Kostenloses Erstgespräch

Kategorie: blog DE

Jan. 06, 2025

Rechnungseinheiten und MiCAR – Können Kryptotoken jetzt noch Rechnungseinheiten sein?

Der Deutsche Bundestag hat am 18. Dezember 2024 auf den letzten Metern der aktuellen Minderheitsregierung aus SPD und Grünen doch noch das Finanzmarktdigitalisierungsgesetz (FinmadiG) verabschiedet. Es passierte noch vor Weihnachten ohne weitere Änderungen den Bundesrat, so dass es nach Veröffentlichung im Bundesgesetzblatt nunmehr doch noch gerade rechtzeitig in Kraft getreten ist, um den Übergang in das Regulierungsregime der EU-Verordnung über Märkte in Kryptowerten (MiCAR) nationalrechtlich umzusetzen. Der bisherige Kryptowertebegriff des nationalen Rechts im Kreditwesengesetz (KWG) und Wertpapierinstitutsgesetz (WpIG) wurde damit endgültig in den Bereich der Rechtsgeschichte überführt und gestrichen. Kryptowerte im Sinne des KWG und des WpIG sind nunmehr auch für die Zwecke des nationalen Rechts ausschließlich Kryptowerte nach der Definition der MiCAR und damit digitale Darstellungen eines Werts oder eines Rechts, der bzw. das unter Verwendung der Distributed-Ledger-Technologie oder einer ähnlichen Technologie elektronisch übertragen und gespeichert werden kann. Die bisherige Definition für Kryptowerte gemäß KWG und WpIG waren jedoch nicht der einzige Alleingang des deutschen Gesetzgebers in der Kryptoregulierung vor dem MiCAR-Regime. Bereits seit 2011 vertritt die BaFin in ständiger Verwaltungspraxis die Auffassung, dass Bitcoins und ihnen ähnelnde Kryptowährungen – mithin sog. Currency Token – auch als Rechnungseinheiten und damit als Finanzinstrumente im Sinne des KWG und WpIG einzuordnen sind. Es fragt sich, ob die Qualifikation von Currency Token als Rechnungseinheit auch nach Inkrafttreten des FinmadiG noch möglich ist oder ob die Geltung des neuen Regulierungsregimes für Kryptowerte nach FinmadiG und MiCAR zum stillen Abschied der Rechnungseinheiten aus der Kyptoregulierung geführt hat.

Vor MiCAR konnten Kryptowerte und Rechnungseinheiten parallel vorliegen

Unter der abgelösten nationalen Kryptoregulierung waren Kryptowerte als sog. Auffangtatbestand ausgestaltet, so dass Token zugleich als Kryptowert und auch eine andere Form von Finanzinstrument aus dem Instrumentenkatalog des KWG bzw. WpIG qualifizieren konnten. Grundsätzlich war diese hybride Klassifizierung nicht schädlich und in Einzelfällen sogar hilfreich. Beispielsweise konnten so Kryptowährungen, die etwa den gesetzlichen Status von Geld hatten, nicht unter die Definition für Kryptowerte nach KWG und WpIG fallen, jedoch gegebenenfalls als Rechnungseinheit qualifizieren und damit trotzdem reguliertes Finanzinstrument sein. In solchen Fällen konnte – wie vom Gesetzgeber intendiert – die Regulierung ach KWG und WpIG für Geschäfte mit entsprechenden Token Anwendung finden. Unter der neuen Regulierung auf Grundlage der MiCAR gestaltet sich dies schwieriger, zumal sich die Regulierung nach KWG und WpIG hinsichtlich ihres Regelungsgehalts von derjenigen nach MiCAR unterscheidet. Es ist daher erforderlich, Token rechtssicher und unzweifelhaft einem der beiden Regulierungsregime zuordnen zu können. Die Rechtslage nach Inkrafttreten des FinmadiG sieht daher keine Kryptowerte nach deutschem Recht mehr vor und stellt klar, dass Kryptowerte im Sinne des KWG und des WpIG solche im Sinne der MiCAR sind. Token, die nicht als Kryptowert nach MiCAR einzuordnen sind, können im Einzelfall als sog. kryptografisches Instrument qualifizieren. Problematisch bleibt indessen, dass beispielsweise Bitcoins nach der bislang nicht von der BaFin aufgegebenen Verwaltungspraxis eindeutig als Rechnungseinheit und damit als Finanzinstrument nach KWG und WpIG qualifizieren, zugleich jedoch auch als Kryptowert im Sinne der MiCAR. Welches Regulierungsregime soll in solchen Fällen greifen?

BaFin sollte MiCAR Vorrang vor nationaler Regulierung geben

Es drängt sich auf, dass für die aufsichtsrechtliche Einordnung von Token die MiCAR gegenüber der lediglich nationalen Regulierung nach dem KWG und dem WpIG Vorrang haben sollte. Leider hat der deutsche Gesetzgeber es versäumt, diesbezüglich eine Klarstellung im Gesetz unterzubringen, was im Rahmen der weitreichenden Änderungen in den beiden Bundesgesetzen unproblematisch möglich gewesen wäre. Eine für die Praxis ausreichende Klarstellung könnte jedoch auch dadurch erreicht werden, dass die BaFin ihre Verwaltungspraxis zur Einordnung von Bitcoins und vergleichbaren Klonen als Rechnungseinheiten endgültig aufgibt. Sie stammt aus einer Zeit, in der es keine kodifizierte Regulierung für Kryptotoken gab und hat spätestens seit Geltung von FinmadiG und MiCAR seine Schuldigkeit getan. Regulierungslücken würden sich soweit ersichtlich nicht auftun. Auch im Hinblick auf die für die Verwirklichung des europäischen Binnenmarkts nötige Vereinheitlichung des in der EU geltenden Rechts wäre eine Abkehr von der Einordnung von Currency Token als Rechnungseinheit zielführend und begrüßenswert.

Rechtsanwalt Lutz Auffenberg, LL.M. (London)

Newsletter abonnieren

    Kontakt

    info@fin-law.de

    Dez. 16, 2024

    Interoperabilität durch Token Bridges – Sind Wrapped Token Kryptowerte unter MiCAR?

    Die Blockchain-Technologie hat sich spätestens seit Aufkommen der Smart Contract-Ökonomie als vielversprechende technische Infrastruktur für zahlreiche Anwendungsfälle etabliert. Insbesondere Anlageprodukte und Kapitalmarktemissionen werden inzwischen mehr und mehr über auf Blockchains implementierte Smart Contracts abgebildet und abgewickelt. Auch die Tokenisierung sog. Real-World-Assets (RWA-Token) oder von Rechten wird zunehmend umgesetzt, um die digitale Übertragung der zugrundeliegenden Werte zu ermöglichen. Eine der größten Herausforderungen blockchainbasierter Projekte besteht indessen in dem Umstand, dass sich Blockchains grundsätzlich als in sich geschlossene Netzwerke darstellen, die nicht miteinander kompatibel sind. Die Nutzung etwa von Bitcoins bzw. ihres Gegenwertes für die Interaktion mit einem auf der Ethereum-Blockchain implementierten Smart Contract ist technisch auf den ersten Blick nicht möglich. Abhilfe können in solchen Fällen sog. Token Bridges schaffen. Dabei handelt es sich um Smart Contracts, die ihren Nutzern ermöglichen, Werteinheiten aus anderen Blockchain-Infrastrukturen auf anderen Blockchains zu nutzen. Technisch funktioniert dies, indem Nutzer Kryptowährungen einer bestimmten Art an eine von der Token Bridge verwaltete Blockchainadresse transferieren, um dann im Gegenzug sog. Wrapped Token zu erhalten, die auf der Zielblockchain generiert werden und mithin dort nutzbar sind. Wrapped Token repräsentieren üblicherweise den Wert der hinterlegten Kryptowährung im Verhältnis 1:1.

    Können Wrapped Token Asset-Referenced Token darstellen?

    Unter MiCAR sind digitale Darstellungen von Werten oder Rechten, die unter Verwendung der Distributed-Ledger-Technologie oder einer ähnlichen Technologie elektronisch übertragen und gespeichert werden können, als Kryptowerte reguliert. Diese sehr weit formulierten Anforderungen erfüllen Wrapped Token jedenfalls. Daneben kennt die MiCAR jedoch auch Spezialformen von Kryptowerten, die für Emittenten und Anbieter von Kryptodienstleistungen mit weitergehenden Pflichten verbunden sein können. Ein sog. Asset-Referenced Token (ART) liegt beispielsweise vor, wenn ein Kryptowert durch Bezugnahme auf einen anderen Wert oder ein anderes Recht oder eine Kombination davon, einschließlich einer oder mehrerer amtlicher Währungen, eine Wertstabilität zu wahren versucht. Da Wrapped Token üblicherweise den Wert eines anderen Kryptowerts im Verhältnis 1:1 abbilden, werden sie in den meisten Fällen als ART qualifizieren. Für den Emittenten der Wrapped Token kann dies insbesondere bedeuten, dass die Ausgabe des Wrapped Token nicht ohne die dafür erforderliche Zulassung nach MiCAR erfolgen darf. Zudem ist der Emittent von ART verpflichtet, eine Vermögenswertreserve anzulegen, die nach spezifisch in der MiCAR geregelten Vorgaben vorgehalten werden muss. Darüber hinaus können Anbieter von Token Bridges je nach Ausgestaltung der zugrundeliegenden Smart Contracts gegebenenfalls Erlaubnispflichten nach der MiCAR auslösen. So kann etwa die Verwahrung von hinterlegten Kryptowerten eine erlaubnispflichtige Kryptoverwahrung darstellen. Auch die Rücktransferierung hinterlegter Kryptowerte kann gegebenenfalls nach MiCAR erlaubnispflichtig sein, wenn sie an eine andere Blockchainadresse erfolgen soll als diejenige, von der aus die Kryptowerte ursprünglich in die Token Bridge eingebracht wurden.

