BaFin veröffentlicht endgültige Fassung der KAIT

Nachdem die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 02. April 2019 die Konsultation ihres Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) durchführte, wurde am 01. Oktober 2019 die endgültige Fassung des Rundschreibens veröffentlicht.

Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation von Kapitalverwaltungsgesellschaften (KVG), soweit sie sich auf die technisch-organisatorische Ausstattung, und damit auch auf die IT-Systeme, der KVGen beziehen. Mit den KAIT verfolgt die BaFin das Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu schärfen. Denn die IT ist die Basisinfrastruktur für sämtliche Prozesse in den KVGen, hat damit eine zentrale Bedeutung für deren Geschäftsbetrieb und stellt ein relevantes operationelles Risiko dar. Ausführliche Erläuterungen zu dem Inhalt des Rundschreibens finden Sie in unserem früheren Blogbeitrag.

Endgültige Fassung der KAIT: Was besonders wichtig ist

Was ist nun also aus der endgültigen Fassung der KAIT als besonders wichtig hervorzuheben?

  1. Die in den Mindestanforderungen an das Risikomanagement von KVGen (KAMaRisk) enthaltenen Anforderungen an die IT bleiben von den KAIT unberührt und werden durch sie konkretisiert. Daher bleiben die KVGen jenseits der Konkretisierungen der KAIT nach den Regelungen der KAMaRisk verpflichtet, bei der Ausgestaltung der IT-Prozesse (Hardware- und Software Komponenten) und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen bspw. die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik und der internationalen Sicherheitsstandard ISO/IEC 270XX der International Organization for Standardization.
  2. Die Vorgaben der KAIT sind prinzipienorientiert und lassen damit Raum für eine Aufsichtspraxis, die die Größe und die individuellen Geschäftsmodelle der KVGen berücksichtigt (Proportionalitätsgrundsatz). Das heißt aber nicht nur, dass den KVGen Erleichterungen hinsichtlich der Anforderungen der KAIT zukommen können. Vielmehr bedeutet ein sachgerechter Umgang mit prinzipienorientierten Anforderungen und dem Proportionalitätsgrundsatz auch, dass die KVGen im Einzelfall über die in der KAIT formulierten Anforderungen hinaus weitergehende Vorkehrungen treffen müssen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit der technisch-organisatorischen Ausstattung und  des Risikomanagements der KVG erforderlich sein sollte.
  3. Die Geschäftsleitung der KVG hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen, zu überprüfen und regelmäßig anzupassen. Aufzunehmen ist z.B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation, die Entwicklung der Auslagerungen von IT-Dienstleistungen, die Einbindung der Informationssicherheit in die Organisation sowie Aussagen zum Notfallmanagement und zu den in den Fachbereichen selbst entwickelten IT-Systemen.
  4. Da keine neuen Anforderungen kodifiziert werden, sondern lediglich vorhandene Anforderungen verschriftlicht wurden, gilt die KAIT unmittelbar, also ohne Übergangsvorschriften. Die BaFin wird im Hinblick auf die Umsetzung der KAIT ihre Aufsicht jedoch, wie bei neuen regulatorischen Implementierungsanforderungen gewohnt, ihre Aufsicht mit Augenmaß führen. KVGen sollten aber dennoch zeitnah mit der Umsetzung der Anforderungen der KAIT beginnen.
  5. Im Rahmen der Jahresabschlussprüfungen 2020 werden die Vorgaben der Verordnung über den Gegenstand der Prüfung und die Inhalte der Prüfungsberichte für externe Kapitalverwaltungsgesellschaften, Investmentaktiengesellschaften, Investmentkommanditgesellschaften und Sondervermögen (KAPrüfBV) unter Einbeziehung der KAIT Berücksichtigung finden; die besonderen Anforderungen der KAIT also einer Prüfung durch den Abschlussprüfer unterliegen.

Konkreter Handlungsbedarf für KVGen

Welcher Handlungsbedarf ergibt sich nun aus der endgültigen Fassung der KAIT für KVGen? Da das Rundschreiben unmittelbar gilt, sollten KVGen zügig mit der Erstellung einer Gap-Analyse und der Errichtung eines angemessenen Projektzeitplans, der ausgehend von Umfang und Komplexität der anstehenden Arbeiten eine zügige Implementierung der KAIT sicherstellt, beginnen. Dies wird der erste aufsichtliche Fokus der BaFin im Rahmen ihrer Überwachung der Implementierung der KAIT sein. In einem zweiten Schritt wird dann die inhaltlich korrekte Umsetzung der KAIT im Fokus der Aufsicht stehen.

Diese Handlungsschritte werden bei den KVGen zwar Ressourcen binden; dies wird aber dadurch gerechtfertigt, dass die Anforderungen der KAIT einer kontinuierlichen und störungsfreien Erbringung der Dienstleistungen der KVG und damit letztlich dem Anlegerschutz dienen.

Europäische Kommission konsultiert im Rahmen der Basel-III-Reformen auch Nachhaltigkeitsfragen

Die Basel-III-Reformen, die eine Überarbeitung der Aufsichtsstandards für bestimmte Risiken angestoßen haben, sind bereits zu großen Teilen durch die als CCR/CRD IV und CRR II/CRD V bekannten Gesetzespakete umgesetzt. Ziel ist die Schaffung der Standards für ein widerstandfähiges Bankensystem das gleichzeitig den Bedürfnissen der Realwirtschaft gerecht wird. Mit einer vollständigen Umsetzung des Baseler Reformpaketes ist bis Januar 2022 zu rechnen.

Ein Teil, der noch in das Reformpaket eingehen wird, bezieht sich auf die Nachhaltigkeit der Finanzwirtschaft.

Bereits im Rahmen der letzten Überprüfung der CRR/CRD haben die gesetzgebenden Organe das Pariser Übereinkommen über den Klimawandel und seine Auswirkungen auf die aufsichtsrechtliche Regulierung thematisiert und sich auf drei Maßnahmen für eine nachhaltige Finanzierung geeinigt:

  1. Die EBA erhält ein Mandat dafür, die Einbeziehung von Umwelt-, Sozial- und Governance-Risiken (ESG-Risiken) in den Prozess der aufsichtlichen Überprüfung und Bewertung zu bewerten und der Kommission, dem Europäischen Parlament und dem Rat einen Bericht über ihre Ergebnisse vorzulegen; auf der Grundlage der Ergebnisse ihres Berichts kann die EBA gegebenenfalls Leitlinien für die einheitliche Einbeziehung von ESG-Risiken in den Prozess der aufsichtlichen Überprüfung und Bewertung herausgeben;
  2. Große börsennotierte Institute sind zur Offenlegung von ESG-Risiken, einschließlich physischer Risiken und Übergangsrisiken verpflichtet; und
  3. Die EBA erhält ein weiteres Mandat dafür, auf der Grundlage der verfügbaren Daten und der Ergebnisse der hochrangigen Sachverständigengruppe der EU zum Thema Nachhaltiges Finanzwesen zu bewerten, ob eine gezielte aufsichtliche Behandlung von Risiken im Zusammenhang mit Vermögenswerten oder Tätigkeiten, die im Wesentlichen mit ökologischen und/oder sozialen Zielen verbunden sind, gerechtfertigt wäre.

