Kostenloses Erstgespräch

Kategorie: blog DE

Okt. 14, 2024

Getting Ready for DORA (Part V) – Vertragsverhandlung nach Inkrafttreten der DORA – Wer sitzt am längeren Hebel?

Auch in Brüssel schläft man nicht und die Regulierung im europäischen Wirtschaftsraum nimmt stetig zu. Der Bereich der IT-Sicherheit bleibt davon nicht verschont. Immer mehr neue Compliance-Anforderungen kommen hinzu, die zunehmend mehr Unternehmen betreffen. Ein Beispiel hierfür ist die NIS 2Richtlinie, die bis Oktober 2024 umgesetzt werden muss und die NIS Richtlinie von 2016 weiterentwickelt. Zudem befindet sich der Cyber Resilience Act (CRA) derzeit in der Entwurfsphase, der darauf abzielt, Verbraucher und Unternehmen zu schützen, die Produkte oder Software mit digitalen Komponenten kaufen oder nutzen. Eine weitere umfangreiche Regulierung zur Stärkung der IT-Sicherheit ist der Digital Operational Resilience Act (DORA). DORA betrifft vor allem Finanzunternehmen wie Banken, Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute, Verwaltungsgesellschaften und Versicherungen sowie Unternehmen, die diesen Informations- und Kommunikationstechnologie (IKT) bereitstellen (sogenannte IKT-Drittdienstleister). Ab dem 17. Januar 2025 müssen diese Unternehmen die neuen Vorschriften erfüllen. Mit DORA sollen die Herausforderungen der fortschreitenden Digitalisierung und der zunehmenden Vernetzung in der Finanzbranche bewältigt werden. Ziel der Verordnung ist es, Risiken wie Cyberangriffe und Betriebsunterbrechungen effektiv entgegenzuwirken. Finanzunternehmen und IKT-Drittdienstleister sind verpflichtet, weitreichende Maßnahmen zu ergreifen, um ihre digitale Resilienz zu stärken und somit für mehr Sicherheit und Stabilität in der Branche zu sorgen. Es ist in der Praxis mittlerweile üblich, dass die IT-Infrastruktur oder auch ganze Arbeitsprozesse und Businessprozesse an spezialisierte Dienstleister ausgelagert werden. DORA bringt neue Herausforderungen im Bereich Compliance mit sich, die sich auch konkret auf den Verhandlungsspielraum bei Verträgen zwischen Finanzunternehmen und IKT-Drittdienstleistern auswirken. Wird das Machtverhältnis durch die DORA Verordnung zugunsten der Finanzunternehmen verschoben?

DORA und das Management des IKT-Drittparteienrisikos

Die DORA verpflichtet die Finanzunternehmen, das IKT-Drittparteienrisiko zu managen. Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Zur Bewältigung des IKT-Drittparteienrisikos werden zwei grundlegende Prinzipien festgelegt: Zum einen bleiben die Finanzunternehmen jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA und dem anwendbaren Finanzdienstleistungsrecht verantwortlich. Zum anderen haben die Finanzunternehmen dem Grundsatz der Verhältnismäßigkeit Rechnung zu tragen. Dementsprechend schreibt die DORA zwingende Vertragsinhalte vor, die zwischen Finanzunternehmen und IKT-Drittdienstleistern vereinbart werden müssen. Dazu gehört das Recht, die Leistung des IKT-Drittdienstleisters fortlaufend zu überwachen, wozu uneingeschränkte Zugangs-, Inspektions- und Auditrechte für das Finanzunternehmen, einen beauftragten Dritten oder die zuständige Behörde zählen. Die Häufigkeit der Kontrollen ist risikobasiert zu ermitteln. Zudem sind Kündigungsrechte für die in der DORA vorgesehenen Fälle zu vereinbaren. Für IKT-Dienstleistungen, die kritische oder wichtige Funktionen betreffen, sind zum Beispiel ausführliche Leistungsbeschreibungen erforderlich. Außerdem ist der IKT-Drittdienstleister zu verpflichten, Notfallpläne zu implementieren und zu testen und über Maßnahmen, Tools und Leit- und Richtlinien für IKT-Sicherheit zu verfügen, die ein angemessenes Maß an Sicherheit für die Erbringung von Dienstleistungen durch das Finanzunternehmen im Einklang mit seinem Rechtsrahmen bieten. Darüber hinaus sind Ausstiegsstrategien mit verbindlichen angemessenen Übergangszeiträumen zu vereinbaren.

Kaum Spielraum für Verhandlungen

Die Vorgaben der DORA lassen den Vertragsparteien im Grunde wenig Spielraum. Sie sind von den Finanzunternehmen schlichtweg zu erfüllen. Das Aufsichtsrecht nimmt hier starken Einfluss auf die privatautonomen Gestaltungsmöglichkeiten der Vertragsparteien. Die Vorgaben sind umfangreich und zielen vor allem darauf ab, die Finanzunternehmen in die Lage zu versetzen, die IKT-Dienstleistungen zu prüfen und deren Stabilität und Sicherheit zu gewährleisten. Besonders im Fall von mittelständischen Finanzunternehmen kann dies dazu führen, dass sie sich gegenüber verhandlungsstarken IKT-Drittdienstleistern durchsetzen können. Den IKT-Drittdienstleistern wird oft schlichtweg nichts anderes übrigbleiben, als die Vorgaben zu akzeptieren und entsprechend umzusetzen. Es bleibt abzuwarten, ob die DORA auch gegenüber den größten IKT-Drittdienstleistern, wie Google, Amazon und Microsoft, Wirkung zeigen wird. Hierzu werden kritische IKT-Drittdienstleister durch die DORA zur Zusammenarbeit mit der Aufsichtsbehörde verpflichtet und besonders überwacht, wobei diese mit weitreichenden Befugnissen ausgestattet wurde. Inwieweit die DORA ihre erklärten Ziele erreichen und ob sie für den europäischen Wirtschaftsstandort von Vorteil sein wird, bleibt abzuwarten. Es ist zu befürchten, dass die zahlreichen Compliance-Anforderungen die Unternehmen zusätzlich belasten und es für die betroffenen Unternehmen immer schwieriger wird, allen Anforderungen gerecht zu werden. Hinzu kommt, dass die Verordnung noch neu ist und somit keine ausführliche Literatur, gefestigte Verwaltungspraxis oder Rechtsprechung existiert, an der sich die Praxis orientieren könnte.

FIN LAW

I.  https://fin-law.de

E. info@fin-law.de

Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

Newsletter abonnieren

    Kontakt

    info@fin-law.de

    Sep. 23, 2024

    Getting Ready for DORA (Part IV) – Sind Vereinbarungen von Auditrechten auch außerhalb von Auslagerungsverträgen verpflichtend?

    Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union eine wegweisende  Verordnung eingeführt, die darauf abzielt, die digitale Widerstandsfähigkeit im Finanzsektor EU-weit zu standardisieren und zu stärken. Ab dem 17. Januar 2025 müssen betroffene Unternehmen den neuen Anforderungen gerecht werden. Die DORA soll den Herausforderungen der fortschreitenden Digitalisierung und der zunehmenden Vernetzung in der Finanzbranche begegnen, die der Einsatz von Informations- und Kommunikationstechnologien (IKT) in den letzten Jahren massiv vorangetrieben hat. DORA zielt darauf ab, Risiken wie Cyberbedrohungen und Betriebsstörungen wirksam zu bekämpfen, indem Finanzunternehmen und spezialisierte IKT-Dienstleister verpflichtet werden, umfassende Maßnahmen zur Verbesserung ihrer digitalen Resilienz umzusetzen. Zu den relevanten Akteuren gehören Banken, Wertpapierfirmen, Zahlungsinstitute, Anbieter von Kryptowährungen sowie Emittenten wertreferenzierter Token. Diese Unternehmen müssen ihre internen Abläufe analysieren und an die neuen regulatorischen Vorgaben anpassen, was unter anderem die Einführung von Notfallplänen, robusten Sicherheitsmaßnahmen und regelmäßigen Risikoanalysen umfasst. Die Umsetzung der DORA erfordert erhebliche Investitionen in die IT-Infrastruktur und das Risikomanagement, bietet jedoch zugleich die Chance, die Sicherheit und Widerstandsfähigkeit des Finanzsektors langfristig zu stärken. Zu einem guten IKT-Risikomanagement gehört auch, dass die Unternehmen ihre Verträge mit IKT-Drittdienstleistern so gestalten, dass den Risiken angemessen begegnet werden kann. Doch welche Folgen hat dies für zukünftige und bereits bestehende Verträge zwischen Finanzunternehmen und IKT-Drittdienstleistern?

