IT-Compliance bei FinTech-Investments – was zu beachten ist, wenn Banken bei FinTechs einsteigen

Etablierte Banken sehen in FinTechs, die mit neuen IT-gestützten Finanzmarktprodukten in den Markt eintreten, durchaus eine Chance zur Stärkung des eigenen Geschäftsmodells. Entsprechend stark ist das Interesse an der Entwicklung eigener FinTech-Produkte einerseits sowie an einem strategischen Investment in bereits bestehende FinTechs andererseits. Dr. Jörn Heckmann und Dr. Michael Kraus gehen der dabei notwendigen IT-Compliance auf den Grund.

von Dr. Jörn Heckmann, CMS
und Dr. Michael Kraus, CMS

FinTechs legen – wie alle Start-ups – ihren Schwerpunkt naturgemäß zunächst auf die Entwicklung des (FinTech-)Produkts, bei dem es sich in aller Regel um eine Software oder IT-gestützte Lösung handelt.

Die umfassende Prüfung der damit einhergehenden rechtlichen Fragestellungen wird dabei jedoch häufig aus Zeit- und Kostengründen niedriger priorisiert. Ein fataler Fehler.

Investition in FinTech-Produkte im Entwicklungsstadium

Befindet sich das FinTech-Produkt noch am Anfang der Entwicklung, stellt sich zunächst die Frage, inwieweit das Investment an einen Projektfortschritt geknüpft werden kann. Oder anders gewendet: Wie lässt sich sicherstellen, dass das FinTech-Produkt am Ende des Entwicklungsprozesses die Erwartungshaltung der Investoren trifft? Aus Investorensicht sollte beispielsweise die Vereinbarung von Erfolgskriterien (Meilensteine), deren Erreichen Voraussetzung für die Fortführung des Investments ist, als Mittel zum Risiko-Controlling in Erwägung gezogen werden. Allerdings ist eine derartige Meilensteinplanung selten mit kreativen Prozessen und Vorgehensmethoden zu vereinbaren, so dass der Weg zu einem erfolgreichen FinTech-Produkt oftmals in der Mitte zu finden sein wird.

Auch empfiehlt es sich zur Vermeidung aufwändiger Anpassungen an der IT-Systemarchitektur, möglichst frühzeitig im Entwicklungsstadium die Frage zu klären,…

… ob und inwieweit das FinTech-Produkt in bereits bestehende IT-Systeme (zum Beispiel in das Kernbanksystem einer Bank) integriert werden kann.”

Dies gilt vor allem dann, wenn das Investment der Ergänzung des eigenen Produkt- oder Prozessportfolios dienen soll.

Regulatorische Vorgaben für IT-Systeme

FinTech-Produkte und damit zusammenhängende Leistungen können – je nach Ausgestaltung – eine Erlaubnis der BaFin erfordern. So ist beispielsweise das Betreiben von Zahlungsdiensten, die Erbringung von Finanzdienstleistungen, Bank- oder Versicherungsgeschäften ohne Erlaubnis strafbar und kann zudem zu einer Untersagung der Fortführung des Geschäftsbetriebs führen.

Einen aufsichtsrechtlichen „Sonderbonus“ gibt es dabei für FinTechs nicht.”

Vielmehr müssen diese bei Vorliegen der gesetzlichen Voraussetzungen die regulatorischen Vorgaben genauso beachten, wie etablierte Finanzdienstleister. Die regulatorischen Vorgaben für IT-spezifische Sachverhalte werden dabei erkennbar immer dichter, wie das jüngste Beispiel der geplanten Novellierung der “Mindestanforderungen an das Risikomanagement” (MaRisk) zeigt. Diese betrifft insbesondere Themen wie die – vor allem technische – Umsetzung der Grundsätze zur Aggregation von Risikodaten und Risikoberichterstattung, Anforderungen an die IT-Sicherheit sowie umfassende Regelungen zur Auslagerung von (IT-)Prozessen. Weitere bankaufsichtsrechtliche Anforderungen können sich in Abhängigkeit zum jeweiligen FinTech-Produkt unter anderem aus den „Mindestanforderungen an die Sicherheit von Internetzahlungen” (MaSI) und weiteren speziellen Verlautbarungen der BaFin sowie gesetzlichen Vorgaben, zum Beispiel nach Maßgabe des Gesetzes über die Beaufsichtigung von Zahlungsdiensten (ZAG) ergeben.

