Digital Finance Package: Strategie für ein digitales Finanzwesen in der EU

Header_Andreas_Dolezal_Digital_Finance_Package_DORA

Wer denkt, dass die Datenschutz-Grundverordnung DSGVO bereits ausreichend viele Herausforderungen enthält, kennt die nächsten Pläne der EU noch nicht. Da geht noch was! Die Europäische Kommission sieht die DSGVO für die Finanzindustrie augenscheinlich als nicht umfassend genug an. Daher plant sie das Digital Finance Package, quasi die „DSGVO 2.0“ für die Finanzindustrie. Das Bündel an Regelwerken wird in Compliance- und IT-Abteilungen die Köpfe rauchen lassen – und stellenweise, wie bei mir, auch für Kopfschütteln sorgen.

Vorab für alle Compliance Officer, IT-Verantwortliche und Datenschutzbeauftragte, die schon beim Lesen der Einleitung in Schnapp-Atmung verfallen sind: Das Digital Finance Package der EU-Kommission steckt momentan in der Vorbereitungs bzw. Entwurfsphase. Noch steht kein Datum für das Inkrafttreten fest. Bis 2024 wird es womöglich dauern, bis die Bestimmungen angewendet werden müssen. Ein erster, trotz des Umfanges dieses Beitrages nur zaghafter und stark komprimierter Blick auf die kommenden Regulierungen lohnt sich aber schon jetzt.

Strategie für ein digitales Finanzwesen in der EU

Innovation stützt sich zunehmend auf digitale Technik, was den Unternehmen das Wachstum erleichtert.“, steht in der Mitteilung der EU-Kommission vom 24. September 2020 zu lesen. Als strategische Ziele werden unter der Überschrift „Nutzung des digitalen Finanzwesens zum Wohl der Verbraucher und Unternehmen“ folgende genannt:

  • Europa und der europäische Finanzsektor müssen sich die neuen Trends und alle Chancen, die die digitale Revolution bietet, zunutze machen.
  • Europa muss das digitale Finanzwesen mit starken europäischen Unternehmen an der Spitze weiter voranbringen.
  • Unser Ziel ist es, die Vorteile des digitalen Finanzwesens für die europäischen Verbraucher und Unternehmen zu erschließen.
  • Europa sollte das digitale Finanzwesen auf der Grundlage der europäischen Werte und einer soliden Regulierung der Risiken fördern.

Bei allen vier Prioritäten will die Kommission ihr Augenmerk insbesondere darauf richten, die neuen Möglichkeiten, die das digitale Finanzwesen für Verbraucher bietet, zu fördern und Verbraucher wann immer angemessen zu schützen. Dabei sollen stets die Datenschutzvorschriften, insbesondere die Datenschutz-Grundverordnung DSGVO eingehalten werden. Das wird spannend, denn das wird wohl darauf hinauslaufen, dass zukünftig für Finanzdiensteleister parallel zur DSGVO auch DORA (Digital Operational Resilience Act) gelten wird. Wo dabei die Tücken versteckt sein könnten, dazu mehr weiter unten.

Digital Finance Package

Bild_Buch_Andreas_Dolezal_Wohlfuel-Oase_Homeoffice2Im Rahmen der Strategie für ein digitales Finanzwesen hat die Europäische Kommission ein umfassendes Rahmenwerk zur Regulierung und Stärkung der digitalen Widerstandsfähigkeit des Finanzsektors präsentiert. Es enthält eine Strategie für ein digitales Finanzwesen (Digitale Finance Strategy) sowie eine Strategie für den Massenzahlungsverkehr (Retail Payments Strategy).

