, ,

Fintechs im Spannungsfeld der Regulatorik

Nicht nur Banken, sondern auch Fintechs müssen sich mit der Last durch die umfangreichen regulatorischen Anforderungen der Finanzbranche auseinandersetzen. Was die Einhaltung und Umsetzung dieser Vorgaben betrifft sind für Fintechs je nach Phase im Life Cycle jedoch einige Besonderheiten zu beachten.


Fintechs möchten am liebsten so schnell wie möglich nach vor preschen, werden aber häufig durch regulatorische Anforderungen zurückgehalten. Bildnachweise: iStock.com/:z_wei

In den letzten zwei Jahren ist der Fintech-Markt mehr und mehr in den Fokus der Aufsicht gerückt. Maßgeblich ist unter anderem eine Fintech-Studie aus dem Frühjahr 2017, in der die EBA identifizierte, dass über 30 Prozent der Fintechs keiner EU-Regulierung oder Registrierungspflicht unterliegen. Darüber hinaus stellte die EBA eine Divergenz von Regulierungsansätzen zwischen den einzelnen EU-Mitgliedsstaaten fest.

Auf Basis dieser Erkenntnisse wird der Aufsichtsfokus für die nächsten Jahre vor allem in der Harmonisierung von Regulierungsansätzen liegen. Hinzu kommt die Schaffung einheitlicher Registrierungs- und Lizensierungsvorschriften zur aufsichtskonformen Erbringung von Finanzdienstleistungen. In dem Zusammenhang wurde im März dieses Jahres die „EBA FinTech Roadmap“ veröffentlicht. Weitere wichtige Themen wie die Stärkung des Verbraucherschutzes, die Bekämpfung von Geldwäsche und Terrorismusfinanzierung sowie die Untersuchung von Cybersecurity-Risiken werden hier ebenfalls als voraussichtliche Regulierungsfelder avisiert.

Neben der „FinTech Roadmap“ wurden zahlreiche weitere europäische und globale Fintech-Initiativen durch u.a. EBA, EU-Kommission, Basel Committee on Banking Supervision (BCBS) oder auch Financial Stability Board (FSB) gestartet. Nicht zuletzt mit Veröffentlichung des EBA Work Programme für 2019 (vom 23.10.2018) sind weitere europäische Initiativen für den Fintech-Markt geplant.

Der Fintech Lifecycle: Wann die Regulatorik Anwendung findet

Fintechs punkten mit ihren Ideen und Produkten, die oftmals die Interaktion mit Kunden auf ein neues Level heben. Mit fortschreitendem Ausbau des Geschäftsmodells und der Weiterentwicklung des Produktes steigen allerdings schnell Anforderungen fernab des Kern-Know-hows. Dies gilt vor allem für regulatorische Anforderungen, die Fintechs im Rahmen ihres Lifecycles hauptsächlich in zwei Phasen treffen:

  1. Validierungsphase
  2. Skalierungsphase

 

Abbildung: Der Fintech-Lifecycle-Blueprint von EXXETA.

 

Nach erfolgreicher Produktentwicklung müssen Fintechs ihr Produkt am Markt platzieren und den Nutzerkreis ausbauen („Make Your Product Ready“). Sobald Kunden das Produkt nutzen, ist mit erster Aufmerksamkeit durch die Aufsicht zu rechnen und regulatorische Anforderungen fangen an, das Geschäftsmodell zu beeinflussen:

  1. Grundlegende Anforderungen an Compliance-Prozesse (u.a. Kunden-Onboarding)
  2. Anforderungen an den Schutz von Kundendaten (u.a. DSGVO – Datenschutzgrundverordnung)
  3. Maßnahmen zum Management von IT- / Cyber-Security Risiken

Skalierungsphase:

Mit erfolgreicher Beendigung der Finanzierungsphase haben Fintechs in der Regel ihre Finanzbasis, den Vertrieb und somit auch die Kundenbasis stark vergrößert. Mit Eintritt in die Skalierungsphase müssen Fintechs mit erhöhter Aufmerksamkeit durch die Aufsicht rechnen. Sie erweitern teilweise ihren Geschäftsbereich und bringen neue Produkte auf den Markt – oftmals mit erhöhter Komplexität („Expand Your Product“). In dem Zusammenhang gilt es, Organisation und Geschäftsprozesse zu professionalisieren. Damit einhergehend ist für Fintechs mit weitreichenden regulatorischen Anforderungen und Compliance-spezifischen Fragestellungen aus folgenden Bereichen zu rechnen:

  1. Ausbau und Optimierung von Compliance-Prozessen und -Funktionen (u.a. KYC – Know Your Customer)
  2. Anforderungen aus den Bereichen Geldwäsche und Terrorismusfinanzierung (u.a. Geldwäschegesetz (GwG / AMLD V))
  3. Verpflichtende Aufsichts- und Registrierungspflichten im Rahmen der Erweiterung des Geschäftsmodells (z.B. Lizenzerwerb gemäß Zahlungsdiensteaufsichtsgesetz (ZAG))
  4. Erhöhte Anforderungen an IT-Sicherheit und –Compliance (u.a. Bankaufsichtliche Anforderungen an die IT (BAIT) oder ISO-Normen) zur Schaffung einer regelkonformen IT-Organisation und -Infrastruktur
  5. Verpflichtendes Reporting und Abstimmung mit Aufsicht und Wirtschaftsprüfer im Rahmen von Prüfungshandlungen

