EXXETA

FINTECHS IM FOKUS DER REGULIERUNG

EXXETA.COM

Seite 2

Not subject to any regime

Payment institution under PSD

Investment firm under MiFID

National registration regime

Credit institution under CRD

Unidentified regime

Electronic money institution under EMD

National authorisation regime

Hybrid payment institution under PSD

Hybrid electronic money institution under EMD

31%

18%

11%

9 %

9 %

8 %

6.5 %

5 %

2 %

0,5 %

0 % 5 % 10 % 15 % 20 % 25 % 30 % 35 %

Abbildung 1: Regulatorischer Status von FinTech-Unternehmen in der EU (Auszug aus dem EBA-Diskussionspapier)

Die Europäische Bankenaufsichtsbehörde EBA veröff entlichte am 15. März 2018 ihre FinTech-Roadmap 2018/2019. Hierin beschreibt die EBA ihre Prioritäten und nächsten regulatori-schen Schritt e zur Überwachung und Harmonisierung der Auf-sichtspraxis für den europäischen FinTech-Markt.

Bereits 2014 und 2015 startete die europäische Aufsichtsbe-hörde einige Initi ati ven im bis dahin nahezu unregulierten Fin-Tech-Bereich. Beispielsweise sind hierbei Stellungnahmen zu Virtuellen Währungen und Crowdfunding entstanden. Im wei-teren Zeitverlauf veröff entlichte die EBA im Februar 2017 Ent-würfe für Regulatory Technical Standards (RTS) zur starken Kun-denauthenti fi zierung und sicheren Kommunikati on für Anbieter von Zahlungsdienstleistungen (Adapti on in Form einer Dele-gierten Verordnung (Del. VO) der Kommission am 27. November 2017), im Rahmen des PSD2-Mandats. Bis zu diesem Zeitpunkt wurden vor allem dedizierte FinTech-Bereiche betrachtet und entsprechende Regulierungsbestrebungen wurden isoliert ver-

anlasst. Um einen ganzheitlichen Einblick in die FinTech-Bran-che zu erlangen, die angebotenen innovati ven Finanzdienstleis-tungen besser zu verstehen und die aufsichtsrechtliche Stellung zu beleuchten, wurde im Frühjahr 2017 eine Untersuchung des FinTech-Marktes durch die EBA vorgenommen.

Insgesamt haben sich Aufsichtsbehörden aus 24 Ländern an der Untersuchung beteiligt und dabei mehr als 1.500 Unternehmen als FinTechs identi fi ziert. Da aktuell keine einheitlichen Zulas-sungs- und Lizenzvergabe-Regelungen existi eren, schätzen Experten die tatsächliche Zahl jedoch weitaus höher. Darüber hinaus gehen die zuständigen Aufsichtsbehörden in den nächs-ten Jahren von einem weiteren Wachstum der Branche aus. Die Detailanalyse der EBA basiert auf einer repräsentati ven Aus-wahl von rund 280 FinTech-Unternehmen. Dabei ist besonders hervorzuheben, dass 31 Prozent der untersuchten Unterneh-men aktuell keiner EU-Regulierung oder Registrierungspfl icht unterliegen.

Seite 3

Abbildung 2: Wichti gste FinTech-Initi ati ven der vergangenen Monate

EXXETA.COM

Die EBA schlussfolgert daraus eine Divergenz der Regulierungs-ansätze innerhalb der EU, was den Bestrebungen nach einer einheitlichen aufsichtsrechtlichen Erfassung von FinTechs wi-derspricht. Auf Basis dieser Erkenntnisse liegt der Fokus für Fol-gearbeiten durch die EBA vor allem in der Harmonisierung von Regulierungsansätzen innerhalb der EU sowie in der Schaff ung einheitlicher Registrierungs- und Lizensierungsanforderungen.Weitere Schwerpunktt hemen wie die Stärkung des Verbraucher-schutzes, vor allem bei grenzüberschreitenden Geschäft en, oder die Bekämpfung von Geldwäsche (AML) und Terrorismusfi nan-zierung werden ebenfalls in dem Diskussionspapier adressiert.

