DORA – ein inhaltlicher Überblick

Nachdem wir uns im ersten Teil der Beitragsreihe mit dem Anwendungsbereich von DORA beschäftigt haben, betrachten wir in diesem zweiten Teil nun die inhaltlichen Regelungen der neuen europäischen Verordnung etwas genauer. Dieser Blogbeitrag beleuchtet fünf Handlungsfelder von DORA, die entsprechenden Anpassungsaufwand auf Seiten der betroffenen Finanzunternehmen nach sich ziehen werden.

Am 27. Dezember 2022 wurde die Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) im Amtsblatt der Europäischen Union veröffentlicht. DORA tritt am zwanzigsten Tag nach der Veröffentlichung im Amtsblatt der Europäischen Union – und damit am 16. Januar 2023 – in Kraft und muss von den betroffenen Unternehmen nach einer Umsetzungsfrist von 24 Monaten nach der Veröffentlichung, folglich ab dem 17. Januar 2025 angewendet werden (Art. 64 DORA). Die Anforderungen der DORA sind damit in allen EU-Mitgliedstaaten einheitlich. Hieran anknüpfend werden die Europäischen Aufsichtsbehörden (ESAs), die Europäische Bankenaufsichtsbehörde (EBA), die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) und die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) zur Konkretisierung des Rechtsakts technische Standards (sog. Regulatory Technical Standards – RTS) ausarbeiten, die von den jeweiligen Unternehmen erfüllt werden müssen.

Betroffenen Unternehmen ist zu raten, den persönlichen Anwendungsbereich von DORA zu prüfen und sich mit den gesetzlichen Verpflichtungen bereits frühzeitig vertraut zu machen. DORA enthält fünf Themenbereiche, die im Folgenden zusammenfassend dargestellt und eingeordnet werden.

1. IKT-Risikomanagement

Wenig überraschend muss das Risikomanagement von regulierten Finanzmarktteilnehmern auch nach DORA künftig das IKT-Risiko umfassen. Das ist nach der MaRisk und den aufsichtsrechtlichen Vorgaben an die IT in BAIT, KAIT, ZAIT und VAIT keine neue Vorgabe. Allerdings sind die Vorgaben in DORA konkreter und nun auf Gesetzesebene verankert und nicht mehr nur in Verwaltungsvorschriften der BaFin.

Kapitel II von DORA enthält Vorschriften zum IKT-Risikomanagement von Finanzunternehmen. Ein Einsatz von IKT muss durch das Finanzunternehmen in die Unternehmensstrategie integriert werden. Die Gesamtverantwortung für das Risikomanagement liegt dabei grundsätzlich bei der Geschäftsleitung des jeweiligen Finanzunternehmens. Zudem werden mit DORA Verpflichtungen eingeführt, die sicherstellen sollen, dass IKT-Systeme kontinuierlich überwacht und kontrolliert werden, sowie durch regelmäßige Updates auf dem aktuellsten Stand gehalten werden. Um Ausfallzeiten von IKT-Systemen zu minimieren, müssen betroffene Unternehmen auch Strategien für Datensicherung und Wiederherstellungsverfahren einrichten. Sämtliche interne Risikodokumente müssen verschriftlicht sein, um entsprechend intern und extern überprüfbar zu sein.

2. Berichterstattung / Meldepflichten

DORA enthält zudem eine Verpflichtung zur Meldung von IKT-bezogenen Vorfällen. Nach Kapitel III von DORA werden Finanzunternehmen künftig verpflichtet sein, einen Managementprozess zur Überwachung und Protokollierung von IKT-bezogenen Vorfällen zu implementieren. Einen derartigen IKT-bezogenen Vorfall definiert die Verordnung als ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat (vgl. Art. 3 Nr. 6 DORA).

Finanzunternehmen müssen nach Art. 15 DORA Frühwarnindikatoren einrichten, um Cyberangriffe zu erkennen und zu bewältigen. Weiterhin schafft DORA einheitliche und standardisierte Vorgaben zum Vorgehen bei IT-Sicherheitsvorfällen. So beschreibt beispielsweise Art. 16 DORA ein Verfahren zur Klassifizierung, basierend auf Faktoren wie Dauer und Schwere des IKT-bezogenen Vorfalls auf die IKT-Systeme des Finanzunternehmens.

Schwerwiegende IKT-bezogene Vorfälle (vgl. Art. 3 Nr. 7 DORA) müssen durch das jeweilige Finanzunternehmen gemäß Art. 17 DORA der zuständigen Aufsichtsbehörde (vgl. Art. 41 DORA) gemeldet werden.

Bereits unter der derzeit geltenden Rechtslage bestehen Berichts- und Meldepflichten etwa durch die Zweite Zahlungsdiensterichtlinie (PSD II-Richtlinie) für Zahlungsdienstleister oder die Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie). Die DORA-Verordnung baut dabei auf der NIS-Richtlinie auf und beseitigt mögliche Überschneidungen durch eine Ausnahme mittels des lex specialis Prinzips, sodass die Regelungen der DORA grundsätzlich Vorrang genießen sollten.

3. Prüfung der digitalen Betriebsstabilität durch Test-Verfahren

DORA schreibt weiterhin auch umfassende Verfahren zur Feststellung und Überprüfung der IT-Sicherheit mittels geeigneter Tests vor (Kapitel IV DORA). Dabei sind diese Prüfungen anhand des bereits erwähnen risikobasierten Ansatzes unter Berücksichtigung der Größe und Geschäfts- und Risikoprofile der jeweiligen Finanzunternehmen durchzuführen. Die DORA-Verordnung listet in Art. 22 Abs. 1 Beispiele geeigneter Tests auf, darunter Bewertungen und Überprüfungen der Anfälligkeit, Analysen von OpenSource-Software, Bewertungen der Netzsicherheit, Lückenanalysen, Analysen der physischen Sicherheit, Überprüfungen der physischen Sicherheit, Fragebögen und Scansoftwarelösungen, Quellcodeprüfungen, szenariobasierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests oder Penetrationstests.

Finanzunternehmen müssen mindestens einmal jährlich alle kritischen IKT-Systeme und IKT-Anwendungen prüfen. Diese Prüfungen können dabei sowohl durch externe als auch durch interne Prüfer durchgeführt werden (vgl. Art. 21 Abs. 4, 6 DORA).

Systemrelevante Institute hingegen werden höheren Anforderungen mit Blick auf die Prüfung ihrer IKT-Systeme unterworfen. DORA sieht für diese Institute erweiterte Prüfungen durch die Durchführung sog. bedrohungsorientierter Penetrationstests vor, wobei diese Tests in regelmäßigen Abständen mindestens alle drei Jahre durchzuführen sind.

4. IKT-Risiken Dritter / Outsourcing

Da Institute ihre IT häufig an große Technologieanbieter auslagern oder solche Anbieter für einzelne Dienstleistungen verwenden, werden Finanzinstitute deshalb im Rahmen ihres Risikomanagements verpflichtet, auch IKT-Drittparteienrisiken zu betrachten (Kapitel V DORA). So legt etwa Art. 27 DORA wesentliche Vertragsbestimmungen für Auslagerungsverträge fest. Derartige Verträge müssen z.B. eine Beschreibung aller Funktionen und Dienstleistungen des IKT-Drittanbieters, fortlaufende Überwachungsrechte des Finanzunternehmens oder auch Kündigungsrechte und Ausstiegsstrategien enthalten. Diese Vorgaben knüpfen nahtlos an das bestehende Auslagerungsregime für regulierte Finanzmarktteilnehmer an.

5. Europäisches Überwachungsrahmenwerk für kritische IKT Drittdienstleister

Besonders hervorzuheben ist der Aufbau eines europäischen Überwachungsregimes für kritische Technologieanbieter, die im Finanzsektor genutzt werden. Das ist auf europäischer Ebene neu, in Deutschland wurde eine entsprechende Kompetenz der BaFin bereits durch das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) in § 25b Abs. 4a KWG eingeführt. Allerdings gehen die Befugnisse der BaFin beim Durchgriff auf das IT-Auslagerungsunternehmen nicht so weit, wie es DORA vorsieht. Nach § 25b KWG kann die BaFin im Einzelfall geeignete Anordnungen gegenüber IT-Auslagerungsunternehmen erlassen. Die aufsichtlichen Befugnisse bei der Überwachung der IKT-Drittanbieter nach Art. 33 DORA sind wesentlich detaillierter und weitgehender. Sie umfassen beispielsweise die Anforderung von Informationen und Unterlagen, Vor-Ort-Prüfungen oder auch die Verhängung von Zwangsgeldern, um den jeweiligen kritischen IKT-Drittanbieter zur Einhaltung der gesetzlichen Regelungen zu zwingen. Die neuen Befugnisse ermöglichen der BaFin eine umfassende Aufsicht der kritischen IKT-Drittanbieter.

