FinTech Action Plan versus Global Financial Innovation Network

As outlined in Part 3 of this series of posts giving updates on the European FinTech regulation agenda, the envisaged harmonized regulatory framework for financial innovation within the Single Market will be based on a comprehensive understanding of the innovative landscape within the financial market. Building the knowledge takes time and effort. It took EBA three and a half months after laying out its FinTech Road Map to publish the first analyses which form part of the FinTech Knowledge Hub.

The Knowledge Hub aims at fostering a better understanding of the innovative landscape within the financial market through facilitating the exchange of information between European and national regulators, innovators and technology providers. On this basis, a regulatory framework can be built that will fit the market’s demands and will support new innovative business models.

In contrast to the European approach, the Financial Conduct Authority (FCA) in London approaches the support for FinTechs in what seems to be at a first glance a more rapid way. Already in February 2018 the UK regulator encouraged the idea of a “global sandbox.” A regulatory sandbox allows the provider of innovative technology to offer his or her idea to a certain number of potential clients within the financial market for a limited period of time without the application of the full set of compliance, license and capital requirements. During this time the provider can assess if his or her innovative approach is worth the investment of full regulatory compliance. In the UK the possibility for FinTechs to approach the market via a regulatory sandbox has been successfully established in 2016.

Driven by the understanding that major emerging innovation trends (such as big data, artificial intelligence and blockchain based solutions) are increasingly global, rather than domestic, in nature, in February 2018 the FCA started an international dialogue with firms doing business, or looking to do business, in the UK or overseas, regulators, consumers, or any other interested party to assess what a global sandbox could look like. The FCA received 50 responses to their call in February with an overall positive feedback. Key themes to emerge in the feedback were:

Regulatory co-operation: Respondents were supportive of the idea of providing a setting for regulators to collaborate on common challenges or policy questions that firms face in different jurisdictions.

Speed to market: Respondents saw as one of the main advantages for the global sandbox that it could be reducing the time it takes to bring ideas to new international markets.

Governance: Feedback highlighted the importance of the project being transparent and fair to those potential firms wishing to apply for cross-border testing.

Emerging technologies/business models: A wide range of topics and subject matters were highlighted in the feedback, particularly those with notable cross-border application. Among the issues highlighted were artificial intelligence, distributed ledger technology, data protection, regulation of securities and Initial Coin Offerings (ICOs), know your customer (KYC) and anti-money laundering (AML).

Building on the FCA’s proposal to create a global sandbox, on 7 August 2018 the FCA has, in collaboration with 11 financial regulators and related organisations, announced the creation of the Global Financial Innovation Network (GFIN). The FCA is the only European regulator within GFIN. The other members are the Abu Dhabi Global Market (ADGM), the Autorité des marchés financiers (AMF, Canada), the Australian Securities & Investments Commission (ASIC), the Central Bank of Bahrain (CBB), the Bureau of Consumer Financial Protection (BCFP, USA), the Dubai Financial Services Authority (DFSA), the Guernsey Financial Services Commission (GFSC), the Hong Kong Monetary Authority (HKMA), the Monetary Authority of Singapore (MAS), the Ontario Securities Commission (OSC, Canada) and the Consultative Group to Assist the Poor (CGAP).

The idea of GFIN is to:

  1. act as a network of regulators to collaborate, share experience of innovation in respective markets, including emerging technologies and business models, and communicate to firms;
  2. provide a forum for joint policy work and discussions; and
  3. provide firms with an environment in which to trial cross-border solutions (business-to-consumer (B2C) or business-to-business (B2B)).

With the announcement of the creation of GFIN, the FCA also published a consultation document laying out a mission statement for GFIN and the idea of a global sandbox which is still based on the FCA’s concept thereof published in February. The consultation is addressed to innovative financial services firms, financial services regulators, technology companies, technology providers, trade bodies, accelerators, academia, consumer groups and other stakeholders keen on being part of the development of GFIN and will be running until 14 October 2018.

Although the knowledge centered approach of the EU for a regulatory framework for FinTechs within the Single Market surely is a reasonable approach, an international approach could have the advantage of providing speedier solutions and create a competitive advantage. With Brexit on the horizon, the FCA’s approach seems sensible and certainly a good move to keep their financial market up to date.

