Den 14. September 2019 haben sich viele Fintechs dick rot im Kalender markiert: An diesem Tag tritt die Zahlungsdiensterichtlinie PSD2 in Kraft. Banken in der EU müssen Drittanbietern den Zugang zu ihren Konten im Echtbetrieb gewährleisten und dafür entsprechende Schnittstellen (API) bereitstellen. Doch Vorsicht: Die regulatorischen Einlasskontrollen ins Open Banking sind nicht ohne. Fintechs sollten sich schnell mit Begriffen wie OpRisk Loss Database, IT-Notfallsystem und IKS befassen.
Viele Akteure in der Finanzwelt sprechen bereits von einer neuen Ära des Open Bankings und der digitalen Transformation im Bankengeschäft. Ob der PSD2-Start im September tatsächlich eine Revolution im elektronischen Zahlungsverkehr in Gang setzt, wird man sehen. Die gesetzlich vorgeschriebene Testphase läuft bereits seit März. Laut BaFin hatten sich in Deutschland zu diesem Zeitpunkt rund 30 Anbieter um eine Erlaubnis beworben.
Die technischen Einstiegsanforderungen sind vergleichsweise gering: Nicht zu unterschätzen sind dagegen die großen regulatorischen Hürden, die Fintechs und andere Unternehmen überwinden müssen, wenn sie Zahlungsauslösedienste (ZAD) oder Kontoinformationsdienste (KID) anbieten wollen. Diese drehen sich im Wesentlichen um das Risikomanagement, speziell um den Umgang mit IT- und operationellen Risiken.
Lizenz oder Registrierung: Das verlangt die BaFin
ZAD- und KID-Anbieter müssen nun ihre Hausaufgaben machen, um diese umfangreichen regulatorischen Voraussetzungen erfüllen zu können. Die Anforderungen der Bankenaufsicht je nach Geschäftsmodell unterscheiden sich nur leicht.
Fintechs die Zahlungsauslösedienste (ZAD) anbieten, müssen über eine Erlaubnis der BaFin verfügen und eine entsprechende Lizenz beantragen. Unternehmen, die nur Kontoinformationsdienste (KID) anbieten, müssen sich zumindest bei der BaFin registrieren lassen. Beide Anbieter durchlaufen jedoch ein Zulassungsverfahren der Aufsichtsbehörde. Das kann je nach Komplexität des Antrags mehrere Monate in Anspruch nehmen.
Ob ZAD oder KID: Um rechtzeitig PSD2-konform zu sein, müssen folgende Voraussetzungen im Rahmen der Antragstellung nachgewiesen werden:
- Beschreibung des Geschäftsmodells
- Businessplan, Satzung und Gesellschaftsvertrag
- Rechtsform und Aufbauorganisation
- Nachweis zuverlässiger und fachlich geeignete Geschäftsleiter (Fit & Proper Test)
- Beschreibung der Unternehmenssteuerung
- Sicherheitsstrategie inklusive einer detaillierten Risikobewertung
- Verfahrensbeschreibungen zu Erfassung, Überwachung, Rückverfolgung und Beschränkung des Zugangs zu sensiblen Zahlungsdaten
- Verfahrensbeschreibungen zum Umgang mit bzw. zur Prävention von Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden
- Maßnahmen zur Geldwäscheprävention
- Beschreibung von Regelungen zur Geschäftsfortführung im Krisenfall
- Absicherung im Haftungsfall (Betriebshaftpflicht oder gleichwertige Garantie)
Zusätzlich zu diesen Punkten müssen die (erlaubnispflichtigen) Zahlungsdiensteanbieter folgende Voraussetzungen erfüllen und im Rahmen des Antragsverfahrens nachweisen:
- Nachweis eines Anfangskapitals von mind. 50.000 € und
- Nachweis eines Abschlussprüfers
- Kontrolle des Firmeninhabers
- Kontrollmechanismen zur Erfüllung der Anforderungen gem. §§ 27 und 53 ZAG
- Erfassung statistischer Daten zur Leistungsfähigkeit, Geschäftsvorgängen und Betrugsfällen
Fintechs müssen Profis im Risikomanagement werden
Der Teufel steckt im juristischen Detail, vor allem im Zahlungsdiensteaufsichtsgesetz (ZAG). § 27 ZAG fordert von den Zahlungsdiensteanbietern ein umfassendes Internes Kontrollsystem (IKS). Hinter diesen vermeintlich harmlosen drei Buchstaben verbergen sich unter anderem ein IT-Notfallkonzept, Datenverarbeitungssysteme zur Einhaltung des Geldwäschegesetzes und die Pflicht zum Führen einer Verlustdatenbank (OpRisk Loss Database). Die wenigsten Fintechs werden hier von Haus aus ausreichend vorbereitet sein.
Banken kennen diese Vorschriften dagegen zu Genüge. Sie wissen, in Bezug auf das Risikomanagement nimmt es die Aufsicht sehr genau. So verlangt § 53 ZAG zur „Beherrschung operationeller und sicherheitsrelevanter Risiken“ explizit Risikominderungsmaßnahmen und Kontrollmechanismen und ein mindestens jährliches Reporting dieser Risiken an die Aufsichtsbehörden.
Es gibt Fintechs, die sich diesen Aufwand nicht antun wollen. Ihr Plan: Sie nutzen die ZAD- oder KAD-Erlaubnis anderer Anbieter gegen Gebühr. Figo, FinAPI und Fintecsystems sollen beispielsweise zu diesen beaufsichtigten Firmen gehören. Die Strategie hat allerdings ihre Tücken: Nutzer der Drittanbieter begeben sich in eine starke Abhängigkeit zu anderen Fintechs. Darüber hinaus verschieben sie das Unvermeidliche nur in die Zukunft. Denn die Häufung von IT-Risiken und operationellen Risiken wie der florierende Handel mit illegalen Konten werden die Aufmerksamkeit der Regelhüter auf Betrugsrisiken in Zusammenhang mit Geldwäsche und Terrorfinanzierung weiter verstärken.
Ohne Risikomanagement geht es nicht
Das bedeutet: Ein BaFin-konformes Risikomanagement ist eine notwendige Investition in die Zukunft – auch abseits von PSD2. Fintechs, die sich früh mit der Materie Operational Risk Management und Umsetzung regulatorischer Anforderungen befassen und Fakten schaffen, werden ihre Vorteile gegenüber Nachzüglern haben. Die hoch gelobte agile Organisation der Fintech-Szene kann nun ihre Stärken bei der schnellen Umsetzung von Compliance ausspielen. Aus unangenehmen Pflichten werden so Chancen. Diese Erkenntnis sollte in der Start-up-Kultur nachzuvollziehen sein.