Die Kommission hat außerdem bereits eine Studie über die Entwicklung von Instrumenten und Mechanismen für die Integration von ESG-Risiken in das Risikomanagement, die Geschäftsstrategien und die Anlagepolitik der Institute in Auftrag gegeben, deren endgültige Ergebnisse aber erst Anfang 2021 erwartet werden.

Während die Taxonomie-Verordnung weiter verhandelt wird (darüber haben wir hier bereits berichtet), konsultiert die Europäische Kommission nun noch bis zum 10. Januar 2020 öffentlich, welche weiteren Maßnahmen zu den bereits Laufenden ergriffen werden könnten, um ESG-Risiken in die aufsichtsrechtliche Regulierung einzubeziehen (Frage 191 der Konsultation.) Besonders aufgefordert zu einer Stellungnahme sind Instituten, Bankenverbänden und anderen Finanzdienstleistern, Bankkunden, Verbrauchervertretern sowie Behörden, einschließlich Aufsichtsbehörden.

Fazit

Wenn die Nachhaltigkeitsfragen im Rahmen der Basel-III-Reformen auch keinen großen Raum einnehmen, so sind sie doch politisches Thema, an dem derzeit kein Weg vorbeiführt. Das ist nur konsequent und richtig, wenn eine regulatorische Grundlage für ein nachhaltiges Finanzwesen geschaffen werden soll.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 3: Was der Schutz elektronischer Daten mit dem Finanzaufsichtsrecht zu tun hat

Diese Woche werfen wir noch einmal einen Blick auf die künftige ePrivacy-Verordnung, das nächste große Datenschutzprojekt der EU, das dem Schutz elektronischer Daten dienen soll. Wir hatte bereits in Teil 1 dieser Beitragsreihe die gesellschaftlichen und rechtlichen Hintergründe der ePrivacy-Verordnung beleuchtet und erklärt, was die ePrivacy-Verordnung ist. In Teil 2 ging es darum, welche Daten überhaupt geschützt sind und wen die neue Verordnung konkret betrifft.

Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus Übergangsvorschriften bis 2022. Dennoch lohnt es sich, sich frühzeitig mit den Auswirkungen der ePrivacy-Vorgaben auf den Finanzmarkt auseinanderzusetzen. Eine gute Vorbereitung kann am Ende viel Zeit und Geld sparen. Darum betrachtet dieser dritte Teil unserer Reihe zur ePrivacy-Verordnung die Frage, was das alles mit dem Finanzaufsichtsrecht zu tun hat.

ePrivacy und Finanzaufsichtsrecht

Was auf den ersten Blick nicht richtig zusammen passen mag, macht auf den zweiten Blick durchaus Sinn. Denn immer mehr Bank-, Finanz- und Zahlungsdienstleistungen verlagern sich in die digitale Welt. Das gilt für Bankdienstleistungen (z.B. das Online-Banking) und Finanzdienstleistungen (z.B. Robo Advice oder automatisierte Portfolioverwaltung), vor allem aber für die zahlreichen Bezahldienste wie z.B. SOFORT Überweisung, die als Zahlungsauslösedienste seit der zweiten Zahlungsdienstrichtlinie (PSD2) reguliert sind. Immer wenn ein solcher Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung in Zukunft geschützt werden.

Um es etwas anschaulicher zu machen, sollen im Folgenden am Beispiel der Zahlungsauslösedienste die Pflichten aus der ePrivacy-Verordnung exemplarisch dargestellt werden, die für das Finanzaufsichtsrecht relevant werden können.

Zahlungsauslösedienste als regulierte Zahlungsdienste

Seit der Umsetzung der PSD2 in das deutsche Zahlungsdiensteaufsichtsgesetz (ZAG) sind auch sog. Zahlungsauslösedienste reguliert. Ein Zahlungsauslösedienst ist ein Dienst, bei dem auf Veranlassung des Zahlungsdienstenutzers (also z.B. desjenigen, der eine Ware oder Dienstleistung im Internet kauft) ein Zahlungsauftrag in Bezug auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto ausgelöst wird. Der Nutzer kann den Dienst in der Regel über eine Webseitenoberfläche oder über eine App nutzen. Der Zahlungsauslösedienst stößt den Zahlungsvorgang bei der Bank des Kunden an. Er steht insofern zwischen der Autorisierung des Zahlungsvorganges durch den Kunden und seiner Bank. Der Vorteil ist, dass damit dem Zahlungsempfänger (also z.B. dem Händler, der seine Ware im Internet anbietet) zeitnah die Gewissheit darüber gegeben wird, dass der Zahlungsauftrag von seinem Kunden an dessen Bank übermittelt wurde. Das kann den Zahlungsempfänger dazu veranlassen, die Ware oder die Dienstleistung unverzüglich freizugeben.

Wie in unserem letzten Beitrag erklärt, fallen elektronische Kommunikationsdienste, elektronische Kommunikationsdaten und –inhalte unter die ePrivacy-Verordnung.

Bezahldienste als elektronische Kommunikationsdienste

Elektronische Kommunikationsdienste sind gewöhnlich gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen. Unabhängig davon, ob der Nutzer seine Daten auf einer Webseitenoberfläche oder in einer App eingibt; sie werden in beiden Fällen an den entsprechenden Empfänger als Signale übertragen und stellen von der ePrivacy-Verordnung geschützte elektronische Daten dar.

Bezahldaten als elektronische Kommunikationsdaten und -inhalte

Elektronische Kommunikationsdaten sind Kommunikationsdaten, die mittels elektronischer Kommunikationsdienste übermittelt werden. Die Informationen, die der Nutzer in die Oberfläche eingibt, wie den Namen des Zahlungsempfängers oder den Zahlungsbetrag, liegen den Kommunikationsdaten zugrunde und stellen elektronische Kommunikationsinhalte dar.

Und damit sind Zahlungsdienstleister sehr schnell direkt von der ePrivacy-Verordnung betroffen.

Was bedeutet das? Welche Pflichten nach der ePrivacy-Verordnung kommen auf die Zahlungsdienstleister zu?

