REGULATORIK NEWSLETTER
11.04.2025 | Bank- und Prozessrecht
REGULATORIK NEWSLETTER
Die Themen:
- Der EU Data Act – Rechtsrahmen für einen fairen und innovationsfreundlichen Datenzugang
- Examensklausur ESG im Zivilrecht
- „Simplification Omnibus package“ – EU-Kommission legt umfangreiche Vorschläge zur Reform der Nachhaltigkeitsberichts- und Aufsichtspflichten vor
- Der technische Regulierungsstandard gemäß Art. 30 Abs. 2 lit. a DORA bzgl. der Unterauftragsvergabe von IKT-Dienstleistungen im Bereich kritischer oder wichtiger Funktionen (RTS SUB)
- Allgemeinverfügung der BaFin zur Diversitätsanzeige
- Nicht zu schulen, ist auch keine Lösung
- Einsatz von KI und automatisierten Systemen im Rahmen der Kreditwürdigkeitsprüfung
- EU-AML-Paket: Paradigmenwechsel in der Geldwäscheprävention
Der EU Data Act – Rechtsrahmen für einen fairen und innovationsfreundlichen Datenzugang
Mit dem Data Act (Verordnung (EU) 2023/2854) hat die Europäische Union einen weiteren Baustein zur Vollendung des digitalen Binnenmarktes geschaffen. Die Verordnung ist am 11. Januar 2024 in Kraft getreten und wird ab dem 12. September 2025 in allen Mitgliedstaaten unmittelbar gelten. Ziel der Verordnung ist die Schaffung eines einheitlichen Rechtsrahmens für einen fairen Zugang zu und eine faire Nutzung von Daten, insbesondere solchen, die durch die Nutzung vernetzter Produkte oder damit verbundener digitaler Dienste generiert werden.
Der Data Act bezweckt eine Stärkung der Datenhoheit von Nutzern sowie eine Öffnung von Datenmärkten für eine breitere wirtschaftliche Nutzung. Die Verordnung regelt die Datenweitergabe im B2B, B2C und B2G-Bereich. Sie enthält sowohl Zugangsrechte als auch korrespondierende Verpflichtungen, die auf Hersteller, Dateninhaber, Anbieter von Datenverarbeitungsdiensten (etwa Cloud-Provider) sowie auf Nutzer – darunter auch Unternehmen – Anwendung finden. Für Kleinst- und Kleinunternehmen gelten in weiten Teilen Ausnahmeregelungen, wobei diese als Nutzer dennoch von den Schutzregelungen profitieren.
Kernstück der Verordnung ist das Nutzungsrecht an Daten, die durch die Verwendung vernetzter Geräte erzeugt werden. Nutzer – seien es Verbraucher oder Unternehmen – erhalten ein gesetzliches Recht auf Zugang zu diesen Daten sowie das Recht, sie unter bestimmten Voraussetzungen Dritten zur Verfügung zu stellen. Hersteller vernetzter Produkte sind künftig verpflichtet, ihre Produkte und Dienste so zu gestalten, dass ein sicherer, standardisierter und diskriminierungsfreier Datenzugang technisch möglich ist. Darüber hinaus normiert die Verordnung Schutzmechanismen gegen einseitige oder missbräuchliche Vertragsklauseln in B2B-Verhältnissen. Derartige Klauseln, welche die Nutzungsrechte unverhältnismäßig einschränken, sollen im Anwendungsbereich des Data Act keine Wirksamkeit entfalten.
Ein weiterer Regelungsschwerpunkt betrifft die Interoperabilität und Wechselbarkeit von Datenverarbeitungsdiensten. Anbieter solcher Dienste werden verpflichtet, Nutzern einen Wechsel zu alternativen Dienstleistern zu ermöglichen, wobei technische, vertragliche und wirtschaftliche Wechselhindernisse zu beseitigen sind. Die Verordnung sieht zudem vor, dass Entgelte für den Anbieterwechsel schrittweise reduziert und perspektivisch abgeschafft werden sollen. Ziel ist ein funktionierender Wettbewerb im Cloud- und Dateninfrastruktursektor.
Auch der Zugang öffentlicher Stellen zu Daten wird umfassend geregelt. Öffentliche Einrichtungen erhalten in Fällen außergewöhnlichen Bedarfs – etwa zur Bekämpfung von Naturkatastrophen – ein Recht auf Datenzugang gegenüber Unternehmen. In diesen Fällen hat die Datenbereitstellung grundsätzlich unentgeltlich zu erfolgen. Erfolgt der Zugang hingegen zur Erfüllung gesetzlicher Aufgaben und stehen keine alternativen Datenquellen zur Verfügung, kann der Dateninhaber eine angemessene Aufwandsentschädigung verlangen. Kleine und mittlere Unternehmen sind von dieser Pflicht ausgenommen.
Für die unternehmerische Praxis bedeutet der Data Act ein Umdenken bzgl. der Handhabung betrieblicher Daten. Industriedaten – insbesondere solche aus Maschinen, Sensorik und vernetzten Anlagen – können künftig wesentlich breiter genutzt werden. Dies eröffnet Potenziale für Innovation, Effizienzsteigerung und neue datenbasierte Geschäftsmodelle. Zugleich müssen Unternehmen ihre technischen Systeme, internen Prozesse sowie vertraglichen Vereinbarungen frühzeitig an die künftigen Anforderungen anpassen. Besondere Aufmerksamkeit ist dem Schutz sensibler Betriebsdaten und Geschäftsgeheimnisse zu widmen. Hier sind angemessene technische und organisatorische Maßnahmen erforderlich, um sowohl dem Schutzinteresse des Dateninhabers als auch den Zugangsrechten Dritter Rechnung zu tragen.
