Betrug und Regulierung bei Fintechs: Wieviel Compliance ist nötig?

Zwischen Innovation und Sicherheit – die Regulierung von Fintechs

Compliance FinTech RegTech Regulatorik
veröffentlicht am 19.11.2020 | Lesezeit: ca. 11 Minuten

Die Regulierung von Fintechs erhält aktuell deutlich stärkere Aufmerksamkeit. Fintechs bieten oft Services einer Bank oder eines Finanzdienstleisters an, ohne jedoch zwingend unter die gleiche Regulierungsbedingungen zu fallen. Gleichzeitig wollen sowohl Fintechs als auch der Staat diese nicht durch eine Überregulierung in ihrem Wachstum ersticken, denn das Wachstum beschert Städten wie Berlin z.B. wichtige Jobs und weiteres internationales Ansehen.

Generell ist es wichtig, für zukünftige Regulierungsvorgaben sich nicht nur auf Unternehmen zu beschränken die eine Banklizenz besitzen, um auch Fintechs zu erfassen, die keine Banklizenz besitzen aber dennoch Lösungen für Kunden im Bereich der Finanzdienstleistungen anbieten. Maßgeblich wird in Zukunft nicht sein, ob ein Fintech eine Banklizenz besitzt, sondern vielmehr, welche Dienstleistungen und Produktportfolien es Kunden in Deutschland und Europa anbietet. Denn durch einen Fokus auf die angebotenen Dienstleistungen und Produkte stellt die Regulierung sicher, den Kernaspekt des Unternehmens zu erfassen.

Ansätze für neue Regelungen von Fintechs gibt es viele, die insbesondere im Zuge der deutschen EU-Ratspräsidentschaft, umzusetzen und voranzutreiben sind.

Handlungsbedarf bei Aufsichtsbehörden

Neue regulatorische Anforderungen zur Verhinderung fehlender adäquater interner Kontrollsysteme in FinTechs wären wünschenswert. FinTechs sollten regulatorisch viel früher und intensiver Maßnahmen ergreifen und Nachweise zur Sicherheit dokumentieren, aber nicht überreguliert werden. Sie müssen frühzeitig die richtigen organisatorischen und prozessualen Anforderungen an die eigene Compliance und das Audit erfüllen und dies im Zuge von Lizenz- und Zulassungsprüfungen granular nachweisen. Dazu wird es im Rahmen der Aufsicht auch in den Behörden zu Änderungen kommen müssen. Die Einführung einer spezialisierten FinTech-Compliance-Überwachungs-Funktion scheint daher unumgänglich: Sie sollte geeignete Anforderungen und Maßnahmen definieren, umsetzen und überwachen.

Was FinTechs tun können, um frühzeitig „compliant“ zu sein

Unserer Meinung nach sollten sich FinTechs von Anfang an von Expert*innen unterstützen lassen, um eine absolut effiziente und robuste Compliance aufzubauen. Diese Frage sollten sich FinTechs explizit mit Blick auf Ausbildung und Berufserfahrung von führenden Vertretern des Managements der noch jungen FinTechs stellen. Dies allein reicht aber nicht: Es gilt auch, die Standardansätze des Consultings zu hinterfragen. Sind diese überhaupt angemessen und wirksam? Denn die Beratung beginnt viel früher als bei den Traditionsbanken – nämlich bei der Erläuterung, was abzudeckende Normen und Anforderungen im Kontext des Geschäftszwecks des FinTechs bedeuten.

Doch zunächst einen Schritt zurück: Was ist eigentlich FinTech-Compliance bzw. Compliance für FinTechs?