Neben den EBA-Bestrebungen wurden zahlreiche weitere euro-päische und globale FinTech-Initi ati ven gestartet. Von März bis Juni 2017 befasste sich die EU-Kommission im Rahmen ihrer Konsultati on unter anderem mit der Frage, wie FinTechs dazu beitragen können, Verbrauchern und Unternehmen den Zugang zu Finanzdienstleistungen zu erleichtern.

Auf internati onaler Ebene veröff entlichte das Financial Stability Board (FSB) im Juni 2017 einen Bericht über die Auswirkungen von FinTechs auf die Finanzstabilität. Dabei wird den internati o-nalen Aufsichtsbehörden vor allem geraten, sich insbesondere mit operati onellen Risiken, wie zum Beispiel Cybersecurity-Ri-siken zu befassen. Auch das Basel Committ ee on Banking Su-pervision (BCBS) widmete sich von August bis November 2017 im Rahmen einer Konsultati on der FinTech-Themati k. Dabei wurden vor allem die Auswirkungen von FinTechs auf Banken bzw. die Aufsicht untersucht und insgesamt zehn Empfehlun-

gen adressiert. Im März 2018 veröff entlichte die Europäische Kommission ihren FinTech-Akti onsplan für 2018/2019. Dabei werden vor allem die ESAs aufgefordert, ihre künft ige Arbeit auf besti mmte Fokusthemen im FinTech-Kontext zu konzen-trieren.

Um den globalen Initi ati ven sowie den Auff orderungen der Kommission nachzukommen, veröff entlichte die EBA nur wenig später, am 15. März 2018, ihre FinTech-Roadmap 2018/2019. Im Folgenden werden die Inhalte sowie potenti ellen Auswir-kungen für FinTech-Unternehmen beschrieben.

Mit der „EBA FinTech-Roadmap“ veröff entlichte die europäische Aufsichtsbehörde ihre Prioritäten für 2018 und 2019:

A) Maßnahmen zur EU-weiten Harmonisierung unterschiedlicher RegulierungsansätzeB) Analyse des Einfl usses von innovati ven Finanztechnologien auf die Geschäft smodelle von Krediti nsti tuten und anderen etablierten Unternehmen C) Untersuchung von ICT-Risiken und Cybersecurity-Risiken resulti erend aus der Nutzung von FinTechsD) Maßnahmen zur Verbesserung des VerbraucherschutzesE) Identi fi zierung und Untersuchung von Risiken in den Bereichen Geldwäsche und Terrorismusfi nanzierung

2019 bzw. 2020 sind die erstenregulator. Finalisierungen zu erwarten

EU Kommission - KonsultationFinTechs

(veröffentlicht am 01.03.2017)FSB-Bericht

(veröffentlicht am 27.06.2017)

BCBS 435 - Financial StabilityImplications from FinTech

(veröffentlicht am 01.08.2017)

Aktionsplan der EU-Kommisson(veröffentlicht am 08.03. 2018)

EBA FinTech Roadmap(veröffentlicht am 15.03.2018)

EBA Diskussionspapier(veröffentlicht am 04.08.2017)

INHALTE UND AUSWIRKUNGEN DER EBA FINTECH-

ROADMAP 2018/2019

EXXETA.COM

Seite 4

A) HARMONISIERUNG DER REGULIERUNGSANSÄTZE INNERHALB DER EU

Im Rahmen der Untersuchung des FinTech-Marktes hat die EBA festgestellt, dass aktuell ca. 31 Prozent der FinTech-Unterneh-men keiner entsprechenden EU-Regulierung oder nati onalen Regulierung unterliegen. Aus diesem Grund möchte die EBA Divergenzen in den länderspezifi schen Lizensierungs- und Re-gistrierungsanforderungen aufdecken und daraus resulti erende Maßnahmen ableiten. Ziel ist die Schaff ung einheitlicher regula-torischer Vorgaben für alle FinTech-Geschäft smodelle innerhalb der EU. Resulti erend aus den Rückmeldungen zum EBA-Dis-kussionspapier, wurde das einheitliche Interesse geäußert, ein „Level Playing Field“ auf dem FinTech-Markt zu etablieren. Fin-Tech-Firmen mit gleichen Akti vitäten und Risiken sollten den-selben aufsichtsrechtlichen Bedingungen unterliegen, sodass keine regulatorische Arbitrage mehr möglich ist.