    Können Token Bridge Modelle auch unreguliert verwirklicht werden?

    Anbieter von Token Bridges und Emittenten von Wrapped Token können somit weitreichenden aufsichtsrechtlichen Pflichten unterfallen. Eine Möglichkeit, diese erheblichen administrativen Belastungen zu umgehen kann gegeben sein, wenn die Token Bridge und auch die Emission der Wrapped Token soweit dezentralisiert wird, dass es an einer hinreichend verantwortlichen Person für den Betrieb der Token Bridge und der Emission der Wrapped Token fehlt. Erforderlich wäre insoweit, dass die Token Bridge vollkommen dezentral funktioniert und keine bestimmbare Person mit Kontroll- oder Einflussmöglichkeiten in Bezug auf den Betrieb oder die Emission von Wrapped Token ausgestattet ist. Dann würde es an einem Adressaten für die nach MiCAR vorgesehenen aufsichtsrechtlichen Pflichten fehlen und die Token Bridge würde außerhalb des Anwendungsbereichs der MiCAR laufen können.

    Rechtsanwalt Lutz Auffenberg, LL.M. (London)

    I.  https://fin-law.de

    E. info@fin-law.de

    Zuständiger Anwalt für Fragen für die Einordnung von Token nach der MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

    Newsletter abonnieren

      Kontakt

      info@fin-law.de

      Dez. 02, 2024

      Getting Ready for DORA (Part VII) – Welche Finanzunternehmen profitieren vom vereinfachten IKT-Risikomanagementrahmen?

      Ab dem 17. Januar 2025 müssen betroffene Unternehmen die neuen Anforderungen erfüllen, die durch DORA eingeführt wurden. Die DORA verfolgt vor allem das Ziel, die digitale operationale Resilienz und die IKT-Sicherheit vollständig und konsequent zu harmonisieren. Die Notwendigkeit hierfür ergibt sich unter anderem daraus, dass rechtliche Unterschiede sowie variierende nationale Regulierungs- und Aufsichtsansätze in Bezug auf das IKT-Risiko Hindernisse für das Funktionieren des Binnenmarkts für Finanzdienstleistungen schaffen. Dies erschwert grenzüberschreitend tätigen Finanzunternehmen die ungehinderte Ausübung der Niederlassungsfreiheit sowie die Erbringung von Dienstleistungen erheblich. Darüber hinaus wird auch der Wettbewerb zwischen denselben Arten von Finanzunternehmen, die in verschiedenen Mitgliedstaaten tätig sind, durch diese Unterschiede bisher stark verzerrt. DORA begegnet IKT-Risiken durch gezielte Vorschriften zu den Kapazitäten für das IKT-Risikomanagement, die Meldung von Vorfällen, Tests der operationalen Resilienz sowie die Überwachung des IKT-Drittparteienrisikos. Beim Umgang mit DORA ist der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Das bedeutet, dass bei der Umsetzung der Vorgaben die Größe, das Gesamtrisikoprofil sowie die Art, der Umfang und die Komplexität der Finanzdienstleistungen berücksichtigt werden müssen. Dies zeigt sich auch in den Anforderungen an das IKT-Risikomanagement: Hier sieht DORA einen sogenannten vereinfachten IKT-Risikomanagementrahmen für bestimmte Finanzunternehmen vor. Aber auf wen genau ist dieser anwendbar?

      Welche Unternehmen können einen vereinfachten IKT-Risikomanagementrahmen implementieren?

      Der vereinfachte IKT-Risikomanagementrahmen ist im Vergleich zum allgemeinen Rahmen, der sonst durch die DORA vorgesehen ist, deutlich reduziert und stellt weniger konkrete Anforderungen an die Implementierung eines IKT-Risikomanagements. Salopp gesagt, reduziert sich das IKT-Risikomanagement von fünfzehn auf einen Artikel. Dieser vereinfachte Rahmen gilt ausschließlich für die ausdrücklich von DORA genannten Finanzinstitute. Dazu zählen beispielsweise kleine und nicht verflochtene Wertpapierfirmen, kleine Einrichtungen der betrieblichen Altersversorgung sowie Institute, die nach der Eigenkapitalrichtlinie (CRD IV) ausgenommen sind. Diese Ausnahmen sind vor dem Hintergrund des hohen Aufwands, der mit der Umsetzung der DORA-Anforderungen verbunden ist, besonders zu begrüßen. Kleinere Unternehmen, die unter die Ausnahme fallen, können so ein IKT-Risikomanagement betreiben, das im Verhältnis zu ihrer Größe und ihrem Gesamtrisikoprofil angemessen ist. Ein ausreichendes Schutzniveau wird durch die Vorgaben des vereinfachten IKT-Risikomanagementrahmens in Verbindung mit den technischen Regulierungsstandards (RTS RMF) gewährleistet. Diese Standards legen die Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie für den vereinfachten Rahmen fest. Der vereinfachte IKT-Risikomanagementrahmen soll außerdem für Zahlungsinstitute und E-Geld-Institute gelten, die nach der Zahlungsdiensterichtlinie (PSD2) oder der E-Geld-Richtlinie von den jeweiligen Mitgliedstaaten bei der Umsetzung ausgenommen wurden. Hier gibt es jedoch ungleiche Umsetzungen durch die einzelnen Mitgliedsstaaten.

      Ungleiche Anforderungen an Zahlungsinstitute in verschiedenen Mitgliedstaaten

      Trotz der Harmonisierungsbestrebungen der DORA bestehen weiterhin Lücken. Diese zeigen sich besonders bei Zahlungsinstituten und E-Geld-Instituten. Denn bei der Umsetzung der PSD2 und der E-Geld-Richtlinie hatten die Mitgliedstaaten gewisse Spielräume. Es ist daher möglich, dass bei der Umsetzung in nationales Recht die Möglichkeit genutzt wird, bestimmte Zahlungsinstitute oder E-Geld-Institute „auszunehmen“ und sie vereinfachten Anforderungen im nationalen Recht zu unterstellen. Folglich verweist die DORA in diesen Fällen auf eine Ausnahme, die nur für Finanzunternehmen greift, wenn der jeweilige Mitgliedstaat diese Ausnahme im nationalen Recht umgesetzt hat .Dies steht jedoch im starken Widerspruch zur Zielsetzung der DORA, gleiche Bedingungen für alle Marktteilnehmer zu schaffen. Aus Erwägungsgrund 42 der DORA geht hervor, dass der europäische Gesetzgeber dieses Problem erkannt und die Ungleichbehandlung vergleichbarer Finanzunternehmen letztlich in Kauf genommen hat. Ein Beispiel hierfür ist, dass ein in Deutschland reguliertes Zahlungsinstitut den allgemeinen IKT-Risikomanagementrahmen einhalten muss, während ein vergleichbares Zahlungsinstitut in einem anderen Mitgliedstaat, der die Ausnahmemöglichkeit genutzt hat, den vereinfachten IKT-Risikomanagementrahmen anwenden darf. Es bleibt somit nur im Einzelfall zu prüfen, ob und inwieweit eine Anwendung des vereinfachten IKT-Risikomanagementrahmens in Betracht kommt. Auch wenn dies nicht der Fall sein sollte, ist dennoch auf eine verhältnismäßige Umsetzung des allgemeinen IKT-Managementrahmens zu achten.

      FIN LAW

      I.  https://fin-law.de

      E. info@fin-law.de

      Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

      Newsletter abonnieren

        Kontakt

        info@fin-law.de

        Nov. 25, 2024

        Keine Tied Agents unter MiCAR – Wie müssen sich Haftungsdächer und vertraglich gebundene Vermittler auf die MiCAR vorbereiten?

