Die BaFin erläutert veränderte aufsichtsrechtliche Anforderungen in der Corona-Krise

In einer Pressemitteilung vom 24. März 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Anpassung ihrer Aufsichtspraxis und die der europäischen Behörden in der Corona-Krise erläutert (abrufbar hier). Oberstes Ziel dabei ist, die Banken zu entlasten, damit diese sich auf die operationelle Aufrechterhaltung ihres Geschäftsbetriebs und die Vergabe von Krediten an die Realwirtschaft konzentrieren können. Generell wird die BaFin dazu die Flexibilität, die das bestehende aufsichtsrechtliche Regelwerk bietet, vollumfänglich nutzen. Wichtige Maßnahmen der Aufsicht sind:  

  • Darlehen, die von Schuldnern in Folge der Corona-Krise nicht mehr bedient werden können, sind von den Banken nicht automatisch als ausgefallen einzustufen. Die European Banking Authority (EBA) hat diesbezüglich Klarstellungen veröffentlich (abrufbar hier). Grundsätzlich sollten Institute von der Möglichkeit der Restrukturierung von Darlehensverträgen Gebrauch machen und den Schuldner damit in die Lage versetzen, seine Kreditverbindlichkeiten langfristig weiterhin zu bedienen.

  • Entsprechendes gilt laut EBA für die Behandlung von Krediten im Rahmen des IFRS9 (International Financial Reporting Standard 9). Ob ein erhöhtes Kreditrisiko vorliegt, bewerten Banken in Bezug auf die gesamte Laufzeit des Produktes. Wird per Gesetz eine Stundung von Darlehen vorgesehen, wie etwa der deutsche Gesetzgeber dies im Zuge der Corona Krise beschlossen hat (hier abrufbar), soll dies nicht automatisch dazu führen, dass die Darlehen mit einem höheren Kreditrisiko angesetzt werden. Vielmehr sollten die Institute individuell prüfen, ob von einer langfristigen Verschlechterung der Rückzahlungsfähigkeit auszugehen ist.

  • Erleichterungen gelten bei der Offenlegung der wirtschaftlichen Verhältnisse bei Kreditgewährungen nach dem Kreditwesengesetz (KWG). Die BaFin stellt klar, dass für die Beurteilung der Kreditwürdigkeit die Analyse des letzten verfügbaren Jahresabschlusses ausreichend ist, in der Regel derzeit der Jahresabschluss aus 2018, sofern der Jahresabschluss aus 2019 noch nicht vorliegt. Für die Bewertung der Kapitaldienstfähigkeit können die Institute eine ganzjährige Liquiditätsbetrachtung des Kreditnehmers aus der Vergangenheit heranziehen.

  • In einer Allgemeinverfügung hat die BaFin die Herabsetzung der Quote des antizyklischen Kapitalpuffers erlassen. Der antizyklische Kapitalpuffer zielt darauf, die Banken gegenüber systemischen Risiken aus dem Kreditzyklus widerstandsfähiger zu machen. Der Puffer soll bei übermäßigem Kreditwachstum aktiviert werden. In einer systemweiten Stressphase, wie momentan in der Corona-Krise, kann der Puffer sofort herabgesetzt beziehungsweise zur Verlustdeckung in Anspruch genommen werden. Auf diese Weise kann der antizyklische Kapitalpuffer dazu beitragen, dass Banken in Stresszeiten ihr Kreditangebot nicht übermäßig einschränken.

  • Die Europäische Zentralbank (EZB) hat am 27. März ihre Empfehlungen an die Banken zu Dividendenausschüttungen aktualisiert (abrufbar hier). Danach sollen Banken, um ihre Fähigkeit zur Verlustabsorption zu stärken und die Kreditvergabe an private Haushalte, kleine Unternehmen und Unternehmen während der Coronavirus-Pandemie zu unterstützen, für die Geschäftsjahre 2019 und 2020 mindestens bis zum 1. Oktober 2020 keine Dividenden zahlen. Auch Aktienrückkäufe zur Vergütung der Aktionäre sollen nicht vorgenommen werden. Bereits ausgezahlte Dividenden sollen aber nicht zurückgefordert werden. Die BaFin bekräftigt in einer Pressemitteilung, dass sie Gleiches auch von den Instituten, die ihrer direkten Aufsicht unterstehen, erwartet (BaFin Erklärung hier please hyperlink abrufbar).  
  • Im Rahmen der Wertpapieraufsicht gilt u.a.: Bei den Verhaltens- und Informationspflichten im Wertpapiergeschäft wird die BaFin Verstöße bis auf Weiteres nicht verfolgen, die etwa bei Wertpapierdienstleistungen auftreten, die aus dem Homeoffice erbracht werden. Voraussetzung dafür ist jedoch, dass etwaige Dokumentations- oder Informationslücken geeignet geschlossen und die Kunden hierüber informiert werden.

Weitere Informationen für Banken, Finanzdienstleister und Kapitalverwaltungsgesellschaften hält die BaFin auf ihrer Internetseite im Rahmen eines FAQ-Tool bereit, das regelmäßig aktualisiert wird. Es ist davon auszugehen, dass im Zuge der Corona-Krise  noch weitere Empfehlungen und Maßnahmen sowohl auf Ebene der EU-Behörden als auch der nationalen Aufsichtsbehörden folgen werden.

Wie die EZB den Banken in der Corona-Krise helfen will

Als Reaktion auf die Corona-Krise hat die Europäische Zentralbank (EZB) im Rahmen des einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism – SSM) am 12. März 2020 operationelle Entlastungen für die unmittelbar von ihr beaufsichtigten systemrelevanten Banken beschlossen (abrufbar hier).

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und andere nationale Aufsichtsbehörden werden diese Beschlüsse aber auch bei ihrer Aufsicht über weniger bedeutende Institute anwenden.

Die wirtschaftlichen Auswirkungen der Corona-Krise werden auch in der Finanzwirtschaft deutlich spürbar sein. Wenn, wie im Moment, gleichzeitig sehr viele Unternehmen der Realwirtschaft in finanzielle Bedrängnis geraten, werden diese Schwierigkeiten entwickeln, laufende Kreditverpflichtungen bei ihren Banken zu bedienen. Fallen Rück- und Zinszahlungen in großem Stil aus, kann das für Banken durchaus bedrohlich werden, da dann der Kapitalrückfluss nicht mehr sichergestellt ist. Umgekehrt führt eine wirtschaftliche Krise in der Regel auch dazu, dass größere Investitionen und Transaktionen aufgrund der zunehmenden Unsicherheit wohl erstmal auf Eis gelegt werden, deren Finanzierung für viele, v.a. größere Banken, ein lukratives Geschäft ist.

Durch die Beschlüsse der EZB soll vor allem sichergestellt werden, dass die Banken sich trotz dieses schwierigen Krisen-Umfelds auf ihr operatives Geschäft konzentrieren und sowohl der Wirtschaft als auch Privathaushalten weiterhin als Kapitalgeber zur Verfügung stehen können.