Ein vorliegender Verordnungsentwurf beschäftigt sich mit den Märkten für Kryptowerte (Markets in Crypto-assets, kurz MiCA), ein anderer mit der Betriebsstabilität digitaler Systeme des Finanzsektors (Digital Operational Resilience Act, kurz DORA). Der Entwurf zu DORA legt auf etwa 73 Seiten (73 Erwägungsgründe und 56 Artikel) einheitliche Anforderungen für die Sicherheit von Netz- und Informationssystemen fest. Genau damit beschäftigt sich – über den Umweg der personenbezogenen Daten – seit Mai 2018 die DSGVO, die bekanntlich für alle Unternehmen, also auch Finanzdienstleister gilt. Spannend wird zu beobachten sein, wie die DSGVO und DORA harmonieren werden bzw. wie sich die Regelwerke eventuell gegenseitig „ins Gehege kommen“. Zu hoffen bleibt, dass der europäische Gesetzgeber genau das verhindert und die Finanzindustrie nicht zwischen zwei Stühlen sitzt.

Digital Operational Resilience Act

DORA wird unter anderem für

  • Kreditinstitute,
  • Zahlungsinstitute,
  • Wertpapierfirmen und
  • Anbieter von Krypto-Dienstleistungen (sowie Emittenten von Kryptowerten und von an Vermögenswerte geknüpften Token und Emittenten signifikanter an Vermögenswerten geknüpfter Token)

gelten. Darüber hinaus sind

  • Versicherungsvermittler, Rückversicherungsvermittler und Versicherungsvermittler in Nebentätigkeit,
  • Abschlussprüfer und
  • Crowdfunding-Dienstleister

umfasst. Also grundsätzlich die gesamte Finanzindustrie.

(Update 17.02.2021): Kleinstunternehmen sind gemäß Artikel 3 Z 50 Finanzunternehmen im Sinne des Artikels 2 Absatz 3 des Anhangs der Empfehlung 2003/361/EG, also ein Unternehmen, das weniger als zehn Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. Euro nicht überschreitet. Solchen Kleinstunternehmen, zu den wohl viele oben Genannten zählen, werden einige wenige Ausnahmen bzw. Erleichterungen zugestanden. Im Kern gilt DORA jedoch trotzdem für sie.

DORA definiert die auf Finanzunternehmen anwendbaren Anforderungen an:

  • Risikomanagement im Bereich der Informations- und Kommunikationstechnologie (IKT);
  • Meldung schwerwiegender IKT-bezogener Vorfälle an die zuständigen Behörden (Anm.: gemäß Erwägungsgrund 42 sind schwerwiegende IKT-bezogene Vorfälle den Finanzaufsichtsbehörden, also FMA oder BaFin, zu melden, diese sollten die Informationen u.a. an die nationalen Datenschutzbehörden weiterleiten, dabei wird es spannend zu beobachten, wie diese beiden Aufsichtsbehörden ihre Zuständigkeiten hinsichtlich Datenschutz koordinieren)
  • Prüfung der digitalen Betriebsstabilität;
  • Austausch von Informationen und Erkenntnissen in Bezug auf Cyberbedrohungen und Schwachstellen;
  • Maßnahmen für die wirtschaftliche Steuerung des Risikos durch IKT-Drittanbieter;

Banner_Andreas_Dolezal_Anmeldung_Newsletter

Wie gut werden DSGVO und DORA zueinander passen?

Festgelegt werden sollen auch Anforderungen an vertragliche Vereinbarungen zwischen IKT-Drittanbietern (u.a. Cloud- und Softwareanbieter, genaue Definition siehe weiter unten) und Finanzunternehmen (Artikel 27 DORA: Wesentliche Vertragsbestimmungen, Absatz 2 Punkte a. bis k.). Die DSGVO sieht dafür unter anderem Auftragsverarbeiterverträge oder – für Anbieter in Drittländern – Standardvertragsklauseln oder geeignete Garantien vor. Was wird in diesem Zusammenhang letztendlich gelten, DSGVO oder DORA?

Ganz absehen von der Sackgasse in die uns das Urteil „Schrems II“, das Kippen des EU-US-Privacy Shield-Abkommens durch den EuGH, geführt hat. Nach knapp drei Jahren DSGVO wissen wir, dass nicht einmal EU-Institutionen, wie zum Beispiel das Europäische Parlament, in der Lage sind, die Bestimmungen einzuhalten (siehe den Beitrag „NOYB bringt Beschwerde gegen das Europäische Parlament ein„, externer Link zur Internetseite von NOYB des Datenschutz-Aktivisten Max Schrems).