Die Einstufung eines Technologieanbieters als kritischer IKT-Drittdienstleister und dessen Überwachung obliegt den ESAs. Dabei basiert die Ernennung auf festgelegten Kriterien, wie etwa:

  • Systemische Auswirkungen auf die Finanzdienstleistungen bei Defiziten der Stabilität, Kontinuität und Qualität der IKT-Leistungen
  • Abhängigkeit von Finanzunternehmen von den Dienstleistungen des betreffenden IKT-Drittdienstleisters
  • Grad der Substituierbarkeit des IKT-Drittanbieters
  • Zahl der Mitgliedstaaten, welche die IKT-Leistungen nutzen

Zusammenfassung und Ausblick

Durch den umfassenden Anwendungsbereich von DORA werden Unternehmen aus zahlreichen Bereichen des Finanzsektors erfasst. Mit DORA wird ein Rechtsrahmen entstehen, der bestehende regulatorische Anforderungen an die IT-Sicherheit für die gesamte Finanzbranche zusammenfasst und einen europäisch einheitlichen Aufsichtsrahmen schafft.

Erstmals sind nun auch kritische IKT-Dienstleister, die als Auslagerungsunternehmen für regulierte Finanzmarktteilnehmer agieren, von der Regulierung umfasst.

 

Neue FAQ zur Taxonomie-Verordnung

Ende 2022 hat die EU-Kommission den Entwurf eines FAQ-Dokuments zu den technischen Bewertungskriterien der Taxonomie-Verordnung veröffentlicht. Wir werfen einen genaueren Blick darauf und schauen uns an, warum die Einordnung einer Tätigkeit als nachhaltig unter der Taxonomie-Verordnung für Immobilienunternehmen, Finanzmarktteilnehmer und Anleger gleichermaßen wichtig ist.

Dogmatik zum Einstieg: Die FAQ als Level 3 Maßnahme

Die Taxonomie-Verordnung regelt EU-weit einheitlich, unter welchen Voraussetzungen eine Wirtschaftstätigkeit als ökologisch nachhaltig gilt. Dazu muss die Wirtschaftstätigkeit einen Beitrag zu einem Umweltziel (Klimaschutz, Anpassung an den Klimawandel, Schutz von Meeresressourcen, Übergang zur Kreislaufwirtschaft, Vermeidung von Umweltverschmutzung, Schutz der Biodiversität) leisten und darf keines dieser Ziele erheblich beeinträchtigen. EU-Verordnungen wie die Taxonomie-Verordnung werden als „oberster gesetzgeberischer Rahmen“ als Level 1 Maßnahme bezeichnet.

Zwei der genannten Umweltziele werden mithilfe von technischen Bewertungskriterien in Form einer Delegierten Verordnung (2021/2139) konkretisiert (die Konkretisierung der übrigen vier Ziele wird vom EU-Gesetzgeber noch ausgearbeitet). Delegierte Verordnungen werden, da sie Level 1 Maßnahme konkretisieren, häufig als Level 2 Maßnahmen bezeichnet. Für die Immobilienwirtschaft unterscheidet die Delegierte Verordnung insbesondere zwischen technischen Bewertungskriterien für (i) den Neubau, (ii) die Renovierung bestehender Gebäude und (iii) den Erwerb bzw. Eigentum an Gebäuden. Mit anderen Worten: Sie regelt, welche Bedingungen bei einem Neubau, bei einer Renovierung oder beim Erwerb eines Gebäudes erfüllt sein müssen, damit diese Tätigkeit als nachhaltig qualifiziert. Die Renovierung eines Gebäudes stellt z.B. eine nachhaltige Tätigkeit dar, wenn sie u.a. den Primärenergiebedarf des Gebäudes um 30% verringert.

Der nun von der EU-Kommission veröffentlichte FAQ-Entwurf greift in der Praxis gestellte Fragen zu den technischen Bewertungskriterien auf und beantwortet diese. Diese Guidance wird als Level 3 Maßnahme bezeichnet. Diese hat keinen Gesetzescharakter, ist aber in der Praxis wichtig, da hier häufig erst Detailfragen zur Auslegung und zum Verständnis des eigentlichen Gesetzestextes (Level 1) geklärt werden können.

Top 5 FAQ

Welche Konkretisierungen zu den technischen Bewertungskriterien für die Wirtschaftstätigkeit der Immobilienbranche halten die FAQ bereit? Nachfolgend unsere Top 5:

Allgemein

  • Zum Nachweis der Einhaltung der technischen Bewertungskriterien werden Bewertungssysteme wie das Deutsche Gütesiegel Nachhaltiges Bauen (DGNB) von der Delegierten Verordnung zwar nicht erwähnt; sie können aber verwendet werden, soweit sie dazu geeignet sind.

Neubau

  • Die technischen Bewertungskriterien besagen, dass der Bau eines Gebäudes die Umweltziele nicht beeinträchtigt, wenn es u.a. nicht der Gewinnung, der Lagerung, Transport oder Herstellung von fossilen Brennstoffen dient. Das schließt aber nicht aus, dass ein Neubau, in dem geringe Mengen an Brennstoffen gelagert oder transportiert werden müssen, z. B. um das Funktionieren der Energieerzeugungsanlagen zu gewährleisten, Taxonomie-konform sein kann, wenn dieser einem anderen Zweck dient, z.B. Wohngebäude ist.

Renovierung

  • Renovierungen sind Taxonomie-konform, wenn u.a. der Wasserverbrauch für Sanitäranlagen, die im Rahmen der Renovierung installiert werden, bestimmte Verbrauchsmengen nicht überschreiten. Der Nachweis der Einhaltung der Verbrauchsgrenzen kann z.B. durch Produktblätter oder einer Gebäudezertifizierung erfolgen.

Erwerb

  • Für die Frage, wann das Eigentum an einem Gebäude als nachhaltig eingestuft werden kann, kommt es u.a. auf das Datum des Baus an. Maßgeblich ist hier das Datum der Baugenehmigung, nicht etwa das Datum der Fertigstellung oder Übergabe an den Bauherren.
  • Gebäude, die vor 2020 gebaut wurden, sind nachhaltig, wenn sie z.B. zu den oberen 15% des Gebäudebestandes bzgl. des Energiebedarfs gehören. Hierbei handelt es sich um eine dynamische Größe, für die es keinen Bestandsschutz gibt. Ändern sich die Kriterien oder wird den Kriterien nicht mehr entsprochen, muss neu bewertet werden, ob die Kriterien eingehalten werden und ggf. Maßnahmen ergriffen werden, um deren weitere Einhaltung sicherzustellen.

Warum sind die Konkretisierungen für die Immobilien-, die Finanzwirtschaft und Anleger gleichermaßen wichtig?

Für Unternehmen der Immobilienwirtschaft ist eine rechtssichere Anwendung der technischen Bewertungskriterien der Taxonomie-Verordnung wichtig, um korrekte Angaben darüber machen zu können, ob ihre Tätigkeit, sprich ein Immobilienvorhaben, nachhaltig im Sinne der Taxonomie ist.

Diese Information der Immobilienunternehmen sind wiederum für Finanzmarktteilnehmer wichtig, die über Finanzprodukte Investitionen in Immobilien anbieten, zum Beispiel in Form eines Immobilienfonds.  Zum einen unterliegen sie selbst nachhaltigkeitsbezogenen Transparenzpflichten bzgl. ihrer Finanzprodukte. Diese unterscheiden sich u.a. danach, ob einem Immobilienfonds nachhaltige Immobilien im Sinne der Taxonomie zugrunde liegen, oder nicht. Finanzmarktteilnehmer haben also schon aus eigenen Compliance-Gründen ein Interesse an diesen Informationen. Zum anderen sind diese Informationen vor allem aber für den potentiellen Investor eines Immobilienfonds interessant und werden diesem vom Finanzmarktteilnehmer, der den Immobilienfonds anbietet, auch mitgeteilt. Anlagen in nachhaltige Investments erfreuen sich derzeit großer Nachfrage und Beliebtheit. Die Nachhaltigkeitsinformationen zum Finanzprodukt können die Anlageentscheidung des Investors daher ganz erheblich beeinflussen und ein wichtiges Marketingtool für das Produkt sein.

