KAIT: Anforderungen an die IT von Kapitalverwaltungsgesellschaften

Einer der Aufsichtsschwerpunkte der BaFin für 2019 ist die IT-Infrastruktur der regulierten Unternehmen. Denn aufgrund der zunehmenden Digitalisierung der Finanzindustrie werden IT-Systeme und IT-Infrastruktur für Finanzinstitute immer wichtiger. Daher ist es für Institute von entscheidender Bedeutung, dass ihre IT-Systeme eine robuste Struktur aufweisen und sie sich der Risiken bewusst sind, die sich aus der Nutzung der IT ergeben können sowie dass sie für eventuelle Störfälle entsprechend vorbereitet sind. Denn nur so kann sichergestellt werden, dass das Unternehmen die Finanzdienstleistung dauerhaft und zuverlässig erbringen kann.

Zu diesem Zweck hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) veröffentlicht. Das Rundschreiben enthält Hinweise zur Auslegung der nationalen und europarechtlichen Vorschriften über die Geschäftsorganisation, soweit sie sich auf die technisch-organisatorische Ausstattung (und damit auch auf die IT-Systeme) der Kapitalverwaltungsgesellschaften (KVGen) beziehen. Die BaFin verfolgt das Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu schärfen und gibt dem Management mit dem Rundschreiben einen Rahmen für die technisch-organisatorische Ausstattung der IT, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement. Da immer mehr Unternehmen IT-Dienstleistungen von Dritten in Anspruch nehmen, regelt das Rundschreiben auch den Umgang mit Auslagerungen von IT-Aktivitäten und IT-Prozessen und holt so auch nicht-regulierte IT-Anbieter in ihr Aufsichtsspektrum. Der Entwurf steht bis zum 15. Mai 2019 zur Konsultation.

Im Einzelnen regelt das Rundschreiben:

  1. Die Verpflichtung der KVG, eine IT-Strategie vorzuhalten sowie u.a. Mindestinhalte dieser Strategie. Aufzunehmen ist z.B. die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation der KVG, die Auslagerung von IT-Dienstleistungen, Aussagen zum Notfallmanagement und Aussagen zu in den Fachbereichen selbst betriebenen oder entwickelten IT-Systemen.
  2. Die Implementierung einer IT-Governance, also einer Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Die KVG muss insbesondere Bereiche wie das Informationsrisikomanagement, den IT-Betrieb und die Anwendungsentwicklung mit quantitativ und qualitativ angemessenem Personal ausstatten, für IT-Risiken angemessene Überwachungs- und Steuerungsprozesse einrichten, sicherstellen, dass IT-bezogenen Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden und im Störungsfall geeignete Notfallmaßnahmen ergriffen werden.
  3. Die internen Prozesse zum Informationsrisikomanagement. Die KVG hat die mit dem Management verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege klar zu definieren und aufeinander abzustimmen. Sie hat angemessene Überwachungs- und Steuerungsprozesse einzurichten. Dabei ist besonders auf IT-Risikokriterien, die Identifikation von IT-Risiken und die Festlegung des Schutzbedarfs für den IT-Betrieb einzugehen.
  4. Vorgaben zum Informationssicherheitsmanagement. Dies macht Vorgaben zur Informationssicherheit, definiert Prozesse, steuert deren Umsetzung und folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die KVG muss zudem z.B. eine Informationssicherheitsleitlinie beschließen und die Funktion eines Informationssicherheitsbeauftragten einrichten.
  5. Die Implementierung eines Benutzerberechtigungsmanagement, das sicherstellt, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben der KVG entspricht. Das Rundschreiben enthält detaillierte Vorgaben, z.B. dass die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu erfolgen hat.
  6. Die Regelungen für IT-Projekte und die Anwendungsentwicklung. So sind IT-Projekte und Veränderungen der IT-Systeme vor ihrer Übernahme in den produktiven Betrieb zu testen und von den fachlich sowie auch von den technisch zuständigen Mitarbeitern abzunehmen. Produktions-und Testumgebung sind dabei grundsätzlich von einander zu trennen. Für die Entwicklung neuer IT-Funktionen sind angemessene Prozesse festzulegen, die Vorgaben zur Anforderungsentwicklung, zum Entwicklungsziel, zur technischen Umsetzung, zur Qualitätssicherung, sowie zu Test, Abnahme und Freigabe enthalten.
  7. Vorgaben zum konkreten IT-Betrieb. So sind beim Betrieb der IT-Systeme etwa Risiken aus veralteten Systemen zu berücksichtigen. Zudem sind alle Komponenten der IT-Systeme sowie deren Beziehung zueinander in geeigneter Weise zu verwalten und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren.
  8. Konkretisierungen der Anforderungen an die Auslagerung und den sonstigen Fremdbezug von IT-Dienstleistungen. So werden z.B. Sachverhalte aufgezählt, die die BaFin als Auslagerung von IT-Dienstleistungen ansieht, wie z.B. die Anpassung von Software an die Erfordernisse der KVG (Customising).

