Kostenloses Erstgespräch

Kategorie: blog DE

Feb. 24, 2025

Neuigkeiten zu Finanzunternehmen als IKT-Drittdienstleister und zur Unterauftragsvergabe unter DORA

Die Verordnung (EU) 2022/2554 (DORA) ist in Kraft getreten und Finanzunternehmen müssen die neuen Anforderungen erfüllen. Die Verordnung konzentriert sich auf die Bewältigung der Herausforderungen, die durch die digitale Transformation und die wachsende Vernetzung in der Finanzbranche entstanden sind und sich in Zukunft weiter vertiefen werden. DORA hat das Ziel, Risiken, die beispielsweise von Cyberangriffen und Betriebsunterbrechungen ausgehen, weiter zu reduzieren. Die konkreten Pflichten, die durch die DORA an Finanzunternehmen gestellt werden, sind komplex. Der mit DORA einhergehende bürokratische Aufwand, der für die Finanzunternehmen entsteht, ist nicht zu unterschätzen. Doch gleichzeitig hilft die DORA dabei, angemessene Mindeststandards im Bereich der Digitalen Operationalen Resilienz zu fördern. Die DORA wird durch technische Regulierungsstandards (sogenannte RTS) ergänzt, die regelmäßig von den ESA (EBA, EIOPA und ESMA) in Zusammenarbeit mit den nationalen Aufsichtsbehörden verfasst und von der Kommission nach den maßgeblichen Vorgaben erlassen worden sind. Die meisten RTS sind auf diese Weise bereits wirksam in Kraft getreten. Die RTS sollen Finanzunternehmen konkrete Vorgaben dazu geben, wie die Anforderungen der DORA in den von den RTS geregelten Bereichen zu verstehen und umzusetzen sind. Obwohl die DORA und beinahe alle RTS bereits anwendbar sind, bestehen weiterhin Unklarheiten über die Auslegung der DORA im Einzelfall. Zu einer der großen Fragen rund um die DORA – nämlich der Frage, wann ein Finanzunternehmen im Verhältnis zu anderen Finanzunternehmen als IKT-Drittdienstleister einzuordnen ist – wurden nun von der EIOPA über die joint Q&A der ESA Auslegungshinweise gegeben. Unsicherheit besteht auch im Bereich der Vergabe von Unteraufträgen von IKT-Drittdienstleistern, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, an Unterauftragnehmer. Der hierzu von den ESA entworfene RTS befindet sich trotz der Tatsache, dass die DORA bereits in Kraft getreten ist, weiter im Entwurfsstadium, und nun hat die Kommission die Absicht angekündigt, den Entwurf in Teilen abzulehnen. Mit diesen Themen rund um die DORA befassen sich die folgenden Ausführungen.

Klarstellung: Wann Finanzunternehmen IKT-Drittdienstleister sind

Eine der drängendsten Fragen für viele Finanzunternehmen ist die nach der Anwendbarkeit der DORA, wenn ein Finanzunternehmen digitale Dienstleistungen für ein anderes Finanzunternehmen erbringt. Ab wann sind die Dienste zwischen den Finanzunternehmen als IKT-Dienstleistungen einzustufen? Sofern es sich um IKT-Dienstleistungen im Sinne der DORA handelt, kann auch ein Finanzunternehmen als IKT-Drittdienstleister im Sinne der DORA gelten. Dies stellt Erwägungsgrund 63 der DORA ausdrücklich klar. Die EIOPA gibt stellvertretend für die ESA den Rechtsanwendern nun eine Auslegungshilfe an die Hand. Nach Auffassung der EIOPA können auch Finanzdienstleistungen eine IKT-Komponente enthalten. Sofern Finanzunternehmen im Zusammenhang mit ihren Finanzdienstleistungen anderen Finanzunternehmen IKT-Dienste bereitstellen, sollen die Finanzunternehmen, für die die IKT-Dienste erbracht werden, prüfen, ob erstens die Dienste eine IKT-Dienstleistung im Sinne von DORA darstellen und zweitens, ob das bereitstellende Finanzunternehmen und die von diesem angebotenen Finanzdienstleistungen nach Unionsrecht oder nach nationalem Recht eines Mitgliedstaates oder eines Drittlandes reguliert sind. Fallen beide Tests positiv aus, sollte die betreffende IKT-Dienstleistung überwiegend als Finanzdienstleistung angesehen und nicht als IKT-Dienstleistung im Sinne von Artikel 3 Abs. 21 DORA behandelt werden. Falls der Dienst von einem regulierten Finanzunternehmen bereitgestellt wird, das regulierte Finanzdienstleistungen anbietet, dieser Dienst jedoch nicht mit solchen regulierten Finanzdienstleistungen in Zusammenhang steht oder unabhängig davon ist, sollte der Dienst als IKT-Dienstleistung im Sinne von Artikel 3 Abs. 21 DORA betrachtet werden. Diese Auslegungshilfe verdient Zustimmung, da sie im Einklang mit den Zielen der DORA steht, mit den Leitbildern des Erwägungsgrund 79 übereinstimmt und zusätzlichen bürokratischen Aufwand im Bereich des Managements des IKT-Drittparteienrisikos zwischen Finanzunternehmen verhindert, die ohnehin jeweils selbst den Vorgaben der DORA unterliegen.

Weitere Unsicherheit bei den RTS zur Vergabe von Unteraufträgen

Am 21. Januar 2025 hat die Europäische Kommission den Entwurf für technische Regulierungsstandards (RTS) im Zusammenhang mit der Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, abgelehnt. Diese RTS werden unter anderem dringend benötigt, damit die Finanzunternehmen wissen, wie weitreichend vertragliche Vereinbarungen mit IKT-Drittdienstleistern zum Thema Unterauftragsvergabe sein müssen. Die Kommission ist der Ansicht, dass die Anforderungen in Artikel 5 des Entwurfs des RTS über die Befugnisse hinausgehen, die den ESAs durch Artikel 30 Abs. 5 DORA erteilt wurden. Insbesondere geht es um die Bedingungen für die Überwachung der Kette von IKT-Unterauftragnehmern, die nicht spezifisch mit den Bedingungen für die Untervergabe verknüpft sind. Die Kommission fordert die Entfernung von Artikel 5 und des zugehörigen Erwägungsgrundes 5 aus dem Entwurf des RTS, um sicherzustellen, dass der Entwurf mit dem Mandat übereinstimmt. Der entsprechende Artikel wird daher nicht mehr Teil der von den Finanzunternehmen zu beachtenden Vorschriften sein. Leider verzögert sich damit auch der verbindliche Erlass des RTS und Finanzunternehmen können weiterhin nur mit dem Entwurf arbeiten. Immerhin schlägt die Kommission im Übrigen nur redaktionelle Änderungen vor, die die Qualität des Rechtsakts verbessern sollen, ohne die Substanz des Akts zu beeinflussen. Die ESAs haben sechs Wochen Zeit, den Entwurf basierend auf den vorgeschlagenen Änderungen der Kommission zu überarbeiten und erneut einzureichen. Wenn die ESAs den Entwurf nicht innerhalb dieser Frist entsprechend den Vorschlägen der Kommission ändern oder keinen überarbeiteten Entwurf einreichen, kann die Kommission den RTS mit den von ihr vorgeschlagenen Änderungen annehmen oder ganz ablehnen. So gesehen steht fest, dass wohl bald mehr Rechtssicherheit herrschen wird. Bis dahin sollten die Finanzunternehmen den bestehenden Entwurf zugrunde legen und auf die Anforderungen in Artikel 5 des RTS verzichten.

FIN LAW

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

Newsletter abonnieren

    Kontakt

    info@fin-law.de

    Feb. 17, 2025

    Token Sale im MiCAR Zeitalter – Wie darf für eine Token Emission geworben werden?

    Seit die neue Verordnung zu Märkten in Kryptowerten (MiCAR) Ende letzten Jahres vollumfänglich Rechtsgeltung erlangt hat, haben sich auch die aufsichtsrechtlichen Anforderungen an sog. Token Sale Events bzw. Initial Coin Offerings erheblich erweitert. Insbesondere gilt dies in Bezug auf die Emittenten von E-Geld-Token (EMT) und vermögenswertereferenzierte Token (sog. asset-referenced token, ART), jedoch auch für Emittenten von sonstigen Kryptowerten. Sofern keine durch die MiCAR vorgesehenen Ausnahmetatbestände in Anspruch genommen werden können, ist vom Anbieter der Kryptowerte vor dem öffentlichen Angebot über ein Token Sale Event ein ausführliches Kryptowerte-Whitepaper zu erstellen und zu veröffentlichen. Überdies müssen Anbieter neuer Kryptowerte nunmehr Complianceanforderungen erfüllen und insbesondere etwaige Interessenkonflikte ermitteln, vermeiden und offenlegen. MiCAR verpflichtet Anbieter darüber hinaus, ihre Marketingmitteilungen zu einem öffentlichen Angebot unter Erfüllung bestimmter Mindestanforderungen zu gestalten und sie vor dem Start des Token Sales auf ihrer Website veröffentlichen. Marketingmitteilungen müssen als solche eindeutig erkennbar sein und einen konkret in der MiCAR vorformulierten Hinweis darauf enthalten, dass sie nicht von einer Behörde geprüft oder genehmigt wurden und der Anbieter die alleinige Verantwortung für ihren Inhalt trägt. In jedem Fall müssen etwaige Marketingmitteilungen mit den Angaben und Informationen aus dem zugrundeliegenden Kryptowerte-Whitepaper übereinstimmen. Aber was sind Marketingmitteilungen im Sinne der MiCAR eigentlich genau?