Maßnahmen der EZB

Konkret hat die EZB, in Abstimmung mit den nationalen Aufsichtsbehörden, u.a. folgende Maßnahmen beschlossen:

  • Der für 2020 geplante EU-weite Banken-Stresstest wird auf das Jahr 2021 verschoben.
  • Institute dürfen zur Erfüllung der Kapitalanforderungen der Pillar 2 Requirements (P2R) Kapitalinstrumente verwenden, die nicht als Common Equity Tier 1 (CET1) qualifizieren, also z.B. Additional Tier 1 (AT1) oder Tier 2 (T2) Kapital. Dies sollte ursprünglich erst mit der Überarbeitung der Kapitaladäquanz-Richtlinie (CRD V) im Januar 2021 in Kraft treten.

Hintergrundinformation: Bei den P2R handelt es sich um Kapitalanforderungen, die zusätzlich zu den Mindestkapitalanforderungen (Pillar 1) erfüllt werden müssen. Die P2R decken die Risiken ab, die in den Mindestkapitalanforderungen nicht abgedeckt oder ausreichend berücksichtigt sind. Sie sind verbindlich und werden im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process – SREP) ermittelt. Die im SREP ermittelten Kapitalanforderungen beinhalten außerdem die Pillar 2 Guidance (P2G) bzgl. Kapitalanforderungen. Diese dienen Banken als Hinweis auf die angemessene Kapitalausstattung, bei der ein ausreichender Puffer für Stresssituationen vorhanden ist. Im Gegensatz zu den P2R sind die P2G allerdings nicht rechtsverbindlich.

  • Institute dürfen vorrübergehend unterhalb der Kapitalanforderungen der P2G, des Kapitalerhaltungspuffers (Capital Conservation Buffer – CCB) und des antizyklischen Kapitalpuffers (Countercyclical Capital Buffer – CCyB) arbeiten. Für deutsche Institute sind der Kapitalerhaltungspuffer und der antizyklische Kapitalerhaltungspuffer im Kreditwesengesetzes (KWG) geregelt.

Hintergrundinformation: Kapitalpuffer verfolgen grundsätzlich das Ziel, die Verlustabsorptionsfähigkeit der Banken zu stärken. Der Kapitalaufbau soll dabei z.B. aus einem zyklischen Motiv heraus erfolgen. Die Idee ist, dass Banken Kapitalpolster in wirtschaftlich guten Zeiten aufbauen, um diese dann in Krisenzeiten zur Aufrechterhaltung ihrer Kreditvergabe verwenden zu können. Ein solcher Kapitalpuffer kann somit eine antizyklische Wirkung entfalten.  Neben des CCB und des CCyB wurden zudem der Puffer für global systemrelevante Banken und der Puffer für national systemrelevante Banken entwickelt. Der CCB soll die allgemeine Verlustabsorptionsfähigkeit der Banken verbessern. Seine Höhe beträgt 2,5 % der risikogewichteten Aktiva einer Bank. Der CCyB soll primär einer krisenbedingten Einschränkung des Kreditangebots entgegenwirken. Zur Zeit gilt in Deutschland ein CCyB von 0,25%.

  • Aufsichtsrechtliche Prüfungen der nationalen Aufsichtsbehörden sollen so pragmatisch und flexibel wie möglich ausgestaltet und, wenn nicht zwingend notwendig, verschoben werden.
  • Die nationalen Aufsichtsbehörden sollen den Instituten wenn möglich ausreichend Spielraum bei z.B. regulatorischen Meldepflichten geben, um Ressourcen der Institute zu schonen.

Wie verhält sich die BaFin?

Die BaFin war als Teil des einheitlichen Aufsichtsmechanismus in die Entscheidung der EZB eingebunden. Sie wird die beschlossenen Entlastungen bei ihrer Aufsicht über die weniger bedeutenden Institute anwenden. So hat sie z.B: aufgrund der momentan deutschlandweit verstärkten Tätigkeit von Arbeitsnehmern aus dem Homeoffice heraus Informationen zur Vereinbarkeit von (Handels-) Tätigkeiten außerhalb der Geschäftsräume der Institute zur Verfügung gestellt (abrufbar hier) sowie dazu Stellung genommen, dass Prüfer von Vor-Ort-Prüfungen (z.B: im Rahmen von Jahresabschlussprüfungen) vorerst absehen können (abrufbar hier).

Das ist ein wichtiges Signal seitens der Aufsicht für die Banken und den Finanzmarkt in diesen schwierigen Zeiten.

EBA´s New Role in Anti-money Laundering and Countering the Financing of Terrorism

At the turn of the year, there have been some new developments in anti-money laundering (AML) law at both German and EU level. Part 1 of our series dealt with the changes at German law resulting from the implementation of the Fifth EU Anti-Money Laundering Directive. Part 2 sheds some light on the European Banking Authority’s (EBA) new leading role in anti-money laundering and countering the financing of terrorism (CFT).

What is changing in the approach to AML/CFT?

In 2019, the EU legislator gave EBA a legal mandate to preventing the use of the financial system for the purposes of money laundering and terrorist financing and to leading, coordinating and monitoring the AML/CFT efforts of all EU financial service providers and competent authorities. The law implementing EBA´s new powers came into effect on 1 January 2020.

However, assigning EBA a leading role in AML/CFT will not change the EU´s general approach to AML/CFT, which remains based on a minimum harmonisation directive and an associated strong focus on national law and direct supervision of financial institutions by national competent authorities. This reduces the influence and the degree of convergence and consistency EBA´s work can achieve from the outset.

To the extent legally possible, EBA will use its new role to

  • lead the establishment of AML/CTF policy and support its effective implementation by competent authorities and financial institutions;
  • coordinate AML/CFT measures by fostering effective cooperation and information exchange between all relevant authorities;
  • monitor the implementation of EU AML/CFT standards to identify vulnerabilities in competent authorities´ approaches to AML/CFT supervision and to mitigate them before money laundering and financing of terrorism risks materialise.

How will EBA lead on AML/CFT?

To fulfill its new leading role, EBA will focus on two key point: developing an EU-wide AML/CFT policy and ensuring a consistent supervision by national competent authorities. EBA intends to develop such EU-wide AML/CFT policy through standards, guidelines or opinions where this is provided for in EU law as well as on its own initiative where it identifies, for example, gaps in competent authorities´ supervision. In 2020, EBA will be setting clear expectations on the components of an effective risk-based approach with targeted revisions to the core AML/CFT guidelines: the Risk Factors Guidelines and the Risk-Based Supervision Guidelines.

EBA intends to foster a consistent supervision by national competent authorities by assisting them through training, bilateral support and detailed bilateral feedback on their approach to the AML/CFT supervision of banks.

