Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 2: Die wesentlichen Regelungen im Überblick

Diese Woche werfen wir einen genaueren Blick auf die ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dient. Wir hatten bereits in Teil 1 der Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet hat und erklärt, was die ePrivacy-Verordnung ist. Wofür aber brauchen wir die ePrivacy-Verordnung konkret und welche Daten werden geschützt, die jetzt noch nicht geschützt sind?

Was sind eigentlich elektronische Kommunikationsdaten?

Schutzgut der ePrivacy-Verordnung ist die Vertraulichkeit elektronischer Kommunikationsdaten.

Der Begriff elektronische Kommunikationsdaten umfasst elektronische Kommunikationsinhalte und Kommunikationsmetadaten. Kommunikationsinhalt ist das, was mittels elektronischer Kommunikationsdienste wie z.B. Textnachrichten, Sprache, Videos, Bilder und Ton übermittelt wird. Kommunikationsmetadaten sind etwa die im Zusammenhang mit der Bereitstellung elektronischer Kommunikationsdienste erzeugten Daten über den Standort des Geräts sowie Uhrzeit, Datum, Dauer und Art der Kommunikation. Die elektronischen Kommunikationsdaten können personenbezogen sein, müssen es aber nicht. Geschützt sind daher z.B. auch elektronische Daten in Bezug auf juristische Personen.

Vertraulichkeit bedeutet, dass Eingriffe in die Übermittlung elektronischer Kommunikationsdaten, ob durch menschliches Zutun oder durch eine automatische Verarbeitung durch Maschinen oder KI, ohne Einwilligung aller an der Kommunikation Beteiligten, also auch dem Nutzer des Kommunikationsdienstes, untersagt sind. Auch das Abfangen, Mithören oder das Lesen, Scannen und Speichern der Kommunikationsinhalte und Kommunikationsmetadaten zu anderen Zwecken als dem Kommunikationsaustausch ist verboten. Das ist also ein sehr weiter Anwendungsbereich.

Wen betrifft die ePrivacy-Verordnung?

Adressaten der ePrivacy-Verordnung sind vor allem Betreiber elektronischer Kommunikationsnetze und Kommunikationsdienste. Ein elektronisches Kommunikationsnetz ist ein Übertragungssystem, das die Übertragung von Signalen über Kabel, Funk, optische und andere elektromagnetische Einrichtungen ermöglicht, z.B. das Internet. Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen.

Diese Definitionen sind in dem Vorschlag zur ePrivacy-Verordnung bewusst weit und technologieneutral gewählt. Erfasst sind daher nicht nur herkömmliche Kommunikationsdienste für Sprachtelefonie, SMS und E-Mail, sondern auch Internetzugangsdienste (Browser) und neuere Internetdienste wie z.B. VoIP-Telefonie, Instant-Messaging und webgestützte Dienste wie WhatsApp oder Skype (sog. Over-the-top-Kommunikationsdienste, OTT-Dienste).

Unter die Definition der elektronischen Kommunikationsdienste fallen daher z.B. auch Dienste wie SOFORT Überweisung oder PayPal. Erfasst werden zudem etwa auch öffentlich zugängliche Hotspots, die sich etwa in Kaufhäusern, Einkaufszentren und Krankenhäusern befinden.

Wie wird künftig die Vertraulichkeit der elektronischen Kommunikation sichergestellt?

Die wesentlichen Regelungen, die die Vertraulichkeit der elektronischen Kommunikation bei der Nutzung elektronischer Kommunikationsnetze oder -dienste sicherstellen sollen, befinden sich in Art. 6, Art. 8, Art. 10 und Art. 12 ff. des finalen Vorschlags zur ePrivacy-Verordnung.

(i) Durch Vorgaben zur Verarbeitung elektronischer Kommunikationsdaten

Art. 6 der ePrivacy-Verordnung regelt, wann die Verarbeitung elektronischer Kommunikationsdaten erlaubt ist; nämlich nur dann, wenn dies zur Übermittlung der Kommunikation nötig ist. Kommunikationsmetadaten dürfen nur verarbeitet werden, wenn dies zur Einhaltung verbindlicher Qualitätsanforderung erforderlich, zur Rechnungsstellung oder Erkennung betrügerischer Nutzung nötig ist oder wenn der Nutzer eingewilligt hat. Nur aus diesen Gründen dürfen daher bspw. der Standort des Nutzers und das Datum der Kommunikation verarbeitet werden. Elektronische Kommunikationsinhalte dürfen nur verarbeitet werden, wenn entweder der Dienst vom Nutzer angefordert wurde, dieser eingewilligt hat und die Dienstleistung ohne Verarbeitung vom Anbieter nicht erbracht werden kann.

Zahlungsinformationen, die ein Nutzer etwa über die Oberfläche eines digitalen Zahlungsdienstes wie SOFORT Überweisung eingibt, sind Kommunikationsinhalte und müssen vom Anbieter verarbeitet werden, um den Zahlungsauftrag für den Nutzer abwickeln zu können. 