Für die Zahlungsauslösedienste als Adressaten der ePrivacy-Verordnung gelten dann vor allem zwei Dinge:

Elektronische Kommunikationsdaten dürfen sie nur dann verarbeiten, wenn das entweder zur Durchführung oder Übermittlung der Kommunikation oder zur Fehlererkennung o.ä. nötig ist. Die den elektronischen Kommunikationsdaten zugrunde liegenden elektronischen Kommunikationsinhalte, also die Informationen, die der Endnutzer über den anzustoßenden Bezahlvorgang offenlegt, dürfen im Wesentlichen nur dann verarbeitet werden, wenn die Verarbeitung dem alleinigen Zweck der Bereitstellung des Zahlungsauslösedienstes für den Endnutzer dient, er eingewilligt hat und der Zahlungsauslösedienst ohne die Verarbeitung dieser Inhalte nicht erbracht werden könnte.

Daneben werden die Zahlungsauslösedienste auch die Regelungen zu Cookies und Direktwerbung (zumindest indirekt) treffen. Nimmt der Endnutzer etwa entsprechende Einstellungen bei seinem Browser vor, wird ein Tracking des Surfverhaltens des Nutzers nicht mehr ohne Weiteres möglich sein. Gleiches gilt für Werbung via E-Mail oder Telefon: Auch diese steht unter der Grundvoraussetzung, dass der Endnutzer seine Einwilligung dazu erteilt hat.

Für die entsprechende Einwilligung des Endnutzers sind die bereits jetzt geltenden, in der DSGVO aufgestellten Grundsätze zu beachten. Die Einwilligung muss insbesondere freiwillig und unmissverständlich sein, sie muss für einen bestimmten Zweck abgegeben worden sein, dem Endnutzer muss ein Recht zum Widerruf eingeräumt werden und der Zahlungsauslösedienst muss nachweisen können, dass der Endnutzer eine Einwilligung erteilt hat.

Fazit

Durch die ePrivacy-Verordnung werden zusätzliche Anforderungen an den Schutz elektronischer Daten erhoben, die die Regelungen der DSGVO ergänzen. Soll die Verarbeitung elektronischer Daten zulässig sein, muss in den meisten Fällen daher vor allem die Einwilligung des Endnutzers eingeholt werden. Dafür sind die entsprechenden technischen und organisatorischen Anforderungen zu schaffen. Auch die Verwendung von Cookies und das Zusenden von Direktwerbung wird zukünftig wesentlich von der Einwilligung des Endnutzers abhängen. Das gilt nicht nur für die exemplarisch dargestellten Zahlungsauslösedienste, sondern auch für andere Zahlungsdienstleister, Finanzdienstleistungsinstitute und Banken, sobald sie elektronische Daten übertragen und verarbeiten wollen.

Aktuelle Entwicklungen der Bußgelder in der aufsichtsrechtlichen Praxis

Kreditwesengesetz (KWG), Zahlungsdiensteaufsichtsgesetz (ZAG), Wertpapierhandelsgesetz (WpHG), Kapitalanlagegesetz (KAGB) etc.; egal um welche gesetzlichen Regelungen des Finanzmarktaufsichtsrecht es sich handelt, sie enthalten in der Regel Bußgeldvorschriften, mittels derer Verstöße gegen aufsichtsrechtliche Verpflichtungen seitens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) geahndet werden können. In der Vergangenheit waren die Bußgelder betragsmäßig von den Betroffenen durchaus zu verschmerzen, sodass den Bußgeldern nicht gerade der Ruf eines ’scharfen Schwertes‘ anhaftete. Doch nunmehr verhängt die BaFin zumindest in der Wertpapieraufsicht deutlich höhere Bußgelder als in den Vorjahren.

Die Hintergründe dieser Entwicklungen in der aufsichtsrechtlichen Praxis wollen wir in diesem Beitrag näher beleuchten.

Die Bußgeldentwicklung in 2019

Laut BaFin beliefen sich die festgesetzten Bußgelder Ende August 2019 bereits auf 6,7 Mio. Euro, nachdem sie 2017 und 2018 zusammengenommen 11,9 Mio. Euro betrugen. Davon entfielen alleine 2,4 Mio. Euro auf Unternehmen, die Stimmrechtsmitteilungspflichten nach dem WpHG verletzt haben. Und die BaFin geht davon aus, dass die Höhe der Bußgelder noch weiter steigen wird.

Trendwende kam aus Europa

Den rechtlichen Grundstein für die Trendwende hin zu höheren Bußgeldern hat der europäische Gesetzgeber gelegt, indem er die Obergrenze der möglichen Bußgelder erhöht hat und die nationalen Aufsichtsbehörden seitdem vor allem auch den Konzernumsatz heranziehen können, wenn sie eine Geldbuße festsetzen. Daraus können sich dann für die Unternehmen durchaus schmerzhafte Beträge ergeben. So sieht das KWG bspw. Bußgelder in einer Höhe bis zu 10% des Gesamtumsatzes vor. Effiziente Compliance Systeme, deren Einhaltung überwacht und kontrolliert werden, gewinnen dadurch gleich deutlich an (finanzieller) Attraktivität, denn sie können einen wesentlichen Beitrag dazu leisten, dass es erst gar nicht zu Verstößen kommt, die von der BaFin mit einem Bußgeld geahndet werden.

Besteht die Möglichkeit, sich mit der BaFin zu verständigen?

Doch auch wenn das interne Compliance System versagt hat oder es aus anderen Gründen zu einer Bußgeldverhängung der BaFin kommt; grundsätzlich besteht die Möglichkeit, sich als betroffenes Unternehmen mit der BaFin zu verständigen. 2019 geschah dies immerhin in 64% der geahndeten Sachverhalte; in 36% der Fälle erging hingegen ein Bußgeld. Attraktiv ist das sog. Settlement für die betroffenen Unternehmen vor allem, weil das Bußgeld um bis zu 30% geringer ausfallen kann. Umsonst gibt es den Rabatt allerdings nicht. Vielmehr gelten auch beim Settlement rechtsstaatliche Grundsätze: Das Unternehmen muss den Verstoß gegen aufsichtsrechtliche Vorschriften nachweislich begangen haben. Zudem muss es den ihm vorgeworfenen Verstoß anerkennen und die Geldbuße akzeptieren. Ein weiterer Grundsatz der BaFin ist, dass sie nicht mit den Unternehmen handelt. Details zum Settlement hat die BaFin in einem eigenen Merkblatt zusammengefasst, das hier abrufbar ist.

Was ist Marktteilnehmern also zu raten?

Vorsorge ist die beste Sorge – Finanzmarktunternehmen sollten sich um effiziente Compliance Regelungen bemühen und diese intern auch effektiv durchsetzen, um zu vermeiden, dass es überhaupt zu einem ahndungsbedürftigen Verstoß kommt. Ist es doch einmal soweit, ist man – wie meistens – gut beraten, mit der BaFin zu kooperieren und ein Settlement Verfahren anzustrengen. Denn die aktuellen Entwicklungen lassen erkennen, dass die BaFin den ihr vom Gesetzgeber zugedachten Rahmen der möglichen Bußgeldhöhe durchaus bereit ist auszuschöpfen.