FinTech-Compliance

FinTechs weisen normalerweise ein oder mehrere Merkmale von neuen digitalisierten und disruptiven Finanzdienstleister auf. Zu diesen Merkmalen zählen wir insbesondere,

  • den konsequenten Einsatz von neuester Technologie bei der Unternehmensgründung
  • den Firmenzweck, die digitale Produktpalette und die Ausrichtung als ein alternatives, digitales Finanzvehikel (kein klassisches Bankprodukt)
  • den Einsatz von Innovation: Produktsicht, Kundeninteraktion, dahinterstehende Geschäftsprozesse und deren zu Grunde liegende Ansätze
  • eine gelebte digitale Vision und Mission: Es ist wichtiger denn je, zwischen einem digitalen Anstrich und einer richtigen digitalen Vision oder Strategie zu unterscheiden
  • die Ausrichtung von FinTechs, ihren Unternehmens- und Retailkunden sowie Konsumenten helfen, ihre Finanzen via Algorithmen, Software und Automatisierung effizient in Applikationen zu managen und via One-Click abzuwickeln
  • schnellere Prozessierung und Abwicklung im Vergleich zu Traditionshäusern – bspw. durch Blockchain-basierte Produkte und Blockchain-FinTechs (Crypto Currency Custodians und Exchanges). Die Compliance dieser FinTechs muss dementsprechend auch auf diese Hochgeschwindigkeitsabwicklung organisatorisch ausgerichtet, personell besetzt und technologisch ausgerüstet werden.

Was FinTechs nun konkret angehen müssen

Aus unseren bisherigen Projekterfahrungen haben wir deswegen die wichtigsten Themenbereiche mit konkreten Beispielen für Aktivitäten ausgewählt, welche FinTechs hinsichtlich Compliance angehen sollten.

Die Komplexität, die die Erfüllung regulatorischer Anforderungen an die Compliance einer Organisation stellt, fordert FinTechs stark heraus. Die zu erfüllenden Vorgaben betreffen zunächst unterschiedliche Themenbereiche – von organisatorischen über rechtlichen bis hin zu fachlich-personellen Regulierungsanforderungen.

Um diese diversifizierten und komplexen Ansprüche fachgerecht umzusetzen, sollten FinTechs am Beginn einer Umsetzungsphase die Anforderungen sowie die relevanten regulatorischen Vorgaben des Geschäftsmodells mit Berücksichtigung des Unternehmenszwecks des FinTechs identifizieren und prüfen, ob die Umsetzung alleine gelingen kann. Sollten hier bereits Unklarheiten auftreten, sind externe Experten zu Rate zu ziehen. Mithilfe von operativen Instrumenten wie der Definition eines Target Operating Models, der Review vorhandener Prozesse und der effizienten Prozessgestaltung, können die identifizierten regulatorischen Forderungen effektiv über den gesamten Entwicklungsverlauf hindurch immer wieder durch externe Audits überprüft und verbessert werden, um so mögliche Compliance-Risiken auszuschließen.

Fachliche Engpässe durch externe Unterstützung auffangen

Im weiteren operativen Geschäftsverlauf des FinTechs kann, durch das Hinzuziehen von qualitätssichernden Maßnahmen (Quality Assurance, QA) und externer Unterstützung, die Sicherstellung des fachlichen Knowhows innerhalb der Organisation erfolgen. Die QA sollte dabei nicht als Bürde gesehen werden. Vielmehr sorgt diese Maßnahme dafür, dass später im Lebenszyklus des FinTechs keine komplexen und aufwendigen Anpassungen getroffen werden müssen, die das weitere Skalieren bzw. Wachsen des Unternehmens bremsen könnte. Wichtig ist hier also die regulatorische Vorgabe der Gewährleistung von ausreichenden Fachkenntnissen zu Compliance- und Finanzkriminalitätsthemen. Diese können durch Geldwäscheschulungen sowie weitere spezialisierte Trainings- und Weiterbildungsmaßnahmen sichergestellt werden. Die fachlich-personelle Unterstützung erfolgt dabei angepasst an den jeweiligen Reifegrad des FinTechs. Durch die Bereitstellung eines Interim Chief Compliance Officers sowie Fachspezialisten für AML (Anti-Money Laundering), Sanktionen, Digital und Blockchain (Crypto, Smart Contracts, Compliance) seitens etablierter Berater, können FinTechs sich auch in der frühen Reifegradphase konform verhalten und somit keine Sanktionen und Strafen durch fehlende regulatorische Anforderungsumsetzung vom Regulator befürchten müssen. Außerdem können unsere Expert*innen von Regulatory & Compliance FinTechs bei der Einhaltung regulatorischer Vorgaben im Falle einer Weiterentwicklung des Unternehmensportfolios sowie des Geschäftsmodells unterstützen. Dabei helfen wir bei der Beantragung von Lizenzen und Zulassungen wie beispielsweise der Banklizenz (§§32,33 KWG und SSM Verordnung) oder der eIDAS-Zulassung für Anbieter von eID-Diensten.

