Das Modewort Fintech1) ist in aller Munde. Auch der jüngere Normwortlaut des Finanzmarktrechts ist von Innovation geprägt. So gibt es zum Beispiel Datenbereitstellungsdienste (§ 2 Abs. 40 WpHG), die sogenannte algorithmische Handelstechnik gemäß § 2 Abs. 44 WpHG sowie technische Anbindungsvoraussetzungen für Handelsplätze, die auf einen effizienten und schnellen Marktzugang ausgerichtet sind, vergleiche § 72 WpHG iVm Art. 3 MiFIR). Das Zahlungsdiensteaufsichtsgesetz (ZAG) nennt etwa Zahlungsauslösedienstleister (§ 1 Abs. 33 ZAG), Kontoinformationsdienstleistern (§ 1 Abs. 34 ZAG), E-Geld-Emittenten (§ 1 Abs. 2 ZAG) und Elektronische Kommunikationsdienste (§ 1 Abs. 13 ZAG).
Fintech, Regtech und Digital Finance
Dieser Beitrag untersucht einen hierzulande wenig beachteten Aspekt der Technisierung: Regtech2) ist der Technikeinsatz zur Sicherstellung der Regeleinhaltung innerhalb des Finanzintermediärs. Zu klären ist das Verhältnis von Fintech und Regtech, bevor gezeigt wird, dass zahlreiche Rechtsentwicklungen im europäischen Recht nur durch Regtech und Datifizierung zu bewältigen sind und die Auswirkungen auf die Regulierung kursorisch erwogen werden.
Fintech: Fintech (Financial Technologies) beschreibt die Erbringung von Finanzdienstleistungen mittels datengestützter (digitaler) Techniken und Verfahren, die durch den Einsatz von Big Data,3) Internet of Things (IoT),4) Artificial Intelligence/Machine Learning,5) Distributed Ledger Technologie und Blockchain,6) Smart Contracts7) und Techniken digitaler Identitätserfassung8) erschlossen wurden.
Der Technikeinsatz eröffnet neue Methoden der Disintermediation und/oder der Regulierungsarbitrage beziehungsweise -vermeidung am Front-End der Finanzdienstleistungen: der Kundenbeziehung. Ebendies ist Triebkraft etwa der im Verm-AnlG geregelten Schwarmfinanzierung (Crowdfunding)9) oder der automatisierten Anlageberatung und -entscheidung (Robo Advisory).10) Aber auch die zwischen oder jenseits von KWG, ZAG und WpHG angesiedelten Initial Coin Offerings und Cryptowährungen11) haben Konjunktur, weil sie technische Innovation mit Regulierungsarbitrage kombinieren.
Regtech: Während man die Informationstechnik als Fintech-Treiber verstehen kann, hat die seit der Finanzmarktkrise intensivierte Regulierung einige Geschäftsmodelle ermöglicht beziehungsweise erst erforderlich gemacht. Regtech - ein Kofferwort aus den Begriffen Regulierung und Technologie - beschreibt den Einsatz von Informationstechnologie für Zwecke der Regulierung, Überwachung, Berichterstattung und Compliance.
Im Fokus steht der technische Umgang mit großen Datenmengen, eine differenzierte Datenanalyse und die automatisierte Datenverarbeitung innerhalb und zwischen den Finanzintermediären und Aufsichtsbehörden. Ziel ist die effiziente Bewältigung, Umsetzung und Durchsetzung gesetzlicher Vorgaben durch Unternehmen und Aufsichtsbehörden.12)
Regtech kann auf vier Kernfunktionen heruntergebrochen werden: 1. Verbesserung des Geschäftsbetriebs (Operations Regtech), 2. Erhöhung der Compliance-Kontrolle (Compliance Tech), 3. Intensivierung oder Verbesserung der Finanzaufsicht (Oversight-Tech/Suptech) und 4. Beeinflussung der Gesetzgebung (Policy Tech). 13)
Vier Kernfunktionen des Regtech
Ein Beispiel für Operations Tech ist die technische Implementierung von Handelslimits, die die Risikosteuerung in Wertpapierdienstleistungsunternehmen erleichtern. Für Compliance Tech können Know-Your-Customer-(KYC)-IT-Systeme14) genannt werden. Solche Systeme sind einerseits auf die erleichterte Prüfung geldwäscherechtlicher Anforderungen ausgerichtet, um neue Kunden bedienen zu können, andererseits stellen sie die Einhaltung der Produkt- und Vertriebsregeln sicher.
