REGULIERUNG im
REGULIERUNG im Nicht-Finanzsektor auf Länderebene führen. In diesem Jahr soll das Gesetzgebungsverfahren eröffnet werden, und ab 2025 soll die neue Bundesoberbehörde errichtet sein. Um Sanktionen in Zukunft konsequenter umsetzen zu können, ist seit Januar 2023 zudem das Sanktionsdurchsetzungsgesetz II anwendbar. Durch dieses Gesetz werden die Vermögensermittlungs- und Sicherstellungsbefugnisse der Länder auf die neue „Zentralstelle für Sanktionsdurchsetzung“ des Bundes übertragen. Außerdem werden künftig die Vermögenswerte sanktionierter Personen und Personengesellschaften in einem Register erfasst. In dieses Register werden auch Basisdaten aus Grundbüchern aufgenommen. Bankenunion Der EU-Rat hat im November 2022 seinen Standpunkt („Allgemeine Ausrichtung“) zu den Änderungsvorschlägen der Kommission zum Entwurf der CRD6 und CRR3 und damit zur Umsetzung der Basel3-Reformen veröffentlicht. Im Grundsatz folgt der EU-Rat den Vorschlägen der Kommission (vgl. dazu auch die bank Nr. 02|2022). Der Rat schlägt jedoch technische Verbesserungen in den Bereichen Kredit-, Markt- und operationelles Risiko sowie Regelungen zur Verhältnismäßigkeit für kleine Banken vor, insbesondere in Bezug auf die Offenlegungspflichten. Daneben sieht der Rat in Bezug auf die Begrenzung der Variabilität der Eigenkapitalausstattung der Banken, die anhand interner Modelle über den sogenannten Output-Floor berechnet wird, vor, dass die Begrenzung sowohl auf Ebene der Bankengruppe als auch auf der Ebene jeder einzelnen Bank gilt. Es soll den Mitgliedsstaaten jedoch freistehen, für Unternehmen in ihrem Land den Output Floor lediglich auf der höchsten Konsolidierungsebene anzuwenden. Daneben hat der Rat die Kommissionsvorschläge bezüglich der fachlichen Qualifikation und der Zuverlässigkeit zur Bewertung der Eignung von Mitgliedern der Leitungsorgane von Unternehmen und Inhabern von Schlüsselfunktionen überarbeitet und nationalen Besonderheiten Rechnung getragen. Ebenso wurde für Mitarbeiter und Mitglieder der Führungsorgane der zuständigen Behörden ein gezielterer Rahmen für Karenzzeiten festgelegt, bevor sie Funktionen in beaufsichtigten Instituten übernehmen können. An den weitreichenden Vorschlägen der Kommission zur Harmonisierung des Regimes für Drittstaaten-Zweigniederlassungen (Third Country Branches, TCBs) hält der Rat im Grundsatz fest. Im Ergebnis gewähren die Änderungsvorschläge des Rats den Mitgliedsstaaten jedoch mehr Gestaltungsspielraum, was dazu führen würde, dass in Deutschland das bisherige Regime wohl unverändert beibehalten bleiben könnte. Nach dem bisherigen Vorschlag der Kommission sollen TCBs bei der Erbringung von Bankgeschäften und Finanzdienstleistungen (weiterhin) einer Zulassungspflicht unterliegen, wobei die Voraussetzungen für die Erlaubnispflicht EU-weit harmonisiert werden, ohne dass die Möglichkeit nationaler Freistellungsregeln bestehen soll. Eine erlaubnisfreie Erbringung von regulierten Dienstleistungen aus einem Drittstaat wäre insofern nur noch im Rahmen der „passiven Dienstleistungsfreiheit“ möglich. Nach Auffassung des Rats sollen die Regelungen zu TCBs hingegen lediglich zu einer Mindestharmonisierung führen. Bei grenzüberschreitender Erbringung von Dienstleistungen aus Drittstaaten sollen Institute insbesondere nicht verpflichtet werden, TCBs zu gründen. Stattdessen wird die Kommission aufgefordert, bis Ende 2025 einen Bericht über Risiken grenzüberschreitender Geschäfte vorzulegen. Mitgliedsstaaten soll es zudem erlaubt sein, auf TCBs die Regelungen der CRD und CRR vollständig anzuwenden, d. h. sie als Tochterinstitute zu behandeln und hiervon eigene Ausnahmen festzulegen. In Deutschland könnte es daher insbesondere bei der Regelung des § 53 KWG bleiben. TCBs soll es auch weiterhin erlaubt sein, Geschäfte in anderen EU-Mitgliedsstaaten zu tätigen, sofern diese im Rahmen der Reverse Solicitation oder für die Zwecke der gruppeninternen Liquidität erbracht werden. Für 2023 wird erwartet, dass die Trilog-Verhandlungen angesetzt werden. Bereits zum Jahresbeginn hat das Gesetzgebungsverfahren aber neuen Schwung erhalten, da der Ausschuss für Wirtschaft und Währung (ECON) am 25. Januar über seine Änderungsvorschläge abgestimmt hat. Insbesondere was die Errichtung von TCBs angeht, ist der Vorschlag des ECON näher am Standpunkt der Kommission ausgerichtet: So soll die Verpflichtung zur Gründung von TCBs für Drittstaatsinstitute bestehen bleiben, es sei denn, die Aktivitäten werden im Rahmen der passiven Dienstleistungsfreiheit angeboten, gegenüber einem CRR-Kreditinstitut oder gegenüber einem gruppenangehörigen Unternehmen erbracht. TCBs sollen daneben ihre