(ii) Durch die Cookie-Regelung

Art. 8 der ePrivacy-Verordnung enthält die sog. Cookie-Regelung. Jede vom Nutzer nicht selbst vorgenommene Nutzung der Verarbeitungs- und Speicherfunktion seiner Endeinrichtungen und jede Erhebung von Informationen aus Endeinrichtungen, auch über deren Software und Hardware, ist künftig untersagt. Ausgenommen sind u.a. die Fälle, in denen der Nutzer eingewilligt hat oder der Kommunikationsvorgang ohne Cookies nicht möglich ist. Das Tracking des Surfverhaltens der Nutzer wird durch diese Regelung deutlich erschwert werden.

(iii) Durch den Browser als Gate Keeper

Artikel 10 der ePrivacy-Verordnung regelt die bereitzustellenden Einstellungsmöglichkeiten zur Privatsphäre für in den Verkehr gebrachte Software, die eine elektronische Kommunikation erlaubt. Diese Software (der Browser) muss die Möglichkeit bieten zu verhindern, dass Dritte Informationen aus der Endeinrichtung eines Endnutzers speichern oder bereits dort gespeicherte Informationen verarbeiten. Vorgesehen ist deshalb, dass der Nutzer seine Zustimmung zu Cookies durch allgemeine Voreinstellungen im Browser geben kann. Den Browsern kommt dann eine sog. Gatekeeper-Funktion zu, die das Tracking des Surfverhaltens des Nutzers ebenfalls erschweren wird.

(iv) Durch den Schutz vor unerbetener Kommunikation  

Art. 12 ff. der ePrivacy-Verordnung stellen schließlich Regelungen auf, die den Endnutzer vor unerbetener Kommunikation wie Werbeanrufen oder Werbe-E-Mails schützen. Direktwerbung über elektronische Kommunikationsdienste ist nur zulässig, wenn der Nutzer eingewilligt hat. Dabei muss der Endnutzer über Werbecharakter der Nachricht und Identität des Werbenden so informiert werden, dass er die Einwilligung jederzeit widerrufen kann. Direktwerbeanrufe dürfen nicht mit unterdrückter Nummer durchgeführt werden.

Der Endnutzer muss also in jede Datenverarbeitung und -nutzung freiwillig einwilligen

Soweit die Einwilligung des Endnutzers zur Datenverarbeitung erforderlich ist, verweist die ePrivacy-Verordnung auf die Regelungen der DSGVO. Die Einwilligung des Nutzers muss vor allem freiwillig sein. Bei der Beurteilung der Freiwilligkeit muss dem Umstand Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrages oder die Erbringung einer Dienstleistung von der Einwilligung zu einer Verarbeitung personenbezogener Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. Zudem hat die betroffene Person das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen. Hier wird sich künftig zeigen, wieviel Schlagkraft die ePrivacy-Verordnung haben wird. Wenn – wie bisher – eine allumfassende Einwilligung erforderlich ist, um die jeweiligen Webdienste überhaupt nutzen zu können, wird die ePrivacy-Verordnung ihre Stärke verlieren.

Es kommt noch ein Teil 3!

Nachdem wir nun die Grundlagen erläutert haben, erfahren Sie im dritten Teil der Beitragsreihe, wo die Schnittstelle der Regelungen der ePrivacy-Verordnung und des Finanzaufsichtsrechts liegt.

Benchmarks Regulation: Updated ESMA Q&A bring more clarity about input data used for regulated-data benchmarks

To provide benchmarks, administrators rely on input data from contributors. If the contributors are regulated, the benchmarks created with their data qualify as regulated-data benchmarks. The updated Question and Answers (Q&A) of January 30, 2019 from the European Securities and Markets authority (ESMA) provide, inter alia, answers to three questions regarding input data used for regulated-data benchmarks which have been raised frequently in the market (Q&A available here). This blogpost will present these questions as well as ESMA´s answers. Beforehand, it gives a short overview of the Benchmarks Regulation´s regulatory background and explains what input data means.

Regulatory background of the Benchmarks Regulation

Regulation (EU) 2016/1011 concerning indices used as a reference value or as a measure of the performance of an investment fund for financial instruments and financial contracts (Benchmarks Regulation – BMR) sets out the regulatory requirements for administrators, contributors and users of an index as a reference value for a financial product with respect to both the production and use of the indices and the data transmitted in relation thereto. It is the EU’s response to the manipulation of LIBOR and EURIBOR. The BMR aims to ensure that indices produced in the EU and used as a reference value cannot be subject to such manipulation again. In previous blogposts on the BMR, we have already dealt with the requirements for contingency plans and non-significant benchmarks (ESMA publishes Final Report on Guidelines on non-significant benchmarks- Part 1 and Part 2.)

Input data

For a benchmark to be created, the administrator, i.e. the person/entity who has control over the provision of the reference value, relies on data he receives from contributors. These data used by an administrator to determine a benchmark in relation to the value of one ore more underlying asset or prices qualify as input data under the BMR.

With this in mind, what are the market-relevant questions regarding input data that are answered in the updated Q&A by ESMA? 

  • Can a benchmark qualify as a regulated-data benchmark if a third party is involved in the process of obtaining the data?

Under the rules of the BMR, a benchmark only qualifies as a regulated-data benchmark if the input data is entirely and directly submitted by contributors who are themselves regulated (e.g. trading venues). Since the input data come exclusively from entities that are themselves subject to regulation, the BMR sets fewer requirements for the provision of benchmarks from regulated data than for other benchmarks. This precludes, in principle, the involvement of any third party in the data collection process. The data should be sourced entirely and directly from regulated entities without the involvement of third parties, even if these third parties function as a pass-through and do not modify the raw data.

