Finanzmarktteilnehmer und Finanzberater aufgepasst! Seit dem 10. März ist die Transparenzverordnung umzusetzen

Sie ist, für neue Finanzmarktregulierung ungewöhnlich leise und unscheinbar, dahergekommen: die sog. Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR). Bereits Ende 2019 in Kraft getreten, ist die SFDR nun in wesentlichen Teilen ab 10. März 2021 anzuwenden.

Die SFDR ist Teil des EU Aktionsplans für eine nachhaltige Finanzwirtschaft und verfolgt den Zweck, dem Anleger eine fundierte Informationsgrundlage über die Berücksichtigung von Nachhaltigkeitsrisiken (Environmental, Social and Governance – ESG)  im Rahmen der ihm gegenüber erbrachten Finanzdienstleistung und der ihm angebotenen Produkte zur Verfügung zu stellen, damit er diese in seiner Anlageentscheidung besser und gezielter berücksichtigen kann. Dazu legt sie Finanzmarkteilnehmer und Finanzberatern vielfältige Transparenzpflichten auf, die v.a. durch zahlreiche Veröffentlichungen auf der Homepage, im Rahmen vorvertraglicher Informationen und in regelmäßigen Berichten zu erfüllen sind. Über das neue Pflichtenregime der SFDR haben wir hier und hier bereit ausführlich gebloggt.

Die Erfüllung aller Transparenzpflichten erfordert einen hohen internen Umsetzungs- und Anpassungsaufwand. Manch einer wird überrascht sein – aber ein Vergleich zur MiFID II lässt sich durchaus ziehen.

Besonders herausfordernd ist die praktische Umsetzung der SFDR auch deshalb, weil bislang noch viele der Daten fehlen, die zur Erfüllung der Transparenzpflichten benötigt werden. Ein anschauliches Beispiel: Zukünftig ist der Anleger z.B. für jedes ihm angebotene Fondsprodukt darüber zu informieren, ob und wie in dem Fonds ESG-Risiken berücksichtigt werden. Diese Informationen muss der Portfolioverwalter bzw. Anlageberater im Wege der vorvertraglichen Information zur Verfügung zu stellen. Portfolioverwalter und Anlageberater erstellen diese Informationen aber nicht selbst, sondern sind dafür auf Input der KVGen angewiesen. Und diese benötigen wiederum eine entsprechende Datenbasis, um die erforderlichen Informationen überhaupt bereitstellen zu können. Der Markt wird sich anpassen und entsprechende Daten werden bald verfügbar sein – bis dahin gilt es, die SFDR so gut umsetzen, wie es derzeit eben geht.

Aber da nach der Regulierung vor der Regulierung ist, sind neue Vorgaben dem Thema ESG bereits unterwegs. So hat die EBA etwa Anfang März ihre Implementing Technical Standards on Pillar 3 disclosures of ESG risks zur Konsultation gestellt: große Institute sollen zukünftig Informationen über ihr ESG Exposure und ihre ESG Strategien veröffentlichen – stay tuned!

Update zur Transparenzverordnung: Level 2-Maßnahmen zu nachhaltigkeitsbezogenen Offenlegungspflichten veröffentlicht

Ab dem 10. März diesen Jahres muss die neue Transparenzverordnung (Sustainable Finance Disclosure Regulation – SFDR) von Finanzmarktteilnehmern und Finanzberatern umgesetzt werden. Anleger, die in nachhaltige Finanzprodukte investieren, sollen zukünftig besser informiert werden. Die SFDR beinhaltet die Pflicht zur Offenlegung der wichtigsten nachteiligen Nachhaltigkeitsauswirkungen von Anlageentscheidungen sowie Transparenzpflichten bzgl. nachhaltigkeitsbezogener Finanzprodukte, die von Finanzmarktteilnehmern und Finanzberatern vertrieben werden. Über das Pflichtenprogramm der SFDR haben wir bereits hier ausführlich berichtet. Für einen schnellen Überblick ist auch die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jüngst veröffentlichte Übersichtstabelle zur SFDR nützlich.

Anfang Februar diesen Jahres haben die Europäischen Aufsichtsbehörden (European Supervisory Authorities – ESAs, also ESMA EBA und EIOPA) nun ihren finalen Bericht zu den von ihnen erarbeiteten technischen Regulierungsstandards (Regulatory Technical Standards – RTS) veröffentlicht. Darin werden die Anforderungen der SFDR konkretisiert und definiert, welche Inhalte zu ESG-Standards offengelegt werden müssen, mit welcher Methodik dies geschehen soll und wie sie dargestellt werden. Zudem werden zahlreiche Templates bereitgestellt, die von den Marktteilnehmern zur Erfüllung ihrer Transparenzpflichten genutzt werden können; dies sollte die Umsetzung zumindest in Teilen erleichtern.

Die RTS sollen voraussichtlich ab 01. Januar 2022 gelten. Bereits ab dem 10. März sind aber die Transparenzpflichten der SFDR von Finanzmarkteilnehmern und -beratern umzusetzen. Bis zum Inkrafttreten der RTS sollten sich die Unternehmen nach Ansicht der BaFin daher bei der Umsetzung an den RTS orientieren. Zur Ergänzung der Level 2- RTS wird erwartet, dass es von den ESAs wahrscheinlich in Q3/Q4 2021 Level 3-Guidance geben wird. 

Die RTS werden bei der Umsetzung sicher helfen, doch zeigen sie auch deutlich, welche Informationen zu jedem Finanzprodukt in Zukunft zur Verfügung stehen muss. Und das geht weit über die bisherigen Informationen hinaus und erfordert einen hohen Umsetzungsbedarf. In der Praxis wird eine reine Orientierung an den RTS auch alles sein, was die Institute derzeit leisten können.

Passend dazu hat die BaFin Anfang Februar auch einen aktuellen Überblick zum Thema nachhaltige Finanzwirtschaft veröffentlicht Darin beleuchtet sie die aktuellen Entwicklungen beim Thema Nachhaltigkeit auch außerhalb des Finanzsektors und bezieht aktuelle Entwicklungen wie die Coronakrise mit ein.  