What will EBA do to coordinate?

To coordinate the European work against money laundering and terrorism financing, EBA will focus to coordinate national competent authorities´ AML/CFT supervision by fostering effective cooperation and information exchange. To achieve its goal, the EBA will set up a permanent internal AML/CFT standing committee (AMLSC). The AMLSC will bring together, inter alia, representatives of all AML/CFT competent authorities from Member States, along with representatives from ESMA and EIOPA, the Commission and the European Central Bank. Its main task will be to provide subject matter expertise. It will also serve as a forum to facilitate information exchange and ensure effective coordination and cooperation to achieve consistent outcomes in the EU’s work against money laundering and terrorism financing. The AMLSC has met for the first time in February 2020.

In addition to the AMLSC, EBA will create a new AML/CFT database. This database will not only contain information on AML/CFT weaknesses in individual financial institutions and measures taken by competent authorities to correct those shortcomings, but EBA will use it to meet wider AML/CFT information and data need to supports its objectives on AML/CFT work. EBA will draft two regulatory technical standards  that will specify the core information that competent authorities must submit to the date base and how EBA will analyse the obtained information and make it available to competent authorities.

What will EBA do to monitor?

One main tool for EBA to monitor the implementation of EU AML/CFT standards will be using information from the new database and to ask national competent authorities to take action if EBA has the indication that a financial institution´s approach to AML/CFT materially breaches EU law. EBA envisages to use this new tool proactively to ensure that AML/CFT risks are addressed by competent authorities and financial institutions in a timely and effective manner. This approach aims to rectify shortcomings at the level of financial institutions; they do not, however, serve to establish whether or not a competent authority may be in breach of Union law.

The difference EBA´s new role will make

As the national implementation of the Fifth European AML Directive and the EBA´s new leading role show, effective AML/CFT measures remain in the focus of the EU legislator, not least due to political developments (terrorist attacks in France, “Panama Papers” etc.). Market participants should prepare themselves for stricter audits by their competent national authorities on AML/CFT compliance. For example, the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin) has announced AML/CFT as one of its focuses of its supervisory practice for 2020. By assigning a leadership role to EBA, European efforts to prevent money laundering will in future be better coordinated, bundled and consistently implemented throughout the European financial market and therefore, hopefully, be more effective. However, we need to keep in mind that BaFin and subsequently also EBA are only part of the European and national AML regime. In Germany, for example, the FIU has a leading role in AML activities. An overview of the authorities involved can be found here.

Umsetzung der Fünften Geldwäscherichtlinie bringt einige Neuerungen mit sich

Nach der Neuregelung ist vor der Neuregelung – das gilt vor allem im Geldwäscherecht. Hier gibt es sowohl auf nationaler als auch auf EU-Ebene einige Neuerungen, die wir in einer zweiteiligen Beitragsreihe vorstellen. Zum Auftakt wird Teil 1 sich mit der Umsetzung der Fünften EU-Geldwäscherichtlinie (abrufbar hier)in nationales Recht beschäftigen. Teil 2 der Beitragsreihe wird die neue Führungsrolle der European Banking Authority (EBA) im Kampf gegen Geldwäsche und Terrorismusfinanzierung näher beleuchtet.

Umsetzung der Fünften EU-Geldwäscherichtlinie

Am 01. Januar 2020 ist das neue Geldwäschegesetz (GwG) in Kraft getreten. Es setzt die Anforderungen der Fünften EU-Geldwäscherichtlinie in nationales Recht um. Im Folgenden stellen wir die wichtigsten Änderungen und Neuerungen für Marktteilnehmer im Überblick vor.

Neue Regelungen aufgrund der Fünften EU-Geldwäscherichtlinie

  • Das neue Gesetz schärft alte und führt neue Definitionen ein, was im Markt zu mehr Rechtssicherheit führen wird. So enthält das Gesetz z.B. eine spezifische geldwäscherechtliche, von den Vorgaben des Kreditwesengesetzes (KWG) unabhängige, Definition von Finanzunternehmen. Diese erfasst nunmehr explizit z.B. auch Finanzanlagenvermittler nach § 34f der Gewerbeordnung (GewO). Zu den geldwäscherechtlichen Verpflichtungen für Finanzanlagenvermittler haben wir bereits hier berichtet. Neu ist daneben z.B. auch die Definition des Mutterunternehmens einer Gruppe.
  • Zukünftig sind unter bestimmten Voraussetzungen auch Gerichte, die öffentliche Versteigerungen durchführen, geldwäscherechtliche Verpflichtete. Dies gilt z.B. dann, wenn im Rahmen der Versteigerung Transaktionen mit Barzahlungen über mind. EUR 10.000 erfolgen.
  • Bei der Identifizierung des wirtschaftlich Berechtigten, einer Kernregelung des Geldwäscherechts, stellt das neue Gesetz klar, wann und unter welchen Voraussetzungen auf den fiktiven wirtschaftlich Berechtigten abzustellen ist. Auch hier entsteht im Vergleich zur Vorgängerregelung mehr Rechtssicherheit.
  • Die Aufzeichnungs- und Aufbewahrungspflichten werden erweitert. Nunmehr sind davon auch die Unterlagen über die getroffenen Maßnahmen zur Ermittlung des wirtschaftlich Berechtigten erfasst.
  • Fast vollständig neu geregelt wird die Vorschrift zur gruppenweiten Einhaltung der geldwäscherechtlichen Pflichten. Ein Mutterunternehmen muss nunmehr bspw. sicherstellen, dass Zweigstellen und gruppenangehörige Unternehmen mit Sitz in einem anderen Mitgliedsstaat die dortigen nationalen Geldwäschevorschriften einhalten. Haben diese Unternehmen ihren Sitz hingegen in einem Drittstaat, dessen nationale Regelungen weniger streng sind, muss das Mutterunternehmen die Einhaltung der deutschen geldwäscherechtlichen Vorschriften sicherstellen.
  • Ist der Kunde eines geldwäscherechtlich Verpflichteten eine juristische Person des Privatrechts, eine eingetragene Personengesellschaften oder Vereinigung, muss der Verpflichtete bei der Kundenidentifizierung nunmehr den Nachweis einholen, dass dieser seine Transparenzpflichten wie z.B. die Eintragung in das Transparenzregister vorgenommen hat.
  • Umfangreiche Änderungen erfährt das GwG im Bereich der verstärkten Sorgfaltspflichten; deren Anwendungsbereich wird sich vergrößern. Das neue Gesetz erfasst z.B. bereits Geschäftsbeziehungen, innerhalb derer Drittstaaten mit hohem Geldwäscherisiko auf andere Art und Weise als über den Vertragspartner oder den wirtschaftlich Berechtigten involviert sind, z.B. weil die der Transaktion zugrunde liegenden Vermögenswerte in einem solchen Drittstaat liegen.
  • Das neue Geldwäschegesetz stellt bei Auslagerungen bzw. Ausführungen durch Dritte insbesondere klar, dass im Falle einer Kundenidentifizierung durch Dritte mit Sitz im EU-Ausland deutsche geldwäscherechtliche Vorgaben zu beachten sind.
  • Eine Neuerung sieht das Geldwäschegesetz auch im Bereich der Meldepflichten Verpflichtet müssen dem Transparenzregister Unstimmigkeiten zwischen den Angaben im Register und den ihnen zur Verfügung stehenden Angaben und Erkenntnisse über den wirtschaftlich Berechtigten ihres Kunden melden.
  • Schließlich wurden in die Anlage des Geldwäschegesetzes über Risikofaktoren, die zu einer Durchführung verstärkter Sorgfaltspflichten führen können, weitere Faktoren aufgenommen. Ein potentiell erhöhtes Geldwäscherisiko nimmt das neue Gesetz nunmehr z.B. bei einer Transaktion ohne persönliche Kontakte und ohne bestimmte Sicherungsmaßnahmen zur Identitätsfeststellung an.