Stresstest als Messinstrument für Nachhaltigkeitsrisiken für Versicherer

Nachhaltigkeit, ESG, sustainable finance, das Thema Klimawandel und seine Auswirkungen auf die Wirtschaft ist in aller Munde. Es ist gerade auch für die Versicherungsbranche sehr relevant. Dabei geht es vor allem um die Risiken, die sich für die Versicherer aufgrund der unmittelbaren und mittelbaren Auswirkungen des Klimawandels ergeben. Sobald sich solche Risiken verwirklichen, kostet es die Versicherungen viel Geld.

Doch um welche Risiken geht es hier genau? Wie wirken sich diese konkret auf die Versicherer aus? Und wie können Versicherer diese bewerten und sich vorbereiten? Die BaFin erklärt im BaFin Journal für Oktober 2019  wie spezielle Stresstests zeigen können, wie sich der Klimawandel auf die Kapitalanlagen von Versicherungen auswirkt.

Klimarisiken für Versicherer

Welche klimawandelbedingten Risiken entstehen überhaupt für die Versicherungsunternehmen? Bei dieser Frage ist sowohl zwischen sog. physischen Risiken und Transitionsrisiken als auch danach zu unterscheiden, ob sich die Klimarisiken auf die Aktiv- oder die Passivseite der Bilanz des Versicherungsunternehmens auswirken.

Unter physischen Risiken versteht man sowohl einzelne Extremwetterereignisse und deren Folgen (z.B. Dürreperioden, Stürme, Waldbrände, Überflutungen) als auch die langfristige Veränderung klimatischer und ökologischer Bedingungen (z.B. Meeresspiegelanstieg, Übersäuerung und Vermüllung der Ozeane). Transitionsrisiken hingegen gehen mit der Umstellung auf eine kohlenstoffarme Wirtschaft einher. So können z.B. politische Maßnahmen dazu führen, dass sich fossile Energieträger verknappen oder verteuern.

Daneben ist zu unterscheiden, ob die Klimarisiken das Versicherungsunternehmen auf der Aktiv- oder der Passivseite seiner Bilanz treffen. Die Passivseite ist betroffen, wenn das Versicherungsunternehmen von ihren Versicherten wegen klimabedingter Versicherungsfälle in Anspruch genommen wird. Klassisches Beispiel ist die Inanspruchnahme aufgrund von Schäden, die z.B. durch Überschwemmungen oder Sturmereignissen an Immobilien hervorgerufen werden. Je häufiger und stärker solche Extremwetterphänomene auftreten, desto öfter werden Versicherte ihre Versicherung auch in Anspruch nehmen müssen. Je öfter das geschieht, desto häufiger muss die Versicherung einspringen, desto mehr Zahlungsverpflichtungen treffen sie, desto stärker ist die Passivseite ihrer Bilanz belastet.

Aber auch die Aktivseite, also die Kapitalanlagen des Versicherungsunternehmens, kann von Klimarisiken betroffen sein. Auch hier dient das Beispiel von Überschwemmungs- und Sturmschäden an Immobilien aufgrund zunehmender Extremwetterereignisse als Veranschaulichung. Die aus einem solchen Naturereignis resultierenden Schäden können schnell eine erhebliche Beeinträchtigung der Mieter der Immobilien herbeiführen. Ist die Immobilie im Eigentum des Versicherungsunternehmens, sind die Mieteinnahmen beeinträchtigt. Ist das Versicherungsunternehmen mittelbar in die Immobilie investiert, z.B. über Fonds oder über Aktien an einem Immobilienunternehmen, entstehen Auswirkungen auf die Rendite.

Wie also ist umzugehen mit den Risiken?

Eine Möglichkeit für Versicherungsunternehmen, ihre umweltbezogenen Risiken besser identifizieren, bewerten, überwachen, steuern und kontrollieren zu können, ist der Einsatz von Klimastresstests. Stresstests funktionieren so, dass sie bestimmte Szenarien abbilden und dann geprüft wird, wie das Unternehmen darauf reagiert. Damit können die Auswirkungen der Stressszenarien schon vor ihrem Eintritt antizipiert werden und das Unternehmen sich entsprechend auf den Fall des Eintritts vorbereiten.

Als Beispiel können die Stresstests dienen, die Banken durchführen müssen, um Auswirkungen bestimmter Szenarien (z.B. Währungsturbulenzen, hohe Kreditausfallquote, Wirtschaftskrisen etc.) auf die Bestands- und Risikotragfähigkeit des Instituts beurteilen zu können. Auch im Fondsbereich kennt man Stresstests; Kapitalverwaltungsgesellschaften sind verpflichtet, Liquiditätsstresstests durchzuführen, um antizipieren zu können, welche Folgen bestimmte Stressszenarien auf die Liquiditätslage der von ihnen verwalteten Fonds haben (mehr dazu finden Sie hier).

Nach dem gleichen Prinzip können daher auch Stresstest für Klimarisiken funktionieren. Das Versicherungsunternehmen gibt bestimmte Klimastressszenarien vor (Dürreperioden, Stürme, Waldbrände, Überflutungen etc.) und prüft, wie sich der Eintritt solcher Stressszenarien auf ihre Passivseite, aber vor allem auch auf ihre Kapitalanlagen auf der Aktivseite ihrer Bilanz auswirken würden.

Da die Unternehmen selbst für ihr Risikomanagement verantwortlich sind, stehen sie in der Pflicht zu prüfen, ob unternehmensspezifische Stresstests die wesentlichen Klimarisiken in geeigneter Weise abbilden können. Sie müssen Methoden und Instrumente eigenständig weiterentwickeln, damit diese Nachhaltigkeitsrisiken dauerhaft abbilden. Laut einer Umfrage der BaFin, sind Klimastresstests noch nicht flächendeckend in der Versicherungsbranche verbreitet. Von den Erst- und Rückversicherungsunternehmen in Deutschland sowie den Einrichtungen der betrieblichen Altersvorsorge, die unter der Aufsicht der BaFin stehen, verwenden nach Aussage der BaFin erst etwa sechs Prozent Klimastresstests im Kapitalanlage-Risikomanagement. Viele nutzen dabei Analyseinstrumente externer Anbieter an oder kombinieren eigene mit externen Instrumenten.

Was bedeutet das für die Zukunft?