However, if an administrator obtains regulated data through a third party service provider (such as data vendor) and has in place arrangements with such service provider that meet the outsourcing requirements of the BMR, the administrator´s benchmark still qualifies as regulated-data benchmark. The third party being subject to the BMR´s outsourcing requirements ensures a quality of the input data contributed by this third party comparable to the quality of the input data contributed by a regulated entity.

  • Can NAV of investment funds qualify as benchmark?

The net asset value (NAV) of an investment fund is its value per share or unit on a given date or a given time. It is calculated by subtracting the fund´s liabilities from its assets, the result of which is divided by the number of units to arrive at the per share value. It is most widely used determinant of the fund´s market value and very often it is published on any trading day.

But, according to the BMR stipulations, the NAVs of investment funds are data that, if used solely or in conjunction with regulated data as a basis to calculate a benchmark, qualify the resulting benchmark as a regulated-data benchmark. The BMR therefore treats NAVs as a form of input data that is regulated and, consequently, should not be qualified as indices.

  • Can the methodology of a benchmark include factors that are not input data?

The methodology of a benchmark can include factors that are not input data. These factors should not measure the underlying market or economic reality that the benchmark intends to measure, but should instead be elements that improve the reliability and representativeness of the benchmark. This should be, according to ESMA, considered as the essential distinction between the factors embedded in the methodology and input data.

For instance, the methodology of an equity benchmark may include, together with the values of the underlying shares, a number of other elements, such as the free-float quotas, dividends, volatility of the underlying shares etc. These factors are included in the methodology to adjust the formula in order to get a more precise quantification of the equity market that the benchmark intends to measure, but they do net represent the price of the shares part of the equity benchmark.

Upshot

The updated ESMA Q&A provide more clarity for market participants on the understanding of input data and its use for regulated-data benchmarks. ESMA´s input will facilitate dealing with the regulatory requirements of the BMR, at least with regard to input data.

Neues zur Bankenabwicklung: BaFin konsultiert Entwurf der Mindestanforderungen zur Umsetzbarkeit des Bail-in

Im Zuge der Finanzkrise mussten viele Banken vom Staat bzw. vom Steuerzahler  gerettet werden (sog. Bail-out). Als Konsequenz aus den Erfahrungen der Finanzkrise wurde auf EU-Ebene ein einheitlicher Bankenabwicklungsmechanismus (Single Resolution MechanismSRM) entwickelt. Der Finanzstabilitätsrat (Financial Stability BoardFSB) der G20 hat zudem zwanzig Schlüsselmerkmale für ein effektives Abwicklungssystem für Kreditinstitute und Wertpapierfirmen aufgestellt, die von der sog. Abwicklungsrichtlinie (Bank Recovery and Resolution Directive – BRRD) für die EU umgesetzt werden. Die Regelungen der BRRD werden in Deutschland wiederum durch das Sanierungs- und Abwicklungsgesetz (SAG) umgesetzt. Eines der Kernelemente dieser Abwicklungsregelungen ist, dass in Zukunft nicht mehr der Staat bzw. der Steuerzahler, sondern die Eigentümer und Gläubiger einer Bank deren Verluste tragen (sog. Bail-in).

Mit der Veröffentlichung des Entwurfs der Mindestanforderungen zur Umsetzbarkeit des Bail-in (MaBail-in) durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) werden die Regelungen des SAG konkretisiert und einheitliche Anforderungen an die Banken in Deutschland zur Vorbereitung eines möglichen Bail-in im Zuge einer Abwicklungsmaßnahme formuliert. Bisher legt die BaFin als Abwicklungsbehörde diese Anforderungen lediglich institutsspezifisch im Rahmen der individuellen Abwicklungsplanung fest. Die BaFin hat ihren Entwurf bis zum 01. März 2019 öffentlich konsultiert.

Für welche Banken die MaBail-in gilt, wie der Bail-in als Abwicklungsinstrument funktioniert und welche Anforderungen die Banken zur Durchführung eines Bail-in erfüllen müssen, stellt dieser Beitrag im Überblick dar.

Anwendungsbereich: Für welche Banken gelten die MaBail-in?

Die Anforderungen der MaBail-in richten sich an alle Banken und Institute, für die die BaFin direkte Abwicklungsbehörde ist. Größere Banken, die hingegen unter die direkte Verantwortung des Ausschusses für einheitliche Abwicklung (Single Resolution Board –SRB) fallen, erhalten von dem SRB, in Zusammenarbeit mit der BaFin, eigene Anforderungen und sind daher nicht an die MaBail-in gebunden.

Bail-in als ein mögliches Abwicklungsinstrument

Der BaFin als Abwicklungsbehörde stehen fünf verschiedene Abwicklungsinstrumente zur Verfügung, die sie einzeln oder kombiniert anwenden kann. Der Bail-in ist eines davon. Im Folgenden werden zunächst alle zur Verfügung stehenden Abwicklungsinstrumente kurz vorgestellt, bevor danach ausführlicher auf den Bail-in eingegangen wird.