Beispiel für Suptech sind Algorithmen-gestützte Überprüfungen des Handelsverhaltens insbesondere bei Derivaten mit Bezug zu börsennotierten Aktien und Schuldverschreibungen, mittels derer die BaFin das Verbot von Insider-Geschäften sowie das Marktmanipulationsverbot überwacht.15)
Eine Ausprägung von Policy Tech ist schließlich die von ESMA betriebene IT-gestützte Bündelung der Datenströme der Behörden von Mitgliedsstaaten; so wurde zum Beispiel die Gebührenbelastung der Anleger durch in Europa vertriebene Investmentprodukte ermittelt.16) Mit solchen Datenerhebungen werden zukünftige Regulierungsschritte vorbereitet oder abgesichert und abgeschlossene Initiativen evaluiert.
Im Gegensatz zu Fintech erschöpft sich Regtech nicht auf den Finanzsektor; vergleichbare Systeme können in jedem Regulierungsbereich zum Einsatz kommen, etwa im Bereich der Unternehmenssteuerung (Corptech).17)
Digitales Finanzwesen: Bei Fintech und Regtech geht es jeweils um datengestützte Technikanwendungen: der menschliche Faktor wird reduziert, die Digitalität wird Kern der Tätigkeit. Fintech und Regtech sind somit Ausprägungen eines Finanzwesens, in dem der menschliche Faktor ganz oder teilweise substituiert wird. Menschliche Beziehungen nehmen eine geringere, datengestützte Entscheidung und Begründung eine größere Bedeutung ein.
Big Bang des Regtech-Zeitalters
Regtech wurde nicht als regulatorisches Ziel in politischen Agenden festgeschrieben und implementiert, sondern war die Reaktion der Praxis, um eine Vielzahl binnen kurzer Zeit eingeleiteter, per se aber voneinander unabhängiger, teils sogar gegenläufiger regulatorischer Entwicklungen zu bewältigen (dazu im Folgenden). Es wundert daher nicht, dass der Fintech-Aktionsplan der Europäischen Kommission Nachholbedarf bei den Aufsichtsbehörden in Sachen Regtech-Kompetenz erkennt.18)
Im Europäischen Recht lassen sich fünf Regulierungsschritte ausmachen, die das "Regtech-Zeitalter" eingeleitet haben: 1. die Intensivierung der regulatorischen Berichterstattung bis hin zur MiFID II (Richtlinie 2014/65/EU) und MiFIR (Verordnung (EU) Nr. 600/2014), 2. das offene Banksystem nach der ZDRL II (Zahlungsdiensterichtlinie), 3. die Datenschutzgrundverordnung (DSGVO), 4. die von der eIDAS-VO (electronic Identification, Authentication and trust Services) harmonisierte digitale Identitätsfeststellung sowie 5. die Registrierung von natürlichen und juristischen Personen zu Geldwäschezwecken unter der 5. Geldwäscherichtlinie. Aufgrund der kurzen Zeit für die Adaption und der gravierenden Folgen der Reformen für das Finanzwesen lässt sich von einem "Big Bang" sprechen.19)
Regulatory Reporting: der Weg zur MiFID II
Auslöser der Regtech-Bewegung in Europa war die Intensivierung der digitalen Berichterstattungspflichten für Finanzintermediäre nach der Finanzmarktkrise. Der Regulierungstrend erfasst alle regulierten Finanzinstitute.20) Zweck ist jedoch keineswegs der Anlegerschutz, sondern die von der Finanzmarktkrise befeuerte Vorstellung, bei nahezu vollständiger Information über Finanzmarkttransaktionen und Positionen einzelner Akteure auf Krisen besser reagieren zu können, um gleichsam einem Finanzmarktcockpit bei drohender Kollision frühzeitig entgegensteuern zu können.21)
Soweit ersichtlich begann diese Entwicklung mit den Reporting-Pflichten der Manager alternativer Investmentfonds gemäß Art. 22, 24 AIFM-Richtlinie 2011/61/ EU,22) wonach erstmals in sehr detaillierter Manier Informationen von AIF-KVG erhoben wurden (siehe dazu § 35 KAGB23) ). Die gleiche Entwicklung ist für die Offenlegungspflichten gegenüber den Anlegern zu konstatieren: Nach der Finanzmarktkrise wird die für Wertpapierdienstleistungen tradierte emittentenbezogene Offenlegung um fast schon tagesaktuelle produktbezogene Offenlegungspflichten ergänzt, die auf die Bedürfnisse der Kunden zugeschnitten sein sollen.