Wie der Banken- und Fondsbereich zeigt, sind Stresstest ein wirksames und gutes Instrument, Risiken konkret zu antizieren und sich als Unternehmen entsprechend auf ihren Eintritt vorzubereiten. Das gilt auch für Versicherungsunternehmen. Auch auf europäischer Ebene werden Stresstests im Versicherungsbereich diskutiert. Die EIOPA hat bereits im Juli 2019 ein Diskussionspapier veröffentlicht und darin konsultiert, welche methodischen Grundlagen bei Stresstests von Versicherungen herangezogen werden sollen. Die Konsultation lief bis 18. Oktober 2019.

Wie überall momentan beim Thema Klimawandel, Nachhaltigkeitsrisiken und ESG liegt das Hauptproblem der Unternehmen aber darin, dass es noch keine verbindlichen regulatorischen Vorschriften gibt, was z.B. genau unter Nachhaltigkeit zu verstehen ist. So kommen unterschiedliche Anbieter von Stresstests oder Unternehmen mit unterschiedlichen Methoden und Ansätzen zu unterschiedlichen Ergebnissen.

Aber gesetzliche Regelungen, die Abhilfe schaffen, sind schon auf dem Weg. Die Taxonomie-Verordnung z.B., die eine verbindliche Definition von Nachhaltigkeit festlegen wird, wird zur Zeit in den Trilog-Verhandlungen auf europäischer Ebene diskutiert. Vor 2021 wird es aber wohl keine bindenden gesetzlichen Vorgaben geben, sodass es bis dahin auch bei den unterschiedlichen Methoden und Ergebnissen der Klimastresstests bleiben wird.

Auch die BaFin wird sich aber weiterhin dem Thema annehmen, sich mit Klimastresstests auseinandersetzen und im Dialog mit der Branche bleiben. Ihr Merkblatt zum Umgang mit Nachhaltigkeitsrisiken behandelt Stresstest ist einem eigenen Kapitel und wird derzeit konsultiert (mehr zu dem BaFin Merkblatt finden Sie hier).

Das Merkblatt der BaFin zur Nachhaltigkeit – Eine Einordnung

Am 24. September 2019 veröffentlichte die BaFin die Konsultation eines Merkblatts zum Umgang mit Nachhaltigkeitsrisiken.

Das Merkblatt ist 33 Seiten lang, soll für alle drei Aufsichtsbereiche gelten und macht den Anschein, als hätte sich die BaFin damit viel Mühe gegeben. Auf Nachfrage äußern Mitarbeiter der BaFin, dass das Merkblatt, wenn es einmal final ist, nicht rechtlich bindend sei. Und auch in der Vorrede wird ausführlich erläutert, dass es sich um ein Kompendium von Good-Practices, das unter Berücksichtigung des Proportionalitätsprinzips in den beaufsichtigten Unternehmen Anwendung finden soll, handele. Es soll eine sinnvolle Ergänzung zu den Mindestanforderungen an das Risikomanagement (MaRisk) sein.

Wie ist das Merkblatt also rechtlich einzuordnen?

Im Moment ist es lediglich eine Äußerung der BaFin, die hierin ihre eigenen Ideen einer möglichen künftigen Verwaltungspraxis niederlegt. Der Verweis auf die MaRisk, die die Verwaltungspraxis der BaFin offenlegt, zeigt, dass hier nicht ein völlig unverbindliches Dokument erstellt wurde. Sicher dient die Marktbefragung auch dazu, das Verständnis der Finanzbranche im Umgang mit Nachhaltigkeitsrisiken zu erweitern.

Derzeit gibt es noch keine rechtlich bindenden Vorgaben, wie der Umgang mit dem Thema Nachhaltigkeit in der Finanzbranche aussehen soll. Das Thema ist in ganz Europa auf der politischen Agenda. Und auch die BaFin hat immer wieder öffentlich geäußert, dass sie einen bewussten Umgang mit Nachhaltigkeitsrisiken als Teil des Risikomanagements etwa bei Kreditinstituten erwartet.

Die EU Transparenz-Verordnung, die die Offenlegung von Informationen über nachhaltige Investitionen und Nachhaltigkeitsrisiken regelt, ist bereits final, aber noch nicht in Kraft. Die Taxonomie-Verordnung wird zur Zeit in den Trilog-Verhandlungen auf europäischer Ebene diskutiert. Vor 2021 wird es sicher keine bindenden gesetzlichen Vorgaben geben.

Das Merkblatt ist nicht dazu gedacht, das derzeit bestehende rechtliche Vakuum zu füllen. Aber es regt an, sich mit dem Thema auseinanderzusetzen – weil dazu rechtliche Vorgaben kommen werden. Und zwar in allen drei Aufsichtsbereichen der BaFin – Banken/Finanzdienstleistungen, Versicherungen und Kapitalverwaltungsgesellschaften.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 1: Nach der DSGVO ist vor ePrivacy!

Die Verordnung über Privatsphäre und elektronische Kommunikation (sog. ePrivacy-Verordnung)  sollte eigentlich zusammen mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten. Momentan befindet sie sich aber noch im europäischen Gesetzgebungsverfahren, die Zustimmung des EU-Parlaments steht noch aus. Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus voraussichtlich eine Übergangsfrist bis 2022.

Da die ePrivacy-Verordnung aber einen größeren Einschnitt im Datenschutz bringen wird als die DSGVO, die den Markt relativ überraschend traf, wollen wir schon mal einen Blick auf das werfen, was die ePrivacy-Verordnung bringen wird.

Die ePrivacy-Verordnung soll die bisherige e-Datenschutz-Richtlinie ersetzen, die in Deutschland vor allem im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt wurde. Als Verordnung ist die neue Datenschutzregelung unmittelbar geltendes Recht in allen EU-Mitgliedstaaten und gewährleistet dadurch einen einheitlichen Regelungsrahmen. Inhaltlich schützt die ePrivacy-Verordnung vor allem Daten, die bei der Nutzung neuerer Kommunikationsdienste wie z.B. Instant-Messaging-Dienste, webgestützte E-Mail Dienste, Internettelefonie und Personal-Messaging entstehen, während die bisherige e-Datenschutz-Richtlinie nur herkömmliche Telekommunikationsanbieter wie z.B. SMS erfasst. Da immer mehr Zahlungs-und Finanzdienstleistungen auf neuen, digitalen Wegen angeboten werden, wird sich auch die Finanzdienstleistungsbranche mit den Regelungen der ePrivacy-Verordnung auseinander setzen müssen. Da sich die EU-Mitgliedstaaten bis heute nicht auf eine gemeinsame Position hinsichtlich des finalen Vorschlags des Europäischen Parlaments und des Rates vom 10. Januar 2017 (abrufbar hier) geeinigt haben, können die Trilog-Verhandlungen zwischen der Europäischen Kommission, dem Rat und dem Parlament nicht beginnen und das Vorhaben verzögert sich weiter.