BaFin veröffentlicht Studie zu Big Data sowie künstlicher Intelligenz und stellt den Bericht zur Konsultation

Die BaFin hat am 15.06.2018 eine Studie mit dem Titel „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“ veröffentlicht. In der Studie wurde untersucht, wie Big Data (BD) und Artificial Intelligence (AI) zusammenhängen, welche Auswirkungen BDAI auf die Finanzbranche haben kann und welche Konsequenzen daraus für die Aufsicht und eine künftige Regulierung resultieren können.

Mit der Studie wurde der Zweck verfolgt, eine breitangelegte Analyse zu erstellen, um der Aufsicht zu ermöglichen, Trends, Entwicklungen Chancen sowie Risiken im frühen Stadium erkennen und darauf entsprechend reagieren zu können. Dabei wird nicht nur die Perspektive von Banken, Versicherungsunternehmen und des Kapitalmarktes, sondern auch die des Verbrauchers, deren Daten letztlich die Quelle von Big Data bilden, beleuchtet. Der Verbraucher soll über den Wert der Daten, die er zugänglich macht, und über den jeweiligen Umgang mit den Daten sensibilisiert werden. In diesem Zusammenhang ist entscheidend, entsprechende Rahmenbedingungen zu schaffen, um Datensouveränität umfassend zu stärken. Zudem wird abschließend die Sicht der Regulatoren dargestellt.

BDAI bringt sowohl Chancen auch als Risiken mit sich. Aus der Studie wird deutlich, dass mithilfe von BDAI bestehende Prozesse und Strukturen verbessert werden können. Daneben eröffnet BDAI allerdings auch die Möglichkeit, neue Geschäftsmodelle, Anwendungen oder Produkte zu entwickeln, die wiederum mit Chancen und Risiken behaftet sind.

An der BaFin-Studie haben sich Experten aus der Partnerschaft Deutschland ,der Boston Consulting Group (BCG) und des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme (IAIS) beteiligt.

Zum Zwecke eines Austausches zu dem Themen Big Data und künstliche Intelligenz hat die BaFin am 16.07.2018 Unternehmen aus der Branche, Verbände sowie nationale und internationale Aufsichtsbehörden zur Konsultation des Berichts eingeladen. Die Basis für den Austausch bildet der BDAI-Bericht sowie die darin enthaltenen Leitfragen, welche in Form eines Fragebogens heruntergeladen werden können. Die Konsultation findet noch bis zum 30. September 2018 statt.

EBA konsultiert ein harmonisiertes Auslagerungsregime – Was erwartet den deutschen Markt?

Seit 22. Juni und noch bis 24. September 2018 konsultiert die EBA Richtlinien für ein harmonisiertes Auslagerungsregime. Anknüpfend an die Leitlinien zum Outsourcing des Commitee of European Banking Supervisors (CEBS) aus dem Jahr 2006, die nur für Kreditinstitute Anwendung finden, möchte die EBA nun einen gemeinsamen europäischen Rahmen für Kreditinstitute und Finanzdienstleistungsunternehmen, Zahlungs- und E-Geld-Institute schaffen. Erfasst sind von dem neuen Vorstoß damit Institute, die der CRR und der PSD2 unterliegen. Nach wie vor nicht erfasst sind Fondsmanager. Grund dafür ist einfach, dass die EBA für diesen Bereich nicht zuständig ist. Hier wäre eine Zusammenarbeit mit der ESMA, die für den Fondsbereich Leitlinien erlassen kann, wünschenswert gewesen.

Zu begrüßen ist der Vorstoß der EBA dennoch vor dem Hintergrund, dass gerade für die FinTech-Szene Auslagerungen ein wichtiges Thema sind. Etablierte Institute, die intern keine eigenen Innovationen entwickeln, suchen häufig Kooperationspartner aus der FinTech-Szene. Im Rahmen solcher Kooperationen werden innovative Ideen von den etablierten Instituten angeboten, aber die (IT-)Leistungen erbringen oft die FinTechs im Rahmen einer Auslagerung. Es ist sicher sinnvoll, auf europäischer Ebene einen gemeinsamen Rahmen für Auslagerungen zu schaffen, damit auch FinTech-Unternehmen, die grenzüberschreitend tätig sein wollen, nicht mehrere nationale Standards einhalten müssen, was wiederum Kosten verursacht. Die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter,die bereits im März 2018 veröffentlicht wurden, sind in die Konsultation integriert worden.