        Ab dem 30. Dezember 2024 werden die Vorschriften der Markets in Crypto Assets Regulation (MiCAR) in der gesamten Europäischen Union rechtswirksam sein. Dann werden Kryptowerte-Dienstleister im Geltungsbereich der neuen Verordnung ihre Tätigkeit nicht mehr ohne die dafür erforderliche MiCAR Zulassung erbringen dürfen. Das aus anderen Bereichen der Finanzmarktregulierung bekannte Konzept des sog. Haftungsdach-Modells bzw. Tied-Agent-Modells, in dem erlaubnispflichtige Tätigkeiten ohne eigene Erlaubnis unter Verantwortung eines ausreichend zugelassenen Instituts erbracht werden dürfen, kennt die MiCAR nicht. Die ESMA hat diesbezüglich bereits im September 2024 klargestellt, dass Kryptowerte-Dienstleistungen unter Geltung der MiCAR ausschließlich von Unternehmen erbracht werden dürfen, die entweder als Kryptowerte-Dienstleister zugelassen sind oder als bereits beaufsichtigtes Kreditinstitut oder Wertpapierinstitut erfolgreich ein Notifizierungsverfahren nach Maßgabe der MiCAR durchlaufen haben. Da nach der aktuellen in Deutschland geltenden Regulierung nach dem Wertpapierinstitutsgesetz (WpIG) Kryptowerte als Finanzinstrumente gelten und das Gesetz insoweit Haftungsdachlösungen für Geschäftsmodelle erlaubt, in denen Unternehmen im Inland ausschließlich die Anlagevermittlung, die Anlageberatung oder das Platzierungsgeschäft erbringen, stellt der Übergang in das MiCAR-Regime für entsprechend angebundene Tied Agents potenziell einen echten Showstopper dar. Was können vertraglich gebundene Vermittler und deren Haftungsdächer mit krypto-bezogenen Geschäftsmodellen vor dem 30. Dezember 2024 tun, um das Geschäft unter der MiCAR nahtlos fortführen zu können?

        Können vertraglich gebundene Vermittler unter die Übergangsregelung nach MiCAR fallen?

        Für Anbieter von Kryptowerte-Dienstleistungen, die ihre Dienste nach dem für sie geltenden Recht – also nach den auf sie anwendbaren nationalen Vorschriften – erbracht haben, sieht die MiCAR eine Übergangsregelung vor. Solche Anbieter dürfen ihre Dienstleistungen auch nach dem 30. Dezember bis spätestens zum 1. Juli 2026 oder bis zu dem Zeitpunkt erbringen, in dem ihnen eine MiCAR Erlaubnis erteilt oder verweigert wurde, je nachdem, welcher Zeitpunkt zuerst eintritt. Die Mitgliedstaaten haben indes die Möglichkeit, den bis zum 1. Juli 2026 reichenden Zeitrahmen zu verkürzen. Der deutsche Gesetzgeber hat bislang noch keine Umsetzungsgesetzgebung zur MiCAR erlassen, so dass bis auf Weiteres nicht von einer Verkürzung auszugehen ist. Dem Wortlaut nach würden grundsätzlich auf vertraglich gebundene Vermittler von der Übergangsregelung Gebrauch machen können, da sie nach den auf sie anwendbaren nationalen Regularien legal Kryptowerte-Dienstleistungen vor dem 30. Dezember 2024 erbracht haben. Zu berücksichtigen ist aber in jedem Fall, dass sich die aufsichtsrechtliche Zulässigkeit der Dienstleistungserbringung bei Tied Agents von den als Haftungsdach agierenden Wertpapierinstituten ableitet. Vor diesem Hintergrund ist davon auszugehen, dass eine Berufung auf die Übergangsregelung für vertraglich gebundene Vermittler nur in Betracht kommen kann, wenn die in Anspruch genommene Haftungsdachlösung nach dem ab dem 30. Dezember 2024 geltenden Recht weiter existiert und auch das Haftungsdach weiter die diesbezüglichen Voraussetzungen erfüllt. Die BaFin hat demgegenüber die von ihr beaufsichtigten Institute angeschrieben, die Tied Agents angebunden haben und darauf hingewiesen, dass die Anbindung von Tied Agents unter Geltung der MiCAR unzulässig sein wird. Vertraglich gebundene Vermittler, die sich daher auf die Übergangsregelungen der MiCAR berufen wollen, sollten dieses Vorgehen in jedem Fall zuvor mit ihrem haftenden Institut und der BaFin abklären.

        Alternative zum Haftungsdach nur Auslagerungslösung oder eigene MiCAR Zulassung

        Sofern sich vertraglich gebundene Vermittler nicht auf die Übergangsregelungen der MiCAR berufen können oder wollen, benötigen sie eine andere Lösung. Die Beantragung einer eigenen MiCAR Erlaubnis ist bei der zuständigen Behörde möglich, jedoch erfordert ein solcher Antrag gründliche und zeitintensive Vorbereitung und zudem Geduld bis zum Abschluss des Zulassungsverfahrens durch die BaFin. Zügiger kann eine sog. Auslagerungslösung umgesetzt werden, in der der bisherige vertraglich gebundene Vermittler als Auslagerungsunternehmen für den zur Erbringung von Kryptowerte-Dienstleistungen berechtigten Anbieter agiert. Aufsichtsrechtlich verantwortlich ist dann – wie auch im Haftungsdachmodell – der Anbieter von Kryptowerte-Dienstleistungen. Das Auslagerungsunternehmen erbringt gegenüber diesem dann technische Leistungen wie etwa die Bereitstellung einer technischen Plattform, Support-Dienstleistungen sowie den Vertrieb. Vorsicht ist insoweit allerdings bei Auslagerungslösungen geboten, in denen an Kryptounternehmen aus dem Nicht-EU-Ausland ausgelagert werden soll. Hier darf nach der Auffassung der ESMA die Auslagerung nicht dazu führen, dass das Drittlandunternehmen Kryptowerte-Dienstleistungen in Europa letztlich ohne eigene Zulassung durch eine europäische Zweckgesellschaft erbringt, während die eigentliche Dienstleistung tatsächlich in einem Drittland erbracht wird.

        Rechtsanwalt Lutz Auffenberg, LL.M. (London)

        I.  https://fin-law.de

        E. info@fin-law.de

        Zuständiger Anwalt für alle Fragen zur Regulierung von tied agents nach MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

        Newsletter abonnieren

          Kontakt

          info@fin-law.de

          Nov. 11, 2024

          MICAR-Übergang ohne nationale Rahmengesetzgebung – Was passiert wenn der Bundestag das KMAG bis Jahresende nicht beschließt?

          Die Regierungskoalition im Bundestag aus SPD, Grünen und FDP ist Geschichte. Von der vor etwa drei Jahren angetretenen Ampel ist nur noch eine Fussgängerampel ohne Gelbphase übrig. Für die Bundesregierung bedeutet dies, dass für alle noch zu verabschiedenden Gesetzesvorhaben jeweils Mehrheiten im Parlament gesucht und gebildet werden müssen. Die diesbezügliche Unterstützung der Oppositionsparteien im Bundestag, die abstimmungsreife Gesetzesentwürfe selbst nicht mitgestaltet haben, dürfte insbesondere vor dem Hintergrund des unmittelbar nach dem Ende der Ampel begonnenen Wahlkampfes nur in wenigen Fällen gewährt werden. Das Schicksal der bereits seit vielen Monaten vorliegenden Gesetzesentwürfe nach dem Finanzmarktdigitalisierungsgesetz (FinmaDiG) und damit verbunden die Entwürfe für die Rechtsverordnungen zur Regelung des MiCAR-Übergangs, namentlich die MiCAR-Antragsverordnung und die MiCAR-Transitverordnung ist deshalb mehr als ungewiss. Es erscheint sehr unwahrscheinlich, dass die Vorschläge bis zum 30. Dezember 2024 noch beschlossen werden können. Ab diesem Stichtag werden die Vorschriften der MiCAR in ihrer Gänze unmittelbare Rechtswirkung entfalten. Für Unternehmen mit sich auf Kryptowerte beziehenden Geschäftsmodellen bedeutet dies, dass sie über eine Zulassung oder eine Notifizierung nach MiCAR verfügen müssen, auf deren Grundlage sie ihre Kryptodienstleistungen erbringen dürfen. Doch wie ist die Rechtslage für die deutsche Kryptobranche, wenn der deutsche Gesetzgeber bis zur Geltung des neuen Regulierungsregimes nach MiCAR es nicht schafft, die nationale Rahmengesetzgebung zu erlassen?