Use Case: Das Fintech, das Zahlungsdienste anbietet

Mit Anwendung der PSD2 auf nationaler Ebene in Form des ZAG ist es künftig notwendig, eine entsprechende ZAG-Lizenz bzw. eine Registrierung zu erwerben, um Kontoinformations- oder/und diverse Zahlungsdienste zu erbringen. Angefangen bei Kontowechselservices, bei denen sensible Zahlungsdaten eingesehen werden, bis hin zu Crowdfunding-Lösungen, bei denen Zahlungen zwischen der Funding-Group und dem Funding-Auftraggeber vermittelt werden. Da sich ein Großteil der europäischen Fintechs in diesen Segmenten bewegen, ist die Frage nach dem Lizenzerwerb bzw. Registrierung gemäß ZAG äußerst relevant.

In Bezug auf die Lizenzierung bedeutet dies, einen umfangreichen Beantragungsprozess bei der BaFin zu durchlaufen und sich dabei Prüfungen aus u.a. den Bereichen Kapitalausstattung, Internes Kontrollsystem sowie Budget- und Geschäftsplanung zu stellen. Aus unserer Erfahrung erwerben Fintechs, die Zahlungsdienste anbieten, oftmals erst in der Skalierungsphase eine entsprechende Lizenz. Unsere Empfehlung ist jedoch, sich schon in der Validierungsphase mit den Anforderungen zu beschäftigen, um die weitere Produktgestaltung sowie Organisation und Prozesse frühzeitig nach den regulatorischen Anforderungen auszurichten.

Für den Erhalt der Lizenz bedarf es darüber hinaus der Einhaltung widerkehrender Pflichten aus den Bereichen Aufsichts-Reporting, Wirtschaftsprüfung und Organisation. Neben den bestehenden Anforderungen bedeutet der Erwerb auch künftige mit dem Lizenzerwerb verbundene gesetzliche Vorgaben einzuhalten. So wird es im Rahmen des ZAG ab September 2019 konkrete Erweiterungen in Bezug auf eine „Starke Kundenauthentifizierung“ geben. Bei einem Verstoß gegen die Anforderungen und Pflichten kann dies gravierende Konsequenzen mit sich bringen. Beispielsweise drohen Bußgeldzahlungen zwischen 300 Tsd. EUR – 1 Mio. EUR oder schlimmstenfalls die Einstellung des Geschäftsbetriebs.

Wie geht es auf europäischer Ebene weiter mit der Fintech-Regulierung und was ist die Botschaft?

Die Erreichung einheitlicher regulatorischer Rahmenbedingungen und die damit verbundene Schaffung gleicher Wettbewerbsbedingungen für Marktteilnehmer mit gleichen Dienstleistungen stehen aktuell weit oben auf der europäischen Aufsichtsagenda. Hierdurch sollen vor allem die bestehenden europäischen Regulierungsinitativen (u.a. PSD2, CRD IV, MiFID II oder AMLD V) auf alle Fintech-Dienstleistungen erweitert und somit regulatorische Arbitrage vermieden werden. Ebenso sollen legislative Anpassungen erfolgen, um potentielle Risiken resultierend aus neuen Finanztechnologien zu adressieren und schlussendlich die Finanzstabilität innerhalb der EU sicherzustellen.

Es ist damit zu rechnen, dass die ersten regulatorischen Neuerungen im Laufe des nächsten Jahres auf europäischer Ebene verabschiedet und auf nationaler Ebene sukzessive folgen werden. Eine erste Tendenz ist bereits mit Veröffentlichung der Suitability Guidelines im Kontext von MiFID II zu sehen. Hierin werden Robo-Advisor und deren Geschäftsmodell direkt adressiert und es wird u.a. gefordert, durch entsprechende Maßnahmen und Informationspflichten gegenüber dem Kunden, Risiken aus der fehlenden menschlichen Interaktion zu mitigieren.

Aus unserer langjährigen Erfahrung mit der Einhaltung und Umsetzung von regulatorischen Vorgaben sollten Fintechs insbesondere Folgendes beachten:

  1. Frühzeitige Analyse potenzieller regulatorischer Anforderungen durch Aufbau eines regelmäßigen Regulatory Screenings.
  2. Bereits ab der Validierungsphase sollten Fintechs ihre Organisation und Prozesse auf den Prüfstand stellen, um langfristig effizient zu agieren.
  3. Festlegung einer klaren organisatorischen Verantwortlichkeit für das Thema Regulatorik inklusive Analyse und fortlaufende Einhaltung der gesetzlichen Bestimmungen.
  4. Regelmäßiger Austausch innerhalb der Fintech-Community sowie mit Aufsicht und Politik.

Darüber hinaus empfehlen wir als EXXETA die Kooperation mit einem strategischen Partner. Dies birgt den Vorteil, von einem Wissensvorsprung zu profitieren, Planungssicherheit zu generieren und das Kerngeschäft zu fokussieren.

Lesen Sie auch

Fachbeiräte