Diese Entwicklung nimmt mit der Einführung der Produktinformationsblätter - zunächst in der OGAW-RL, dann in nationaler Gesetzgebung (jetzt § 63 Abs. 2 WpHG) und heute nach der PRIIP-VO 24) - seinen Anfang und findet in der Zielmarktbestimmung und den standardisierten Geeignetheitskategorien (suitability test) seinen vorläufigen Höhepunkt. Dahinter steht ein Regtech-Gedanke: Zielmarkt und Suitability sollen korrespondieren. Kunden können nach Risikokategorien eingestuft werden. Abhängig von diesen Kategorien werden den Kunden gewisse Finanzinstrumente angeboten. Allein die Ziffer, die die Kategorie beschreibt, determiniert die für den Kunden geeigneten Finanzinstrumente. Für die Auswahl braucht man dann keinen (mehr oder weniger) kundigen, jedenfalls aber fehleranfälligen Kundenberater.
Automatisches Reporting
Regtech ist nicht nur Effizienzmaxime, sondern gleichsam zwingende Antwort auf diese Regulierungsform: die detaillierten, zeitaktuellen Informationen über eine Vielzahl von Risikofaktoren und Gegenparteien können manuell in der kurzen Zeit schlicht nicht zusammengestellt werden, die für das Reporting und die Offenlegung respektive deren ständiger Aktualisierung zur Verfügung steht. Dies wird am Beispiel der Meldepflichten der Wertpapierfirmen im Derivatehandel deutlich. Nach Art. 26 MiFIR müssen Wertpapierfirmen der zuständigen Behörde "die vollständigen und zutreffenden Einzelheiten ihrer Geschäfte" mit Finanzinstrumenten "so schnell wie möglich und spätestens am Ende des folgenden Arbeitstags" melden.
Erste Aufsichtsfälle belegen die Dimensionen und Konsequenzen: britische Banken, die einige Millionen Transaktionen im Zeitraum 2014 bis 2016 nicht gemeldet hatten, wurden mit hohen Bußgeldern belegt.25) Konkret ging es um mehr als 1 Transaktion pro Sekunde. Dies belegt: Ohne automatisches Reporting (vulgo Regtech) kann eine Wertpapierfirma ihren Pflichten nicht mehr nachkommen.
Nach Vorgaben des Financial Stability Board26) müssen Wertpapierfirmen Transaktionen mit den Daten der Kunden der Aufsichtsbehörde melden, die Meldung muss für juristische Personen einen Legal Entity Identifier (LEI) - dies ist eine zwanzigstellige Kennnummer - enthalten.27) Die empfangende Behörde kann dann sämtliche Transaktionen einer juristischen Person zusammenstellen. So lassen sich etwa über eine Vielzahl von Instituten angelegte Marktmanipulationen und durch Verknüpfung von Intermediären erzeugte Systemrisiken erkennen.