Fazit

Die technischen Bewertungskriterien und die Level 3 Guidance dazu sind die maßgebliche Grundlage für die Nachhaltigkeitsinformationen, die vom Immobilienunternehmen über den Finanzmarktteilnehmer an den potentiellen Investor eines Immobilienfonds gelangen. Nur wenn die technischen Bewertungskriterien in der Praxis funktionieren, sind die Angaben korrekt und für den Investor für seine Anlageentscheidung hilfreich. Letztlich wird also durch eine saubere und rechtssichere Anwendung der technischen Bewertungskriterien Greenwashing verhindert. Das stärkt das Vertrauen der Anleger und hilft so, Kapital in nachhaltige Wirtschaftstätigkeiten zu lenken.

Die Verordnung des europäischen Parlamentes und des Rates über die Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act – DORA) – ab 16.1.2023 in Kraft

Die Digitalisierung des Finanzsektors durch den Einsatz von Informationstechnik (IT) schafft für Anbieter von Bank- und Finanzdienstleistungen zahlreiche neue Möglichkeiten, birgt für die Branche jedoch, angesichts der wachsenden Gefahr von Cyberangriffen, auch zahlreiche Risiken. In Zukunft wird mit dem sog. Digital Operational Resilience Act – („DORA“) ein EU-weiter Rechtsrahmen für die digitale Widerstandsfähigkeit und Cybersicherheit im Finanzdienstleistungssektor zu beachten sein.

Was ist DORA?

Um die Stabilität des Finanzmarktes auch im Falle einer schwerwiegenden Störung zu gewährleisten und dessen Marktteilnehmer zu schützen, hat die EU-Kommission am 24. September 2020 den DORA-Regulationsentwurf im Rahmen eines umfassenden Pakets zur Digitalisierung des Finanzsektors (Digital Finance Package) vorgelegt, der auch die Digital Finance Strategy, die Retail Payment Strategy, einen Vorschlag zur Distributed-Ledger-Technologie (DLT) sowie den Act on Markets in Crypto Assets (MiCA) enthält.

Derzeit müssen sich Unternehmen des Finanz- und Versicherungssektors bei einem Einsatz von IT oder der Einbeziehung von IT-Dienstleistungen auf nationaler Ebene an eine Vielzahl aufsichtsrechtlicher Anforderungen mit Blick auf Cybersicherheit halten. In Deutschland zeigt sich dies etwa an den Vorgaben der BaFin-Rundschreiben BAIT, KAIT, ZAIT und VAIT, die für jede Branche des Finanz- und Versicherungsmarktes individuelle Regelungen aufstellen. Wir fangen hier in Deutschland also nicht bei Null an, sondern bauen auf einem Standard auf, der bereits seit Jahren im Fokus der Aufsicht steht und bereits eine gewisse Resilienz bewiesen hat.

Ziel von DORA ist die Harmonisierung der nationalen Vorschriften für die Sicherheit von IT-Systemen im Finanzsektor. Innerhalb der Europäischen Union soll so ein einheitlicher Rechtsakt über die digitale Betriebsstabilität von Finanzdienstleistungen entstehen. Bezweckt ist die Schaffung eines umfassenden Rahmens auf Ebene der Europäischen Union mit einheitlichen Vorschriften, die den Anforderungen an die digitale Betriebsstabilität von regulierten Unternehmen auf dem Finanzmarkt Rechnung tragen sowie die Schaffung eines gemeinsamen Aufsichtsrahmens für Drittanbieter von Informations- und Kommunikationstechnologien (IKT).

Wer ist von DORA betroffen?

DORA wird auf Finanzunternehmen und sog. IKT-Drittanbieter anwendbar sein. Unter einem IKT-Drittanbieter ist ein Unternehmen zu verstehen, welches digitale Dienste und Datendienste erbringt und schließt auch Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren ein.  

Welche Unternehmen unter die Sammelbezeichnung der Finanzunternehmen zu fassen sind, wird in Art. 2 Abs. 1 a) bis t) DORA aufgelistet. Demnach sind nicht nur Kreditinstitute, Zahlungsdienstleister, E-Geld-Institute und Wertpapierfirmen vom Anwendungsbereich von DORA umfasst, sondern beispielsweise auch Datenbereitstellungsdienste, Versicherungs- und Rückversicherungsunternehmen, Crowdfunding-Dienstleister, Ratingagenturen und Anbieter von Krypto-Dienstleistungen.

Der insgesamt sehr weite Anwendungsbereich von DORA soll nach dem Willen des europäischen Gesetzgebers für eine möglichst einheitliche Anwendung der gesetzlichen Verpflichtungen im Hinblick auf IKT-Risiken sorgen und letztlich gleiche Wettbewerbsbedingungen für die betroffenen Unternehmen schaffen.

Was sind die zentralen Verpflichtungen unter DORA?

Die neue Verordnung berücksichtigt, dass zwischen Finanzunternehmen in Bezug auf Größe, Unternehmensprofile oder das Ausmaß digitaler Risiken erhebliche Unterschiede bestehen. Aus diesem Grund verfolgt DORA einen risikobasierten Regulierungsansatz unter Beachtung der Verhältnismäßigkeit (sog. Proportionalitätsprinzip). Dies dient dazu, den weiten Anwendungsbereich von DORA zu korrigieren und sorgt dafür, dass je nach Größe des Unternehmens unterschiedliche Anforderungen gelten. Dadurch fallen auch Kleinstunternehmen nahezu gänzlich aus dem Anwendungsbereich von DORA heraus. DORA wurde zudem technologieneutral ausgestaltet, wodurch auch künftige technologische Entwicklungen auf dem Finanzmarkt erfasst werden sollen.

DORA sieht dabei eine Reihe von Handlungsfeldern vor, die entsprechenden Anpassungsaufwand auf Seiten der Finanzunternehmen nach sich ziehen. Diese sollen in einem Teil 2 zu diesem Beitrag näher beleuchtet werden.

Gegen Greenwashing: Neue Regulierung von Fondsnamen

ESG, green, sustainable, impact investing…der Name eines Fondsprodukt ist oft das, was ein potentieller Investor als Erstes sieht. Auch wenn für die Rendite letztlich maßgeblich ist, welche Assets im Fonds enthalten sind, ist der Name des Fonds doch häufig das, was das Interesse weckt. Hier ist die Gefahr von Greenwashing, sprich der Verwendung von ESG-Begriffen, ohne dass aber entsprechendes Commitment besteht, also besonders groß.

Die gesamte Nachhaltigkeitsregulierung im Finanzmarkt dient deshalb dem übergeordneten Ziel, Transparenz zu schaffen, Anlegervertrauen zu fördern und damit Kapital hin zu einer nachhaltigeren Wirtschaft bereitzustellen. Dazu legt z.B. die Taxonomie-Verordnung als Grundlage eine einheitliche Definition nachhaltiger Wirtschaftstätigkeit fest. Die EU-Offenlegungsverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) regelt z.B. nachhaltigkeitsbezogene vorvertragliche Informationspflichten. Ein weiterer Baustein gegen Greenwashing ist nun die Schaffung von EU-Vorgaben zu Fondsnamen.