Darüber hinaus sollen sogenannte Regulatory Sandboxes bzw. Innovati on-Hub-Ansätze harmonisiert werden. In einigen EU-Mitgliedsstaaten wurden sogenannte Sandboxes („Safe Spaces“) geschaff en, in denen FinTechs innovati ve Produkte, Dienstleistungen und Geschäft smodelle im realen Kundenum-feld testen können, ohne dabei sofort den entsprechenden re-gulatorischen Vorschrift en zu unterliegen. Da solche Lösungen nur uneinheitlich und mit unterschiedlichen Besti mmungen in den Mitgliedsstaaten vorzufi nden sind, ist die EBA bestrebt, einen einheitlichen Ansatz zu formulieren.

Potenti elle Auswirkungen für FinTechs

FinTechs werden künft ig neuen, wahrscheinlich strengeren Re-gistrierungs- und Lizensierungsbedingungen unterliegen. Es ist damit zu rechnen, dass die geltenden Vorgaben für etablierte Fi-nanzinsti tute (u. a. CRD, MiFID, PSD, AMLD) angepasst werden, sodass diese auch für FinTechs gelten.

Dies kann für FinTechs, welche aktuell von keiner Regulierung betroff en sind, zu erheblichem Regulierungsdruck führen. In dem Zusammenhang müssen FinTech-Unternehmen ihr Ge-schäft smodell analysieren und potenti elle Regulierungslücken schließen oder besti mmte Dienstleistungen outsourcen.

B) EINFLUSS VON FINTECHS AUF GESCHÄFTSMODELLE VON KREDITINSTITUTEN UND ANDEREN ETABLIERTEN UNTERNEHMEN

In 2018 wird die EBA den Einfl uss der Nutzung von Finanztech-nologien auf die Geschäft smodelle etablierter Unternehmen weiter untersuchen, mit dem Ziel, potenti elle Risiken und Chan-cen zu identi fi zieren. In dem Zusammenhang soll der Markt auf potenti elle Trends untersucht und, falls erforderlich, entspre-chende aufsichtsrechtliche Maßnahmen ergriff en werden. Mit der Veröff entlichung von diesbezüglichen EBA-Reports ist noch in diesem Jahr zu rechnen.

Potenti elle Auswirkungen für FinTechs

Falls es im Rahmen der fortlaufenden Marktanalyse zu auf-sichtsrechtlichen Anpassungen kommt, schlagen sich diese vor allem in der Miti gati on potenti eller Risiken nieder. In dem Zu-sammenhang werden FinTechs mit strengeren regulatorischen Vorgaben konfronti ert, um unter Risikogesichtspunkten wei-terhin im gewohnten Geschäft ssegment agieren zu dürfen. Be-sondere Aufmerksamkeit der EBA wird hierbei auf Technologien zur biometrischen Erkennung, Distributed Ledger Technologies, dem Einsatz von Arti fi cial Intelligence Ansätzen und Geschäft s-modellen basierend auf Virtuellen Währungen liegen.

C) UNTERSUCHUNG VON ICT-RISIKEN UND CYBERSECURITY-RISIKEN

Resulti erend aus den Rückmeldungen zum EBA-Diskussionspa-pier und den internati onalen FSB-Initi ati ven, sollten vor allem Cybersecurity-Risiken besonders berücksichti gt werden. Die EBA möchte in dem Zusammenhang einen Leitf aden zur Schaf-fung einer einheitlichen EU-weiten Behandlung von ICT-Risi-ken (inkl. Cybersecurity) erarbeiten. Vor allem Beurteilungsan-sätze und Miti gati onstechniken werden hier im Fokus stehen. Darüber hinaus ist die Schaff ung eines einheitlichen Rahmens zur aufsichtsrechtlichen Behandlung des ICT-Risikomanage-ments, angelehnt an den SREP-Ansatz, geplant. Nicht zuletzt soll in den nächsten zwei Jahren ein Cyber Threat Testi ng Rah-menwerk auf

EXXETA.COM

Seite 5

den Weg gebracht und das Security Incident-Reporti ng unter PSD2 auf potenti elle Anpassungsbedürfnisse untersucht werden.