    Was gilt als Marketingmitteilung im Sinne der MiCAR?

    Modernes Marketing für Token Sale Events ist nur schwer vergleichbar mit Werbemaßnahmen, die Emittenten und Vertriebsdienstleister bei traditionellen Kapitalmarktemissionen durchführen. Die üblichen Marketingmaßnahmen vor Inkrafttreten der MiCAR nahezu vollständig online statt und reichen über Content-Marketing über in Fachportalen platzierte Artikel, Community-Building auf Social-Media-Kanälen oder die Überlassung digitaler Werbegeschenke wie beispielsweise NFTs. Deshalb stellt sich im Regime der MiCAR die Frage, ob diese Marketingmaßnahmen ebenfalls als Marketingmitteilungen gelten und damit Gegenstand der entsprechenden Kennzeichnungs- und Veröffentlichungspflichten nach MiCAR sind. Eine eigenständige Definition des Begriffs der Marketingmitteilung enthält die MiCAR selbst indes nicht. Ihren dem Verordnungstext vorangestellten Erwägungsgründen kann aber entnommen werden, dass Marketingmitteilungen zumindest auch Werbebotschaften und Marketingmaterialien umfassen sollen, die über Plattformen der sozialen Medien verbreitet werden. Nach dieser Aussage wären nicht notwendigerweise nur textliche Mitteilungen vom Begriff der Marketingmitteilung erfasst, sondern gegebenenfalls auch sonstige, moderne Werbemaßnahmen wie etwa sog. Memes oder Bilder. Weitere Unterfütterung muss der Begriff durch Auslegung erlangen. Insoweit bietet sich beispielsweise der Rückgriff auf die Definition der Werbung im Wertpapierrecht an, für deren Vorliegen jedenfalls eine gewisse Förderung des Zeichnungswillens durch eine Maßnahme erforderlich ist, die sich auf ein konkretes öffentliches Angebot von Wertpapieren bezieht. Diese Zielrichtung könnte man auch für die Auslegung der Marketingmitteilung im Sinne der MiCAR heranziehen.

    Wie können Anbieter Memes und NFTs als Marketingmitteilung kennzeichnen?

    Je moderner und unkonventioneller die einzelne Werbemaßnahme, desto schwieriger wird die Einhaltung der Vorgaben der MiCAR für die Kennzeichnung von Marketingmitteilungen. Insbesondere die Anbringung der eindeutigen und deutlich erkennbaren Verantwortlichkeitserklärung des Anbieters gemäß textlicher Vorgabe der MiCAR bereitet Schwierigkeiten, wo eventuell lediglich eine sehr begrenzte Anzahl an Zeichen möglich ist oder gar ausschließlich über einen Bildeindruck kommuniziert werden soll. Letztlich von der BaFin oder der ESMA zu klären wäre, ob insoweit mit Kurzlinks oder Sternchenverweisen gearbeitet werden darf, solange solche Behelfe nicht die deutliche Erkennbarkeit der Erklärung einschränken. Im Einzelfall könnten solche Verweislösungen sogar der Sichtbarkeit der aufsichtsrechtlich vorgeschriebenen Kennzeichnungen zuträglich sein, wenn auf diese Weise etwa eine Darstellung in Kleinstschriftgröße oder in farblich wenig auffälliger Gestaltung vermieden werden könnte. Solange es eine behördliche Verwaltungspraxis zu den Details der Marketingmitteilungsgestaltung unter MiCAR nicht gibt, wird für jede einzelne Werbemaßnahme zu Token Sales durch den Anbieter zu bewerten sein, ob eine Marketingmittelung vorliegt und wie konkret die dann anwendbaren Gestaltungspflichten umzusetzen sind.

    Rechtsanwalt Lutz Auffenberg, LL.M. (London)

    Newsletter abonnieren

      Kontakt

      info@fin-law.de

      Feb. 10, 2025

      AIaaS – Altbewährte Lösung für neue bahnbrechende Technologien

      Künstliche Intelligenz (KI) revolutioniert bereits jetzt zahlreiche Bereiche von Gesellschaft und Wirtschaft. Sie eröffnet neue Chancen für Wachstum und Innovation, indem sie Prozesse automatisiert, Ressourcen effizienter nutzt und völlig neue Geschäftsmodelle ermöglicht. Dementsprechend ist die Nachfrage nach KI groß. Die Entwicklung und der Betrieb eigener KI-Modelle sind kosten- und zeitintensiv und setzen hohe Anfangsinvestitionen sowie ausgeprägte Spezialkenntnisse voraus. Um die Nachfrage nach kostengünstigen Alternativen zu decken, hat der Markt eine Lösung gefunden, auf die im IT-Bereich bereits seit Langem zurückgegriffen wird. Unter der griffigen Bezeichnung Software-as-a-Service (SaaS) werden Software- und Hardware-Ressourcen als cloud-basierte Lösungen angeboten. Ressourcen können den Nutzern so skalierbar und kostengünstig bereitgestellt werden. Der neue Stern am Himmel der cloud-basierten Dienstleistungen nennt sich AI-as-a-Service (AIaaS). Über diese Dienstleistung können Unternehmen vordefinierte oder selbst trainierbare KI-Modelle, die auf der Infrastruktur großer Cloud-Anbieter laufen, per API nutzen. Die Vorteile, die sich hinsichtlich Kosten, Zeitaufwand, Skalierbarkeit und Zugriff auf aktuelle KI-Technologien ergeben, sind immens. Somit können auch kleinere oder mittlere Unternehmen KI-Projekte realisieren, die sonst nur großen Technologieunternehmen vorbehalten wären. Auch wenn die Ähnlichkeit zu SaaS-Lösungen groß ist, wirft AIaaS eine Reihe eigener rechtlicher Fragen auf, die vor der Umsetzung von AIaaS-Projekten geklärt werden müssen.

      Altbekanntes mit einem neuen Twist

      Es sind bereits eine Reihe verschiedener KI-Anwendungen auf dem Markt, die unterschiedliche Funktionen bedienen. Diese reichen von KI-Chatbots über Textverarbeitung bis hin zu innovativen Investmenttools. Wie schon bei SaaS spielt auch bei AIaaS die richtige Vertragsgestaltung eine entscheidende Rolle. Der Vertrag muss dem jeweiligen Anwendungsfall gerecht werden. Zu regeln sind insbesondere die Leistungspflichten der Vertragsparteien. Die Vertragsparteien sollten sich die Zeit für klare Leistungsbeschreibungen nehmen, um Missverständnissen vorzubeugen und Klarheit für die Auslegung und rechtliche Einordnung zu schaffen. Um eine ausreichende Verfügbarkeit und Qualität der AIaaS-Dienstleistung und Wartungszeiten sowie Reaktionszeiten bei Störungen sicherzustellen, sollten Service-Level-Agreements vereinbart werden. Ein wichtiges Thema ist auch der richtige Umgang mit Datenschutz im Sinne der DSGVO, da in der Regel personenbezogene Daten verarbeitet werden. Oft ist mit der Verwendung cloud-basierter AIaaS-Lösungen auch ein Drittlandtransfer der personenbezogenen Daten verbunden, der nur unter den strengen Voraussetzungen der DSGVO erlaubt ist. Zu klären ist, wer Verantwortlicher ist und ob eine gemeinsame Verantwortlichkeit oder eine Auftragsverarbeitung vorliegt. Zu klären ist auch, ob die Verwendung der AIaaS als Auslagerung vom eigenen Unternehmen an den AIaaS-Dienstleister anzusehen ist und ob hieraus konkrete gesetzliche Pflichten folgen. Auch die IT-Sicherheit spielt eine wichtige Rolle. Dies gilt insbesondere für Finanzunternehmen, die der Verordnung (EU) 2022/2554 (DORA) unterliegen. AIaaS-Anbieter dürften regelmäßig als IKT-Drittdienstleister im Sinne der DORA qualifizieren, weshalb die weitreichenden Anforderungen der DORA einzuhalten sind. Die Anforderungen an Vertragsgestaltung, Projektorganisation und -überwachung können im Einzelfall hoch sein, es bieten sich jedoch auch viele Gestaltungsmöglichkeiten an, die am besten durch eine sorgfältige Planung und einen engen Austausch der Beteiligten für eine gelungene Umsetzung des Projekts genutzt werden.

      Neuland KI-Verordnung (KI-VO)

      Zusätzlich zu den oben genannten Themen kommt als neuere europäische Gesetzgebung auch die KI-Verordnung (EU) 2024/1689 (KI-VO) als weiteres Regelwerk ins Spiel, dem die Beteiligten im Fall des AIaaS gerecht werden müssen. Die Anforderungen können hier im Einzelfall sehr weitreichend sein. So werden durch die KI-VO bestimmte Praktiken im KI-Bereich verboten. Außerdem werden besondere Anforderungen zum Risikomanagement für Hochrisiko-KI-Systeme und Pflichten für Akteure in Bezug auf solche Systeme festgelegt. Es werden auch Transparenzpflichten für bestimmte KI-Systeme festgelegt und Anbietern und Betreibern von KI-Systemen wird aufgegeben, Maßnahmen zu ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Dies kann auch bedeuten, dass entsprechende Schulungen notwendig werden. In den meisten Fällen halten sich die Anforderungen an Unternehmen, die AIaaS-Lösungen in ihr Unternehmen einbinden, in Grenzen und Stellen keine wesentlichen Hindernisse dar. So ist es auch ein erklärtes Ziel der KI-Verordnung, Innovation und Beschäftigung fördern und der Union eine Führungsrolle bei der Einführung vertrauenswürdiger KI zu verschaffen.