Die BaFin-Richtlinie für nachhaltige Investmentvermögen

Bereits im August 2021 hat die BaFin den Entwurf einer Richtlinie für nachhaltige Investmentvermögen zur Konsultation gestellt, die in ihrem Anwendungsbereich allerdings auf Publikumsfonds beschränkt ist. Sie zielt auf solche Publikumsfonds ab, die in ihrem Namen einen Nachhaltigkeitsbezug aufweisen. Drei Möglichkeiten sind vorgesehen, unter denen ein Fonds als nachhaltig aufgelegt werden kann: (i) aufgrund der Investition in nachhaltige Vermögensgegenstände, (ii) aufgrund einer nachhaltigen Anlagestrategie und (iii) durch die Nachbildung eines nachhaltigen Index. Eine Investition in nachhaltige Vermögensgegenstände kann durch die Aufnahme einer Regelung in die Anlagegrenzen erfolgen, wonach der Fonds zu mind. 75% in Taxonomie-konforme Vermögensgegenstände investiert sein muss. Ausführlich haben wir bereits hier darüber berichtet. Vor dem Hintergrund der dynamischen regulatorischen Lage hat die BaFin sich allerdings dazu entschlossen, die Richtlinie zurückzustellen, gleichzeitig ihre Verwaltungspraxis aber an den dort genannten Grundsätzen auszurichten.

Der Vorschlag der ESMA

Mitte November 2022 hat die ESMA ihren Entwurf für Guidelines für Fondsnamen mit ESG-Bezug veröffentlicht. Diese sind bereits deutlich konkreter als das vorangegangene Supervisory Briefing vom Mai 2022.

…gilt für…

Die Guidelines sollen für sämtliche Fondsverwaltungsgesellschaften gelten, erfassen also v.a. OGAW und AIF und sind insbesondere nicht auf Publikumsfonds beschränkt. Durch die Guidelines werden die in der OGAW-Richtlinie, der AIFMD und der Verordnung zum grenzüberschreitenden Fondsvertrieb enthaltenen Grundsätze des redlichen Verhaltens von Fondsverwaltungsgesellschaften sowie die Verpflichtung zu fairer, klarer und nicht irreführender Werbung konkretisiert.

Relevant werden die Guidelines für sämtliche Fondsdokumentation wie den Prospekt, die vorvertraglichen Informationen, die Halbjahres- und Jahresberichte und die Gründungsdokumente sowie für sämtliche Marketingkommunikation, geäußert z.B. durch Pressemitteilungen, auf Webseiten, mittels Präsentationen, auf Social Media oder im Rahmen von Diskussionsforen. Sie sollen nicht nur die Fondsverwaltungsgesellschaften selbst, sondern auch für ihre Vertriebspartner gelten.

…und regelt

Unter der SFDR sind Fonds bereits jetzt verpflichtet, z.B. in vorvertraglichen Informationen offenzulegen, wie die geförderten sozialen oder ökologischen Merkmale (Art. 8 SFDR) bzw. die nachhaltigen Anlageziele (Art. 9 SFDR) erreicht werden. Ab 2023 sind dazu verbindliche Vorlagen des EU-Gesetzgebers zu verwenden. Dabei ist auch offenzulegen, welcher Anteil der dem Fonds zugrunde liegenden Vermögensgegenstände verwendet wird, um die geförderten Merkmale bzw. die nachhaltige Anlagestrategie zu erreichen.

Hier setzt der Vorschlag der ESMA an:

  • Bei Fonds, die einen ESG- oder impact-Bezug im Namen aufweisen, müssen mindestens 80% der Vermögenswerte dazu verwendet werden, die geförderten ökologischen oder sozialen Merkmale bzw. die nachhaltigen Anlageziele zu erreichen.
  • Bei Fonds, die einen Nachhaltigkeitsbezug im Namen aufweisen, müssen von diesen 80% mindestens 50% die Voraussetzungen von Art. 2 Nr. 17 SFDR erfüllen, also letztlich Taxonomie-konform sein.
  • Für die verbleibenden Vermögenswerte sowie als grundsätzliche Mindestanforderung an alle Vermögenswerte schlägt die ESMA die Anwendung der Mindestanforderungen vor, die bereits im Zusammenhang mit Klimabenchmarks geregelt sind. Ausgeschlossen wären danach z.B. Investments in Unternehmen, die an umstrittenen Waffen beteiligt sind.
  • Die Wörter „Impact“ oder „Impact Investing“ dürfen von Fonds nur verwendet werden, wenn die o.g. Schwellenwerte eingehalten werden und Investitionen unter diesen Mindestanteilen zudem mit der Absicht getätigt werden, neben einer finanziellen Rendite positive, messbare soziale oder ökologische Auswirkungen zu erzielen.

Durch die Guidelines will die ESMA EU-weit einheitliche Regelungen erreichen, was insbesondere den grenzüberschreitenden Fondsvertrieb erleichtert. Die von ihr vorgeschlagene Quote für Investitionen in Taxonomie-konforme Investments ist deutlich niedriger als die 75% der BaFin. Wie immer bei EU-Guidelines müssen die nationalen Aufsichtsbehörden erklären, ob sie diese anwenden und falls nein, begründen, warum nicht. Es bleibt daher abzuwarten, wie die BaFin mit ihrer Richtlinie umgehen wird. Eine Möglichkeit wäre, die ESMA Guidelines als Mindeststandard anzuwenden, für Publikumsfonds aber an der Richtlinie festzuhalten.

Ab wann gilts?

Die ESMA will finale Guidelines in Q2/Q3 2023 veröffentlichen. Für Fonds, die vor den finalen Guidelines aufgelegt wurden, ist eine Übergansphase von 6 Monaten vorgesehen. Diese haben somit ein halbes Jahr Zeit, entweder die Vorgaben der Guidelines zu erfüllen oder den Fondsnamen zu ändern. Erfahrungsgemäß halten sich Änderungen zur Entwurfsfassung in der Regel in Grenzen, sodass Marktteilnehmer ihre Produkte bereits einer entsprechenden Prüfung unterziehen sollten.

Update Nachhaltigkeitsregulierung – Was gibt es Neues?

In der Nachhaltigkeitsregulierung steckt derzeit selbst für das die Schnelllebigkeit gewohnte Finanzaufsichtsrecht viel Dynamik. In der Vergangenheit hatten wir bspw. schon über das Lieferkettensorgfaltspflichtengesetz, die Richtlinie der Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) für nachhaltige Investmentvermögen und die technischen Regulierungsstandards zur EU-Transparenzverordnung (Sustainable Finance Disclosure Regulation – „SFDR“) berichtet. Doch was hat sich in der Zwischenzeit getan? Nachfolgend gibt es ein Update über ausgewählte aktuelle Entwicklungen der Nachhaltigkeitsregulierung.

1. Finale RTS zur SFDR

Die durch mehrere „Entwurfsrunden“ gegangenen technischen Regulierungsstandards (Regulatory Technical Standards – „RTS“) liegen mittlerweile als Delegierte Verordnung (EU) 2022/1288 in finaler Fassung vor (abrufbar hier). Die RTS zur SFDR konkretisieren insbesondere die Anforderungen an die Transparenzpflichten in vorvertraglichen Informationen, auf der Internetseite und in Jahresberichten. Die dazu in der Delegierte Verordnung (EU) 2022/1288 enthaltenen Vorlagen gelten ab dem 1. Januar 2023.

2. ESMA Sustainable Finance Timeline

Wer sich einen aktuellen Überblick über den zeitlichen Fahrplan der Nachhaltigkeitsregulierung verschaffen möchte, ist bei der Sustainable Finance Timeline der Europäischen Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – „ESMA“) vom 26. September 2022 gut aufgehoben.

3. BaFin Q&A zur SFDR

Zudem hat die BaFin am 5. September Q&A zur SFDR veröffentlicht. Ausgewählte Fragen und Antworten werden nachfolgen näher vorgestellt.

Die BaFin stellt nochmal ausdrücklich klar, dass Finanzanlagenvermittler nach § 34f GewO nicht nach der SFDR verpflichtet sind. Sie qualifizieren aufgrund der Bereichsausnahme des KWG (§ 2 Abs. 6 S. 1 Nr. 8 KWG) nicht als Finanzdienstleistungsinstitut und damit auch nicht als MiFID II-Wertpapierfirma; (nur) an diese richtet sich aber die SFDR.

