Einführung von elektronischen Wertpapieren in Deutschland

Mit dem Gesetz zur Einführung von elektronischen Wertpapieren (eWpG-E) wird das elektronische Wertpapier Rechtswirklichkeit. Das deutsche Wertpapierrecht und das anwendbare Aufsichtsrecht sollen durch das eWpG-E modernisiert werden. Nach der derzeitigen zivilrechtlichen Rechtslage können Wertpapiere grundsätzlich nur in einer Urkunde verbrieft werden. Mit dem Gesetz über elektronische Wertpapiere (eWpG) soll ermöglicht werden, dass Wertpapiere elektronisch, gegebenenfalls mittels der Blockchain-Technologie, begeben werden können. Damit soll dem Bedürfnis aus der Praxis begegnet werden, Unternehmensfinanzierungen mittels der Begebung von elektronischen Wertpapieren zu realisieren. Mit dem eWpG-E soll das deutsche Recht für innovative Technologien unter Wahrung der Rechtssicherheit geöffnet und damit die Attraktivität des Finanzplatzes Deutschland gestärkt werden. Zudem soll die Verkehrs- und Kapitalmarktfähigkeit von elektronischen Wertpapieren unter Beachtung des Anlegerschutzes gefördert werden. Der Gesetzgeber will einen Rechtsrahmen schaffen, wobei den Emittenten ein Wahlrecht eingeräumt wird, ob und in welchem Umfang sie Wertpapiere mittels Urkunde oder elektronisch begeben.  

Hintergrund

Im März 2019 veröffentlichten das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) und das Bundesministerium der Finanzen (BMF) ein gemeinsames Eckpunktepapier zum Thema regulatorische Behandlung von Wertpapieren und Krypto-Token. Am 18. September 2019 verabschiedete die Bundesregierung die Blockchain-Strategie, wobei die Einführung von elektronischen Wertpapieren dabei einen zentralen Baustein darstellte. Am 11. August 2020 veröffentlichten BMJV gemeinsam mit dem BMF einen ersten Referentenentwurf für das eWpG-E. Am 16. Dezember 2020 wurde der Regierungsentwurf bekannt gemacht. Am 12. Februar 2021 befasste sich der Bundesrat mit dem Regierungsentwurf und verfasste hierzu eine Stellungnahme. Das Gesetz ist auf das Eckpunktepapier und die Blockchain-Strategie zurückzuführen. Der Gesetzesentwurf enthält insbesondere Regelungen zur Rechtsnatur, Entstehung und Übertragung von elektronischen Wertpapieren sowie zu den elektronischen Registern.

Anwendungsbereich

Der Anwendungsbereich ist zunächst nur für Inhaberschuldverschreibungen und im kleineren Umfang für die elektronische Begebung von Inhaber-Anteilsscheinen nach dem Kapitalanlagegesetzbuch (KAGB) eröffnet. Dabei erfolgt die Begebung des elektronischen Wertpapiers, indem statt der Ausstellung einer Urkunde eine Eintragung in ein elektronisches Wertpapierregister bewirkt wird, was eines der wesentlichen Unterschiede zum klassischen zivilrechtlichen Wertpapierrecht darstellt. Gleichwohl tritt laut Gesetzesbegründung anstelle der Publizitätsfunktion durch den Besitz der physischen Urkunde bei Wertpapieren heutzutage faktisch die Publizitätsfunktion von elektronischen Buchungen in den Depotkonten. Dabei wird ein elektronisches Wertpapier als Sache im Sinne des § 90 des Bürgerlichen Gesetzbuches (BGB) behandelt, um den Gleichlauf mit den mittels Papierurkunde begebenen Wertpapieren zu gewährleisten und den Eigentumsschutz zu eröffnen.

Registersysteme

Es sind zwei Registersysteme vorgesehen: ein zentrales Register, das von einem Zentralverwahrer geführt wird, und dezentral geführte Kryptowertpapierregister, die beispielsweise mit Hilfe der Blockchain-Technologie betrieben werden können. Dementsprechend wird zwischen einem Zentralregisterwertpapier (elektronisches Wertpapier, das in ein zentrales Register eingetragen wird) und einem Kryptowertpapier (elektronisches Wertpapier, das in ein Kryptowertpapierregister eingetragen wird) unterschieden.