Nach dem Vorschlag der EBA werden die Anforderungen an das Auslagerungsmanagement und an Auslagerungsverträge für CRR-Institute und Zahlungsinstitute angeglichen. Die Vorgaben des Zahlungsdiensteaufsichtsgesetzes (ZAG), das für Zahlungs- und E-Geld-Institute gilt, waren bislang weniger streng als die des Kreditwesengesetzes (KWG), das für Kreditinstitute und Finanzdienstleistungsunternehmen Anwendung findet. In der Praxis orientierten sich aber auch Zahlungsdienstleister bereits an der Verwaltungspraxis der BaFin zum Outsourcing für Kreditinstitute. Ein neuer einheitlicher Rahmen verschafft hier Klarheit. Da der Proportionalitätsgrundsatz auch nach den konsultierten Auslagerungsleitlinien erhalten bleiben soll, können Institute und Zahlungsinstitute künftig weiterhin abhängig von ihrem Geschäftsmodell ihr Auslagerungsmanagement in angemessener Weise gestalten.

Zentrale Punkte bleiben weiterhin, dass Auslagerungen im Risikomanagement abgebildet werden müssen, dass interne Kontrollmechanismen etabliert werden, dass die Datensicherheit in jedem Fall gewährleistet bleibt und dass das Institutsmanagement die letzte Verantwortung für ausgelagerte Prozesse behält. Die Vorgaben an Auslagerungsverträge bringen ebenfalls keine Neuerungen. Festgeschrieben ist nun, dass Serviceleistungen, die eine Erlaubnis einer Aufsichtsbehörde erfordern, nur von lizensierten Dienstleistern erbracht werden dürfen. Jedes Institut soll künftig eine schriftlich festgehaltene Auslagerungs-Policy vorhalten, deren Vorgaben etwas ausführlicher sind, als das bisher der Fall ist. Eine recht aufwändige Neuerung ist, dass geplante Auslagerungen von kritischen oder wichtigen Funktionen, inklusive wesentlicher Auslagerungen an Cloud-Servicedienstleister, nach dem Entwurf der EBA künftig vorher der zuständigen Behörde angezeigt werden sollen. Auch wesentliche Änderungen in einem solchen Auslagerungsverhältnis sollen der Behörde zeitnah mitgeteilt werden. Hier wird abzuwarten sein, wie sich die Verwaltungspraxis entwickelt.

Der Vorschlag der EBA enthält auch Vorgaben zu Auslagerungen an Drittstaaten-Servicedienstleister. Ein Anwendungsfall für solche Drittstaaten-Auslagerungen kann laut EBA etwa sein, dass ein Drittstaateninstitut, das Zugang zum europäischen Markt hat oder sucht, nicht seine gesamte Infrastruktur neu aufbauen muss, sondern bestehende, im Drittstaat bereits vorhandene Infrastruktur (etwa in der eigenen Gruppe) im Rahmen einer Auslagerung auch für die innereuropäische Einheit nutzen kann. Damit ist die Konsultation der EBA auch für den bevorstehenden Brexit relevant. Sofern UK im Fall eines harten Brexits zum Drittstaat würde und UK-Institute Geschäftsbereich in die EU verlagern, kann so in einem gewissen Rahmen auch vorhandene Infrastruktur grenzüberschreitend genutzt werden. Es ist nun ausdrücklich geregelt, was bislang bereits galt, nämlich dass Bankgeschäfte und Zahlungsdienste nur an Dienstleister in Drittstaaten ausgelagert werden dürfen, wenn diese in dem Drittstatt beaufsichtigt sind und es eine geregelte Zusammenarbeit zwischen der Drittstaatenaufsicht und der zuständigen Aufsichtsbehörde in dem jeweiligen EU-Staat gibt.

Insgesamt handelt es sich bei der Konsultation um einen weitgesteckten Rahmen, der die derzeitige deutsche Auslagerungspraxis nicht wesentlich verändern wird.