Zudem wird zunehmend klarer, was genau unter „bewerben“ im Sinne des Art. 8 SFDR zu verstehen ist. Nach Art. 8 SFDR sind für Finanzprodukte, die ökologische oder soziale Merkmale bewerben, bestimmte vorvertragliche Transparenzpflichten zu erfüllen. Die BaFin legt „bewerben“ als „fördern“ aus. Das führt dazu, dass es für die Anwendbarkeit der Transparenzpflichten nach Art. 8 SFDR nicht erforderlich ist, dass für ein Finanzprodukt Werbung betreiben wird, z.B. in Form von Marketingmitteilungen. Umgekehrt wird Art. 8 SFDR nicht schon dadurch „ausgelöst“, dass lediglich angegeben wird, wie Nachhaltigkeitsrisiken bei Investitionsentscheidungen einbezogen werden (das ist vielmehr Grundinformation in vorvertraglichen Informationen für sämtliche Finanzprodukte, vgl. Art. 6 SFDR). Vielmehr muss das Finanzprodukt ökologische oder soziale Merkmale zielgerichtet fördern und dies nach außen kommunizieren. Dem Fördern können aktive oder passive Anlagestrategien zugrunde liegen. Ein zielgerichtetes Fördern von ökologischen Merkmalen könnte etwa bei einem Immobilienfonds vorliegen, der bei der Auswahl der Immobilien deren CO2-Fußabdruck berücksichtigt und dies entsprechend in der Fondsdokumentation verschriftlich ist.

4. Siebte MaRisk-Novelle

Bereits am 20.Dezember 2019 hat die BaFin ein Merkblatt zum Umgang mit Nachhaltigkeitsrisiken veröffentlicht. Darin empfiehlt die BaFin eine strategische Befassung mit Nachhaltigkeitsrisiken und eine Anpassung des Risikomanagements. Das Merkblatt enthält jedoch lediglich eine Zusammenstellung von unverbindlichen Verfahrensweisen (Good-Practice).

Mit der Konsultation zu den geplanten Änderungen der Mindestanforderungen an das Risikomanagement („MaRisk“) sollen die Leitplanken des Merkblatts nunmehr in den Regelungstext der MaRisk aufgenommen. Die Anforderungen an die Berücksichtigung von Nachhaltigkeitsrisiken im Risikomanagement werden damit zu prüfungsrelevanten Anforderungen. Im Ergebnis sollen beaufsichtigte Unternehmen auch im Umgang mit Nachhaltigkeitsrisiken einen ihrem Geschäftsmodell und Risikoprofil angemessenen Ansatz entwickeln. Dazu sind bisherige Prozesse anzupassen und neue Mess-, Steuerungs- und Risikominderungsinstrumente zu entwickeln. Auch hier gilt aber der Proportionalitätsgrundsatz, sodass bei einem schwächer ausgeprägtem Risikoprofil einfacherer Prozesse ausreichen werden.

Und sonst?

Derzeit arbeitet der europäische Gesetzgeber an der Erweiterung der Taxonomie-Verordnung zur Definition von sozialer Wirtschaftstätigkeit sowie Vorgaben zur guten Unternehmensführung; bisher deckt die Taxonomie-Verordnung nur die ökologische Nachhaltigkeit und damit nur das „E“ aus „ESG“ ab. Die EU Platform for Sustainable Finance hat dazu bereits im Februar diesen Jahres einen Final Report veröffentlicht.

Der Entwurf des BaFin-Richtlinie für nachhaltige Investmentvermögen ist hingegen erstmal wieder zurückgestellt, zu dynamisch schien das derzeitige regulatorische Umfeld für eine finale Regelung. Gleichzeitig wird die BaFin aber ihre Verwaltungspraxis an dort genannten Grundsätzen ausrichten, sodass sich der Markt faktisch an der Richtlinie orientieren wird.

Es ist also Bewegung in der Nachhaltigkeitsregulierung und längst sind noch nicht alle Fragen der Praxis geklärt. Es bleibt daher, wie immer im Aufsichtsrecht, spannend.

Bedeutung der Reverse Solicitation im grenzüberschreitenden Fondsvertrieb – Kommt ein neues Reporting?

Ende letzten Jahres hat die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets Authority – ESMA) Daten dazu veröffentlicht, in welchem Umfang über die sog. Reverse Solicitation in Fondsprodukte investiert wird. In diesem Beitrag wollen wir einen Blick darauf werfen, wie sich die sog. Reverse Solicitation vom klassischen Vertrieb unterscheidet und welche Daten es zu Reverse Solicitation gibt.

Fonds sind nichts Anderes als gebündeltes Kapital von Anlegern. Damit diese Gelder investieren können, müssen sie erst einmal von der Anlagemöglichkeit wissen und Zugriff auf die Fonds haben. Das geschieht, indem die Kapitalverwaltungsgesellschaft (KVG) ihre Produkte auf dem Markt anbietet, diese also vertreibt. Der Vertrieb ist aufsichtsrechtlich reguliert und als das Anbieten und Platzieren von Fondsanteilen oder –aktien definiert. Damit ein Fondsprodukt auf dem deutschen Markt vertrieben werden darf, muss die KVG bestimmte regulatorische Anforderungen erfüllen, z.B. dem Anleger bestimmte Informationen und Dokumente über ihr Produkt zur Verfügung stellen.

Vertriebsvorgaben gelten dabei nicht nur für deutsche Fonds, die auf dem deutschen Markt angeboten werden sollen. Aufsichtsrechtliche Vertriebsvorgaben gelten auch für EU-Fonds, die in Deutschland angeboten werden sollen. So muss bspw. eine luxemburgische KVG, die einen luxemburgischen Fonds auf dem deutschen Markt anbieten will, diese erfüllen. Gemeinsam ist diesen Vertriebskonstellationen, dass die Initiative von der KVG ausgeht; sie bietet ihre Fondsprodukte zur Zeichnung aktiv auf dem Markt an und möchte deutsche Anleger erreichen.

Allerdings: Viele Investoren, gerade institutionelle, wissen häufig genau, welche Anlagemöglichkeit sie suchen und wie diese ausgestaltet sein soll. Sie warten also nicht, bis ihnen auf dem Markt eine geeignete Investitionsmöglichkeit angeboten wird, sondern fragen diese aktiv selbst an. Hier geht die Investitionsinitiative also von dem Investor, und nicht von der KVG aus. Aufsichtsrechtlich liegt dann kein Vertrieb vor und die Vertriebsvorgaben finden keine Anwendung.

Entsprechendes gilt auch für grenzüberschreitende Konstellationen: Fragt z.B. ein deutscher Anleger ein irisches Fondsprodukt einer irischen KVG an, geht die Investitionsinitiative von ihm aus, einen aktiven Vertrieb der irischen KVG auf dem deutschen Markt gibt es in dieser Konstellation nicht. Der Anleger macht hier von seiner passiven Dienstleistungsfreiheit (sog. Reverse Solicitation) Gebrauch. Die passive Dienstleistungsfreiheit ist Teil der EU-Grundfreiheiten und wird durch die aufsichtsrechtliche Regulierung des Vertriebs nicht berührt. Sie schützt die Freiheit, dass ein Empfänger einer Dienstleistung (hier der deutsche Anleger) aus einem anderen Mitgliedstaat kommt (aus Sicht der irischen KVG also Deutschland) als der Dienstleister (in unserem Beispiel die irische KVG).

Lässt sich Kapital also ganz einfach über die passive Dienstleistungsfreiheit einsammeln und damit die aufsichtsrechtlichen Anforderungen an den Vertrieb umgehen? Könnten sich KVGen also stets darauf berufen, gar nichts selbst auf den Markt zugegangen zu sein, sondern dass die Initiative stets vom Anleger ausging? Hier ist Vorsicht geboten. Fondsanbieter sollten keine vollständigen Vertriebsmodelle auf die Reverse Solicitation stützen. Der gesetzliche Regelfall ist der Vertrieb, also, dass die KVG ihr Produkt aktiv auf dem Markt platziert. Ist es ausnahmsweise umgekehrt und der Investor kommt aktiv mit einer Investitionsanfrage auf den Anbieter zu, sollte die KVG sich (gegenüber der Aufsicht) absichern und das gut dokumentieren.

