Ganz allgemein: Würden Sie sagen, der Rechtsrahmen in Deutschland und Europa sorgt für gleiche Wettbewerbsbedingungen für alle Akteure im Markt für Bankdienstleistungen - für Banken, Fintechs und Bigtechs? Falls nein - woran fehlt es?
Banken unterliegen in Deutschland und Europa einer besonderen Regulierung. Wenn Technologieunternehmen Bankdienstleistungen erbringen wollen, dann brauchen sie dafür ebenfalls eine Erlaubnis und unterliegen dann der Aufsicht. Insofern sind hier gleiche Wettbewerbsbedingungen gewährleistet. Same risk, same rules - das ist der Grundsatz, dem die Bankenaufsicht folgt.
Wir stellen allerdings fest, dass sich die Wertschöpfungsketten bei Bankdienstleistungen zunehmend aufsplittern. Was Banken früher selber gemacht haben, lagern sie heute häufig aus an externe Dienstleister, die nicht der Bankenregulierung unterliegen. Hier hat der deutsche Gesetzgeber aber mit dem FISG, dem Gesetz zur Stärkung der Finanzmarktintegrität, reagiert. Damit ist sichergestellt, dass die Bankenaufsicht Zugriff auf die Erbringer solcher ausgelagerten Dienstleitungen bekommt.
Passt der Rechtsrahmen auch für Bigtechs, um ein Level Playing Field zu gewährleisten?
Es wird niemand wegen der Technik, die er verwendet, ausgeschlossen oder schlechter gestellt. Aber auch nicht besser. Die Aufsicht ist technologieneutral, das heißt, dass die einzelnen Anforderungen der Aufsicht mit ganz unterschiedlichen Technologien umgesetzt werden können.
Aber die PSD2 ist doch in Sachen Schnittstellen ein Stück weit eine "Einbahnstraße" - Stichwort Apple. Banken müssen ihre Schnittstellen für andere Anbieter öffnen, die Technologieunternehmen ihre aber nicht für die Banken. Müsste der Rechtsrahmen hier nicht noch nachgebessert werden, um wirklich gleiche Bedingungen für alle Marktteilnehmer zu schaffen?
Zunächst einmal gelten hier für alle Unternehmen, die Zugang zu den Schnittstellen und damit zu Zahlungskontodaten haben wollen, die gleichen Voraussetzungen: Sie müssen sich registrieren lassen oder eine Erlaubnis der Finanzaufsicht haben. Außerdem muss natürlich die Zustimmung des Kunden zum Datenabruf vorliegen.
Gleichsam müssen alle zahlungskontoführenden Banken einem Unternehmen, das diese Voraussetzungen erfüllt, dann auch Zugang zu ihren Schnittstellen und damit den Zahlungskontodaten gewähren.
Von einer "Einbahnstraße" kann aber hier nicht die Rede sein, denn es gibt auch Pflichten für die sogenannten technischen Dienstleister, also die Unternehmen, die zwar selbst keine Zahlungsdienste erbringen, aber zum Erbringen dieser Dienste beitragen. Sie sind ab einer gewissen Größe gesetzlich dazu verpflichtet, Zahlungsdienstleistern - also auch Banken - einen Zugang zu den entsprechenden Infrastrukturleistungen zur Verfügung zu stellen.
Wie sieht die aufsichtliche Zuständigkeit aus, wenn ausländische nicht-EU-Fintechs Finanzdienstleistungen in Deutschland anbieten? Wie ist das bei Bigtechs, die zunehmend ihren Sitz ja typischerweise außerhalb der EU haben? Und was passiert, wenn deutsche oder EU-Fintechs von Unternehmen außerhalb der EU übernommen werden?
Fintechs, die in Deutschland Finanzdienstleistungen anbieten, unterliegen der Aufsicht durch die BaFin. Unternehmen, die ihren Sitz in einem anderen EU-Land haben, nutzen den europäischen Pass: Sie werden von der zuständigen Behörde im Heimatland beaufsichtigt. Die gleichen Regelungen gelten auch für Bigtechs, wenn sie in Deutschland erlaubnispflichtige Bankgeschäfte oder Finanzdienstleistungen erbringen wollen. Im Rahmen der Aufsicht unterliegen sie dann auch der sogenannten Inhaberkontrolle, das heißt ihre Inhaber müssen grundsätzlich zuverlässig sein. Und dies gilt unabhängig vom Sitz der Inhaber.
Gefühlt waren die Aufsichtsbehörden in anderen europäischen Ländern schneller damit, gezielt auf Fintechs einzugehen. Trügt dieser Eindruck?
Ja, dieser Eindruck trügt. Natürlich gibt es Länder, die mit regulatorischen Erleichterungen - etwa in Form sogenannter "Sand Boxes" - versucht haben, attraktiv für Fintechs zu erscheinen. Die BaFin hat dies immer aus gutem Grund abgelehnt. Wir waren und sind der Meinung, dass gleiche Risiken auch regulatorisch gleich behandelt werden sollten - egal, ob die Risiken aus Fintechs oder etablierten Unternehmen resultieren. Und die hohe Zahl von Fintechs in Deutschland zeigt doch auch, dass dieser Ansatz die Entwicklung innovativer Unternehmen nicht behindert.
Zu Beginn des Fintech-Booms sind viele Fintechs nur in wenigen oder vielleicht sogar weniger stark regulierten Geschäftsfeldern gestartet und haben ihr Geschäftsmodell sukzessive erweitert. Waren sich Fintechs dabei des regulatorischen Rahmens für Finanzdienstleistungen voll bewusst oder überwog die Euphorie des technisch Machbaren? Und wie sieht das heute aus?
Wir haben in der Tat beobachtet, dass sich die ersten Fintechs mit ihren Geschäftsfeldern im weniger regulierten Bereich bewegt haben. Das würde ich aber nicht nur darauf schieben, dass Regulierung umgangen werden sollte. Vielmehr ergaben sich durch neue Technologien neue Geschäftsmodelle, und die Aufsicht musste mit den Regularien erst einmal nachziehen. Das haben wir dann getan und uns, wie gesagt, um Technologieneutralität bemüht.
Technisch sind die Geschäftsmodelle von Neobanken und Neobrokern nahezu beliebig skalierbar. Wie sieht das bei der Compliance aus?
Natürlich hilft Technik dabei, manche Geschäftsmodelle beliebig zu skalieren. Wir haben gelegentlich erlebt, dass dabei die Compliance mit unseren aufsichtlichen Anforderungen zu kurz gekommen ist. Das darf natürlich nicht sein, und bei solchen Fällen steuern wir auch angemessen nach. Denn klar ist: Mit der Größe des Geschäfts vergrößern sich tendenziell auch die damit verbundenen Risiken. Das gilt natürlich technologieunabhängig für alle Institute.
Können Fintechs auch bei der Umsetzung regulatorischer Vorgaben von ihrem digitalen Antritt profitieren - oder wird die Regulatorik zunehmend zum Flaschenhals für das Wachstum?
Ich weiß nicht, ob Fintechs regulatorische Vorgaben schneller umsetzen können als andere Institute. Ich würde aber vermuten, dass durch den Einsatz von Technik vieles erleichtert werden kann - warum also nicht auch die Umsetzung von regulatorischen Vorgaben, zum Beispiel durch smarte Programme, die Informationen miteinander verknüpfen und besser nutzbar machen? Oder ein neues, technologiebasiertes Meldewesen? An einem solchem Projekt arbeiten wir übrigens derzeit gerade.