  1. Zentrales Register

In das zentrale Register erfolgen die Eintragungen von Zentralregisterwertpapieren zu Publizitätszwecken. Zentrale Register können von Wertpapiersammelbanken oder einem Verwahrer geführt werden, sofern der Emittent diesen ausdrücklich dazu ermächtigt. Dabei hat die registerführende Stelle die Pflicht, der Aufsichtsbehörde die Einrichtung eines zentralen Registers vor der Aufnahme der Eintragungstätigkeit anzuzeigen. Weiterhin wird insbesondere geregelt, welchen Inhalt die Registerangaben haben sowie wie die Änderung des Registerinhalts erfolgt. Im Übrigen enthält das eWpG-E eine Verordnungsermächtigung betreffend unter anderem Einrichtung und Führung des Registers, das Verfahren zum Wechsel der Begebungsform, Modalitäten der Anzeige der Einrichtung eines zentralen Registers.

  1. Kryptowertpapierregister

Ein Kryptowertpapierregister ist ein dezentrales, fälschungssicheres Aufzeichnungssystem, in dem Daten in Zeitfolge protokolliert werden und gegen unbefugte Löschung sowie nachträgliche Änderung geschützt sind. Entscheidend ist, dass es trotz der dezentralen Führung des Registers aufgrund der besonderen Aufzeichnung die gleiche Sicherheit für Identität und Authentizität des Wertpapiers gewährleistet wird wie bei einem zentralen Register. Laut Gesetzesbegründung kommt nach dem aktuellen Stand der Technik als Aufzeichnungssystem die Distributed-Ledger-Technologie in Frage, wobei explizit keine Festlegung auf diese Technologie erfolgen soll. Die registerführende Stelle bei Kryptowertpapierregistern wird von dem Emittenten gegenüber dem Inhaber benannt. Wird keine registerführende Stelle benannt, gilt der Emittent als solche. Zudem wird unter anderem Folgendes geregelt: Registerangaben, Änderungen des Registerinhaltes, Veröffentlichung im Bundesanzeiger und Pflichten des Emittenten. Weitere Einzelheiten sollen in einer Verordnung geregelt werden.

Registerwechsel

Ein elektronisches Wertpapier kann durch ein mittels einer Urkunde begebenes Wertpapier ersetzt werden, sofern der Berechtigte zustimmt oder die Emissionsbedingungen einen solchen Systemwechsel ohne Zustimmung des Berechtigten vorsehen. Umgekehrt kann ein solcher Vorgang auch ohne Zustimmung des Berechtigten erfolgen, wenn das jeweilige Wertpapier inhaltsgleich in ein zentrales Register eingetragen wird, für das Wertpapier eine Wertpapiersammelbank als Inhaber eingetragen wird und dies in den Emissionsbedingungen nicht ausgeschlossen ist bzw. nicht zustimmungspflichtig ist. Laut Gesetzesbegründung besteht kein Schutzbedürfnis für ein mögliches Affektionsinteresse an der Urkunde. Anders verhält es sich wiederum bei der Ersetzung eines mittels Urkunde begebenen Wertpapieres durch ein elektronisches Wertpapier, welches in ein Kryptowertpapierregister eingetragen werden soll. Hierzu bedarf es der ausdrücklichen Zustimmung des Berechtigen, da es sich bei dieser Registertechnik um eine neue Technologie handelt, die mit gewissen Risiken verbunden ist.

Anwendbares Recht

Rechte am elektronischen Wertpapier und Verfügungen darüber unterliegen dem Recht des Staates, unter dessen Aufsicht die registerführende Stelle steht, in deren Register das elektronische Wertpapier eingetragen ist.