FinTech Action Plan and EBA Road Map: Part 3

As outlined in Part 1 and Part 2 of this series of posts giving updates on the European FinTech regulation agenda, there is a political will to create a comprehensive and harmonized regulatory framework for financial innovation within the Single Market. Part of the Road Map to a regulatory framework is a FinTech Knowledge Hub, which is meant to facilitate the exchange of information between European and national regulators, innovators and technology providers. The Knowledge Hub will foster a better understanding of the innovative landscape within the financial market.

Three and a half months after laying out its FinTech Road Map, EBA delivers first products that form part of the FinTech Knowledge Hub.

The two documents published on 3 July 2018 are reports on the impact of FinTech on incumbent credit institutions’ business models  and on the prudential risks and opportunities arising for institutions from FinTech . Both reports contain an analysis of the impact of FinTechs on the current financial landscape and aim to raise awareness within the supervisory community and the financial industry of potential prudential risks and opportunities from current and potential FinTech applications. EBA wants to convey an understanding of the main trends that could impact incumbents‘ business models and pose potential challenges to their sustainability.

The first report, on the impact of FinTech on incumbent credit institutions’ business models, is an overview of the current market situation. It identifies four drivers for changes in current business models which are i. customer expectations and behaviour, ii. profitability concerns in the current low interest rate environment, iii. increasing competition and iv. regulatory changes such as PSD2 and GDPR. EBA identifies two main trends among the different digitalisation projects of the established institutions, namely digital transformation of internal processes and digital disruption by use of innovative technologies that aim to enhance customer experience. In the current FinTech ecosystem the prevailing model of interaction between FinTechs and incumbent institutions is one of collaboration and establishment of new relationships. In this way FinTechs can provide knowledge and ideas incumbent institutions have yet been too reluctant or too slow to establish themselves.

The second report, on prudential risks and opportunities arising for institutions from FinTech, is intended to raise awareness of and to share information on current and potential FinTech applications. The report focuses on seven use cases without making recommendations. The seven use cases are:

  1. Biometric authentication using fingerprint recognition,
  2. Use of robo-advisors for investment advice,
  3. Use of big data and machine learning for credit scoring,
  4. Use of Distributed Ledger Technology (DLT) and smart contracts for trade finance,
  5. Use of DLT to streamline Customer Due Diligence processes,
  6. Mobile wallet with the use of Near Field Communication (NFC),
  7. Outsourcing core banking/payment systems to a public cloud.

EBA focuses mainly on operational risk aspects, but also considers opportunities that may arise from the seven applications. The report is informative and provides a good overview for competent authorities and institutions alike of the current landscape and the inherent prudential risks that the market should be aware of.

Cloud-Computing, Outsourcing und IT-Aufsicht

In Zeiten der Digitalisierung sind Cloud-Dienste nicht mehr wegzudenken. Gerade für Unternehmen, die innovative Finanz-Produkte anbieten wollen, stellt sich zu Geschäftsbeginn oder bei Erweiterung des Geschäftsmodells die Frage, ob sie eigene traditionelle IT-Systeme aufbauen oder stattdessen IT-Ressourcen aus der Cloud nutzen wollen. Cloud-Computing gibt es in vielen Formen und Größen: on demand oder mit festem Volumen, mit verschiedenen Zugangsoptionen (public, private oder hybrid), als Infrastructure as a service (IaaS), Platform as a service (PaaS) oder Software as a service (SaaS).

Bei IaaS werden Server, Rechenleistung, Speicher und Netzwerkkapazitäten eines Cloud-Anbieters in Anspruch genommen. In der Regel hat bei dieser Variante der Anwender die Kontrolle über Betriebssysteme und Anwendungen. PasS stellt üblicherweise ein Programmiermodell und Entwicklerwerkzeuge zur Verfügung, um Cloud-basierte Anwendungen zu erstellen und zu nutzen, die Infrastruktur ist im Paket inbegriffen. Als dritte und weitreichendste Nutzung externer IT werden bei der SaaS-Lösung Softwareanwendungen über das Internet bereitgestellt, wobei die Anwendungen samt dazugehöriger Infrastruktur von den Cloud-Anbietern gehostet und verwaltet werden.