  • Beteiligung der Inhaber relevanter Kapitalinstrumente

Relevante Kapitalinstrumente (Instrumente des zusätzlichen Kernkapitals und/oder Ergänzungskapitals) können herabgeschrieben oder in Anteile oder andere Instrumente des harten Kernkapitals umgewandelt werden. Dadurch können die Inhaber der Kapitalinstrumente ihre Positionen vollständig verlieren;

  • Gläubigerbeteiligung (Bail-in)

Berücksichtigungsfähige Verbindlichkeiten eines Instituts können ganz oder teilweise herabgeschrieben oder in andere Instrumente des harten Kernkapitals umgewandelt werden. Im Einzelnen siehe dazu unten;

  • Unternehmensveräußerung

Die Abwicklungsbehörde kann das Institut ohne Zustimmung der Anteilsinhaber auf einen Dritten übertragen;

  • Übertragung auf ein Brückeninstitut

Anteile oder Vermögenswerte, Rechte und Verbindlichkeiten des in Abwicklung befindlichen Instituts können auf ein Brückeninstitut übertragen werden. Dieses ist mit dem Ziel zu betreiben, den Zugang zu kritischen Funktionen zu erhalten und es innerhalb von zwei Jahren unter angemessenen Bedingungen an einen oder mehrere private Erwerber zu veräußern;

  • Übertragung auf eine Vermögensverwaltungsgesellschaft

Vermögenswerte, Rechte und Verbindlichkeiten eines in Abwicklung befindlichen Instituts können ohne Zustimmung der Anteilseigner auf eine für die Vermögensverwaltung gegründete Zweckgesellschaft übertragen werden. Die Übertragung auf eine Vermögensverwaltungsgesellschaft ist nur zusammen mit einem oder mehreren anderen Abwicklungsinstrumenten möglich.

Wesentliche Ziele und Regelungsmechanismen des Bail-in

Der Bail-in verfolgt zwei Ziele: Zum einen sollen Fehlanreize zur Auslagerung von Verlusten insbesondere auf Staat und Steuerzahler vermieden werden. Zum anderen soll ein Bail-in die für die Finanzstabilität oder Realwirtschaft bedeutsamen Funktionen einer Bank mit Kapital ausstatten und damit ihre Fortführung ermöglichen. Dafür sieht der Bail-in zwei aufeinander folgende Schritte vor.

In einem ersten Schritt werden die Eigentumsanteile an der Bank gelöscht und, sofern erforderlich, die Verbindlichkeiten der Bank herabgeschrieben. Die Eigentumsanteile und Verbindlichkeiten werden ohne Ausgleich oder Gegenleistung reduziert, bis Vermögenswerte und Verbindlichkeiten der Bank ausgeglichen sind. Damit ist sichergestellt, dass die Eigentümer und Gläubiger die Konsequenzen für das Handeln der Bank tragen; Fehlanreizen wird damit vorgebeugt.

In einem zweiten Schritt kann eine Umwandlung von Verbindlichkeiten in Eigenkapitalinstrumente vorgenommen werden. Eine Umwandlung ist als Reduktion der Forderung eines Gläubigers bei gleichzeitiger Kompensation durch Eigenkapitalinstrumente in angemessener Höhe zu verstehen und dient damit der Rekapitalisierung des Instituts. Die Umwandlung ist dabei so zu bemessen, dass die Höhe des geschaffenen Eigenkapitals die Fortführung der realwirtschaftlich oder aus Finanzstabilitätssicht bedeutsamen Funktionen ermöglicht.

MaBail-in: Bereitzustellende Informationen zur Durchführung des Bail-in

Um die beiden oben genannten Schritte durchführen zu können, muss der Bail-in präzise ausgestaltet sein und zuverlässig und zügig umgesetzt werden können. Das stellen die Vorgaben der MaBail-in sicher. Die heute verfügbaren Datenhaushalte der Banken stammen aus der Zeit vor der Einführung des Abwicklungsregimes und wären daher oftmals nicht ad hoc verfügbar. Dies ist aber zur Durchführung des Bail-in unerlässlich. Die MaBail-in stellen daher Anforderungen auf, welche Daten und Informationen von den Banken bereitzustellen sind und wie die Institute technisch-organisatorisch ausgestattet sein müssen, um die geforderten Informationen fristgerecht bereitstellen zu können. Diese umfassen Informationen zu Verbindlichkeiten sowie weitere umsetzungsrelevante Informationen.

Diespezifische Informationen zu den Verbindlichkeiten ermöglichen es der BaFin in einer Abwicklungssituation die für den Bail-in notwendigen Berechnungen und Auswirkungsanalysen durchzuführen. Die Informationen müssen in angemessener Qualität, Aktualität und Granularität vorliegen. Anzugeben sind z.B. die Art der Verbindlichkeit, ihr Buchwert, der vertragliche Fälligkeitszeitpunkt und bestehende Gebühren. Entscheidend ist, dass die Daten hinreichend standardisiert sind, um auch in der Unsicherheit einer Abwicklungssituation zuverlässig nutzbar zu sein. Die Informationen sind zu einem vorgegebenen Stichtag bereitzustellen und innerhalb von 24 Stunden nach Aufforderung durch die BaFin zu liefern. Zu den weiteren umsetzungsrelevanten Informationen gehören v.a. Informationen zur Berechnung der Eigenmittel und zur Rechnungslegung, was der Abschätzung der Bail-in Effekte dient.