Fazit und Ausblick auf Teil 2

Das Geldwäschegesetz wurde um wichtige Regelungen ergänzt, die das Rahmenwerk für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung weiter stärken und EU-weit eine höchstmögliche Mindestharmonisierung vorsehen. Die BaFin legt nicht zufällig auch einen Aufsichtsschwerpunkt für das Jahr 2020 auf die Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Mit der neuen Führungsrolle der EBA bei der Bekämpfung von Geldwäsche, die wir in zweiten Teil näher beleuchten werden, wird deutlich, dass das Thema auch und gerade auf EU-Ebene weiterhin im Fokus bleibt.

Finanzanlagenvermittler: Übertragung der Aufsicht auf die BaFin – Was ist neu, was bleibt beim Alten?

Das Jahr 2019 hat sich mit einigen neuen geplanten aufsichtsrechtlichen Änderungen für Finanzanlagenvermittler verabschiedet: Zum einen soll die Aufsicht zukünftig anstatt durch die Gewerbeämter oder den Industrie- und Handelskammern der Länder von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wahrgenommen werden. Zum anderen wird das an die MiFID II angepasste neue Regelungsregime ins Wertpapierhandelsgesetz (WpHG) aufgenommen. Die Erlaubnis nach der GewO gilt grundsätzlich weiter, es müssen aber innerhalb einer Frist von 6 Monaten weitere Unterlagen vorgelegt werden. Hier nun ein Überblick:

Aufsicht der BaFin: Gesetzentwurf veröffentlicht – Vorbereitungen bereits im Gange

Die Ankündigung, dass die Aufsicht über Finanzanlagenvermittler auf die BaFin übertragen werden soll, gibt es schon länger. Doch nun wird die Sache konkret. Das Bundesfinanzministerium hat Ende Dezember 2019 den entsprechenden Gesetzentwurf veröffentlicht. Hintergrund der Übertragung der Aufsicht auf die BaFin ist vor allem, die bisherige zersplitterte Aufsichtsstruktur der Länder durch Industrie- und Handelskammern und Gewerbeämter zu beenden und die zunehmende Komplexität des Aufsichtsrecht zu berücksichtigen. Durch die Bündelung der Aufsicht bei der BaFin soll die Qualität und Effektivität der Aufsicht gesteigert werden und eine Angleichung an die Aufsicht über Wertpapierfirmen und damit letztlich an die rechtlichen Vorgaben der zweiten Finanzmarktrichtlinie (MiFID II) erreicht werden. Das heißt im Klartext, dass Finanzanlagenvermittler künftig richtig beaufsichtigt werden – wie andere Finanzdienstleister auch.

Und auch wenn derzeit nur ein Gesetzesentwurf vorliegt, ist die BaFin-Aufsicht sicher. Nach dem politischen Gerangel im letzten Jahr ist die Entscheidung gefallen. In der Veröffentlichung der BaFin zu den Aufsichtsschwerpunkten 2020 informiert diese darüber, dass bereits in diesem Jahr im Bereich der Wertpapieraufsicht die personellen und organisatorischen Voraussetzungen für eine reibungslose Übernahme der Aufsicht über die Finanzanlagenvermittler durch die BaFin geschaffen werden.

Neuer Standort: WpHG

Bisher fanden sich die rechtlichen Regelungen der Finanzanlagenvermittler in der Gewerbeordnung (GewO) und der Finanzanlagenvermittlerverordnung (FinVermV). Im September 2019 wurde ein überarbeiteter Entwurf einer neuen FinVermV veröffentlicht, der bereits Anpassungen an das MiFID II-Regime beinhaltete. Darüber haben wir bereits hier berichtet.

Das gesamte Regelungsregime wird nun durch den Gesetzentwurf des Bundesfinanzministeriums in das WpHG, das die europäischen MiFID II Regelungen für den deutschen Finanzmarkt umsetzt, übertragen. Die FinVermV wird aufgehoben werden. Inhaltlich bleiben die Anforderungen an die Finanzanlagenvermittler aber im Wesentlichen identisch mit dem Entwurf aus September 2019 und das Pflichtenregime der MiFID II wird in abgeschwächter Form Anwendung finden. Stichworte sind hier: Interessenskonflikte, Geeignetheitserklärung und Telefon-Taping. Einzelheiten dazu erfahren Sie in unserem früheren Blogbeitrag.

Finanzanlagenvermittler brauchen keine neue Erlaubnis – Handlungsbedarf besteht aber dennoch!

Üblicherweise bedeutet die Aufnahme einer neuen Dienstleistung ins WpHG auch ein neues Erlaubnisverfahren. Der Gesetzentwurf enthält detaillierte Regelungen zu den Voraussetzungen und zum Verfahren der Erlaubniserteilung künftig durch die BaFin, wie z.B. die bei der BaFin einzureichenden Unterlagen. Inhaltlich entsprechen diese in weiten Teilen den bisherigen Regelungen der GewO sowie den Vorgaben des Kreditwesengesetzes (KWG), welches u.a. die Erlaubniserteilung für Kreditinstitute und Wertpapierfirmen regelt.

Dir gute Nachricht ist, dass bereits nach der GewO erlaubte Finanzanlagenvermittler keine neue Erlaubnis beantragen müssen. Ihre Erlaubnis gilt weiterhin. Der Gesetzentwurf führt nicht dazu, dass Finanzanlagenvermittler, die momentan unter einer bestehenden Gewerbeerlaubnis handeln, nochmal eine WpHG-Erlaubnis beantragen müssten. Vielmehr sehen Übergangsregelungen vor, dass die WpHG-Erlaubnis als erteilt gilt, soweit bis Ende 2020 eine Eintragung in das Vermittlerregister besteht und sie innerhalb eines halben Jahres nach Aufforderung durch die BaFin die in dem Gesetzentwurf aufgezählten Unterlagen sowie eine Selbsterklärung vorlegen. Kommen die Vermittler dem nicht nach, erlischt ihre Erlaubnis und sie muss neu beantragt werden.