Zusammenarbeit von FinTechs und regulatorischer Beratung

Die oben genannten Aktivitäten sind nur ein kleiner Auszug der bis dato von uns erfolgten Unterstützungsleistungen für FinTechs und Start-Ups zur Umsetzung regulatorischer Vorgaben sowie der Etablierung einer schlanken, aber effektiven digitalen Compliance. Maßgeblich ist hierbei, dass die Zusammenarbeit von Beratung und FinTech nicht generalisiert werden darf, sondern immer vorausschauend maßgeschneidert auf die Anforderung des jeweiligen Profils sein muss.

Deshalb ist es besonders wichtig, bereits während des ersten Kundenkontakts Workshops zur strategischen Ausrichtung unter Einsatz von Digital Natives durchzuführen, um ein gegenseitiges Verständnis zu ermöglichen. Hier sollten transparent die verschiedenen Möglichkeiten eines gemeinsamen Zusammenarbeitens eruiert werden: Klassische Beratung vs. Business Collaboration vs. Alternativen im Rahmen Pricing etc.. Dies ist insbesondere vor dem Hintergrund von sehr frühen Start-up-Phasen mit knapper Finanzierung wichtig. Hier sollte auch die Beratung agil sein und verschiedene Kooperationsmodelle offerieren, um dem spezifischen FinTech zu helfen, die gegebenen Anforderungen zu erfüllen und langfristig für beide Parteien eine Win-Win-Situation erzeugen.

 

Finanzierung Start-ups

Ist Ihr Start-Up bereit für den nächsten Schritt?

Nutzen Sie diese Business Analytics für eine frühzeitige Einschätzung über den eigenen Reifegrad und die Ableitung geeigneter Maßnahmen.

Jetzt Bewertung starten
Weiterlesen

IT-Compliance und Cyber Security

Thema vertiefen

IT-Compliance und Cyber Security

Enorme Chancen – und gewaltige Risiken: Die digitale Transformation eröffnet Unternehmen des Finanzsektors gänzlich neue Perspektiven, Möglichkeiten und Geschäftsmodelle. Doch sie birgt auch erhebliche Gefahren – in Form einer immer stärker werdenden Cyber-Kriminalität.

Dass die Bedrohung durch Cyber-Angriffe in den letzten Jahren deutlich zugenommen hat, belegen zahlreiche Analysen, Studien und Umfragen. So gaben beispielsweise 84 Prozent aller befragten Unternehmen in der Lünendonk-Studie „Von Cyber Security zu Cyber Resilience“ an, dass sich 2023 die Bedrohungslage erneut verschärft hat. Als Gründe wurden insbesondere die zunehmende Digitalisierung von Prozessen, die steigende Professionalisierung von Hackerorganisationen und die veränderte geopolitische Lage genannt.

Thema vertiefen
Vaike Metzger Partnerin, Financial Services
Vaike Metzger

Gerade gelesen

Betrug und Regulierung bei Fintechs

Zwischen Innovation und Sicherheit – die Regulierung von Fintechs

Weitere Artikel zum Thema

KI und IT-Sicherheit

Kontrollen müssen mit dem zunehmenden Einsatz von KI im Finanzunternehmen Schritt halten.

CMDB – Grundlage der Cybersicherheit

So setzen Banken & Co. die DORA-Anforderungen an den Informationsverbund effizient um.

Lehren aus dem EZB-Cyber-Stresstest

Auch national beaufsichtigte Institute sollten sich auf Angriffs-Simulationen vorbereiten.

Cybersecurity: Schwachstellen managen

Generative KI ermöglicht neue Angriffsmethoden, aber auch verbesserte Abwehrmechanismen

FAQ zum Cyber-Stresstest der EZB

Viele Details sind noch offen – hier kommen die Einschätzungen unserer Expert:innen.

Der Cyber-Stresstest der EZB

Die Aufsicht testet die Banken auf Resilienz – zum ersten Mal in Sachen Cyberangriffe

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.