MaBail-in: Technisch-organisatorische Ausstattung zur Durchführung des Bail-in

Damit die Bereitstellung der Daten und die praktische Umsetzung des Bail-in im Abwicklungsfall möglich ist, müssen die Banken Prozesse, zugehörige Systeme sowie technische und personelle Ressourcen vorhalten. Diese müssen jederzeit einsatzbereit sein. Zudem müssen sie sicherstellen können, dass alle der BaFin übermittelten Informationen vollständig, sachlich und inhaltlich richtig sowie konsistent sind und zeitlich und rechtlich korrekt zugeordnet wurden. Die vorzuhaltenden Ressourcen und Ausstattungen befähigen die Banken gleichzeitig interne Auswirkungsanalysen zu erstellen, die die Auswirkungen des Bail-in auf Eigenmittel und Rechnungslegung abbilden. Die Auswirkungsanalysen sind innerhalb von 12 Stunden nach Aufforderung durch die BaFin vorzunehmen.

Fazit

Mit der MaBail-in stehen erstmals einheitliche Mindestanforderungen zur Umsetzbarkeit eines Bail-in fest. Bislang wurden die Anforderungen zur Durchführung eines Bail-in institutsspezifisch von der BaFin festgelegt. Die Standardisierung der bereitzustellenden Informationen und der vorzuhaltenden technisch-organisatorischen Anforderungen sollen ermöglichen, dass die Banken auch in der kritischen Situation einer Abwicklung der BaFin die zur Durchführung eines Bail-in erforderlichen Informationen und Daten zur Verfügung stellen können. Oberstes Ziel ist es, dass ein Bail-in im Abwicklungsfall tatsächlich durchgeführt werden kann und ein Bail-out vermieden wird.

EBA veröffentlicht neue Leitlinien zur Auslagerung

Auslagerungen werden gerade in Zeiten von innovativen, digitalen Finanztechnologien (FinTech) immer wichtiger. Denn durch die Auslagerung, also die Übertragung von bestimmten Aufgaben auf externe Dienstleister, haben etablierte Bank- und Zahlungsdienstleistungsinstitute die Möglichkeit, sich Zugang zu den neuesten technischen Entwicklungen zu verschaffen, wenn sie diese nicht selbst entwickeln.

Am 25. Februar 2019 hat die Europäische Bankenaufsichtsbehörde (European Banking AuthorityEBA) ihren finalen Bericht über neue Leitlinien zur Auslagerung veröffentlicht, die am 30. September 2019 in Kraft treten werden. Damit werden die CEBS-Leitlinien (Committee of European Banking Supervisors, Vorgängerbehörde der EBA) von 2006 abgelöst, die nur für Kreditinstitute gelten. Die neuen Leitlinien sollen nicht nur für Kreditinstitute, sondern auch für Zahlungsdienstleister (nachfolgend zusammen Institute) gelten und somit die bestehenden Auslagerungsregelungen für die Marktteilnehmer vereinheitlichen (sog. level playing field). Auch die Empfehlungen der EBA zur Auslagerungen an Cloud-Dienstleister aus dem Jahr 2017 wurden in die neuen Leitlinien aufgenommen und somit ein vollumfängliches Regelwerk zur Auslagerung geschaffen.

Inhalt der neuen Leitlinien

Im Einzelnen sehen die neuen Auslagerungs-Leitlinien insbesondere folgende Regelungen vor:

  1. Die EBA empfiehlt, dass Institute vor geplanten Auslagerungsvereinbarungen die zuständige Behörde informieren bzw. mit ihr in einen Dialog über die geplante Auslagerung treten, insbesondere, wenn kritische Funktionen ausgelagert werden sollen.
  2. Die EBA-Leitlinien stellen zudem Regelungen für Auslagerungen innerhalb einer Gruppe auf. Bei gruppeninternen Auslagerungen müssen die EU-Mutterunternehmen z.B. sicherstellen, dass interne Prozesse und Mechanismen so strukturiert sind, dass die Vorgaben der Leitlinien umgesetzt werden können.
  3. Die neuen Leitlinien enthalten zudem eine Negativliste über Sachverhalte, die nicht als Auslagerung zu qualifizieren sind. So wird zum Beispiel klargestellt, dass weder die Unterhaltung von Räumlichkeiten eines Instituts, noch der Bezug von Gütern und Versorgungsdienstleistungen (wie Strom, Telefon etc.) eine Auslagerung darstellt.  
  4. Die Geschäftsführung eines Instituts muss eine schriftliche Auslagerungs-Policy beschließen, diese regelmäßig überprüfen und ihre Umsetzung sicherstellen. Die Regelungen, die die EBA in den Leitlinien vorgibt, sind wesentlich detaillierter als die Vorgaben des BaFin Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk).
  5. Gleiches gilt für die Vorgaben zu möglichen Interessenskonflikten, die aufgrund von Auslagerungen entstehen können. Diese sind zu identifizieren, zu bewerten und zu managen. Zudem sehen die Leitlinien Regelungen für Interessenskonflikte vor, die bei gruppeninternen Auslagerungen entstehen.
  6. Geregelt ist zudem die Führung eines detaillierten Registers über alle Auslagerungsvereinbarungen. Das Register soll z.B. zwischen der Auslagerung von kritischen bzw. wichtigen Funktionen und anderen Auslagerungen unterscheiden. Die Leitlinien sehen Regelungen zu den Informationen vor, die in dem Register für alle Auslagerungen vorzuhalten sind, sowie Regelungen zu zusätzlichen Informationen, die im Falle der Auslagerung kritischer Funktionen vorzuhalten sind.
  7. Bevor Auslagerungsvereinbarungen geschlossen werden, sollen die Institute eine fundierte Analyse durchführen (pre-outsourcing analysis). Dabei soll z.B. bewertet werden, ob es sich um die Auslagerung von kritischen Funktionen handeln wird, ob die aufsichtsrechtlichen Anforderungen an Auslagerungen erfüllt werden und ob eine angemessenen due diligence Prüfung des Auslagerungsunternehmens durchgeführt wurde.
  8. Auch bzgl. des Inhalts von Auslagerungsverträgen sehen die Leitlinien detaillierte Regelungen vor, die über die Vorgaben der MaRisk deutlich hinausgehen und konkreter die Anforderungen an aufsichtsrechtlich zulässige Auslagerungsverträge beschreiben.
  9. Zudem sehen die Leitlinien vor, dass die Institute Exit-Strategien für den Fall der Beendigung einer Auslagerungsvereinbarung über kritische Funktionen vorsehen. Die EBA gibt in den Leitlinien detailliert vor, welche Anforderungen die Institute dabei zu beachten haben.