Fazit

Der Gesetzgeber schafft Rahmenbedingungen für die Begebung von elektronischen Wertpapieren und bringt damit wichtige Fortschritte, wobei der Anwendungsbereich zunächst mal sehr eingeschränkt ist. Laut Gesetzesbegründung soll eine Öffnung für weitere Inhaberpapiere gleichwohl zu einem späteren Zeitpunkt erfolgen. Dabei wird ganz bewusst darauf verzichtet, den numerus clausus der Wertpapiere zu erweitern. Es handelt sich vielmehr lediglich um eine Ergänzung der nutzbaren Formen eines Wertpapieres. Eine sachenrechtliche Fiktion erklärt die sachenrechtlichen Regelungen für anwendbar. Es wird sich zeigen, ob sich dieses Konzept in der Praxis bewährt. Die Anforderungen an das Aufzeichnungssystem bezogen auf das Kryptowertpapierregister sind sofern möglich bewusst technikneutral verfasst, was angesichts der sich rasant ändernden technologischen Entwicklungen sinnvoll ist. Insgesamt bleibt abzuwarten, in welcher Form das Gesetz beschlossen wird und welche Probleme sich entsprechend in der Praxis daraus ergeben.

Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 1: Nach der DSGVO ist vor ePrivacy!

Die Verordnung über Privatsphäre und elektronische Kommunikation (sog. ePrivacy-Verordnung)  sollte eigentlich zusammen mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten. Momentan befindet sie sich aber noch im europäischen Gesetzgebungsverfahren, die Zustimmung des EU-Parlaments steht noch aus. Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus voraussichtlich eine Übergangsfrist bis 2022.

Da die ePrivacy-Verordnung aber einen größeren Einschnitt im Datenschutz bringen wird als die DSGVO, die den Markt relativ überraschend traf, wollen wir schon mal einen Blick auf das werfen, was die ePrivacy-Verordnung bringen wird.

Die ePrivacy-Verordnung soll die bisherige e-Datenschutz-Richtlinie ersetzen, die in Deutschland vor allem im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt wurde. Als Verordnung ist die neue Datenschutzregelung unmittelbar geltendes Recht in allen EU-Mitgliedstaaten und gewährleistet dadurch einen einheitlichen Regelungsrahmen. Inhaltlich schützt die ePrivacy-Verordnung vor allem Daten, die bei der Nutzung neuerer Kommunikationsdienste wie z.B. Instant-Messaging-Dienste, webgestützte E-Mail Dienste, Internettelefonie und Personal-Messaging entstehen, während die bisherige e-Datenschutz-Richtlinie nur herkömmliche Telekommunikationsanbieter wie z.B. SMS erfasst. Da immer mehr Zahlungs-und Finanzdienstleistungen auf neuen, digitalen Wegen angeboten werden, wird sich auch die Finanzdienstleistungsbranche mit den Regelungen der ePrivacy-Verordnung auseinander setzen müssen. Da sich die EU-Mitgliedstaaten bis heute nicht auf eine gemeinsame Position hinsichtlich des finalen Vorschlags des Europäischen Parlaments und des Rates vom 10. Januar 2017 (abrufbar hier) geeinigt haben, können die Trilog-Verhandlungen zwischen der Europäischen Kommission, dem Rat und dem Parlament nicht beginnen und das Vorhaben verzögert sich weiter.

Diese Zeit wollen wir nutzen und in einer mehrteiligen Beitragsreihe die ePrivacy-Verordnung und ihre Auswirkungen im Finanzaufsichtsrecht vorstellen. Dieser Beitrag ist der Auftakt und beleuchtet die rechtlichen und gesellschaftlichen Hintergründe der ePrivacy-Verordnung sowie ihr Verhältnis zur DSGVO.

Rechtlicher Hintergrund der ePrivacy-Verordnung

Um den digitalen Binnenmarkt zu stärken, will die EU das Vertrauen von Bürgern und Unternehmen in digitale Dienste und deren Sicherheit erhöhen. Dafür sind umfassende Datenschutzregelungen – wie z.B. die ePrivacy-Verordnung – unerlässlich. Ihren rechtlichen Ursprung hat diese in Artikel 7 der Charta der Grundrechte der Europäischen Union, der das Grundrecht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation enthält. Die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Grundrechts. Denn vor allem die elektronische Kommunikation kann hochsensible Daten über die daran beteiligten Personen offenlegen, von persönlichen Erlebnissen, Gefühlen und Erkrankungen bis hin zu politischen Überzeugungen oder Zahlungsgewohnheiten.