Einführung von elektronischen Wertpapieren in Deutschland

Mit dem Gesetz zur Einführung von elektronischen Wertpapieren (eWpG-E) wird das elektronische Wertpapier Rechtswirklichkeit. Das deutsche Wertpapierrecht und das anwendbare Aufsichtsrecht sollen durch das eWpG-E modernisiert werden. Nach der derzeitigen zivilrechtlichen Rechtslage können Wertpapiere grundsätzlich nur in einer Urkunde verbrieft werden. Mit dem Gesetz über elektronische Wertpapiere (eWpG) soll ermöglicht werden, dass Wertpapiere elektronisch, gegebenenfalls mittels der Blockchain-Technologie, begeben werden können. Damit soll dem Bedürfnis aus der Praxis begegnet werden, Unternehmensfinanzierungen mittels der Begebung von elektronischen Wertpapieren zu realisieren. Mit dem eWpG-E soll das deutsche Recht für innovative Technologien unter Wahrung der Rechtssicherheit geöffnet und damit die Attraktivität des Finanzplatzes Deutschland gestärkt werden. Zudem soll die Verkehrs- und Kapitalmarktfähigkeit von elektronischen Wertpapieren unter Beachtung des Anlegerschutzes gefördert werden. Der Gesetzgeber will einen Rechtsrahmen schaffen, wobei den Emittenten ein Wahlrecht eingeräumt wird, ob und in welchem Umfang sie Wertpapiere mittels Urkunde oder elektronisch begeben.  

Hintergrund

Im März 2019 veröffentlichten das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) und das Bundesministerium der Finanzen (BMF) ein gemeinsames Eckpunktepapier zum Thema regulatorische Behandlung von Wertpapieren und Krypto-Token. Am 18. September 2019 verabschiedete die Bundesregierung die Blockchain-Strategie, wobei die Einführung von elektronischen Wertpapieren dabei einen zentralen Baustein darstellte. Am 11. August 2020 veröffentlichten BMJV gemeinsam mit dem BMF einen ersten Referentenentwurf für das eWpG-E. Am 16. Dezember 2020 wurde der Regierungsentwurf bekannt gemacht. Am 12. Februar 2021 befasste sich der Bundesrat mit dem Regierungsentwurf und verfasste hierzu eine Stellungnahme. Das Gesetz ist auf das Eckpunktepapier und die Blockchain-Strategie zurückzuführen. Der Gesetzesentwurf enthält insbesondere Regelungen zur Rechtsnatur, Entstehung und Übertragung von elektronischen Wertpapieren sowie zu den elektronischen Registern.

Anwendungsbereich

Der Anwendungsbereich ist zunächst nur für Inhaberschuldverschreibungen und im kleineren Umfang für die elektronische Begebung von Inhaber-Anteilsscheinen nach dem Kapitalanlagegesetzbuch (KAGB) eröffnet. Dabei erfolgt die Begebung des elektronischen Wertpapiers, indem statt der Ausstellung einer Urkunde eine Eintragung in ein elektronisches Wertpapierregister bewirkt wird, was eines der wesentlichen Unterschiede zum klassischen zivilrechtlichen Wertpapierrecht darstellt. Gleichwohl tritt laut Gesetzesbegründung anstelle der Publizitätsfunktion durch den Besitz der physischen Urkunde bei Wertpapieren heutzutage faktisch die Publizitätsfunktion von elektronischen Buchungen in den Depotkonten. Dabei wird ein elektronisches Wertpapier als Sache im Sinne des § 90 des Bürgerlichen Gesetzbuches (BGB) behandelt, um den Gleichlauf mit den mittels Papierurkunde begebenen Wertpapieren zu gewährleisten und den Eigentumsschutz zu eröffnen.

Registersysteme

Es sind zwei Registersysteme vorgesehen: ein zentrales Register, das von einem Zentralverwahrer geführt wird, und dezentral geführte Kryptowertpapierregister, die beispielsweise mit Hilfe der Blockchain-Technologie betrieben werden können. Dementsprechend wird zwischen einem Zentralregisterwertpapier (elektronisches Wertpapier, das in ein zentrales Register eingetragen wird) und einem Kryptowertpapier (elektronisches Wertpapier, das in ein Kryptowertpapierregister eingetragen wird) unterschieden.

  1. Zentrales Register

In das zentrale Register erfolgen die Eintragungen von Zentralregisterwertpapieren zu Publizitätszwecken. Zentrale Register können von Wertpapiersammelbanken oder einem Verwahrer geführt werden, sofern der Emittent diesen ausdrücklich dazu ermächtigt. Dabei hat die registerführende Stelle die Pflicht, der Aufsichtsbehörde die Einrichtung eines zentralen Registers vor der Aufnahme der Eintragungstätigkeit anzuzeigen. Weiterhin wird insbesondere geregelt, welchen Inhalt die Registerangaben haben sowie wie die Änderung des Registerinhalts erfolgt. Im Übrigen enthält das eWpG-E eine Verordnungsermächtigung betreffend unter anderem Einrichtung und Führung des Registers, das Verfahren zum Wechsel der Begebungsform, Modalitäten der Anzeige der Einrichtung eines zentralen Registers.

  1. Kryptowertpapierregister

Ein Kryptowertpapierregister ist ein dezentrales, fälschungssicheres Aufzeichnungssystem, in dem Daten in Zeitfolge protokolliert werden und gegen unbefugte Löschung sowie nachträgliche Änderung geschützt sind. Entscheidend ist, dass es trotz der dezentralen Führung des Registers aufgrund der besonderen Aufzeichnung die gleiche Sicherheit für Identität und Authentizität des Wertpapiers gewährleistet wird wie bei einem zentralen Register. Laut Gesetzesbegründung kommt nach dem aktuellen Stand der Technik als Aufzeichnungssystem die Distributed-Ledger-Technologie in Frage, wobei explizit keine Festlegung auf diese Technologie erfolgen soll. Die registerführende Stelle bei Kryptowertpapierregistern wird von dem Emittenten gegenüber dem Inhaber benannt. Wird keine registerführende Stelle benannt, gilt der Emittent als solche. Zudem wird unter anderem Folgendes geregelt: Registerangaben, Änderungen des Registerinhaltes, Veröffentlichung im Bundesanzeiger und Pflichten des Emittenten. Weitere Einzelheiten sollen in einer Verordnung geregelt werden.

Registerwechsel

Ein elektronisches Wertpapier kann durch ein mittels einer Urkunde begebenes Wertpapier ersetzt werden, sofern der Berechtigte zustimmt oder die Emissionsbedingungen einen solchen Systemwechsel ohne Zustimmung des Berechtigten vorsehen. Umgekehrt kann ein solcher Vorgang auch ohne Zustimmung des Berechtigten erfolgen, wenn das jeweilige Wertpapier inhaltsgleich in ein zentrales Register eingetragen wird, für das Wertpapier eine Wertpapiersammelbank als Inhaber eingetragen wird und dies in den Emissionsbedingungen nicht ausgeschlossen ist bzw. nicht zustimmungspflichtig ist. Laut Gesetzesbegründung besteht kein Schutzbedürfnis für ein mögliches Affektionsinteresse an der Urkunde. Anders verhält es sich wiederum bei der Ersetzung eines mittels Urkunde begebenen Wertpapieres durch ein elektronisches Wertpapier, welches in ein Kryptowertpapierregister eingetragen werden soll. Hierzu bedarf es der ausdrücklichen Zustimmung des Berechtigen, da es sich bei dieser Registertechnik um eine neue Technologie handelt, die mit gewissen Risiken verbunden ist.