Nur durch laufende Investition in Software- und IT-Systeme können Intermediäre sicherstellen, dass für die Erfüllung der Meldepflichten ausreichend Daten erfasst und später übertragen werden können. Auch die Aufsichtsbehörden müssen leistungsfähige Schnittstellen für den Datenempfang und die Speicherung bereitstellen.28) Schließlich stellt die Verarbeitung und Auswertung der eingehenden Daten eine Herausforderung dar, die manuell nicht zu bewältigen ist.
Datenportabilität: PSD2 und DSGVO
Den zweiten Regtech-Baustein bildet die durch die zweite Zahlungsdienste-RL (ZDRL II)29) eingeführte Pflicht zur Datenportabilität. Zahlungsdienstleister müssen Kundendaten an Dritte übermitteln, wenn die Kunden sie dazu auffordern, und Zahlungsauslöse- und Kontoinformationsdienstleistern Zugang zu den Kontodaten gewähren (siehe §§ 48 ff. ZAG). Diese Daten werden dann gesammelt und digitalisiert, für die Übermittlung an die Regulierungsbehörden und/ oder den internen Gebrauch neu verpackt und durch neue, speziell entwickelte Systeme verarbeitet.
Die ZDRL II schafft die Voraussetzungen für die nächste Entwicklungsstufe der datengesteuerten Finanzwirtschaft: die Auflösung der Kundenbindung, die in der traditionellen Finanzwirtschaft der wichtigste Wettbewerbsfaktor war, weil die enge Kundenbindung bessere Informationen über diesen Kunden und damit eine realistischere Risikoeinschätzung ermöglichte. Art. 20 DSGVO30) erstreckt die Vorgaben der ZDRL II zur Datenportabilität auf den ganzen Finanzsektor.
Hintergrund des Open Banking ist die Abschaffung der dateninduzierten Skalenökonomien, wonach derjenige bessere Dienste erbringen kann, der über einen größeren Datenpool verfügt.31) Open Banking bedingt bei den Finanzinstituten eine ausgeklügelte Infrastruktur für den Datenimport und -export, vulgo Regtech.
Die DSGVO fügt der Finanzmarktregulierung eine zusätzliche Regulierungsebene hinzu: Infolge der Reporting- und Dokumentationspflichten, aber ebenso der Pflicht zur Datenportabilität verfügen die Intermediäre über immer mehr Datenpunkte pro Kunde und Transaktion. Während das Regulatory Reporting und die Datenportabilität die Möglichkeiten des datengestützten Finanzwesens erweitern, schränkt die DSGVO die Nutzung der kraft Finanzmarktrecht erfassten Daten ein. So schreibt die DSGVO unter anderem die Pseudonymisierung personenbezogener Daten vor (Art. 32 Abs. 1 lit. a DSGVO), sie regelt zudem die Rückverfolgung und Profilerstellung von Nutzern (Art. 4 Nr. 4 DSGVO) sowie den Erstkontakt (Art. 13 Abs. 1 DSGVO). Auch haben natürliche Personen das Recht, der Entscheidung eines Menschen zu unterliegen (Art. 22 Abs. 1 DSGVO).
Die Data Governance der DSGVO betreffen alle datenintensiven Unternehmen. Dies sind neben den bekannten Social-Me dia-Unternehmen auch und insbesondere Finanzintermediäre: Finanzwirtschaft ist datengestützte Wirtschaft. Dies wirkt sich neben operativen Entscheidungen insbesondere auf das Risikomanagement aus: Widersprechen etwa zahlreiche Kunden der Datennutzung, wird der Datenpool weniger repräsentativ und für bestimmte Risikokennzahlen weniger nützlich. Die Entwicklung muss antizipiert und durch Algorithmen substituiert werden. Die DSGVO steht dabei im Konflikt mit anderen Regulierungsanliegen, etwa dem Open Banking. Nur noch gut verwaltete Daten dürfen ökonomisch sinnvoll genutzt werden. Folge ist die Notwendigkeit zur ordentlichen Datenorganisation, mit sinnvoller Dateninfrastruktur und entsprechenden Routinen (vulgo Reg-Tech).