Gleiches gilt auch für die Metadaten der elektronischen Kommunikation wie beispielsweise angerufene Nummern, besuchte Websites, geographischer Standort, Uhrzeit, Datum oder Dauer eines getätigten Anrufs. All diese Daten lassen präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen, z.B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten, ihren Lebensalltag, ihre Interessen und ihren Geschmack zu. Elektronische Kommunikation kann zudem auch Informationen über juristische Personen wie Geschäftsgeheimnisse oder andere sensible Informationen offenlegen, die einen wirtschaftlichen Wert haben.

Unterschiedliche Resonanz bei Verbrauchern und Unternehmen

Angesichts der Sensibilität persönlicher elektronischer Daten und jüngster Datenskandale wie dem Facebook-Cambridge Analytica Skandal, mit dem bekannt wurde, dass personenbezogene Daten von Millionen Facebook-Profilen ohne Zustimmung der betroffenen Personen gesammelt und für politische Zwecke verwendet wurden, ist es nicht verwunderlich, dass sich gerade Verbraucher einen stärkeren Schutz ihrer persönlichen elektronischen Daten wünschen.

In der Begründung des finalen Entwurfs der ePrivacy-Verordnung sind Ergebnisse einer öffentlichen Konsultationen der Europäischen Kommission vom 12. April bis 05. Juli 2016 veröffentlicht.1 Darin sehen 83,4% der teilnehmenden Bürger, Verbraucherschutzverbände und Organisationen der Zivilgesellschaft die Notwendigkeit besonderer Vorschriften für die Vertraulichkeit elektronischer Kommunikationsdaten, während 63,4% der teilnehmenden Unternehmen dem nicht zustimmten. Auch die Ausweitung des Datenschutzes auf neue Kommunikationsdienste wie Instant-Messaging oder VoIP-Telefonie stimmten 76% der Bürger zu, während nur 36,2% der Unternehmen eine solche Ausweitung befürworteten. 

Dass EU-Bürger ein erhöhtes Bedürfnis nach dem Schutz ihrer elektronischen Daten haben, ergibt sich auch aus einer EU-weiten Eurobarometer-Umfrage, die zum Thema Privatsphäre durchgeführt wurde.2 Darin erklärten 78% der Befragten, dass sie es für sehr wichtig halten, dass auf persönliche Daten auf ihrem Computer, Smartphone oder Tablet nur mit ihrer Einwilligung zugegriffen werden kann. 72% halten es für sehr wichtig, dass die Vertraulichkeit ihrer E-Mails und Online-Sofortnachrichten gewährleistet ist und 89% stimmten der Option zu, dass die Standardeinstellungen ihres Browsers eine Weitergabe ihrer Informationen verhindern sollte.

Verhältnis zur DSGVO

Um dem erhöhten Bedürfnis nach dem Schutz von Daten, die bei der Nutzung moderner Kommunikationsmittel und –dienste entstehen, zu entsprechen, ergänzt und präzisiert die ePrivacy-Verordnung  die Regelungen der DSGVO als lex specialis im Hinblick auf elektronische Kommunikationsdaten. Während die DSGVO sich auf den Schutz personenbezogener Daten beschränkt, schütz die ePrivacy-Verordnung umfassend elektronische Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Alle Fragen der Verarbeitung personenbezogener Daten, die in dem Vorschlag zur ePrivacy-Verordnung nicht spezifisch geregelt sind, werden weiterhin von der DSGVO erfasst. Anders formuliert bedeutet das, dass die DSGVO für Daten relevant ist, wenn sie als solche dem Daten-Endnutzer vorliegen, während sich die ePrivacy-Verordnung um den Weg der Daten zu dem Daten-Endnutzer kümmert.