Unternehmen sollten daher bereits jetzt die erforderlichen technischen, vertraglichen und organisatorischen Grundlagen schaffen, um den Anforderungen der Verordnung rechtssicher und zukunftsorientiert zu begegnen. Erforderlich ist sicherlich eine systematische Bestandsaufnahme sämtlicher datengenerierender Geräte und Dienste. Die technische Ausgestaltung dieser Produkte ist dann so anzupassen, dass ein diskriminierungsfreier und sicherer Datenzugang ermöglicht wird. Bestehende Vertragswerke – insbesondere im Bereich OEM, Plattformen und Cloud – sind auf datenschutz- und zugangsrechtlich bedenkliche Klauseln zu überprüfen und anzupassen. Gleichzeitig wird empfohlen, ein internes Datenmanagementsystem aufzubauen, das die Nutzung, Weitergabe und den Schutz sensibler Daten klar regelt. Für Cloud- und Datenverarbeitungsdienste sind Maßnahmen zu ergreifen, die einen reibungslosen Anbieterwechsel gewährleisten. Zudem sollten Unternehmen organisatorisch darauf vorbereitet sein, Daten auf Anforderung öffentlicher Stellen bereitzustellen – insbesondere in Ausnahmesituationen.
Larissa Normann, Frankfurt am Main
Examensklausur ESG im Zivilrecht
Ein peruanischer Bauer klagt gegen das deutsche Energieunternehmen RWE und fordert die Übernahme eines Teils der Kosten für Schutzmaßnahmen gegen Schmelzwasser-Risiken in der Nähe seines Hauses. Unterstützt wird er dabei von der Stiftung Zukunftsfähigkeit und der NGO GermanWatch. Die Klage ist auf § 1004 Abs. 1 BGB gestützt, wonach der Eigentümer von dem Störer die Beseitigung der Beeinträchtigung verlangen kann und begründet den Aufwendungsersatzanspruch mit den Grundsätzen der Geschäftsführung ohne Auftrag.
Das Haus liegt am Fuße einer Gebirgskette mit mehreren Gletschern. Durch den Klimawandel schmelzen diese Gletscher, was den Pegel des oberhalb der Stadt liegenden Sees ansteigen lässt. Der Kläger befürchtet, dass Flutwellen oder Schlammlawinen sein Haus überfluten könnten.
Die Gesamtkosten der Schutzmaßnahmen durch Senkung des Wasserspiegels beziffert der Kläger auf 3,5 Mio. Euro. Der Verursachungsbeitrag von RWE liege laut dem „Carbon Majors Bericht“ bei 0,47%, daher müsse RWE etwa 17.000 Euro zahlen.
Dieser Sachverhalt würde wohl kaum als Examensklausur im Studium der Rechtswissenschaften taugen, weil das Ergebnis gleich aus mehreren Rechtsgründen zu offensichtlich scheint. Das Landgericht Essen als Ausgangsinstanz hat sich auf die fehlende individuelle Zurechnung der Gefahr zur Beklagten beschränkt und die Störereigenschaft im Rechtssinne verneint.
Aber wie sagt man so schön, zwei Juristen drei Meinungen: das Oberlandesgericht Hamm wertete die Darlegung des Anspruchs als schlüssig und gab zwei Sachverständigengutachten zur Bewertung der Gefahren für das Haus in Auftrag. Rechtlich sei die Frage zu klären, ob eine hinreichende Wahrscheinlichkeit für eine drohende Beeinträchtigung im Sinne von § 1004 BGB bestehe. Wenn das bejaht würde, wäre noch offen, inwieweit die von RWE freigesetzten Emissionen mitverantwortlich für dieses Risiko sind.
Als Ergänzungsfrage im Staatsexamen würde sich die eigene Verantwortung von zwei Senatsmitgliedern anbieten, die zur Meinungsbildung höchstpersönlich nach Peru gereist sind.
Verkündungstermin ist am 14. April 2025.
Dr. Ilka Heigl, Frankfurt am Main
„Simplification Omnibus package“ – EU-Kommission legt umfangreiche Vorschläge zur Reform der Nachhaltigkeitsberichts- und Aufsichtspflichten vor
Die EU-Kommission hat einen weitreichenden Entwurf zur Entbürokratisierung der Nachhaltigkeitsberichts- und Aufsichtspflichten für Unternehmen vorgelegt. Mit dem sog. Omnibus-Paket verfolgt die Kommission das übergeordnete Ziel, den regulatorischen Verwaltungsaufwand signifikant zu verringern und zugleich die Wettbewerbsfähigkeit europäischer Unternehmen nachhaltig zu stärken.
Zentrales Element des Vorschlags ist die geplante Entlastung von Unternehmen durch die Reduktion bestehender Berichtspflichten sowie die zeitliche Verschiebung und teilweise Abschwächung von Sorgfalts- und Offenlegungspflichten. Der Entwurf sieht vor, die Anforderungen insbesondere im Hinblick auf ihre Anwendbarkeit, ihren Umfang und ihre zeitliche Staffelung neu zu gestalten.
Mit der Veröffentlichung des Entwurfs am 26. Februar 2025 wurde ein erster entscheidender Schritt zur Revision und Vereinfachung zentraler regulatorischer Vorgaben unternommen. Im Fokus der vorgeschlagenen Änderungen stehen insbesondere die Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive – CSRD), die europäische Lieferkettenrichtlinie (Corporate Sustainability Due Diligence Directive – CSDDD), die EU-Taxonomie-Verordnung sowie der europäische CO₂-Grenzausgleichsmechanismus (Carbon Border Adjustment Mechanism – CBAM).