Dienstleistungen nicht erbringen dürfen, bevor nicht die zuständigen Behörden des Aufnahmemitgliedsstaats und des Drittstaats mit der EBA ein Memorandum of Understanding abgeschlossen haben, das einen Kooperationsrahmen und den Informationsaustausch regelt. Das Europäische Parlament wird voraussichtlich in seiner nächsten Plenarsitzung über das Bankenpaket abstimmen. Im Anschluss finden die Trilog-Verhandlungen zwischen Kommission, Rat und Parlament statt. Der Abschluss des Gesetzgebungsverfahrens ist aktuell noch ungewiss. Die Verordnung (EU) 2022/2036 („Daisy-Chain“-Verordnung) ist als Teil des Bankenpakets im November 2022 teilweise in Kraft getreten. Sie bezweckt die Verbesserung der Abwicklungsfähigkeit eines Instituts u. a. dadurch, dass die Behandlung global systemrelevanter Institutsgruppen an den TLAC-Standard angeglichen werden soll und ergänzt die bestehenden Vorschriften der CRR und BRRD (2014/59/ EU). Änderungen an der BRRD in Bezug auf die indirekte Zeichnung interner MREL-fähiger Instrumente innerhalb von Abwicklungsgruppen sind bis zum 15. November 2023 in nationales Recht zu implementieren. DORA 2023 werden sich Finanzinstitute auf die Implementierung der Anforderungen vorbereiten müssen, die durch den Digital Operational Re- 52 02 | 2023
REGULIERUNG silience Act (DORA) eingeführt wurden. Das aus einer Richtlinie und Verordnung bestehende Maßnahmenpaket der Kommission wurde erstmals im Rahmen der Digital-Finance-Strategie im September 2020 veröffentlicht, nach langwierigen Verhandlungen im November 2022 förmlich angenommen und am 27. Dezember 2022 im Amtsblatt verkündet. DORA wird 24 Monate nach Inkrafttreten anwendbar sein. Die Finalisierung von zahlreichen Level-2-Maßnahmen steht allerdings noch aus. DORA zielt darauf ab, vor dem Hintergrund zunehmender Digitalisierung und Vernetzung einen einheitlichen Rahmen vorzugeben, um den Finanzsektor mit Hinblick auf Risiken im Bereich der Informations- und Kommunikationstechnologie (IKT) und Cyber-Bedrohungen widerstandsfähiger und die Aufsicht diesbezüglich effektiver zu machen. In den Anwendungsbereich der DORA fallen zahlreiche Finanzunternehmen, darunter Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen und Anbieter von Krypto-Dienstleistungen. Darüber hinaus gilt DORA auch für bestimmte IKT-Diensteanbieter. Betreiber von Zahlungssystemen fallen nicht in den Anwendungsbereich, der aber grundsätzlich weit gefasst ist und daher durch das Proportionalitätsprinzip korrigiert wird. Je nach Größe des Unternehmens gelten unterschiedliche Anforderungen, sodass z. B. Kleinunternehmen grundsätzlich aus dem Anwendungsbereich der Verordnung fallen. Daneben sollen Finanzinstitute, die IKT-Dienstleistungen für andere Finanzinstitute erbringen, nicht per se aus dem Anwendungsbereich fallen, allerdings werden sie von dem „Oversight Regime“ befreit, das grundsätzlich auf IKT-Dienstleister Anwendung findet. Dasselbe gilt für gruppenintern erbrachte IKT-Dienstleistungen, die nicht automatisch als weniger risikoreich angesehen werden. Durch DORA wird das Meldesystem für IKT- und Cyber-Sicherheitsvorfälle harmonisiert. Alle in der EU ansässigen Finanzinstitute müssen schwerwiegende IKT-bezogene Vorfälle an ihre Finanzaufsichtsbehörde melden. Um potenziell doppelte Meldepflichten für Zahlungsdienstleister, die auch in den Anwendungsbereich der DORA fallen, zu vermeiden, entfällt künftig die Verpflichtung zur Meldung von Sicherheitsvorfällen nach der PSD2 (§ 54 ZAG). Alle operationellen oder sicherheitsrelevanten Vorfälle im Zahlungsverkehr werden künftig im Rahmen von DORA gemeldet, unabhängig davon, ob sie IKT-bezogen sind oder nicht. Auch die Kunden der Finanzinstitute müssen von dem betroffenen Unternehmen über IKT-Vorfälle informiert werden. Darüber hinaus ist nun das Verhältnis von DORA zur NIS-Richtlinie (Richtlinie 2016/1148/ EU) geklärt, die das erste horizontale Cyber-Security-Regime auf EU-Ebene einführte und im Finanzsektor von Kreditinstituten, Handelsplattformen und Zentralen Gegenparteien zu beachten ist. Die überarbeitete NIS-Richtlinie, die ebenfalls zeitgleich mit DORA in Kraft getreten ist, wird im Fall von überlappenden Regelungen künftig hinter DORA zurücktreten. Die zuständigen Behörden sind jedoch zu einem weiteren Informationsaustausch verpflichtet. Neben der Verpflichtung zur Einrichtung eines umfassenden IKT-Risikomanagements ist vorgesehen, dass Finanzunternehmen ihre operationelle Widerstandfähigkeit regelmäßig testen, um Schwachstellen und Sicherheitslücken frühzeitig zu erkennen und zu beheben. Zusätzlich müssen bestimmte systemrelevante Institute mindestens alle drei Jahre bedrohungsorientierte 02 | 2023 53
