PSD2 legt für Zahlungsauslöse- und Kontoinformationsdienstleister regulatorische Einlasskontrollen fest. FinTechs benötigen ein BaFin-konformes IT-Risk- und Operational Risk-Management. Sie sollten die Pflicht zur Kür machen und ihre Agilität als Vorteil nutzen.
Risikomanager sind gerade schwer gefragt. Der Grund: Am 14. September dürfen Anbieter so genannter Zahlungsauslösedienste (ZAD) oder Kontoinformationsdienste (KID) gemäß Zahlungsdiensterichtlinie PSD2 mit Erlaubnis der Kunden auf deren Online-Konten zugreifen. Banken müssen diesen Drittunternehmen über API-Schnittstellen Einlass gewähren. Von dieser Öffnung versprechen sich die Macher der Richtlinie mehr Wettbewerb bei Online-Angeboten rund um das Thema Bezahlen.
Frei von Bedingungen ist der Kontozugang jedoch nicht. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) will die neuen Anbieter nicht besserstellen als Banken und verlangt deshalb von den ZAD und KID, dass sie bestimmte Regulierungsanforderungen erfüllen. Nach dem Prinzip „gleiche Geschäfte, gleiche Regeln“ müssen auch FinTechs, die Zahlungsauslösedienste und Kontoinformationsdienste anbieten wollen und dafür gemäß PSD2-Richtlinie per API-Zugang auf Kontoinformationen zugreifen, ein Risikomanagement insbesondere für IT-Risiken und operationelle Risiken nachweisen.
Risk Management ist ungewohntes Terrain für FinTechs
Sehr zum Leidwesen der Start-ups. Die auf agil getrimmten Unternehmen wollen sich damit eher nicht beschäftigen. Die Gründer und Mitarbeiter sind meist junge, technikaffine Menschen und die Unternehmen weisen flache Hierarchien auf. Da passen starre Regularien mit festen Rollen und Prozessen naturgemäß nicht oder nur schwer hinein. Ein umfassendes Risikomanagement wird eher als Bremse und Ballast wahrgenommen.
Dennoch sind sich FinTechs bewusst, dass sie nachlegen müssen, wenn sie im September die medial heraufbeschworene neue Open-Banking-Ära bei Zahlungsdiensten einläuten wollen. Das lässt sich erkennen, wenn man die Stellenausschreibungen der einschlägigen FinTechs und Challenger-Banken durchscannt: Fast überall finden sich Jobangebote für Risikomanager. Aus Bankkreisen erfährt man, dass Risk-Management-Experten mit einschlägigem MaRisk-, OpRisk-und KWG-Know-how schwer umworben werden.
Institute neueren Baujahrs sind mittlerweile in puncto Risikomanagement solide aufgestellt. Unternehmen vom Kaliber Solaris und N26 sind durch ihre Vollbanklizenz ohnehin schon länger gezwungen, Experten für Geldwäscheprävention, Compliance, Datenschutz sowie Risikomanager zu beschäftigen, die sich gut mit operationellen und IT-Risiken auskennen.
BaFin verlangt Lizenz oder Registrierung
Für kleinere FinTechs mit dem Ziel, ZAD oder KID anzubieten, ist es dagegen schwerer, nun in kurzer Zeit Kompetenz auf den Gebieten des Risikomanagements aufzubauen. Die Bedingungen haben es in sich:
- Zahlungsauslösedienste müssen über eine Erlaubnis der BaFin verfügen und eine entsprechende Lizenz beantragen.
- Unternehmen, die nur Kontoinformationsdienste (KID) anbieten, müssen sich zumindest bei der BaFin registrieren lassen.
Beide Anbieter durchlaufen ein Zulassungsverfahren der Aufsichtsbehörde. Das kann je nach Komplexität des Antrags mehrere Monate in Anspruch nehmen.
Um rechtzeitig PSD2-konform zu sein, müssen ZAD und KID folgende Voraussetzungen im Rahmen der Antragstellung nachweisen:
- Beschreibung des Geschäftsmodells
- Businessplan, Satzung und Gesellschaftsvertrag
- Rechtsform und Aufbauorganisation
- Nachweis zuverlässiger und fachlich geeigneter Geschäftsleiter (Fit & Proper Test)
- Beschreibung der Unternehmenssteuerung
- Sicherheitsstrategie inklusive einer detaillierten Risikobewertung
- Verfahrensbeschreibungen zu Erfassung, Überwachung, Rückverfolgung und Beschränkung des Zugangs zu sensiblen Zahlungsdaten
- Verfahrensbeschreibungen zum Umgang mit bzw. zur Prävention von Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden
- Maßnahmen zur Geldwäscheprävention
- Beschreibung von Regelungen zur Geschäftsfortführung im Krisenfall
- Absicherung im Haftungsfall (Betriebshaftpflicht oder gleichwertige Garantie)
Zusätzlich zu diesen Punkten müssen die (erlaubnispflichtigen) Zahlungsdiensteanbieter folgende Voraussetzungen erfüllen und im Rahmen des Antragsverfahrens nachweisen:
- Nachweis eines Anfangskapitals von mind. 50.000 €
- Nachweis eines Abschlussprüfers
- Kontrolle des Firmeninhabers
- Kontrollmechanismen zur Erfüllung der Anforderungen gem. §§ 27 und 53 ZAG
- Erfassung statistischer Daten zur Leistungsfähigkeit, zu Geschäftsvorgängen und Betrugsfällen
Internes Kontrollsystem für FinTechs
Speziell der § 27 Zahlungsdiensteaufsichtsgesetz (ZAG) fordert von den Zahlungsdiensteanbietern ein umfassendes internes Kontrollsystem (IKS). Hinter diesen drei Buchstaben verbergen sich unter anderem ein IT-Notfallkonzept, Datenverarbeitungssysteme zur Einhaltung des Geldwäschegesetzes und die Pflicht zum Führen einer Verlustdatenbank (OpRisk Loss Database). Die wenigsten FinTechs werden hier von Haus aus ausreichend vorbereitet sein.