    Besserer Umgang mit dem IKT-Drittparteienrisiko durch vertragliche Mindestinhalte

    Die DORA gibt Finanzunternehmen als Teil des IKT-Risikomanagementrahmens auf, das IKT-Drittparteienrisiko zu managen. Hierzu gehört, dass Finanzunternehmen, die vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen für die Ausübung ihrer Geschäftstätigkeit getroffen haben, jederzeit in vollem Umfang für die Einhaltung und Erfüllung aller Verpflichtungen nach der DORA und nach dem anwendbaren Finanzdienstleistungsrecht verantwortlich bleiben. Finanzunternehmen dürfen vertragliche Vereinbarungen nur mit IKT-Drittdienstleistern schließen, die angemessene Standards für Informationssicherheit einhalten. Hierzu sieht die Verordnung Anforderungen an die wesentlichen Vertragsbestimmungen, also bestimmte Mindestinhalte vor, die eine vertragliche Vereinbarung mit einem IKT-Dienstleister umfassen müssen. Nur um ein Beispiel zu nennen sei hier die Pflicht genannt, eine klare und vollständige Beschreibung aller Funktionen und IKT-Dienstleistungen, die der IKT-Drittdienstleister bereitzustellen hat vorzunehmen, wobei anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist. Soweit dies der Fall ist kommt die Pflicht zur Angabe hinzu, welche Bedingungen für diese Unterauftragsvergabe gelten. Die DORA kodifiziert an dieser Stelle also noch einmal die ohnehin für IT-Verträge wesentliche Bedeutung einer vollständigen und treffenden Leistungsbeschreibung. Neben vielen der für IT-Verträge typischen Anforderungen muss beispielsweise auch eine Verpflichtung des IKT-Drittdienstleisters vereinbart werden, vollumfänglich mit den für das Finanzunternehmen zuständigen Behörden und Abwicklungsbehörden zusammenzuarbeiten.

    Erweiterter Anwendungsbereich der DORA und seine Auswirkungen auf Vertragsgestaltungen

    Eine wichtige Neuerung der DORA, die über die bisherigen von der BaFin in ihrem Rundschreiben aufgestellten Anforderungen hinausgeht, ist zum einen, dass der Anwendungsbereich der DORA weiter gefasst ist als die bisherige Regulierung. Während sich die in den bisherigen Rundschreiben geforderten Mindestinhalte an die Vertragsgestaltung primär auf Auslagerungsverhältnisse beziehen, erfasst die DORA in ihrem Anwendungsbereich alle Verträge mit IKT-Drittdienstleistern. Ein IKT-Drittdienstleister ist dabei ein Unternehmen, das IKT-Dienstleistungen bereitstellt. IKT-Dienstleistungen sind insoweit digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung sowie Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste. Somit muss nicht zwingend ein Auslagerungsverhältnis vorliegen, um die Anforderungen der DORA an die Vertragsgestaltung auszulösen. Die DORA stellt ihre Anforderungen an die wesentlichen Vertragsbestimmungen grundsätzlich an alle Verträge mit IKT-Drittdienstleistern. Dennoch zieht sich der Verhältnismäßigkeitsgrundsatz durch die gesamte DORA, und es werden strengere Anforderungen an vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen gestellt. Bei diesen muss sich das Finanzinstitut unter anderem das Recht zur fortlaufenden Überwachung der Leistungserbringung vertraglich einräumen lassen, was auch uneingeschränkte Zugangs-, Inspektions- und Auditrechte des Finanzunternehmens oder eines beauftragten Dritten sowie der zuständigen Behörde umfasst. Sofern eine kritische oder wichtige Funktion betroffen ist, kann daher eine entsprechende Vereinbarung notwendig sein. Dieses Beispiel zeigt, dass es nach Inkrafttreten der DORA auch für bestehende Verträge notwendig wird, diese auf ihre Vereinbarkeit mit den neuen Vorgaben hin zu untersuchen und gegebenenfalls nachzuverhandeln.

    FIN LAW

    I.  https://fin-law.de

    E. info@fin-law.de

    Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

    Newsletter abonnieren

      Kontakt

      info@fin-law.de

      Sep. 16, 2024

      Marktmissbrauch und Insidergeschäfte mit Kryptowerten – Wen treffen die neuen Regeln der MiCAR?

      Für den europäischen Kryptomarkt markiert der 30. Dezember 2024 einen historischen Moment. Dann wird die neue EU-Verordnung über Märkte in Kryptowerten (MiCAR) vollumfänglich rechtswirksam. Neben den Bestimmungen über die Pflicht von Kryptodienstleistern zur Einholung einer Zulassung der BaFin bzw. der für sie im Einzelfall zuständigen Aufsichtsbehörde vor Geschäftsaufnahme und den bereits jetzt geltenden Bestimmungen in Bezug auf die Emission von E-Geld-Token und vermögenswertereferenzierten Token werden ab dem 30. Dezember 2024 auch die in der MiCAR vorgesehenen Vorschriften zur Verhinderung und zum Verbot von Marktmissbrauch und Insiderhandel im europäischen Kryptomarkt gelten. Die Einführung von Vorschriften zur Verhinderung möglicher Kursmanipulationen, des Marktmissbrauchs oder der Ausnutzung von Insiderinformationen vor öffentlicher Bekanntgabe stellt für den Kryptomarkt einen sehr wichtigen Meilenstein dar und erleichtert traditionellen Finanzakteuren weiter den Einstieg in die Welt der digitalen Werte. Doch welche konkreten Pflichten wird die MiCAR den Marktteilnehmern aufgeben und an wen richten sich die neuen Regeln. Welche Marktteilnehmer müssen beim Handel mit Kryptowerten künftig die Marktmissbrauchsregulierung nach der MiCAR beachten?

      Marktmissbrauchsregeln der MiCAR treffen alle Marktteilnehmer

      Eine effektive Marktmissbrauchsbekämpfung setzt umfassende und marktweit verpflichtende Regeln voraus. Die Reichweite der neuen Vorschriften der MiCAR zur Bekämpfung von Marktmissbrauch ist deshalb flächendeckend und erfasst Handlungen aller Personen im Zusammenhang mit Kryptowerten, die zum Handel zugelassen sind oder deren Zulassung zum Handel beantragt wurde. Adressaten der Marktmissbrauchsregulierung der MiCAR sind damit sowohl Emittenten von Kryptowerten und Kryptodienstleister, jedoch auch Investoren und sogar Personen, die selbst eventuell gar nicht in konkrete Geschäfte über Kryptowerten einbezogen sind, wie beispielsweise Ratingagenturen, Fachmedien oder Influencer mit Fokus auf Kryptowerte. Der Verordnungstext der MiCAR stellt klar, dass die Regeln für alle Geschäfte, Aufträge und Handlungen gelten sollen, die zum Handel zugelassene oder zuzulassende Kryptowerte betreffen. Nicht von Belang ist in diesem Zusammenhang, ob die betreffende Handlung tatsächlich auf einer Handelsplattform für Kryptowerte vorgenommen oder unterlassen wurde. Die Marktmissbrauchsregeln nach MiCAR sind somit für alle Marktteilnehmer relevant. Für die professionellen Marktteilnehmer wie Emittenten von Kryptowerten und Kryptowertedienstleister, aber auch und gerade öffentlich kommunizierende Influencer bedeutet dies, dass sie ihre Pflichten kennen müssen und in Form von sorgfältig zu erarbeitenden Verhaltensleitfäden verschriftlichen und im Geschäftsbetrieb anwenden sollten.

      Pflicht zur Vorhaltung wirksamer Vorkehrungen, Systemen und Verfahren

      Für alle Personen, die beruflich Geschäfte mit Kryptowerten vermitteln oder ausführen, sieht die MiCAR zudem die konkrete Verpflichtung vor, jederzeit über wirksame Vorkehrungen, Systeme und Verfahren für die Vorbeugung und Aufdeckung von Marktmissbrauch zu verfügen. Diese Personengruppe umfasst insbesondere Kryptodienstleister, die Transaktionen mit Kryptowerten arrangieren oder ausführen (PPAET), wobei der Begriff der PPAET aus der EU-Marktmissbrauchsverordnung entliehen ist. Nach dem von der ESMA bereits im März 2024 veröffentlichen Entwurf für Auslegungshinweise und technische Standards in Bezug auf die Missbrauchsvorschriften der MiCAR sollen darüber hinaus aber auch Betreiber von Handelsplattformen für Kryptowerte als PPAETs gelten. Die genannten Kryptodienstsleister trifft demnach eine explizite Pflicht zur Schaffung und Vorhaltung wirksamer Vorkehrungen, Systeme und Verfahren zur Vorbeugung und Aufdeckung von Marktmissbrauch. Die Maßnahmen müssen selbstverständlich die Art und Weise der eigenen Geschäftsausübung in den Fokus nehmen. Ebenso allerdings im Einzelfall erforderlich sein, die eigenen Mitarbeiter im Hinblick auf Geschäfte mit Kryptowerten im privaten Bereich zu überwachen, insbesondere wenn sie Zugang zu Insiderinformationen haben.