          Entwurf zum KMAG soll Rechtsgrundlage für den Zulassungsantrag nach MiCAR schaffen

          Mit dem Kryptomärkteaufsichtsgesetz (KMAG) plant der deutsche Gesetzgeber die Schaffung des nationalen Rechtsrahmens für die Umsetzung der Regularien aus der MiCAR. Insbesondere soll über das KMAG die Zuständigkeit der BaFin für die Aufsicht über die Einhaltung der Vorschriften der Regulierung festgelegt werden. Die BaFin soll danach insbesondere zuständig für die Bearbeitung von Anträgen auf Erteilung einer Zulassung nach MiCAR und die laufende Aufsicht über Kryptowertedienstleister sein. Daneben soll das KMAG die Zuständigkeit der BaFin für beispielsweise für Inhaberkontrollverfahren nach dem neuen Regime und die Verfolgung von unter dessen Geltung unerlaubt betriebene Kryptodienstleistungen begründen. Der Gesetzesentwurf enthält darüber hinaus einige weitere Spezialregeln wie etwa ergänzende Bestimmungen zu den in der MiCAR festgelegten Regularien und einen umfassenden Katalog von Ordnungswidrigkeiten für Fälle, in denen gegen diese oder das KMAG verstoßen wird. Die eigentlichen Verfahrensabläufe bei Stellung eines Antrags auf Erteilung einer MiCAR Lizenz oder bei Inanspruchnahme der Notifizierungsmöglichkeit für Bestandsinstitute mit einer bereits bestehenden Erlaubnis nach nationalem Finanzaufsichtsrecht legt die MiCAR jedoch – bis auf wenige Detailfragen – selbst fest. Zwingend ist deshalb eigentlich nur, dass der deutsche Gesetzgeber bis zum Inkrafttreten der MiCAR gesetzlich regelt, welche nationale Behörde die zuständige Behörde im Sinne der MiCAR sein wird. Ohne diese Festlegung wird keine Rechtsgrundlage für die Einreichung von Anträgen nach MiCAR bei der BaFin bestehen mit der Folge, dass sie entsprechende Anträge nicht bearbeiten kann.

          Was gilt für Bestandsinstitute und Institute mit vorläufig erteilte Erlaubnis nach § 64y KWG?

          Sollte der Bundestag das KMAG nicht rechtzeitig vor dem 30. Dezember 2024 verabschieden, gilt für Bestandsinstitute und bereits legal tätige Kryptodienstleister lediglich die neue Verordnung. In den dortigen Übergangsregelungen ist vorgesehen, dass Anbieter von Kryptowerte-Dienstleistungen, die ihre Dienste nach geltendem Recht vor dem 30. Dezember 2024 erbracht haben, damit bis spätestens zum 1. Juli 2026 oder bis zu dem Zeitpunkt fortfahren dürfen, an dem sie eine Zulassung oder Verweigerung nach den Vorschriften der MiCAR erhalten. Ansatzpunkt für die Zulassungsfiktion ist damit allein die Frage, ob das betreffende Unternehmen vor dem 30. Dezember 2024 nach geltendem Recht Kryptowerte-Dienstleistungen erbracht hat. Die Formulierung unterschiedet insbesondere nicht danach, ob ein Unternehmen eine vorläufige oder eine endgültige Erlaubnis für die Erbringung der Kryptowertedienstleistungen vor dem 30. Dezember 2024 innehatte. Demzufolge könnten bei Untätigkeit des deutschen Gesetzgebers in Sachen nationale Rahmengesetzgebung für den MiCAR-Übergang auch Kryptoverwahrer mit vorläufiger KWG-Erlaubnis ihr Geschäft zunächst weiterbetreiben. Zwar sieht die neue Regulierung für nationale Gesetzgeber die Möglichkeit vor zu beschließen, von der Übergangsregelung für Kryptowerte-Dienstleister keinen Gebrauch zu machen. Ein solcher Beschluss dürfte jedoch einen aktiven gesetzgeberischen Akt voraussetzen, den es bislang nicht gab und der aller Voraussicht nach auch bis zum 30. Dezember 2024 nicht verabschiedet werden dürfte.

          Rechtsanwalt Lutz Auffenberg, LL.M. (London)

          I.  https://fin-law.de

          E. info@fin-law.de

          Zuständiger Anwalt für Fragen zur MiCAR, zum Übergang in das MiCAR Regime sowie diesbezügliche Übergangsregelungen in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

          Newsletter abonnieren

            Kontakt

            info@fin-law.de

            Nov. 04, 2024

            Getting Ready for DORA (Part VI) – Nur Finanzunternehmen oder schon IKT-Drittdienstleister?

            Ab dem 17. Januar 2025 sind Unternehmen verpflichtet, die neuen Anforderungen zu erfüllen, die mit DORA eingeführt werden. Diese Verordnung adressiert gezielt die Herausforderungen der digitalen Transformation und der zunehmenden Vernetzung in der Finanzbranche. In diesem Kontext zielt DORA darauf ab, Risiken wie Cyberattacken und Betriebsstörungen zu minimieren. Finanzunternehmen und ihre IKT-Dienstleister müssen umfassende Maßnahmen ergreifen, um ihre digitale Resilienz zu verbessern und dadurch die Sicherheit und Stabilität der gesamten Branche zu fördern. DORA ist dabei ein überaus komplexes Regelwerk. Die Regulierung umfasst 64 Artikel, die durch eine Reihe von Regulatory Technical Standards (sogenannte RTS) ergänzt werden. Durch die RTS sollen einheitliche Standards in der gesamten EU geschaffen werden, sodass alle betroffenen Finanzunternehmen unionsweit die gleichen Anforderungen erfüllen müssen. Die RTS spezifizieren und präzisieren die allgemeinen Vorgaben von DORA. Sie werden gemeinsam von den zuständigen europäischen Aufsichtsbehörden EBA, EIOPA und ESMA erarbeitet, die zusammen als European Supervisory Authorities (ESA) bezeichnet werden. Auch nachdem nun viele dieser RTS veröffentlicht wurden oder als Entwurf vorliegen, wirft DORA noch einige Auslegungsfragen auf. Dies ist besonders prekär, da die Zeit bis zum Inkrafttreten der DORA immer kürzer wird und sich die betroffenen Unternehmen auf die Regulierung vorbereiten müssen. Eine dieser Fragen betrifft die Anwendbarkeit von DORA auf ein Finanzunternehmen, das Dienstleistungen für ein anderes Finanzunternehmen erbringt. Wann ist hier von einer IKT-Dienstleistung auszugehen, die das leistende Finanzunternehmen zu einem IKT-Drittdienstleister im Sinne von DORA macht? Müssen nun auch zwischen zwei bereits aufsichtsrechtlich regulierten Unternehmen zusätzlich die Anforderungen von DORA eingehalten werden? Diese Frage hat erhebliche Konsequenzen, da die Einordnung eines Finanzunternehmens als IKT-Drittdienstleister unter anderem weitreichende Folgen für die Vertragsbeziehung zwischen dem IKT-Drittdienstleister-Finanzunternehmen und dem auftraggebenden Finanzunternehmen hätte.

            Unklare Vorgaben in der DORA zum Begriff IKT-Drittdienstleister

            Die DORA definiert IKT-Drittdienstleister als Unternehmen, die IKT-Dienstleistungen bereitstellen. In Erwägungsgrund 63 heißt es darüber hinaus, dass Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne der Verordnung gelten sollen. Somit steht fest, dass Finanzunternehmen grundsätzlich auch IKT-Drittdienstleister sein können, wenn sie IKT-Dienstleistungen für andere Finanzunternehmen erbringen. IKT-Drittdienstleistungen sind nach der DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Diese Definition ist, wie vom Verordnungsgeber beabsichtigt, sehr weit gefasst. Dies wird in Erwägungsgrund 35 der DORA klargestellt, in dem betont wird, dass auf alle Risiken eingegangen werden soll, die sich aus sämtlichen Arten von IKT-Dienstleistungen ergeben. Zu diesem Zweck soll die Definition von IKT-Dienstleistungen im Zusammenhang mit DORA weit ausgelegt werden und digitale Dienste sowie Datendienste umfassen, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern fortlaufend bereitgestellt werden. Weiter werden in Erwägungsgrund 79 Beispiele für IKT-Dienstleistungen als die Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen genannt. Angenommen, ein nach MiFID II oder MICAR reguliertes Finanzunternehmen erbringt eine regulierte Finanzdienstleistung gegenüber einem anderen Finanzunternehmen und stellt diesem die Finanzdienstleistung dauerhaft und digital zur Verfügung, wirft dies die Frage auf, ob zusätzlich zu den für die Finanzdienstleistung bereits bestehenden Anforderungen auch die Anforderungen der DORA eingehalten werden müssten. Die Definition ließe eine solche Sichtweise ohne weiteres zu, was einen erhöhten bürokratischen Aufwand und zusätzliche Kosten für Finanzunternehmen bedeuten würde – alles zum Wohle der digitalen operativen Resilienz des Finanzmarktes. Ob jedoch klassische Finanzdienstleistungen, nur weil sie digital durchgeführt werden, automatisch zu einer Einordnung als IKT-Drittdienstleister führen müssen, bleibt fraglich.

