlt die EZB den nationalen Aufsichtsbehörden, die Kernpunkte des Leitfaden ebenfalls anzuwenden; dabei ist allerdings dem jeweiligen Geschäftsmodell der Institute Rechnung zu tragen. Insoweit ist davon auszugehen, dass auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die inhaltlichen Kernpunkte in ihre Aufsichtspraxis übernehmen wird. Abhängig vom jeweiligen Geschäftsmodell werden deshalb wohl vor allem kleinere Institute, entsprechend dem Proportionalitätsgrundsatz, geringere Erwartungen an das interne Set-up zur Überwachung der Klima- und Umweltrisiken erfüllen müssen.

Welche Erwartungen hat die EZB?

Ihre Erwartungen an die Institute in Bezug auf deren Umgang mit Klima- und Umweltrisiken formuliert die EZB in den vier Kernbereichen (i) Geschäftsmodell und Geschäftsstrategie, (ii) Governance und Risikoappetit, (iii) Risikomanagement und (iv) Offenlegung.

Dieser Teil 1 der Beitragsreihe wird die  Erwartungen der EZB in Bezug auf das Geschäftsmodell, die Geschäftsstrategie sowie bzgl. Governance und Risikoappetit in den Blick nehmen. Teil 2 wird sich dann im Anschluss mit den Anforderungen bzgl. des Risikomanagements und der Offenlegung beschäftigen.

Anforderungen an das Geschäftsmodell und die Geschäftsstrategie  

  • Verständnis der Auswirkungen von Klima- und Umweltrisiken auf das Geschäftsmodell

Die EZB erwartet, dass Institute derzeitige und künftige Auswirkungen von Klima- und Umweltrisiken auf das jeweilige Geschäftsmodell ermitteln, verstehen und überwachen. Nur so kann sichergestellt werden, dass das Geschäftsmodell auch in Zukunft trag- und widerstandsfähig ist. Konkret erwartet die EZB u.a., dass Klima- und Umweltrisiken z.B. auf Ebene geographischer Gebiete und angebotener Produkte und Dienstleistungen ermittelt und dokumentiert werden.

  • Einbeziehung von Klima- und Umweltrisiken in die Geschäftsstrategie

Die Institute müssen festzulegen, welche Klimarisiken kurz-, mittel- und langfristig wesentlich für ihre Geschäftsstrategie sind. Dazu können sie z.B. Szenarioanalysen entwickeln, die die Widerstandsfähigkeit ihres Geschäftsmodells testen. Bei der Umsetzung der Geschäftsstrategie sollten Key Performance Indicators (KPIs) verwendet und diese auf die einzelnen Geschäftsfelder und Portfolios anwendet werden, um Klima- und Umweltrisiken Rechnung zu tragen.

Bspw. können Institute KPIs wie den CO2-Fußabdruck ihrer Vermögenswerte oder die Anzahl der Immobilien, deren Energieetikett sich dank der Finanzierung des Instituts verbessert hat verwenden und diese dann auf die verschiedenen Geschäftsbereiche wie z.B. Privatkundengeschäft und Corporate Banking anwenden. Durch Vergleich der Kennzahlen im Zeitverlauf kann der Fortschritt gemessen und überprüft werden.

Anforderungen an Governance und Risikoappetit

  • Überwachung von Klima- und Umweltrisiken durch das Leitungsorgan

Das Leitungsorgan des Instituts ist im Rahmen seiner Gesamtverantwortung auch für die Überwachung von Klima- und Umweltrisiken verantwortlich. Das Leitungsorgan sollte dafür Sorge tragen, dass Klima- und Umweltrisiken nicht nur in die allgemeine Geschäftsstrategie, sondern auch in das Risikomanagementrahmenwerk mit einbezogen werden. Dafür muss es Rollen und Zuständigkeiten im Hinblick auf Klimarisiken innerhalb des Instituts, z.B. im Rahmen von bestehenden oder neu einzurichtenden Ausschüssen, klar verteilen.