Anwendbares Recht

Rechte am elektronischen Wertpapier und Verfügungen darüber unterliegen dem Recht des Staates, unter dessen Aufsicht die registerführende Stelle steht, in deren Register das elektronische Wertpapier eingetragen ist.

Fazit

Der Gesetzgeber schafft Rahmenbedingungen für die Begebung von elektronischen Wertpapieren und bringt damit wichtige Fortschritte, wobei der Anwendungsbereich zunächst mal sehr eingeschränkt ist. Laut Gesetzesbegründung soll eine Öffnung für weitere Inhaberpapiere gleichwohl zu einem späteren Zeitpunkt erfolgen. Dabei wird ganz bewusst darauf verzichtet, den numerus clausus der Wertpapiere zu erweitern. Es handelt sich vielmehr lediglich um eine Ergänzung der nutzbaren Formen eines Wertpapieres. Eine sachenrechtliche Fiktion erklärt die sachenrechtlichen Regelungen für anwendbar. Es wird sich zeigen, ob sich dieses Konzept in der Praxis bewährt. Die Anforderungen an das Aufzeichnungssystem bezogen auf das Kryptowertpapierregister sind sofern möglich bewusst technikneutral verfasst, was angesichts der sich rasant ändernden technologischen Entwicklungen sinnvoll ist. Insgesamt bleibt abzuwarten, in welcher Form das Gesetz beschlossen wird und welche Probleme sich entsprechend in der Praxis daraus ergeben.

Final ESMA Guidelines on cloud outsourcing

At the end of December 2020, the European Securities and Markets Authority (ESMA) published its final report on its guidelines on outsourcing to cloud service providers (CSP). The purpose of the guidelines is to help firms identify, address and monitor the risks that may arise from their cloud outsourcing arrangements. Since the main risks associated with cloud outsourcing are similar across financial sectors, ESMA has considered the European Banking Authority (EBA) Guidelines on outsourcing arrangements, which have incorporated the EBA Recommendations on outsourcing to cloud services providers and the European Insurance and Occupational Pensions Authority (EIOPA) Guidelines on outsourcing to cloud service providers. This ensures consistency between the three sets of guidelines. The ESMA Guidelines on cloud outscoring apply to MiFID II firms such as investment firms and other financial services providers indirectly but they describe the market standard and set the supervisory framework for the National Competent Authorities (NCAs) in Europe such as the German Federal Financial Supervisory Authority (Bundesanstalt für Finanzdienstleistungsaufsicht – BaFin).

For the German jurisdiction, BaFin published guidance on outsourcing to cloud providers back in 2018. Please note that the amended MaRisk include outsourcing requirements for investment firms and other financial services providers and already reflect the EBA Guidelines on outsourcing, including cloud outsourcing. For more information on the MaRisk amendment, please see our previous Blogpost.

The guidelines in more detail

The following gives a brief overview of the main content of the ESMA cloud outsourcing guidelines.

  • Guideline 1: Governance, oversight and documentation

Firms should have a defined and up-to date cloud outsourcing strategy which should include, inter alia, a clear assignment of the responsibility for the documentation, management and control of cloud outsourcing arrangements, sufficient resources to ensure compliance with all legal requirements applicable to the firm’s outsourcing arrangements, a cloud outsourcing oversight function directly accountable to the management body and responsible for managing and overseeing the risk of cloud outsourcing arrangements, a (re)assessment of whether the cloud outsourcing arrangements concern critical or important functions as well as an updated register of information on all cloud outsourcing arrangements. For the outsourcing of critical or important functions, the ESMA guidelines include a detailed list of information which should be included in the register.

  • Guideline 2: Pre-outsourcing analysis and due diligence

ESMA provides information on what is required for the pre-outsourcing analysis (e.g. an assessment if the cloud outsourcing concerns a critical or important function). In the case of outsourcing of critical or important function, firms should conduct a comprehensive risk analysis and take into account benefits and costs of the cloud outsourcing and perform an evaluation of the suitability of the CSP.

  • Guideline 3: Key contractual elements

The guidelines provide a detailed list of what a written cloud outsourcing agreement should include in case of outsourcing of critical or important functions. Such agreements should include, inter alia, provisions regarding data protection, agreed service levels incident management, business continuity plans, termination rights and access and audit rights for the firm and its competent supervisory authority.

  • Guideline 4: Information security

Firms should set information security requirements in its internal policies and procedures and within the cloud outsourcing written agreement and monitor compliance with these requirements on an ongoing basis. In case of outsourcing of critical or important functions, additional requirements apply regarding information security organization, identity and access management, encryption and key management, operations and network security, application programming interfaces, business continuity and data location.

  • Guideline 5: Exit strategies

In case of outsourcing of critical or important functions, firms should develop and maintain exit strategies that ensure that the firm is able to exit the cloud outsourcing arrangement without undue disruption to its business activities and services to its client. Exit strategies should include comprehensive and documented exit plans, the identification of alternative solutions and provisions in the written outsourcing agreements that oblige the CSP to support orderly transfer of the outsourced function from the CSP to another CSP.

  • Guideline 6: Access and audit rights

Firms should ensure that the cloud outsourcing written agreement does not limit the firm´s and competent authority´s effective exercise of the access and audit rights on the CSP (see also Guideline 3). However, the Guideline also includes provisions aimed at reducing the organizational burden on the CSP and its clients when exercising access and audit rights: firm may use e.g. third-party certifications and external or internal audit reports made available by the CSP. However, in case of outsourcing of critical or important functions, the guidelines stipulate additional requirements that must be met in order to be able to rely on third party certifications or assessments.

  • Guideline 7: Sub-outsourcing

In case of sub-outsourcing, the firm should ensure that the CSP appropriately oversees the sub-outsourcer. In addition, ESMA provides information on the provisions that should be included in the written outsourcing agreement between the firm and the CSP in the case of sub-outsourcing critical or important function. This includes the remaining accountability of the CSP, a notification requirement for the CSP in case of any intended sub-outsourcing allowing the firm sufficient time to carry out a risk assessment of the proposed sub-outsourcer, the firm´s right to object to the intended sub-outsourcing and termination rights in case of such objection.