Ab wann sind die neuen Leitlinien anzuwenden?

Die neuen Leitlinien gelten ab dem 30. September 2019 für alle Auslagerungsverträge, die ab diesem Zeitpunkt abgeschlossen, überprüft oder geändert werden, spätestens jedoch ab dem 31. Dezember 2021. Neuverträge, die ab dem 30. September abgeschlossen werden, sind also von Beginn an an die Regelungen in den EBA Leitlinien auszurichten. Altverträge, die vor dem 30. September 2019 bestanden, müssen auf die Regelungen der neuen Leitlinien angepasst werden, wenn sie nach dem 30. September überprüft oder geändert werden, spätestens jedoch bis zum 31. Dezember 2021.

Fazit

Die Leitlinien werden einen einheitlichen Regelungsrahmen bezüglich aufsichtsrechtlicher Anforderungen an Auslagerungen sowohl für Kreditinstitute als auch für Zahlungsdienstleister schaffen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) setzt die Leitlinien in der Regel in deutsches Recht um, sodass davon auszugehen ist, dass z.B. die Vorgaben der MaRisk entsprechend angepasst werden. Darauf sollten sich die Institute einstellen und sowohl bestehende Verträge als auch interne Prozesse entsprechend anpassen.

ESAs publish joint report on regulatory sandboxes and innovation hubs – Part 2

On January 7th 2019 the European Supervisory Authorities (ESAs) (consisting of ESMA, EBA and EIOPA) published as part of the European Commission’s FinTech Action Plan a joint report on innovation facilitators (i.e. regulatory sandboxes and innovation hubs). The report sets out a comparative analysis of the innovation facilitators established to date within the EU including the presentation of best practices for the design and operation of innovation facilitators.

We take the report as an occasion to present both innovation hubs and regulatory sandboxes in a two-part article. After we highlighted innovation hubs in Part 1, Part 2 will shed some light on regulatory sandboxes.

Regulatory sandboxes – What they are and what their goals are

The EU Commission´s FinTech Action plan provides for regulatory sandboxes to create an environment in which supervision is specifically tailored to innovative firms or services. ESMA’s joint report follows on from the FinTech Action plan and investigates the previous equipment and experience with regulatory sandboxes.

In detail, a regulatory sandbox provides a scheme to enable regulated and unregulated entities to test, pursuant to a specific testing plan agreed and monitored by the competent authority, innovative financial products, financial services or business models under real regulatory conditions before they bring the products to market.

The aim of a regulatory sandbox is to provide a monitored space in which competent authorities and firms can better understand the opportunities and risks presented by innovations and their regulatory treatment through a testing phase. Also, firms can assess the viability of innovative positions, in particular in terms of their application of and their compliance with regulatory and supervisory requirements. However, regulatory sandboxes do not entail the disapplication of regulatory requirements that must be applied as a result of EU law. On the contrary, the baseline assumption for regulatory sandboxes is that firms are required to comply with all relevant regulatory requirements applicable on the activity they are undertaking. The main goal of the regulatory sandboxes, as with the innovation hubs, is therefore to enhance the firms’ understanding of the relevant regulatory issues and, on the other hand, to enhance the competent authorities’ understanding of innovative financial products.

Where they exist and who can participate

At the date of the ESA report, five competent authorities reported operational regulatory sandboxes: Denmark, Lithuania, Netherlands, Poland and UK. The sandboxes are open to incumbent institutions, new entrants and other firms. Moreover, the sandboxes are not limited to a certain part of the financial sector, rather they are cross-sectored (e.g. banking, investment services, payment services and insurances).

How does a regulatory sandbox work exactly?

Typically, regulatory sandboxes involve several phases which can be described as (i) an application phase, (ii) a preparation phase, (iii) a testing phase and (iv) an exit or evaluation phase.

Regulatory Sandbox

In the following, we briefly describe the steps taken in each phases either by the firm or by the competent authority.