Da die IT-Aufsicht ein Schwerpunktbereich in der Bankenaufsicht 2018 ist, zeigen wir im Folgenden, welcher regulatorische Rahmen bei der Nutzung von Cloud-Computing zu beachten ist und ob es hierfür eigene, über die altbekannten Auslagerungsvorgaben hinausgehende Anforderungen gibt. Es gibt zwei Regulierungsbereiche, die bei der Nutzung von Cloud-Diensten wesentlich sind: Das ist zum einen das Thema Auslagerung und zum anderen die IT-Sicherheit.

IT-Sicherheit

Wie wir bereits in unserem letzten Blogbeitrag zur Finanzaufsicht in Zeiten der Digitalisierung festgestellt haben, sind die allgemeinen Vorgaben der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und Bankaufsichtlichen Anforderungen an die IT (BAIT) die Grundlagen der Verwaltungspraxis der BaFin im Rahmen der IT-Aufsicht. Diese prinzipienbasierten Vorgaben gelten selbstverständlich auch dann, wenn Institute nicht ihre eigene IT-Infrastruktur aufbauen, sondern Cloud-basierte IT-Infrastruktur einkaufen. Denn auch dann muss das Institut gewährleisten, dass seine IT sicher ist und z.B. die Kunden- und Transaktionsdaten verlässlich und sicher verwahrt und genutzt werden.

Erwähnenswert sind hier jedoch auch die Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Anforderungskatalog Cloud Computing (C5) veröffentlicht hat. Der Anforderungskatalog richtet sich in erster Linie zwar an professionelle Cloud-Anbieter, er findet jedoch auch Berücksichtigung im Rahmen der Prüfung der Institute. Die Prüfer, die auch die Einhaltung der aufsichtsrechtlichen Vorgaben überprüfen, können den Anforderungskatalog des BSI als Prüfungsmaßstab heranziehen. Bei dem Anforderungskatalog selbst handelt es sich nicht um bindende Vorgaben, sondern um Empfehlungen. Die festgeschriebenen Anforderungen stellen eine Referenz des BSI für sicheres Cloud-Computing dar. Daher ist es aus Sicht der Institute wichtig, die Empfehlungen des BSI zumindest zu kennen. Wenn ein Institut mit einem Cloud-Anbieter von dem Anforderungskatalog des BSI abweichende Vereinbarungen treffen sollte, sollte das Institut gegenüber den Prüfern und der Aufsicht erklären können, weshalb der gewählte Dienst dennoch ein hohes Maß an IT-Sicherheit vorweist.

Outsourcing

Ein besonders wichtiges Thema bei der Nutzung von Cloud-Computing ist die Auslagerung von IT-Dienstleistungen. Auslagerungen müssen nach wie vor die Anforderungen der MaRisk und der BAIT erfüllen, d.h. unter anderem, eine eigene Risikoanalyse muss Risikogehalt und Wesentlichkeit einer Auslagerung feststellen, es sind gewisse Anforderungen an die vertraglichen Regelungen mit den Cloud-Dienstleistern zu erfüllen, und es sind intern klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten festzulegen.

Schließlich ist zu betonen, dass die genaue Kenntnis der bezogenen Cloud-Dienste grundlegend ist für den von den Instituten selbst gewählte Umfang des Cloud-Computings. Ein solcher Satz mag verwundern, in der Praxis kommt es jedoch immer wieder vor, dass die Institute trotz ihrer Überwachungspflicht nicht immer alle Details ihrer IT-Infrastruktur kennen. Dem wirken die neuen europäischen Vorgaben zur Auslagerung an Cloud-Anbieter nun explizit entgegen.