Weiters sieht DORA einen Aufsichtsrahmen für kritische IKT-Drittanbieter bei der Erbringung von Dienstleistungen für Finanzunternehmen vor. Der Begriff „IKT-Drittanbieter“ kommt im Entwurf zu DORA übrigens gezählte 276 (!) mal vor, steht also durchaus im Fokus. Wie sollte beispielsweise ein „kritischer IKT-Drittanbieter“, der seinen Sitz im Ausland oder womöglich sogar in einem Drittland (USA, Großbritannien usw.) hat, von (kleinen) heimischen Wertpapierfirmen überwacht bzw. in den europäischen Aufsichtsrahmen gezwängt werden? Hoffentlich unternimmt die EU (zum Leidwesen der betroffenen Finanzindustrie) keinen erneuten und zum Scheitern verurteilten Versuch, der Welt Brüsseler Hirngespinste aufzuzwingen.

Viel Hoffnung habe ich da allerdings nicht, wenn ich mir ein paar Unterpunkte von Artikel 27 in DORA (Wesentliche Vertragsbestimmungen) anschaue (Hervorhebungen stammen von mir):

(2) Die vertraglichen Vereinbarungen über die Nutzung von IKT-Diensten umfassen mindestens Folgendes:

b) die Standorte, an denen die vertraglich vereinbarten oder an Unterauftragnehmer vergebenen Funktionen und Dienstleistungen zu erbringen sind und an denen Daten verarbeitet werden sollen, einschließlich des Speicherorts, sowie die Auflage für den IKT-Drittanbieter, das Finanzunternehmen zu benachrichtigen, wenn er eine Änderung dieser Standorte beabsichtigt;

h) das Recht, die Leistung des IKT-Drittanbieters fortlaufend zu überwachen, wozu Folgendes gehört: Zugangs-, Inspektions- und Prüfrechte des Finanzunternehmens oder eines beauftragten Dritten sowie das Recht auf Anfertigung von Kopien einschlägiger Unterlagen,

An welchem Standort speichern Cloud-Dienste wie Amazon AWS, Google oder Microsoft die Daten von Finanzunternehmen? An welchem Standort erbringen die Sub-Auftragnehmer von Amazon, Google oder Microsoft ihre Dienstleistungen? Werden uns diese Anbieter eine Standortliste all ihrer Serverfarmen übermitteln? Und uns über jede Änderung dieser Standorte informieren? Fordern Sie mal von Amazon, Google oder Microsoft Zugangs-, Inspektions- und Prüfrechte ein! Und falls Sie das tatsächlich tun: bitte berichten Sie mir von den Antworten, die würden mich interessieren. 

Neue Begriffsdefinitionen in DORA

DORA legt in Artikel 3 auch ein paar relevante neue Begriffsbestimmungen fest – die es so noch nicht einmal in der DSGVO gibt und die es wahrlich in sich haben:

4. „IKT-Risiko“ jeden vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netz- und Informationssystemen – einschließlich Störungen, Kapazitätsüberschreitungen, Ausfällen, Unterbrechungen, Beeinträchtigungen, Missbräuchen, Verlusten oder sonstiger böswilliger oder nicht böswilliger Ereignisse, die bei Eintritt die Sicherheit der Netz- und Informationssysteme, jeglicher technologiegestützter Instrumente oder Prozesse, des Betriebs und laufender Prozesse oder der Erbringung von Diensten beeinträchtigen können – und folglich die Integrität oder Verfügbarkeit von Daten, Software-Programmen oder sonstigen Komponenten von IKT-Diensten und -infrastrukturen zunichte macht oder einen Verstoß gegen den Datenschutz, Beschädigungen der physischen IKT-Infrastruktur oder sonstige nachteilige Folgen mit sich bringt;