  • Guideline 8: Written notification to competent authorities

Firms should notify in writing its competent authority in a timely manner of planned cloud outsourcing arrangement that concern critical or important functions. The notification should include, inter alia, a description of the outsourced functions, a brief summary of the reasons why the outsourced function is considered critical or important and the individual or decision-making body in the firm that approved the cloud outsourcing arrangement.

What´s next?

In a next step, the guidelines will be translated in the official EU languages and published on the ESMA´s website. The publication of the translation will trigger a two-month period during which the national competent authorities must notify ESMA whether they comply or intend to comply with the guidelines (comply or explain mechanism). For the German jurisdiction, it is to be expected that BaFin will comply with the ESMA guidelines.

Ein Update zur Auslagerung – Teil 2: Neue BaFin-Befugnisse gegenüber Auslagerungsunternehmen

In Teil 1 der Beitragsreihe haben wir das Gesetz zur Stärkung der Finanzmarktintegrität (FISG), auch bekannt als Wirecard-Gesetz, bereits vorgestellt. Mit dem FISG sollen, neben einer stärkeren Regulierung der Abschlussprüfung, auch die Befugnisse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gestärkt werden. Verbesserungsbedarf wird im Bereich der Prüfung von Auslagerungen gesehen. Zukünftig soll die BaFin direkte Einwirkungsmöglichkeiten auf die externen Dienstleister haben.

Neue BaFin-Befugnisse im Überblick

Das FISG sieht dazu Anpassungen in verschiedenen Aufsichtsgesetzen vor: dem Kreditwesengesetz (KWG), dem Zahlungsdiensteaufsichtsgesetz (ZAG), dem Kapitalanlagegesetzbuch (KAGB) sowie dem Wertpapierhandelsgesetz (WpHG). Die derzeit bestehenden Regelungen richten sich in aller Regel an unmittelbar von der BaFin beaufsichtigte Unternehmen. Durch die Änderungen des FISG soll die BaFin nun unmittelbare Einwirkungsmöglichkeiten auch auf externe Dienstleister erhalten, die nicht ihrer Aufsicht unterliegen. Diese Unternehmen werden der BaFin gegenüber pflichtig, weil sie einen Auslagerungsvertrag mit einem beaufsichtigen Unternehmen schließen wollen oder geschlossen haben oder Aufgaben und Prozesse tatsächlich erbringen. Diese Regelungen gehen über den derzeitigen Auslagerungsstandard der EBA Outsourcing Guidelines hinaus. Gänzlich fremd sind sie dem Aufsichtsrecht allerdings nicht; das Versicherungsaufsichtsgesetz (VAG) sieht entsprechende Kompetenzen der BaFin bereits vor.

Im Einzelnen sieht das FISG vor:

  • Unmittelbares Anordnungsrecht gegenüber Auslagerungsunternehmen

Zukünftig soll die BaFin ein allgemeines unmittelbares Anordnungsrecht gegenüber Auslagerungsunternehmen haben, um die Einhaltung aufsichtsrechtlicher Regelungen sicherzustellen. Entsprechende Regelungen werden sich in § 25b Abs. 4a KWG, § 88 Abs. 2a WpHG, § 26 Abs. 3a ZAG und § 36 Abs. 5a KAGB finden. Zudem sind spezielle unmittelbare Anordnungsrechte zur Sicherstellung der Einhaltung interner Sicherungsmaßnahmen (§ 25h Abs. 1 bis Abs. 3, Abs. 5 KWG) und der ordnungsgemäßen Geschäftsorganisation (§ 45b Abs. 3 KWG und § 27 Abs. 3 ZAG) vorgesehen.

  • Auskunfts- und Prüfungsrecht gegenüber Auslagerungsunternehmen

Auskunftsrechte über alle Geschäftsangelegenheiten sowie die Vorlage entsprechender Unterlagen bestehen zukünftig auch unmittelbar gegenüber Auslagerungsunternehmen. Zudem sind künftig auch anlasslose Prüfungen gegenüber Auslagerungsunternehmen möglich; dies gilt mit der Einschränkung, dass es sich um eine wesentliche Auslagerung bzw. einer Auslagerung interner Sicherungsmaßnahmen handeln muss. Dazu wird § 44 KWG entsprechend angepasst werden. Das KAGB verweist hinsichtlich der Auskunfts- und Prüfungsrechte der BaFin auf die KWG Regelungen, sodass eine Anpassung des KAGB insoweit nicht erforderlich wird (§ 14 KAGB). Im ZAG ist eine entsprechende Regelung bereits enthalten (§ 19 ZAG).

  • Bußgeldvorschriften

Damit unmittelbar gegenüber Auslagerungsunternehmen erlassene Anordnung auch durchsetzbar sind, sind Zuwiderhandlungen bußgeldbewehrt; entsprechende Ergänzungen werden in § 56 KWG, § 64 ZAG und § 340 KAGB vorgenommen werden.

Die Befugnisse der BaFin gegenüber Auslagerungsunternehmen werden durch eine Reihe weiterer Regelungen flankiert, die auch der Umsetzung der EBA Outsourcing Guidelines dienen. So wird eine einheitliche Definition eines Auslagerungsunternehmens eingeführt. Zudem wird z.B. die Verpflichtung zur Anzeige der Absicht einer wesentlichen Auslagerung, des Vollzug einer nicht wesentlichen Auslagerung sowie von wesentlichen Änderungen im Rahmen bestehender Auslagerungsvereinbarungen geregelt. Auch die Führung eines Auslagerungsregisters sowie die  Anforderungen, die bei einer Auslagerung auf ein Unternehmen in einem Drittstaat einzuhalten sind, werden umgesetzt. 

Fazit

Auslagerungsfragen sind in der Praxis stets ein relevantes Thema. Durch die geplanten Änderungen des FISG werden einerseits die Gesetzesänderungen vorgenommen, die zur Umsetzung der EBA Outsourcing Guidelines erforderlich sind. Darüber hinaus wird die BaFin durch die unmittelbaren Einwirkungsmöglichkeiten auf Auslagerungsunternehmen, die selbst nicht ihrer Aufsicht unterliegen, gestärkt.  Umgehungen aufsichtsrechtlicher Anforderungen soll damit ein Riegel vorgeschoben werden.