Application phase

Firms interested in participating on a regulatory sandbox must submit an application by the competent authority. The applications received are judged by the competent authority against set, transparent, publicly available criteria. These criteria are, e.g. (i) the scope of the propositions, i.e. does the firm’s business model to be tested in the regulatory sandbox involve regulated financial services, (ii) the innovativeness of the firm’s proposition and (iii) the readiness of the firm to test its proposition. Whether the company is ready for a regulatory test phase in the sandbox is judged on the basis whether or not the firm has, e.g., developed a business plan or has obtained the appropriate software license.

Preparation phase

During the preparation phase, the competent authorities work with the firms deemed to be eligible to participate in the regulatory sandboxes to determine:

  • whether or not the proposition to be tested involves a regulated activity. If this is the case and the firm does not already hold the appropriate license, the firm will be required to seek the appropriate license in order to progress to the testing phase,
  • if any operational requirements need to be put in place to support the test (e.g. systems and controls, reporting),
  • the parameters for the test (such as number of clients, restrictions on serving specific clients, restrictions on disclosure),
  • the plan for the engagement between the firm and the competent authority during the testing phase.

Testing phase

The testing phase allows sufficient opportunity for the proposition to be fully tested and for the opportunities and risks to be explored. Throughout the testing phase, the firm is expected to communicate with the competent authority through a direct on-site presence, meetings, regulator calls or pre-agreed written reports. According the ESAs report, the supervision during the testing phase in a regulatory sandbox is experienced as a more intense supervision by the competent authority than the usual supervisory engagement outside the sandbox.

From the perspective of the competent authority, the value of the testing phase in the regulatory sandbox can be found in the opportunity to understand the application of the regulatory framework with regard to the innovative proposition and in the opportunity to built in appropriate safeguards for innovative propositions, for example with regard to consumer protection considerations. On the other hand, the value for the firms can be found in gaining better appreciation of the application of the regulatory scheme and supervisory expectations regarding the innovative propositions.

Evaluation phase

In the evaluation phase, the firm either submits to the authority a final report so that an assessment of the test can be carried out, or the competent authority will evaluate the success of the test by drawing on input provided by the firm. It should be noted that the test can be considered a success in many ways. Thus, not only the result that the product can be successfully established on the market under the tested regulatory conditions can be regarded as a success, but also the recognition that it is not possible for a proposition to be viably applied at the markets in the light of the existing regulatory and supervisory obligations.

Why is there no regulatory sandbox in Germany?

Unlike in Denmark, Lithuania, the Netherlands, Poland and the UK, the German Federal Financial Supervisory Authority (Bundesanstalt für FinanzdienstleistungsaufsichtBaFin) has not set up a regulatory sandbox in Germany. In the past, BaFin promoted the view that each market participant needs to observe all regulatory requirements. One of the reasons behind that was and is the customer protection and equal treatment of companies. BaFin cites the fact that the sandbox model promotes conflicts of interest as the main reason for this:[1] after all, how would a supervisor behave if a FinTech, which BaFin had previously taken care of in its sandbox, did not treat his customers the way it should?[2]

Upshot

Regulatory sandboxes offer interested companies a good opportunity to test the products they develop under real regulatory conditions and in a supervisory environment specially tailored to innovative companies and therefore to better understand all (regulatory) possibilities and risks on the innovative product. It should be emphasized though that regulatory sandboxes do not apply a supervision light; rather all regulatory requirements must be fulfilled, especially with regard to a required authorisation. However, precise testing under real regulatory conditions and close monitoring by the supervisory authority can provide companies with important insights into their innovative products.


[1] New Year’s press reception of BaFin 2016, Speech by Felix Hufeld, President of BaFin, in Frankfurt am Main on 12 January 2016, available at https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Reden/re_160112_neujahrspresseempfang_p.html (accessed on 22 January 2019).

[2] New Year’s press reception of BaFin 2016, Speech by Felix Hufeld, President of BaFin, in Frankfurt am Main on 12 January 2016, available at https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Reden/re_160112_neujahrspresseempfang_p.html (accessed on 22 January 2019).

ESMA Supervisory briefing on the supervision of non-EU branches of EU firms providing investment services and activities

With Brexit coming up, many companies, especially those in the financial sector, have taken precautions and relocated their EU head offices to one of the 27 remaining EU member state to ensure that, whatever the outcome of the Brexit negotiations, they will have access to the European single market.  Offices in the UK, which will qualify as a third country after Brexit, will often be operated as branches.

On February 6, 2019, ESMA published its MIFID II Supervisory briefing on the supervision of non-EU branches of EU firms providing investment services and activities. Through its new Supervisory briefing, ESMA aims to ensure effective oversight of the non-EU branches by the competent authority of the firm´s home member state.

This article provides an overview of the measures proposed by ESMA to national regulatory authorities, divided into three areas: (i) ESMA´s supervisory expectations in relation to the authorisation of investment firms; (ii) the supervision of ongoing activities of non-EU branches by the competent authority; and (iii) ESMA´s proposed supervisory activity of the competent authority.