Die zentralen Anpassungen im Überblick:
Verschiebung der Berichtsfristen für CSRD und CSDDD
Die vorgesehenen Anpassungen der EU-Kommission bringen eine grundlegende Neustrukturierung des zeitlichen Rahmens für die Nachhaltigkeitsberichterstattung mit sich. Dem aktuellen Entwurf zufolge sollen Berichte gemäß der CSRD erstmals für Geschäftsjahre verpflichtend werden, die am oder nach dem 1. Januar 2027 beginnen. Kleine und mittlere Unternehmen (KMU) sollen demnach erst für Geschäftsjahre, die ab dem 1. Januar 2028 beginnen, berichtspflichtig werden – vorausgesetzt, sie verbleiben weiterhin im Anwendungsbereich der Richtlinie und werden nicht infolge der vorgesehenen Anpassungen vollständig ausgenommen. Für Unternehmen, die nach der bisherigen Regelung bereits ab dem Geschäftsjahr 2025 zur Berichterstattung verpflichtet gewesen wären und weiterhin unter die CSRD fallen, bedeutet dies faktisch eine Fristverlängerung um zwei Jahre bis zur erstmaligen Anwendung. Keine Änderung ist hingegen für jene Unternehmen vorgesehen, die gemäß CSRD bereits im laufenden Jahr über das Geschäftsjahr 2024 berichten müssen – für sie bleibt die Berichtspflicht bestehen. In Deutschland steht die nationale Umsetzung der CSRD allerdings weiterhin aus.
Auch im Hinblick auf die CSDDD ist eine zeitliche Verschiebung vorgesehen. Die Umsetzungsfrist für die Mitgliedstaaten soll um ein Jahr auf den 26. Juli 2027 verlängert und der verpflichtende Anwendungsbeginn entsprechend auf Juli 2028 verschoben werden. Gleichzeitig wird der Zeitpunkt für die Veröffentlichung der durch die EU-Kommission bereitzustellenden Leitlinien auf Juli 2026 vorgezogen, um den Unternehmen eine frühzeitige Orientierung an etablierten Verfahren und bewährten Standards zu ermöglichen.
Der Rat der EU hat diesem sog. „Stop-the-clock“-Vorschlag bereits am 26. März 2025 formell zugestimmt. Das EU-Parlament stimmte dem Vorschlag am 3. April 2025 mit großer Mehrheit ebenfalls zu.
Geplante Änderungen der CSRD
Die EU-Kommission schlägt vor, die Nachhaltigkeitsberichtspflichten durch eine neue Größenklassifizierung erheblich zu verschlanken. Einen Nachhaltigkeitsbericht nach der CSRD sollen künftig nur noch Unternehmen mit im Durchschnitt mehr als 1.000 Mitarbeitenden und entweder mehr als EUR 50 Mio. Nettoumsatz oder mehr als EUR 25 Mio. Bilanzsumme abgeben müssen. Derzeit gilt die CSRD für alle Unternehmen, bei denen zwei der drei Schwellenwerte (EUR 50 Mio. Nettoumsatz, EUR 25 Mio. Bilanzsumme, 250 Beschäftigte) erreicht werden, sowie für KMU, deren Wertpapiere an einem geregelten Markt in der EU notiert sind. Börsennotierte KMU sollen damit gänzlich aus dem Anwendungsbereich der CSRD herausfallen. Laut Prognose der Kommission soll der Kreis der nach der CSRD verpflichteten Unternehmen so um rund 80 Prozent reduziert werden.
Trotz der deutlichen Reduzierung des Kreises unmittelbar berichtspflichtiger Unternehmen geht die EU-Kommission weiterhin davon aus, dass viele nicht berichtspflichtige Unternehmen als Teil der Wertschöpfungskette von berichtspflichtigen Unternehmen faktisch zur Berichterstattung verpflichtet werden. Um diesem sog. Trickle-Down-Effekt entgegenzuwirken, ist vorgesehen, dass in der Nachhaltigkeitsberichterstattung vornehmlich Informationen von Unternehmen aufgenommen werden sollen, die selbst der Berichtspflicht unterliegen und innerhalb der jeweiligen Wertschöpfungskette tätig sind. Durch diese Begrenzung – auch als Value Chain Cap bezeichnet – soll verhindert werden, dass nicht berichtspflichtige Unternehmen über das hinaus Angaben machen müssen, was im Falle einer eigenen Berichtspflicht von ihnen verlangt würde. Ergänzend dazu plant die Kommission die Einführung vereinfachter, freiwilliger Berichtsstandards für nicht berichtspflichtige Unternehmen, um Transparenz zu fördern, ohne zusätzliche administrative Belastungen zu erzeugen.
Neben der Verkleinerung des Kreises der berichtspflichtigen Unternehmen ist auch eine inhaltliche Straffung der Berichtsstandards vorgesehen. Die European Sustainability Reporting Standards (ESRS) sollen in wesentlichen Punkten überarbeitet, vereinfacht und auf eine reduzierte Anzahl zentraler Berichtskennzahlen fokussiert werden. Die ursprünglich geplante Einführung sektorspezifischer ESRS-Standards wird nicht weiterverfolgt. Die EU-Kommission beabsichtigt bis zum 31. Oktober 2025 eine überarbeitete, gekürzte Fassung der ESRS vorzulegen, die von der European Financial Reporting Advisory Group (EFRAG) erarbeitet wird.
Auch im Hinblick auf die Prüfung der Nachhaltigkeitsberichte sind Erleichterungen vorgesehen. Künftig soll die Prüfung lediglich mit begrenzter Sicherheit erfolgen (limited assurance). Eine ursprünglich geplante Anhebung des Prüfungsniveaus auf eine hinreichende bzw. angemessene Sicherheit (reasonable assurance) wird nach aktuellem Stand nicht weiterverfolgt.
Unverändert beibehalten wird hingegen das Konzept der doppelten Wesentlichkeit. Berichtspflichtige Unternehmen sind weiterhin verpflichtet darzulegen, wie sie die Auswirkungen ihres Unternehmens auf die Gesellschaft und die Umwelt (impact materiality), als auch die Auswirkungen der Gesellschaft und der Umwelt auf ihr Unternehmen (financial materiality) bewerten. Diese zweidimensionale Wesentlichkeitsanalyse bleibt damit ein zentrales Prinzip der europäischen Nachhaltigkeitsberichterstattung.
Geplante Änderungen der CSDDD
Die europäische Lieferkettenrichtlinie CSDDD, die bereits vor ihrer Verabschiedung am 13. Juni 2024 auf Bestreben einzelner Mitgliedsstaaten abgeschwächt wurde, möchte die Kommission nun weiter vereinfachen.