Operationelle Risiken sind beispielsweise IT-Risiken wie Cyberattacken, Datendiebstahl, das Versagen der betroffenen Dienste durch Serverausfälle, aber auch Risiken wie Betrug und Geldwäsche. BaFin-Prüfer werden genau hinschauen, dass alle Anbieter ein funktionierendes Know-Your-Customer-Verfahren einführen sowie ein Monitoring der Transaktionen. Der Handel mit illegalen Konten, der medial für viel Wirbel gesorgt hat, wird die Aufmerksamkeit der Aufsicht auf Betrugsrisiken, insbesondere in Zusammenhang mit Geldwäsche und Terrorfinanzierung, weiter verstärken.
Das bedeutet: Die Regulierung der neuen Finanzdienstleister wird eher zunehmen, und gerade junge Unternehmen mit wenig Reputation im Markt können sich Schadenfälle nicht leisten, insbesondere, wenn darüber auch noch in der Presse berichtet wird. Funktionieren ihre Apps nicht oder sind sie nicht sicher, sind die Kunden sofort beim Wettbewerber nebenan.
Risikomanagement als Kostensparen begreifen
Die gute Nachricht: Die Bankenaufsicht lässt den Betroffenen bei der Umsetzung des Risikomanagements viele Freiräume. Beim Managen der Risiken gilt das Prinzip der Proportionalität. Das heißt, der Umfang des Risikomanagements ist entsprechend der Komplexität des Geschäftsmodells und des Risikogehalts auszugestalten. Je höher das Risiko potenzieller Schäden, desto stärkere Kontrollen und Präventionsmaßnahmen verlangt die BaFin. Vorkehrungen sind somit Auslegungssache. Die wenigsten ZAD und KID werden zudem Full-Service-Anbieter sein; die meisten werden nur Teilgebiete im Zahlungsverkehr abdecken. Sie werden damit auch einen kleineren Risikomanagementapparat installieren müssen als Vollbanken.
Banken betreiben bereits reifere Risikomanagementsysteme. Viele Institute haben sich mit den vielen Regulierungen inzwischen arrangiert und aus der Not eine Tugend gemacht. Sie nutzen ihre Expertise dazu, Risiken effektiv und effizient zu managen, so dass sich der Aufwand unter dem Strich rechnet. Eine stetige Reduktion von operationellen Verlusten, weniger Kundenbeschwerden, eine hohe Kundenzufriedenheit und geringere administrative Kosten durch weniger Nacharbeiten bei Prozessen und IT-Systemen sind realisierbar.
Drei Schritte für den Aufbau eines internen Kontrollsystems
Der Aufbau eines internen Kontrollsystems (IKS) umfasst drei zentrale Schritte:
- Risikoinventur und Risikobewertung (Risk Assessment) durchführen
- Informationen aus Schadendatenbanken (OpRisk Loss Database) und Kundenbeschwerden auswerten und daraus zielgerechte Kontrollen implementieren
- Kontrollprozesse entwickeln und regelmäßig durchführen
Ein IKS ist als kontinuierlicher Prozess zu verstehen. Sämtliche Schritte sollten regelmäßig wiederholt werden, um das Risiko- und Kontrollprofil laufend zu verbessern.
Mittelfristig zahlt sich die gesammelte Risk-Management-Expertise aus. FinTechs, die sich früh mit der Materie des Operational-Risk-Managements und mit der Umsetzung entsprechender regulatorischer Anforderungen befassen, werden entscheidende Wettbewerbsvorteile gegenüber Nachzüglern haben. Die hoch gelobte agile Organisation der FinTech-Szene kann auch hier ihre Stärken bei der schnellen Umsetzung eines effektiven Risikomanagements ausspielen. Aus unangenehmen Pflichten werden so Chancen für eine nachhaltige und erfolgreiche Geschäftstätigkeit. Diese Erkenntnis sollte in der Start-up-Kultur nachzuvollziehen sein.