Header_Andreas_Dolezal_Buch_Datenschutz_in_der_Praxis_Jetzt_bestellen

6. „IKT-bezogener Vorfall“ ein unvorhergesehenes in den Netz- und Informationssystemen festgestelltes Ereignis, das von böswilligen Handlungen herrühren kann und die Sicherheit von Netz- und Informationssystemen und der von diesen Systemen verarbeiteten, gespeicherten oder übertragenen Informationen beeinträchtigt oder nachteilige Auswirkungen auf die Verfügbarkeit, Vertraulichkeit, Kontinuität oder Authentizität der vom Finanzunternehmen erbrachten Finanzdienstleistungen hat;

8. „Cyberbedrohung“ eine „Cyberbedrohung“ im Sinne der Definition in Artikel 2 Nummer 8 der Verordnung (EU) 2019/881* des Europäischen Parlaments und des Rates;

(* 8. „Cyberbedrohung“ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;)

15. „IKT-Drittanbieter“ ein Unternehmen, das digitale Dienste und Datendienste erbringt, einschließlich Anbietern von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentren, jedoch unter Ausschluss von Anbietern von Hardwarekomponenten und nach Unionsrecht zugelassene Unternehmen, die elektronische Kommunikationsdienste (…);

Änderung der Richtlinie 2014/65/EU

Im Zuge des Digital Finance Package wird es auch zur Änderung der Richtlinie 2014/65/EU, der Rahmen-Richtlinie von MiFID II, kommen. Mit Artikel 6 eines Richtlinienentwurfes (dem man keinen Titel gegönnt hat) werden in die Richtlinie 2014/65/EU einfach gesagt Querverweise auf DORA hinzugefügt und Bestimmungen über die Kontinuität und Regelmäßigkeit der Wertpapierdienstleistungen und Anlagetätigkeiten, wirksame Notfallvorkehrungen und das Risikomanagement ergänzt.

Darüber hinaus wird der Begriff „Finanzinstrument“ um „Instrumente, einschließlich mittels Distributed-Ledger-Technologie emittierter Instrumente“ erweitert. Spätestens damit sind dann auch Kryptowerte von MiFID II umfasst:

(6) Die in der Richtlinie 2014/65/EU vorgenommene Begriffsbestimmung von „Finanzinstrument“ schließt derzeit Finanzinstrumente, die mithilfe einer Klasse von Technologien emittiert werden, die die dezentrale Aufzeichnung verschlüsselter Daten (Distributed-Ledger-Technologie, „DLT“) unterstützen, nicht ausdrücklich ein. Solche Finanzinstrumente sollten durch eine Änderung der Richtlinie 2014/65/EU in die bestehende Begriffsbestimmung aufgenommen werden, damit sie gemäß den derzeit geltenden Rechtsvorschriften gehandelt werden können.

Unter anderem werden auch in die Richtlinie 2009/138/EG zur Aufnahme und Ausübung der Versicherungs- und der Rückversicherungstätigkeit, auf die stellenweise die Richtlinie (EU) 2016/97 (besser bekannt als Versicherungsvertriebsrichtlinie IDD) Bezug nimmt, Querverweise auf DORA eingefügt.

Es kommt mir so vor als würde die EU mit dem Digital Finance Package zwei meiner Fachgebiete, MiFID II und DSGVO, verschmelzen. Daher sehe ich diese kommenden Regulierungen mit einem weinenden (als Compliance Officer) und einem lachenden (als Unternehmensberater) Auge. Noch haben wir Zeit bis das Digital Finance Package kommt. Hoffen wir, dass sich die Entwürfe bis zum Inkrafttreten noch etwas mehr der digitalen Realität annähern – denn sonst kommt eine weitere Katastrophe auf die Finanzindustrie zu.

Der letzte Erwägungsgrund des Entwurfes, der 73., schließt mit dem Satz: „Entsprechend dem in demselben Artikel genannten Grundsatz der Verhältnismäßigkeit geht diese Verordnung nicht über das für die Verwirklichung dieses Ziels erforderliche Maß hinaus.“ Das kann ich nach einem ersten Blick in den Entwurf nicht bestätigen.


Banner_Andreas_Dolezal_Anmeldung_Newsletter