Kompetenzen der BaFin und Selbsterklärungspflicht für Finanzanlagenvermittler

Dass der Gesetzgeber es mit der Aufsicht der BaFin künftig ernst meint, zeigen die neuen Regelungen des Gesetzentwurfs bzgl. der Kompetenzen der BaFin als Aufsichtsbehörde und daraus folgende Anzeigepflichten für die Finanzanlagenvermittler. Zur Überprüfung der Einhaltung der aufsichtsrechtlichen Pflichten kann die BaFin ohne besonderen Anlass Prüfungen anordnen; nach den bisherigen Regelungen waren Finanzanlagenvermittler grundsätzlich verpflichtet, für jedes Kalenderjahr einen Prüfungsbericht vorzulegen. Nunmehr kann die BaFin nach eigenem Ermessen und eigener Risikobewertung Prüfungen anordnen und ist dabei an keinen Turnus gebunden.

Damit die BaFin die risikoorientierte und anlassbezogene Aufsicht durchführen kann, muss sie über grundlegende und aktuelle Informationen zu den von ihr beaufsichtigten Vermittlern verfügen. Deshalb sieht der Gesetzentwurf eine jährlichen Selbsterklärung der Finanzanlagenvermittler mit wichtigen Parametern ihrer Geschäftstätigkeit vor.

Schärfere Aufsicht für sog. Vertriebsgesellschaften

Neu sind auch Regelungen für sog. Vertriebsgesellschaften. Diese werden in dem Gesetzentwurf legal definiert und erfassen Finanzanlagenvermittler, die als Handelsvertreter an Finanzanlagenvermittler angegliedert sind oder die über vertraglich verbundene Dienstleister verfügen. Vertriebsgesellschaften werden so regulatorisch von den zahlreichen auf dem Markt vorhandenen Kleinunternehmern abgegrenzt.

Aufgrund ihrer Größe und Bedeutung knüpft der Gesetzentwurf mehr regulatorische Pflichten an die Vertriebsgesellschaft als an Finanzanlagenvermittler. Vertriebsgesellschaften bedürfen z.B. einer erweiterten Erlaubnis und müssen der BaFin im Rahmen des Erlaubnisverfahrens mehr Unterlagen übermitteln und z.B. auch Auskunft über bedeutende Beteiligungen an der Vertriebsgesellschaft, der Geschäftsführung und der Organisation übermitteln. Sie müssen die Unterlagen der BaFin bis spätestens Mitte 2021 unaufgefordert vorlegen, um im Rahmen der Übergangsregelung keine neue Erlaubnis beantragen zu müssen.

Zudem sind verstärkte Organisationspflichten vorgesehen, die an die Vorgaben für Wertpapierfirmen und den Regelungen des KWG angelehnt sind. So werden etwa Geschäftsleiter stärker in die Verantwortung genommen und die Vertriebsgesellschaft muss sicherstellen, dass sie über angemessene Vorkehrungen verfügt, die die Kontinuität der Erbringung der Dienstleistung sicherstellt (z.B. Notfallpläne) oder Sicherheitsmechanismen geschaffen hat, die die Datenvertraulichkeit gewährleisten. Und schließlich stehen der BaFin auch mehr Prüfungskompetenzen zu; anstatt wie bei den Finanzdienstleistern ohne festen Turnus risikoorientiert zu prüfen, überprüft die BaFin bei Vertriebsgesellschaften die Einhaltung der aufsichtsrechtlichen Anforderungen einmal jährlich.

Zuwiderhandlung kann teuer werden

Schließlich sieht der Gesetzentwurf auch neue Bußgeldvorschriften vor, die den Regelungen für Wertpapierfirmen entsprechen. Werden aufsichtsrechtliche Anforderungen nicht erfüllt, können Bußgelder von bis zu 5 Millionen Euro oder bis zu 10% des Umsatzes fällig werden (zur verschärften Verwaltungspraxis der BaFin bei Bußgeldern siehe hier.

Was sollten Marktteilnehmer also beachten?

Auch wenn es sich bei dem Gesetzentwurf zunächst nur um einen Entwurf der zuständigen Referenten handelt, ist nicht zu erwarten, dass die endgültige Gesetzesfassung wesentliche Änderungen erfahren wird. Finanzanlagevermittler und Vertriebsgesellschaften sollten daher sicherstellen, dass sie von den Übergangsregelungen profitieren, ins Vermittlerregister eingetragen sind und der BaFin alle erforderlichen Unterlagen rechtzeitig und vollständig zur Verfügung stellen. Zudem sollte die Übergangszeit genutzt werden und frühzeitig mit der Implementierung der neuen aufsichtsrechtlichen Vorgaben begonnen werden.

Generell sollten sich Marktteilnehmer außerdem auf eine im Vergleich zu den Gewerbeämtern und Industrie- und Handelskammern stringentere Aufsicht durch die BaFin einstellen. Das muss für die Marktteilnehmer aber kein Nachteil sein; zeigt man entsprechende Bereitschaft, die aufsichtsrechtlichen Vorgaben zu erfüllen, ist die BaFin ein durchaus verlässlicher Partner.

Nachhaltigkeit bleibt Thema – BaFin veröffentlicht Aufsichtsschwerpunkte für das Jahr 2020

Wie jedes Jahr zu Jahresbeginn hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) auch Anfang Januar 2020 ihre Aufsichtsschwerpunkte veröffentlicht. Marktteilnehmer können sich so frühzeitig auf den aufsichtsrechtlichen Fokus in der Verwaltungspraxis der BaFin einstellen.

Die diesjährigen Schwerpunkte der BaFin sind:

  • Digitalisierung
  • Integrität des Finanzsystems
  • Nachhaltigkeit

Digitalisierung

Im Jahr 2020 wird die BaFin im Bereich der Digitalisierung Schwerpunkte in drei Bereichen setzen. Im Bereich Big Data und künstliche Intelligenz soll Markteilnehmern mehr Rechtssicherheit beim Einsatz dieser Technologien verschafft werden, indem die Aufsicht prinzipienbasiert den Handlungsrahmen für beaufsichtigte Unternehmen vorgibt. Im Bereich Distributed-Ledger-Technologie, virtuellen Währungen und Initial Coin Offering wird mit der Umsetzung der Fünften EU-Geldwäscherichtlinie der erlaubnispflichtige Tatbestand des Kryptoverwahrgeschäfts etabliert und eine neue Kategorie von Finanzinstrumenten in das Kreditwesengesetz (KWG) eingeführt. Außerdem wird die BaFin die IT- und Cybersicherheit der Unternehmen weiterhin verstärkt prüfen. Der Verbraucher- und Anlegerschutz ist dabei stets im Fokus der Aufsicht.