Potenti elle Auswirkungen für FinTechs

Durch die potenti ell verschärft en Aufsichtsmaßnahmen werden sowohl FinTechs als auch alle weiteren Insti tute gemäß CRD/CRR und PSD2 mit erhöhten Anforderungen konfronti ert. Vor allem Pro-zesse und Methoden im IT-Risikomanagement müssen angepasst werden, um die potenti ellen Neuregelungen abbilden zu können.

D) VERBESSERUNG VERBRAUCHERSCHUTZ

Im Rahmen der geplanten Überprüfung potenti eller Divergenzen in den Regulierungsansätzen von FinTechs möchte die EBA Ak-ti vitäten, Produkte und Dienstleistungen auf EU- und nati onaler Ebene vergleichen. In dem Zusammenhang soll auch untersucht werden, ob ausreichende Maßnahmen defi niert sind, um ein ad-äquates Verbraucherschutz-Level zu gewährleisten.

Die EBA ist der Auff assung, dass Verbraucherschutzbesti mmun-gen in ihrer Geltung oft mals nati onal begrenzt sind. Im Laufe des Jahres sollen deshalb solche nati onalen Begrenzungen über-prüft und aufdeckt werden, um der Kommission weiteren Input für ihren diesbezüglichen Maßnahmenplan zu liefern.

Zur weiteren Verbesserung des Verbraucherschutzes möch-te die EBA geltende Informati onspfl ichten gegenüber Kunden untersuchen. Dabei soll ein passendes Format für die vor allem digitalen Dienstleistungen von FinTechs gefunden und vorver-tragliche Off enlegungsbesti mmungen defi niert werden.

Bezüglich Virtueller Währungen möchte die EBA eine Ange-messenheitsprüfung der bestehenden Regelungen durchfüh-ren und der EU-Kommission entsprechende Informati onen zur Verfügung stellen (Report/Opinion). Erst kürzlich wurde am 12. Februar 2018 auf Ad-hoc-Anfrage der Kommission an die ESAs eine Verbraucher-Warnung zu den Risiken resulti erend aus Vir-tuellen Währung veröff entlicht.

Darüber hinaus wird die EBA im Rahmen ihrer Kontrollfunkti on potenti elle Entwicklungen bezüglich der Interakti on von Zah-lungsverkehrsrichtlinie (PSD2) und Datenschutz-Grundverord-nung (GDPR bzw. DSGVO) beobachten und Implikati onen prü-fen. Es ist zu erwarten, dass Konkreti sierungsvorschläge durch die europäischen Behörden (wie Kommission, Rat oder Parla-ment) erlassen werden.

Im Laufe des Jahres 2019 wird die EBA die Anwendbarkeit der ADR-Richtlinie (Alternati ve Dispute Resoluti on) für FinTechs untersuchen. Darüber hinaus sind weitere Initi ati ven zur Auf-deckung potenti eller Risiken aus Big Data Algorithmen geplant (z. B. Intransparenz über Kredit-Scorings).

Potenti elle Auswirkungen für FinTechs

FinTechs werden in den nächsten Jahren mit erhöhten Anfor-derungen zum Schutz von Verbrauchern konfronti ert. Vor allem die Regulierung grenzüberschreitender Geschäft e, Off enle-gungs-Vorschrift en und Datenschutz-Vorgaben sind potenti elle Aufwandstreiber. Betroff en sind nahezu alle FinTech-Branchen, vor allem jedoch Unternehmen mit Fokus auf Virtuellen Wäh-rungen und Dienstleistungen im Zahlungsverkehr.

E) GELDWÄSCHE UND TERRORISMUSFINANZIERUNG

Die EBA arbeitet in diesem Jahr vor allem an der Identi fi zierung von Geldwäsche- und Terrorismusfi nanzierungs-Risiken resul-ti erend aus FinTech-Lösungen.

In dem Zusammenhang ist die Aktualisierung der ESA-Leitlinien zu Risiko-Faktoren (Risk Factors Guidelines), unter Berücksichti -gung der Stellungnahme vom 23. Januar 2018 zu Customer Due Diligence, Geldwäsche und Terrorismusfi nanzierung geplant. In diesen Leitlinien sollen die Änderungen aus der 5. AMLD-No-vellierung berücksichti gt (wenn veröff entlicht) und somit Geld-wäsche bzw. Terrorismusfi nanzierung resulti erend aus Fin-Tech-Dienstleistungen adressiert werden. Eine entsprechende Konsultati on soll noch in diesem Jahr veröff entlicht werden.