Fazit

Der Entwurf des Rundschreibens KAIT konkretisiert die Regelungen der Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk), die Vorgaben des KAGB und der Delegierten Verordnung zu der Geschäftsorganisation einer KVG. Die BaFin legt damit ihre Verwaltungspraxis offen. KVGen bekommen dadurch detailliertere Vorgaben zu den aufsichtsrechtlichen Anforderungen, die ihre IT-Systeme und ihre IT-Infrastruktur erfüllen muss, was wiederum zu mehr Rechtssicherheit führt. Die Vorgaben sind prinzipienorientiert und lassen damit Raum für eine Aufsichtspraxis, die die Größe und die individuellen Geschäftsmodelle der KVGen berücksichtigt. Dem Investor kommen die aufsichtsrechtlichen Anforderungen an die IT wiederum deshalb zugute, da diese letztendlich eine kontinuierliche und störungsfreie Erbringung der Dienstleistung sicherstellen sollen.

ESAs publish joint report on regulatory sandboxes and innovation hubs – Part 1: Innovation hubs available for enquiries

On January 7th 2019, the European Supervisory Authorities (ESAs) (consisting of the European Securities and Markets Authority, the European Banking Authority and the European Insurance and Occupational Pension Authority) published as part of the European´s Commission FinTech Action Plan e a joint report on innovation facilitators (i.e. regulatory sandboxes and innovation hubs) available here . The report sets out a comparative analysis of the innovation facilitators established to date within the EU including the presentation of best practices for the design and operation of innovation facilitators.

We take the report as an occasion to present both innovation hubs and regulatory sandboxes in a two-part article. In Part 1 we will discuss what exactly innovation hubs are, what goals they pursue and how they are structured in Germany. Part 2 will then deal with the regulatory sandboxes.

Innovation hubs – What they are and what their goals are

It is often difficult for companies to obtain binding statements on regulatory requirements when a business model is still developing. Innovation hubs create a formal framework that considerably simplifies the exchange between innovators and supervisors, thereby promoting market access.

Innovation hubs provide a dedicated point of contact for firms to raise enquiries with competent authorities on Fin Tech-related issues to seek non-binding guidance on the conformity of innovative financial products, financial services, business models or delivery mechanisms with licensing or registration requirements and regulatory and supervisory expectations. In general, the innovation hubs are available to companies as a user interface at the relevant national authority. In Germany, the innovation hub is located at the Federal Financial Supervisory Authority (Bundesanstalt für FinanzdienstleistungsaufsichtBaFin) and is available here. A total of twenty-one EU Member States have established innovation hubs.[1]

Innovation hubs have been set up to enhance firms´ understanding of the regulatory and supervisory expectations regarding innovative business models, products and services. To achieve this goal, firms are provided with a contact point for asking questions of, and initiate dialogue with, competent authorities regarding the application of regulatory and supervisory requirements to innovative business models, financial products, services and delivery mechanisms. For example, the innovation hubs provide firms with non-binding guidance on the conformity of their proposed business model with regulatory requirements; specifically, whether or not the proposition would include regulated activities for which authorisation is required.

Who can participate and how does an innovation hub work exactly?

In the following, we explain which companies can participate in the innovation hubs and describe how exactly the communication between the companies and the innovation hub takes place.

Scope

The innovation hubs are open to all firms, whether incumbents or new entrants, regulated or unregulated which adopt or consider to adopt innovative products, services, business models or delivery mechanisms.

Communication process between firms and competent authorities

The following ESA graph illustrates the communication process between the firms and the competent authority using the innovation hub. The individual phases of the communication process are explained below. [2]

Submission of enquiries via interface

In order to submit enquiries, all innovation hubs set up in the EU Member States offer interested companies user interfaces through which contact can be established with the respective supervisory authority. This can be done e.g. by telephone or electronically, but also via online meetings or websites. Some innovation hubs also offer the possibility of organising physical meetings. In Germany, BaFin provides an electronic contact form in which both the company data and the planned business model can be presented and transmitted to BaFin. The contact form is available here.

Assigning the request to the relevant point of contact within the competent authority

As soon as the contact has been established and the request has been submitted, typically the authority conducts a screening process to determine how best to deal with the queries raised. In this process, the authority considers factors such as the nature of the query, its urgency and its complexity, including the need to refer the query to other authorities, such as data protection authorities.