Auf Anfrage der EU-Kommission hat die ESMA bei den nationalen Aufsichtsbehörden nun eine Umfrage durchgeführt, in welchem Umfang über die sog. Reverse Solicitation in Fondsprodukte investiert wird. Interessant sind diese Daten für die EU z.B. deshalb, weil sie mit der AIFMD II jüngst ein Regelwerk verabschiedet hat, das den grenzüberschreitenden Fondsvertrieb erleichtern und vor allem vereinheitlichen soll (dazu haben wir bereits hier, hier und hier ausführlich berichtet). Die nationalen Aufsichtsbehörden verfügen laut ESMA jedoch nur vereinzelt über solche Daten. Laut der italienischen Aufsichtsbehörde Consob stammt ein Viertel des investierten Kapitals aus Reverse Solicitation, wovon wiederum 99% auf professionelle Investoren entfallen. In Zypern stammt laut CySEC 30% des von OGAW-KVGen und 50% des von AIF-KVGen genutzten Kapitals aus Reverse Solicitation. In Spanien hingegen geht man davon aus, dass lediglich ca. 1,3% des Kapital aus Reverse Solicitation stammen. Daten für Deutschland wurden nicht veröffentlicht.

Nach ihrer Umfrage kommt die ESMA zu dem Schluss, dass valide und permanente Daten über die Frage, wie viel Kapital für Fondsprodukte über den klassischen Vertrieb und über Reverse Solicitation eingesammelt wird, nur durch die Einführung eines neues Reporting gewährleisten werden. Konkrete Vorschläge für ein solches Reporting gibt es derzeit aber noch nicht. Es bleibt daher abzuwarten, ob die EU-Kommission den Vorschlag der ESMA aufgreifen wird, um sich ein genaueres Bild über die Bedeutung der Reverse Solicitation im grenzüberschreitenden Fondsvertrieb zu machen.

Liebe Leserinnen und Leser, liebe Kollegen, Partner und Freunde,

unser Team verabschiedet sich in die Weihnachtspause – ab dem Januar 2022 sind wir wieder mit spannenden Beiträgen für Sie da.

Wir wünschen Ihnen ein fröhliches Weihnachtsfest im Kreise Eurer Liebsten und einen guten Rutsch ins neue Jahr!

Herzliche Grüße

Euer Finance & Banking Team.

Warum Banken wissen sollten, was es mit dem Lieferkettensorgfaltsplichtengesetz auf sich hat

Das Lieferkettensorgfaltspflichtengesetz (LkSG) ist ab 2023 an Unternehmen der Realwirtschaft in Deutschland mit mehr als 3.000 Mitarbeitern gerichtet. Ab 2024 erweitert und verfünffacht sich der Adressatenkreis auf Unternehmen in Deutschland mit mehr als 1.000 Mitarbeiter. Mit dem LkSG wird erstmals die unternehmerische Verantwortung für die Einhaltung von Menschenrechten in den Lieferketten geregelt. Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten wurde am 22. Juli 2021 im Bundesgesetzblatt veröffentlicht.

Ziel des Gesetzes ist es, die unter den Anwendungsbereich fallenden Unternehmen dazu zu verpflichten, in ihren Lieferketten menschenrechtliche und umweltbezogene Sorgfaltspflichten in angemessener Weise zu beachten. Das LkSG enthält einen abschließenden Katalog von elf international anerkannten Menschenrechtsübereinkommen, aus denen Verhaltensvorgaben bzw. Verbote für unternehmerisches Handeln abgeleitet werden, um eine Verletzung geschützter Rechtspositionen zu verhindern. Dazu zählen insbesondere die Verbote von Kinderarbeit, Sklaverei und Zwangsarbeit, die Missachtung des Arbeits- und Gesundheitsschutzes, die Vorenthaltung eines angemessenen Lohns, die Missachtung des Rechts, Gewerkschaften bzw. Mitarbeitervertretungen zu bilden, die Verwehrung des Zugangs zu Nahrung und Wasser sowie der widerrechtliche Entzug von Land und Lebensgrundlagen. Kommen Unternehmen ihren gesetzlichen Pflichten nicht nach, können Bußgelder bis zu 8 Millionen Euro oder bis zu 2% des weltweiten Jahresumsatzes verhängt werden. Unternehmen müssen dem Bundesamt für Wirtschaft und Ausfuhrkontrolle jährlich einen Bericht über die Umsetzung der Sorgfaltspflichten vorlegen und ihn online spätestens vier Monate nach Ende des Geschäftsjahrs veröffentlichen.

Das LkSF fällt in den Bereich der Corporate Social Responsibility und stellt ein weiteres Puzzleteil auf dem Weg zu einer nachhaltigeren Wirtschaft dar. Die ESG-Regulierung des Finanzmarktes mit der Offenlegungsverordnung (Sustainable Finance Reporting Directive – SFRD) und der Taxonomie-Verordnung stellt ein weiteres Puzzleteil dar. In vielen Rechtsbereichen gibt es inzwischen Regulierung hin zu mehr Nachhaltigkeit und entsprechenden Compliance-Vorgaben (ein Überblick findet sich hier). Die einzelnen Puzzleteile greifen ineinander. Das ist der Grund, weshalb auch Banken das LkSG kennen sollten.

Sechs Gründe, warum das LkSG für Banken generell relevant werden kann

1.

Die Bindung an Recht und Gesetz ist Teil der Verantwortung jeder Geschäftsleitung in Banken. Sofern Banken bei ihren Kunden feststellen, dass diese gegen das LkSG verstoßen, müssen sie handeln und den Kunden zumindest zur Compliance anhalten. Das gilt auch vor dem Hintergrund der Pressemeldung der BaFin von 29.11.2021, in der diese ankündigt, künftig in den Konzernabschlüssen 2021 schwerpunktmäßig Lieferkettenfinanzierungen (Reverse Factoring) zu überprüfen. Beim Reverse Factoring handelt es sich um Vereinbarungen, in denen sich Käufer und Verkäufer darauf verständigen, dass die Schuld des Käufers von einem Dritten beglichen wird. Die BaFin wird vor allem darauf achten, wie Reverse-Factoring-Transaktionen in den Bilanzen und der Kapitalflussrechnungen dargestellt werden. Da liegt es nahe, dass Verstöße gegen das LkSG auffallen können, weil einfach genauer hingeschaut werden wird. Banken sollten das entsprechend auf dem Schirm haben.

2.

Nach der SFRD muss jede Bank inzwischen eine Geschäftsstrategie auf ihrer Webseite veröffentlichen, in der sie auch die Strategie zur Einbeziehung von Nachhaltigkeitsrisiken bei ihren Investitionsentscheidungsprozessen offenlegt. So könnte sich eine Bank z.B. strategisch so ausrichten, dass sie bei Investitionen oder Kreditgewährungen darauf achtet, dass die Vorgaben des LkSG eingehalten werden. Dies wäre dann Teil der eigenen ESG-Strategie und würde unter den sozialen Aspekt gefasst werden können.

3.

Banken müssen bereits heute als Teil ihres Risikoverständnisses und ihres Risikomanagements sämtliche ESG-Risiken bei allen Bankgeschäften berücksichtigen. Dabei kann die Einhaltung des LkSG durch Zielunternehmen bei Investitionen oder durch Kreditnehmer eine Rolle spielen, weil sich in Lieferketten Risiken für Umwelt und Soziales niederschlagen können.

4.

Bei Nicht-Compliance des Unternehmens, in das die Bank entweder für ihr eigenes Buch oder für Kunden investiert hat oder dem sie Kredite gewährt hat, besteht ein höheres Ausfallrisiko. Denn Verstöße gegen das LkSG können teuer werden, was wiederum Auswirkungen haben kann auf eine Kreditrückzahlung durch das Unternehmen oder die Rendite eines Investments in das Unternehmen.

5.

Das LkSG führt zu einer besseren Datengrundlage für nachhaltige Investitionen. Sobald Unternehmen, die nach dem LkSG verpflichtet sind, sich an den Kapitalmarkt zur Kapitalbeschaffung wenden und dazu ein entsprechendes Finanzinstrument emittieren, müssen sie nach der SFRD Nachhaltigkeits-Informationen zu dem jeweiligen Finanzinstrument offenlegen. Sofern das Finanzinstrument ökologische oder soziale Merkmale bewirbt, werden in den Unternehmensdaten Angaben zu den Lieferkettensorgfaltspflichten erforderlich sein. Diese tragen dann wieder dazu bei, dass dem Markt mehr Daten für die Einordnung des Finanzinstruments hinsichtlich der Nachhaltigkeitskriterien zur Verfügung stehen.

6.