Ein Update zur Auslagerung – Teil 1: Wirecard-Gesetz, MaRisk und WpFG

Das Jahr 2020 war und ist reich an Ereignissen; eines davon ist sicherlich auch der Fall Wirecard. Dieser hat den Gesetzgeber dazu veranlasst, einige Verbesserungen im Finanzaufsichtsrecht vorzunehmen und die Integrität des Finanzmarktes weiter zu stärken. Dazu wurde Ende Oktober der Entwurf das Gesetzes zur Stärkung der Finanzmarktintegrität (FISG), auch bekannt als Wirecard-Gesetz, veröffentlicht. Zukünftig soll die Bilanzkontrolle und die Abschlussprüfung weiter reguliert werden, um die Richtigkeit der Rechnungslegungsunterlagen von am Kapitalmarkt tätigen Unternehmen sicherzustellen. Daneben sollen die Aufsichtsstrukturen und die Befugnisse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gestärkt werden. Verbesserungsbedarf wird u.a. bei den BaFin-Befugnissen im Bereich der Prüfung von Auslagerungen gesehen. Zukünftig soll die BaFin bspw. Einwirkungsmöglichkeiten auf die externen Dienstleister haben.

Die geplanten Änderungen des FISG gehen zum Teil auf den derzeitigen Auslagerungsstandard der EBA Guidelines zurück, teilweise aber darüber hinaus. Vor dem Hintergrund der neuen Regulierung kleiner und mittlerer Wertpapierfirmen nach dem Gesetz über die Beaufsichtigung von Wertpapierfirmen (WpFG) stellt sich zudem die Frage, ob die derzeitigen Regelungen zur Auslagerung eigentlich auf diese Wertpapierfirmen weiter Anwendung finden werden. Dies wird Teil 1 näher beleuchten. In Teil 2 werden wir dann die geplanten Änderungen des FISG zur Auslagerungen vorstellen.

Der aktuelle Auslagerungsstandard der MaRisk

Die Anforderungen der EBA Outsourcing Guidelines sind in der aktuellen MaRisk Novelle umgesetzt. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Neu sind z.B. die Regelungen zum Auslagerungsregister, die Benennung eines zentralen Auslagerungsbeauftragten und konkrete Vorgaben zur vertraglichen Regelung von Zugangs- und Kündigungsrechten. Über die MaRisk Novelle und die Umsetzung der EBA Outsourcing Guidelines haben wir bereits ausführlich gebloggt.

Anwendbarkeit des MaRisk Vorgaben zur Auslagerun auf WpFG-Wertpapierfirmen

Ab Mitte 2021 wird mit dem WpFG, in Umsetzung der neuen EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), für kleine und mittlere Wertpapierfirmen ein neues, eigenes Aufsichtsregime gelten. Über dessen Inhalt haben wir bereits hier und hier ausführlich berichtet. Große Wertpapierfirmen sind grundsätzlich nicht erfasst, für sie werden weiterhin die Regelungen des KWG gelten, da sie aufgrund ihrer Größe und Risiken wie Banken behandelt werden. Auch die Auslagerungsregelungen des KWG und ihre Konkretisierung durch die MaRisk werden auf diese Wertpapierfirmen also Anwendung finden.

Gilt das auch für kleine und mittlere Wertpapierfirmen? Das neue WpFG stellt ein eigenes Regelungsregime vor allem im Hinblick auf die Zulassung und die Eigenkapitalanforderungen kleiner und mittlerer Wertpapierfirmen auf. Insoweit werden die Regelungen der zweiten EU-Finanzmarktrichtlinie (MiFID II) bzw. des Kreditwesengesetzes (KWG) ersetzt. Nicht ersetzt werden hingegen die Organisations- und Wohlverhaltensregelungen der MiFID II, wozu u.a. auch die Auslagerungsregelungen gehören (Art. 16 MiFID II). Diese gelten also weiterhin für alle Wertpapierfirmen.

Umgesetzt sind sie im Wertpapierhandelsgesetz (WpHG). Die WpHG-Regelungen zur Auslagerung (§ 80 Abs. 6) werden wiederum von den Mindestanforderungen an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten (MaComp) konkretisiert. Inhaltlich wird insoweit allerdings sowohl vom WpHG als auch von den MaComp auf die KWG-Regelungen zur Auslagerung verwiesen (§ 25b KWG bzw. die Konkretisierung durch die MaRisk). Über diesen Verweis des WpHG/MaComp auf das KWG/MaRisk gilt also auch für kleine und mittlere Wertpapierfirmen unverändert der gleiche aufsichtliche Standard bei Auslagerungen. Zusätzlich verweisen die MaComp auf die Auslagerungsregelungen der Delegierten Verordnung zur MiFID II, die die Anforderungen an wesentliche Auslagerungen konkretisiert (Art. 30 bis 32). Auf diese Regelungen verweist auch das WpFG (§ 40 WpFG), ohne damit aber ein eigenes Auslagerungsregime neben dem WpHG aufzustellen.

Auch kleine und mittlere Wertpapierfirmen, die zukünftig insbesondere hinsichtlich ihrer Zulassung und der Eigenkapitalanforderungen nicht mehr vom Kreditwesengesetz (KWG), sondern vom WpFG reguliert werden, müssen also weiterhin die Anforderungen des WpHG umsetzen; hinsichtlich der Auslagerung bedeutet das aufgrund des Verweises auf das KWG/die MaRisk die Erfüllung des entsprechenden bankaufsichtsrechtlichen Standards.

Ausblick auf Teil 2

Im zweiten Teil unseres Updates zur Auslagerung werden wir die neuen Regelungen des FISG näher betrachten.

Bis dahin wünschen wir unseren Leserinnen und Lesern einen schönen zweiten Advent!

Konsultation zur neuen BAIT veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Ende November bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen BAIT setzt aktuelle Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Neuerungen der BAIT aufgrund der Umsetzung der ICT Guidelines im Überblick vor.

Kurz erklärt: die BAIT und ihr Zusammenspiel mit der MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor. Auch die MaRisk wurde jüngst überarbeitet und an aktuelle europäische Vorgaben angepasst; darüber haben wir bereits hier berichtet. Die BAIT ergänzen und konkretisieren die Vorgaben der MaRisk und geben einen praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement vor. Durch die Umsetzung der ICT Guidelines wurden die BAIT um zwei neue Kapital zu der operativen Informationssicherheit und zum IT-Notfallmanagement ergänzt, deren wesentlichen Inhalt wir nachfolgend näher betrachten.

Operative Informationssicherheit

Institute müssen für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Damit soll der operative Geschäftsbetrieb jederzeit sicher und reibungslos aufrecht erhalten werden können. Nach der BAIT müssen Institute deshalb

  • operative Informationssicherheitsmaßnahmen und Prozesse implementieren; diese müssen z.B. ein Schwachstellenmanagement und die Verschlüsselung von Daten berücksichtigen,
  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren, z.B. die Erkennung vermehrter nicht autorisierter Zugriffsversuche,
  • sicherheitsrelevante Ereignisse zeitnah analysieren und auf diese angemessen reagieren; dazu kann die Einrichtung einer ständig besetzten zentralen Stelle, z.B. in Form eines Security Operation Centers, erforderlich sein,
  • IT-Sicherheitssysteme regelmäßig überprüfen, wobei sich Turnus, Art und Umfang der Überprüfung am Schutzbedarf und der möglichen Angriffsflächen des IT-Systems orientieren müssen.