Im Zuge einer umfassenden Überarbeitung ist vorgesehen, die Sorgfaltspflichten künftig vorrangig auf direkte Geschäftspartner innerhalb der Wertschöpfungskette zu beschränken. Indirekte Geschäftsbeziehungen sollen lediglich dann einbezogen werden, wenn konkrete Anhaltspunkte – insbesondere Risiken – vorliegen. Zudem soll der Turnus regelmäßiger Risikoanalysen von jährlich auf einen Fünfjahreszeitraum ausgeweitet werden, wobei die Möglichkeit anlassbezogener (ad-hoc) Überprüfungen weiterhin bestehen bleibt.
Ein weiterer zentraler Aspekt der geplanten Änderungen betrifft den Umgang mit identifizierten Verstößen. Die bislang vorgesehene Pflicht zur Beendigung von Geschäftsbeziehungen soll entfallen. Den betroffenen Zulieferern soll die Chance zur Verbesserung eingeräumt werden. Der regulatorische Fokus verlagert sich damit auf die vorübergehende Aussetzung der Geschäftsbeziehung als milderes Mittel.
Darüber hinaus sehen die geplanten Änderungen eine deutliche Abmilderung des Sanktionsregimes sowie der zivilrechtlichen Haftung vor. So soll anstelle der bislang vorgesehenen Mindestobergrenze für Sanktionen in Höhe von 5 Prozent des weltweiten Nettoumsatzes künftig lediglich ein Orientierungsrahmen in Form von Leitlinien vorgegeben werden. Die zivilrechtliche Haftung der Unternehmen soll nicht länger unionsweit einheitlich geregelt sein, sondern sich künftig ausschließlich nach dem jeweils geltenden nationalen Recht der Mitgliedstaaten richten.
Des Weiteren ist eine Abschwächung der bislang verpflichtenden Umsetzung von Klimatransformationsplänen vorgesehen. Die gegenwärtige Fassung der Richtlinie verpflichtet Unternehmen nicht nur einen Klimaplan mit konkreten Maßnahmen zur Emissionsminderung zu erstellen, sondern dessen Umsetzung auch aktiv voranzutreiben. Nach dem neuen Vorschlag der Kommission soll zwar weiterhin ein solcher Plan vorgelegt und mit Umsetzungsmaßnahmen versehen werden, jedoch entfällt die ausdrückliche Pflicht zur tatsächlichen Umsetzung.
Schließlich wird das bisher vorgesehene Vorhaben, ergänzende Sorgfaltspflichten für Finanzunternehmen in die Richtlinie zu integrieren, nicht weiterverfolgt. Die EU-Kommission behält sich jedoch vor, diese Thematik zu einem späteren Zeitpunkt erneut aufzugreifen.
Geplante Änderungen der EU-Taxonomie-VO
Auch im Rahmen der Berichterstattung unter der Taxonomie-VO sieht der Omnibus-Vorschlag eine gezielte Reduktion des administrativen Aufwands vor.
Die EU-Kommission schlägt insbesondere vor, die verpflichtende Anwendung der EU-Taxonomie auf Unternehmen mit mehr als 1.000 Beschäftigten und mehr als EUR 450 Mio. Umsatz zu begrenzen. Damit entfällt die automatische Anwendung für sämtliche nach dem CSRD berichtspflichtige Unternehmen. Ziel ist es, die Berichtspflichten stärker risikobasiert auszurichten und an den tatsächlichen Wirkungsgrad großer Unternehmen zu koppeln.
Geplante Änderungen des CBAM
Im Mai 2023 ist die Verordnung zur Schaffung eines CO₂-Grenzausgleichssystems in Kraft getreten (CBAM-Verordnung). Ziel ist es, sogenannte „Carbon Leakage“-Effekte zu vermeiden, indem Treibhausgasemissionen, die bei der Produktion bestimmter emissionsintensiver Güter außerhalb der EU entstehen, mit einem CO₂-Preis belegt werden. Im Rahmen des CBAM sind betroffene Unternehmen verpflichtet, die in importierten Waren enthaltenen Emissionen zu berechnen, regelmäßig zu berichten und jährlich eine entsprechende Anzahl an Emissionszertifikaten abzugeben.
Analog zu den in anderen Bereichen des Omnibus-Pakets vorgesehenen Entlastungen plant die EU-Kommission auch im Anwendungsbereich des CBAM gezielte Verfahrensvereinfachungen. Dazu zählen insbesondere eine Anhebung und Modifikation der relevanten Schwellenwerte sowie die Vereinfachung der damit verbundenen Compliance-Anforderungen.
Nach dem aktuellen Vorschlag der Kommission soll die Pflicht zum Erwerb von CBAM-Zertifikaten erst ab Februar 2027 in Kraft treten. Der Nachweis über die abgegebenen Zertifikate wäre demnach erstmals im August 2027 zu erbringen, mithin ein Jahr später als ursprünglich vorgesehen.
Einordnung und Ausblick
Das Omnibus-Paket der EU-Kommission stellt eine weitreichende Reforminitiative dar, die sowohl eine substanzielle Vereinfachung der regulatorischen Anforderungen als auch eine Neuausrichtung der Berichterstattungspflichten anstrebt. Die Maßnahmen dürften eine signifikante Entlastung für viele Unternehmen mit sich bringen. Zugleich bergen sie jedoch auch die Gefahr einer verringerten Transparenz in der Nachhaltigkeitsberichterstattung sowie einer Schwächung des Klimatransformationsplans.
Auch wenn Unternehmen künftig von den vorgesehenen Erleichterungen profitieren, ist es wichtig zu beachten, dass der Wegfall bestimmter Berichtspflichten nicht gleichbedeutend mit einer vollständigen Aufhebung der Nachhaltigkeitsberichterstattung ist. Die Verpflichtung zur Offenlegung relevanter Nachhaltigkeitsaspekte bleibt weiterhin bestehen – sei es aufgrund branchenspezifischer Regelungen, internationaler Handelsanforderungen oder verbraucherschutzrechtlicher Vorschriften. Vor diesem Hintergrund sollten sich Unternehmen nicht allein auf regulatorische Entlastungen verlassen. Das regulatorische Umfeld bleibt volatil und von dynamischen Entwicklungen geprägt. Um auf bevorstehende Veränderungen adäquat reagieren zu können, ist es unerlässlich, die regulatorischen Entwicklungen kontinuierlich zu beobachten.