      FIN LAW

      I.  https://fin-law.de

      E. info@fin-law.de

      Newsletter abonnieren

        Kontakt

        info@fin-law.de

        Jan. 20, 2025

        DORA ist live – Ab wann sind die ersten Meldungen an die BaFin zu machen?

        Es ist so weit: Die zweijährige Übergangszeit seit dem Inkrafttreten der DORA am 16. Januar 2023 ist abgelaufen und seit dem 17. Januar 2025 ist die DORA anzuwenden. Die betroffenen Finanzunternehmen und IKT-Drittdienstleister müssen nun die neuen Anforderungen erfüllen, die durch DORA eingeführt wurden. Finanzunternehmen müssen ihre digitale operationale Resilienz an den Vorschriften der DORA messen lassen. Die DORA umfasst 64 Artikel, die durch eine Reihe von Regulatory Technical Standards (sogenannte RTS) ergänzt werden. Durch die RTS werden einheitliche Standards in der gesamten EU geschaffen, sodass alle betroffenen Finanzunternehmen unionsweit dieselben Anforderungen erfüllen müssen. So sollen die Niederlassungsfreiheit und die digitale operationale Resilienz des gesamten europäischen Finanzmarkts gestärkt werden. DORA adressiert IKT-Risiken durch spezifische Vorgaben zu Kapazitäten im IKT-Risikomanagement, zur Meldung von Vorfällen, zu Tests der operationellen Resilienz sowie zur Überwachung von Risiken im Zusammenhang mit der Nutzung von IKT-Drittdienstleistern. Die BaFin hat bereits mehrfach geäußert, dass es nach der zweijährigen Übergangszeit keine weitere Übergangsfrist mehr geben wird. Das bedeutet, dass die Finanzunternehmen die DORA-Vorgaben bereits jetzt erfüllen müssen. Doch wie steht es mit spezifischen Melde- und Berichtspflichten, die von den Finanzunternehmen an die BaFin übermittelt werden müssen? Zu denken ist hier vor allem an das Informationsregister, das sich auf alle vertraglichen Vereinbarungen über die Nutzung von durch IKT-Drittdienstleister bereitgestellten IKT-Dienstleistungen bezieht und von den Finanzunternehmen im Rahmen ihres IKT-Risikomanagements geführt werden muss.

        Was ist das DORA-Informationsregister?

        Einen wichtigen Teil der DORA-Regulierung bildet die Anforderung an Finanzunternehmen, ein solides Management für IKT-Drittparteienrisiken zu etablieren. Hierzu gehört zum Beispiel eine Strategie für das Management des IKT-Drittparteienrisikos und optional eine Strategie zur Nutzung mehrerer IKT-Anbieter. Es ist außerdem eine Leitlinie für die Nutzung von IKT-Drittdienstleistungen zu erstellen, insbesondere für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen. Auch das Informationsregister ist ein maßgeblicher Bestandteil des Managements des IKT-Drittparteienrisikos. Finanzunternehmen müssen dieses Informationsregister über alle vertraglichen Vereinbarungen zur Nutzung von durch IKT-Drittdienstleister bereitgestellte IKT-Dienstleistungen führen. Es ist zwischen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen und solchen zu unterscheiden, bei denen dies nicht der Fall ist. Konkretisiert werden die Anforderungen an das Register of Information (RoI) im Einzelnen durch die Verordnung zur Festlegung technischer Durchführungsstandards für die Anwendung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates im Hinblick auf Standardvorlagen für das Informationsregister (ITS ). Finanzunternehmen müssen der zuständigen Behörde – in Deutschland der BaFin – auf Verlangen das vollständige Informationsregister oder auf Anfrage bestimmte Teile dieses Registers zusammen mit allen Informationen zur Verfügung stellen, die für eine wirksame Beaufsichtigung des Finanzunternehmens als notwendig erachtet werden. Die BaFin hat nun angekündigt, dass sie Finanzunternehmen dazu auffordern wird, die Informationsregister spätestens bis zum 11. April 2025 erstmals bei der BaFin einzureichen. Hierzu hat die BaFin erst vor wenigen Tagen eine Reihe von Beiträgen auf ihrer Website veröffentlicht. Hintergrund ist, dass die BaFin die Informationsregister bis zum 30. April 2025 an die Europäischen Aufsichtsbehörden übermitteln muss, damit diese die überwachungsbedürftigen IKT-Drittdienstleister ggf. als kritische IKT-Dienstleister im Sinne der DORA einstufen können, die nach der DORA besonders überwacht werden.

        Wie soll das Informationsregister eingereicht werden?

        Für Finanzunternehmen, die die Implementierung der DORA bereits vollständig abgeschlossen haben, sollte die Übermittlung des Informationsregisters an die BaFin kein Problem darstellen. Auch Finanzunternehmen, bei denen die Anpassung an die DORA-Anforderungen noch nicht vollständig abgeschlossen sind, sollten nicht in Panik verfallen, sondern zügig die Erstellung des Informationsregisters in Angriff nehmen, damit dieses bereitliegt, sobald die BaFin danach verlangt. Auch die BaFin forderte die betroffenen Finanzunternehmen in einem vor kurzem veröffentlichten Beitrag dazu auf, sich darauf vorzubereiten, die Informationsregister bis spätestens 11. April 2025 erstmals der BaFin zu übermitteln. Die Behörde sicherte aber zugleich zu, die Unternehmen bis dahin eng zu begleiten und versuchen zu wollen, möglichst viele offene Fragen zu klären. Die BaFin hat dementsprechend ausführliche Informationen auf ihrer Website veröffentlicht. Die Übermittlung der Informationsregister an die BaFin erfolgt über die Melde- und Veröffentlichungsplattform (MVP) der BaFin. Bei der Erstellung der Register müssen sich Finanzunternehmen an den Vorgaben der Europäischen Aufsichtsbehörden (ESAs) orientieren. Die Register sind grundsätzlich als strukturierte Datei einzureichen, die der von den ESAs vorgegebenen Taxonomie entspricht. Um insbesondere kleineren Finanzunternehmen die Konvertierung zu erleichtern plant die BaFin, zeitnah eine spezielle Excel-Vorlage auf ihrer Website bereitzustellen. Diese Vorlage kann dann von den Finanzunternehmen anstelle einer strukturierten Datei genutzt werden, sofern die vorgegebene Struktur der Excel-Vorlage genau eingehalten wird. Alternativ zur Einreichung des Informationsregisters als strukturiere Datei sollen Finanzunternehmen so die ausgefüllte Excel-Vorlage über die MVP einreichen können. Auch für Unternehmen, die in nächster Zeit eine Erlaubnis für die Tätigkeit als Finanzunternehmen bei der BaFin beantragen möchten, sollte unbedingt sichergestellt werden, dass die Vorgaben der DORA umgesetzt wurden. So können Verzögerungen bei der Bearbeitung des Erlaubnisantrags am besten vermieden werden. Die Anforderungen der DORA sind zwar sehr komplex. Sie unterscheiden sich jedoch nicht grundlegend von den Anforderungen, die die BaFin bereits vor dem Inkrafttreten der DORA an Finanzunternehmen gestellt hat. Sofern bereits ein solides Informationssicherheitsmanagementsystem (ISMS) im Unternehmen existiert, sollten die Anpassungen in den meisten Fällen zügig umgesetzt werden können.

        FIN LAW

        I.  https://fin-law.de

        E. info@fin-law.de

        Newsletter abonnieren

          Kontakt

          info@fin-law.de

          Jan. 06, 2025

          Rechnungseinheiten und MiCAR – Können Kryptotoken jetzt noch Rechnungseinheiten sein?

          Der Deutsche Bundestag hat am 18. Dezember 2024 auf den letzten Metern der aktuellen Minderheitsregierung aus SPD und Grünen doch noch das Finanzmarktdigitalisierungsgesetz (FinmadiG) verabschiedet. Es passierte noch vor Weihnachten ohne weitere Änderungen den Bundesrat, so dass es nach Veröffentlichung im Bundesgesetzblatt nunmehr doch noch gerade rechtzeitig in Kraft getreten ist, um den Übergang in das Regulierungsregime der EU-Verordnung über Märkte in Kryptowerten (MiCAR) nationalrechtlich umzusetzen. Der bisherige Kryptowertebegriff des nationalen Rechts im Kreditwesengesetz (KWG) und Wertpapierinstitutsgesetz (WpIG) wurde damit endgültig in den Bereich der Rechtsgeschichte überführt und gestrichen. Kryptowerte im Sinne des KWG und des WpIG sind nunmehr auch für die Zwecke des nationalen Rechts ausschließlich Kryptowerte nach der Definition der MiCAR und damit digitale Darstellungen eines Werts oder eines Rechts, der bzw. das unter Verwendung der Distributed-Ledger-Technologie oder einer ähnlichen Technologie elektronisch übertragen und gespeichert werden kann. Die bisherige Definition für Kryptowerte gemäß KWG und WpIG waren jedoch nicht der einzige Alleingang des deutschen Gesetzgebers in der Kryptoregulierung vor dem MiCAR-Regime. Bereits seit 2011 vertritt die BaFin in ständiger Verwaltungspraxis die Auffassung, dass Bitcoins und ihnen ähnelnde Kryptowährungen – mithin sog. Currency Token – auch als Rechnungseinheiten und damit als Finanzinstrumente im Sinne des KWG und WpIG einzuordnen sind. Es fragt sich, ob die Qualifikation von Currency Token als Rechnungseinheit auch nach Inkrafttreten des FinmadiG noch möglich ist oder ob die Geltung des neuen Regulierungsregimes für Kryptowerte nach FinmadiG und MiCAR zum stillen Abschied der Rechnungseinheiten aus der Kyptoregulierung geführt hat.