Providing responses to the firms

Depending on the nature of the enquiries raised, several information exchanges between the firm and the competent authority may take place. Responses to firms may be routed to different channels such as meetings, telephone calls or email. Typically, the responses provided via the innovation hub are to be understood as preliminary guidance based solely on the facts established in the course of the communications between the firms and the competent authority. The companies can use the information gained to better understand the regulatory requirements for their planned business model and develop it further on this basis.

Follow-up actions

Some authorities offer follow-up actions within their innovation hubs. Especially if the communication process between the company and the authority shows that the business model of the company includes a regulated activity. In this case, some competent authorities may provide support within the authorisation process (e.g. dedicated point of contact, guidance on the completion of the application form).

Previous experiences on the use of innovation hubs

Although innovation hubs are available to all market participants, according to the ESA report, three categories of companies in particular use the innovation hubs: (i) start-ups, (ii) regulated entities that are already supervised by competent authorities and are considering innovation products or services and (iii) technology providers offering technical solutions to institutions active in the financial markets.

Typically, the firms use the innovation hub to seek information about the following: (i) whether or not a certain activity needs authorisation and, if so, information about the licensing process and the regulatory and supervisory obligations, (ii) whether or not anti-money laundering issues arise, and (iii) the applicability of consumer protection regulation and (iv) the application of regulatory and supervisory requirements (e.g. systems and controls).

Upshot

Innovation hubs provide companies with a good opportunity to interact with regulators via a user-friendly platform. They can therefore clarify the regulatory requirements for the products they plan to develop at an early stage and incorporate them into their business planning. By setting up innovation hubs, especially for young and dynamic (FinTech-) start-ups, the inhibition threshold to contact the supervisory authority is significantly lowered, especially because predefined user interfaces can be used.


[1] Austria, Belgium, Bulgaria, Cyprus, Germany, Denmark, Estonia, Spain, Finland, France, Hungary, Ireland, Iceland, Italy, Liechtenstein, Lithuania, Luxembourg, Latvia, Netherlands, Norway, Poland, Portugal, Romania, Sweden, UK.

[2] Source: ESA Report FinTech: Regulatory sandboxes and innovation hubs.

Entwurf der neuen FinVermV bringt Verschärfungen und Erleichterungen mit sich

Am 7. November 2018 hatdas Bundesministerium für Wirtschaft und Energie den lang erwarteten Referentenentwurf   für die Verordnung zurÄnderung der Finanzanlagenvermittlungsordnung (FinVermV) veröffentlicht. Hintergrund ist die Anpassung derFinVermV an die Vorgaben der Zweiten Finanzmarktrichtlinie (MiFIDII). 
Wir hatten bereits hier darüber berichtet. Die neue FinVermV wird regeln, welche Vorschriften derMiFID II auch für gewerbliche Finanzanlagenvermittler mit einer Erlaubnis nach§ 34f GewO gelten. Zu dem Referentenentwurf konnte bis zum 22. November 2018Stellung genommen werden. Es wird erwartet, dass die neue FinVermV ohneÜbergangsfrist zum Jahresbeginn 2019 in Kraft treten wird.

Nach dem Willen der Bundesregierung sollten Finanzanlagenvermittler künftig zumindest in Teilen eine den Regulierungen für Banken und Finanzdienstleister nach dem WpHG entsprechende Regulierung erfahren. Doch wie weit diese entsprechende Regulierung konkret gehen soll, war bis zur Veröffentlichung des Referentenentwurfs nicht klar. Zu Anfang die schlechte Nachricht – auf Finanzanlagenvermittler kommen Verschärfungen zu.

Zukünftig müssen Finanzanlagenvermittler dieInhalte von Telefongesprächen und elektronischer Kommunikation aufzeichnen (Taping), sobald sie Vermittlung vonoder Beratung zu Finanzanlagen erbringen. Der Anlagevermittler muss zudem sicherstellen,dass auch mitwirkende Beschäftigte diese Pflicht einhalten. Dies dient derStärkung des Anlegerschutzes, der Verbesserung der Marktüberwachung und schafftRechtssicherheit für beide Seiten, Finanzanlagenvermittler und Anleger. DieRegelung orientiert sich am WpHG, vgl. zu den Anforderungen hier Nicht erfasst sind Gespräche, die nicht Beratung oder Vermittlung voneinzelnen oder mehreren konkreten Finanzanlagen zum Inhalt haben.Anbahnungsgespräche, Terminabsprachen und Kommunikation, die sich aufVersicherungsprodukte oder Darlehen bezieht, sind also nicht aufzuzeichnen. DieAbgrenzung ist jedoch schwierig, wenn sich ein Gespräch in eine andere als diegeplante Richtung entwickelt. Das Taping wird erhebliche Ressourcen inzeitlicher, technischer und personeller Hinsicht erfordern.