      Rechtsanwalt Lutz Auffenberg, LL.M. (London)

      I.  https://fin-law.de

      E. info@fin-law.de

      Zuständiger Anwalt für alle Fragen zur Regulierung von Marktmissbrauch und Insiderhandel nach MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

      Newsletter abonnieren

        Kontakt

        info@fin-law.de

        Sep. 09, 2024

        Lost in Translation Copy and Paste – Das Problem mit übersetzten Verträgen

        Passende Verträge für eigene Softwareprodukte im deutschen Raum zu gestalten, kann zeitintensiv und kostspielig sein. Unabhängig davon, ob sowohl der Anbieter als auch der Kunde deutsche Unternehmen sind oder nur der Kunde, wird dieser regelmäßig auf die Vereinbarung deutschen Rechts bestehen. Viele Anbieter von Softwareprodukten greifen daher immer wieder auf vermeintlich passende Musterverträge aus dem Internet zurück oder übersetzen bestehende Verträge aus anderen Rechtsräumen ins Deutsche und unterstellen diese dem deutschen Recht. Dies führt häufig dazu, dass umfangreiche Vertragswerke – insbesondere aus dem angloamerikanischen Raum – ihren Weg in Verträge finden, die dem deutschen Recht unterliegen. Hierbei ist Vorsicht geboten: Nur weil etwas im Vertrag steht und vorteilhaft für den Anbieter klingt, bedeutet das nicht automatisch, dass der Vertrag uneingeschränkt wirksam ist. Die deutsche Rechtspraxis ist in Bezug auf das Recht der Allgemeinen Geschäftsbedingungen strenger als viele andere Rechtsordnungen. Zudem kann es zu Problemen kommen, wenn der Vertrag die zugrundeliegende Rechtsbeziehung falsch einordnet und infolgedessen unpassende Regelungen getroffen werden. Oftmals sind solche Verträge in weiten Teilen unwirksam, und im Streitfall muss auf die gesetzlichen Regelungen zurückgegriffen werden, was meist nicht im Interesse der Parteien liegt.

        Typisches Problem bei SaaS, ASP und Cloud-Computing

        In der heutigen digitalen Wirtschaft sind vor allem Geschäftsmodelle wie Software-as-a-Service (SaaS) und Application Service Providing (ASP) verbreitet, bei denen die Software-Anwendungen des Anbieters dem Kunden über das Internet zur Verfügung gestellt werden („Cloud Computing“). Typisch ist beispielsweise, dass eine standardisierte Software für eine Vielzahl von Kunden über das Internet bereitgestellt wird. Diese bezahlen meist eine „Abogebühr“ und können die Software nutzen, solange das Vertragsverhältnis besteht. Für Anbieter und Kunden bietet dies eine Reihe von Vorteilen: Der Anbieter kann seine Software leicht skalieren und die Kosten senken, während die Kunden in der Regel keine spezielle Hardware und personelle Ressourcen benötigen, um die Software nutzen zu können. Wie bereits erwähnt, spielt für die Beurteilung der Wirksamkeit der einzelnen Vertragsklauseln die vertragstypologische Einordnung, also die Frage, welchem der im besonderen Schuldrecht des BGB geregelten Vertragstypen der Vertrag zugeordnet wird, eine entscheidende Rolle. Die Einordnung wirkt sich in vielerlei Hinsicht rechtlich aus. So hat sie beispielsweise Einfluss auf die Inhaltskontrolle von Allgemeinen Geschäftsbedingungen. Auch legt sie fest, auf welche Vorschriften zurückgegriffen werden muss, wenn der Vertrag (teilweise) unwirksam ist. Schließlich bestimmt sie, welche Gewährleistungsrechte des Leistungsempfängers bestehen. Auch wenn die Vertragsparteien eine Fragestellung nicht geregelt haben, wird auf die gesetzlichen Regelungen zurückgegriffen, um die Regelungslücke zu schließen. Die Zuordnung zu einem der Vertragstypen im besonderen Schuldrecht kann im Einzelfall schwierig sein. Oft handelt es sich um sogenannte typengemischte Verträge, die je nach Leistungspflicht mehr als einem Vertragstyp zuzuordnen sind. Lediglich übersetzte oder zusammenkopierte Verträge nehmen oft keine Rücksicht auf diese Feinheiten, was katastrophale Folgen für die Verwender solcher Verträge haben kann.

        Was sollte unbedingt beachtet werden und wo liegen die Schranken im deutschen Recht?

        Die Parteien haben in der Regel ein Interesse daran, Haftungsausschlüsse zu vereinbaren und das Haftungsrisiko so weit wie möglich zu minimieren. Darüber hinaus sind insbesondere im IT-Bereich Freistellungsklauseln und Vertragsstrafen gewünscht. Da es sich bei den meisten SaaS- oder ASP-Verträgen um vorformulierte und nicht im Einzelnen zwischen den Vertragsparteien ausgehandelte Vertragsbedingungen handelt, sind die Grenzen des deutschen AGB-Rechts zu beachten. Dieses ist gerade für die zuvor genannten Vereinbarungen und Haftungsausschlüsse besonders streng. Außerdem können im Fall eines Vertrags mit Verbrauchern zusätzlich die gesetzlichen Regelungen zu Verträgen über digitale Produkte relevant werden. Darüber hinaus gilt es zu bedenken, dass es in vielen Verträgen bereits an einer treffenden Beschreibung der geschuldeten Leistungen, also der Hauptleistungspflichten der Vertragsparteien fehlt oder diese unzureichend ist. Dies ist besonders unvorteilhaft, da die Hauptleistungspflichten – abgesehen vom Transparenzgebot – regelmäßig nicht der AGB-Kontrolle unterliegen. Hier kann also festgelegt werden, was genau geschuldet ist und was nicht. Somit können durch eine klare Definition der Hauptleistungspflichten auch mittelbare Haftungsausschlüsse und -beschränkungen erreicht werden.

        FIN LAW

        I.  https://fin-law.de

        E. info@fin-law.de

        Newsletter abonnieren

          Kontakt

          info@fin-law.de

          Sep. 02, 2024

          Getting Ready for DORA (Part III) –Wie wird die eigene digitale operationale Resilienz getestet?

          Die Europäische Union hat mit dem Digital Operational Resilience Act (DORA) eine weitreichende Verordnung eingeführt, die die digitale Resilienz im Finanzsektor europaweit harmonisieren und stärken soll. Ab dem 17. Januar 2025 müssen betroffene Unternehmen die von DORA vorgesehenen Pflichten erfüllen. Der europäische Verordnungsgeber  will hier der fortschreitenden Digitalisierung und der zunehmenden Vernetzung Rechnung tragen, die den Einsatz von Informations- und Kommunikationstechnologien (IKT) in der Finanzbranche erheblich verstärkt hat. Die DORA will den Risiken durch Cyberbedrohungen und Betriebsstörungen entgegenwirken. Finanzunternehmen und spezialisierte IKT-Dienstleister sind verpflichtet, umfassende Maßnahmen zu ergreifen, um ihre digitale Resilienz zu stärken. Zu den betroffenen Akteuren gehören unter anderem Banken, Wertpapierfirmen, Zahlungsinstitute sowie Anbieter von Kryptowährungen und Emittenten wertreferenzierter Token. Diese Unternehmen müssen bis zum Inkrafttreten der Verordnung ihre internen Prozesse und Abläufe gründlich überprüfen und an die neuen regulatorischen Anforderungen anpassen. Dies beinhaltet sowohl die Einführung robuster Sicherheitsvorkehrungen, regelmäßige Risikoanalysen als auch die Erstellung von Notfallplänen, um im Ernstfall auf Cyberangriffe oder IT-Störungen angemessen reagieren zu können. Die Implementierung von DORA stellt für viele Unternehmen eine Herausforderung dar, da sie erhebliche Anpassungen und Investitionen in IT-Infrastruktur und Risikomanagement erforderlich machen kann. Gleichzeitig bietet die Verordnung die Chance, die Widerstandsfähigkeit und Sicherheit des gesamten Finanzsektors nachhaltig zu verbessern. Welchen Tests ist die Informations- und Kommunikationstechnologie zu unterziehen? Worauf müssen sich die betroffenen Unternehmen in Zukunft einstellen?