          Vor MiCAR konnten Kryptowerte und Rechnungseinheiten parallel vorliegen

          Unter der abgelösten nationalen Kryptoregulierung waren Kryptowerte als sog. Auffangtatbestand ausgestaltet, so dass Token zugleich als Kryptowert und auch eine andere Form von Finanzinstrument aus dem Instrumentenkatalog des KWG bzw. WpIG qualifizieren konnten. Grundsätzlich war diese hybride Klassifizierung nicht schädlich und in Einzelfällen sogar hilfreich. Beispielsweise konnten so Kryptowährungen, die etwa den gesetzlichen Status von Geld hatten, nicht unter die Definition für Kryptowerte nach KWG und WpIG fallen, jedoch gegebenenfalls als Rechnungseinheit qualifizieren und damit trotzdem reguliertes Finanzinstrument sein. In solchen Fällen konnte – wie vom Gesetzgeber intendiert – die Regulierung ach KWG und WpIG für Geschäfte mit entsprechenden Token Anwendung finden. Unter der neuen Regulierung auf Grundlage der MiCAR gestaltet sich dies schwieriger, zumal sich die Regulierung nach KWG und WpIG hinsichtlich ihres Regelungsgehalts von derjenigen nach MiCAR unterscheidet. Es ist daher erforderlich, Token rechtssicher und unzweifelhaft einem der beiden Regulierungsregime zuordnen zu können. Die Rechtslage nach Inkrafttreten des FinmadiG sieht daher keine Kryptowerte nach deutschem Recht mehr vor und stellt klar, dass Kryptowerte im Sinne des KWG und des WpIG solche im Sinne der MiCAR sind. Token, die nicht als Kryptowert nach MiCAR einzuordnen sind, können im Einzelfall als sog. kryptografisches Instrument qualifizieren. Problematisch bleibt indessen, dass beispielsweise Bitcoins nach der bislang nicht von der BaFin aufgegebenen Verwaltungspraxis eindeutig als Rechnungseinheit und damit als Finanzinstrument nach KWG und WpIG qualifizieren, zugleich jedoch auch als Kryptowert im Sinne der MiCAR. Welches Regulierungsregime soll in solchen Fällen greifen?

          BaFin sollte MiCAR Vorrang vor nationaler Regulierung geben

          Es drängt sich auf, dass für die aufsichtsrechtliche Einordnung von Token die MiCAR gegenüber der lediglich nationalen Regulierung nach dem KWG und dem WpIG Vorrang haben sollte. Leider hat der deutsche Gesetzgeber es versäumt, diesbezüglich eine Klarstellung im Gesetz unterzubringen, was im Rahmen der weitreichenden Änderungen in den beiden Bundesgesetzen unproblematisch möglich gewesen wäre. Eine für die Praxis ausreichende Klarstellung könnte jedoch auch dadurch erreicht werden, dass die BaFin ihre Verwaltungspraxis zur Einordnung von Bitcoins und vergleichbaren Klonen als Rechnungseinheiten endgültig aufgibt. Sie stammt aus einer Zeit, in der es keine kodifizierte Regulierung für Kryptotoken gab und hat spätestens seit Geltung von FinmadiG und MiCAR seine Schuldigkeit getan. Regulierungslücken würden sich soweit ersichtlich nicht auftun. Auch im Hinblick auf die für die Verwirklichung des europäischen Binnenmarkts nötige Vereinheitlichung des in der EU geltenden Rechts wäre eine Abkehr von der Einordnung von Currency Token als Rechnungseinheit zielführend und begrüßenswert.

          Rechtsanwalt Lutz Auffenberg, LL.M. (London)

          Newsletter abonnieren

            Kontakt

            info@fin-law.de

            Dez. 16, 2024

            Interoperabilität durch Token Bridges – Sind Wrapped Token Kryptowerte unter MiCAR?

            Die Blockchain-Technologie hat sich spätestens seit Aufkommen der Smart Contract-Ökonomie als vielversprechende technische Infrastruktur für zahlreiche Anwendungsfälle etabliert. Insbesondere Anlageprodukte und Kapitalmarktemissionen werden inzwischen mehr und mehr über auf Blockchains implementierte Smart Contracts abgebildet und abgewickelt. Auch die Tokenisierung sog. Real-World-Assets (RWA-Token) oder von Rechten wird zunehmend umgesetzt, um die digitale Übertragung der zugrundeliegenden Werte zu ermöglichen. Eine der größten Herausforderungen blockchainbasierter Projekte besteht indessen in dem Umstand, dass sich Blockchains grundsätzlich als in sich geschlossene Netzwerke darstellen, die nicht miteinander kompatibel sind. Die Nutzung etwa von Bitcoins bzw. ihres Gegenwertes für die Interaktion mit einem auf der Ethereum-Blockchain implementierten Smart Contract ist technisch auf den ersten Blick nicht möglich. Abhilfe können in solchen Fällen sog. Token Bridges schaffen. Dabei handelt es sich um Smart Contracts, die ihren Nutzern ermöglichen, Werteinheiten aus anderen Blockchain-Infrastrukturen auf anderen Blockchains zu nutzen. Technisch funktioniert dies, indem Nutzer Kryptowährungen einer bestimmten Art an eine von der Token Bridge verwaltete Blockchainadresse transferieren, um dann im Gegenzug sog. Wrapped Token zu erhalten, die auf der Zielblockchain generiert werden und mithin dort nutzbar sind. Wrapped Token repräsentieren üblicherweise den Wert der hinterlegten Kryptowährung im Verhältnis 1:1.

            Können Wrapped Token Asset-Referenced Token darstellen?

            Unter MiCAR sind digitale Darstellungen von Werten oder Rechten, die unter Verwendung der Distributed-Ledger-Technologie oder einer ähnlichen Technologie elektronisch übertragen und gespeichert werden können, als Kryptowerte reguliert. Diese sehr weit formulierten Anforderungen erfüllen Wrapped Token jedenfalls. Daneben kennt die MiCAR jedoch auch Spezialformen von Kryptowerten, die für Emittenten und Anbieter von Kryptodienstleistungen mit weitergehenden Pflichten verbunden sein können. Ein sog. Asset-Referenced Token (ART) liegt beispielsweise vor, wenn ein Kryptowert durch Bezugnahme auf einen anderen Wert oder ein anderes Recht oder eine Kombination davon, einschließlich einer oder mehrerer amtlicher Währungen, eine Wertstabilität zu wahren versucht. Da Wrapped Token üblicherweise den Wert eines anderen Kryptowerts im Verhältnis 1:1 abbilden, werden sie in den meisten Fällen als ART qualifizieren. Für den Emittenten der Wrapped Token kann dies insbesondere bedeuten, dass die Ausgabe des Wrapped Token nicht ohne die dafür erforderliche Zulassung nach MiCAR erfolgen darf. Zudem ist der Emittent von ART verpflichtet, eine Vermögenswertreserve anzulegen, die nach spezifisch in der MiCAR geregelten Vorgaben vorgehalten werden muss. Darüber hinaus können Anbieter von Token Bridges je nach Ausgestaltung der zugrundeliegenden Smart Contracts gegebenenfalls Erlaubnispflichten nach der MiCAR auslösen. So kann etwa die Verwahrung von hinterlegten Kryptowerten eine erlaubnispflichtige Kryptoverwahrung darstellen. Auch die Rücktransferierung hinterlegter Kryptowerte kann gegebenenfalls nach MiCAR erlaubnispflichtig sein, wenn sie an eine andere Blockchainadresse erfolgen soll als diejenige, von der aus die Kryptowerte ursprünglich in die Token Bridge eingebracht wurden.

            Können Token Bridge Modelle auch unreguliert verwirklicht werden?

            Anbieter von Token Bridges und Emittenten von Wrapped Token können somit weitreichenden aufsichtsrechtlichen Pflichten unterfallen. Eine Möglichkeit, diese erheblichen administrativen Belastungen zu umgehen kann gegeben sein, wenn die Token Bridge und auch die Emission der Wrapped Token soweit dezentralisiert wird, dass es an einer hinreichend verantwortlichen Person für den Betrieb der Token Bridge und der Emission der Wrapped Token fehlt. Erforderlich wäre insoweit, dass die Token Bridge vollkommen dezentral funktioniert und keine bestimmbare Person mit Kontroll- oder Einflussmöglichkeiten in Bezug auf den Betrieb oder die Emission von Wrapped Token ausgestattet ist. Dann würde es an einem Adressaten für die nach MiCAR vorgesehenen aufsichtsrechtlichen Pflichten fehlen und die Token Bridge würde außerhalb des Anwendungsbereichs der MiCAR laufen können.

            Rechtsanwalt Lutz Auffenberg, LL.M. (London)

            I.  https://fin-law.de

            E. info@fin-law.de

            Zuständiger Anwalt für Fragen für die Einordnung von Token nach der MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

            Newsletter abonnieren

              Kontakt

              info@fin-law.de

              Dez. 02, 2024

              Getting Ready for DORA (Part VII) – Welche Finanzunternehmen profitieren vom vereinfachten IKT-Risikomanagementrahmen?