Ähnlich stellt es bezüglich der Vermeidung,Regelung und Offenlegung von Interessenkonflikten dar.Der Anlagevermittler muss angemessene Maßnahmen treffen, umInteressenkonflikte zu erkennen und zu vermeiden. Lassen sichInteressenkonflikte seitens des Anlagevermittlers im Vorfeld nicht vermeiden, müssen sie derart geregelt werden, dasssie keine Nachteile für den Anleger auslösen. Das betrifft insbesondere Interessenkonflikte,die durch Zuwendungen, ähnliche Anreize oder die Vergütungsstrukturhervorgerufen werden können. Bestehen trotz angemessener Maßnahmen weiterhin Interessenkonflikte, so sinddiese dem Anleger gegenüber rechtzeitig vor Abschluss eines Geschäfts offen zulegen. Die Art und Weise der Vergütungsstruktur und/oder Bewertung derMitarbeiter darf nicht mit der Mitarbeiterpflicht kollidieren, in bestmöglichenKundeninteresse zu handeln. Die konkrete Ausgestaltung darf auf keinen Falldazu führen, dass die Anlagenempfehlung nicht durch die Bedürfnisse desAnlegers, sondern durch die Vergütungsinteressen der Mitarbeiter bestimmt wird.Die Annahme und Gewährung von Zuwendungen darf sich nicht nachteilig auf dieQualität der Vermittlung und Beratung auswirken. Der Anlagevermittler muss außerdemstets im bestmöglichen Interesse des Anlegers ehrlich, redlich und professionellhandeln.

Schon unter der aktuellen FinVermV besteht für Finanzanlagenvermittlergegenüber dem Anleger eine Informationspflichthinsichtlich Risiken, Kosten und Nebenkosten der Anlage, der neue Referentenentwurfverlangt jedoch einen detaillierteren Kostenausweis. Das beinhaltet für dieFinanzanlagenvermittler die Pflicht zu einer Kostenaufstellung sowohl ex-ante alsauch ex-post. Sie müssen ihren Kunden nunmehr schon vor dem Abschluss des Geschäfts detailliert aufschlüsseln, welcheKosten für das Produkt voraussichtlich fällig werden. Der Anleger soll damit indie Lage versetzt werden, eine fundierte Anlageentscheidung treffen zu können. Nach Abschluss des Geschäfts müssen danndie tatsächlich angefallenen Kosten zusammengestellt werden. Das bedeutet einenerhöhten Verwaltungsaufwand für die Vermittler, der allerdings dadurch etwasabgeschwächt wird, dass sie für die Kostenaufstellung auch die Informationenverwenden können, die ihnen das die Finanzanlage konzipierende Unternehmen, derEmittent oder das depotverwaltende Institut zur Verfügung stellt.

Mit der Regulierung gehen aber auch gute Nachrichten fürFinanzanlagenvermittler einher.

Die Zuwendungsregeln fürAnlagevermittler sind weniger streng ausgefallen als die des WpHG, vgl. hier.Annahme und Gewährung von Zuwendungen dürfen sich nicht nachteilig auf dieQualität der Vermittlung und Beratung auswirken. Allerdings muss nicht jedeZuwendung vollständig in die Qualitätsverbesserung fließen, sodassAnlagevermittler Provisionen behalten dürfen. Auch müssen dieFinanzanlagevermittler im Gegensatz zu Banken und Finanzdienstleistern nach demWpHG keine eigene Zielmarktbestimmungvornehmen. Es reicht aus, wenn sie die Zielmarktbestimmung des Emittenten oderKonzepteurs einholen und verstehen, um so sicherstellen zu können dass sie demAnleger nur passende Finanzanlagen vermitteln. Die bisherige Pflicht zurErstellung eines Beratungsprotokolls entfällt. Stattdessen muss dem Anlegereine Geeignetheitserklärung zurVerfügung gestellt werden, in der die Gründe für die Anlageempfehlungzusammengefasst sind. Zudem ist auch weiterhin keine direkte Beaufsichtigung durch die BaFin vorgesehen.

Was bleibt also festzuhalten? Die neue FinVermV wird durchaus zu Veränderungenfür die Finanzanlagenvermittler führen. Insbesondere das Taping und dieKostenaufstellung ex-ante und ex-post, wird zu einem erhöhten Arbeitsaufwandführen. Positiv dürfte im Markt hingegen vor allem aufgenommen werden, dasskeine eigene Zielmarktbestimmung von den Vermittlern vorzunehmen ist und dieZuwendungsregeln weniger streng als befürchtet ausgefallen sind. BestehendeGeschäftsmodelle müssen daher nicht grundlegend neu gedacht, sondern lediglichinterne Prozesse angepasst werden.