Ab 1. Juli 2018 gelten die EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter, die Ende März 2018 veröffentlicht wurden. Die Empfehlungen der EBA binden die nationalen Aufsichtsbehörden und geben so indirekt den europäischen Aufsichtsstandard in Bezug auf Cloud-Computing vor. Neu ist, dass die auslagernden Institute ab 1. Juli 2018 ihre zuständigen Aufsichtsbehörden über wesentliche Tätigkeiten, die an Cloud-Service-Provider ausgelagert werden, angemessen und – wenn man sich die neuen Vorgaben genauer anschaut – nun auch detailliert informieren müssen. So sind künftig für Institute eine Beschreibung der Tätigkeiten und Daten, die ausgelagert werden sollen (einschließlich des Standorts der Datenspeicherung) sowie weitere Vertragsdetails mitzuteilen. Bislang waren solche Informationen intern vorzuhalten und wurden im Rahmen der jährlichen aufsichtlichen Prüfung berücksichtigt, detaillierte Vorgaben zur aktiven Vorlage bei der Aufsicht gab es jedoch nicht. Die EBA-Empfehlungen sehen nun auch explizit vor, dass das auslagernde Institut ein stets aktuelles Informationsverzeichnis mit allen wesentlichen und nicht wesentlichen Tätigkeiten führt, die auf Instituts- oder Gruppenebene an Cloud-Anbieter übertragen wurden. Ein solches Verzeichnis muss z.B. Aufschluss darüber geben, ob der genutzte Cloud-Anbieter ersetzbar wäre und wann die letzte Risikobewertung der Auslagerung seitens des Instituts erfolgte. Weitere zentrale Punkte in dem EBA-Papier sind die vertragliche Umsetzung von Zugangs- und Prüfungsrechten sowohl für die Institute selbst als auch für die Aufsicht, sowie die Sicherheit von Daten und Systemen, die im Kern aber keine Neuerungen für die deutsche Aufsichtspraxis bergen.

Zusammenfassend lässt sich feststellen, dass die Nutzung von Cloud-Lösungen aufsichtsrechtlich kein Selbstläufer ist, sondern eine genaue Analyse, Kenntnis und Überwachung des auslagernden Instituts voraussetzt.

Finanzaufsicht in Zeiten der Digitalisierung

Die Digitalisierung der Bankenwelt ist zur Zeit ein zentrales Thema. Digitalisierung ist ein positiv besetzter Begriff, der neue Geschäftsmodelle zu versprechen scheint und oft verwendet wird als Gegensatz zum Angebot traditioneller Banken. Neue Finanzprodukte von FinTechs, die innovativ oder gar disruptiv sind, zeigen neue Möglichkeiten einer Digitalisierung im Finanzmarkt. Auch soll durch die Auswertung von Big Data und die Verwendung von Algorithmen und künstlicher Intelligenz die Benutzerfreundlichkeit erhöht und die Kundenerfahrung verbessert werden – alles digital.

Gleichzeitig treten wichtige neue Fragen des Verbraucherschutzes, der Daten- und Cybersicherheit auf, die die Digitalisierung womöglich bremsen können und die Aufsicht auf den Plan rufen. Aber auch die Anbieter selbst betonen immer wieder, dass Datenschutz und Cybersecurity für alle Marktteilnehmer essentiell sind, um das Vertrauen der Kunden zu erlangen und zu halten.

Im Folgenden zeigen wir auf, welche Regelungen es im Zusammenhang mit IT-Sicherheit bereits gibt, wie die Aufsicht damit umgeht und ob der aufsichtsrechtliche Rahmen genug Raum lässt für die Digitalisierung bestehender und die Entwicklung neuer (digitaler) Geschäftsmodelle.

Wir betrachten zunächst, wie die BaFin mit der Digitalisierung der Bankenwelt umgeht und wie sie darauf reagiert. Hierzu gibt die Darstellung der Drei-Säulen-Strategie der BaFin im Umgang mit der Digitalisierung Aufschluss, die BaFin-Präsident Felix Hufeld am 10. April auf der BaFin-Tech in Berlin vorgestellt hat. Danach werden in der ersten Säule „Aufsicht und Regulierung“ die neuen Geschäftsmodelle und die Veränderungen der Wertschöpfungsstrukturen anhand des bestehenden Aufsichtsrahmens geprüft, während die zweite Säule speziell die IT-Aufsicht zum Gegenstand hat und die IT-Sicherheit der Unternehmen im laufenden Geschäftsbetrieb überwacht. In der dritten Säule beschäftigt sich die BaFin mit ihren eigenen Prozessen, um eine wirksame Aufsicht auch in Bezug auf innovative Strukturen und Geschäftsmodelle gewährleisten zu können. Das zeigt, dass die BaFin vom Zeitpunkt der ersten Beurteilung von Geschäftsmodellen an laufend die IT-Prozesse von Banken und Finanzdienstleistern überwacht, und in Ergänzung dazu auch selbst dazulernt. Die Darstellung von Herrn Hufeld passt zu den am 9. Mai 2018 veröffentlichten Schwerpunkten der Bankenaufsicht  für das Jahr 2018. Die Aufsicht bekennt sich darin explizit dazu, sich u.a. auf fehlende Angemessenheit und Sicherheit der IT-Systeme der Banken konzentrieren zu wollen.