Ausblick

Allein an dem Regelungsumfang der ePrivacy-Verordnung wird deutlich, dass diese große Auswirkungen auf das digitale Finanzdienstleistungsangebot haben wird. Mehr dazu gibt es demnächst hier auf dem Blog. 


1 Der vollständige Bericht ist abrufbar unter https://ec.europa.eu/digital-single-market/news-redirect/37204.

2 Eurobarometer-Umfrage 443 zum Thema „ePrivacy“ (SMART 2016/079), abrufbar unter https://ec.europa.eu/digital-single-market/en/news/eurobarometer-eprivacy.

Welche regulatorischen Herausforderungen bringen Big Data und künstliche Intelligenz?

Big Data und künstliche Intelligenz (artificial intelligence), gerne gemeinsam auch als BDAI bezeichnet, sind derzeit ein Thema, das im Finanzmarkt viel Beachtung bekommt. Nicht zuletzt, weil es prominent auf der Agenda der BaFin steht, die – wie wir gerade in unserem letzten Beitrag berichtet haben – derzeit eine Marktumfrage zu diesem Thema gestartet hat.

Big Data steht für sehr große und komplexe Datenmengen, die aus einer Vielzahl von Quellen gewonnen werden können, und mit Hilfe manueller und herkömmlicher Methoden der Datenverarbeitung schwer zu analysieren sind. Analyseverfahren, die auf künstlicher Intelligenz basieren, können solche Massendaten sinnvoll auswerten und Zusammenhänge und Verbindungen aufzeigen, die bestehende Geschäftsmodelle erweitern oder ergänzen können. Selbstlernende Systeme können Prozesse optimieren und automatisiert Entscheidungen treffen. Ein Beispiel für eine Einsatzmöglichkeit von BDAI ist etwa die maschinelle Optimierung von Geldwäscheprüfungen.

Sobald künstliche Intelligenz in Form von Algorithmen ins Spiel kommt, stellt sich stets die Frage: geht etwas schief, wer ist verantwortlich? Der Programmierer des Algorithmus, das Institut, das den Algorithmus nutzt, um neue Geschäftsfelder zu generieren, oder gar niemand? Hier ist – wie bisher etwa beim Algotrading oder bei RoboAdvice, wo diese Diskussion auch geführt wurde – die klare Aussage der BaFin, dass das anbietende Institut verantwortlich ist für die Prozesse, die dort intern genutzt und extern gegenüber Kunden angeboten werden.

In der ersten Ausgabe der BaFin Perspektiven zur Digitalisierung wirft BaFin-Präsident Hufeld die Frage auf, ob wir künftig Mindestanforderungen an Algorithmen benötigen und konsequenterweise dann auch Mindestanforderungen an Daten, die im Rahmen von BDAI verwendet werden. Die internen Prozesse der Institute müssen auch beim Einsatz von BDAI kontrollierbar und nachvollziehbar sein. Insbesondere muss klar sein, welche Daten wofür und wie verwendet werden. Solange das gewährleistet ist, reichen die Vorgaben der MaRisk vielleicht aus. Dass das Thema künstliche Intelligenz und selbstlernende Systeme nicht trivial ist und AI-Forscher selbst äußerst skeptisch sind, ob die Methoden und Techniken des machine learning derzeit schon hinreichend verstanden sind (siehe etwa hier), zeigt, dass BDAI derzeit ein Trend ist, der noch in der Entwicklung steckt. So wird sich auch der Regulierungsansatz dazu mitentwickeln.