Know Your Customer
Digitale Identität - eIDAS-VO: Vierter Baustein ist die eIDAS-VO.32) Verbraucher und Unternehmen können infolge der eIDAS-VO über eine Serververknüpfung auf die jeweiligen nationalen elektronischen Identitätssysteme zurückgreifen, um ihre Identität für Dienstleistungen in anderen EU-Ländern nachzuweisen.33) Die eIDAS-VO hat ihren Ursprung im grenzüberschreitenden Behördenverkehr; zu denken ist etwa an Schulanmeldungen und Genehmigungsanträge. Jedoch soll das eIDAS-Verfahren nach dem Aktionsplan der Europäischen Kommission für Verbraucherfinanzdienstleistungen auch vom Privatsektor genutzt werden. 34)
Die eIDAS-VO ist ein wichtiger Baustein im europäischen Regtech-System, da sie die Klärung der für Finanzdienstleistungen unabdingbaren Frage ermöglicht, welche Person die digitale Dienstleistung nutzt. Der Technikeinsatz zielt auf Effizienzgewinne und verbesserte Integrität bei der Kundenanbindung. Eine manuelle Überprüfung der eIDAS-Daten ist unmöglich, weil das eIDAS-Verfahren auf automatisierten Abfragen der Identitätsdaten bei Korrespondenzservern im Heimatland des zu Identifizierenden beruht. Wer die Einsparungen der eIDAS-VO realisieren möchte, muss zunächst in technische Infrastruktur (i.e. Regtech) investieren.
Transparenz der wirtschaftlich Berechtigten: Art. 30 Abs. 3 der Vierten Geldwäsche-RL (EU) 2015/849 macht den Aufbau von Registern erforderlich, in denen die Daten der Eigner und Hinterleute von Rechtsträgern gespeichert sind. Effekt der Register ist die Verknüpfung der juristischen Personen mit den dahinterstehenden natürlichen Personen: Nicht nur die juristische Person, sondern auch die wesentlich wirtschaftlich Begünstigten werden erfasst, gespeichert und so für die Aufsichtsbehörden greifbar. Wird eine juristische Person (über den LEI - Legal Entity Identifier) als Kunde gemeldet, lässt sich anhand des B.O.-Registers (Beneficial Owner) unschwer feststellen, wer von der Transaktion profitiert.
Zaghafte Umsetzung in Deutschland
Deutschland hat sich bekanntlich für eine zaghafte Umsetzung entschieden, wonach die B.O.-Daten nur einem begrenzten Personenkreis zugänglich sind (§ 23 Abs. 1 GwG).35) Anders der englische Transparenzansatz, wonach die Basisdaten der wirtschaftlichen Berechtigten in dem vom Companies House geführten Gesellschaftsregister grds. abrufbar sind.36)
Noch weiter gehen englische Überlegungen zur Umsetzung der 5. Geldwäscherichtlinie. Die Registerinhalte sollen mit Identitätsdaten (etwa der eIDAS-VO) und Inhalten anderer öffentlicher Register verknüpft und verprobt, um Angaben zu in- und ausländischen Kontenbeziehungen ergänzt und sämtliche Registerdaten über das Companies House abrufbar werden.37) Dies wird weiteren Regtech-Systemen den Boden bereiten. Von einem allen Finanzinstituten offenen "KYC Hub" mit sämtlichen Kundendaten ist man dann nur noch einen Schritt entfernt; dies verspricht erhebliche Einsparungen, jedoch sind die Risiken der Bündelung sämtlicher Kundendaten in einer Datenbank nicht außer Acht zu lassen.38)
Finanzmarktrecht im Regtech-Zeitalter
Die dynamische Entwicklung ruft die Frage hervor, wie sich das Regtech-Zeitalter auf die Regulierung auswirkt.