Die vorgelegten Reformvorschläge müssen im weiteren Verfahren mit dem EU-Parlament und dem Rat abgestimmt, beschlossen und schließlich veröffentlicht werden. Es bleibt abzuwarten, ob die geplanten Erleichterungen in ihrer jetzigen Form bestehen bleiben oder ob noch Änderungen vorgenommen werden.
Pascal Schäfer, Frankfurt am Main
Der technische Regulierungsstandard gemäß Art. 30 Abs. 2 lit. a DORA bzgl. der Unterauftragsvergabe von IKT-Dienstleistungen im Bereich kritischer oder wichtiger Funktionen (RTS SUB)
Teilweise Zurückweisung des Entwurfs durch die Europäische Kommission
Art. 30 Abs. 2 lit. a DORA schreibt u.a. vor, dass in vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern anzugeben ist, ob die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, zulässig ist, und – wenn dies der Fall ist – welche Bedingungen für diese Unterauftragsvergabe gelten.
In Art. 30 Abs. 5 DORA ist vorgesehen, dass die Europäischen Aufsichtsbehörden (ESA) technische Regulierungsstandards erarbeiten, um diejenigen Aspekte des Art. 30 Abs. 2 lit. a DORA zu präzisieren, die ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen bestimmen und bewerten muss.
Der finale Entwurf für diesen technischen Regulierungsstandard (RTS-E Sub; https://www.esma.europa.eu/sites/default/files/2024-07/JC_2024_53_Final_report_DORA_RTS_on_subcontracting.pdf) ist der Europäischen Kommission Ende Juli 2024 übermittelt worden.
Art. 5 des RTS-E SUB stellt für den Fall des Vorliegens einer Subunternehmerkette im Bereich einer IKT-Dienstleistung zur Unterstützung einer kritischen oder wichtigen Funktion gewisse Anforderungen an den Vertragsinhalt zwischen dem Finanzunternehmen und dem (unmittelbaren bzw. ersten) IKT-Drittdienstleister. So soll diese Vereinbarung gewährleisten, dass die Subunternehmerkette identifizierbar ist und jederzeit auf aktuellem Stand gehalten wird. Weiterhin soll sie dem Finanzunternehmen die Überwachung der vereinbarten IKT-Dienstleistung durch die Subunternehmerkette ermöglichen, insbesondere durch Regelungen, die dem Finanzunternehmen die Einschätzung der Risiken erlauben, die aus der Einschaltung weiterer Subunternehmer entstehen könnten. Die Vereinbarung soll Regelungen enthalten, die das Finanzunternehmen in die Lage versetzen, zu bewerten, ob und welche Auswirkungen die Subunternehmerkette auf die eigene Überwachung der in Auftrag gegeben IKT-Dienstleistung und die Aufsicht durch die zuständigen Behörden hat. Dazu soll die Vereinbarung vorsehen, dass das Finanzunternehmen von seinem IKT-Drittdienstleister über vertragliche Vereinbarungen zwischen diesem und seinen Unterbeauftragten erhält.
Mit Schreiben vom 21.01.2025 hat die Europäische Kommission nun die ESA davon informiert, dass sie die in Art. 5 des RTS-E SUB enthaltenen Regelungen als nicht von dem mit Art. 30 Abs. 5 DORA delegierten Mandat umfasst erachtet und sie daher zurückweisen wird. Sollte Art. 5 des RTS-E SUB allerdings aus dem Entwurf entfernt werden, würde sie dem Entwurf zustimmen.
Es ist somit wohl davon auszugehen, dass der RTS-E SUB nun alsbald ohne Art. 5 veröffentlicht werden wird und dann endlich als verbindliche Rechtsgrundlage für die Gestaltung von IKT-Dienstleistungsverträgen herangezogen werden kann.
Übrig bleibt nur die Frage, ob und warum die Europäische Kommission die bereits veröffentlichte delegierte Verordnung (EU) 2024/1773 (RTS TPPol) insoweit als vom delegierten Mandat umfasst angesehen hat, als darin nach Ansicht der Aufsichtsbehörden konkrete Anforderungen an den Inhalt von vertraglichen Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern enthalten sein sollen. Gemäß dem insoweit einschlägigen Art. 28 Abs. 10 Unterabs. 1 DORA soll der RTS TPPol lediglich dazu dienen, den detaillierten Inhalt der von einem Finanzunternehmen zu entwickelnden (internen) Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen zu spezifizieren. Eine Befugnis, (weitere) Vorgaben für den Inhalt vertraglicher Vereinbarungen aufzustellen, ist davon nach hiesiger Auffassung nicht umfasst, zumal der Katalog der zwingend in einen Vertrag aufzunehmenden Regelungen in Art. 30 Abs. 2 und 3 DORA abschließend ist und keine weitere Konkretisierung vorgesehen ist. In Art. 30 Abs. 4 DORA ist lediglich vorgesehen, dass die Behörden für bestimmte Dienstleistungen Standardvertragsklauseln entwickeln, deren Verwendung ein Finanzunternehmen zu erwägen hat. Abgesehen davon, dass diese Standardvertragsklauseln nach wie vor nicht vorliegen, ist wohl zu erwarten, dass die Behörden diese nutzen werden, um die von ihnen in das DORA-Regelwerk eingeschleusten Mindestvertragsinhalte auch tatsächlich in den Verträgen wiederzufinden.