Was heißt das konkret? Wir wollen im Folgenden einen Blick auf drei aufsichtsrechtliche Themen werfen, die vor dem Hintergrund der Digitalisierung und als Rahmen der IT-Aufsicht ein besonderes Augenmerk verdienen. Diese legen die Verwaltungspraxis der BaFin offen, die auch bei der Prüfung und Beaufsichtigung von neuen, innovativen Geschäftsmodellen berücksichtigt werden.

Das erste Thema sind die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die zuletzt im Oktober 2017 überarbeitet wurden. Darin enthalten sind nach wie vor allgemeine Anforderungen an IT-Systeme und die dazugehörigen Prozesse und Notfallkonzepte. Neu eingefügt wurde mit der letzten Novelle ein Abschnitt zu den IT-Risiken, die fortan noch expliziter überwacht und gesteuert werden müssen. Überwachungs- und Steuerungsprozesse müssen IT-Risikokriterien festlegen, IT-Risiken identifizieren sowie den Schutzbedarf und entsprechende Maßnahmen zur Risikobehandlung und Risikominderung festlegen. Die MaRisk als Teil der prinzipienbasierten Aufsicht der BaFin gibt hier nur grobe Anforderungen vor und lässt den einzelnen Instituten offen, wie sie diese Anforderungen individuell auf das jeweilige Geschäftsmodell passend umsetzen.

Zweitens sind die von der BaFin im November 2017 erlassenen Bankaufsichtlichen Anforderungen an die IT (BAIT) zu nennen, die die Vorgaben der MaRisk für den IT-Bereich konkretisieren. Die BAIT macht etwa Vorgaben zu IT-Strategien, zur IT-Governance, zum IT-Risikomanagement und zum IT-Sicherheitsmanagement. Es finden sich hier z.B. Vorgaben, die verlangen, dass ein Institut insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten hat. Oder dass die Anforderungen eines Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien im Rahmen des IT-Risikomanagements festzulegen und in geeigneter Form in einem Sollmaßnahmenkatalog zu dokumentieren sind. Die BAIT weist die Verantwortung für die von ihr geregelten Bereiche mit IT-Bezug noch einmal explizit der Geschäftsleitung zu. Doch auch wenn auf 20 Seiten Vorgaben verschriftlicht werden, gilt dennoch, dass auch die BAIT wie die MaRisk lediglich weitere Prinzipien vorgibt, die von den Instituten ausgestaltet werden können, um ihr bestehendes Geschäftsmodell und auch neue, innovative Geschäftsmodelle sachgerecht und sicher abzubilden.

Ein dritter Punkt, der Erwähnung verdient, und zeigt, welchen Stellenwert der fachkundige Umgang mit IT-Themen in Banken für die BaFin hat: Die Bestellung von IT-Spezialisten zu Geschäftsleitern von Banken und anderen regulierten Instituten wird in der Verwaltungspraxis der BaFin derzeit begünstigt. Um das IT-Know-how auch in der Geschäftsleitung zu fördern, kann die BaFin im Einzelfall bei der Prüfung der fachlichen Eignung eines Geschäftsleiterkandidaten mit IT-Hintergrund für eine Bank oder ein Finanzinstitut entscheiden, dass eine praktische Vorerfahrung in der Führungsebene einer vergleichbaren Bank oder eines vergleichbaren Instituts von sechs Monaten (statt der üblichen drei Jahre) ausreichen.