Diese Zeit wollen wir nutzen und in einer mehrteiligen Beitragsreihe die ePrivacy-Verordnung und ihre Auswirkungen im Finanzaufsichtsrecht vorstellen. Dieser Beitrag ist der Auftakt und beleuchtet die rechtlichen und gesellschaftlichen Hintergründe der ePrivacy-Verordnung sowie ihr Verhältnis zur DSGVO.

Rechtlicher Hintergrund der ePrivacy-Verordnung

Um den digitalen Binnenmarkt zu stärken, will die EU das Vertrauen von Bürgern und Unternehmen in digitale Dienste und deren Sicherheit erhöhen. Dafür sind umfassende Datenschutzregelungen – wie z.B. die ePrivacy-Verordnung – unerlässlich. Ihren rechtlichen Ursprung hat diese in Artikel 7 der Charta der Grundrechte der Europäischen Union, der das Grundrecht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation enthält. Die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Grundrechts. Denn vor allem die elektronische Kommunikation kann hochsensible Daten über die daran beteiligten Personen offenlegen, von persönlichen Erlebnissen, Gefühlen und Erkrankungen bis hin zu politischen Überzeugungen oder Zahlungsgewohnheiten.

Gleiches gilt auch für die Metadaten der elektronischen Kommunikation wie beispielsweise angerufene Nummern, besuchte Websites, geographischer Standort, Uhrzeit, Datum oder Dauer eines getätigten Anrufs. All diese Daten lassen präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen, z.B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten, ihren Lebensalltag, ihre Interessen und ihren Geschmack zu. Elektronische Kommunikation kann zudem auch Informationen über juristische Personen wie Geschäftsgeheimnisse oder andere sensible Informationen offenlegen, die einen wirtschaftlichen Wert haben.

Unterschiedliche Resonanz bei Verbrauchern und Unternehmen

Angesichts der Sensibilität persönlicher elektronischer Daten und jüngster Datenskandale wie dem Facebook-Cambridge Analytica Skandal, mit dem bekannt wurde, dass personenbezogene Daten von Millionen Facebook-Profilen ohne Zustimmung der betroffenen Personen gesammelt und für politische Zwecke verwendet wurden, ist es nicht verwunderlich, dass sich gerade Verbraucher einen stärkeren Schutz ihrer persönlichen elektronischen Daten wünschen.

In der Begründung des finalen Entwurfs der ePrivacy-Verordnung sind Ergebnisse einer öffentlichen Konsultationen der Europäischen Kommission vom 12. April bis 05. Juli 2016 veröffentlicht.1 Darin sehen 83,4% der teilnehmenden Bürger, Verbraucherschutzverbände und Organisationen der Zivilgesellschaft die Notwendigkeit besonderer Vorschriften für die Vertraulichkeit elektronischer Kommunikationsdaten, während 63,4% der teilnehmenden Unternehmen dem nicht zustimmten. Auch die Ausweitung des Datenschutzes auf neue Kommunikationsdienste wie Instant-Messaging oder VoIP-Telefonie stimmten 76% der Bürger zu, während nur 36,2% der Unternehmen eine solche Ausweitung befürworteten. 

Dass EU-Bürger ein erhöhtes Bedürfnis nach dem Schutz ihrer elektronischen Daten haben, ergibt sich auch aus einer EU-weiten Eurobarometer-Umfrage, die zum Thema Privatsphäre durchgeführt wurde.2 Darin erklärten 78% der Befragten, dass sie es für sehr wichtig halten, dass auf persönliche Daten auf ihrem Computer, Smartphone oder Tablet nur mit ihrer Einwilligung zugegriffen werden kann. 72% halten es für sehr wichtig, dass die Vertraulichkeit ihrer E-Mails und Online-Sofortnachrichten gewährleistet ist und 89% stimmten der Option zu, dass die Standardeinstellungen ihres Browsers eine Weitergabe ihrer Informationen verhindern sollte.

Verhältnis zur DSGVO

Um dem erhöhten Bedürfnis nach dem Schutz von Daten, die bei der Nutzung moderner Kommunikationsmittel und –dienste entstehen, zu entsprechen, ergänzt und präzisiert die ePrivacy-Verordnung  die Regelungen der DSGVO als lex specialis im Hinblick auf elektronische Kommunikationsdaten. Während die DSGVO sich auf den Schutz personenbezogener Daten beschränkt, schütz die ePrivacy-Verordnung umfassend elektronische Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Alle Fragen der Verarbeitung personenbezogener Daten, die in dem Vorschlag zur ePrivacy-Verordnung nicht spezifisch geregelt sind, werden weiterhin von der DSGVO erfasst. Anders formuliert bedeutet das, dass die DSGVO für Daten relevant ist, wenn sie als solche dem Daten-Endnutzer vorliegen, während sich die ePrivacy-Verordnung um den Weg der Daten zu dem Daten-Endnutzer kümmert.

Ausblick

Allein an dem Regelungsumfang der ePrivacy-Verordnung wird deutlich, dass diese große Auswirkungen auf das digitale Finanzdienstleistungsangebot haben wird. Mehr dazu gibt es demnächst hier auf dem Blog. 


1 Der vollständige Bericht ist abrufbar unter https://ec.europa.eu/digital-single-market/news-redirect/37204.

2 Eurobarometer-Umfrage 443 zum Thema „ePrivacy“ (SMART 2016/079), abrufbar unter https://ec.europa.eu/digital-single-market/en/news/eurobarometer-eprivacy.

NGFS Bericht: Klimawandel als Risikofaktor der Finanzwirtschaft – Zentralbanken und Aufsichtsbehörden sollten sich vorbereiten

Der Klimawandel ist in aller Munde. Er wird viele Lebensbereiche betreffen und auch vor der Finanzwirtschaft nicht Halt machen. Aber wie könnten die Auswirkungen des Klimawandels in der Finanzwelt genau aussehen? Wie sollten sich Zentralbanken und Aufsichtsbehörden auf diese Risiken im Rahmen ihrer Aufsichtspraxis vorbereiten? Und was bedeutet das für Marktteilnehmer? Diese Fragen haben wir uns genauer angeschaut.

Der Klimawandel birgt Risiken für die Finanzwirtschaft. Aber auch Chancen?

Die Auswirkungen des Klimawandels in der Finanzwelt werden vielschichtig und komplex sein. Immer häufigere und extremere Wetterphänomene können zum Beispiel dazu führen, dass Versicherungen mehr und höhere Versicherungsschäden ausgleichen müssen. Dafür werden sie den Versicherten höhere Versicherungsprämien in Rechnung stellen, wodurch Privathaushalte und Unternehmen zusätzlich finanziell belastet werden. Dies kann zu einer Verringerung der Schuldenrückzahlungsfähigkeit von privaten oder gewerblichen Kreditnehmern führen, was wiederum das Kreditrisiko für Banken erhöhen kann. Extreme Wetterphänomene können zudem auch die Zerstörung oder Wertminderung von Vermögenswerten (z.B. Immobilien) zur Folge haben, die als Kreditsicherheit den Banken zur Verfügung gestellt werden. Das kann Banken dazu veranlassen, ihre Kreditvergabe einzuschränken und die für den Wiederaufbau in den von den Wetterphänomenen betroffenen Gebieten verfügbaren Mittel zu kürzen.