Supervisory expectations in relation to the authorisation of investment firms

The relocation of a company to the EU means that an authorisation covering the respective business model must be applied for in the respective EU member state. The authorisation procedure must, inter alia, include a description of the company’s organisational structure, including its non-EU branches. The competent authority should be satisfied that the use of the non-EU branch is based on objective reasons linked to the services provided in the non-EU jurisdiction and does not result in situations where such non-EU branches perform material functions or provide services back into the EU, while the office relocated to the EU is only used as a letter box entity. To this end, the competent authority should make its judgement on the substance of the business activity, the organisation, the governance and the risk management arrangements of the applicant in relation to the establishment and the use of branches in non-EU jurisdictions. Therefore, the firm´s program of operations should explain how the relocated EU head office will be able to monitor and manage any non-EU branch, clarify the role of the non-EU branch and provide detailed information, such as:

  • an overview of how the non-EU branch will contribute to the investment firm´s strategy;
  • the activities and functions that will be performed by the non-EU branch;
  • a description of how the firm will ensure that any local requirements in the non-EU jurisdiction do not interfere with the compliance by the EU firm with legal requirements applicable to it in accordance with EU law.

Supervision of ongoing activities of non-EU branches

In order to allow the competent authority to appropriately monitor firms providing investment services or activities on an ongoing basis, firms should provide the competent authority of its home member state with relevant information on any new non-EU branch that they plan to establish or on any material change in the activities of non-EU branches already established. Therefore, the competent authority should, taking into account the importance of non-EU branches for the relevant firm, request on an ad hoc or a periodic basis, information on, inter alia:

  • the number and the geographical distribution of clients served by the non-EU branches;
  • the activities and the functions provided by the non-EU branch to the EU head office.

Supervisory activity of the competent authority

The competent authority should put in place internal criteria and arrangements to supervise comprehensively and in sufficient depth the activities that branches of EU firms under their supervision perform outside of the EU. For that purpose, the competent authority should prepare plans for the supervision of non-EU branches of EU firms and identify resources dedicated to this activity. These resources should be capable of performing a critical screening of the firms under their supervision that have established non-EU branches, including, information received or requested in relation to these branches.

Upshot

As the Supervisory briefing shows, EU supervisors are urged by ESMA to ensure that companies relocating to the EU as a result of Brexit are not just used as mere letter box entities to gain access to the European single market and the actual investment services are provided via the non-EU branch. Therefore, the competent authorities should take a closer look at the firm´s non-EU branches, to ensure that the branch has the function of a branch not only on paper but also in practice. Investment firms should be prepared for this supervisory practice.

Vertrieb von binären Optionen und CFDs an Kleinanleger weiterhin Gegenstand von Beschränkungen – Update

Der Vertrieb von binären Optionen und CFDs gegenüber Kleinanlegern ist weiterhin Gegenstand von Produktinterventionsmaßnahmen, sowohl auf europäischer, als auch auf nationaler Ebene.

Binäre Optionen

Die European Securities and Markets Authority (ESMA) hat am 14. Dezember 2018 ihren Beschluss veröffentlicht, mit dem sie ihre Produktinterventionsmaßnahme von Juni bzw. Oktober 2018 für weitere drei Monate ab dem 02. Januar 2019 verlängert, abrufbar hier.

Auf nationaler Ebene hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 29. November ihren Entwurf einer Allgemeinverfügung zur Beschränkung des Vertriebs von binären Optionen an Kleinanleger veröffentlicht. Aus Sicht der BaFin ist eine Regelung auf nationaler Ebene erforderlich, da die Produktinterventionsmaßnahmen der ESMA stets befristet sind und seitens der BaFin sichergestellt werden soll, dass der Anlegerschutz in Deutschland unabhängig von der Verlängerung der europäischen Maßnahmen dauerhaft gewährleistet ist. Inhaltlich übernimmt die BaFin darin im Wesentlichen die Regelungen der Produktinterventionsmaßnahme der ESMA. Für detailliertere Informationen siehe dazu unsere früheren Blogbeiträge vom 16. April 2018, 04. Juni 2018 und 18. Oktober 2018 .

CFDs

Auch bzgl. CFDs hat die ESMA ihre Produktinterventionsmaßnahme mit Beschluss vom 23.01.2019 zum 01. Februar 2019 mit Wirkung für drei Monate verlängert abrufbar hier.

Auf nationaler Ebene hat die BaFin am 20. Dezember 2018 den Entwurf ihrer Allgemeinverfügung zur Beschränkung von CFDs veröffentlicht. Inhaltlich übernimmt die BaFin dabei die Regelungen der ESMA und legt u.a. Hebel-Obergrenzen, einen Negativsaldoschutz auf Einzelkontenbasis zur einheitlichen Verlustbegrenzung und die Pflicht zu standardisierten Risikowarnungen fest (vgl. auch dazu die Blogbeiträge vom 16. April 2018, 04. Juni 2018 und 18. Oktober 2018). Auch hier ist das Ziel der BaFin, den Anlegerschutz auf nationaler Ebene unabhängig von den befristeten europäischen Produktinterventionsmaßnahmen zu gewährleisten.

Ausblick

Für beide Entwürfe hat die BaFin Stellungnahmefristen gesetzt, die am 20. Dezember 2018 (Entwurf für Beschränkung binärer Optionen) bzw. am 10. Januar 2019 (Entwurf für Beschränkung von CFDs) abgelaufen sind. Bis zum jetzigen Zeitpunkt hat die BaFin noch keine endgültigen Versionen der Allgemeinverfügungen veröffentlicht. Ab dem Zeitpunkt der Veröffentlichung der Allgemeinverfügung wird der Vertrieb von binären Optionen und CFDs an Kleinanleger in Deutschland aber dauerhaft beschränkt sein und damit wohl kein profitables Marktmodell mehr darstellen.