          Testen von IKT-Tools und -Systemen

          Das vierte Kapitel der DORA befasst sich mit den Anforderungen für das Testen der digitalen operationalen Resilienz. Grundsätzlich ist dabei unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes ein solides und umfassendes Programm zum Testen der digitalen operativen Resilienz erforderlich, um die Vorbereitung auf die Handhabung IKT-bezogener Vorfälle zu bewerten, Schwächen, Mängel und Lücken in Bezug auf die digitale operative Resilienz zu erkennen und Korrekturmaßnahmen umgehend umzusetzen. Dies ist ein wesentlicher Bestandteil des von den betroffenen Unternehmen zu errichtenden IKT-Risikomanagementrahmens. Der Inhalt der Tests kann nach Art und Umfang variieren. Bei der Auswahl sind unter Berücksichtigung der Verhältnismäßigkeit die Größe und das Gesamtrisiko des Finanzunternehmens sowie Art, Umfang und Komplexität der Finanzdienstleistung mit abzuwägen. Angemessene Tests können somit Schwachstellenbewertungen und -scans, Open-Source-Analysen, Netzwerksicherheitsbewertungen, Lückenanalysen, Überprüfungen der physischen Sicherheit, Fragebögen und Scans von Softwarelösungen, Quellcodeprüfungen (soweit durchführbar), szenario-basierte Tests, Kompatibilitätstests, Leistungstests, End-to-End-Tests und Penetrationstests sein. Grundsätzlich sind die Tests für alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich durchzuführen. Für Kleinstunternehmen sieht die DORA sowohl für die Häufigkeit der Tests als auch deren Durchführung einige Erleichterungen vor, die stark vom Grundsatz der Verhältnismäßigkeit geprägt sind.

          Erweiterte Tests von IKT-Tools, -Systemen und -Prozessen auf Basis von TLPT

          Auch wenn die oben genannten von DORA verlangten Tests bereits sehr umfangreich sind, sieht die DORA für bestimmte Unternehmen noch weitergehende Tests vor. Dieses sogenannte Threat-Led Penetration Testing (TLPT) ist alle drei Jahre durchzuführen. Das TLPT, auch bedrohungsorientierte Penetrationstests genannt, bezeichnet nach der Definition der DORA einen Rahmen, der die Taktiken, Techniken und Verfahren realer Angreifer, die als echte Cyberbedrohung gelten, nachbildet und einen kontrollierten, maßgeschneiderten, erkenntnisgestützten (Red-Team-) Test der kritischen Live-Produktionssysteme des Finanzunternehmens ermöglicht. Die genauen Einzelheiten werden von der ESA im Einvernehmen mit der EZB und im Einklang mit dem TIBER-EU-Rahmen in Form technischer Regulierungsstandards präzisiert. TLPT wird in der Regel nur für solche von der BaFin beaufsichtigten Finanzunternehmen relevant, die von dieser nach den Vorgaben der DORA identifiziert und darüber informiert worden sind. Die Kriterien zur Identifikation betroffener Unternehmen sind: die Verhältnismäßigkeit; wirkungsbezogene Faktoren, insbesondere die Frage, inwieweit sich die vom Finanzunternehmen erbrachten Dienstleistungen und ausgeführten Tätigkeiten auf den Finanzsektor auswirken; etwaige Bedenken hinsichtlich der Finanzstabilität, einschließlich des systemischen Charakters des Finanzunternehmens auf Unionsebene oder auf nationaler Ebene, je nach Sachlage; sowie das spezifische IKT-Risikoprofil, der IKT-Reifegrad des Finanzunternehmens oder einschlägige technologische Merkmale. Die Anwendung dieser Auswahlkriterien wird ebenfalls von der ESA im Einvernehmen mit der EZB im Einklang mit dem TIBER-EU-Rahmen in Form technischer Regulierungsstandards präzisiert.

          FIN LAW

          I.  https://fin-law.de

          E. info@fin-law.de

          Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

          Newsletter abonnieren

            Kontakt

            info@fin-law.de

            Aug. 26, 2024

            Getting Ready for DORA (Part II) – Standortvorteil Deutschland?

            Die Europäische Union hat den Digital Operational Resilience Act (DORA) verabschiedet, um die digitale Resilienz im Finanzsektor zu vereinheitlichen und zu stärken. Ab dem 17. Januar 2025 müssen die hiervon betroffenen Unternehmen die Verordnung einhalten. Hintergrund ist die zunehmende Digitalisierung und Vernetzung, die eine weit verbreitete Nutzung von Informations- und Kommunikationstechnologien (IKT) auch im Finanzsektor zur Folge hat. DORA zielt darauf ab, Risiken durch Cyberbedrohungen und Betriebsstörungen effektiv zu begegnen. Die Verordnung verpflichtet Finanzunternehmen und bestimmte IKT-Dienstleister zu umfassenden Maßnahmen zur Stärkung ihrer digitalen Resilienz. Betroffen sind zahlreiche Akteure der Finanzbranche, darunter Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute sowie Kryptodienstleister und Emittenten wertreferenzierter Token. Diese Unternehmen müssen ihre internen Prozesse und Abläufe  überprüfen und an die neuen gesetzlichen Anforderungen anpassen. Dies beinhaltet unter anderem die Implementierung robuster Sicherheitsmaßnahmen, die Durchführung regelmäßiger Risikoanalysen und die Entwicklung von Notfallplänen, um im Falle von Cyberangriffen oder IT-Störungen schnell und effektiv reagieren zu können. Die Einführung von DORA stellt für viele Unternehmen eine nicht zu unterschätzende Herausforderung dar, erfordert sie doch erhebliche Anpassungen und Investitionen in die IT-Infrastruktur und das Risikomanagement. Dennoch bietet die Verordnung auch Chancen, da sie die Widerstandsfähigkeit und Sicherheit des gesamten Finanzsektors verbessert. Welche Anforderungen werden schon jetzt an die betroffenen Unternehmen gestellt und ergeben sich dadurch vielleicht sogar Standortvorteile für diese Unternehmen in Deutschland?

            Welche Anforderungen gelten bereits und wie unterscheiden sie sich von der DORA?

            Die DORA hat den europäischen und damit auch den deutschen Finanzsektor mit dem Ziel im Visier, den Umgang mit IKT-Risiken europaweit zu harmonisieren. Finanzunternehmen sollen in die Lage versetzt werden, den IKT-Risiken angemessen zu begegnen. Die deutsche Finanzaufsicht BaFin war in der Vergangenheit nicht untätig und hat IKT-Risiken auch jetzt schon im Blick, wobei sie weitreichende Anforderungen an den deutschen Finanzsektor stellt. Diese gelten beispielsweise für die IT von Banken, Versicherern, Kapitalverwaltungsgesellschaften und Zahlungsdienstleistern. Hierzu hat die BaFin eine Reihe von Rundschreiben erlassen, die die Anforderungen an die IT der genannten Finanzakteure regeln. Die unter den mehr oder weniger einprägsamen Namen BAIT, VAIT, KAIT und ZAIT veröffentlichten Rundschreiben stellen an die betroffenen Finanzakteure – um nur einige Beispiele zu nennen – umfassende Vorgaben an die Governance und Organisation der IT, das Informationsrisiko- und Informationssicherheitsmanagement sowie die Stabilität des IT-Betriebs. Diese Anforderungen finden sich teilweise gleichlaufend auch in der DORA wieder. Ein Teil des nach den Rundschreiben erforderlichen Informationssicherheitsmanagements ist, dass die Geschäftsleitung die Funktion des Informationssicherheitsbeauftragten (ISB) einrichten muss. Die Funktion des ISB umfasst die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Die DORA kennt die Funktion des ISB nicht. Allerdings ähnelt der ISB in seiner Funktion und unabhängigen Stellung der von der DORA geforderten Einführung einer IKT-Risikokontrollfunktion, die die Zuständigkeit für das Management und die Überwachung des IKT-Risikos innehaben soll. Die unterschiedlichen Aufgabenbereiche machen hingegen deutlich, dass die DORA im Vergleich zu den Rundschreiben einen stärkeren Fokus auf die Überwachung und das Management des IKT-Risikos legt. Dies ist nur ein Beispiel dafür, dass die BAIT, VAIT, KAIT und ZAIT in vielen Punkten bereits jetzt die grundlegenden Anforderungen an den IKT-Risikomanagementrahmen und die Schlüsselprinzipien für ein solides Management des IKT-Drittparteienrisikos nach der DORA abdecken. Ein Finanzunternehmen, das bereits die Anforderungen der BAIT, VAIT, KAIT oder ZAIT erfüllt, wird daher eine gute Ausgangslage für die Umsetzung der DORA haben. Hierin könnte der Standortvorteil für solche Finanzunternehmen in Deutschland liegen.

            Besteht dennoch Handlungsbedarf?