Neue und alte Risiken: Regtech beseitigt Risiken nicht, sondern transformiert diese. An die Stelle menschlichen Versagens tritt das Versagen von Menschen beeinflusster und programmierter Systeme. 39) Ursache kann weiterhin menschliche Insuffizienz (zum Beispiel fehlerhafter Code), aber auch technisches Versagen sein (zum Beispiel Server überhitzt). Omnipräsent ist und bleibt die Cybersecurity.
Aber auch völlig neue Risiken entstehen. Exemplarisch dafür steht das sogenannte Global Technology Risk (GTR), das aus der datentechnischen Verknüpfung nahezu sämtlicher Intermediäre entsteht.40) Hatte man Systemrisiken bislang finanziell ermittelt, etwa durch Betrachtung der Abhängigkeiten vieler anderer von der Zahlungsfähigkeit einzelner Intermediäre, ist es in Zeiten von Regtech geboten, IT-Risiken als genuin operationelle Risiken in die Risikoermittlung einzubeziehen. So gibt es nur eine Handvoll bedeutender Lieferanten von Roh-Finanzdaten und Cloud Services; jedenfalls letztere unterliegen keiner auf das Finanzsystem ausgerichteten Regulierung.
Weiteres Beispiel sind die unbeabsichtigten Folgen korrelationsorientierter Datenanalyse. Zusammenhänge und Ursachen im Sinne von Kausalität sind zwei Paar Schuhe. 41) Auch sind unbeabsichtigte soziale Folgen in den Blick zu nehmen: Wer etwa Dienstleistungen nach Kreditwürdigkeit zugänglich macht, schließt Personen, die über geringere Kreditwürdigkeit verfügen, vom Zugang zu Finanzdienstleistungen aus (financial exclusion). Das ist keineswegs neu. Neu ist, dass der Ausschluss von Finanzdienstleistungen Folge technischer Komplexität sein kann: Schon jetzt können Angehörige der älteren Generation dem Innovationstempo kaum folgen. Dies zeitigt Folgen auch innerhalb der Finanzunternehmen und Behörden. Der Typus Aktenhuber wird vom "IT-smarten", akademisch geschulten Empiriker verdrängt. Doch ist keineswegs gesagt, dass heutige Führungskräfte hinreichend IT-smart sind. Der Parameter der "Geeignetheit" im Fit&Proper-Test von Wertpapierfirmen ist neu zu justieren.
Vor Überraschungen nicht gefeit
Auch ist man vor Überraschungen nicht gefeit. So sollte die Datenportabilität den Wettbewerb intensivieren. Stattdessen wurde der Einstieg finanzkräftiger Technologieunternehmen in den Finanzdienstleistungsmarkt beschleunigt, weil diese über Finanzmittel und technische Ressourcen zur Bündelung großer Datenströme und Erschließung neuer Kundengruppen verfügen.
Es gilt das bereits im Jahr 2006 von Lawrence Lessig42) artikulierte Paradox, dass sich eine auf Öffnung ausgerichtete IT-Architektur als Zugangssperre erweist, weil offene Datenmärkte für Monopolstrukturen anfällig sind. Die Formulierung einer stimmigen Antwort auf die schleichende Oligopolisierung der Finanzindustrie ist Primärherausforderung einer Regtech-gestützten Finanzwirtschaft.
Pro auswirkungsbezogene Regulierung: Wie soll die Gesetzgebung auf Regtech reagieren? Denkbar wäre die Regulierung und Überwachung der Programmierung von Algorithmen oder der Design-Struktur von Servern. Noch einen Schritt weiter ginge eine an einzelne Applikationen anknüpfende Regulierung: Wer High Frequency Trading separat reguliert, könnte ebenso gut Big Data Storage, Analytics oder Transfer regulieren.