FinTech Action Plan versus Global Financial Innovation Network

As outlined in Part 3 of this series of posts giving updates on the European FinTech regulation agenda, the envisaged harmonized regulatory framework for financial innovation within the Single Market will be based on a comprehensive understanding of the innovative landscape within the financial market. Building the knowledge takes time and effort. It took EBA three and a half months after laying out its FinTech Road Map to publish the first analyses which form part of the FinTech Knowledge Hub.

The Knowledge Hub aims at fostering a better understanding of the innovative landscape within the financial market through facilitating the exchange of information between European and national regulators, innovators and technology providers. On this basis, a regulatory framework can be built that will fit the market’s demands and will support new innovative business models.

In contrast to the European approach, the Financial Conduct Authority (FCA) in London approaches the support for FinTechs in what seems to be at a first glance a more rapid way. Already in February 2018 the UK regulator encouraged the idea of a “global sandbox.” A regulatory sandbox allows the provider of innovative technology to offer his or her idea to a certain number of potential clients within the financial market for a limited period of time without the application of the full set of compliance, license and capital requirements. During this time the provider can assess if his or her innovative approach is worth the investment of full regulatory compliance. In the UK the possibility for FinTechs to approach the market via a regulatory sandbox has been successfully established in 2016.

Driven by the understanding that major emerging innovation trends (such as big data, artificial intelligence and blockchain based solutions) are increasingly global, rather than domestic, in nature, in February 2018 the FCA started an international dialogue with firms doing business, or looking to do business, in the UK or overseas, regulators, consumers, or any other interested party to assess what a global sandbox could look like. The FCA received 50 responses to their call in February with an overall positive feedback. Key themes to emerge in the feedback were:

Regulatory co-operation: Respondents were supportive of the idea of providing a setting for regulators to collaborate on common challenges or policy questions that firms face in different jurisdictions.

Speed to market: Respondents saw as one of the main advantages for the global sandbox that it could be reducing the time it takes to bring ideas to new international markets.

Governance: Feedback highlighted the importance of the project being transparent and fair to those potential firms wishing to apply for cross-border testing.

Emerging technologies/business models: A wide range of topics and subject matters were highlighted in the feedback, particularly those with notable cross-border application. Among the issues highlighted were artificial intelligence, distributed ledger technology, data protection, regulation of securities and Initial Coin Offerings (ICOs), know your customer (KYC) and anti-money laundering (AML).

Building on the FCA’s proposal to create a global sandbox, on 7 August 2018 the FCA has, in collaboration with 11 financial regulators and related organisations, announced the creation of the Global Financial Innovation Network (GFIN). The FCA is the only European regulator within GFIN. The other members are the Abu Dhabi Global Market (ADGM), the Autorité des marchés financiers (AMF, Canada), the Australian Securities & Investments Commission (ASIC), the Central Bank of Bahrain (CBB), the Bureau of Consumer Financial Protection (BCFP, USA), the Dubai Financial Services Authority (DFSA), the Guernsey Financial Services Commission (GFSC), the Hong Kong Monetary Authority (HKMA), the Monetary Authority of Singapore (MAS), the Ontario Securities Commission (OSC, Canada) and the Consultative Group to Assist the Poor (CGAP).

The idea of GFIN is to:

  1. act as a network of regulators to collaborate, share experience of innovation in respective markets, including emerging technologies and business models, and communicate to firms;
  2. provide a forum for joint policy work and discussions; and
  3. provide firms with an environment in which to trial cross-border solutions (business-to-consumer (B2C) or business-to-business (B2B)).

With the announcement of the creation of GFIN, the FCA also published a consultation document laying out a mission statement for GFIN and the idea of a global sandbox which is still based on the FCA’s concept thereof published in February. The consultation is addressed to innovative financial services firms, financial services regulators, technology companies, technology providers, trade bodies, accelerators, academia, consumer groups and other stakeholders keen on being part of the development of GFIN and will be running until 14 October 2018.

Although the knowledge centered approach of the EU for a regulatory framework for FinTechs within the Single Market surely is a reasonable approach, an international approach could have the advantage of providing speedier solutions and create a competitive advantage. With Brexit on the horizon, the FCA’s approach seems sensible and certainly a good move to keep their financial market up to date.