            Der Vergleich zwischen ISB und IKT-Kontrollfunktion macht jedoch deutlich, dass mit der DORA von den BaFin Rundschreiben abweichende bzw. darüber hinausgehende Zwecke verfolgt werden. Die DORA soll die digitale operationale Resilienz des Finanzsektors stärken. Um dieses Ziel zu erreichen, geht die DORA in vielen Bereichen über die Anforderungen der BAIT, VAIT, KAIT und ZAIT hinaus. Daher reicht es nicht aus, sich auf bestehenden Strategien, Prozessen, Funktionen etc. auszuruhen. Auch die BaFin ist sich dessen bewusst und hat bereits angekündigt, dass sie die Rundschreiben BAIT, VAIT, KAIT und ZAIT aufheben wird. Für die betroffenen Finanzinstitute bedeutet dies, dass eine Anpassung an die Vorgaben der DORA unausweichlich ist und vor Inkrafttreten der DORA umgesetzt werden sollte. Die BaFin hat zu diesem Themenbereich bereits Umsetzungshinweise veröffentlicht die den Übergang von den Rundschreiben zur DORA erleichtern sollen.

            FIN LAW

            I.  https://fin-law.de

            E. info@fin-law.de

            Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

            Newsletter abonnieren

              Kontakt

              info@fin-law.de

              Aug. 05, 2024

              Die Vermögensanlage unter MiCAR – Braucht es Wertpapierprospekt oder Kryptowhitepaper für das öffentliche Angebot?

              Anlageprodukte können von kapitalsuchenden Unternehmen in vielen verschiedenen rechtlichen Ausgestaltungen angeboten werden. Neben der wohl häufigsten Erscheinungsform der übertragbaren Wertpapiere im Sinne der MiFID2 Regulierung wie Aktien und Schuldtitel können Emittenten Anlageprodukte etwa auch als Anteile an Investmentvermögen oder auf der Grundlage nationaler Regulierung als Vermögensanlagen begeben. Über das Vermögensanlagengesetz beabsichtigte der deutsche Gesetzgeber ursprünglich insbesondere die Regulierung des sogenannten grauen Kapitalmarkts, auf dem Anlageprodukte angeboten wurden, die nicht als Wertpapiere qualifizierten und deshalb nicht den Prospektpflichten für Wertpapieremissionen unterfielen. Solche Produkte sind etwa unverbriefte Genussrechte, Nachrangdarlehen, partiarische Darlehen oder Beteiligungen als stiller Gesellschafter. Ihnen fehlt es regelmäßig an der Wertpapieren immanenten Handelbarkeit auf den Kapitalmärkten, was sie von diesen unterscheidet. Das Vermögensanlagengesetz verpflichtet Emittenten und Anbieter von Vermögensanlagen in Deutschland dennoch zur Erstellung und Veröffentlichung von Verkaufsprospekten vor dem ersten öffentlichen Angebot, die von der BaFin gebilligt werden müssen. Für in Form von Kryptotoken angebotene Vermögensanlagen vertritt die BaFin, dass die über die Tokenisierung erreichte Erhöhung der Handelbarkeit dazu führt, dass tokenisierte Vermögensanlagen aufsichtsrechtlich als Wertpapiere eigener Art einzuordnen sind und deshalb hinsichtlich der Prospektpflichten nicht dem Vermögensanlagengesetz, sondern der EU-Prospektverordnung und dem Wertpapierprospektgesetz unterfallen.

              Entweder Kryptowhitepaper nach MiCAR oder Wertpapierprospekt nach EU-Prospektverordnung?

              In der MiCAR klar geregelt ist, dass tokenisierte Anlageprodukte, die Finanzinstrumente im Sinne der MiFID2 darstellen, nicht in den Anwendungsbereich der MiCAR fallen. Insoweit hat der Verordnungsgeber für ein klares Konkurrenzverhältnis zwischen MiFID2 und MiCAR gesorgt. Das erste öffentliche Angebot einer tokenisierten Aktie verpflichtet ihren Emittenten deshalb zur Erstellung und Veröffentlichung eines von der BaFin zu billigenden Wertpapierprospekts nach der EU-Prospektverordnung oder dem Wertpapierprospektgesetz. Die Erstellung eines Kryptowhitepapers ist demgegenüber nicht erforderlich, da die Aktie als solche bereits Finanzinstrument gemäß MiFID2 ist und aus diesem Grund nicht zugleich Kryptowert nach MiCAR sein kann. Für tokenisierte Vermögensanlagen nach dem Vermögensanlagengesetz gilt diese klare Entweder-oder-Logik allerdings nicht. Denn Vermögensanlagen stellen gerade keine Finanzinstrumente im Sinne der MiFID2 dar, sondern sind eine rein national regulierte Art von Anlageprodukten. Vor diesem Hintergrund kann der Ausnahmetatbestand für Finanzinstrumente nach MiFID2 für Vermögensanlagen nicht herangezogen werden. Auch die Verwaltungspraxis der BaFin zur Anwendung der EU-Prospektverordnung auf erste öffentliche Angebote von tokenisierten Vermögensanlagen hilft nicht weiter, denn auch Wertpapiere eigener Art finden sich nicht im Finanzinstrumentenkatalog der MiFID2.

              Öffentliches Angebot von Wertpapieren eigener Art gemäß Verwaltungspraxis der BaFin erfordert Wertpapierprospekt und Kryptowhitepaper

              Für tokenisierte Vermögensanlagen muss deshalb gelten, dass vor ihrem öffentlichen Angebot in der EU sowohl ein Wertpapierprospekt als auch ein Kryptowhitepaper erstellt und veröffentlicht werden muss. Während der Wertpapierprospekt durch die BaFin gebilligt und anschließend veröffentlicht werden muss, ist das Kryptowhitepaper lediglich zu veröffentlichen. Eine Genehmigung oder Billigung durch die BaFin ist nicht vorgeschrieben. Auch inhaltlich und in ihrer Aufmachung unterscheiden sich Kryptowhitepaper und Wertpapierprospekt voneinander, weshalb Emittenten und Anbieter von tokenisierten Vermögensanlagen genau darauf zu achten haben werden, dass die in den zwei Dokumenten erteilten Informationen kongruent sind. Freilich werden Emittenten tokenisierter Vermögensanlagen prüfen, ob für ihre Emission gegebenenfalls eine Ausnahme von der Prospektpflicht bzw. Kryptowhitepaperpflicht greifen kann, um jedenfalls nur ein Dokument erstellen zu müssen. In der Regel werden aber beide Dokumente zu erstellen sein. Emittenten sollten deshalb im Einzelfall prüfen, ob ihr Anlageprodukt auch so gestaltet werden kann, dass es als Finanzinstrument nach MiFID2 gilt. Denn dann wäre in den meisten Fällen lediglich ein Wertpapierprospekt zu erstellen und die Pflicht zur Veröffentlichung eines Kryptowhitepapers wäre nicht einschlägig.

              Rechtsanwalt Lutz Auffenberg, LL.M. (London)

              I.  https://fin-law.de

              E. info@fin-law.de

              Zuständiger Anwalt für die Beratung zur rechtlichen Einordnung von Token nach MiCAR in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

              Newsletter abonnieren

                Kontakt

                info@fin-law.de

                Juli 15, 2024

                Getting Ready for DORA (Part I) – Hohe Belastung für kleinere Unternehmen der Finanzbranche?

                Unter dem Namen Digital Operational Resilience Act (DORA) hat die EU eine neue Verordnung erlassen, die die digitale operationale Resilienz des Finanzsektors EU-weit vereinheitlichen und stärken soll. Die im Dezember 2022 erlassene DORA tritt am 17. Januar 2025 in Kraft und muss ab diesem Zeitpunkt von den verpflichteten Unternehmen eingehalten werden. Ihre Existenzberechtigung findet die Verordnung in der mittlerweile auch im Finanzsektor weit verbreiteten Nutzung von Informations- und Kommunikationstechnologien (IKT), die sich aus der zunehmenden Digitalisierung und Vernetzung ergibt. Mit DORA soll den daraus folgenden Risiken von Cyberbedrohungen und Störungen entgegengewirkt werden. Die Verordnung verpflichtet Finanzunternehmen und bestimmte IKT-Dienstleister, umfassende Maßnahmen zur Erreichung dieses Ziels zu ergreifen. Unter den Begriff des Finanzunternehmens fallen nahezu alle klassischen Akteure der Finanzbranche wie Kreditinstitute, Wertpapierfirmen, Zahlungsinstitute und Finanzdienstleister, aber gerade auch Kryptodienstleister und Emittenten wertreferenzierter Token. Die betroffenen Unternehmen sehen sich einer Reihe zusätzlicher gesetzlicher Anforderungen gegenüber. Infolgedessen müssen die internen Prozesse und Abläufe geprüft und gegebenenfalls an die DORA angepasst werden. Da die Anforderungen der DORA sehr weitreichend sind, könnte dies insbesondere für kleinere Unternehmen eine erhebliche Belastung darstellen. Daher ist es von besonderer Bedeutung, ob die DORA für solche Unternehmen Ausnahmen vorsieht. Gibt es also Erleichterungen für kleinere Unternehmen?