            Praxis fordert verbindliche Klarstellung

            In ihren FAQ im Rahmen des „DORA 2024 Dry Run Exercise on Reporting of Registers of Information“ äußern sich die ESAs zur Auslegung von IKT-Dienstleistungen dahingehend, dass, wenn ein Finanzunternehmen für die Erbringung einer Dienstleistung eine Zulassung, Lizenz oder Registrierung als Finanzunternehmen benötigt, es sich bei dieser Dienstleistung um eine regulierte Finanzdienstleistung und nicht um eine IKT-Dienstleistung im Sinne der DORA handelt. Diese Auslegung würde es ermöglichen, reine Finanzdienstleistungen, die nicht klassische Cloud-Computing-Dienste, Softwarelösungen oder datenbezogene Dienstleistungen sind, aus dem Anwendungsbereich der DORA herauszunehmen. Am 1. Oktober 2024 haben zu diesem Thema die Handels- und Interessenverbände FIA, AFME, EACH, ECSDA und FESE eine gemeinsame Stellungnahme abgegeben, in der sie die ESAs auffordern, an der Auffassung aus dem Dry Run für die kommende DORA festzuhalten und so schnell wie möglich verbindlich festzustellen, dass Finanzdienstleistungen für die Zwecke der DORA nicht als IKT-Dienstleistungen behandelt werden sollten. Zudem fordern sie die Klarzustellung, dass regulierte Finanzdienstleistungen alle Dienstleistungen und Tätigkeiten umfassen, die der Aufsicht einer Finanzdienstleistungsregulierungsbehörde unterliegen, einschließlich aller Nebendienstleistungen oder delegierten Dienstleistungen. Diese Aufforderung ist zu begrüßen. Eine Klarstellung ist dringend notwendig, um Rechtssicherheit bei der Umsetzung der DORA zu schaffen. Regulierte Finanzunternehmen unterliegen bezüglich ihrer beaufsichtigten Geschäftstätigkeit bereits weitreichenden Pflichten und werden akribisch beaufsichtigt. Eine darüber hinausgehende Anwendung der DORA würde zusätzlichen Aufwand bedeuten, der nur einen unwesentlichen Mehrwert im Hinblick auf die Finanzmarktsicherheit brächte. Es bleibt jedoch abzuwarten, wie sich die ESAs positionieren werden.

            FIN LAW

            I.  https://fin-law.de

            E. info@fin-law.de

            Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

            Newsletter abonnieren

              Kontakt

              info@fin-law.de

              Okt. 28, 2024

              MiCAR und Nicht-EU CASPs – Wie können Kryptodienstleister aus Drittstaaten in Europa Geschäft machen?

              Der Europäische Markt ist auch für Kryptodienstleister interessant, die nicht in der Europäischen Union ansässig sind. Insbesondere marktführende Kryptohandelsplätze aus den USA oder aus Asien können es sich nicht leisten, ihre Dienste nicht auch europäischen Kunden anbieten, wenn sie auch in Zukunft ihre Vormachtstellung im weltweiten Kryptomarkt nicht verlieren wollen. Vor diesem Hintergrund stellt sich sowohl für Kryptodienstleister aus den USA und Asien, aber auch aus der Schweiz und UK die Frage, welche Möglichkeiten sich für sie ergeben, um unter Geltung der MiCAR künftig ihre Kryptodienstleistungen auch europäischen Kunden anbieten zu können. Im Sommer diesen Jahres äußerte sich die European Securities and Markets Authority (ESMA) zu diesem Thema und engte die Möglichkeiten insbesondere für Kryptobörsen aus Drittstaaten weiter ein. Sofern kein reines Reverse Solicitation Geschäft betreiben werden soll, bei dem in keiner Weise eine Initiative zur Geschäftsanbahnung vom Kryptodienstleister ausgehen darf, soll nach Empfehlung der ESMA an die zuständigen Aufsichtsbehörden der EU-Mitgliedstaaten – in Deutschland die BaFin – unter Geltung der MiCAR erforderlich sein, dass Handelsplattformen für Kryptowerte aus Drittstaaten eigenständige europäische Unternehmen gründen, mit diesen eine MiCAR Zulassung beantragen und das gesamte Europageschäft sodann über diese Gesellschaften laufen lassen. Nicht gewollt ist das Angebot von Kryptodienstleistungen in einer Weise, in der die europäische Einheit lediglich als Intermediär zwischen den europäischen Kunden und den Unternehmen aus einem Staat außerhalb der Europäischen Union agiert und die eigentliche Dienstleistung letztlich außerhalb der EU erbracht wird.

              MiCAR Lizenz nicht für bloße Brokerageeinheiten von Kryptodienstleistern aus Drittstaaten

              Nach den Vorschriften der MiCAR können nur Antragsteller aus der EU eine Zulassung für Kryptowertedienstleistungen erhalten, die ihren Sitz in der Europäischen Union haben. Der Verordnungsgeber möchte so sicherstellen, dass Kryptodienstleistungen in Europa ausschließlich unter Beachtung der Regeln er MiCAR erbracht werden können. Die ESMA sieht insoweit die Gefahr, dass Kryptodienstleister aus Drittstaaten in Europa eine reine Briefkastenfirma gründen könnten, um mit dieser Gesellschaft einen Antrag auf Erteilung einer MiCAR Zulassung für Brokeragedienstleistungen wie etwa die Ausführung von Aufträgen über Kryptowerte für Kunden oder die Annahme und Übermittlung von Aufträgen über Kryptowerte für Kunden einzuholen. Diese Gesellschaft würde dann nach Erteilung der beantragten MiCAR Erlaubnis Geschäft mit europäischen Kunden an einen außerhalb des Geltungsbereichs der MiCAR betriebenen Handelsplatz für Kryptowerte vermitteln oder weiterleiten. Die strengen Compliancepflichten für Handelsplattformen für Kryptowerte nach MiCAR könnten so umgangen werden, was nach Auffassung der ESMA erhebliche Nachteile für den Verbraucherschutz im Kryptomarkt der Europäischen Union mit sich bringen würde. Die ESMA rät der BaFin und den zuständigen Aufsichtsbehörden daher, im Zulassungsverfahren nach MiCAR zu prüfen, ob eine solche Konstellation vorliegt und erforderlichenfalls die beantragte Erlaubnis nicht zu erteilen.

              ESMA rät zu sorgfältiger Einzelfallprüfung und nennt Anhaltspunkte für unrechtmäßige Kundenansprache

              Letztlich rät die ESMA den zuständigen nationalen Aufsichtsbehörden und so auch der BaFin zu einer sorgfältigen Einzelfallprüfung, in der es darum geht zu klären, ob eine Fallkonstellation im Ergebnis so auszulegen ist, dass letztlich nach MiCAR erlaubnispflichtige Kryptodienstleistungen europäischen Kunden aus einem Drittstaat angeboten werden. Zu berücksichtigen ist bei dieser Prüfung allerdings, dass die MiCAR selbst Kryptodienstleistern nicht untersagt, Kundenaufträge auf Handelsplattformen oder sonstigen Händlern in Drittstaaten auszuführen. Erst dann, wenn die Gesamtgestaltung darauf schließen lässt, dass der Anbieter aus dem Drittstaat unter Verstoß gegen die Zulassungspflichten der MiCAR europäische Kunden anspricht, um die strengen aufsichtlichen Pflichten der MiCAR zu umgehen, soll nach Meinung der ESMA eine Versagung der Zulassung in Betracht kommen. Auch wenn es sich stets um eine Einzelfallprüfung handelt, formuliert die ESMA einige Anhaltspunkte, die im Einzelfall für eine unrechtmäßige Gestaltung sprechen können. Danach sollen zuständige nationale Aufsichtsbehörden insbesondere prüfen, ob ein in der EU zugelassener Broker systematisch Kundenaufträge zur Ausführung an ein Unternehmen außerhalb der EU weitergibt. Ebenso soll zu berücksichtigen sein, ob ein EU-Broker Kundenaufträge vor Weitergabe analysiert und prüft, ob andere geeignete Ausführungsplätze in Frage kommen können. Ein weiterer Hinweis kann nach Auffassung der ESMA vorliegen, wenn ein EU-Broker die Marke eines Nicht-EU-Anbieters nutzt, um Kunden zu gewinnen, sofern den Kunden die Differenzierung erschwert wird, dass die Dienste des Brokers und nicht des Nicht-EU-Anbieters genutzt werden. Schließlich ist nach ESMA ein Hinweis auf eine missbräuchliche Gestaltung, wenn der in der EU zugelassene Broker eine nicht marktgerechte, zu geringe Vergütung für seine Leistungen erhält.

              Rechtsanwalt Lutz Auffenberg, LL.M. (London)

              I.  https://fin-law.de

              E. info@fin-law.de

              Zuständiger Anwalt für die Beantragung einer MiCAR Zulassung und Möglichkeiten für Kryptodienstleister aus Drittstaaten zum Eintritt in den europäischen Markt in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

              Newsletter abonnieren

                Kontakt

                info@fin-law.de

                Okt. 21, 2024

                Cyber Resilience Act – Welche Pflichten treffen künftig die Hersteller von Produkten mit digitalen Elementen?