Zuletzt birgt der Verstoß gegen das LkSG durch einen Kunden oder ein Zielunternehmen im Rahmen einer Investition auch Reputationsrisiken oder Chancen. Die sozialen Aspekte in Lieferketten, die auch unter dem Schlagwort „Modern Slavery“ zusammengefasst werden, rücken immer mehr ins Bewusstsein der Verbraucher und Bankkunden. Auch ist zu erwarten, dass die Taxonomie-Verordnung, die sich derzeit auf Umweltaspekte beschränkt, in einer bereits geplanten Anpassung hinsichtlich der sozialen Nachhaltigkeitsziele die Aspekte des LkSG aufnehmen wird. Dann ist es immer ein Marktvorteil, wenn man als Bank bereits entsprechende Prozesse etabliert hat, um bei Unternehmen mit Lieferketten bereits den Mindestmaßstab an Menschenrechten anhand der Vorgaben des LkSG einzufordern.

Wann das LkSG direkt gilt

Grundsätzlich können Banken mit der relevanten Mitarbeiterzahl auch direkt als Unternehmen nach dem LkSG verpflichtet sein. Eine Lieferkette im Sinne des LkSG bezieht sich auf alle Produkte und Dienstleistungen eines Unternehmens, die zur Herstellung der Produkte oder zur Erbringung der Dienstleistung erforderlich sind. Auch wenn diese Definition auf Banken intuitiv nicht recht passen mag, stellt die Gesetzesbegründung zum LkSG klar, dass Finanzdienstleistungen unter den Begriff der Dienstleistungen fallen. Grundsätzlich gilt, dass Banken ihren unmittelbaren Vertragspartner / Kreditnehmer, der in eine Lieferkette involviert ist, prüfen soll, ob dieser die Pflichten aus dem LkSG einhält. Da das praktisch aber schwer umsetzbar sein wird, hat der Gesetzgeber in der Gesetzesbegründung insoweit Erleichterungen geschaffen, als er für die Banken nur bei Großkrediten i.S.d. Art. 392 der CRR besondere Informations- und Kontrollpflichten gegenüber dem Kreditnehmer vorsieht. Bei mittelbaren Zulieferern weiter unten in der Lieferkette erwartet das Gesetz von den Banken nur dann ein Eingreifen, wenn die Bank substantiierte Kenntnis von Menschenrechtsverletzung oder Umweltschäden hat. Dieser unbestimmte Rechtsbegriff wird von der zuständigen Behörde (BAFA) noch konkretisiert werden.

Fazit

Das LkSG trifft nicht nur die Unternehmen, an die sich das Gesetz direkt richtet, sondern auch die Geschäftspartner dieser Unternehmen. Das können Kapitalgeber sein, aber natürlich am Ende auch die Konsumenten. Eine Bank sollte als Kreditgeber stets darauf achten, ob sie ggf. direkte Pflichten aus dem LkSG gegenüber dem Kreditnehmer, der mit dem Darlehen eine Lieferkette mitfinanziert, hat.

The EU Crowdfunding Regulation starts to apply: Overview & Practical Considerations (Part 2)

Introduction

On 10 November 2021, the long-awaited EU Regulation on European Crowdfunding Service Providers, for business (Regulation (EU) 2020/1053) (the ECSPR) that aims to create a harmonised regulatory framework for crowdfunding platforms in the EU has started to apply.

In the first part of our publication we have analysed the scope of application of the ECSPR and the authorisation requirements that prospective CSPs will need to comply with under the new regime. In this second part of our publication we will take a closer look at the investor protection requirements under ECSPR and analyse the impact that the new regime will have on the existing regulatory framework on crowdfunding in Germany.

Investor Protection Requirements

Investor categorization & Entry knowledge test

In term of investor categorization, the ECSPR differentiates between sophisticated investors (professional clients under the MiFID II and persons meeting certain qualification criteria set out in Annex II of the new Regulation) and non-sophisticated investors. Whereas sophisticated investors will not be subject to any limitations when investing, non-sophisticated investors will be subject to mandatory entry knowledge test prior to investing in particular crowdfunding project. Therefore, prior to providing non-sophisticated investors with the full access to crowdfunding offers, CSPs will have to assess investors’ knowledge and experience, financial situation, investment objectives and risk awareness in order to assess which crowdfunding projects are appropriate for them. Periodic appropriateness assessment will have to be conducted every two years.

Key Investment Information Sheet (KIIS)

Inspired by similar concepts that have emerged years ago under the PRIIPs and the UCITS framework, the ECSPR requires CSPs to ensure that investors are provided with a so called Key Investor Information Sheet (KIIS) for each crowdfunding offer. Limited to maximum 6 A4 pages, the KIIS will have to contain key information about the project owner, the project itself, terms and conditions of the fund raising, risk factors, details on associated fees and costs as well as appropriate risk warnings. The KIIS will need to be drawn up by the project owner for each crowdfunding offer and CSPs will be required to have adequate procedures in place to verify the completeness, correctness and clarity of information contained in it.

Since the KIIS will neither be verified nor approved by the NCA like securities prospectus, project owners will be required to make proper disclosure thereto in order to warn prospective investors about the risks associated with investment in respective project. Lending based CSPs providing portfolio management services will be additionally required to draft the KIIS at platform level which shall contain key information on the CSP, available loans in which investors’ funds can be invested as well as information on fees and risks associated with investments.

Auto-investing and use of filtering tools

The use of commonly used filtering tools and automated systems have been also addressed in the new ECSPR. To that end, where filtering tools are available on the platform, based on which investor can shortlist available projects in accordance with the pre-specified criteria (e.g. economic sector, interest rate etc.), the results provided to investors are not to be considered as investment advice as long as information are provided in a neutral manner and without provision of a specific recommendation. On the other hand, CSPs using automated processes based on which investor funds can be automatically allocated to specific projects in accordance with predetermined parameters (so called auto-investing) will be considered as individual portfolio management of loans.

Right to withdraw

Non-sophisticated investors will be able to revoke their offer or expression of interest to invest in a particular crowdfunding offer, within a 4-day pre-contractual reflection period, without the need to provide any reason or to incur penalty of any kind. For this purpose, CSPs will need to provide investors with the clear information on the reflection period and the ways in which investors’ right can be exercised.

The impact of the ECSPR on national framework in Germany

Up until recently, the roles of fundraisers and investors in crowdfunding structures in Germany, could potentially fall under the scope of some regulated financial services.

  1. First, the lending activity of the investor itself could (under certain conditions) constitute the regulated activity of credit business (Kreditgeschäft) within the meaning of Section 1 paragraph 1 Nr. 2 of the German Banking Act (Kreditwesengesetz “KWG”).
  • Second the fundraising via crowdfunding platform could also trigger the licensing requirement for the provision of the so called deposit business (Einlagengeschäft) within the meaning of Section 1 paragraph 1 Nr. 1 KWG.

German national law and administrative practice of the German Federal Financial Supervisory Authority (BaFin) have stipulated a number of exemptions from these regulated activities whose application needs to be assessed always on a case by case basis (like for instance the frequently used exemption for qualified subordinated loans whose granting does not trigger either of the aforementioned regulated activities).

With the aim of bridging this regulatory uncertainty, the German national transposition law (Schwarmfinanzierung-Begleitgesetz), which was adopted on 10 June 2021, makes necessary amendments to KWG by stipulating that fundraisers and lenders that raise/invest funds via crowdfunding platform authorized under the ECSPR, are not to be considered to be providing either of the above mentioned regulated activities.

Further, public offering of securities can generally trigger prospectus obligation under the German Prospectus Act (Wertpapierprospektgesetz “WpPG”), where no exemptions apply. In line with the ECSPR, the national transposition law exempts securities offering made on crowdfunding platforms operating under the new regime from requirements under WpPG.

Timeline & Outlook

Whereas the ECSPR has started to apply as of 10 November 2021 for all in-scope CSPs, the Regulation provides for an additional transitional period for operators of crowdfunding platforms that were operating under national rules before the go-live date of the ECSPR. They will have to apply for a new license and bring their business in line with new requirements by 10 November 2022.

On 10 November 2021, ESMA has published the Final Report on Technical Standards (RTS and ITS) that shall help prospective European CSPs with preparation for compliance with new requirements. In addition to this, in February 2021 ESMA has also published Q&A that bring more clarity to questions around the use of SPVs in crowdfunding structures, transitional provisions and operational requirements under the ECSPR.