                Gleiche Regeln für alle? Anwendung gegenüber kleineren Unternehmen

                Eines der leitenden Prinzipien bei der DORA ist der Grundsatz der Verhältnismäßigkeit. So können die einzelnen Pflichten ein Finanzunternehmen im Einzelfall je nach Größe, Gesamtrisikoprofil, Art, Umfang und Komplexität der Dienstleistungen, Tätigkeiten und Geschäfte unterschiedlich treffen. Es gilt im Grunde, dass die Anforderungen proportional zum Risiko steigen. Dementsprechend teilt die DORA Finanzunternehmen in Kleinstunternehmen, Kleinunternehmen und mittlere Unternehmen und alle darüber liegenden Finanzunternehmen auf. Ein Kleinstunternehmen liegt – mit einigen Ausnahmen wie etwa für Handelsplätze, zentrale Gegenparteien oder Transaktionsregister – vor, wenn in dem Unternehmen weniger als zehn Personen beschäftigt werden und der Jahresumsatz bzw. die Jahresbilanzsumme 2 Mio. EUR nicht übersteigt. Ein Kleinunternehmen ist ein Finanzunternehmen, das 10 bis 50 Personen beschäftigt und bei dem der Jahresumsatz bzw. die Jahresbilanzsumme über 2 Mio. EUR, aber nur bis zu 10 Mio. EUR liegt. Ein mittleres Unternehmen beschäftigt weniger als 250 Personen, der Jahresumsatz liegt bei bis zu 50 Mio. EUR und die Jahresbilanzsumme bei bis zu 24 Mio. EUR. Bereits aus dieser Einordnung in eine der Größenordnungen kann eine Reihe von Ausnahmen und Erleichterungen von den Anforderungen der DORA für die entsprechenden Finanzunternehmen folgen.

                Welche Ausnahmen kommen konkret in Betracht?

                Die DORA verlangt von Finanzunternehmen, dass sie ein angemessenes IKT-Risikomanagement implementieren. Dazu gehört ein solider, umfassender und gut dokumentierter IKT-Risikomanagementrahmen, der es ermöglicht, Risiken schnell zu erkennen und zu beheben. Ein solcher Rahmen muss mindestens Strategien, Leit- und Richtlinien, Verfahren sowie IKT-Protokolle und -Tools umfassen, die erforderlich sind, um alle Informations- und IKT-Assets, einschließlich Software, Hardware und Server, ordnungsgemäß zu schützen. Er muss außerdem alle relevanten physischen Komponenten und Infrastrukturen, wie etwa Räumlichkeiten, Rechenzentren und ausgewiesene sensible Bereiche schützen. Zur Verwaltung und Überwachung des IKT-Risikos müssen Finanzunternehmen außerdem eine unabhängige Kontrollfunktion einführen und den IKT-Risikorahmen jährlich sowie anlassbezogen überprüfen und dokumentieren. Kleinstunternehmen sind hiervon ausgenommen und sie können auf eine gesonderte Kontrollfunktion verzichten. Ferner müssen sie den IKT-Risikorahmen lediglich regelmäßig sowie anlassbezogen prüfen und dokumentieren. Dies ist nur eine von vielen Ausnahmen, die dem Proportionalitätsgedanken der DORA entsprechen. Es sollte im konkreten Einzelfall geprüft werden, ob gesetzliche Ausnahmen in Betracht kommen. Selbst ohne spezifische gesetzliche Ausnahme kann der Umfang der Maßnahmen, die ein Finanzunternehmen ergreifen muss, je nach Risikoprofil erheblich variieren. Insgesamt stellt DORA ein äußerst komplexes Regelwerk dar, das die Unternehmen aus der Finanzbranche zur weiteren Professionalisierung ihrer Geschäftsorganisation in Bezug auf IKT-Risiken zwingt.

                FIN LAW

                I.  https://fin-law.de

                E. info@fin-law.de

                Zuständiger Anwalt für Fragen zu DORA und IT-Recht in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                Newsletter abonnieren

                  Kontakt

                  info@fin-law.de

                  Juni 17, 2024

                  WIB oder BIB – Wann muss welche Dokumentation erfolgen?

                  Die Emission von Finanzprodukten geht regelmäßig mit der Verpflichtung des Emittenten oder Anbieters einher, entsprechende Dokumentations- und Prospektpflichten zu erfüllen. Dies jedenfalls dann, wenn das Finanzprodukt öffentlich angeboten werden soll. So muss für Vermögensanlagen nach dem Vermögensanlagengesetz in der Regel ein Verkaufsprospekt und/oder ein Vermögensanlagen-Informationsblatt („VIB“) erstellt werden. Ähnliches gilt auch für bestimmte Formen von Investmentvermögen nach dem Kapitalanlagegesetzbuch. In Zukunft bestimmt die MiCAR Verordnung, welche Art von Kryptowerte-Whitepaper zu den verschiedenen Arten von Kryptowerten zu erstellen ist. Bei Wertpapieren, zu denen auch viele tokenisierte Produkte als Wertpapiere sui generis gehören, regelt das Zusammenspiel der europäischen Prospektverordnung (EU) 2017/1129 („Prospektverordnung“) und des deutschen Wertpapierprospektgesetzes („WpPG“) die Prospekt- und Dokumentationspflichten der Anbieter und Emittenten. Der deutsche Gesetzgeber hat hier insoweit von einer Möglichkeit aus der Prospektverordnung Gebrauch gemacht und bestimmt, dass in Deutschland für öffentliche Angebote von Wertpapieren, deren Gesamtgegenwert im Europäischen Wirtschaftsraum nicht mehr als 8 Millionen Euro beträgt, berechnet über einen Zeitraum von zwölf Monaten, keine Wertpapierprospekte veröffentlicht werden müssen. Stattdessen kann dann grundsätzlich ein Wertpapier-Informationsblatt („WIB“) erstellt, bei der BaFin hinterlegt und veröffentlicht werden. Aber wann ist auch dies nicht der Fall und von welchen Pflichten sind Emittenten und Anbieter stattdessen betroffen und kann das sogar Vorteile haben?

                  Wann muss ein BIB anstelle eines WIB veröffentlicht werden?

                  Die Pflicht zur Veröffentlichung eines WIB besteht jedoch nicht, wenn für das betreffende Wertpapier bereits ein Basisinformationsblatt („BIB“) nach der Verordnung (EU) Nr. 1286/2014 (Packaged Retail and Insurance-based Investment Products (PRIIP): „PRIIPs-VO“) veröffentlicht werden muss. Die PRIIPs-VO bestimmt ihrerseits, dass ein Basisinformationsblatt von Herstellern von verpackten Anlageprodukten für Kleinanleger zu erstellen und zu veröffentlichen ist. Der Emittent bzw. Anbieter muss sich hier also mit dem betreffenden Produkt zumindest auch an Kleinanleger wenden. Weiterhin muss es sich bei dem betreffenden Wertpapier um ein verpacktes Produkt im Sinne der PRIIPs-VO handeln. Wann dies der Fall ist, kann im Einzelfall schwer zu bestimmen sein. Grundsätzlich bestimmt die PRIIPs-VO jedoch, dass es sich dann um verpackte Anlageprodukte handelt, wenn der rückzuzahlende Betrag Schwankungen aufgrund der Abhängigkeit von Referenzwerten oder von der Entwicklung eines oder mehrerer Vermögenswerte unterliegt, die nicht direkt von Anlegern erworben werden. Die BaFin konkretisiert hier insoweit, als dass unter dem rückzuzahlenden Betrag sowohl der Zins als auch die Tilgung des Produktes verstanden werden muss. In Übereinstimmung mit der European Securities and Markets Authority („ESMA“) führt die BaFin weiter aus, dass es auch auf die Art des Referenzwertes ankommt. So führt die Abhängigkeit des rückzuzahlenden Betrags von internen Referenzwerten oder Zinsindizes wie Euribor nicht zum Vorliegen eines verpackten Produktes im hier geforderten Sinne, die Abhängigkeit von externen Referenzwerten jedoch schon.

                  Was sind die Unterschiede zwischen den verschiedenen Informationsblättern?