              Ab dem 17. Januar 2025 müssen betroffene Unternehmen die neuen Anforderungen erfüllen, die durch DORA eingeführt wurden. Die DORA verfolgt vor allem das Ziel, die digitale operationale Resilienz und die IKT-Sicherheit vollständig und konsequent zu harmonisieren. Die Notwendigkeit hierfür ergibt sich unter anderem daraus, dass rechtliche Unterschiede sowie variierende nationale Regulierungs- und Aufsichtsansätze in Bezug auf das IKT-Risiko Hindernisse für das Funktionieren des Binnenmarkts für Finanzdienstleistungen schaffen. Dies erschwert grenzüberschreitend tätigen Finanzunternehmen die ungehinderte Ausübung der Niederlassungsfreiheit sowie die Erbringung von Dienstleistungen erheblich. Darüber hinaus wird auch der Wettbewerb zwischen denselben Arten von Finanzunternehmen, die in verschiedenen Mitgliedstaaten tätig sind, durch diese Unterschiede bisher stark verzerrt. DORA begegnet IKT-Risiken durch gezielte Vorschriften zu den Kapazitäten für das IKT-Risikomanagement, die Meldung von Vorfällen, Tests der operationalen Resilienz sowie die Überwachung des IKT-Drittparteienrisikos. Beim Umgang mit DORA ist der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Das bedeutet, dass bei der Umsetzung der Vorgaben die Größe, das Gesamtrisikoprofil sowie die Art, der Umfang und die Komplexität der Finanzdienstleistungen berücksichtigt werden müssen. Dies zeigt sich auch in den Anforderungen an das IKT-Risikomanagement: Hier sieht DORA einen sogenannten vereinfachten IKT-Risikomanagementrahmen für bestimmte Finanzunternehmen vor. Aber auf wen genau ist dieser anwendbar?

              Welche Unternehmen können einen vereinfachten IKT-Risikomanagementrahmen implementieren?

              Der vereinfachte IKT-Risikomanagementrahmen ist im Vergleich zum allgemeinen Rahmen, der sonst durch die DORA vorgesehen ist, deutlich reduziert und stellt weniger konkrete Anforderungen an die Implementierung eines IKT-Risikomanagements. Salopp gesagt, reduziert sich das IKT-Risikomanagement von fünfzehn auf einen Artikel. Dieser vereinfachte Rahmen gilt ausschließlich für die ausdrücklich von DORA genannten Finanzinstitute. Dazu zählen beispielsweise kleine und nicht verflochtene Wertpapierfirmen, kleine Einrichtungen der betrieblichen Altersversorgung sowie Institute, die nach der Eigenkapitalrichtlinie (CRD IV) ausgenommen sind. Diese Ausnahmen sind vor dem Hintergrund des hohen Aufwands, der mit der Umsetzung der DORA-Anforderungen verbunden ist, besonders zu begrüßen. Kleinere Unternehmen, die unter die Ausnahme fallen, können so ein IKT-Risikomanagement betreiben, das im Verhältnis zu ihrer Größe und ihrem Gesamtrisikoprofil angemessen ist. Ein ausreichendes Schutzniveau wird durch die Vorgaben des vereinfachten IKT-Risikomanagementrahmens in Verbindung mit den technischen Regulierungsstandards (RTS RMF) gewährleistet. Diese Standards legen die Tools, Methoden, Prozesse und Richtlinien für das IKT-Risikomanagement sowie für den vereinfachten Rahmen fest. Der vereinfachte IKT-Risikomanagementrahmen soll außerdem für Zahlungsinstitute und E-Geld-Institute gelten, die nach der Zahlungsdiensterichtlinie (PSD2) oder der E-Geld-Richtlinie von den jeweiligen Mitgliedstaaten bei der Umsetzung ausgenommen wurden. Hier gibt es jedoch ungleiche Umsetzungen durch die einzelnen Mitgliedsstaaten.

              Ungleiche Anforderungen an Zahlungsinstitute in verschiedenen Mitgliedstaaten

              Trotz der Harmonisierungsbestrebungen der DORA bestehen weiterhin Lücken. Diese zeigen sich besonders bei Zahlungsinstituten und E-Geld-Instituten. Denn bei der Umsetzung der PSD2 und der E-Geld-Richtlinie hatten die Mitgliedstaaten gewisse Spielräume. Es ist daher möglich, dass bei der Umsetzung in nationales Recht die Möglichkeit genutzt wird, bestimmte Zahlungsinstitute oder E-Geld-Institute „auszunehmen“ und sie vereinfachten Anforderungen im nationalen Recht zu unterstellen. Folglich verweist die DORA in diesen Fällen auf eine Ausnahme, die nur für Finanzunternehmen greift, wenn der jeweilige Mitgliedstaat diese Ausnahme im nationalen Recht umgesetzt hat .Dies steht jedoch im starken Widerspruch zur Zielsetzung der DORA, gleiche Bedingungen für alle Marktteilnehmer zu schaffen. Aus Erwägungsgrund 42 der DORA geht hervor, dass der europäische Gesetzgeber dieses Problem erkannt und die Ungleichbehandlung vergleichbarer Finanzunternehmen letztlich in Kauf genommen hat. Ein Beispiel hierfür ist, dass ein in Deutschland reguliertes Zahlungsinstitut den allgemeinen IKT-Risikomanagementrahmen einhalten muss, während ein vergleichbares Zahlungsinstitut in einem anderen Mitgliedstaat, der die Ausnahmemöglichkeit genutzt hat, den vereinfachten IKT-Risikomanagementrahmen anwenden darf. Es bleibt somit nur im Einzelfall zu prüfen, ob und inwieweit eine Anwendung des vereinfachten IKT-Risikomanagementrahmens in Betracht kommt. Auch wenn dies nicht der Fall sein sollte, ist dennoch auf eine verhältnismäßige Umsetzung des allgemeinen IKT-Managementrahmens zu achten.

              FIN LAW

              I.  https://fin-law.de

              E. info@fin-law.de

              Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

              Newsletter abonnieren

                Kontakt

                info@fin-law.de

                Nov. 25, 2024

                Keine Tied Agents unter MiCAR – Wie müssen sich Haftungsdächer und vertraglich gebundene Vermittler auf die MiCAR vorbereiten?

                Ab dem 30. Dezember 2024 werden die Vorschriften der Markets in Crypto Assets Regulation (MiCAR) in der gesamten Europäischen Union rechtswirksam sein. Dann werden Kryptowerte-Dienstleister im Geltungsbereich der neuen Verordnung ihre Tätigkeit nicht mehr ohne die dafür erforderliche MiCAR Zulassung erbringen dürfen. Das aus anderen Bereichen der Finanzmarktregulierung bekannte Konzept des sog. Haftungsdach-Modells bzw. Tied-Agent-Modells, in dem erlaubnispflichtige Tätigkeiten ohne eigene Erlaubnis unter Verantwortung eines ausreichend zugelassenen Instituts erbracht werden dürfen, kennt die MiCAR nicht. Die ESMA hat diesbezüglich bereits im September 2024 klargestellt, dass Kryptowerte-Dienstleistungen unter Geltung der MiCAR ausschließlich von Unternehmen erbracht werden dürfen, die entweder als Kryptowerte-Dienstleister zugelassen sind oder als bereits beaufsichtigtes Kreditinstitut oder Wertpapierinstitut erfolgreich ein Notifizierungsverfahren nach Maßgabe der MiCAR durchlaufen haben. Da nach der aktuellen in Deutschland geltenden Regulierung nach dem Wertpapierinstitutsgesetz (WpIG) Kryptowerte als Finanzinstrumente gelten und das Gesetz insoweit Haftungsdachlösungen für Geschäftsmodelle erlaubt, in denen Unternehmen im Inland ausschließlich die Anlagevermittlung, die Anlageberatung oder das Platzierungsgeschäft erbringen, stellt der Übergang in das MiCAR-Regime für entsprechend angebundene Tied Agents potenziell einen echten Showstopper dar. Was können vertraglich gebundene Vermittler und deren Haftungsdächer mit krypto-bezogenen Geschäftsmodellen vor dem 30. Dezember 2024 tun, um das Geschäft unter der MiCAR nahtlos fortführen zu können?

                Können vertraglich gebundene Vermittler unter die Übergangsregelung nach MiCAR fallen?

                Für Anbieter von Kryptowerte-Dienstleistungen, die ihre Dienste nach dem für sie geltenden Recht – also nach den auf sie anwendbaren nationalen Vorschriften – erbracht haben, sieht die MiCAR eine Übergangsregelung vor. Solche Anbieter dürfen ihre Dienstleistungen auch nach dem 30. Dezember bis spätestens zum 1. Juli 2026 oder bis zu dem Zeitpunkt erbringen, in dem ihnen eine MiCAR Erlaubnis erteilt oder verweigert wurde, je nachdem, welcher Zeitpunkt zuerst eintritt. Die Mitgliedstaaten haben indes die Möglichkeit, den bis zum 1. Juli 2026 reichenden Zeitrahmen zu verkürzen. Der deutsche Gesetzgeber hat bislang noch keine Umsetzungsgesetzgebung zur MiCAR erlassen, so dass bis auf Weiteres nicht von einer Verkürzung auszugehen ist. Dem Wortlaut nach würden grundsätzlich auf vertraglich gebundene Vermittler von der Übergangsregelung Gebrauch machen können, da sie nach den auf sie anwendbaren nationalen Regularien legal Kryptowerte-Dienstleistungen vor dem 30. Dezember 2024 erbracht haben. Zu berücksichtigen ist aber in jedem Fall, dass sich die aufsichtsrechtliche Zulässigkeit der Dienstleistungserbringung bei Tied Agents von den als Haftungsdach agierenden Wertpapierinstituten ableitet. Vor diesem Hintergrund ist davon auszugehen, dass eine Berufung auf die Übergangsregelung für vertraglich gebundene Vermittler nur in Betracht kommen kann, wenn die in Anspruch genommene Haftungsdachlösung nach dem ab dem 30. Dezember 2024 geltenden Recht weiter existiert und auch das Haftungsdach weiter die diesbezüglichen Voraussetzungen erfüllt. Die BaFin hat demgegenüber die von ihr beaufsichtigten Institute angeschrieben, die Tied Agents angebunden haben und darauf hingewiesen, dass die Anbindung von Tied Agents unter Geltung der MiCAR unzulässig sein wird. Vertraglich gebundene Vermittler, die sich daher auf die Übergangsregelungen der MiCAR berufen wollen, sollten dieses Vorgehen in jedem Fall zuvor mit ihrem haftenden Institut und der BaFin abklären.