Auch wird eine ganz grundsätzliche Umstellung der (Real-)Wirtschaft hin zu weniger Treibhausgasen erforderlich sein. Das wird nicht ohne Investitionen gehen, die ein großes Potential für die Finanzwirtschaft entfalten können. So hat z.B. allein die EU eine jährliche Investitionslücke von fast 180 Mrd. EUR identifiziert, um ihre Klima- und Energieziele zu erreichen. 1 Die OECD schätzt, dass zur Erreichung des 2-Grad-Ziels die Finanzierung und Refinanzierung von Anleihen in den Bereichen erneuerbare Energien, Energieeffizienz und emissionsarme Fahrzeuge das Potenzial haben, bis 2035 jährlich 620 bis 720 Mrd. USD an Emissionen und 4,7 bis 5,6 Billionen USD an ausstehenden Wertpapieren zu erreichen. 2 Finanzmarktteilnehmer können also durchaus auch Geld mit den bevorstehenden Herausforderungen des Klimawandels verdienen.

Mit all diesen Zukunftsszenarien müssen sich auch Zentralbanken und Aufsichtsbehörden beschäftigen. Denn sie üben zum einen die regulatorische Aufsicht über das Finanzsystem als solches aus, zum anderen haben sie aber auch über die sich darin bewegenden Marktteilnehmer im Blick, die ganz unmittelbar von den Auswirkungen der Klimarisiken betroffen sein werden. Wie sollten sich die Regulatoren also vorbereiten?

NGFS: A call for action für Zentralbanken und Aufsichtsbehörden

Zu dieser Frage hat das Central Banks and Supervisors Network for Greening the Financial System (NGFS) im April 2019 seinen ersten Bericht “A call for action: climate change as a source of financial risks” veröffentlicht (abrufbar hier) und darin Zentralbanken und Aufsichtsbehörden zu konkretem Handeln aufgerufen. Das 2017 gegründete NGFS besteht aus nationalen Zentralbanken, nationalen und internationalen Aufsichtsbehörden und internationalen Organisationen (frühere Blogbeiträge zum NGFS finden Sie hier). In dem aktuellen Bericht gibt das Netzwerk Zentralbanken und Aufsichtsbehörden vier Handlungsempfehlungen, die diesen dabei helfen sollen, die Risiken, die sich aus dem Klimawandel bzw. dem Erfordernis einer nachhaltigen Wirtschaft für die Finanzwelt ergeben können, besser zu verstehen und in ihrer Aufsichtspraxis berücksichtigen zu können:

  1. Integration klimabezogener Risiken in die Überwachung der Finanzstabilität
    Finanzmarktteilnehmer sollten u.a. klimabedingte Risiken in ihr Risikomanagement mit einbeziehen und bei Investitionsentscheidungen berücksichtigen.
     
  2. Berücksichtigung von Nachhaltigkeitsfaktoren im eigene Portfoliomanagement Zentralbanken sollten den Marktteilnehmern mit guten Beispiel voran gehen und Nachhaltigkeitsfaktoren im Rahmen der Verwaltung vorhandenen Portfolios (Eigenmitteln, Pensionsfonds und Rückstellungen) einbeziehen.
     
  3. Schließung von Datenlücken Daten, die zur Bewertung von Klimarisiken relevant sind, sollten unter den Behörden ausgetauscht und veröffentlicht werden. Gemeinsame Arbeitsgruppen sollten eingerichtet werden.
     
  4. Sensibilisierung, technische Hilfe und Wissensaustausch
    Zentralbanken, Aufsichtsbehörden und Finanzinstitute sollten interne Kapazitäten aufbauen und innerhalb ihrer Institute, sowie untereinander zusammenzuarbeiten, um ein besseres Verständnis dafür aufzubauen, wie sich klimabedingte Faktoren in finanzielle Chancen und Risiken umwandeln können.

Um die Zentralbanken und Aufsichtsbehörden mit angemessenen Tools auszustatten, mittels derer sie die oben genannten Empfehlungen umsetzen können, besteht noch einiger Handlungsbedarf. Das NGFS plant u.a. (i) den Entwurf eines Handbuchs für Zentralbanken und Aufsichtsbehörden, (ii) Leitlinien zur Szenario-basierten Risikoanalyse und (iii) best practices für die Einbeziehung von Nachhaltigkeitskriterien in die eigenen Portfolios. Für Marktteilnehmer bedeutet das, dass sie sich darauf einstellen müssen, dass die Themen Klimarisiken und Nachhaltigkeit zukünftig nicht nur bei Anlegern, sondern auch bei der Aufsicht immer mehr in den Fokus rücken wird.

Was passiert in Deutschland?

Die BaFin beschäftigt sich bereits intensiv mit dem Thema Nachhaltigkeit. Schon jetzt gibt es Aussagen, dass Nachhaltigkeitskriterien Teil des Risikomanagements sein sollen. Dieser Aspekt wird in den kommenden Monaten sicher auch rechtlich noch konkretisiert werden müssen, um Wirkung zu zeigen.

1 European Commission, Action Plan: Financing Sustainable Growth, 2018.
2 OECD, Mobilising Bond Markets for a Low-Carbon Transition, Paris, 2017.

Der Vertrieb von Fondsanteilen und MiFID-Pflichten

Kapitalverwaltungsgesellschaften (KVGen) treffen zum Vertrieb ihrer Fondsprodukte regelmäßig Vertriebsvereinbarungen mit Finanzanlagenvermittlern, die unter einer Gewerbeerlaubnis nach § 34 f GewO tätig werden. KVGen können sich dadurch ein breites Vertriebsnetz sichern. Der Beratungs- bzw. Vermittlungsvertrag wird dann unmittelbar zwischen dem potentiellen Anleger und dem Finanzanlagenvermittler geschlossen.

Die folgende Grafik veranschaulicht am Beispiel der Anlageberatung und unter Berücksichtigung des Entwurfs der neuen FinVermV, welche regulatorischen Pflichten der Zweiten Finanzmarktrichtlinie (MiFID II) die KVG und welche der Finanzanlagenvermittler in dem Dreiecksverhältnis KVG-Finanzanlagenvermittler-Anleger erfüllen müssen. Erbringt die KVG die Beratungsleistung selbst, trifft sie das volle MiFID II-Programm, wie es das WpHG vorsieht.