                  Grundsätzlich kann also in Deutschland ein WIB bei öffentlichen Angeboten von Wertpapieren von bis zu 8 Millionen Euro erstellt, bei der BaFin hinterlegt und veröffentlicht werden. Das WIB hat einen maximalen Umfang von drei Din-A4 Seiten und bei digitalen und nicht verbrieften Wertpapieren von vier Din-A4 Seiten. Die Veröffentlichung muss durch die BaFin gestattet werden, wobei die Bundesanstalt hierbei lediglich die Vollständigkeit aller Angaben, Hinweise und Anlagen überprüft, nicht jedoch deren Richtigkeit. Im Vergleich dazu bedarf das maximal drei DIN-A4 Seiten umfassende BIB gerade keiner Hinterlegung oder Gestattung durch die BaFin. Es muss lediglich erstellt und auf der Website des PRIIP Herstellers, in der Regel des Emittenten, veröffentlicht werden. Insofern kann bei sorgfältiger Gestaltung der Wertpapierbedingungen durch einen erfahrenen Anwalt im Wertpapierprospektrecht der zeit- und geldaufwendige Gestattungs- und Hinterlegungsprozess bei der BaFin vermieden werden, sofern die Konzeption eines PRIIP gewünscht ist, für welches ein BIB zu erstellen wäre.

                  FIN LAW

                  I.  https://fin-law.de

                  E. info@fin-law.de

                  Newsletter abonnieren

                    Kontakt

                    info@fin-law.de

                    Juni 10, 2024

                    MiCAR vs MiFID II – Welche Token gelten als Kryptowerte und welche als Finanzinstrumente?

                    Mit der Markets in Crypto Assets Regulation (MiCAR) hat die Europäische Union ein eigenständiges und in allen Mitgliedstaaten der EU unmittelbar geltendes Regelwerk für den geschäftlichen Umgang mit Kryptowerten geschaffen. Der Verordnungstext ist bereits sehr ausführlich und detailliert ausformuliert. Nichts desto trotz ist es an vielen Stellen erforderlich, zur Sicherstellung einer einheitlichen Auslegung durch die Behörden in den Mitgliedstaaten einen gemeinsamen Ansatz zu entwickeln. Aus diesem Grund wird die European Securities and Markets Authority (ESMA) in vielen Bestimmungen der MiCAR dazu verpflichtet, Auslegungshinweise zu erarbeiten, mit Marktteilnehmern zu konsultieren und zu veröffentlichen. Eine solche Verpflichtung trifft die ESMA auch in Bezug auf die Ausnahmeregelung, mit der das Alternativverhältnis von MiCAR und MiFID2 festgelegt wird. Die Ausnahmebestimmung legt fest, dass die Vorschriften der MiCAR nicht anwendbar sein sollen auf einen Kryptowert, der die Anforderungen an ein Finanzinstrument im Sinne der MiFID2 Regulierung erfüllt. Problematisch ist insoweit, dass die Mitgliedstaaten in der Zeit vor Erlass der MiCAR in ihrer Auslegung, wann ein Finanzinstrument nach MiFID2 vorliegt, durchaus unterschiedliche Verwaltungspraxen entwickelt und angewandt haben. Für die elementare Frage, ob auf einen Token künftig die MiCAR oder die MiFID2 Regulierung Anwendung finden soll, bedarf es deshalb einer einheitlichen Auslegung, die mit den von der ESMA zu erarbeitenden Leitlinien ermöglicht werden soll.

                    Technologieneutraler Ansatz und „Substance over Form“ Grundsatz zur Bestimmung des einschlägigen Regulierungsregimes

                    Einen Entwurf für die insofern zu erarbeitenden Leitlinien hatte die ESMA bereits im Januar 2024 veröffentlicht. Die ESMA hatte den Marktteilnehmern die Möglichkeit eingeräumt, bis Ende April zu ihrem Entwurf Stellung zu nehmen. Die finalen Leitlinien muss die ESMA bis zum 30. Dezember 2024 veröffentlicht haben, mithin bis zum Tag der vollständigen Anwendbarkeit der MiCAR. Für die Auslegung stellt die ESMA in ihrem Konsultationsentwurf zunächst klar, dass die Frage der Einordnung eines Token als Finanzinstrument in jedem Fall technologieneutral erfolgen soll. Die Art und Weise der Tokenisierung und die technische Ausgestaltung stehen damit im Hintergrund. Entscheidend sollen vielmehr die mit den Token verbundenen Eigenschaften, das Design und Rechte sein. Dieser „Substance over Form“ Ansatz, der sich auch in Erwägungsgrund 14 der MiCAR wiederfindet, stellt nach Ansicht der ESMA klar, dass die Bestimmung der Rechtsnatur eines Token als MiCAR oder MiFID2 Produkt sich nicht an der technischen Hülle des Produkts entscheiden darf. Für die rechtliche Praxis wird die technische Ausgestaltung jedoch trotzdem relevant sein. Denn sie wird trotz allem im Rahmen der Prüfung eine Rolle spielen, ob ein Produkt überhaupt einen Kryptowert im Sinne der MiCAR darstellt. Nur dann kann im zweiten Schritt geprüft werden, ob dieser Kryptowert nach seiner Substanz ein MiFID2 Produkt darstellt.

                    Wann können Token als übertragbares Wertpapier nach MiFID2 eingeordnet werden?

                    Finanzinstrumente im Sinne der MiFID2 Regulierung sind insbesondere übertragbare Wertpapiere. Hinter dem Begriff verbergen sich vor allem Anleihen, Aktien und sonstige Wertpapiere etwa zur Einbettung von Derivaten. MiFID2 selbst stellt zur Definition eines übertragbaren Wertpapiers drei Tatbestandsmerkmale auf, die ein Produkt zur Einordnung als übertragbares Wertpapier erfüllen muss. Zunächst muss das Produkt Teil einer „Kategorie“ sein. Gemeint ist damit, dass das Produkt Bestandteil einer Gesamtemission sein muss, was letztlich seine Austauschbarkeit und damit auch seine Handelbarkeit am Kapitalmarkt begründet. Letztere ist zweite Voraussetzung für das Vorliegen eines übertragbaren Wertpapiers. Die ESMA will darunter nicht nur klassische Wertpapierbörsen und regulierte Märkte verstehen, sondern ebenso wie in Deutschland auch die BaFin alle Handelsplätze, auf denen entsprechende Produkte gehandelt werden können. Schließlich darf es sich bei dem Produkt nach der in MiFID2 enthaltenen Definition nicht um ein Zahlungsinstrument handeln. Sind diese Voraussetzungen erfüllt, sollen Token nach der ESMA als übertragbare Wertpapiere eingeordnet werden und damit der MIFID2 Regulierung unterfallen. Die Bestimmungen der MiCAR sind auf solche Token dann nicht anwendbar, obwohl sie zugleich die Definition eines Kryptowerts nach der MiCAR erfüllen.

                    Rechtsanwalt Lutz Auffenberg, LL.M. (London)

                    I.  https://fin-law.de

                    E. info@fin-law.de

                    Zuständiger Anwalt für die Beratung zur rechtlichen Einordnung von Token in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                    Newsletter abonnieren

                      Kontakt

                      info@fin-law.de

                      Juni 03, 2024

                      Schwarmfinanzierungen – Welche Möglichkeiten gibt es?

                      Das Phänomen der Schwarmfinanzierung – auch neudeutsch als „Crowdfunding“ bezeichnet – ist als Möglichkeit der Kapitalbeschaffung an den Finanzmärkten nicht mehr wegzudenken. Insbesondere im Bereich der Finanzierung von Immobilienprojekten erfreut sich die Schwarmfinanzierung ungebrochener Beliebtheit. Vereinfacht gesagt wird hierbei von einer größeren Gruppe von Menschen Geld, häufig kleinere Beträge, für Projekte oder Unternehmen über eine Internet-Plattform eingesammelt. Hierbei ist für die Unternehmen, die eine Finanzierung mittels Schwarmfinanzierung anstreben nicht nur die eigentliche Mittelbeschaffung interessant, sondern auch die mediale Aufmerksamkeit, die mithilfe von Schwarmfinanzierungen umgesetzte Projekte immer wieder auf sich ziehen. In Deutschland ist die Schwarmfinanzierung auf nationaler Ebene im Vermögensanlagengesetz (VermAnlG) geregelt. Auf europäischer Ebene regelt seit dem 10. November 2021 die European Crowdfunding Service Provider Regulation (ECSPR) (EU) 2020/1503 die Schwarmfinanzierung. Aber in welchen Konstellationen ist welches Regelungsregime anwendbar und welche Produkte dürfen wie vertrieben werden?