                Alternative zum Haftungsdach nur Auslagerungslösung oder eigene MiCAR Zulassung

                Sofern sich vertraglich gebundene Vermittler nicht auf die Übergangsregelungen der MiCAR berufen können oder wollen, benötigen sie eine andere Lösung. Die Beantragung einer eigenen MiCAR Erlaubnis ist bei der zuständigen Behörde möglich, jedoch erfordert ein solcher Antrag gründliche und zeitintensive Vorbereitung und zudem Geduld bis zum Abschluss des Zulassungsverfahrens durch die BaFin. Zügiger kann eine sog. Auslagerungslösung umgesetzt werden, in der der bisherige vertraglich gebundene Vermittler als Auslagerungsunternehmen für den zur Erbringung von Kryptowerte-Dienstleistungen berechtigten Anbieter agiert. Aufsichtsrechtlich verantwortlich ist dann – wie auch im Haftungsdachmodell – der Anbieter von Kryptowerte-Dienstleistungen. Das Auslagerungsunternehmen erbringt gegenüber diesem dann technische Leistungen wie etwa die Bereitstellung einer technischen Plattform, Support-Dienstleistungen sowie den Vertrieb. Vorsicht ist insoweit allerdings bei Auslagerungslösungen geboten, in denen an Kryptounternehmen aus dem Nicht-EU-Ausland ausgelagert werden soll. Hier darf nach der Auffassung der ESMA die Auslagerung nicht dazu führen, dass das Drittlandunternehmen Kryptowerte-Dienstleistungen in Europa letztlich ohne eigene Zulassung durch eine europäische Zweckgesellschaft erbringt, während die eigentliche Dienstleistung tatsächlich in einem Drittland erbracht wird.

                Rechtsanwalt Lutz Auffenberg, LL.M. (London)

                I.  https://fin-law.de

                E. info@fin-law.de

                Zuständiger Anwalt für alle Fragen zur Regulierung von tied agents nach MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                Newsletter abonnieren

                  Kontakt

                  info@fin-law.de

                  Nov. 11, 2024

                  MICAR-Übergang ohne nationale Rahmengesetzgebung – Was passiert wenn der Bundestag das KMAG bis Jahresende nicht beschließt?

                  Die Regierungskoalition im Bundestag aus SPD, Grünen und FDP ist Geschichte. Von der vor etwa drei Jahren angetretenen Ampel ist nur noch eine Fussgängerampel ohne Gelbphase übrig. Für die Bundesregierung bedeutet dies, dass für alle noch zu verabschiedenden Gesetzesvorhaben jeweils Mehrheiten im Parlament gesucht und gebildet werden müssen. Die diesbezügliche Unterstützung der Oppositionsparteien im Bundestag, die abstimmungsreife Gesetzesentwürfe selbst nicht mitgestaltet haben, dürfte insbesondere vor dem Hintergrund des unmittelbar nach dem Ende der Ampel begonnenen Wahlkampfes nur in wenigen Fällen gewährt werden. Das Schicksal der bereits seit vielen Monaten vorliegenden Gesetzesentwürfe nach dem Finanzmarktdigitalisierungsgesetz (FinmaDiG) und damit verbunden die Entwürfe für die Rechtsverordnungen zur Regelung des MiCAR-Übergangs, namentlich die MiCAR-Antragsverordnung und die MiCAR-Transitverordnung ist deshalb mehr als ungewiss. Es erscheint sehr unwahrscheinlich, dass die Vorschläge bis zum 30. Dezember 2024 noch beschlossen werden können. Ab diesem Stichtag werden die Vorschriften der MiCAR in ihrer Gänze unmittelbare Rechtswirkung entfalten. Für Unternehmen mit sich auf Kryptowerte beziehenden Geschäftsmodellen bedeutet dies, dass sie über eine Zulassung oder eine Notifizierung nach MiCAR verfügen müssen, auf deren Grundlage sie ihre Kryptodienstleistungen erbringen dürfen. Doch wie ist die Rechtslage für die deutsche Kryptobranche, wenn der deutsche Gesetzgeber bis zur Geltung des neuen Regulierungsregimes nach MiCAR es nicht schafft, die nationale Rahmengesetzgebung zu erlassen?

                  Entwurf zum KMAG soll Rechtsgrundlage für den Zulassungsantrag nach MiCAR schaffen

                  Mit dem Kryptomärkteaufsichtsgesetz (KMAG) plant der deutsche Gesetzgeber die Schaffung des nationalen Rechtsrahmens für die Umsetzung der Regularien aus der MiCAR. Insbesondere soll über das KMAG die Zuständigkeit der BaFin für die Aufsicht über die Einhaltung der Vorschriften der Regulierung festgelegt werden. Die BaFin soll danach insbesondere zuständig für die Bearbeitung von Anträgen auf Erteilung einer Zulassung nach MiCAR und die laufende Aufsicht über Kryptowertedienstleister sein. Daneben soll das KMAG die Zuständigkeit der BaFin für beispielsweise für Inhaberkontrollverfahren nach dem neuen Regime und die Verfolgung von unter dessen Geltung unerlaubt betriebene Kryptodienstleistungen begründen. Der Gesetzesentwurf enthält darüber hinaus einige weitere Spezialregeln wie etwa ergänzende Bestimmungen zu den in der MiCAR festgelegten Regularien und einen umfassenden Katalog von Ordnungswidrigkeiten für Fälle, in denen gegen diese oder das KMAG verstoßen wird. Die eigentlichen Verfahrensabläufe bei Stellung eines Antrags auf Erteilung einer MiCAR Lizenz oder bei Inanspruchnahme der Notifizierungsmöglichkeit für Bestandsinstitute mit einer bereits bestehenden Erlaubnis nach nationalem Finanzaufsichtsrecht legt die MiCAR jedoch – bis auf wenige Detailfragen – selbst fest. Zwingend ist deshalb eigentlich nur, dass der deutsche Gesetzgeber bis zum Inkrafttreten der MiCAR gesetzlich regelt, welche nationale Behörde die zuständige Behörde im Sinne der MiCAR sein wird. Ohne diese Festlegung wird keine Rechtsgrundlage für die Einreichung von Anträgen nach MiCAR bei der BaFin bestehen mit der Folge, dass sie entsprechende Anträge nicht bearbeiten kann.

                  Was gilt für Bestandsinstitute und Institute mit vorläufig erteilte Erlaubnis nach § 64y KWG?

                  Sollte der Bundestag das KMAG nicht rechtzeitig vor dem 30. Dezember 2024 verabschieden, gilt für Bestandsinstitute und bereits legal tätige Kryptodienstleister lediglich die neue Verordnung. In den dortigen Übergangsregelungen ist vorgesehen, dass Anbieter von Kryptowerte-Dienstleistungen, die ihre Dienste nach geltendem Recht vor dem 30. Dezember 2024 erbracht haben, damit bis spätestens zum 1. Juli 2026 oder bis zu dem Zeitpunkt fortfahren dürfen, an dem sie eine Zulassung oder Verweigerung nach den Vorschriften der MiCAR erhalten. Ansatzpunkt für die Zulassungsfiktion ist damit allein die Frage, ob das betreffende Unternehmen vor dem 30. Dezember 2024 nach geltendem Recht Kryptowerte-Dienstleistungen erbracht hat. Die Formulierung unterschiedet insbesondere nicht danach, ob ein Unternehmen eine vorläufige oder eine endgültige Erlaubnis für die Erbringung der Kryptowertedienstleistungen vor dem 30. Dezember 2024 innehatte. Demzufolge könnten bei Untätigkeit des deutschen Gesetzgebers in Sachen nationale Rahmengesetzgebung für den MiCAR-Übergang auch Kryptoverwahrer mit vorläufiger KWG-Erlaubnis ihr Geschäft zunächst weiterbetreiben. Zwar sieht die neue Regulierung für nationale Gesetzgeber die Möglichkeit vor zu beschließen, von der Übergangsregelung für Kryptowerte-Dienstleister keinen Gebrauch zu machen. Ein solcher Beschluss dürfte jedoch einen aktiven gesetzgeberischen Akt voraussetzen, den es bislang nicht gab und der aller Voraussicht nach auch bis zum 30. Dezember 2024 nicht verabschiedet werden dürfte.

                  Rechtsanwalt Lutz Auffenberg, LL.M. (London)

                  I.  https://fin-law.de

                  E. info@fin-law.de

                  Zuständiger Anwalt für Fragen zur MiCAR, zum Übergang in das MiCAR Regime sowie diesbezügliche Übergangsregelungen in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                  Newsletter abonnieren

                    Kontakt

                    info@fin-law.de

                    Nov. 04, 2024

                    Getting Ready for DORA (Part VI) – Nur Finanzunternehmen oder schon IKT-Drittdienstleister?