FinTech Action Plan and EBA Road Map: Part 3

As outlined in Part 1 and Part 2 of this series of posts giving updates on the European FinTech regulation agenda, there is a political will to create a comprehensive and harmonized regulatory framework for financial innovation within the Single Market. Part of the Road Map to a regulatory framework is a FinTech Knowledge Hub, which is meant to facilitate the exchange of information between European and national regulators, innovators and technology providers. The Knowledge Hub will foster a better understanding of the innovative landscape within the financial market.

Three and a half months after laying out its FinTech Road Map, EBA delivers first products that form part of the FinTech Knowledge Hub.

The two documents published on 3 July 2018 are reports on the impact of FinTech on incumbent credit institutions’ business models  and on the prudential risks and opportunities arising for institutions from FinTech . Both reports contain an analysis of the impact of FinTechs on the current financial landscape and aim to raise awareness within the supervisory community and the financial industry of potential prudential risks and opportunities from current and potential FinTech applications. EBA wants to convey an understanding of the main trends that could impact incumbents‘ business models and pose potential challenges to their sustainability.

The first report, on the impact of FinTech on incumbent credit institutions’ business models, is an overview of the current market situation. It identifies four drivers for changes in current business models which are i. customer expectations and behaviour, ii. profitability concerns in the current low interest rate environment, iii. increasing competition and iv. regulatory changes such as PSD2 and GDPR. EBA identifies two main trends among the different digitalisation projects of the established institutions, namely digital transformation of internal processes and digital disruption by use of innovative technologies that aim to enhance customer experience. In the current FinTech ecosystem the prevailing model of interaction between FinTechs and incumbent institutions is one of collaboration and establishment of new relationships. In this way FinTechs can provide knowledge and ideas incumbent institutions have yet been too reluctant or too slow to establish themselves.

The second report, on prudential risks and opportunities arising for institutions from FinTech, is intended to raise awareness of and to share information on current and potential FinTech applications. The report focuses on seven use cases without making recommendations. The seven use cases are:

  1. Biometric authentication using fingerprint recognition,
  2. Use of robo-advisors for investment advice,
  3. Use of big data and machine learning for credit scoring,
  4. Use of Distributed Ledger Technology (DLT) and smart contracts for trade finance,
  5. Use of DLT to streamline Customer Due Diligence processes,
  6. Mobile wallet with the use of Near Field Communication (NFC),
  7. Outsourcing core banking/payment systems to a public cloud.

EBA focuses mainly on operational risk aspects, but also considers opportunities that may arise from the seven applications. The report is informative and provides a good overview for competent authorities and institutions alike of the current landscape and the inherent prudential risks that the market should be aware of.

Cloud-Computing, Outsourcing und IT-Aufsicht

In Zeiten der Digitalisierung sind Cloud-Dienste nicht mehr wegzudenken. Gerade für Unternehmen, die innovative Finanz-Produkte anbieten wollen, stellt sich zu Geschäftsbeginn oder bei Erweiterung des Geschäftsmodells die Frage, ob sie eigene traditionelle IT-Systeme aufbauen oder stattdessen IT-Ressourcen aus der Cloud nutzen wollen. Cloud-Computing gibt es in vielen Formen und Größen: on demand oder mit festem Volumen, mit verschiedenen Zugangsoptionen (public, private oder hybrid), als Infrastructure as a service (IaaS), Platform as a service (PaaS) oder Software as a service (SaaS).

Bei IaaS werden Server, Rechenleistung, Speicher und Netzwerkkapazitäten eines Cloud-Anbieters in Anspruch genommen. In der Regel hat bei dieser Variante der Anwender die Kontrolle über Betriebssysteme und Anwendungen. PasS stellt üblicherweise ein Programmiermodell und Entwicklerwerkzeuge zur Verfügung, um Cloud-basierte Anwendungen zu erstellen und zu nutzen, die Infrastruktur ist im Paket inbegriffen. Als dritte und weitreichendste Nutzung externer IT werden bei der SaaS-Lösung Softwareanwendungen über das Internet bereitgestellt, wobei die Anwendungen samt dazugehöriger Infrastruktur von den Cloud-Anbietern gehostet und verwaltet werden.

Da die IT-Aufsicht ein Schwerpunktbereich in der Bankenaufsicht 2018 ist, zeigen wir im Folgenden, welcher regulatorische Rahmen bei der Nutzung von Cloud-Computing zu beachten ist und ob es hierfür eigene, über die altbekannten Auslagerungsvorgaben hinausgehende Anforderungen gibt. Es gibt zwei Regulierungsbereiche, die bei der Nutzung von Cloud-Diensten wesentlich sind: Das ist zum einen das Thema Auslagerung und zum anderen die IT-Sicherheit.