                      Grundsätzlich geht die ECSPR dem VermAnlG vor

                      Der deutsche Gesetzgeber hat im VermAnlG den Vorrang der ECSPR für Angebote mit einem Gegenwert von bis zu EUR 5.000.000, gerechnet über 12 Monate, festgelegt. Die ECSPR findet damit immer vorrangig Anwendung, wenn über eine gemäß der ECSPR zugelassene Schwarmfinanzierungsplattform ein Angebot von in der Verordnung erfassten Produkten unterbreitet wird. Diese Produkte umfassen insbesondere Finanzprodukte, die überwiegend nicht als Vermögensanlagen einzuordnen sind. Das sind insbesondere Wertpapiere und nicht nachrangige Kredite. Gerade bei den in Deutschland beliebten Nachrangdarlehen fehlt es an der von der ECSPR vorausgesetzten Unbedingtheit des Rückzahlungsanspruches. Sie sind somit keine tauglichen Produkte für den Vertrieb unter der ECSPR. Dies jedenfalls dann nicht, wenn es sich um Darlehen mit einem qualifizierten Rangrücktritt handelt. Diese Nachrangdarlehen fallen also, wenn sie im Wege der Schwarmfinanzierung in Deutschland begeben werden sollen, auch weiterhin unter den Anwendungsbereich des VermAnlG und profitieren insofern auch von den Erleichterungen, die das VermAnlG für solche Begebungen vorsieht.

                      Welche Voraussetzungen in Bezug auf die Dokumentation müssen für die Begebung einer Schwarmfinanzierung erfüllt sein?

                      Inhaltlich verpflichtet die ECSPR den Schwarmfinanzierungsdienstleister – also den Betreiber der Internet-Plattform, über die die Begebung durchgeführt wird – dazu, die geregelten Schwarmfinanzierungsdienstleistungen nur auf der Grundlage einer Zulassung nach der ECSPR anzubieten und ordnet an, dass sie der laufenden Aufsicht durch die BaFin unterliegen. Die Verordnung setzt damit anders als die nationalen Regelungen des VermAnlG nicht beim Emittenten bzw. Anbieter und der Hinterlegung von Transparenzdokumenten an, sondern bei dem Betreiber der Internet-Plattform. Dieser ist als zugelassener Schwarmfinanzierungsdienstleister nach der ECSPR dazu verpflichtet, die notwendige Dokumentation für jede von ihm angebotene Schwarmfinanzierung – das sogenannte Anlagebasisinformationsblatt (ABIB) – auf Vollständigkeit, Richtigkeit und Klarheit zu überprüfen und etwaige Mängel beim Projektträger, der für die Erstellung des maximal 6 DIN-A-4 Seiten langen ABIB verantwortlich ist, zu monieren und auf eine Berichtigung hinzuwirken. Demgegenüber muss bei einer Begebung nach dem VermAnlG von z.B. einem Nachrangdarlehen der Emittent oder Anbieter einer Schwarmfinanzierung ein maximal 3 DIN-A-4 Seiten langes Vermögensanlagen-Informationsblatt erstellen und bei der BaFin hinterlegen. Bei Vorliegen der entsprechenden Zulassungen ist es öglich, gleichzeitig sowohl Schwarmfinanzierungen nach ECSPR als Schwarmfinanzierungsdienstleister und als Betreiber einer Internet-Dienstleistungsplattform im Sinne des VermAnlG anzubieten. Natürlich lassen sich die nach dem VermAnlG begebenen Schwarmfinanzierungen nicht im europäischen Ausland anbieten. Diese Möglichkeit besteht unter gewissen Voraussetzungen jedoch für die nach ECSPR begebenen Schwarmfinanzierungen.

                      FIN LAW

                      I.  https://fin-law.de

                      E. info@fin-law.de

                      Newsletter abonnieren

                        Kontakt

                        info@fin-law.de

                        Mai 27, 2024

                        Reverse Solicitation – Gilt die MiCAR auch für Kryptodienstleister aus Drittstaaten?

                        Ab dem 30. Dezember 2024 werden Kryptodienstleister in Europa nur mit MiCAR Lizenz Kryptodienstleistungen erbringen dürfen. Bereits jetzt müssen sich die betroffenen Unternehmen auf die Geltung der neuen Regeln vorbereiten und sicherstellen, dass sie ihre Kryptodienstleistungen künftig auch auf Grundlage der dann erforderlichen Zulassungen und unter Einhaltung aller sie erfassenden Compliancepflichten anbieten können. Die MiCAR wird für europäische Kryptodienstleister aber auch Vorteile mit sich bringen. Insbesondere wird der europäische Kryptomarkt unter der Geltung der MiCAR keinen regulatorischen Flickenteppich mehr darstellen. Die vereinheitlichte Beaufsichtigung der Kryptodienstleister in Europa bringt mit sich, dass auch die Möglichkeit eines Passportings bestehen wird. Kryptodienstleister können somit unter der MiCAR eine ihnen in einem Mitgliedstaat erteilte MiCAR Lizenz auch in anderen Mitgliedstaaten der EU für die Erbringung nutzen, ohne dort eine weitere Zulassung einholen zu müssen, wenn sie dafür ein vergleichsweise einfaches Notifizierungsverfahren mit der Aufsichtsbehörde des Ziellandes durchlaufen haben. Aber wie stellt sich die neue aufsichtsrechtliche Situation unter MiCAR für Kryptodienstleister aus Drittstaaten dar? Wird es ihnen möglich sein, ohne MiCAR Zulassung europäische Kunden zu bedienen, solange sie nicht aktiv um solche Kunden werben?

                        Passive Dienstleistungsfreiheit soll unter MiCAR sehr stark eingeschränkt werden

                        Zwar sieht die MiCAR die Möglichkeit der Erbringung von Kryptodienstleistungen für Unternehmen aus Drittstaaten ohne MiCAR Lizenz ausdrücklich für den Fall vor, dass die Inanspruchnahme der Dienstleistung ausschließlich auf Betreiben des Kunden ohne Zutun des Unternehmens zustande kommt. Die mit der Konkretisierung der Vorschrift beauftragte ESMA hat jedoch in ihrem im Januar 2024 veröffentlichten Konsultationspapier klargestellt, dass diese Ausnahmevorschrift sehr restriktiv ausgelegt werden soll. Die ESMA betont, dass es sich bei der aus Ausnahme vom Grundsatz des Erlaubnisvorbehalts ausgestalteten sog. Reverse Solicitation eigentlich um ein Verbot zur aktiven Kundenansprache handele, das nur in sehr engen Grenzen unlizenzierten Unternehmen aus Drittstaaten die Möglichkeit einräumen soll, Kunden aus Europa in Einzelfällen zu bedienen, wenn die Geschäftsanbahnung auf Initiative des Kunden erfolgt. Die ESMA führt weiter aus, dass die nationale zuständigen Aufsichtsbehörden im Rahmen der Auslegung der Vorschrift zur passiven Dienstleistungsfreiheit berücksichtigen sollen, dass Kryptodienstleister aus Drittstaaten versuchen werden, systematisch Kryptodienstleistungen auf der Grundlage der Ausnahme für Reverse Solicitation in Europa anzubieten. Diese Möglichkeit sollte nach Auffassung der EMSA durch die Auslegung der Vorschrift nicht eingeräumt werden.

                        Zulässige Reverse Solicitation soll nach EMSA kein Freischein für unlizenzierte Kryptodienstleistung sein

                        Die ESMA schränkt deshalb die Möglichkeit der Reverse Solicitation unter MiCAR in ihrem Konsultationspapier noch weiter ein, indem sie klarstellt, dass Kryptodienstleister aus Drittstaaten ihre Leistungen auf der Basis der Ausnahme nur in einem sehr kurzen Zeitfenster erbringen dürfen. Insbesondere soll ihnen im Fall einer zulässigen Dienstleistungserbringung aufgrund der Erfüllung aller Voraussetzungen der passiven Dienstleistungsfreiheit nicht gestattet sein, dem so gewonnenen Kunden weitere Kryptodienstleistungen anzubieten. Diese Einschränkung sieht der Ausnahmetatbestand in der MiCAR zur Reverse Solicitation selbst ausdrücklich vor. Die Möglichkeiten für Unternehmen aus Drittstaaten, europäische Kunden zu bedienen werden damit unter Geltung der MiCAR auf ein Minimum begrenzt. Für Kryptodienstleister aus nicht-EU-Staaten bedeutet dies, dass sie entweder über eine Zweigniederlassung in Europa eine MiCAR Lizenz erwerben oder aber interne Prozesse zur Behandlung von Kunden aus Europa schaffen sollten. Als Alternative bliebe ihnen nur die ausnahmslose Nichtannahme von europäischen Kunden, um das Risiko der Erbringung unerlaubter Kryptodienstleistungen zu umgehen.

                        Rechtsanwalt Lutz Auffenberg, LL.M. (London)

                        I.  https://fin-law.de

                        E. info@fin-law.de

                        Zuständiger Anwalt für die Beratung zur Inanspruchnahme der MiCAR Ausnahme zur passiven Dienstleistungsfreiheit für Kryptodienstleister aus Drittstaaten in unserer Kanzlei ist Rechtsanwalt Lutz Auffenberg, LL.M. (London).

                        Newsletter abonnieren

                          Kontakt

                          info@fin-law.de

                          to top