                    Ab dem 17. Januar 2025 sind Unternehmen verpflichtet, die neuen Anforderungen zu erfüllen, die mit DORA eingeführt werden. Diese Verordnung adressiert gezielt die Herausforderungen der digitalen Transformation und der zunehmenden Vernetzung in der Finanzbranche. In diesem Kontext zielt DORA darauf ab, Risiken wie Cyberattacken und Betriebsstörungen zu minimieren. Finanzunternehmen und ihre IKT-Dienstleister müssen umfassende Maßnahmen ergreifen, um ihre digitale Resilienz zu verbessern und dadurch die Sicherheit und Stabilität der gesamten Branche zu fördern. DORA ist dabei ein überaus komplexes Regelwerk. Die Regulierung umfasst 64 Artikel, die durch eine Reihe von Regulatory Technical Standards (sogenannte RTS) ergänzt werden. Durch die RTS sollen einheitliche Standards in der gesamten EU geschaffen werden, sodass alle betroffenen Finanzunternehmen unionsweit die gleichen Anforderungen erfüllen müssen. Die RTS spezifizieren und präzisieren die allgemeinen Vorgaben von DORA. Sie werden gemeinsam von den zuständigen europäischen Aufsichtsbehörden EBA, EIOPA und ESMA erarbeitet, die zusammen als European Supervisory Authorities (ESA) bezeichnet werden. Auch nachdem nun viele dieser RTS veröffentlicht wurden oder als Entwurf vorliegen, wirft DORA noch einige Auslegungsfragen auf. Dies ist besonders prekär, da die Zeit bis zum Inkrafttreten der DORA immer kürzer wird und sich die betroffenen Unternehmen auf die Regulierung vorbereiten müssen. Eine dieser Fragen betrifft die Anwendbarkeit von DORA auf ein Finanzunternehmen, das Dienstleistungen für ein anderes Finanzunternehmen erbringt. Wann ist hier von einer IKT-Dienstleistung auszugehen, die das leistende Finanzunternehmen zu einem IKT-Drittdienstleister im Sinne von DORA macht? Müssen nun auch zwischen zwei bereits aufsichtsrechtlich regulierten Unternehmen zusätzlich die Anforderungen von DORA eingehalten werden? Diese Frage hat erhebliche Konsequenzen, da die Einordnung eines Finanzunternehmens als IKT-Drittdienstleister unter anderem weitreichende Folgen für die Vertragsbeziehung zwischen dem IKT-Drittdienstleister-Finanzunternehmen und dem auftraggebenden Finanzunternehmen hätte.

                    Unklare Vorgaben in der DORA zum Begriff IKT-Drittdienstleister

                    Die DORA definiert IKT-Drittdienstleister als Unternehmen, die IKT-Dienstleistungen bereitstellen. In Erwägungsgrund 63 heißt es darüber hinaus, dass Finanzunternehmen, die IKT-Dienstleistungen für andere Finanzunternehmen erbringen, ebenfalls als IKT-Drittdienstleister im Sinne der Verordnung gelten sollen. Somit steht fest, dass Finanzunternehmen grundsätzlich auch IKT-Drittdienstleister sein können, wenn sie IKT-Dienstleistungen für andere Finanzunternehmen erbringen. IKT-Drittdienstleistungen sind nach der DORA digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Diese Definition ist, wie vom Verordnungsgeber beabsichtigt, sehr weit gefasst. Dies wird in Erwägungsgrund 35 der DORA klargestellt, in dem betont wird, dass auf alle Risiken eingegangen werden soll, die sich aus sämtlichen Arten von IKT-Dienstleistungen ergeben. Zu diesem Zweck soll die Definition von IKT-Dienstleistungen im Zusammenhang mit DORA weit ausgelegt werden und digitale Dienste sowie Datendienste umfassen, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern fortlaufend bereitgestellt werden. Weiter werden in Erwägungsgrund 79 Beispiele für IKT-Dienstleistungen als die Nutzung von Cloud-Computing-Diensten, Softwarelösungen und datenbezogenen Dienstleistungen genannt. Angenommen, ein nach MiFID II oder MICAR reguliertes Finanzunternehmen erbringt eine regulierte Finanzdienstleistung gegenüber einem anderen Finanzunternehmen und stellt diesem die Finanzdienstleistung dauerhaft und digital zur Verfügung, wirft dies die Frage auf, ob zusätzlich zu den für die Finanzdienstleistung bereits bestehenden Anforderungen auch die Anforderungen der DORA eingehalten werden müssten. Die Definition ließe eine solche Sichtweise ohne weiteres zu, was einen erhöhten bürokratischen Aufwand und zusätzliche Kosten für Finanzunternehmen bedeuten würde – alles zum Wohle der digitalen operativen Resilienz des Finanzmarktes. Ob jedoch klassische Finanzdienstleistungen, nur weil sie digital durchgeführt werden, automatisch zu einer Einordnung als IKT-Drittdienstleister führen müssen, bleibt fraglich.

                    Praxis fordert verbindliche Klarstellung

                    In ihren FAQ im Rahmen des „DORA 2024 Dry Run Exercise on Reporting of Registers of Information“ äußern sich die ESAs zur Auslegung von IKT-Dienstleistungen dahingehend, dass, wenn ein Finanzunternehmen für die Erbringung einer Dienstleistung eine Zulassung, Lizenz oder Registrierung als Finanzunternehmen benötigt, es sich bei dieser Dienstleistung um eine regulierte Finanzdienstleistung und nicht um eine IKT-Dienstleistung im Sinne der DORA handelt. Diese Auslegung würde es ermöglichen, reine Finanzdienstleistungen, die nicht klassische Cloud-Computing-Dienste, Softwarelösungen oder datenbezogene Dienstleistungen sind, aus dem Anwendungsbereich der DORA herauszunehmen. Am 1. Oktober 2024 haben zu diesem Thema die Handels- und Interessenverbände FIA, AFME, EACH, ECSDA und FESE eine gemeinsame Stellungnahme abgegeben, in der sie die ESAs auffordern, an der Auffassung aus dem Dry Run für die kommende DORA festzuhalten und so schnell wie möglich verbindlich festzustellen, dass Finanzdienstleistungen für die Zwecke der DORA nicht als IKT-Dienstleistungen behandelt werden sollten. Zudem fordern sie die Klarzustellung, dass regulierte Finanzdienstleistungen alle Dienstleistungen und Tätigkeiten umfassen, die der Aufsicht einer Finanzdienstleistungsregulierungsbehörde unterliegen, einschließlich aller Nebendienstleistungen oder delegierten Dienstleistungen. Diese Aufforderung ist zu begrüßen. Eine Klarstellung ist dringend notwendig, um Rechtssicherheit bei der Umsetzung der DORA zu schaffen. Regulierte Finanzunternehmen unterliegen bezüglich ihrer beaufsichtigten Geschäftstätigkeit bereits weitreichenden Pflichten und werden akribisch beaufsichtigt. Eine darüber hinausgehende Anwendung der DORA würde zusätzlichen Aufwand bedeuten, der nur einen unwesentlichen Mehrwert im Hinblick auf die Finanzmarktsicherheit brächte. Es bleibt jedoch abzuwarten, wie sich die ESAs positionieren werden.

                    FIN LAW

                    I.  https://fin-law.de

                    E. info@fin-law.de

                    Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                    Newsletter abonnieren

                      Kontakt

                      info@fin-law.de

                      Okt. 28, 2024

                      MiCAR und Nicht-EU CASPs – Wie können Kryptodienstleister aus Drittstaaten in Europa Geschäft machen?

                      Der Europäische Markt ist auch für Kryptodienstleister interessant, die nicht in der Europäischen Union ansässig sind. Insbesondere marktführende Kryptohandelsplätze aus den USA oder aus Asien können es sich nicht leisten, ihre Dienste nicht auch europäischen Kunden anbieten, wenn sie auch in Zukunft ihre Vormachtstellung im weltweiten Kryptomarkt nicht verlieren wollen. Vor diesem Hintergrund stellt sich sowohl für Kryptodienstleister aus den USA und Asien, aber auch aus der Schweiz und UK die Frage, welche Möglichkeiten sich für sie ergeben, um unter Geltung der MiCAR künftig ihre Kryptodienstleistungen auch europäischen Kunden anbieten zu können. Im Sommer diesen Jahres äußerte sich die European Securities and Markets Authority (ESMA) zu diesem Thema und engte die Möglichkeiten insbesondere für Kryptobörsen aus Drittstaaten weiter ein. Sofern kein reines Reverse Solicitation Geschäft betreiben werden soll, bei dem in keiner Weise eine Initiative zur Geschäftsanbahnung vom Kryptodienstleister ausgehen darf, soll nach Empfehlung der ESMA an die zuständigen Aufsichtsbehörden der EU-Mitgliedstaaten – in Deutschland die BaFin – unter Geltung der MiCAR erforderlich sein, dass Handelsplattformen für Kryptowerte aus Drittstaaten eigenständige europäische Unternehmen gründen, mit diesen eine MiCAR Zulassung beantragen und das gesamte Europageschäft sodann über diese Gesellschaften laufen lassen. Nicht gewollt ist das Angebot von Kryptodienstleistungen in einer Weise, in der die europäische Einheit lediglich als Intermediär zwischen den europäischen Kunden und den Unternehmen aus einem Staat außerhalb der Europäischen Union agiert und die eigentliche Dienstleistung letztlich außerhalb der EU erbracht wird.