  • Aufnahme von Klima- und Umweltrisiken in das Rahmenwerk für den Risikoappetit

Die Risikostrategie und der Risikoappetit von Instituten sollte alle bestehenden wesentliche Risiken berücksichtigen und Risikolimits festlegen. Das schließt Klima- und Umweltrisiken mit ein. Insbesondere sollten Institute mittel- und langfristige Klimarisiken aufnehmen und ihnen zwecks Risikoüberwachung entsprechende Kennzahlen zuweisen, die den langfristigen Charakter des Klimawandels berücksichtigen. Dadurch werden Institute in die Lage versetzt, ihre Widerstandsfähigkeit zu stärken und Risiken besser zu steuern.

  • Zuständigkeiten für die Steuerung von Klima- und Umweltrisiken innerhalb der drei Verteidigungslinien

Innerhalb der drei Verteidigungslinien eines Instituts (Interne Kontrolle/Operatives Management – Compliance und Risikomanagement – Interne Revision) sind Aufgaben und Zuständigkeiten bzgl. Klima- und Umweltrisiken zu verteilen. Im Rahmen der ersten Verteidigungslinie erwartet die EZB bspw., dass alle für die Kreditwürdigkeit eines Kunden relevanten Klima- und Umweltrisiken ermittelt, bewertet und überwacht werden. Im Rahmen des Risikomanagementsystems als Teil der zweiten Verteidigungslinie sind Klima- und Umweltrisiken als Bestimmungsfaktoren bestehender Risikoarten aufzunehmen. Diese Systeme sind im Rahmen der dritten Verteidigungslinie regelmäßig im Hinblick darauf zu überprüfen, inwieweit das Institut für die Steuerung von Klima- und Umweltrisiken gerüstet ist.

  • Aufnahme von Risikodaten in die interne Berichterstattung

Die interne Berichterstattung der Institute sollte aggregierte Risikodaten melden, die Auskunft darüber geben, inwieweit das Institut Klima- und Umweltrisiken ausgesetzt ist. Das ist erforderlich, um der Führungsebene eine fundierte Entscheidungsgrundlage zu schaffen und eine wirksame Überwachung sowie Verringerung von Klima- und Umweltrisiken zu erreichen.

Ausblick auf Teil 2

Welche regulatorischen Anforderungen die EZB hinsichtlich der  Berücksichtigung von Klima- und Umweltrisiken im Rahmen des Risikomanagements und der Offenlegung von Klimarisikodaten an die Institute stellt, werden wir in Teil 2 der Beitragsreihe näher beleuchten. Stay tuned!

Wird die Finanzwelt irgendwann grüner und brauchen wir dafür konkrete Anforderungen?

Die Nachhaltigkeit des Finanzwesens durch nachhaltige Investitionen ist als Thema auf keiner Konferenz mehr wegzudenken. Wenn man mit Akteuren im Markt spricht, investieren längst auch alle nachhaltig. Die Aufsichtsbehörden in Europa scheinen indes noch nicht überzeugt davon. Denn sie betonen immer wieder, wieviel Wert auf nachhaltige Investitionen gelegt werden soll.

Die britische Finanzaufsichtsbehörde PRA (Prudential Regulation Authority) etwa hat am 15. Oktober 2018 einen Entwurf zum Umgang von Banken mit den Auswirkungen des Klimawandels  zur Konsultation gestellt. Dieser sieht vor, dass Vorstände von Banken, Versicherungsunternehmen und Investmentgesellschaften einen hochrangigen Verantwortlichen benennen müssen, der für die Ermittlung und Kontrolle von Klimarisiken verantwortlich ist und dem Vorstand darüber Bericht erstatten muss. Der Entwurf ist zwar nur für britische Akteure relevant, könnte aber Vorbildfunktion für spätere Vorstöße anderer Aufsichtsbehörden haben.

Worum geht es bei Klimarisiken? Grob kann zwischen physischen Klimarisiken und klimabezogenen Übergangsrisiken unterschieden werde. Physische Klimarisiken resultieren aus konkreten Umweltereignissen. Sie können sich kurzfristig aus bestimmten Wetterbedingungen wie Trockenheit, Hochwasser oder Stürmen ergeben oder langfristig in einem erhöhten Meeresspiegel, höherer Temperatur, Unberechenbarkeit des Wetters oder in einem Verlust von Anbaugebieten bestehen. Physische Klimarisiken können direkt Waren beschädigen oder die Produktivität einschränken und sich indirekt auswirken, indem sie globale Lieferketten unterbrechen. Klimabezogene Übergangsrisiken ergeben sich aus dem Anpassungsprozess an eine an Nachhaltigkeitskriterien ausgerichtete Wirtschaft, in der zum Beispiel nach und nach kohlenstoffintensive Produkte wegfallen und kompensiert werden müssen.