In der Grafik wird deutlich, dass die Finanzanlagenvermittler nicht 1:1 die MiFID-Dokumente der KVG verwenden können, weil sie eigene Pflichten gegenüber den beratenen Anlegern haben.

 

Anlageberater und Anlagevermittler: Zwei Aufsichtsregime für dieselbe Tätigkeit

Teil 3: Was verbirgt sich hinter der Geeignetheitsprüfung?

Die neue Finanzanlagenvermittlerverordnung (FinVermV), die voraussichtlich im Juni in Kraft tritt, sieht für Finanzanlagenvermittler nun auch eine Geeignetheitsprüfung vor. Was bedeutet das und deckt sich die Pflicht mit der für volllizenzierte Anlageberater nach dem Kreditwesengesetz (KWG)?

Nachdem Teil 1 die allgemeinen Unterschiede der Aufsicht nach KWG und nach der Gewerbeordnung (GewO) im Überblick dargestellt hat und Teil 2 sich mit der Frage befasst hat, welche MiFID II-Pflichten für welche Anlageberater und wann gelten, werfen wir nun einen genaueren Blick auf die aufsichtsrechtlichen Anforderungen an die Geeignetheits- und Angemessenheitsprüfung, die von den Finanzanlagenvermittlern vor Erbringung der Anlageberatung und Anlagevermittlung konkret durchzuführen sind.

Die Geeignetheits- und Angemessenheitsprüfung gilt für Anlageberater und –vermittler mit KWG-Lizenz schon länger und wurde durch die Regelungen der MiFID II konkretisiert. Die entsprechenden Vorgaben finden sich im Wertpapierhandelsgesetz (WpHG). Die neue FinVermV sieht für die Anlageberatung durch 34f-ler nun ebenfalls eine Geeignetheitsprüfung vor.

Nach dem WpHG müssen Anlageberater vor einer Anlageberatung (und auch vor jeder Finanzportfolioverwaltung) prüfen, ob das empfohlene Finanzinstrument für den jeweiligen Kunden geeignet ist. Geeignet ist es dann, wenn die Anlageempfehlung im Einklang mit den Kundenzielen, seiner Risikotoleranz und Risikotragfähigkeit steht und der Kunde in der Lage ist, mit seinen Kenntnissen und Erfahrungen das Risiko des empfohlenen Finanzinstruments zu verstehen. Diese Informationspflicht führt die neue FinVermV nun auch für Finanzanlagenvermittler mit GewO-Erlaubnis ein. Danach soll es für den Kunden egal sein, wer ihm gegenüber die Anlageberatung erbringt. Denn in jedem Fall wird sein individuelles Anlageziel berücksichtigt. Die BaFin fordert in ihrer Verwaltungspraxis für volllizensierte Anlageberater bei einer beschränkten Produktauswahl eine besonders sorgfältige Geeignetheitsprüfung. Fehlt es in dem angebotenen Portfolio an einem geeigneten Produkt, sollte keine Empfehlung erfolgen. Auch sollte bei einer kontinuierlichen Geschäftsbeziehung die Geeignetheit der Produkte regelmäßig überprüft werden.

In der Praxis ist für die Prüfung der Geeignetheit eines Finanzinstruments die Verwendung eines vorgefertigten Fragebogens zur Einholung der erforderlichen Informationen ratsam. Anhand der gewonnenen Informationen kann dann leicht bestimmt werden, welche Anlagemöglichkeit für den Kunden geeignet ist. Wenn ein Berater die erforderlichen Informationen vom Anleger nicht bekommt und die Geeignetheit nicht bestimmen kann, darf er im Rahmen der Anlageberatung keine Finanzanlage empfehlen.

Auch die Anlagevermittlung darf nicht ohne Prüfung erfolgen

Im Rahmen der Anlagevermittlung ist der Gesetzgeber nicht ganz so streng, sondern erfordert nur eine Angemessenheitsprüfung, mittels derer überprüft werden soll, ob der Kunde anhand seiner Kenntnisse und Erfahrungen die Risiken des Finanzinstruments verstehen kann. Anlageziele und finanzielle Erfahrungen müssen nicht abgefragt werden.. Das gilt sowohl für volllizensierte Anlagevermittler als auch für 34f-ler. Hier bringt die novellierte FinVermV nichts Neues.

Auch hier empfiehlt sich die Verwendung eines vorgefertigten Fragebogens. Gelangt der Vermittler zu der Auffassung, dass die gewünschte Finanzanlage für den Anleger nicht angemessen ist oder erhält er die erforderlichen Informationen vom Anleger nicht, muss dem Anleger gegenüber ein Warnhinweis ausgesprochen werden. Die Vermittlung darf in diesen Fällen dennoch stattfinden.

ESMA Supervisory briefing zur Angemessenheitsprüfung nach der MiFID II

Die Europäische Wertpapier- und Marktaufsichtsbehörde (European Securities and Markets AuthorityESMA) hat zur Angemessenheitsprüfung am 04. April 2019 ein Supervisory briefing veröffentlicht (abrufbar hier). Es richtet sich zwar nur an die nationalen Aufsichtsbehörden unmittelbar, zeigt jedoch die Empfehlungen für die Aufsichtspraxis hinsichtlich der Umsetzung der MiFID-Richtlinie auf, an denen sich die nationalen Aufsichtsbehörden in der Regel orientieren. Deshalb profitieren auch Marktteilnehmer davon, da sie einen Einblick erhalten, welche Maßnahmen zur Einhaltung der aufsichtsrechtlichen Anforderungen der Angemessenheitsprüfung nach MiFID II erforderlich sind.

Das Supervisory briefing gibt den nationalen Behörden Bespielfragen an die Hand, mittels derer sie die Einhaltung der vorgesehenen Standards überprüfen können. Im Einzelnen werden so verschiedene Bereiche präzisiert: die Identifikation von Sachverhalten, in denen eine Angemessenheitsprüfung erforderlich ist, Art und Umfang der Informationen, die das Unternehmen vom Kunden für die Angemessenheitsprüfung einholen muss, inhaltliche Anforderungen an die Angemessenheitsprüfung selbst sowie an die Warnungen, die in bestimmten Fällen gegenüber Kunden ausgesprochen werden müssen.

Die Auslegungsentscheidung der ESMA wird für Finanzanlagenvermittler nicht direkt gelten. Und es ist zu erwarten, dass auch die BaFin hier keine so strengen Anforderungen an Finanzanlagenvermittler, die ja nur ein begrenztes Produktportfolio anbieten, stellt. Insoweit ist auch die Verhältnismäßigkeit zu wahren, die auch von der BaFin berücksichtigt wird. Die einzelnen Finanzanlagenvermittler sollten entsprechend ihrem Geschäftsmodell interne Prozesse für die Geeignetheits- und Angemessenheitsprüfung vorhalten.