                Das Thema Cybersicherheit rückt immer mehr in den Fokus des europäischen Gesetzgebers. Jetzt hat der Rat der Europäischen Union am 10. Oktober 2024 die Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 beschlossen. Dieser sogenannte Cyber Resilience Act (CRA) soll einen einheitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem Unionsmarkt festlegen. Hierzu sollen Schwachstellen, die auf ein geringes Maß an Cybersicherheit zurückzuführen sind, sowie die unzureichende Bereitstellung von Sicherheitsaktualisierungen behoben werden. Zudem soll das mangelnde Verständnis und der eingeschränkte Informationszugang der Nutzer adressiert werden, damit sie in die Lage versetzt werden, Produkte mit angemessenen Cybersicherheitsmerkmalen auszuwählen und sicher zu verwenden. Anders als andere Richtlinien und Verordnungen, die in letzter Zeit zur Stärkung der IT-Sicherheit verabschiedet worden sind – zu denken ist z. B. an die DORA-Verordnung –, ist der Cyber Resilience Act in seinem Anwendungsbereich nicht sektorspezifisch, sondern horizontal ausgestaltet und soll grundsätzlich alle Produkte mit digitalen Elementen umfassen. Die Verordnung wird ab November 2027 gelten. Meldepflichten für Schwachstellen und Sicherheitsvorfälle gelten bereits ab August 2026. Die Pflichten welche Herstellern, Importeuren und Händlern auferlegt werden, sind umfangreich, und die drohenden Sanktionen bei Nichteinhaltung der gesetzlichen Vorgaben sind empfindlich. Nach dem Motto ‚Vertrauen ist gut, Kontrolle ist besser‘ werden die Marktteilnehmer wie schon vor Jahren durch die DSGVO gezwungen sein, alle Maßnahmen in die Wege zu leiten, die zur Einhaltung der Pflichten nach dem CRA notwendig sind. Worauf sollten sich die Regelungsadressaten, wie beispielsweise Hersteller, einstellen?

                Wer gilt als Hersteller im Sinne des CRA?

                Ein Hersteller im Sinne des CRA ist eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter eigenem Namen oder eigener Marke vermarktet, sei es entgeltlich oder unentgeltlich. Ein Produkt mit digitalen Elementen ist ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen. Umfasst sind solche Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder einem Netz einschließt. Das kann von Software über PCs und Smartphones bis hin zu Staubsaugerrobotern alles sein, was mit anderen Geräten oder Netzwerken kommunizieren kann. Für die Hersteller solcher Produkte ist die Palette neuer Pflichten üppig und kann deswegen hier nur auszugsweise genannt werden. Unter anderem müssen sie, bevor sie ein Produkt mit digitalen Elementen in Verkehr bringen, eine technische Dokumentation im Sinne des CRA erstellen und ein Konformitätsbewertungsverfahren nach den Vorgaben der Verordnung durchführen oder durchführen lassen. Danach ist eine EU-Konformitätserklärung auszustellen und eine CE-Kennzeichnung am Produkt anzubringen. Nach dem Inverkehrbringen und während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen eines Produkts mit digitalen Elementen – je nachdem, welcher Zeitraum kürzer ist – müssen die Hersteller dafür sorgen, dass das Produkt CRA-konform bleibt (Updates). Außerdem muss der Hersteller der European Union Agency for Cybersecurity (ENISA) unverzüglich, jedenfalls aber innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jede aktiv ausgenutzte Schwachstelle melden, die in dem Produkt mit digitalen Elementen enthalten ist.

                Welche Sanktionen drohen den Herstellern bei Verstößen gegen den CRA?

                Für die Verhängung von Sanktionen sieht der CRA vor, dass die Mitgliedstaaten Vorschriften über Sanktionen erlassen und alle für die Durchsetzung der Sanktionen erforderlichen Maßnahmen treffen müssen. Die von dem CRA vorgesehenen Geldbußen reichen hierbei von 15.000.000 EUR oder – im Falle von Unternehmen – bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, für die Nichteinhaltung grundlegender Anforderungen oder der oben erwähnten Herstellerpflichten. Bei Verstößen gegen andere Pflichten aus dieser Verordnung können Geldbußen von bis zu 10.000.000 EUR oder – im Falle von Unternehmen – bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5.000.000 EUR oder – im Falle von Unternehmen – bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist. Es ist also dringend anzuraten, die Anforderungen des CRA einzuhalten und diese rechtzeitig und gewissenhaft umzusetzen.

                FIN LAW

                I.  https://fin-law.de

                E. info@fin-law.de

                Zuständiger Anwalt für Fragen zum Cyber Resilience Act, DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                Newsletter abonnieren

                  Kontakt

                  info@fin-law.de

                  Okt. 14, 2024

                  Getting Ready for DORA (Part V) – Vertragsverhandlung nach Inkrafttreten der DORA – Wer sitzt am längeren Hebel?

                  Auch in Brüssel schläft man nicht und die Regulierung im europäischen Wirtschaftsraum nimmt stetig zu. Der Bereich der IT-Sicherheit bleibt davon nicht verschont. Immer mehr neue Compliance-Anforderungen kommen hinzu, die zunehmend mehr Unternehmen betreffen. Ein Beispiel hierfür ist die NIS 2Richtlinie, die bis Oktober 2024 umgesetzt werden muss und die NIS Richtlinie von 2016 weiterentwickelt. Zudem befindet sich der Cyber Resilience Act (CRA) derzeit in der Entwurfsphase, der darauf abzielt, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit digitalen Komponenten kaufen oder nutzen. Eine weitere umfangreiche Regulierung zur Stärkung der IT-Sicherheit ist der Digital Operational Resilience Act (DORA). DORA betrifft vor allem Finanzunternehmen wie Banken, Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, Verwaltungsgesellschaften und Versicherungen sowie Unternehmen, die diesen Informations- und Kommunikationstechnologie (IKT) bereitstellen (sogenannte IKT-Drittdienstleister). Ab dem 17. Januar 2025 müssen diese Unternehmen die neuen Vorschriften erfüllen. Mit DORA sollen die Herausforderungen der fortschreitenden Digitalisierung und der zunehmenden Vernetzung in der Finanzbranche bewältigt werden. Ziel der Verordnung ist es, Risiken wie Cyberangriffe und Betriebsunterbrechungen effektiv entgegenzuwirken. Finanzunternehmen und IKT-Drittdienstleister sind verpflichtet, weitreichende Maßnahmen zu ergreifen, um ihre digitale Resilienz zu stärken und somit für mehr Sicherheit und Stabilität in der Branche zu sorgen. Es ist in der Praxis mittlerweile üblich, dass die IT-Infrastruktur oder auch ganze Arbeitsprozesse und Businessprozesse an spezialisierte Dienstleister ausgelagert werden. DORA bringt neue Herausforderungen im Bereich Compliance mit sich, die sich auch konkret auf den Verhandlungsspielraum bei Verträgen zwischen Finanzunternehmen und IKT-Drittdienstleistern auswirken. Wird das Machtverhältnis durch die DORA Verordnung zugunsten der Finanzunternehmen verschoben?

                  DORA und das Management des IKT-Drittparteienrisikos

                  Die DORA verpflichtet die Finanzunternehmen, das IKT-Drittparteienrisiko zu managen. Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Zur Bewältigung des IKT-Drittparteienrisikos werden zwei grundlegende Prinzipien festgelegt: Zum einen bleiben die Finanzunternehmen jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich. Zum anderen haben die Finanzunternehmen dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen. Dementsprechend schreibt die DORA zwingende Vertragsinhalte vor, die zwischen Finanzunternehmen und IKT-Drittdienstleistern vereinbart werden müssen. Dazu gehört das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu uneingeschränkte Zugangs-, Inspektions- und Auditrechte für das Finanzunternehmen, einen beauftragten Dritten oder die zuständige Behörde zählen. Die Häufigkeit der Kontrollen ist risikobasiert zu ermitteln. Zudem sind Kündigungsrechte für die in der DORA vorgesehenen Fälle zu vereinbaren. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen, sind zum Beispiel ausführliche Leistungsbeschreibungen erforderlich. Außerdem ist der IKT-Drittdienstleister zu verpflichten, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten. Darüber hinaus sind Ausstiegsstrategien mit verbindlichen angemessenen Übergangszeiträumen zu vereinbaren.