Der konkrete Entwurf der PRA unterstreicht einmal mehr die Bedeutung von Klimarisiken für die Finanzwelt. Schon am 11. Oktober 2018 hat das neugegründete internationale Netzwerk aus Zentralbanken, Aufsichtsbehörden und Internationalen Organisationen „Network for Greening the Financial System“ (NGFS), zu dem neben der Bank of England unter anderem die BaFin und die Deutsche Bundesbank gehören, seinen ersten Report veröffentlicht. Das NGFS stellt fest, dass es kurzfristige Maßnahmen braucht, um die Klimarisiken langfristig zu reduzieren. Es warnt, dass die finanziellen Risiken des Klimawandels systemweit wirken und irreversibel sind, sofern sie nicht angegangen werden.

Über die Trendwende hin zu einem nachhaltigen Finanzwesen  haben wir zuletzt hier berichtet. Auch die BaFin hat Klimarisiken bewusst stärker in den Fokus der Aufsicht gerückt. In einem Fachartikel vom Mai 2018 wies sie darauf hin, dass sie die Integration von Klimarisiken in das Risikomanagement einfordern wird. Die Institute müssen künftig also Klimarisiken in die Gesamtrisikosteuerung einbeziehen. Um sie zu quantifizieren, können Szenario-basierte Analysen und Stresstests durchgeführt werden. Angesichts dieser Verlautbarung der BaFin und der Mitgliedschaft von BaFin und Deutscher Bundesbank im NGFS muss sich die Finanzwelt darauf einstellen, Klimarisiken bei ihren Investitionen zu berücksichtigen. Es ist daher sowohl auf europäischer als auch auf deutscher Ebene damit zu rechnen, dass die Aufsichtsbehörden bezüglich des Managements von Klimarisiken konkretere Vorgaben machen werden.

Sustainable Finance und Nachhaltigkeitsrisiken als Aufsichtsthemen – Trendwende oder nur Trend?

Ernst wurde das Thema Sustainable Finance spätestens, als die Europäische Kommission Anfang März 2018 ihren Aktionsplan für die Finanzierung nachhaltigen Wachstums veröffentlichte. In einem nachhaltigen Finanzwesen werden umweltbezogene und soziale Erwägungen bei den Investitionsentscheidungen berücksichtigt. Umwelterwägungen beziehen vor allem den Klimawandel, aber auch allgemein den Umweltschutz mit ein. Bei sozialen Erwägungen sollen Fragen der Minderung von Ungleichheit, gerechter Teilhabe und Investitionen in Menschen und Gemeinschaften eine Rolle spielen. Die Europäische Kommission sieht ihren Aktionsplan für ein nachhaltiges Finanzwesen als einen „Teil umfassender Bemühungen, Finanzfragen und die spezifischen Erfordernisse der europäischen und der globalen Wirtschaft zum Nutzen der Welt und unserer Gesellschaft miteinander zu verknüpfen“. So hat der Aktionsplan auch das hehre Ziel, u.a. finanzielle Risiken, die sich aus dem Klimawandel, der Ressourcenknappheit, der Umweltzerstörung und sozialen Problemen ergeben, zu bewältigen. Es stellt sich also die Frage, wie sich die politisch durchaus wünschenswerten Ziele des Aktionsplans in der Praxis umsetzen lassen, und welche konkreten Maßnahmen das seitens der Aufsicht auslöst.

Die Europäische Kommission hat in ihrem Aktionsplan für die Finanzierung nachhaltigen Wachstums angekündigt, bereits in Q2 2018 die Delegierten-Verordnung (EU) 2017/565 zu MiFID II dahingehend anzupassen, dass die Geeignetheitsprüfung künftig auch Nachhaltigkeitskriterien berücksichtigt. Mithilfe der Geeignetheitsprüfung soll sichergestellt werden, dass insbesondere der Privatkunde nur solche Investitionsmöglichkeiten angeboten bekommt, die für ihn geeignet sind. [1] Bislang sind Nachhaltigkeitskriterien kein Punkt, der im Rahmen einer Geeignetheitsprüfung berücksichtigt werden muss. Die Ankündigung der Europäischen Kommission ist im Moment nur eine Absichtserklärung, bindende Regelungen werden erst noch folgen.

