Eine von unserer Gesellschaft durchgeführte Analyse über die Geschäftstätigkeit und den Regulierungsstatus von rund zwanzig in Deutschland ansässigen Robo-Advisors ergab, dass sich der Anteil der entsprechenden Unternehmen mit KWG-Erlaubnis stetig erhöht. Nach unseren Erfahrungen hat dies mehrere Gründe: zum einen besteht in zahlreichen Geschäftsmodellen eine gewisse Unsicherheit bzw. ein Graubereich, inwieweit eine Erlaubnispflicht nach § 32 KWG besteht. Zum anderen wird eine Erlaubnis durch die Unternehmen teilweise angestrebt, um eine größere Flexibilität in Bezug auf das Produkt- und/oder Tätigkeitsspektrum zu haben. Des Weiteren bietet die KWG-Erlaubnis auch die Möglichkeit zur Nutzung des EU-Passes. Und nicht zuletzt bedeutet eine KWG-Lizenzierung darüber hinaus einen gewissen Status-Vorteil im Vergleich zu anderen Regulierungsformen.
Generelle Anforderungen an FinTechs im Zusammenhang mit einer Erlaubnis der BaFin nach § 32 KWG
Im Rahmen der regulatorischen Anforderungen bestehen einige grundlegende Fragestellungen, die im Folgenden angesprochen werden:
- Zunächst ist zu klären, welchen regulierten Tätigkeitsbereichendie erbrachten Dienstleistungen zuzuordnen sind. Hier ist die Abgrenzung der einzelnen Tätigkeiten in dem Dreieck Anlageberatung, Vermittlung und Finanzportfolioverwaltung nicht immer einfach.
- Die vorgesehenen Geschäftsleiter sind oft relativ jung und kommen nicht immer aus einer klassischen Finanzdienstleister-Karriere, sondern sind häufig eher technik-affin. Hier stellen sich Fragen, inwieweit die von der Aufsicht verlangte Eignung als Geschäftsleiternachgewiesen werden kann.
- Klärungsbedürftig ist oft auch, in welcher Höhe Eigenmittelanforderungen(absolut und insbesondere hinsichtlich geforderter Relationen) bestehen und wie diese nachgewiesen werden können.
- Schließlich ist aufgrund der hohen Technisierung und Automatisierung die personelle Zuordnung der Verantwortlichkeiten einzelner Mitarbeiter wie dies von der Aufsicht gefordert wird nicht immer ohne weiteres bestimmbar.
Neue Anforderungen an die Informationstechnologie gemäß MaRisk und BAIT
Auf Grund des Geschäftsmodells von FinTechs befasst sich die Aufsicht naturgemäß intensiv mit den Risiken, die mit dem hohen Maß an Digitalisierung einhergehen. Dies beruht auch auf der Erkenntnis der BaFin, dass bereits in der Vergangenheit Störungen in den IT-Prozessen einzelner Institute bzw. IT-Dienstleiter bekannt wurden, die signifikante Auswirkungen auf die Verfügbarkeit von Daten und deren Integrität hatten. Die BaFin hat daher die Mindestanforderungen an das Risikomanagement (MaRisk) in 2017 weiterentwickelt und zusätzlich konkretisierende aufsichtsrechtliche Anforderungen an die IT (sog „BAIT“) in einem Schreiben vom November 2017 formuliert. In den BAIT werden Anforderungen an folgende Bereiche formuliert bzw. konkretisiert:
- IT-Strategie,
- IT-Governance,
- Informationsrisiko-, -sicherheits- und benutzerberechtigungsmanagement,
- IT-Projekte und -Betrieb inkl. Datensicherung sowie
- Fragen der Auslagerung.
Sowohl die MaRisk als auch BAIT konkretisieren die Anforderungen an die Organisation regulierter Institute gemäß den Vorgaben der § 25a und § 25b KWG.
Fazit
Im Rahmen der Beantragung einer BaFin-Zulassung und auch beim laufenden Betrieb ergeben sich umfangreiche Anforderungen durch die Vorgaben der Aufsicht. Hierüber sollte sich jedes interessierte Unternehmen vorab informieren. Nur auf einer gesicherten Informationsbasis können auch FinTechs/Startups die sie betreffenden Regulierungsthemen in effizienter Weise umsetzen.