Technikneutrale Regulierung
Dieser Schritt wird hier explizit abgelehnt: Die einzige Konstante der technischen Entwicklung ist der Wandel. Jede an einzelne Techniken knüpfende Regulierung stellt eine Innovationshürde dar. Zudem stellen sich definitorische Probleme: Wo endet die normale Datenverarbeitung, wo beginnt Big Data? Derartige Definitionen sind vom jeweiligen Stand der Technik abhängig; die Grenze wird sich - dank des Moore'schen43) und Kryder'schen Gesetzes44) - laufend verschieben.
Einzig sinnvolle Alternative ist eine technikneutrale, auf die Auswirkungen einer Technik - im Gegensatz zur Technik selbst - fokussierte Regulierung. Diese sogenannte "effects-based regulation" ist aus dem Wettbewerbsrecht bekannt, wo man die Herausforderung zu meistern hat, verschiedenste Formen und Methoden der Wettbewerbsbeschränkung rechtlich zu erfassen.45) Derselbe gedankliche Ansatz sollte auch im Finanzmarktrecht Leitlinie sein, was sich damit rechtfertigt, dass es bei Anlegerschutzfragen um Marktverhaltensrecht und bei Marktfunktionsfragen (inklusive systemischer Risiken) um Marktstrukturregulierung geht.
Die digitale Hochkonjunktur im Finanzwesen ist nur zum Teil dem kreativen Geist der Softwareentwickler geschuldet. Der andere Teil ist Folge diverser, teils konträrer regulatorischer Vorgaben des Europarechts. Die Leistungsfähigkeit der Regulierung ist im Regtech-Zeitalter nur zu gewährleisten, wenn sich die Aufsicht auf die Auswirkung von Innovation (effects-based regulation) konzentriert.
Fußnoten
1) Grundlegend Europäische Kommission, Mitteilung der Kommission, FinTech-Aktionsplan: Für einen wettbewerbsfähigeren und innovativeren EU-Finanzsektor (08.03.2018), COM(2018) 109 final. S.a. Zetzsche/Buckley/Arner/Barberis, From FinTech to TechFin: The Regulatory Challenges of Data-Driven Finance, 14 NYU J. L. & Bus. 393 (2018).
2) Vgl. Enriques/Zetzsche, Corporate Technologies and the Tech Nirvana Fallacy (June 1, 2019), S. 9, https://ssrn.com.
3) Vgl. Barocas/Selbst, Big Data's Disparate Impact, 104 Cal. L. Rev. 671 (2016); Elvy, Paying for Privacy and the Personal Data Economy, 117 Colum. L. Rev, 1369, 1400-28 (2017).
4) Vgl. Hüther/Danzmann, BB 2017, 834.
5) Vgl. Casey/Niblett, Self-driving contracts, 43 J. Corp. L. 1, 13-26 (2017); dies., A Framework for the New Personalization of Law, 86 U. Chi. L. Rev. 333 (2019); Katz, Quantitative Legal Prediction-or How I Learned to Stop Worrying and Start Preparing for the Data Driven Future of the Legal Services Industry, 62 Emory L.J. 909 (2013); Surden, Machine Learning and Law, 89 U. Wash. L. Rev. 87,102-10 (2014).
6) Vgl. De Filippi/Wright, Blockchain and the Law - The Rule of Code (2018); Zetzsche/Buckley/Arner, The Distributed Liability of Distributed Ledgers: Legal Risks of Blockchain, 2018 U. Illinois L. Rev. 1361, 1382-1402.
7) Vgl. Sklaroff, Smart Contracts and the Cost of Inflexibility, 166 U. Pa. L. Rev. 263 (2017); Werbach/ Cornell, Contracts Ex Machina, 67 Duke L. J. 313, 367-81 (2017).
8) Vgl. Arner/Zetzsche/Buckley/Barberis, The Identity Challenge in Finance: From Analogue Identity to Digitized Identification to Digital KYC Utilities, EBOR 2019, S. 55, 78 ff.