The ECSPR promises to overcome existing obstacles embedded in national regimes of individual Member States by enabling CSPs to provide crowdfunding services based on a single set of rules on a cross-border basis and project owners to raise funds from investors from all across the EU. However, it remains to be seen whether and to what extent will the new regime be accepted on the market and whether it will really meet the expectations of EU lawmakers and the crowdfunding industry.

The EU Crowdfunding Regulation starts to apply: Overview & Practical Considerations (Part 1)

Introduction

On 10 November 2021, the long-awaited EU Regulation on European Crowdfunding Service Providers, for business (Regulation (EU) 2020/1053) (the ECSPR) that aims to create a harmonised regulatory framework for crowdfunding platforms in the EU has started to apply. The ECSPR was published in the EU Official Journal on 20 October 2020 after more than 2 years of long and intense discussions between EU lawmakers.

Unlike in the US where the first crowdfunding regulation was introduced already back in 2015[1], the EU did not have a common regulatory approach to this innovative way of fundraising which enables investors to directly invest in different projects of predominantly start-up companies and SMEs via online platforms. This lack of a harmonised regulatory framework has led to the creation of significant divergences in national rules on crowdfunding of various EU Member States which has been recognised as the main impediment to the provision of crowdfunding services on a cross-border basis in the EU.

With the aim of overcoming existing divergences in national frameworks, new Regulation provides a level-playing field for crowdfunding platforms in the EU, by introducing a harmonized set of rules that will be enable European crowdfunding service providers (CSPs) to explore the full potential of the EU single market.

In this first part of our publication we will analyse the scope of application of the ECSPR and the authorisation requirement that prospective CSPs will need to fulfil under the new regime.

Scope

The new EU framework on crowdfunding will cover two most common crowdfunding practices:

  1. the facilitation of granting of loans (lending based crowdfunding)
  2. placement of transferable securities and/or instruments admitted for crowdfunding purposes and/or reception and transmission of investors orders with respect to such instruments (investment based crowdfunding)

Only crowdfunding offers with a consideration not exceeding EUR 5,000,000 per project owner over a 12 month period will be under the scope of the ECSPR. Offers exceeding this threshold will need to be made in accordance with general requirements on public offering of transferable securities and provision of regulated financial services (e.g. under Prospectus Regulation, MiFID II etc.).

It is worth mentioning that some other types of crowdfunding practices, like donation-based crowdfunding or reward-based crowdfunding (in which case investors receive a non-financial consideration for their investment), will not be directly covered by the ECSPR.

Investment based crowdfunding

In terms of investment based crowdfunding, the ECSPR covers the placement of both transferable securities as well as other instruments admitted for crowdfunding purposes.

Transferable securities

The definition of transferable securities under the ECSPR is based on the definition under Art. 4 (1) (44) MIFID II. In the wake of ever-increasing use and popularity of crypto-assets the legitimate question that can be asked is whether crypto-assets can also be used for the purposes of fundraising in accordance with the new regime on investment based crowdfunding under the ECSPR? See our detailed analysis on this topic in our previous article.

Instruments admitted for crowdfunding purposes

This is a new definition introduced by the ECSPR which basically refers to shares in private limited companies issued by the project owner (or an SPV) that are not subject to transferability restrictions under national law. To this end, the EU lawmaker has decided to leave national lawmakers the possibility to allow or prohibit the use of shares in private limited companies for crowdfunding purposes. In Germany for instance, shares in private limited companies (Gesellschaften mit beschränkter Haftung „GmbH“) will not be suitable instruments for crowdfunding purposes, given that their transfer is subject to notarisation under national law.

Lending based crowdfunding

When it comes to facilitation of granting of loans the EU lawmaker emphasises that this crowdfunding practice shall be clearly distinguished from activities of regulated credit institutions that grant credits for their own account and take deposits or other repayable funds from the public. The operator of a crowdfunding platform acts as an intermediary who merely facilitate the conclusion of a loan agreement between the fundraiser (project owner) and the lender (investor) without at any moment acting as a lender or a fundraiser itself.

Under the ECSPR the term “loan” refers solely to an agreement in which a defined amount of money is made available to the project owner for an agreed period of time and which creates an unconditional repayment obligation of the lent amount (together with accrued interest) to investor in accordance with the instalment payment schedule. Despite seeming quite straight forward, this definition excludes certain types of loan agreements like for instance qualified subordinated loan agreements that have been frequently used in Germany as a way of circumvention of onerous national requirements on fund raising and lending.

Authorisation requirements

Legal entities that provide crowdfunding services within the meaning of the ECSPR will need to obtain authorization from the national competent authority (NCA) in their Member State of establishment and once authorized, they will be able to provide crowdfunding services across the EU on a cross-border basis (based on the EU passport for the provision of crowdfunding services).

Apart from being located in the EU, the prospective CSPs will also be required to fulfil a number of regulatory requirements for the purposes of authorisation under the new regime that can be summarized as follows:

Prudential requirements

Prudential safeguards need to be put in place in the form of own funds, insurance policy or combination of both equal to amount of at least the highest between:

  1. EUR 25.000, or
  2. one quarter of the fixed overheads of the preceding year, reviewed annually, including the cost of servicing loans for three months when the CSP also facilitate the granting of loans.

Entities that are already subject to CRR regime or are authorised as electronic money institution (under EMD) or payment services provider (under PSD 2) are not required to fulfil additional prudential requirements under this Regulation.

Conflict of interest & Inducements

In order to prevent potential conflict of interest, CSPs will be prohibited from having participation in crowdfunding offers offered on their platforms as well as from offering crowdfunding offers of persons closely related to them (i.e. their shareholders having more than 20% of shares/voting rights, their managers, employees or persons related to them).

The ECSPR also stipulates a „mini ban on inducements“ for CSPs by prohibiting them from paying or receiving any remuneration, discount or non-monetary benefit for routing investor’s orders to a particular crowdfunding offer offered on their or a third party platform.

Due diligence

Prior to listing crowdfunding offer on their platform, CSPs will be required to perform the necessary due diligence as regards whether the project owner has a criminal record and/or place of incorporation in a non-cooperative jurisdiction or high-risk third country. 

Provision of asset safekeeping & payment services

Given that in the course of crowdfunding intermediation, platforms usually need to collect investors’ funds (i.e. via wire transfer/credit card payment), place them on a designated account and then transfer them to the project owner account, the ECSPR sets clear boundaries with respect to provision of other regulated activities that can be essential part of this process. To that end, CSPs will be prohibited from providing payment services unless they hold a separate authorisation under the Payment Services Directive (PSD II) as well as custody services with respect to transferable securities where they are not authorised under the MiFID II or CRD IV framework.

Therefore, where CSPs do not hold above mentioned licenses to provide these services on their own, they will have to enter into cooperation arrangements with authorised third parties and inform their clients about relevant terms and conditions of service agreements and the fact that services will be provided by a third party.

Indirect effect of the AML/CTF rules

Besides bringing payment transactions for crowdfunding purposes indirectly under the scope of AML/CTF rules (by virtue of the fact that all payments will have to run through authorised payment providers that are obliged entities under the EU AMLD framework) the ECSPR does not explicitly bring CSPs on the list of obliged entities that are required to comply with rules on prevention of money laundering and terrorist financing. The recently published proposal of the EU AML/CTF Regulation, which we have analysed in our previous article, adds only crowdfunding service providers, operating outside the scope of the ECSPR to the list of obliged entities that are required to comply with AML requirements. Nevertheless, in one of its recitals[2] the ECSPR specifies that the EU Commission shall assess the necessity of adding the CSPs on the list of obliged entities in the future.

Individual portfolio management of loans

Allocation of pre-determined amounts of investors’ funds to one or several crowdfunding projects by CSPs in accordance with individual mandate will be defined as a provision of portfolio management services under the ECSPR in the case of which CSPs will be required to comply with additional requirements. The CSPs will have to properly define investment parameters for each portfolio management mandate and put in place effective systems and procedures on risk management, record-keeping and regular reporting to investors.

In the second part of our publication we will analyse the investor protection requirements that the prospective CSPs will need to comply with as well as the impact of the ECSPR on national regulatory framework in Germany.


[1] https://www.sec.gov/news/pressrelease/2015-249.html

[2] Recital 32 of the Regulation (EU) 2020/1503