MaDepot – Die BaFin konkretisiert Mindestanforderungen an das Depotgeschäft

Am 16. August 2019 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) das Rundschreiben 07/2019 (WA) – Mindestanforderungen an die ordnungsgemäße Erbringung des Depotgeschäfts und den Schutz von Kundenfinanzinstrumenten für Wertpapierdienstleistungsunternehmen (MaDepot) veröffentlicht. Das Rundschreiben war zuvor von April bis Juni 2018 zur Konsultation gestellt worden. Grundlage der MaDepot sind die Vorgaben der zweiten europäischen Finanzmarktrichtlinie (MiFID II) zum Schutz von Kundenvermögen.

Das Rundschreiben richtet sich an Wertpapierdienstleistungsunternehmen, die Finanzinstrumente für Kunden halten und verwahren. Es bietet eine Übersicht und Zusammenstellung einschlägiger aufsichtsrechtlicher Vorgaben an und konkretisiert die Verwaltungspraxis der BaFin zu ausgewählten Punkten. Im Detail thematisiert die MaDepot

  • Organisationspflichten, die das Institut zum Schutz von Kundenfinanzinstrumenten einhalten muss, soweit diese im Eigentum des Kunden stehen und vom Wertpapierdienstleistungsunternehmen für den Kunden gehalten und gewahrt werden,
  • Verhaltenspflichten in Bezug auf Information der Kunden sowie Verwaltung der Kundenfinanzinstrumente, sowie speziellen
  • Aufzeichnungs- und Aufbewahrungspflichten.

Es handelt sich dabei ausdrücklich nur um ausgewählte Aspekte der betreffenden Regelungen. Hinsichtlich weiterem Auslegungs- und Änderungsbedarf wird die BaFin im Dialog mit den Marktteilnehmern bleiben.

So werden etwa Vorgaben der Verordnung zur Konkretisierung der Verhaltens- und Organisationsanforderungen für Wertpapierdienstleistungsunternehmen (WpDVerOV) und der Delegierten Verordnung (EU) 2017/565 zu MIFID II konkretisiert und weiter ausgeführt. Zum Beispiel werden die Vorgaben für Drittverwahrung hinsichtlich der Sorgfaltspflichten bei der Auswahl, Beauftragung und Überwachung des Dritten wesentlich konkretisiert, die bereits in § 10 WpDVerOV angelegt sind.

Die MaDepot betreffen auch das Investmentrecht, weil Depotbanken als Verwahrstelle der Fondsassets im Sine des KAGB diese Vorgaben einhalten müssen, sofern nicht das Verwahrstellenrundschreiben der BaFin (Rundschreiben 08/2015 (WA)), das KAGB selbst oder die Delegierten Verordnungen (EU) Nr. 231/2013 und 2016/438 vorrangige Vorgaben enthalten. Wir werden in einem zukünftigen Blogbeitrag diese Rechtsvorschriften einmal detaillierter vorstellen. Die nun veröffentlichten Vorgaben der BaFin tragen klar die Handschrift des Anlegerschutzes.

EBA-Vorgaben zur Meldung von Zahlungssicherheitsvorfällen durch BaFin bestätigt

BaFin hat am 7. Juni 2018 ein Rundschreiben zur Meldung schwerwiegender Sicherheitsvorfälle veröffentlicht. Das Zahlungsdiensteaufsichtsgesetz (ZAG) sieht vor, dass ein Zahlungsdienstleister die BaFin unverzüglich über einen schwerwiegenden Betriebs- oder Sicherheitsvorfall unterrichten muss, die dann wiederum die EBA und EZB darüber informiert. Eine weitere Spezifizierung des Adjektivs „schwerwiegend“ erfolgt im Gesetz selbst nicht. Für einen einheitlichen Marktstandard in Deutschland und Europa waren klarstellende Aussagen der Aufsicht für die Klassifizierung von Vorfällen daher wünschenswert.

Die EBA hat bereits am 19. Dezember 2017 Leitlinien zu diesem Thema veröffentlicht, die die BaFin nun eins-zu-eins in ihre Verwaltungspraxis umsetzt. Dadurch werden die EBA-Leitlinien, die originär nur Rechtswirkung gegenüber den nationalen Aufsichtsbehörden in Europa haben, auch für den deutschen Markt bindend.

Das Rundschreiben richtet sich an alle regulierten Institute, die Zahlungsdienste erbringen, also nicht nur an Zahlungsinstitute, sondern auch an E-Geld-Institute und Banken. Es enthält neben praktischen Vorgaben zu Inhalt, Format und Verfahren für die Meldung solcher Vorfälle Auslegungshilfen dazu, nach welchen Kriterien die Relevanz eines Sicherheitsvorfalls im Zahlungsdienstebereich zu bewerten ist. Als Kriterien werden genannt Wert und Anzahl der vom Vorfall betroffenen Zahlungsvorgänge, die Anzahl der betroffenen Zahlungsdienstenutzer/Kunden, die Dienstausfallzeit, wirtschaftliche und systemische Auswirkungen, die Höhe der internen Eskalationsstufe innerhalb des betroffenen Zahlungsdienstleisters sowie Reputationsschäden. Diese Kriterien werden nach niedriger und hoher Auswirkungsstufe gewichtet. So ist z.B. eine niedrige Auswirkungsstufe für die Aufsicht dann erreicht, wenn mehr als 10% des üblichen Transaktionsvolumens des betroffenen Zahlungsdienstleisters und 100.000 EUR durch den Sicherheitsvorfall betroffen sind. Im Verhältnis dazu ist eine hohe Auswirkungsstufe erst ab einem betroffenen Transaktionsaktionsvolumen von über 25% des üblichen Volumens oder 5 Mio. EUR erreicht. Zieht man als Kriterium die Zahl der betroffenen Zahlungsdienstenutzer heran, so liegt eine niedrige Auswirkungsstufe etwa dann vor, wenn mehr als 5.000 und weniger als 50.000 Kunden und mehr als 10%, aber weniger als 25% der Kunden des betroffenen Zahlungsdienstleisters betroffen sind.

Ein schwerwiegender Zahlungssicherheitsvorfall wird angenommen, wenn entweder mindestens ein Kriterium der hohen Auswirkungsstufe oder mindestens drei Kriterien der niedrigen Auswirkungsstufe erfüllt sind. Dann ist eine Meldung des Sicherheitsvorfalls an die BaFin erforderlich.

Auch das neue Rundschreiben der BaFin zeigt, dass die Aufsicht von prinzipienbasierten Vorgaben geleitet ist, die im vorliegenden Fall durch quantitative Kriterien ergänzt werden. Da Sicherheitsvorfälle im Zahlungsdienstebereich abhängig vom individuellen Transaktionsvolumen und der Zahl der individuellen Kunden sind, ist der Proportionalitätsgrundsatz auch hier gewahrt. Das bedeutet, dass bei einem kleinen Zahlungsdienstleister ein Sicherheitsvorfall schon dann meldepflichtig sein kann, wenn bei großen Marktteilnehmern die Relevanzschwelle für Meldungen bei denselben quantitativen Fakten noch nicht erreicht ist.