Seite 6

Abbildung 3: Indikati ver Zeitplan der EBA zur Darstellung der Prioritäten in 2018/2019 (Auszug aus der EBA FinTech Roadmap)

EXXETA.COM

Potenti elle Auswirkungen für FinTechs

Für die Technologieunternehmen ergeben sich erhöhte Anforde-rungen zur Bekämpfung von Geldwäsche und Terrorismusfi nan-zierung. In dem Zusammenhang ist vor allem die Einführung neu-er Prozesse im Bereich Customer Due Diligence mit erweiterten Aufwänden verbunden. Die Änderungen werden vor allem die Bereiche Zahlungsverkehr, Virtuelle Währungen, Crowdfunding, Prepaid Cards, Initi al Coin Off erings und Dienstleistungen basie-rend auf Distributed Ledger Technologies (DLT) betreff en.

WEITERE THEMEN

Um den Informati onsaustausch zwischen zuständigen euro-päischen Aufsichtsbehörden, FinTechs, Technologie-Anbietern und weiteren Insti tuten zu verbessern, wird die EBA in diesem Jahr einen sogenannten „FinTech Knowledge Hub“ initi ieren.Der Knowledge Hub soll unter anderem dazu genutzt werden, potenti elle Risiken und Möglichkeiten resulti erend aus der Nut-zung von DLT zu identi fi zieren und, falls erforderlich, Maßnah-men zu defi nieren.

� Survey issued to competent authorities, EBA analysis of responses� Report (and if appropriate Opinion) issued � Follow-up work as appropriate

� Follow-up work as appropriate

� Assessment of potential financial exclusion (from Big Data algorithms)� Assessment of the applicability of the ADR Directive to FinTech firms and further actions if needed� Follow-up work as appropriate

� Follow-up work as appropriate

� Follow-up work as appropriate (e.g. cyber threat testing framework in alignment with other EU initiatives)

� Follow-up work as appropriate

� Report issued on impact of FinTech on the business models institutions� Report issued on prudential risk and opportunities for institutions focussing on several use cases

� Regulatory mapping of the current requirements on VCs� Report issued in cross-border issued identifying potential national barriers from consumer and conduct of business requirements � Report issued consumer related disclosure aspects� Consideration of consumers and conduct of business related aspect in the context of the authorisations/perimeter work

� ITC risk guidelines addressed to institutions providing guidance for evaluating and mitigating ITC risk including cybersecurity risk� Harmonised supervisory practiced on cybersecurity � Follow-up work in relation to EBA security-related mandates under PSD2

� Fact-finding exercise ML/TF risk associated with FinTech solutions and providers� Amended Risk Factors Guidelines issued � Joint Opinion issued on the ML/TF risk affecting the EU´s financial sector

AUTHORISATION AND REGULATORY PERIMETER ISSUES

IMPACT ON BUSINESS MODELS, PRUDENTIAL RISK AND OPPORTUNITIES

CONSUMER AND CONDUCT ISSUES

REGULATORY SANDBOXES AND INNOVATION HUBS

CYBERSECURITY

AML/CFT

� Survey issued to competent authorities, EBA analysis of responses� Report (and if appropriate Opinion) issued, including Guidance to enhance supervisory consistency and facilitate supervisory coordination in the operation of regulatory sandboxes

2018 2019

˂

˂

˂

˂

˂

˂

˂

˂

˂

˂

˂

˂

EBA FinTech Knowledge Hub

EXXETA.COM

Seite 7

Darüber hinaus sollen die Outsourcing-Leitlinien des CEBS ak-tualisiert und der Scope auf Zahlungsverkehrs-Dienstleiter so-wie E-Geld Insti tute ausgeweitet werden. Hierbei werden auch besti mmte Aspekte des Cloud Outsourcing berücksichti gt.