IT-Sicherheit

Wie wir bereits in unserem letzten Blogbeitrag zur Finanzaufsicht in Zeiten der Digitalisierung festgestellt haben, sind die allgemeinen Vorgaben der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und Bankaufsichtlichen Anforderungen an die IT (BAIT) die Grundlagen der Verwaltungspraxis der BaFin im Rahmen der IT-Aufsicht. Diese prinzipienbasierten Vorgaben gelten selbstverständlich auch dann, wenn Institute nicht ihre eigene IT-Infrastruktur aufbauen, sondern Cloud-basierte IT-Infrastruktur einkaufen. Denn auch dann muss das Institut gewährleisten, dass seine IT sicher ist und z.B. die Kunden- und Transaktionsdaten verlässlich und sicher verwahrt und genutzt werden.

Erwähnenswert sind hier jedoch auch die Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Anforderungskatalog Cloud Computing (C5) veröffentlicht hat. Der Anforderungskatalog richtet sich in erster Linie zwar an professionelle Cloud-Anbieter, er findet jedoch auch Berücksichtigung im Rahmen der Prüfung der Institute. Die Prüfer, die auch die Einhaltung der aufsichtsrechtlichen Vorgaben überprüfen, können den Anforderungskatalog des BSI als Prüfungsmaßstab heranziehen. Bei dem Anforderungskatalog selbst handelt es sich nicht um bindende Vorgaben, sondern um Empfehlungen. Die festgeschriebenen Anforderungen stellen eine Referenz des BSI für sicheres Cloud-Computing dar. Daher ist es aus Sicht der Institute wichtig, die Empfehlungen des BSI zumindest zu kennen. Wenn ein Institut mit einem Cloud-Anbieter von dem Anforderungskatalog des BSI abweichende Vereinbarungen treffen sollte, sollte das Institut gegenüber den Prüfern und der Aufsicht erklären können, weshalb der gewählte Dienst dennoch ein hohes Maß an IT-Sicherheit vorweist.

Outsourcing

Ein besonders wichtiges Thema bei der Nutzung von Cloud-Computing ist die Auslagerung von IT-Dienstleistungen. Auslagerungen müssen nach wie vor die Anforderungen der MaRisk und der BAIT erfüllen, d.h. unter anderem, eine eigene Risikoanalyse muss Risikogehalt und Wesentlichkeit einer Auslagerung feststellen, es sind gewisse Anforderungen an die vertraglichen Regelungen mit den Cloud-Dienstleistern zu erfüllen, und es sind intern klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten festzulegen.

Schließlich ist zu betonen, dass die genaue Kenntnis der bezogenen Cloud-Dienste grundlegend ist für den von den Instituten selbst gewählte Umfang des Cloud-Computings. Ein solcher Satz mag verwundern, in der Praxis kommt es jedoch immer wieder vor, dass die Institute trotz ihrer Überwachungspflicht nicht immer alle Details ihrer IT-Infrastruktur kennen. Dem wirken die neuen europäischen Vorgaben zur Auslagerung an Cloud-Anbieter nun explizit entgegen.

Ab 1. Juli 2018 gelten die EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter, die Ende März 2018 veröffentlicht wurden. Die Empfehlungen der EBA binden die nationalen Aufsichtsbehörden und geben so indirekt den europäischen Aufsichtsstandard in Bezug auf Cloud-Computing vor. Neu ist, dass die auslagernden Institute ab 1. Juli 2018 ihre zuständigen Aufsichtsbehörden über wesentliche Tätigkeiten, die an Cloud-Service-Provider ausgelagert werden, angemessen und – wenn man sich die neuen Vorgaben genauer anschaut – nun auch detailliert informieren müssen. So sind künftig für Institute eine Beschreibung der Tätigkeiten und Daten, die ausgelagert werden sollen (einschließlich des Standorts der Datenspeicherung) sowie weitere Vertragsdetails mitzuteilen. Bislang waren solche Informationen intern vorzuhalten und wurden im Rahmen der jährlichen aufsichtlichen Prüfung berücksichtigt, detaillierte Vorgaben zur aktiven Vorlage bei der Aufsicht gab es jedoch nicht. Die EBA-Empfehlungen sehen nun auch explizit vor, dass das auslagernde Institut ein stets aktuelles Informationsverzeichnis mit allen wesentlichen und nicht wesentlichen Tätigkeiten führt, die auf Instituts- oder Gruppenebene an Cloud-Anbieter übertragen wurden. Ein solches Verzeichnis muss z.B. Aufschluss darüber geben, ob der genutzte Cloud-Anbieter ersetzbar wäre und wann die letzte Risikobewertung der Auslagerung seitens des Instituts erfolgte. Weitere zentrale Punkte in dem EBA-Papier sind die vertragliche Umsetzung von Zugangs- und Prüfungsrechten sowohl für die Institute selbst als auch für die Aufsicht, sowie die Sicherheit von Daten und Systemen, die im Kern aber keine Neuerungen für die deutsche Aufsichtspraxis bergen.