Michael Dreyer, Frankfurt am Main
Allgemeinverfügung der BaFin zur Diversitätsanzeige
Die BaFin hat am 27.03.2025 eine Allgemeinverfügung erlassen, die bedeutende CRR-Kreditinstitute zur Abgabe von Diversitätsanzeigen zum Meldestichtag 31.12.2024 verpflichtet. Gegen die Allgemeinverfügung kann innerhalb eines Monats Widerspruch bei der BaFin eingelegt werden. Diese Maßnahme erfolgt im Rahmen der neuen EBA-Leitlinien (EBA/GL/2023/08), die seit dem 27. Juni 2024 gelten. Die Anzeigepflicht ist ein Vorgriff auf eine geplante gesetzliche Verpflichtung im Kreditwesengesetz (KWG), deren Umsetzung aufgrund von Verzögerungen im Gesetzgebungsprozess noch nicht erfolgen konnte. Sie ist Teil der Bemühungen, die Diversität in den Führungsebenen der Institute zu fördern und geschlechtsspezifische Lohngefälle zu analysieren. Die Daten werden an die Europäische Bankenaufsichtsbehörde (EBA) weitergeleitet, um einen harmonisierten Vergleich der Diversitätsmaßnahmen in der EU zu ermöglichen, etwaige Fehlentwicklungen zu identifizieren und gesetzliche Anpassungen vorzunehmen.
Die CRR-Kreditinstitute, die als bedeutend im Sinne des § 1 Absatz 3c des Kreditwesengesetzes gelten (z.B. Institute mit einer durchschnittlichen Bilanzsumme über 15 Milliarden Euro oder systemrelevante Institute), müssen Informationen zu ihren Diversitätspraktiken und zum geschlechterspezifischen Lohngefälle abgeben. Die Informationen sollen anhand bereits vorhandener Daten erfolgen. Eine explizite Abfrage sensibler personenbezogener Daten innerhalb des Instituts ist nicht erforderlich. Sollte die Eintragung einzelner Informationen nicht möglich sein, soll man diese unbeantwortet lassen. Es gilt das „best effort“ Prinzip. Diese Informationen sind notwendig, um die Vorgaben des Artikels 91 Absatz 11 der Richtlinie (EU) 2013/36/EU (CRD) zu erfüllen. Die Institute müssen die erforderlichen Daten bis zum 30. April 2025 auf Einzelinstitutsebene an die Deutsche Bundesbank übermitteln. Die Abgabe erfolgt elektronisch im XBRL-Format (Extensible Business Reporting Language) unter Verwendung vorgegebener Formulare, die auf der Seite der BaFin und der Deutschen Bundesbank heruntergeladen werden können. Bei der Deutschen Bundesbank finden sich zusätzlich auch Berechnungsbeispiele und Ausfüllhilfen. Die so erhobenen Daten unterliegen den Geheimhaltungspflichten und Vertraulichkeitsbestimmungen des Unionsrechts.
André Berger, Frankfurt am Main
Nicht zu schulen, ist auch keine Lösung
Schulungspflicht gem. Art. 4 der KI-VO
Die Verordnung (EU) 2024/1689 über Künstliche Intelligenz (KI-VO) legt umfassende Vorschriften fest, um den Einsatz von KI-Systemen innerhalb der Europäischen Union sicher, transparent und ethisch verantwortungsvoll zu gestalten. Eine zentrale Bestimmung der Verordnung betrifft die Schulungspflicht für Betreiber und Anbieter von KI-Systemen. Gemäß Art. 4 KI-VO (bereits seit dem 2. Februar 2025 in Kraft) sollen Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI‑Systemen befasst sind, über ein ausreichendes Maß an KI‑Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI‑Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI‑Systeme eingesetzt werden sollen, zu berücksichtigen sind.
Wer aber ist als Betreiber und Anbieter von KI-Systemen anzusehen und damit verpflichtet zu schulen? Ein Anbieter ist jede Person bzw. jedes Unternehmen, die eine KI entwickelt oder entwickeln lässt und unter eigenem Namen oder ihrer Handelsmarke in den Verkehr bringt oder in Betrieb nimmt, sei es entgeltlich oder unentgeltlich. Der Betreiber definiert sich demgegenüber als jede natürliche oder juristische Person, Behörde oder Einrichtung, die eine KI in eigener Verantwortung verwendet, es sei denn, das KI-System wird nicht im Rahmen der beruflichen Tätigkeit verwendet.
Die Schulungspflicht gemäß Artikel 4 der KI-Verordnung stellt sicher, dass diejenigen, die mit KI-Systemen wie beispielsweise ChatGPT, DeepSeek oder auch eigens für das Unternehmen entwickelte KI-Systeme arbeiten, über die erforderlichen Kenntnisse und Fähigkeiten verfügen, um diese Systeme sicher und verantwortungsvoll zu betreiben. Durch regelmäßige und umfassende Schulungen werden nicht nur rechtliche Anforderungen erfüllt, sondern auch die Qualität und Sicherheit der KI-Systeme verbessert. Dies trägt auch dazu bei, das Vertrauen der Öffentlichkeit in die Technologie zu stärken und potenzielle Risiken zu minimieren.
Die regelmäßig stattfindenden Schulungen müssen darauf ausgerichtet sein, die Mitarbeitenden mit den spezifischen Risiken und Herausforderungen im Umgang mit KI-Systemen vertraut zu machen. Es soll ebenso sichergestellt sein, dass die Schulungen regelmäßig aktualisiert werden, insbesondere wenn neue Technologien eingesetzt oder signifikante Änderungen am KI-System vorgenommen werden. Da die KI-Verordnung keine konkreten Schulungsinhalte vorgibt, müssen Schulungskonzepte individuell entwickelt werden, ausgerichtet nach den technischen Kenntnissen, Erfahrungen, Ausbildungen und dem spezifischen Einsatzkontext der Mitarbeitenden.
Die Schulung soll insbesondere folgende Aspekte abdecken:
- Verständnis der Funktionsweise von KI-Systemen: Mitarbeitende sollten in der Lage sein, grundlegende Konzepte der KI und deren spezifische Funktionsweise zu verstehen, um fundierte Entscheidungen im Rahmen ihrer Arbeit treffen zu können.