IT-Notfallmanagement

Allgemeine Anforderungen an das Notfallmanagement von Instituten finden sich in der MaRisk (AT 7.3.). Die Vorgaben der BAIT konkretisieren diese und formulieren spezielle Vorgaben für das IT-Notfallmanagement. In diesem Zusammenhang müssen Institute

  • auf Basis der Ziele des allgemeinen Notfallmanagements auch die Ziele und Rahmenbedingungen des IT-Notfallmanagements festlegen,
  • IT-Notfallpläne erstellen, die Wiederanlauf-, Notbetriebs-, und Wiederherstellungspläne sowie zu berücksichtigende Abhängigkeiten z.B. von externen IT-Dienstleistern, berücksichtigen,
  • ihre IT-Notfallpläne durch mindestens jährliche IT-Notfalltests überprüfen; zu diesem Zweck ist ein IT-Testkonzept zu entwickeln,
  • nachweisen können, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse von einem anderen Rechenzentrum für eine angemessene Zeit erbracht werden können.

Ausblick ZAIT und Fazit

Die BAIT soll zukünftig zudem um ein Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern“ ergänzt werden, das sich eigens an Institute richten wird, die Zahlungsdienste im Sinne des Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Die Inhalte dieses Kapitels werden im Rahmen der Konsultation des Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) konsultiert und anschließend in die finale Fassung der BAIT einfließen.

Mit der nun zur Konsultation gestellten BAIT Novelle finden die europäische Vorgaben der ICT Guidelines nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum (IT-) Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Konsultation zur MaRisk Novelle veröffentlicht

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf einer Neufassung des Rundschreibens 09/2017 (BA) – Mindestanforderungen an das Risikomanagement (MaRisk) zur Konsultation veröffentlicht. Stellungnahmen zur Konsultation können bis Anfang Dezember bei der BaFin und der Deutschen Bundesbank abgegeben werden.

Der Entwurf der neuen MaRisk setzt aktuelle europäische Vorgaben der Europäischen Bankaufsichtsbehörde (European Banking Authority – EBA) um.  Konkret werden die Leitlinien der EBA zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposuresNPL Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements Outsourcing Guidelines) und zu ICT Risk (Guidelines on Information and Communication Technology and Security Risk Management ICT Guidelines) umgesetzt. Dieser Beitrag stellt die wesentlichen Änderungen und Ergänzungen der MaRisk aufgrund der Umsetzung der NPL, der Outsourcing sowie der ICT Guidelines im Überblick vor.

Kurz erklärt: die MaRisk

In der europäischen Bankenrichtlinie (CRD IV) sind allgemeine Regelungen zur Unternehmensführung und Organisationsstruktur von Instituten festlegt. Diese Regelungen werden in Deutschland insbesondere durch § 25a des Kreditwesengesetz (KWG) umgesetzt. Die MaRisk konkretisiert die Anforderungen des KWG an die Ausgestaltung des Riskmanagements und gibt somit einen qualitativen Rahmen für die praktische Umsetzung der genannten Regelungen vor.

Umsetzung der NPL Guidelines

Die NPL Guidelines geben vor, wie notleidende und gestundete Risikopositionen von Instituten im Rahmen des Riskmanagements zu berücksichtigen sind. Institute sollten über einen angemessenen Rahmen zur Identifizierung, Messung, Verwaltung, Überwachung und Reduzierung von notleidenden Risikopositionen verfügen. Je mehr notleidende Risikopositionen ein Institut hat, desto strengere Anforderungen sind grundsätzlich zu erfüllen.

Deshalb ist zu unterscheiden: Einige Vorgaben gelten nur für solche Institute, die eine Quote notleidender Kredite von 5% oder mehr aufweisen (sog. High-NPL-Institute). High-NPL-Institute müssen

  • eine Strategie für notleidende Risikopositionen einführen, um letztlich einen Abbau der notleidenden Risikopositionen vornehmen zu können (AT 4.2 MaRisk),
  • besondere Anforderungen an die Risikocontrolling-Funktion erfüllen, indem z.B. NPE-bezogene Risiken (non-performing-exposures) überwacht und Auswirkungen auf die Eigenkapitalanforderungen berücksichtigt werden (AT 4.4 MaRisk).
  • Problemkredite sind anhand festgelegter Kriterien an eine Abwicklungs-. bzw. Sanierungseinheit des Instituts zu übergeben; nunmehr sind spezialisierte Abwicklungseinheiten (sog. NPE-Workout Units) einzurichten; (BTO 1.2 MaRisk),
  • in den Risikoberichten der Risikocontrolling-Funktion ist eine gesonderte Darstellung von notleidenden und gestundeten Risikopositionen aufnehmen (BT 3.2 MaRisk).

Zudem setzt die MaRisk Vorgaben der NPL Guidelines um, die nicht nur auf High-NPL-Institute, sondern auf alle Institute anwendbar sind. Neu sind dabei umfassende Vorgaben zur sog. Forbearance. Erfasst sind jede Art von Zugeständnissen, die zugunsten von Kreditnehmern aufgrund sich abzeichnender oder bereits eingetretener finanzieller Schwierigkeiten gemacht werden. Als anschauliches Beispiel dient die Stundung von Tilgungsraten. Ziel solcher Maßnahmen ist es, dass Risikopositionen nicht notleidend werden, sondern zurückgezahlt werden können.

  • Institute müssen eine Forbearance-Richtlinie entwickeln, die bspw. die Verfahren zur Gewährung von Forbearance-Maßnahmen sowie die Verfahren zur Entscheidungsfindung und eine Beschreibung verfügbarer Forbearance-Maßnahmen enthält (BTO 1.3 MaRisk).
  • Zudem sind Forbearance-Prozesse zu entwickeln, die z.B. Kriterien festzulegen, anhand derer eine Einstufung von Forbearance-Risikopositionen in notleidende Positionen erfolgt (BTO 1.3 MaRisk).