Doch damit nicht genug – gilt es doch (neben der bankaufsichtsrechtlichen Regulatorik) auch die datenschutzrechtliche Regulatorik zu berücksichtigen. Neben dem Risiko einer (gegebenenfalls bußgeldbewährten) Beanstandung durch die zuständige Datenschutzbehörde drohen im Falle eines Datenschutzverstoßes Reputationsrisiken, welche letztlich das schnelle Ende eines FinTechs bedeuten können.

Rechte am FinTech-Produkt

Anbieter von FinTechs sollten klären, ob die erforderlichen Rechte, insbesondere urheberrechtliche Nutzungsrechte, an dem FinTech-Produkt in dem erforderlichen Umfang bei dem FinTech vorliegen. Gerade bei urheberrechtlichen Nutzungsrechten kann dies mitunter zweifelhaft sein, da “die Urheberrechte” zunächst in der Person des Urhebers (das heißt des eigentlichen Programmierers) entstehen.

Die Autoren

Dr. Jörn Heckmann ist Rechtsanwalt bei CMS in Hamburg und Mitglied des Geschäftsbereichs Technology, Media, Communications (TMC). Seine Tätigkeitsschwerpunkte liegen auf der Beratung regulierter Industrien (Banken, Versicherungen und die Energiewirtschaft) bei der Einführung neuer Produkte aus dem Bereich der Informationstechnologie.

Dr. Michael Kraus ist Rechtsanwalt bei CMS in Stuttgart und Fachanwalt für IT-Recht. Er ist Mitglied des Geschäftsbereichs Technology, Media, Communications (TMC). Seine Tätigkeitsschwerpunkte liegen in der IT-rechtlichen Beratung von Unternehmen bei der Entwicklung und Umsetzung innovativer Geschäftsmodelle sowie Digitalisierungsprozessen, insbesondere im Bereich der Finanz- und Versicherungswirtschaft.

Zwar stellt das Urheberrecht für die Erstellung von Computerprogrammen einige Sonderregelungen bereit, welche dazu führen, dass (zumindest) die urheberrechtlichen Nutzungsrechte eines angestellten Programmierers automatisch auf das FinTech übergehen. Diese Regelung findet jedoch mangels Angestelltenstatus keine Anwendung für den gerade in der Start-up-Szene branchenüblichen Einsatz von freien Mitarbeitern. Aber auch aus anderen Konstellationen (zum Beispiel beim Einsatz von Open Source-Software) können sich unter urheberrechtlichen Gesichtspunkten zusätzliche Risiken ergeben.

Subunternehmer

Es ist keine Seltenheit, dass FinTechs zur Leistungserbringung auf Subunternehmer zurückgreifen müssen. Voraussetzung für den Einsatz von Subunternehmern ist jedoch stets, dass die an das FinTech gestellten spezifischen rechtlichen und regulatorischen Anforderungen von dem Subunternehmer erfüllt werden. Abzusichern ist diese Verpflichtung insbesondere durch Verträge, welche die Einhaltung der bereits angesprochenen aufsichtsrechtlichen und gesetzlichen Verpflichtungen durch den Subunternehmer sicherstellen. Darüber hinaus müssen die vertraglichen Vereinbarungen mit den Subunternehmern vor einem Investment daraufhin geprüft werden, ob sie leistungsseitig so ausgestaltet sind, dass die Regelungen zu Leistungsqualität, Skalierbarkeit, Laufzeit, Vergütung, Haftung etc. einer strategischen Weiterentwicklung des Geschäftsmodells nicht im Wege stehen.

Fazit

Die vorstehen Ausführungen zeigen, warum ein FinTech-Investment nicht nur Chancen, sondern auch einige (insbesondere IT-rechtlich geprägte) Risiken mit sich bringt. Ein FinTech- Investment sollte daher von einem Investor einer sorgfältigen rechtlichen Risikoanalyse unterzogen werden. Aber auch für FinTechs empfiehlt es sich, möglichst frühzeitig Compliance-Vorgaben zu berücksichtigen, um die eigene Attraktivität für strategische und Finanz-Investoren zu erhöhen.aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/37426