Integrität des Finanzsystems

Wenig überraschend wird auch in diesem Jahr die Integrität des Finanzsystems betont. Hier ist vor allem Geldwäscheprävention ein Thema. Die BaFin wird allgemein strenger bestehende Präventionsmaßnahmen der von ihr beaufsichtigten Institute prüfen. Ein spezielles Augenmerk im Bereich der Geldwäscheprävention wird die BaFin bei der Verbreitung von Kryptowerten legen. Mit ihrer Verbreitung steigen auch damit verbundene Geldwäscherisiken, insbesondere, weil sich Zahlungsflüsse dann nicht mehr so einfach nachvollziehen lassen. Daher wird die BaFin vermehrt analysieren, in welcher Art und in welchem Umfang Geschäfte mit Kryptowährungen abgewickelt werden.

Nachhaltigkeit

Bereits mit der Veröffentlichung ihres Merkblatts zum Umgang mit Nachhaltigkeitsrisiken kurz vor Weihnachten hat die BaFin deutlich gemacht, dass sie Nachhaltigkeitsrisiken künftig stärker in den Fokus nehmen wird, ohne durch das Merkblatt rechtliche Vorgaben machen zu wollen (darüber hatten wir hier bereits berichtet). Nachhaltigkeitsrisiken sollen zukünftig systematisch in das Risikomanagement integriert werden. Das Merkblatt gibt Anregungen, wie das aus Sicht der BaFin gelingen kann.

Ergänzend zu den Bemühungen um eine Förderung des nachhaltigen Finanzmarkts auf europäischer Ebene hebt die BaFin im Bereich der Nachhaltigkeit zwei Punkte hervor. Zum wird sie in ihrer Verwaltungspraxis künftig verstärkt auf nachhaltige Geschäftsmodelle schauen. Aufgrund des aktuellen Niedrigzinsumfelds, sich eintrübender Konjunkturprognosen und weiteren Herausforderungen, wie z.B. der digitale Wandel, müssen Institute besonders widerstands- und tragfähig sein. Deshalb wird die BaFin einen Fokus auf die Angemessenheit des Risikomanagements legen. Zum anderen wird ein Schwerpunkt im Bereich nachhaltige Finanzwirtschaft und Sustainable Finance liegen.

Vorbereitung der Aufsicht über die Finanzanlagenvermittler

Die BaFin, die ab 1. Januar 2021 die Aufsicht über die Finanzanlagenvermittler übernehmen wird, bereitet sich im Bereich der Wertpapieraufsicht bereits auf dieses neue Betätigungsfeld vor, um eine reibungslose Übernahme der Aufsicht von den Ordnungs- und Gewerbeämtern zu gewährleisten.

Brexit Update: What Happened So Far

The last year of the old decade brought so many twists and turns on the subject of Brexit that one could easily lose track. Hence, our first blogpost of the new decade will shed some light on the current Brexit situation and the next steps currently planned by British and European politicians. As always, we will focus in particular on the effects on the financial market.

Current Situation: What Will Happen Now?

Since the British Parliament approved Johnson´s Brexit deal in December 2019, the UK will leave on 31 January 2020. An 11-month transition phase will then come into force: the UK will remain in the EU single market and the customs union until the end of 2020. During this period everything will remain mostly the same for the time being.

During the transition period, the EU and the UK will have to reorganise their relations with each other, with future economic relations as well as security and defence cooperation being key issues. First of all, a comprehensive Free Trade Agreement is to be concluded, which can above all prevent customs duties at the borders. But other economic areas, such as the financial market in particular, must also be regulated, either as part of the Free Trade Agreement (which would be unusual from a legal perspective) or through a separate agreement.

11 months are a short time and one may have doubts as to whether this time will be sufficient. The European Commission is already considering equivalence assessments for the financial market. However, there will be not ONE equivalent decision (see here) for an earlier analysis of the equivalence principle of the EU). There are currently around 40 equivalence areas which need to be assessed in each case. Most equivalence decisions provide for prudential benefits, some provide for burden reduction and some can lead to market access. There will also have to be close cooperation between the UK and EU financial supervisory authorities. During the assessment process the EU will look at UK legislation and supervision and will take a risk-based approach – as for all other third countries. This means that the higher the possible impact on the EU market, the more granular will the assessment be conducted. In case the UK will stick with the current EU regulation, this will be an easier task. But as soon as the UK will break new ground to make the UK financial market more attractive the impact on the equivalent status will need to be considered.

It can be assumed that the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdiensteistungsaufsicht – BaFin) and the other European financial supervisory authorities will monitor the negotiations regarding a financial market agreement very closely during the transition phase and will adapt and communicate their intentions for action accordingly.

To Be Continued

Although a hard Brexit has been avoided, there will still be uncertainties about future relations between the EU and the UK. Financial market participants should follow the negotiations between the EU and the UK closely and not rely on the fact that a financial market agreement can be concluded successfully in the short transition period.

BaFin veröffentlicht endgültige Fassung der KAIT

Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 02. April 2019 die Konsultation ihres Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) durchführte, wurde am 01. Oktober 2019 die endgültige Fassung des Rundschreibens veröffentlicht.

Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation von Kapitalverwaltungsgesellschaften (KVG), soweit sie sich auf die technisch-organisatorische Ausstattung, und damit auch auf die IT-Systeme, der KVGen beziehen. Mit den KAIT verfolgt die BaFin das Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu schärfen. Denn die IT ist die Basisinfrastruktur für sämtliche Prozesse in den KVGen, hat damit eine zentrale Bedeutung für deren Geschäftsbetrieb und stellt ein relevantes operationelles Risiko dar. Ausführliche Erläuterungen zu dem Inhalt des Rundschreibens finden Sie in unserem früheren Blogbeitrag.

Endgültige Fassung der KAIT: Was besonders wichtig ist

Was ist nun also aus der endgültigen Fassung der KAIT als besonders wichtig hervorzuheben?