Umsetzung der Outsourcing Guidelines

Die MaRisk Novelle setzt auch die Anforderungen der EBA Outsourcing Guidelines um. Da das bisherige deutsche Auslagerungsrecht (anders als in anderen europäischen Mitgliedstaaten) bereits in weiten Teilen den Vorgaben der EBA Outsourcing Guidelines entspricht, werden vorwiegend Änderungen oder Ergänzungen auf Detailsebene vorgenommen. Gänzlich neue Regelungen gibt es hier wenige. Alle Änderungen und Ergänzungen werden unter AT 9 MaRisk vorgenommen. Wesentliche Neuerungen bzw. Ergänzungen sind:

  • Bei Auslagerungen an Unternehmen mit Sitz in anderen EU-Mitgliedsstaaten ist sicherzustellen, dass eine ggf. erforderliche Erlaubnis zur Erbringung der ausgelagerten Tätigkeit vorliegt. Bei Auslagerung auf ein Drittstaaten-Unternehmen (Brexit!) muss, sofern es sich um eine ausgelagerte Aktivität handelt, die innerhalb des EWR eine Erlaubnis erfordern würde, sichergestellt werden, dass das Auslagerungsunternehmen in dem Drittstaat einer Aufsicht unterliegt und zwischen den zuständigen Aufsichtsbehörden eine entsprechende Kooperationsvereinbarung besteht.
  • Bei wesentlichen Auslagerungen werden zusätzliche konkret erforderliche vertragliche Regelungen, wie z.B. Zugangs- und Kündigungsrechte vorgeschrieben.
  • Es ist ein zentraler Auslagerungsbeauftragter zu benennen; er wird durch ein zentrales Auslagerungsmanagement unterstützt.
  • Es ist ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen vorzuhalten. So soll ein Informationsverlust über ausgelagerte Tätigkeiten im Falle personeller Wechsel verhindert werden.

Umsetzung der ICT Guidelines

Aufgrund der EBA ICT Guidelines werden Anforderungen an das Notfallmanagement (AT 7.3 MaRisk) neu gefasst. Institute müssen grundsätzlich auf Notfallsituationen vorbereitet sein und insbesondere Notfallpläne für zeitkritische Aktivitäten und Prozesse vorhalten. Ein aktuelles und anschauliches Beispiel sind die Auswirkungen der Corona-Krise; die Banken schienen mit Standortschließungen aufgrund von Lockdown-Maßnahmen grundsätzlich gut umgehen und schnell auf Notfallpläne wie z.B. Split-Operations-Maßnahmen zurückgreifen zu können. Im Einzelnen müssen Institute

  • Eine Risikoanalyse zur Identifikation zeitkritischer Aktivitäten und Prozesse sowie hierfür notweniger IT-Systeme durchführen,
  • ein Notfallkonzept erarbeiten, das darstellt, welche Ersatzlösungen im Notfall zeitnah zur Verfügung stehen und wie eine Rückkehr zum Normalbetrieb verlaufen soll.

Fazit

Mit der nun zur Konsultation gestellten MaRisk Novelle finden zahlreiche europäische Vorgaben nun auch endlich Einzug in die nationalen aufsichtsrechtlichen Vorgaben zum Risikomanagement. Institute erhalten damit wertvolle Guidance zur praktischen Umsetzung der europäischen Vorgaben und der Erwartungshaltung der BaFin. Erfahrungsgemäß ergeben sich im Rahmen der Konsultation kaum wesentliche Änderungen, sodass Institute sich bereits jetzt auf die neuen aufsichtsrechtlichen Anforderungen einstellen können.

Der Umgang mit ESG-Risiken – was erwartet die Aufsicht?

Zum Thema Nachhaltigkeit in der Finanzbranche gibt es derzeit viel neue Regulierung. Dabei fährt der Gesetzgeber zweigleisig: Zum einen sollen Finanzprodukte selbst nachhaltiger werden. Um dieses Ziel zu erreichen, wurden die Transparenz-Verordnung und die Taxonomie-Verordnung erlassen. Letztere definiert erstmals einheitlich, was in Europa unter Nachhaltigkeit zu verstehen ist. Denn um mehr grüne Finanzprodukte zu schaffen, bedarf es zunächst einer einheitlichen Bewertungsgrundlage, wann eine Wirtschaftstätigkeit überhaupt nachhaltig ist. Neben der Produktregulierung hält das Thema Nachhaltigkeit aber auch in die unmittelbare Beaufsichtigung von Finanzinstituten Einzug. Diese müssten sich vor allem über die Nachhaltigkeitsrisiken, denen sie ausgesetzt sind, klar werden und diese dann in ihrem internen Risikomanagement berücksichtigen.

Für Wertpapierfirmen wird Mitte Juni 2021 in neues Aufsichtsregime in Kraft treten. Darüber haben wir bereits in einem zweiteiligen Blogbeitrag hier geht es zu Teil 1, hier zu Teil 2) ausführlich berichtet. Die neuen Regelungen bestehen aus der EU-Richtlinie über die Beaufsichtigung von Wertpapierfirmen (IFD), die durch das Wertpapierfirmengesetz (WpFG) in deutsches Recht umgesetzt werden soll, sowie der EU-Verordnung über die Aufsichtsanforderungen an Wertpapierfirmen (IFR).

Unter anderem enthält die IFD Regelungen zum Umgang von Wertpapierfirmen mit Nachhaltigkeitsrisiken. Zur Konkretisierung der Vorgaben soll die European Banking Authority (EBA) zunächst einen Bericht über technische Kriterien erarbeiten, die die nationalen Aufsichtsbehörden bei der Überprüfung der Ursachen und Auswirkungen von ESG-Risiken auf Wertpapierfirmen heranziehen. Die EBA soll dabei insbesondere auch (i) ESG-Risiken für Wertpapierfirmen definieren, (ii) überprüfen, wie eine Konzentration bestimmter Vermögenswerte zu einer Erhöhung von ESG-Risiken führen kann, (iii) Prozesse beschreiben, mittels derer Wertpapierfirmen ihre ESG-Risiken ermitteln, bewerten und steuern können und (iv) Parameter und Kennzahlen entwickeln, die sowohl Aufsichtsbehörden als auch Wertpapierfirmen nutzen können, um die Auswirkungen von ESG-Risiken im Rahmen der laufenden Aufsicht bewerten zu können. Der EBA-Bericht soll bis Ende Dezember nächsten Jahres vorliegen.

Auf Grundlage dieses Berichts kann die EBA dann Leitlinien festlegen, mit denen Kriterien für die aufsichtliche Überprüfung und Berwertung von ESG-Risiken eingeführt werden. Die Berücksichtigung von Nachhaltigkeitsrisiken im Rahmen ihres Risikomanagements wird dadurch auch für Wertpapierfirmen weiter konkretisiert und verbindlich geregelt werden. Bereits heute müssen nach dem Kreditwesengesetz (KWG) regulierte Kredit- und Finanzdienstleistungsinstitute Nachhaltigkeitsrisiken im Rahmen des Risikomanagements berücksichtigen, ohne dass dabei aber bestimmte verbindliche Kriterien oder Parameter vorgegeben werden. Solange es noch keine EBA-Leitlinien zum Umgang mit Nachhaltigkeitsrisiken gibt, können sich Wertpapierfirmen wie bisher auch an dem Merkblatt der BaFin zum Umgang mit Nachhaltigkeitsrisiken schon mal eine rechtliche Einordnung des Merkblatts vorgenommen.