- Verantwortungsbewusster Umgang mit KI: Die Schulung muss darauf abzielen, das Bewusstsein für ethische Fragen und mögliche Verzerrungen (sog. „Bias“) im System zu schärfen.
- Risikomanagement: Es muss sichergestellt werden, dass die Mitarbeitenden mit den Anforderungen des Risikomanagementsystems vertraut sind und verstehen, wie sie Risiken im Zusammenhang mit KI identifizieren und mindern können.
- Rechtliche Anforderungen: Die Schulung muss die rechtlichen Rahmenbedingungen und Anforderungen der KI-Verordnung sowie anderer relevanter Vorschriften (z.B. Datenschutz) umfassen, um sicherzustellen, dass alle Vorgaben eingehalten werden.
- Notfallmaßnahmen und Korrekturmechanismen: Es müssen Verfahren für den Umgang mit Fehlern und unvorhergesehenen Problemen im KI-System geschult werden, um schnell reagieren und notwendige Anpassungen vornehmen zu können.
Ein weiterer wesentlicher Aspekt der Schulungspflicht ist die Dokumentationspflicht. Betreiber von KI-Systemen müssen den Nachweis erbringen können, dass alle relevanten Personen regelmäßig geschult wurden. Es soll daher zum Zwecke der Transparenz und Kontrolle über die Einhaltung der KI-Verordnung dokumentiert werden, welche Inhalte geschult wurden unter Angabe der Teilnehmer und der Zeiträume der Schulungen. Die Dokumentation kann im Falle von Audits oder Überprüfungen durch Aufsichtsbehörden als Beleg für die Einhaltung der Verordnung dienen. Sofern eine Schulung nicht erfolgt, drohen zwar (derzeit) keine unmittelbaren Sanktionen beispielsweise in Form von Bußgeld. Sollte es durch die unsachgemäße Verwendung von KI-Systemen jedoch zu Schäden bei Kunden oder sonstigen Vertragspartnern kommen, wird man sich ohne Nachweis der ordnungsgemäßen Schulung, einer zivilrechtlichen Haftung nicht entziehen können.
Für Unternehmen bedeutet dies eine klare Verpflichtung, in die Schulung ihrer Mitarbeitenden zu investieren, um sowohl den rechtlichen Anforderungen gerecht zu werden als auch eine verantwortungsbewusste und ethisch fundierte Nutzung von KI-Systemen zu gewährleisten.
Jennifer Stuppy, Frankfurt am Main
jennifer.stuppy@goehmann.de
Einsatz von KI und automatisierten Systemen im Rahmen der Kreditwürdigkeitsprüfung
Im Hinblick auf die zunehmende Automatisierung von Kreditvergaben werden Kreditinstitute durch die neue Verbraucherkreditrichtlinie 2023/2225 mit neuen regulatorischen Anforderungen konfrontiert, insbesondere im Zusammenhang mit der KI-gestützten Kreditwürdigkeitsprüfung. Daneben haben die Kreditinstitute aber auch noch weitere regulatorische Vorgaben aus der neuen KI-Verordnung sowie der DSGVO zu beachten.
In Art. 18 Abs. 8 der Verbraucherkreditrichtlinie 2023/2225 ist geregelt, dass für den Fall, dass die Kreditwürdigkeitsprüfung eine automatisierte Verarbeitung personenbezogener Daten beinhaltet, die Mitgliedstaaten sicherstellen müssen, dass der Verbraucher das Recht hat, das Eingreifen einer Person aufseiten des Kreditgebers zu verlangen. Der Verbraucher kann hierbei verlangen, dass ihm von dem Kreditgeber klare und verständliche Erläuterungen zu der Kreditwürdigkeitsprüfung erteilt werden, einschließlich der Logik und der Risiken der automatisierten Verarbeitung personenbezogener Daten sowie ihrer Bedeutung für die Entscheidung und ihrer Auswirkungen auf sie. Ferner steht dem Verbraucher das Recht zu, gegenüber dem Kreditgeber seinen eigenen Standpunkt darzulegen. Darüber hinaus kann der Verbraucher eine Überprüfung der Kreditwürdigkeitsprüfung und eine Entscheidung über die Kreditgewährung durch den Kreditgeber verlangen.
Die letztgenannten Punkte entsprechen zudem Art 22 Abs. 3 DSGVO, wonach in den Fällen einer automatisierten Entscheidung der Betroffene das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts sowie auf Anfechtung der Entscheidung hat.
Durch diese Regelungen wird deutlich, dass der EU-Gesetzgeber grundsätzlich eine automatisierte Verarbeitung personenbezogener Daten im Rahmen der Kreditwürdigkeitsprüfung für möglich hält. Andererseits will der EU-Gesetzgeber verhindern, dass der Verbraucher vollständig einer automatisierten Entscheidung unterworfen ist, und gewährt dem Verbraucher daher das Recht, die automatisierte Entscheidung durch einen Menschen überprüfen zu lassen. Der Einsatz von KI oder automatisierten Systemen im Rahmen der Kreditwürdigkeitsprüfung entbindet die Kreditinstitute zudem nicht davor, dem Verbraucher das Ergebnis der Kreditwürdigkeitsprüfung klar und verständlich zu erläutern.
Ferner ist zu beachten, dass gemäß Anhang III, Nr. 5b) der KI-Verordnung KI-Systeme, die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden sollen, als Hochrisiko-KI-Systeme gelten. Die KI-Verordnung enthält insofern insbesondere Regelungen zur Transparenz und Bereitstellung von Informationen für den Nutzer (Art. 13 KI-VO) sowie zur menschlichen Aufsicht über Hochrisiko-KI-Systeme (Art. 14 KI-VO).