Neben Mindestanforderungen für Algorithmen, Daten und das Risikomanagement sind weitere Aufsichtsthemen im Zusammenhang mit BDAI etwa Auslagerung, Datensicherheit und IT-Sicherheit. BDAI-basierte Analysen können von Instituten von hierauf spezialisierten Unternehmen im Rahmen einer Auslagerungsvereinbarung eingekauft werden. Hierfür haben wir bereits einen regulatorischen Rahmen, der derzeit europaweit vereinheitlicht werden soll (siehe dazu diesen Blogbeitrag). Der Umgang mit Kundendaten ist aus Sicht des Verbraucherschutzes durch die DSGVO inzwischen strikt geregelt. Die IT-Sicherheit ist ebenfalls bereits ein Thema, das bei der BaFin im Fokus ist. Gerade vor wenigen Tagen veröffentlichte die BaFin eine Ankündigung, dass künftig in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber kritischer IT-Infrastrukturen auch unter die Aufsicht der BaFin fallen sollen, selbst wenn sie keine Finanzdienstleistungen anbieten. Entsprechend sollen die Bankaufsichtlichen Anforderungen an die IT (BAIT) ergänzt werden. Hier zeigt sich ein weiterer Trend, der auch auf die Nutzung von Massendaten durch selbstlernende Algorithmen überspringen kann, wenn sich externe Anbieter entwickeln, auf deren Analyse der Finanzmarkt vertraut und daraus neue Geschäftsmodelle generiert.

Auslöser neuer Regulierung sind häufig neue Themen, auf die die bestehenden Vorgaben nicht passen, weil sie zu restriktiv oder zu lax und unzureichend sind. In der BDAI-Debatte wird abzuwarten bleiben, wo die Reise hingeht. Es würde nicht verwundern, wenn hierfür eigene Regulierung geschaffen wird – entweder auf gesetzlicher Ebene oder durch die Verwaltungspraxis der Aufsichtsbehörden. Wünschenswert wäre jedenfalls ein einheitlicher europäischer Aufsichtsansatz und kein regulatorischer Flickenteppich, wie wir ihn für FinTech und Blockchain-Regulierung derzeit sehen.

BaFin veröffentlicht Studie zu Big Data sowie künstlicher Intelligenz und stellt den Bericht zur Konsultation

Die BaFin hat am 15.06.2018 eine Studie mit dem Titel „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“ veröffentlicht. In der Studie wurde untersucht, wie Big Data (BD) und Artificial Intelligence (AI) zusammenhängen, welche Auswirkungen BDAI auf die Finanzbranche haben kann und welche Konsequenzen daraus für die Aufsicht und eine künftige Regulierung resultieren können.

Mit der Studie wurde der Zweck verfolgt, eine breitangelegte Analyse zu erstellen, um der Aufsicht zu ermöglichen, Trends, Entwicklungen Chancen sowie Risiken im frühen Stadium erkennen und darauf entsprechend reagieren zu können. Dabei wird nicht nur die Perspektive von Banken, Versicherungsunternehmen und des Kapitalmarktes, sondern auch die des Verbrauchers, deren Daten letztlich die Quelle von Big Data bilden, beleuchtet. Der Verbraucher soll über den Wert der Daten, die er zugänglich macht, und über den jeweiligen Umgang mit den Daten sensibilisiert werden. In diesem Zusammenhang ist entscheidend, entsprechende Rahmenbedingungen zu schaffen, um Datensouveränität umfassend zu stärken. Zudem wird abschließend die Sicht der Regulatoren dargestellt.

BDAI bringt sowohl Chancen auch als Risiken mit sich. Aus der Studie wird deutlich, dass mithilfe von BDAI bestehende Prozesse und Strukturen verbessert werden können. Daneben eröffnet BDAI allerdings auch die Möglichkeit, neue Geschäftsmodelle, Anwendungen oder Produkte zu entwickeln, die wiederum mit Chancen und Risiken behaftet sind.

An der BaFin-Studie haben sich Experten aus der Partnerschaft Deutschland ,der Boston Consulting Group (BCG) und des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme (IAIS) beteiligt.

Zum Zwecke eines Austausches zu dem Themen Big Data und künstliche Intelligenz hat die BaFin am 16.07.2018 Unternehmen aus der Branche, Verbände sowie nationale und internationale Aufsichtsbehörden zur Konsultation des Berichts eingeladen. Die Basis für den Austausch bildet der BDAI-Bericht sowie die darin enthaltenen Leitfragen, welche in Form eines Fragebogens heruntergeladen werden können. Die Konsultation findet noch bis zum 30. September 2018 statt.