Dennoch haben wir bereits jetzt zwei Anhaltspunkte, die zeigen, dass Nachhaltigkeit im Finanzmarkt ein Thema ist, das nicht länger ignoriert werden kann. Zum einen hat die BaFin Mitte Mai 2018 in einem Fachartikel zur nachhaltigen Finanzwirtschaft

mitgeteilt, dass sie davon ausgeht, dass künftig materielle Nachhaltigkeitsrisiken als Teil des institutsinternen Risikomanagements Berücksichtigung finden. Nachhaltigkeitsrisiken seien von den Instituten eigenständig zu bewerten und in das Risikomanagement zu integrieren. So könnten neben Anpassungen an den Risikomodellen auch Szenario-basierte Analysen und Stresstests sinnvolle Instrumente zur Quantifizierung von Nachhaltigkeitsrisiken und ihrer Wirkung in der Gesamtrisikosteuerung sein. Die BaFin macht in dem hier zitierten Fachartikel deutlich, dass sie sich auch auf europäischer und globaler Ebene für eine nachhaltige Finanzwirtschaft und einen entsprechenden Aufsichtsrahmen einsetzen wird. Sie spricht eindringlich auch davon, dass sie die Integration von Nachhaltigkeitsrisiken in das Risikomanagement einfordern wird.

Zum anderen hat auch die ESMA nachgelegt. In den am 28. Mai 2018 veröffentlichten Final Guidelines on MiFID II Suitability Requirements hat sie  good practice-Vorgaben für Institute vorgesehen, die sich mit der Nachhaltigkeit beschäftigen. Darin sieht die ESMA es als good practice an, wenn beim Einholen der Informationen von Kunden im Rahmen der Geeignetheitsprüfung für Anlageberatung und Portfolioverwaltung auch nicht-finanzielle Elemente Berücksichtigung finden, etwa die Erwägungen des Kunden hinsichtlich Umwelt, soziale und gesellschaftliche Faktoren. Zwar kommen den good practice-Vorgaben der ESMA keine gleichstarke Wirkung zu wie die bevorstehende Anpassung der Delegierten Verordnung zu MiFID II, dennoch zeigen sie die Zielrichtung der europäischen Wertpapieraufsicht und der Europäischen Kommission.

Der Markt ist derzeit noch nicht so enthusiastisch und gibt zu bedenken, dass nach der MiFID II-Umsetzung noch nicht wieder genug Ruhe eingekehrt ist, um sich gleich neuen Anforderungen zu widmen. Insgesamt aber scheint die Resonanz selbst bei einem gewissen Umsetzungsaufwand künftiger Anforderungen positiv zu sein. Ein Motivator ist das Verhalten der Investoren. Sobald die Investoren nachhaltige Produkte nachfragen, wird der Markt auch mehr davon anbieten. In der Versicherungsbranche etwa – und damit bei einem wesentlichen Teil der institutionellen Investoren – gibt es bereits eine Nachfrage nach nachhaltigen Produkten, wie die BaFin schon im November 2017 in einem Artikel  ausführte.

Es kündigt sich eher eine Trendwende an als nur ein vorübergehender Trend.

[1] Heute gilt, dass ein Institut von einem Kunden alle Informationen einholen muss über Kenntnisse und Erfahrungen des Kunden in Bezug auf Geschäfte mit bestimmten Arten von Finanzinstrumenten, über die finanziellen Verhältnisse des Kunden, einschließlich seiner Fähigkeit, Verluste zu tragen, und über seine Anlageziele, einschließlich seiner Risikotoleranz, die erforderlich sind, um dem Kunden ein Finanzinstrument empfehlen zu können, das für ihn geeignet ist und insbesondere seiner Risikotoleranz und seiner Fähigkeit, Verluste zu tragen, entspricht.