Die geplanten EBA Leitlinien zeigen: das Thema Nachhaltigkeit und vor allem der Umgang mit Nachhaltigkeitsrisiken bleibt im Fokus der aufsichtsrechtlichen Agenda.

Finanzanlagenvermittler: Das neue Compliance-Regime ist in Kraft

Im letzten halben Jahr gab es viele Diskussionen darüber, wer denn nun künftig die Aufsicht über die Finanzanlagenvermittler erhalten soll: wie bisher die regionalen Gewerbeämter bzw. die Industrie- und Handelskammern oder die BaFin. Ein Gesetzt, das die Aufsicht auf die BaFin überträgt, ist noch nicht verabschiedet, zeichnet sich aber ab. Seit 1. August 2020 gilt eine geänderte Finanzanlagevermittler-Verordnung (FinVermV), die die Wohlverhaltenspflichten für Finanzanlagenvermittler dem MiFIDII-Regime annähert. Wir hatten bereits früher dazu berichtet hier.

Die Neuerungen im Überblick

In § 11a FinVermV regelt den Umgang mit Interessenskonflikten. Bislang gab es nur eine Hinweispflicht gegenüber den beratenen Kunden, wenn ein Interessenskonflikt seitens des Vermittlers vorlag. Nun gibt es neue Vorgaben zur Vermeidung, zum Umgang und zur Offenlegung von Interessenskonflikten, die denen des WpHG, das für volllizensierte Anlageberater und Anlagevermittler gilt, angeglichen sind. Interessenskonflikte müssen nun zuerst durch geeignete Maßnahmen vermieden werden. Sollte das im Einzelfall nicht gehen, müssen weitere Maßnahmen ergriffen werden, die eine Beeinträchtigung der Anlagerinteressen vermeidet. Und erst wenn die Maßnahmen insgesamt nicht ausreichen, sind die Interessenskonflikte dem Anleger gegenüber offenzulegen. Mit dieser Regelung Hand in Hand geht die allgemeine Verhaltenspflicht des § 11 FinVermV, wonach der Finanzanlagenvermittler verpflichtet ist, seine Tätigkeit mit der erforderlichen Sachkenntnis, Sorgfalt und Gewissenhaftigkeit im bestmöglichen Interesse des Anlegers auszuüben.

Eine weitere Neuregelung betrifft die Vergütung. Bislang gab es für Finanzanlagevermittler keine Vorgaben zur Ausgestaltung der Vergütung. § 11a Abs. 3 FinVermV sieht nun eine solche Regelung vor. Danach müssen Finanzanlagevermittler für die Vergütung ihrer Mitarbeiter Grundsätze und Praktiken festlegen und umsetzten, um sicherzustellen, dass durch die Vergütungspolitik keine Interessenskonflikte der Berater gegenüber den Kunden entstehen oder gefördert werden. Im Ergebnis müssen künftig variable Vergütungskomponenten an qualitativen Kriterien orientiert sein, um Anlegerinteressen Priorität einräumen zu können.

Zuwendungen etwa in Form von Abschluss-, Vertriebs- oder Bestandsprovisionen sind in den Vertriebsketten für Fondsanteile gängige Praxis. § 17 FinVermV verlangt, dass weiterhin Zuwendungen gegenüber den Anlegern offengelegt werden, neu ist, dass ausdrücklich normiert ist, dass Zuwendungen nur dann angenommen werden dürfen, wenn sie nicht nachteilig auf die Qualität der Beratung und Vermittlung auswirken und Kundeninteressen dadurch nicht beeinträchtigt werden.

Die Prüfung, ob eine Anlageempfehlung für den Kunden geeignet ist, erfolgt nun nach § 16 FinVermV mit einem Verweis auf Art. 54 und 55 der MiFID-DelVO. Die Geeignetheitsprüfung ist also nun spezifiziert. So gelten etwa über die Verweise nun auch die ESMA-Guidelines zur Geeignetheitsprüfung nach MiFID II für Finanzanlagenvermittler. Der Finanzanlagenvermittler hat also nun im Rahmen der Anlageberatung vom Anleger alle Informationen (1) über Kenntnisse und Erfahrungen des Anlegers in Bezug auf bestimmte Arten von Finanzanlagen, (2) über die finanziellen Verhältnisse des Anlegers, einschließlich seiner Fähigkeit, Verluste zu tragen, und (3) über seine Anlageziele, einschließlich seiner Risikotoleranz, einzuholen, die erforderlich sind, um dem Anleger eine Finanzanlage empfehlen zu können, die für ihn geeignet ist und insbesondere seiner Risikotoleranz und seiner Fähigkeit, Verluste zu tragen, entspricht. Sofern eine Anlage nicht geeignet ist, darf sie nicht empfohlen werden. Sofern der Vermittler die erforderlichen Informationen nicht erlangt, darf er dem Anleger im Rahmen der Anlageberatung keine Finanzanlage empfehlen.

Mit der neuen erweiterten Pflicht zur Geeignetheitsprüfung geht einher, dass das bisherige Beratungsprotokoll durch eine Geeignetheitserklärung ersetzt wird (§ 18 FinVermV).

Schließlich trifft aus Beweissicherungsgründen nun nach § 18a FinVermV auch die Finanzanlagenvermittler die Pflicht, Telefongespräche und elektronische Kommunikation aufzuzeichnen, soweit diese sich auf die Vermittlung oder Beratung von Finanzanlagen bezieht. Persönliche Gespräche sind auf einem dauerhaften Datenträger zu dokumentieren. Damit trifft nun auch die Finanzanlagenvermittler, was der Markt seit MiFID II bereits umgesetzt hat.

Ausblick

Die FinVermV soll künftig in das WpHG integriert werden und es soll einen neuen Erlaubnistatbestand für Finanzanlagendienstleister ebenfalls im WpHG geben. Die Regelung in der GewO würde damit entfallen.

Eine hohe Anzahl der Finanzanlagenvermittler verfügen gleichzeitig über eine Erlaubnis als Versicherungsvermittler. Sollte die Aufsicht der BaFin über die Finanzanlagenvermittler kommen, würde das für die Vermittler mit doppelter Erlaubnis eine doppelte Beaufsichtigung bedeuten, nämlich einerseits für die Tätigkeit als Finanzanlagenvermittler durch die BaFin und andererseits als Versicherungsvermittler weiterhin durch die regionalen Gewerbeämter bzw. Industrie- und Handelskammern.