Diese drei Beispiele zeigen, dass der bestehende Aufsichtsrahmen in Zeiten der Digitalisierung Bestand haben kann, denn aufgrund der prinzipienorientierten Aufsichtsvorgaben sind auch die IT-Innovationen in der Produktpalette von neuen Marktakteuren abgedeckt.

FinTech Action Plan and EBA Road Map: Part 2

Part 2: Further Guidance through EBA’s FinTech Roadmap

On 15 March 2018 EBA published its FinTech Roadmap which bridges the dichotomy between consumer protection and stability of the financial system through cybersecurity on the one hand and the support for financial innovation on the other hand. It becomes clear that EBA recognises the benefits of the innovative developments for the Single Market, which include enhancing consumer experience, cost efficiency for consumers and service providers and the need to support growth.

A harmonised regulatory framework for new technologies in the financial markets is needed. A provider of an innovative idea using new financial technologies might want to test his idea in the market. He will face different challenges in countries with regulatory sandboxes compared to countries where a inflexible regulatory regime applies. A regulatory sandbox would allow the provider to offer his idea to a certain amount of potential clients for a limited period of time without the application of the whole compliance, license and capital requirements. During this time he can assess if his innovative approach is worth the investment of full regulatory compliance. In countries where the regulatory regime applies from day one when the first client is approached and on boarded, the investment of the provider is much higher. This might in turn prevent financial innovations since the hurdle to become a (regulated) market player is quite high.

EBA did not provide a practical briefing for establishing consistent regulatory sandboxes in its Roadmap. It only announced that further analysis of already established sandboxes (as e.g. in the UK, in Singapore and in Australia) will be undertaken. EBA figures that by the end of 2018 best practice guidelines for regulatory sandboxes will be issued.

Until then the German regulator BaFin will impose the classical regulatory regime drafted for traditional players on the innovative developers of the financial markets, paired with a warning to consumers regarding the risk of buying virtual currency due to a lack of statutory consumer protection. So far BaFin published some generic guidance on its regulatory assessment of ICOs, but emphasised that a case-by-case evaluation will be inevitable. For other financial innovations such as for example crowd-funding platforms, it took more than two years until regulation on a national level complemented by BaFin’s administrative practice was established.

A comprehensive and harmonised regulatory framework which leaves room for innovation is essential for a growing and competitive Single Market. Hopefully, EBA’s planned FinTech Knowledge Hub, which will facilitate the exchange of information between regulators, innovators and technology providers, will add to this understanding. Up to now EBA did not provide concrete guidance for new market players. To be fair on the national regulators, without any leeway by the legislators there is not much room to ease the burden of the current regulation for new technologies through an administrative practice alone. Throughout 2018 at least, FinTechs will thrive in countries with a flexible regulatory approach that is backed by the relevant regulator.

FinTech Action Plan and EBA Road Map: Part 1

Part 1: The European Commission’s Action Plan on FinTech

Currently, supervisors in the EU member states take different approaches in dealing with FinTech Start-ups and apply non-harmonised regulatory rules regarding authorisation or registration regimes and compliance. The European Commission’s newest political statement on financial innovation aims at a harmonised market.

On 8 March 2018 the European Commission published its Action Plan on FinTech and laid out its support of innovative business models and new technologies in the financial sector. In addition to ensuring a high level of consumer and investor protection and increasing cybersecurity, the Action Plan also proposes a regulatory framework throughout the Single Market.

Given that new and innovative financial services do not always easily fit under the existing EU regulatory framework, the Action Plan sketches the outlines of a comprehensive European passporting regime for European investment-based and lending-based crowdfunding service providers (ECSP). It also promotes the idea of regulatory sandboxes as a controlled space to test innovative FinTech solutions for a limited period of time and on a limited scale in coordination with the competent authority.

The Commission will host an EU FinTech Lab in Q2 this year where regulators can learn and understand from technology solution providers in a non-commercial space how their new technologies are applied to the financial sector and what regulatory concerns may exist. This is a sensible idea to ensure the regulators’ understanding and the market applicability of new technology in a neutral, constructive setting.

The Action Plan gives some hope that the EU will be a market where innovative FinTech business models can develop on a harmonised basis overcoming diverging regulatory burdens. Yet, it remains to be seen if the awaited guidance of the European authorities thereon will transfer the political vision into a practical and innovation supportive approach.