                  Kaum Spielraum für Verhandlungen

                  Die Vorgaben der DORA lassen den Vertragsparteien im Grunde wenig Spielraum. Sie sind von den Finanzunternehmen schlichtweg zu erfüllen. Das Aufsichtsrecht nimmt hier starken Einfluss auf die privatautonomen Gestaltungsmöglichkeiten der Vertragsparteien. Die Vorgaben sind umfangreich und zielen vor allem darauf ab, die Finanzunternehmen in die Lage zu versetzen, die IKT-Dienstleistungen zu prüfen und deren Stabilität und Sicherheit zu gewährleisten. Besonders im Fall von mittelständischen Finanzunternehmen kann dies dazu führen, dass sie sich gegenüber verhandlungsstarken IKT-Drittdienstleistern durchsetzen können. Den IKT-Drittdienstleistern wird oft schlichtweg nichts anderes übrigbleiben, als die Vorgaben zu akzeptieren und entsprechend umzusetzen. Es bleibt abzuwarten, ob die DORA auch gegenüber den größten IKT-Drittdienstleistern, wie Google, Amazon und Microsoft, Wirkung zeigen wird. Hierzu werden kritische IKT-Drittdienstleister durch die DORA zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet und besonders überwacht, wobei diese mit weitreichenden Befugnissen ausgestattet wurde. Inwieweit die DORA ihre erklärten Ziele erreichen und ob sie für den europäischen Wirtschaftsstandort von Vorteil sein wird, bleibt abzuwarten. Es ist zu befürchten, dass die zahlreichen Compliance-Anforderungen die Unternehmen zusätzlich belasten und es für die betroffenen Unternehmen immer schwieriger wird, allen Anforderungen gerecht zu werden. Hinzu kommt, dass die Verordnung noch neu ist und somit keine ausführliche Literatur, gefestigte Verwaltungspraxis oder Rechtsprechung existiert, an der sich die Praxis orientieren könnte.

                  FIN LAW

                  I.  https://fin-law.de

                  E. info@fin-law.de

                  Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                  Newsletter abonnieren

                    Kontakt

                    info@fin-law.de

                    Sep. 23, 2024

                    Getting Ready for DORA (Part IV) – Sind Vereinbarungen von Auditrechten auch außerhalb von Auslagerungsverträgen verpflichtend?

                    Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union eine wegweisende  Verordnung eingeführt, die darauf abzielt, die digitale Widerstandsfähigkeit im Finanzsektor EU-weit zu standardisieren und zu stärken. Ab dem 17. Januar 2025 müssen betroffene Unternehmen den neuen Anforderungen gerecht werden. Die DORA soll den Herausforderungen der fortschreitenden Digitalisierung und der zunehmenden Vernetzung in der Finanzbranche begegnen, die der Einsatz von Informations- und Kommunikationstechnologien (IKT) in den letzten Jahren massiv vorangetrieben hat. DORA zielt darauf ab, Risiken wie Cyberbedrohungen und Betriebsstörungen wirksam zu bekämpfen, indem Finanzunternehmen und spezialisierte IKT-Dienstleister verpflichtet werden, umfassende Maßnahmen zur Verbesserung ihrer digitalen Resilienz umzusetzen. Zu den relevanten Akteuren gehören Banken, Wertpapierfirmen, Zahlungsinstitute, Anbieter von Kryptowährungen sowie Emittenten wertreferenzierter Token. Diese Unternehmen müssen ihre internen Abläufe analysieren und an die neuen regulatorischen Vorgaben anpassen, was unter anderem die Einführung von Notfallplänen, robusten Sicherheitsmaßnahmen und regelmäßigen Risikoanalysen umfasst. Die Umsetzung der DORA erfordert erhebliche Investitionen in die IT-Infrastruktur und das Risikomanagement, bietet jedoch zugleich die Chance, die Sicherheit und Widerstandsfähigkeit des Finanzsektors langfristig zu stärken. Zu einem guten IKT-Risikomanagement gehört auch, dass die Unternehmen ihre Verträge mit IKT-Drittdienstleistern so gestalten, dass den Risiken angemessen begegnet werden kann. Doch welche Folgen hat dies für zukünftige und bereits bestehende Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern?

                    Besserer Umgang mit dem IKT-Drittparteienrisiko durch vertragliche Mindestinhalte

                    Die DORA gibt Finanzunternehmen als Teil des IKT-Risikomanagementrahmens auf, das IKT-Drittparteienrisiko zu managen. Hierzu gehört, dass Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich bleiben. Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Hierzu sieht die Verordnung Anforderungen an die wesentlichen Vertragsbestimmungen, also bestimmte Mindestinhalte vor, die eine vertragliche Vereinbarung mit einem IKT-Dienstleister umfassen müssen. Nur um ein Beispiel zu nennen sei hier die Pflicht genannt, eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat vorzunehmen, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist. Soweit dies der Fall ist kommt die Pflicht zur Angabe hinzu, welche Bedingungen für diese Unterauftragsvergabe gelten. Die DORA kodifiziert an dieser Stelle also noch einmal die ohnehin für IT-Verträge wesentliche Bedeutung einer vollständigen und treffenden Leistungsbeschreibung. Neben vielen der für IT-Verträge typischen Anforderungen muss beispielsweise auch eine Verpflichtung des IKT-Drittdienstleisters vereinbart werden, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten.

                    Erweiterter Anwendungsbereich der DORA und seine Auswirkungen auf Vertragsgestaltungen

                    Eine wichtige Neuerung der DORA, die über die bisherigen von der BaFin in ihrem Rundschreiben aufgestellten Anforderungen hinausgeht, ist zum einen, dass der Anwendungsbereich der DORA weiter gefasst ist als die bisherige Regulierung. Während sich die in den bisherigen Rundschreiben geforderten Mindestinhalte an die Vertragsgestaltung primär auf Auslagerungsverhältnisse beziehen, erfasst die DORA in ihrem Anwendungsbereich alle Verträge mit IKT-Drittdienstleistern. Ein IKT-Drittdienstleister ist dabei ein Unternehmen, das IKT-Dienstleistungen bereitstellt. IKT-Dienstleistungen sind insoweit digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung sowie Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Somit muss nicht zwingend ein Auslagerungsverhältnis vorliegen, um die Anforderungen der DORA an die Vertragsgestaltung auszulösen. Die DORA stellt ihre Anforderungen an die wesentlichen Vertragsbestimmungen grundsätzlich an alle Verträge mit IKT-Drittdienstleistern. Dennoch zieht sich der Verhältnismäßigkeitsgrundsatz durch die gesamte DORA, und es werden strengere Anforderungen an vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gestellt. Bei diesen muss sich das Finanzinstitut unter anderem das Recht zur fortlaufenden Überwachung der Leistungserbringung vertraglich einräumen lassen, was auch uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten sowie der zuständigen Behörde umfasst. Sofern eine kritische oder wichtige Funktion betroffen ist, kann daher eine entsprechende Vereinbarung notwendig sein. Dieses Beispiel zeigt, dass es nach Inkrafttreten der DORA auch für bestehende Verträge notwendig wird, diese auf ihre Vereinbarkeit mit den neuen Vorgaben hin zu untersuchen und gegebenenfalls nachzuverhandeln.

                    FIN LAW

                    I.  https://fin-law.de

                    E. info@fin-law.de

                    Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                    Newsletter abonnieren

                      Kontakt

                      info@fin-law.de

                      Sep. 16, 2024

                      Marktmissbrauch und Insidergeschäfte mit Kryptowerten – Wen treffen die neuen Regeln der MiCAR?

                      Für den europäischen Kryptomarkt markiert der 30. Dezember 2024 einen historischen Moment. Dann wird die neue EU-Verordnung über Märkte in Kryptowerten (MiCAR) vollumfänglich rechtswirksam. Neben den Bestimmungen über die Pflicht von Kryptodienstleistern zur Einholung einer Zulassung der BaFin bzw. der für sie im Einzelfall zuständigen Aufsichtsbehörde vor Geschäftsaufnahme und den bereits jetzt geltenden Bestimmungen in Bezug auf die Emission von E-Geld-Token und vermögenswertereferenzierten Token werden ab dem 30. Dezember 2024 auch die in der MiCAR vorgesehenen Vorschriften zur Verhinderung und zum Verbot von Marktmissbrauch und Insiderhandel im europäischen Kryptomarkt gelten. Die Einführung von Vorschriften zur Verhinderung möglicher Kursmanipulationen, des Marktmissbrauchs oder der Ausnutzung von Insiderinformationen vor öffentlicher Bekanntgabe stellt für den Kryptomarkt einen sehr wichtigen Meilenstein dar und erleichtert traditionellen Finanzakteuren weiter den Einstieg in die Welt der digitalen Werte. Doch welche konkreten Pflichten wird die MiCAR den Marktteilnehmern aufgeben und an wen richten sich die neuen Regeln. Welche Marktteilnehmer müssen beim Handel mit Kryptowerten künftig die Marktmissbrauchsregulierung nach der MiCAR beachten?