Des Weiteren bestehen bei der automatisierten Kreditwürdigkeitsprüfung Diskriminierungsrisiken, die zu einem Verstoß gegen Art. 6 der Verbraucherkreditrichtlinie 2023/2225 oder gegen Art. 19 Abs. 1 AGG führen können. Dies kann beispielsweise dann der Fall sein, wenn einem Verbraucher die Gewährung eines Darlehens wegen seines Alters versagt wird oder Personen aus einer bestimmten Wohngegend nur aufgrund ihrer Adresse keinen Kredit erhalten oder höhere Zinsen bezahlen bzw. mehr Sicherheiten bieten müssen (vgl. Dreisigacker/Hornung/Ritter-Döring, RDi 2021, 580 Rn. 19).
Fazit:
Die vorgenannten Regelungen zeigen, dass der Einsatz von KI und automatisierten Systemen im Zusammenhang mit der Kreditwürdigkeitsprüfung weiterhin möglich sein wird, zugleich aber auch eine Vielzahl von regulatorischen Anforderungen zu beachten sind, welche die Kreditinstitute vor neuen Herausforderungen stellen. Kreditinstitute müssen damit rechnen, dass Verbraucher im Falle einer ablehnenden Kreditentscheidung eine Überprüfung der Kreditwürdigkeitsentscheidung durch einen Menschen mit entsprechenden Erläuterungen verlangen werden, und werden entsprechende Überprüfungsverfahren etablieren müssen. Ferner stellt sich die Frage, wie mit Diskriminierungsrisiken umzugehen ist und algorithmische Ungleichbehandlungen vermieden werden können.
Florian Stritzke, Frankfurt am Main
florian.stritzke@goehmann.de
EU-AML-Paket: Paradigmenwechsel in der Geldwäscheprävention
Im Mai 2024 wurde das AML-Paket verabschiedet und am 19. Juni 2024 EU-Amtsblatt veröffentlicht. Das Gesetzespaket strebt eine umfassende Harmonisierung der Regelwerke und eine gestärkte Rechtsdurchsetzung auf europäischer Ebene an. Konkret besteht es aus den folgenden vier Gesetzen:
AML-Verordnung (EU) 2024/1624: Mit dieser Verordnung werden erstmals einheitliche und unmittelbar geltende Sorgfaltspflichten sowie interne Sicherungsmaßnahmen für Verpflichtete in der gesamten EU eingeführt („AML Single Rule Book“). Verpflichtete müssen künftig über interne Strategien, Verfahren und Kontrollen verfügen, um identifizierte Risiken wirksam zu steuern. Neben den klassischen Sorgfaltspflichten wurden insbesondere für Anbieter von Kryptodienstleistungen und Finanzinstitute, die große Vermögen sehr wohlhabender Personen verwalten, erweiterte Pflichten eingeführt. Der Kreis der Verpflichteten wurde auf Profifußballvereine, Crowdfunding-Plattformen und bestimmte Kreditvermittler ausgeweitet. Die Definition wirtschaftlich Berechtigter wurde angepasst und der Schwellenwert liegt nun einheitlich bei 25 Prozent. Für Bartransaktionen gilt künftig eine unionsweite Obergrenze von 10.000 Euro und anonyme Kryptowertkonten sind ausdrücklich verboten. Die Geldwäscheverordnung wird ab dem 10. Juli 2027 in den Mitgliedstaaten unmittelbar gelten.
AMLA-Verordnung (EU) 2024/1620: Mit der AMLA wird eine neue europäische Geldwäschebehörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung mit Sitz in Frankfurt eingerichtet. Sie wird Leitlinien, Empfehlungen und technische Standards erlassen und die einheitliche Anwendung der neuen Vorschriften koordinieren. Die AMLA kann bei besonders risikoreichen Finanzinstituten auch die direkte Aufsicht übernehmen, Ermittlungen führen und bei Verstößen entsprechende Maßnahmen ergreifen. Darüber hinaus soll sie die Zusammenarbeit zwischen nationalen Aufsichtsbehörden, Strafverfolgungsbehörden und Hinweisgebern stärken und neue Kommunikationskanäle schaffen. Die AMLA nimmt am 1. Juli 2025 ihre Arbeit auf.
- Geldwäscherichtlinie (EU) 2024/1640: Die AMLD 6 ersetzt die AMLD 4 und 5 und konzentriert sich auf die institutionelle Bekämpfung von Geldwäsche und Terrorismusfinanzierung. Sie verpflichtet die Mitgliedstaaten, zentrale Register für wirtschaftliche Eigentümer und Bankkonten einzurichten und erweitert die Befugnisse der Financial Intelligence Units (FIUs). Zudem übernimmt die neu gegründete AMLA künftig die koordinierte Überwachung und das Risikomanagement. Auch die Aufsicht über Finanz- und Nicht-Finanzsektoren wird gestärkt. Schließlich legt die Richtlinie klare Regelungen für Sanktionen bei Verstößen fest, einschließlich Zwangsgeldern bei Nichtbefolgung der behördlichen Auflagen. Die 6. Geldwäscherichtlinie muss bis zum 10. Juli 2027 in nationales Recht umgesetzt werden.
Geldtransferverordnung (EU) 2023/1113: Diese Novelle dehnt ihren Anwendungsbereich auf Kryptodienstleister aus und verpflichtet diese zur Einhaltung der sog. Travel Rule, um die Rückverfolgbarkeit von Transaktionen zu gewährleisten und Missbrauch zu erschweren. Die neu gefasste Geldtransferverordnung ist bereits zum 30. Dezember 2024 in Kraft getreten.
Das AML-Paket stellt einen grundlegenden Paradigmenwechsel in der EU-Geldwäscheprävention dar. Es etabliert einen stärker harmonisierten, risikobasierten und digitalisierten Ordnungsrahmen, der sowohl den aufsichtsrechtlichen Standardisierungsanspruch als auch das Ziel einer wirksameren Rechtsdurchsetzung unterstreicht. Verpflichtete müssen ihre internen Kontrollsysteme, Prozesse und Registeranbindungen frühzeitig an die neuen Anforderungen anpassen, um aufsichtsrechtliche Risiken zu vermeiden.
Ebru Keskin, Frankfurt am Main
ebru.keskin@goehmann.de