  1. Die in den Mindestanforderungen an das Risikomanagement von KVGen (KAMaRisk) enthaltenen Anforderungen an die IT bleiben von den KAIT unberührt und werden durch sie konkretisiert. Daher bleiben die KVGen jenseits der Konkretisierungen der KAIT nach den Regelungen der KAMaRisk verpflichtet, bei der Ausgestaltung der IT-Prozesse (Hardware- und Software Komponenten) und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen bspw. die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik und der internationalen Sicherheitsstandard ISO/IEC 270XX der International Organization for Standardization.
  2. Die Vorgaben der KAIT sind prinzipienorientiert und lassen damit Raum für eine Aufsichtspraxis, die die Größe und die individuellen Geschäftsmodelle der KVGen berücksichtigt (Proportionalitätsgrundsatz). Das heißt aber nicht nur, dass den KVGen Erleichterungen hinsichtlich der Anforderungen der KAIT zukommen können. Vielmehr bedeutet ein sachgerechter Umgang mit prinzipienorientierten Anforderungen und dem Proportionalitätsgrundsatz auch, dass die KVGen im Einzelfall über die in der KAIT formulierten Anforderungen hinaus weitergehende Vorkehrungen treffen müssen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit der technisch-organisatorischen Ausstattung und  des Risikomanagements der KVG erforderlich sein sollte.
  3. Die Geschäftsleitung der KVG hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, zu überprüfen und regelmäßig anzupassen. Aufzunehmen ist z.B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation, die Entwicklung der Auslagerungen von IT-Dienstleistungen, die Einbindung der Informationssicherheit in die Organisation sowie Aussagen zum Notfallmanagement und zu den in den Fachbereichen selbst entwickelten IT-Systemen.
  4. Da keine neuen Anforderungen kodifiziert werden, sondern lediglich vorhandene Anforderungen verschriftlicht wurden, gilt die KAIT unmittelbar, also ohne Übergangsvorschriften. Die BaFin wird im Hinblick auf die Umsetzung der KAIT ihre Aufsicht jedoch, wie bei neuen regulatorischen Implementierungsanforderungen gewohnt, ihre Aufsicht mit Augenmaß führen. KVGen sollten aber dennoch zeitnah mit der Umsetzung der Anforderungen der KAIT beginnen.
  5. Im Rahmen der Jahresabschlussprüfungen 2020 werden die Vorgaben der Verordnung über den Gegenstand der Prüfung und die Inhalte der Prüfungsberichte für externe Kapitalverwaltungsgesellschaften, Investmentaktiengesellschaften, Investmentkommanditgesellschaften und Sondervermögen (KAPrüfBV) unter Einbeziehung der KAIT Berücksichtigung finden; die besonderen Anforderungen der KAIT also einer Prüfung durch den Abschlussprüfer unterliegen.

Konkreter Handlungsbedarf für KVGen

Welcher Handlungsbedarf ergibt sich nun aus der endgültigen Fassung der KAIT für KVGen? Da das Rundschreiben unmittelbar gilt, sollten KVGen zügig mit der Erstellung einer Gap-Analyse und der Errichtung eines angemessenen Projektzeitplans, der ausgehend von Umfang und Komplexität der anstehenden Arbeiten eine zügige Implementierung der KAIT sicherstellt, beginnen. Dies wird der erste aufsichtliche Fokus der BaFin im Rahmen ihrer Überwachung der Implementierung der KAIT sein. In einem zweiten Schritt wird dann die inhaltlich korrekte Umsetzung der KAIT im Fokus der Aufsicht stehen.

Diese Handlungsschritte werden bei den KVGen zwar Ressourcen binden; dies wird aber dadurch gerechtfertigt, dass die Anforderungen der KAIT einer kontinuierlichen und störungsfreien Erbringung der Dienstleistungen der KVG und damit letztlich dem Anlegerschutz dienen.

Europäische Kommission konsultiert im Rahmen der Basel-III-Reformen auch Nachhaltigkeitsfragen

Die Basel-III-Reformen, die eine Überarbeitung der Aufsichtsstandards für bestimmte Risiken angestoßen haben, sind bereits zu großen Teilen durch die als CCR/CRD IV und CRR II/CRD V bekannten Gesetzespakete umgesetzt. Ziel ist die Schaffung der Standards für ein widerstandfähiges Bankensystem das gleichzeitig den Bedürfnissen der Realwirtschaft gerecht wird. Mit einer vollständigen Umsetzung des Baseler Reformpaketes ist bis Januar 2022 zu rechnen.

Ein Teil, der noch in das Reformpaket eingehen wird, bezieht sich auf die Nachhaltigkeit der Finanzwirtschaft.

Bereits im Rahmen der letzten Überprüfung der CRR/CRD haben die gesetzgebenden Organe das Pariser Übereinkommen über den Klimawandel und seine Auswirkungen auf die aufsichtsrechtliche Regulierung thematisiert und sich auf drei Maßnahmen für eine nachhaltige Finanzierung geeinigt:

  1. Die EBA erhält ein Mandat dafür, die Einbeziehung von Umwelt-, Sozial- und Governance-Risiken (ESG-Risiken) in den Prozess der aufsichtlichen Überprüfung und Bewertung zu bewerten und der Kommission, dem Europäischen Parlament und dem Rat einen Bericht über ihre Ergebnisse vorzulegen; auf der Grundlage der Ergebnisse ihres Berichts kann die EBA gegebenenfalls Leitlinien für die einheitliche Einbeziehung von ESG-Risiken in den Prozess der aufsichtlichen Überprüfung und Bewertung herausgeben;
  2. Große börsennotierte Institute sind zur Offenlegung von ESG-Risiken, einschließlich physischer Risiken und Übergangsrisiken verpflichtet; und
  3. Die EBA erhält ein weiteres Mandat dafür, auf der Grundlage der verfügbaren Daten und der Ergebnisse der hochrangigen Sachverständigengruppe der EU zum Thema Nachhaltiges Finanzwesen zu bewerten, ob eine gezielte aufsichtliche Behandlung von Risiken im Zusammenhang mit Vermögenswerten oder Tätigkeiten, die im Wesentlichen mit ökologischen und/oder sozialen Zielen verbunden sind, gerechtfertigt wäre.

Die Kommission hat außerdem bereits eine Studie über die Entwicklung von Instrumenten und Mechanismen für die Integration von ESG-Risiken in das Risikomanagement, die Geschäftsstrategien und die Anlagepolitik der Institute in Auftrag gegeben, deren endgültige Ergebnisse aber erst Anfang 2021 erwartet werden.

Während die Taxonomie-Verordnung weiter verhandelt wird (darüber haben wir hier bereits berichtet), konsultiert die Europäische Kommission nun noch bis zum 10. Januar 2020 öffentlich, welche weiteren Maßnahmen zu den bereits Laufenden ergriffen werden könnten, um ESG-Risiken in die aufsichtsrechtliche Regulierung einzubeziehen (Frage 191 der Konsultation.) Besonders aufgefordert zu einer Stellungnahme sind Instituten, Bankenverbänden und anderen Finanzdienstleistern, Bankkunden, Verbrauchervertretern sowie Behörden, einschließlich Aufsichtsbehörden.

Fazit

Wenn die Nachhaltigkeitsfragen im Rahmen der Basel-III-Reformen auch keinen großen Raum einnehmen, so sind sie doch politisches Thema, an dem derzeit kein Weg vorbeiführt. Das ist nur konsequent und richtig, wenn eine regulatorische Grundlage für ein nachhaltiges Finanzwesen geschaffen werden soll.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 3: Was der Schutz elektronischer Daten mit dem Finanzaufsichtsrecht zu tun hat

Diese Woche werfen wir noch einmal einen Blick auf die künftige ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dienen soll. Wir hatte bereits in Teil 1 dieser Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet und erklärt, was die ePrivacy-Verordnung ist. In Teil 2 ging es darum, welche Daten überhaupt geschützt sind und wen die neue Verordnung konkret betrifft.

Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus Übergangsvorschriften bis 2022. Dennoch lohnt es sich, sich frühzeitig mit den Auswirkungen der ePrivacy-Vorgaben auf den Finanzmarkt auseinanderzusetzen. Eine gute Vorbereitung kann am Ende viel Zeit und Geld sparen. Darum betrachtet dieser dritte Teil unserer Reihe zur ePrivacy-Verordnung die Frage, was das alles mit dem Finanzaufsichtsrecht zu tun hat.

ePrivacy und Finanzaufsichtsrecht

Was auf den ersten Blick nicht richtig zusammen passen mag, macht auf den zweiten Blick durchaus Sinn. Denn immer mehr Bank-, Finanz- und Zahlungsdienstleistungen verlagern sich in die digitale Welt. Das gilt für Bankdienstleistungen (z.B. das Online-Banking) und Finanzdienstleistungen (z.B. Robo Advice oder automatisierte Portfolioverwaltung), vor allem aber für die zahlreichen Bezahldienste wie z.B. SOFORT Überweisung, die als Zahlungsauslösedienste seit der zweiten Zahlungsdienstrichtlinie (PSD2) reguliert sind. Immer wenn ein solcher Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung in Zukunft geschützt werden.

Um es etwas anschaulicher zu machen, sollen im Folgenden am Beispiel der Zahlungsauslösedienste die Pflichten aus der ePrivacy-Verordnung exemplarisch dargestellt werden, die für das Finanzaufsichtsrecht relevant werden können.

Zahlungsauslösedienste als regulierte Zahlungsdienste

Seit der Umsetzung der PSD2 in das deutsche Zahlungsdiensteaufsichtsgesetz (ZAG) sind auch sog. Zahlungsauslösedienste reguliert. Ein Zahlungsauslösedienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstenutzers (also z.B. desjenigen, der eine Ware oder Dienstleistung im Internet kauft) ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird. Der Nutzer kann den Dienst in der Regel über eine Webseitenoberfläche oder über eine App nutzen. Der Zahlungsauslösedienst stößt den Zahlungsvorgang bei der Bank des Kunden an. Er steht insofern zwischen der Autorisierung des Zahlungsvorganges durch den Kunden und seiner Bank. Der Vorteil ist, dass damit dem Zahlungsempfänger (also z.B. dem Händler, der seine Ware im Internet anbietet) zeitnah die Gewissheit darüber gegeben wird, dass der Zahlungsauftrag von seinem Kunden an dessen Bank übermittelt wurde. Das kann den Zahlungsempfänger dazu veranlassen, die Ware oder die Dienstleistung unverzüglich freizugeben.

Wie in unserem letzten Beitrag erklärt, fallen elektronische Kommunikationsdienste, elektronische Kommunikationsdaten und –inhalte unter die ePrivacy-Verordnung.

Bezahldienste als elektronische Kommunikationsdienste

Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Unabhängig davon, ob der Nutzer seine Daten auf einer Webseitenoberfläche oder in einer App eingibt; sie werden in beiden Fällen an den entsprechenden Empfänger als Signale übertragen und stellen von der ePrivacy-Verordnung geschützte elektronische Daten dar.

Bezahldaten als elektronische Kommunikationsdaten und -inhalte

Elektronische Kommunikationsdaten sind Kommunikationsdaten, die mittels elektronischer Kommunikationsdienste übermittelt werden. Die Informationen, die der Nutzer in die Oberfläche eingibt, wie den Namen des Zahlungsempfängers oder den Zahlungsbetrag, liegen den Kommunikationsdaten zugrunde und stellen elektronische Kommunikationsinhalte dar.

Und damit sind Zahlungsdienstleister sehr schnell direkt von der ePrivacy-Verordnung betroffen.

Was bedeutet das? Welche Pflichten nach der ePrivacy-Verordnung kommen auf die Zahlungsdienstleister zu?

Für die Zahlungsauslösedienste als Adressaten der ePrivacy-Verordnung gelten dann vor allem zwei Dinge:

Elektronische Kommunikationsdaten dürfen sie nur dann verarbeiten, wenn das entweder zur Durchführung oder Übermittlung der Kommunikation oder zur Fehlererkennung o.ä. nötig ist. Die den elektronischen Kommunikationsdaten zugrunde liegenden elektronischen Kommunikationsinhalte, also die Informationen, die der Endnutzer über den anzustoßenden Bezahlvorgang offenlegt, dürfen im Wesentlichen nur dann verarbeitet werden, wenn die Verarbeitung dem alleinigen Zweck der Bereitstellung des Zahlungsauslösedienstes für den Endnutzer dient, er eingewilligt hat und der Zahlungsauslösedienst ohne die Verarbeitung dieser Inhalte nicht erbracht werden könnte.

Daneben werden die Zahlungsauslösedienste auch die Regelungen zu Cookies und Direktwerbung (zumindest indirekt) treffen. Nimmt der Endnutzer etwa entsprechende Einstellungen bei seinem Browser vor, wird ein Tracking des Surfverhaltens des Nutzers nicht mehr ohne Weiteres möglich sein. Gleiches gilt für Werbung via E-Mail oder Telefon: Auch diese steht unter der Grundvoraussetzung, dass der Endnutzer seine Einwilligung dazu erteilt hat.

Für die entsprechende Einwilligung des Endnutzers sind die bereits jetzt geltenden, in der DSGVO aufgestellten Grundsätze zu beachten. Die Einwilligung muss insbesondere freiwillig und unmissverständlich sein, sie muss für einen bestimmten Zweck abgegeben worden sein, dem Endnutzer muss ein Recht zum Widerruf eingeräumt werden und der Zahlungsauslösedienst muss nachweisen können, dass der Endnutzer eine Einwilligung erteilt hat.

Fazit

Durch die ePrivacy-Verordnung werden zusätzliche Anforderungen an den Schutz elektronischer Daten erhoben, die die Regelungen der DSGVO ergänzen. Soll die Verarbeitung elektronischer Daten zulässig sein, muss in den meisten Fällen daher vor allem die Einwilligung des Endnutzers eingeholt werden. Dafür sind die entsprechenden technischen und organisatorischen Anforderungen zu schaffen. Auch die Verwendung von Cookies und das Zusenden von Direktwerbung wird zukünftig wesentlich von der Einwilligung des Endnutzers abhängen. Das gilt nicht nur für die exemplarisch dargestellten Zahlungsauslösedienste, sondern auch für andere Zahlungsdienstleister, Finanzdienstleistungsinstitute und Banken, sobald sie elektronische Daten übertragen und verarbeiten wollen.