                      Marktmissbrauchsregeln der MiCAR treffen alle Marktteilnehmer

                      Eine effektive Marktmissbrauchsbekämpfung setzt umfassende und marktweit verpflichtende Regeln voraus. Die Reichweite der neuen Vorschriften der MiCAR zur Bekämpfung von Marktmissbrauch ist deshalb flächendeckend und erfasst Handlungen aller Personen im Zusammenhang mit Kryptowerten, die zum Handel zugelassen sind oder deren Zulassung zum Handel beantragt wurde. Adressaten der Marktmissbrauchsregulierung der MiCAR sind damit sowohl Emittenten von Kryptowerten und Kryptodienstleister, jedoch auch Investoren und sogar Personen, die selbst eventuell gar nicht in konkrete Geschäfte über Kryptowerten einbezogen sind, wie beispielsweise Ratingagenturen, Fachmedien oder Influencer mit Fokus auf Kryptowerte. Der Verordnungstext der MiCAR stellt klar, dass die Regeln für alle Geschäfte, Aufträge und Handlungen gelten sollen, die zum Handel zugelassene oder zuzulassende Kryptowerte betreffen. Nicht von Belang ist in diesem Zusammenhang, ob die betreffende Handlung tatsächlich auf einer Handelsplattform für Kryptowerte vorgenommen oder unterlassen wurde. Die Marktmissbrauchsregeln nach MiCAR sind somit für alle Marktteilnehmer relevant. Für die professionellen Marktteilnehmer wie Emittenten von Kryptowerten und Kryptowertedienstleister, aber auch und gerade öffentlich kommunizierende Influencer bedeutet dies, dass sie ihre Pflichten kennen müssen und in Form von sorgfältig zu erarbeitenden Verhaltensleitfäden verschriftlichen und im Geschäftsbetrieb anwenden sollten.

                      Pflicht zur Vorhaltung wirksamer Vorkehrungen, Systemen und Verfahren

                      Für alle Personen, die beruflich Geschäfte mit Kryptowerten vermitteln oder ausführen, sieht die MiCAR zudem die konkrete Verpflichtung vor, jederzeit über wirksame Vorkehrungen, Systeme und Verfahren für die Vorbeugung und Aufdeckung von Marktmissbrauch zu verfügen. Diese Personengruppe umfasst insbesondere Kryptodienstleister, die Transaktionen mit Kryptowerten arrangieren oder ausführen (PPAET), wobei der Begriff der PPAET aus der EU-Marktmissbrauchsverordnung entliehen ist. Nach dem von der ESMA bereits im März 2024 veröffentlichen Entwurf für Auslegungshinweise und technische Standards in Bezug auf die Missbrauchsvorschriften der MiCAR sollen darüber hinaus aber auch Betreiber von Handelsplattformen für Kryptowerte als PPAETs gelten. Die genannten Kryptodienstsleister trifft demnach eine explizite Pflicht zur Schaffung und Vorhaltung wirksamer Vorkehrungen, Systeme und Verfahren zur Vorbeugung und Aufdeckung von Marktmissbrauch. Die Maßnahmen müssen selbstverständlich die Art und Weise der eigenen Geschäftsausübung in den Fokus nehmen. Ebenso allerdings im Einzelfall erforderlich sein, die eigenen Mitarbeiter im Hinblick auf Geschäfte mit Kryptowerten im privaten Bereich zu überwachen, insbesondere wenn sie Zugang zu Insiderinformationen haben.

                      Rechtsanwalt Lutz Auffenberg, LL.M. (London)

                      I.  https://fin-law.de

                      E. info@fin-law.de

                      Zuständiger Anwalt für alle Fragen zur Regulierung von Marktmissbrauch und Insiderhandel nach MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                      Newsletter abonnieren

                        Kontakt

                        info@fin-law.de

                        Sep. 09, 2024

                        Lost in Translation Copy and Paste – Das Problem mit übersetzten Verträgen

                        Passende Verträge für eigene Softwareprodukte im deutschen Raum zu gestalten, kann zeitintensiv und kostspielig sein. Unabhängig davon, ob sowohl der Anbieter als auch der Kunde deutsche Unternehmen sind oder nur der Kunde, wird dieser regelmäßig auf die Vereinbarung deutschen Rechts bestehen. Viele Anbieter von Softwareprodukten greifen daher immer wieder auf vermeintlich passende Musterverträge aus dem Internet zurück oder übersetzen bestehende Verträge aus anderen Rechtsräumen ins Deutsche und unterstellen diese dem deutschen Recht. Dies führt häufig dazu, dass umfangreiche Vertragswerke – insbesondere aus dem angloamerikanischen Raum – ihren Weg in Verträge finden, die dem deutschen Recht unterliegen. Hierbei ist Vorsicht geboten: Nur weil etwas im Vertrag steht und vorteilhaft für den Anbieter klingt, bedeutet das nicht automatisch, dass der Vertrag uneingeschränkt wirksam ist. Die deutsche Rechtspraxis ist in Bezug auf das Recht der Allgemeinen Geschäftsbedingungen strenger als viele andere Rechtsordnungen. Zudem kann es zu Problemen kommen, wenn der Vertrag die zugrundeliegende Rechtsbeziehung falsch einordnet und infolgedessen unpassende Regelungen getroffen werden. Oftmals sind solche Verträge in weiten Teilen unwirksam, und im Streitfall muss auf die gesetzlichen Regelungen zurückgegriffen werden, was meist nicht im Interesse der Parteien liegt.

                        Typisches Problem bei SaaS, ASP und Cloud-Computing

                        In der heutigen digitalen Wirtschaft sind vor allem Geschäftsmodelle wie Software-as-a-Service (SaaS) und Application Service Providing (ASP) verbreitet, bei denen die Software-Anwendungen des Anbieters dem Kunden über das Internet zur Verfügung gestellt werden („Cloud Computing“). Typisch ist beispielsweise, dass eine standardisierte Software für eine Vielzahl von Kunden über das Internet bereitgestellt wird. Diese bezahlen meist eine „Abogebühr“ und können die Software nutzen, solange das Vertragsverhältnis besteht. Für Anbieter und Kunden bietet dies eine Reihe von Vorteilen: Der Anbieter kann seine Software leicht skalieren und die Kosten senken, während die Kunden in der Regel keine spezielle Hardware und personelle Ressourcen benötigen, um die Software nutzen zu können. Wie bereits erwähnt, spielt für die Beurteilung der Wirksamkeit der einzelnen Vertragsklauseln die vertragstypologische Einordnung, also die Frage, welchem der im besonderen Schuldrecht des BGB geregelten Vertragstypen der Vertrag zugeordnet wird, eine entscheidende Rolle. Die Einordnung wirkt sich in vielerlei Hinsicht rechtlich aus. So hat sie beispielsweise Einfluss auf die Inhaltskontrolle von Allgemeinen Geschäftsbedingungen. Auch legt sie fest, auf welche Vorschriften zurückgegriffen werden muss, wenn der Vertrag (teilweise) unwirksam ist. Schließlich bestimmt sie, welche Gewährleistungsrechte des Leistungsempfängers bestehen. Auch wenn die Vertragsparteien eine Fragestellung nicht geregelt haben, wird auf die gesetzlichen Regelungen zurückgegriffen, um die Regelungslücke zu schließen. Die Zuordnung zu einem der Vertragstypen im besonderen Schuldrecht kann im Einzelfall schwierig sein. Oft handelt es sich um sogenannte typengemischte Verträge, die je nach Leistungspflicht mehr als einem Vertragstyp zuzuordnen sind. Lediglich übersetzte oder zusammenkopierte Verträge nehmen oft keine Rücksicht auf diese Feinheiten, was katastrophale Folgen für die Verwender solcher Verträge haben kann.

                        Was sollte unbedingt beachtet werden und wo liegen die Schranken im deutschen Recht?

                        Die Parteien haben in der Regel ein Interesse daran, Haftungsausschlüsse zu vereinbaren und das Haftungsrisiko so weit wie möglich zu minimieren. Darüber hinaus sind insbesondere im IT-Bereich Freistellungsklauseln und Vertragsstrafen gewünscht. Da es sich bei den meisten SaaS- oder ASP-Verträgen um vorformulierte und nicht im Einzelnen zwischen den Vertragsparteien ausgehandelte Vertragsbedingungen handelt, sind die Grenzen des deutschen AGB-Rechts zu beachten. Dieses ist gerade für die zuvor genannten Vereinbarungen und Haftungsausschlüsse besonders streng. Außerdem können im Fall eines Vertrags mit Verbrauchern zusätzlich die gesetzlichen Regelungen zu Verträgen über digitale Produkte relevant werden. Darüber hinaus gilt es zu bedenken, dass es in vielen Verträgen bereits an einer treffenden Beschreibung der geschuldeten Leistungen, also der Hauptleistungspflichten der Vertragsparteien fehlt oder diese unzureichend ist. Dies ist besonders unvorteilhaft, da die Hauptleistungspflichten – abgesehen vom Transparenzgebot – regelmäßig nicht der AGB-Kontrolle unterliegen. Hier kann also festgelegt werden, was genau geschuldet ist und was nicht. Somit können durch eine klare Definition der Hauptleistungspflichten auch mittelbare Haftungsausschlüsse und -beschränkungen erreicht werden.

                        FIN LAW

                        I.  https://fin-law.de

                        E. info@fin-law.de

                        Newsletter abonnieren

                          Kontakt

                          info@fin-law.de

                          to top