Zusammenfassend lässt sich feststellen, dass die Nutzung von Cloud-Lösungen aufsichtsrechtlich kein Selbstläufer ist, sondern eine genaue Analyse, Kenntnis und Überwachung des auslagernden Instituts voraussetzt.

FinTech Action Plan and EBA Road Map: Part 2

Part 2: Further Guidance through EBA’s FinTech Roadmap

On 15 March 2018 EBA published its FinTech Roadmap which bridges the dichotomy between consumer protection and stability of the financial system through cybersecurity on the one hand and the support for financial innovation on the other hand. It becomes clear that EBA recognises the benefits of the innovative developments for the Single Market, which include enhancing consumer experience, cost efficiency for consumers and service providers and the need to support growth.

A harmonised regulatory framework for new technologies in the financial markets is needed. A provider of an innovative idea using new financial technologies might want to test his idea in the market. He will face different challenges in countries with regulatory sandboxes compared to countries where a inflexible regulatory regime applies. A regulatory sandbox would allow the provider to offer his idea to a certain amount of potential clients for a limited period of time without the application of the whole compliance, license and capital requirements. During this time he can assess if his innovative approach is worth the investment of full regulatory compliance. In countries where the regulatory regime applies from day one when the first client is approached and on boarded, the investment of the provider is much higher. This might in turn prevent financial innovations since the hurdle to become a (regulated) market player is quite high.

EBA did not provide a practical briefing for establishing consistent regulatory sandboxes in its Roadmap. It only announced that further analysis of already established sandboxes (as e.g. in the UK, in Singapore and in Australia) will be undertaken. EBA figures that by the end of 2018 best practice guidelines for regulatory sandboxes will be issued.

Until then the German regulator BaFin will impose the classical regulatory regime drafted for traditional players on the innovative developers of the financial markets, paired with a warning to consumers regarding the risk of buying virtual currency due to a lack of statutory consumer protection. So far BaFin published some generic guidance on its regulatory assessment of ICOs, but emphasised that a case-by-case evaluation will be inevitable. For other financial innovations such as for example crowd-funding platforms, it took more than two years until regulation on a national level complemented by BaFin’s administrative practice was established.

A comprehensive and harmonised regulatory framework which leaves room for innovation is essential for a growing and competitive Single Market. Hopefully, EBA’s planned FinTech Knowledge Hub, which will facilitate the exchange of information between regulators, innovators and technology providers, will add to this understanding. Up to now EBA did not provide concrete guidance for new market players. To be fair on the national regulators, without any leeway by the legislators there is not much room to ease the burden of the current regulation for new technologies through an administrative practice alone. Throughout 2018 at least, FinTechs will thrive in countries with a flexible regulatory approach that is backed by the relevant regulator.

FinTech Action Plan and EBA Road Map: Part 1

Part 1: The European Commission’s Action Plan on FinTech

Currently, supervisors in the EU member states take different approaches in dealing with FinTech Start-ups and apply non-harmonised regulatory rules regarding authorisation or registration regimes and compliance. The European Commission’s newest political statement on financial innovation aims at a harmonised market.

On 8 March 2018 the European Commission published its Action Plan on FinTech and laid out its support of innovative business models and new technologies in the financial sector. In addition to ensuring a high level of consumer and investor protection and increasing cybersecurity, the Action Plan also proposes a regulatory framework throughout the Single Market.

Given that new and innovative financial services do not always easily fit under the existing EU regulatory framework, the Action Plan sketches the outlines of a comprehensive European passporting regime for European investment-based and lending-based crowdfunding service providers (ECSP). It also promotes the idea of regulatory sandboxes as a controlled space to test innovative FinTech solutions for a limited period of time and on a limited scale in coordination with the competent authority.

The Commission will host an EU FinTech Lab in Q2 this year where regulators can learn and understand from technology solution providers in a non-commercial space how their new technologies are applied to the financial sector and what regulatory concerns may exist. This is a sensible idea to ensure the regulators’ understanding and the market applicability of new technology in a neutral, constructive setting.

The Action Plan gives some hope that the EU will be a market where innovative FinTech business models can develop on a harmonised basis overcoming diverging regulatory burdens. Yet, it remains to be seen if the awaited guidance of the European authorities thereon will transfer the political vision into a practical and innovation supportive approach.