Sowohl auf europäischer Ebene als auch im internati onalen Kontext haben sich die Aufsichtsbehörden verstärkt mit dem Thema FinTech-Regulierung auseinandergesetzt. Dabei wurden vor allem im letzten Jahr zahlreiche Initi ati ven gestartet. Auf europäischer Ebene werden mit der kürzlich veröff entlichten EBA FinTech-Roadmap zahlreiche Handlungsfelder adressiert, welche in den nächsten Jahren wahrscheinlich zu erhöhtem An-passungsbedarf in der FinTech-Branche führen.

Die Erreichung einheitlicher regulatorischer Rahmenbedingun-gen für FinTechs und die damit verbundene Schaff ung gleicher Wett bewerbsbedingungen für Marktt eilnehmer mit gleichen Dienstleistungen und Risiken steht weit oben auf der europäi-schen Aufsichtsagenda. Somit sollen vor allem die bestehenden europäischen Aufsichtsbestrebungen ausgeweitet werden, um regulatorische Arbitrage zu vermeiden. Ebenso sollen legislati ve Anpassungen erfolgen, um potenti elle Risiken resulti erend aus innovati ven Technologien zu adressieren und die Finanzstabili-tät innerhalb der EU sicherzustellen. Grundsätzlich werden die Ausweitungen und Anpassungen vor allem folgende großen EU-Rahmenwerke betreff en:

- PSD2 (Payment Services Directi ve) im Bereich Zahlungsverkehr- CRR/CRD (Capital Requirements Directi ve/ Regulati on) im Bereich Kreditgeschäft - MiFID/MiFIR (Markets in Financial Instruments Directi ve/ Regulati on) im Bereich Anlagegeschäft - AMLD (Anti Money Laundering Directi ve) vor allem in den Bereichen Kreditgeschäft , Zahlungsverkehr und Virtuelle Währungen- GDPR (General Data Protecti on Regulati on) zur branchen- übergreifenden Steigerung des Datenschutzes und Verbraucherschutzes

- SREP (Supervisory Review and Evaluati on Process) zur branchenübergreifenden Erweiterung der aufsichtsrechtli- chen Anforderungen an das Management von Cybersecurity-Risiken

Vor dem Hintergrund der zu erwartenden regulatorischen Ini-ti ati ven sollten sich FinTech-Unternehmen frühzeiti g mit mög-lichen Änderungen befassen, um potenti elle Implikati onen auf das eigene Geschäft smodell rechtzeiti g zu identi fi zieren.

ZUSAMMENFASSUNG

EXXETA.COM

Seite 8

© 2018 EXXETA AG. Alle Rechte vorbehalten. Alle Namen und Waren-zeichen sind das Eigentum ihrer jeweiligen Inhaber und werden hiermit anerkannt. Die Angaben im Text sind unverbindlich und dienen ledig-lich zu Informati onszwecken. In dieser Publikati on enthaltene Informa-ti onen können ohne vorherige Ankündigung geändert werden. EXXETA übernimmt keinerlei Haft ung oder Garanti e für Fehler oder Unvollstän-digkeiten in dieser Publikati on. Aus den in dieser Publikati on enthalte-nen Informati onen ergibt sich keine weiterführende Haft ung.

EXXETA AG

Taunusanlage 1760325 Frankurt am Main

t +49 69 9451999-15 f +49 69 9451999-99

TIM KLIPPSTEIN

ti m.klippstein@exxeta.com

NICKY MARCO HEBER

nicky.heber@exxeta.com

HANS JOACHIM LEFELD

hans.joachim.lefeld@exxeta.com

SPRECHEN SIE UNS ANDIE AUTOREN

WIR VERBINDEN WELTENEXXETA.COM

EXXETA ist ein unabhängiges und mitt elständisches Technologie- und Beratungsunternehmen mit Schwer-punkt in den Branchen Financial Services, Automoti ve und Energy.

EXXETA ist Ihr Value+ Partner. Dank der einzigarti gen Verbindung von Business und IT bietet EXXETA Ihnen einen klaren Mehrwert. Profi ti eren Sie von ganzheitli-chen innovati ven Lösungen: von der Fach- und IT-Be-ratung über eigenentwickelte Soft wareprodukte bis hin zur Konzepti on und Umsetzung zukunft sweisender Strategien und neuer Geschäft smodelle.