                      MiCAR Lizenz nicht für bloße Brokerageeinheiten von Kryptodienstleistern aus Drittstaaten

                      Nach den Vorschriften der MiCAR können nur Antragsteller aus der EU eine Zulassung für Kryptowertedienstleistungen erhalten, die ihren Sitz in der Europäischen Union haben. Der Verordnungsgeber möchte so sicherstellen, dass Kryptodienstleistungen in Europa ausschließlich unter Beachtung der Regeln er MiCAR erbracht werden können. Die ESMA sieht insoweit die Gefahr, dass Kryptodienstleister aus Drittstaaten in Europa eine reine Briefkastenfirma gründen könnten, um mit dieser Gesellschaft einen Antrag auf Erteilung einer MiCAR Zulassung für Brokeragedienstleistungen wie etwa die Ausführung von Aufträgen über Kryptowerte für Kunden oder die Annahme und Übermittlung von Aufträgen über Kryptowerte für Kunden einzuholen. Diese Gesellschaft würde dann nach Erteilung der beantragten MiCAR Erlaubnis Geschäft mit europäischen Kunden an einen außerhalb des Geltungsbereichs der MiCAR betriebenen Handelsplatz für Kryptowerte vermitteln oder weiterleiten. Die strengen Compliancepflichten für Handelsplattformen für Kryptowerte nach MiCAR könnten so umgangen werden, was nach Auffassung der ESMA erhebliche Nachteile für den Verbraucherschutz im Kryptomarkt der Europäischen Union mit sich bringen würde. Die ESMA rät der BaFin und den zuständigen Aufsichtsbehörden daher, im Zulassungsverfahren nach MiCAR zu prüfen, ob eine solche Konstellation vorliegt und erforderlichenfalls die beantragte Erlaubnis nicht zu erteilen.

                      ESMA rät zu sorgfältiger Einzelfallprüfung und nennt Anhaltspunkte für unrechtmäßige Kundenansprache

                      Letztlich rät die ESMA den zuständigen nationalen Aufsichtsbehörden und so auch der BaFin zu einer sorgfältigen Einzelfallprüfung, in der es darum geht zu klären, ob eine Fallkonstellation im Ergebnis so auszulegen ist, dass letztlich nach MiCAR erlaubnispflichtige Kryptodienstleistungen europäischen Kunden aus einem Drittstaat angeboten werden. Zu berücksichtigen ist bei dieser Prüfung allerdings, dass die MiCAR selbst Kryptodienstleistern nicht untersagt, Kundenaufträge auf Handelsplattformen oder sonstigen Händlern in Drittstaaten auszuführen. Erst dann, wenn die Gesamtgestaltung darauf schließen lässt, dass der Anbieter aus dem Drittstaat unter Verstoß gegen die Zulassungspflichten der MiCAR europäische Kunden anspricht, um die strengen aufsichtlichen Pflichten der MiCAR zu umgehen, soll nach Meinung der ESMA eine Versagung der Zulassung in Betracht kommen. Auch wenn es sich stets um eine Einzelfallprüfung handelt, formuliert die ESMA einige Anhaltspunkte, die im Einzelfall für eine unrechtmäßige Gestaltung sprechen können. Danach sollen zuständige nationale Aufsichtsbehörden insbesondere prüfen, ob ein in der EU zugelassener Broker systematisch Kundenaufträge zur Ausführung an ein Unternehmen außerhalb der EU weitergibt. Ebenso soll zu berücksichtigen sein, ob ein EU-Broker Kundenaufträge vor Weitergabe analysiert und prüft, ob andere geeignete Ausführungsplätze in Frage kommen können. Ein weiterer Hinweis kann nach Auffassung der ESMA vorliegen, wenn ein EU-Broker die Marke eines Nicht-EU-Anbieters nutzt, um Kunden zu gewinnen, sofern den Kunden die Differenzierung erschwert wird, dass die Dienste des Brokers und nicht des Nicht-EU-Anbieters genutzt werden. Schließlich ist nach ESMA ein Hinweis auf eine missbräuchliche Gestaltung, wenn der in der EU zugelassene Broker eine nicht marktgerechte, zu geringe Vergütung für seine Leistungen erhält.

                      Rechtsanwalt Lutz Auffenberg, LL.M. (London)

                      I.  https://fin-law.de

                      E. info@fin-law.de

                      Zuständiger Anwalt für die Beantragung einer MiCAR Zulassung und Möglichkeiten für Kryptodienstleister aus Drittstaaten zum Eintritt in den europäischen Markt in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                      Newsletter abonnieren

                        Kontakt

                        info@fin-law.de

                        Okt. 21, 2024

                        Cyber Resilience Act – Welche Pflichten treffen künftig die Hersteller von Produkten mit digitalen Elementen?

                        Das Thema Cybersicherheit rückt immer mehr in den Fokus des europäischen Gesetzgebers. Jetzt hat der Rat der Europäischen Union am 10. Oktober 2024 die Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU) 2019/1020 beschlossen. Dieser sogenannte Cyber Resilience Act (CRA) soll einen einheitlichen Rechtsrahmen für grundlegende Cybersicherheitsanforderungen für das Inverkehrbringen von Produkten mit digitalen Elementen auf dem Unionsmarkt festlegen. Hierzu sollen Schwachstellen, die auf ein geringes Maß an Cybersicherheit zurückzuführen sind, sowie die unzureichende Bereitstellung von Sicherheitsaktualisierungen behoben werden. Zudem soll das mangelnde Verständnis und der eingeschränkte Informationszugang der Nutzer adressiert werden, damit sie in die Lage versetzt werden, Produkte mit angemessenen Cybersicherheitsmerkmalen auszuwählen und sicher zu verwenden. Anders als andere Richtlinien und Verordnungen, die in letzter Zeit zur Stärkung der IT-Sicherheit verabschiedet worden sind – zu denken ist z. B. an die DORA-Verordnung –, ist der Cyber Resilience Act in seinem Anwendungsbereich nicht sektorspezifisch, sondern horizontal ausgestaltet und soll grundsätzlich alle Produkte mit digitalen Elementen umfassen. Die Verordnung wird ab November 2027 gelten. Meldepflichten für Schwachstellen und Sicherheitsvorfälle gelten bereits ab August 2026. Die Pflichten welche Herstellern, Importeuren und Händlern auferlegt werden, sind umfangreich, und die drohenden Sanktionen bei Nichteinhaltung der gesetzlichen Vorgaben sind empfindlich. Nach dem Motto ‚Vertrauen ist gut, Kontrolle ist besser‘ werden die Marktteilnehmer wie schon vor Jahren durch die DSGVO gezwungen sein, alle Maßnahmen in die Wege zu leiten, die zur Einhaltung der Pflichten nach dem CRA notwendig sind. Worauf sollten sich die Regelungsadressaten, wie beispielsweise Hersteller, einstellen?

                        Wer gilt als Hersteller im Sinne des CRA?

                        Ein Hersteller im Sinne des CRA ist eine natürliche oder juristische Person, die Produkte mit digitalen Elementen entwickelt oder herstellt oder die Produkte mit digitalen Elementen konzipieren, entwickeln oder herstellen lässt und sie unter eigenem Namen oder eigener Marke vermarktet, sei es entgeltlich oder unentgeltlich. Ein Produkt mit digitalen Elementen ist ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen. Umfasst sind solche Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder einem Netz einschließt. Das kann von Software über PCs und Smartphones bis hin zu Staubsaugerrobotern alles sein, was mit anderen Geräten oder Netzwerken kommunizieren kann. Für die Hersteller solcher Produkte ist die Palette neuer Pflichten üppig und kann deswegen hier nur auszugsweise genannt werden. Unter anderem müssen sie, bevor sie ein Produkt mit digitalen Elementen in Verkehr bringen, eine technische Dokumentation im Sinne des CRA erstellen und ein Konformitätsbewertungsverfahren nach den Vorgaben der Verordnung durchführen oder durchführen lassen. Danach ist eine EU-Konformitätserklärung auszustellen und eine CE-Kennzeichnung am Produkt anzubringen. Nach dem Inverkehrbringen und während der erwarteten Produktlebensdauer oder während eines Zeitraums von fünf Jahren ab dem Inverkehrbringen eines Produkts mit digitalen Elementen – je nachdem, welcher Zeitraum kürzer ist – müssen die Hersteller dafür sorgen, dass das Produkt CRA-konform bleibt (Updates). Außerdem muss der Hersteller der European Union Agency for Cybersecurity (ENISA) unverzüglich, jedenfalls aber innerhalb von 24 Stunden, nachdem er davon Kenntnis erlangt hat, jede aktiv ausgenutzte Schwachstelle melden, die in dem Produkt mit digitalen Elementen enthalten ist.

                        Welche Sanktionen drohen den Herstellern bei Verstößen gegen den CRA?

                        Für die Verhängung von Sanktionen sieht der CRA vor, dass die Mitgliedstaaten Vorschriften über Sanktionen erlassen und alle für die Durchsetzung der Sanktionen erforderlichen Maßnahmen treffen müssen. Die von dem CRA vorgesehenen Geldbußen reichen hierbei von 15.000.000 EUR oder – im Falle von Unternehmen – bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist, für die Nichteinhaltung grundlegender Anforderungen oder der oben erwähnten Herstellerpflichten. Bei Verstößen gegen andere Pflichten aus dieser Verordnung können Geldbußen von bis zu 10.000.000 EUR oder – im Falle von Unternehmen – bis zu 2 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist. Werden gegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben gemacht, so werden Geldbußen von bis zu 5.000.000 EUR oder – im Falle von Unternehmen – bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist. Es ist also dringend anzuraten, die Anforderungen des CRA einzuhalten und diese rechtzeitig und gewissenhaft umzusetzen.

                        FIN LAW

                        I.  https://fin-law.de

                        E. info@fin-law.de

                        Zuständiger Anwalt für Fragen zum Cyber Resilience Act, DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                        Newsletter abonnieren

                          Kontakt

                          info@fin-law.de

                          to top