9) Vgl. FinTech-Aktionsplan (Fn. 1), Ziff. 1.1. S.a. Klein/Nathmann, BB 2019, 1158; Will/Quarch, WM 2018, 1481; Klöhn/Hornuf, DB 2015, 47; Klöhn/Hornuf, ZBB 2012, 237; Zetzsche/Preiner, Cross-Border Crowdfunding - Towards a Single Crowdfunding Market for Europe, EBOR 2018, 23.
10) Vgl. FinTech-Aktionsplan (Fn. 1), Ziff. 2.5. Möslein/Florian/Lordt/Arne, ZIP 2017, 793; Oppenheim/Lange/Hausstein, WM 2016, 1966.
11) Vgl. FinTech-Aktionsplan (Fn. 1), Ziff. 1.1. S.a. Wilkens, ZBB 2019, 10; Zetzsche/Buckley/Arner/Föhr, The ICO Gold Rush: It's a Scam, It's a Bubble, It's a Super Challenge for Regulators, 63 Harv. J. International L. (2019).
12) Grundlegend Arner/Barberis/Buckley, FinTech, RegTech and the Reconceptualization of Financial Regulation, 37 Nw. J. Int'l L. & Bus. 317 (2017).
13) Luca Enriques, Financial Supervisors and Regtech: Four Roles and Four Challenges, RTDF 53 (2017).
14) Vgl. Arner et al., Digital Identity (Fn. 14), EBOR 2019, S. 55, 78 ff.
15) Vgl. BaFin, RegTech auf dem Vormarsch (15.03.2019), abrufbar unter: www.bafin.de.
16) S. ESMA Annual Statistical Report, Performance and costs of retail investment products in the EU 2019, 10 January 2019, ESMA 50-165-731.
17) Dazu Zetzsche, AG 2019, 1; Enriques/Zetzsche, Corporate Technologies (Fn. 8), S. 4.
18) Vgl. FinTech-Aktionsplan (Fn. 1), Ziff. 2.4.
19) Zetzsche/Arner/Buckley/Weber, The Future of Data-Driven Finance and RegTech: Lessons from EU Big Bang II, EBI WPS 2019/35, https://ssrn.com.
20) S. nur Art. 31 EMIR; § 12a, 14, 24 KWG.
21) S. Arner et al., RegTech (Fn. 15), Einl.
22) Dazu vgl. Zetzsche/Eckner in Zetzsche, AIFMD, 2. Aufl. 2015, S. 401 ff.
23) So umfasst die AIFMD L2-VO 2013/231/EU ein mehr als 70(!)-seitiges Formular zu liefernder Daten. Vgl. Hanten in Assmann/Wallach/Zetzsche, KAGB, 2019, § 35 Rn. 20 ff.
24) Packaged Retail and Insurance-based Investment Products; dazu z. B. Wilhelmi in Assmann/Wallach/Zetzsche, KAGB, 2019, Art. 5 PRIIP-VO Rn. 1 ff.
25) Vgl. FCA, FCA Fines Merrill Lynch £34.5 Million for Failing to ReportTransactions, www.fca.org.uk/news/press-releases/fca-fines-merrilllynch-failing-report-transactions; dazu Zetzsche et al., The Future of Data-Driven Finance (Fn. 22), S. 17 f.
26) Vgl. FSB, FSB Report Global Legal Entity Identifier for Financial Markets (Juni 2012), www.fsb.org.
27) S. insbesondere Art. 13 und Tabelle 2, Felder 6, 12, 12, 16 der Delegierte Verordnung (EU) 2017/590 (...) für die Meldung von Geschäften an die zuständigen Behörden sowie die Übersicht der von der Einführung des LEI betroffenen Rechtsakte unter www.leiroc.org.
28) S. ESMA, Reporting Instructions, FIRDS Reference Data System (31.10.2018), ESMA65-11-1193.
29) Dazu Omlor, BKR 2019, 105; Omlor, WM 2018, 937; Zahrte, NJW 2018, 337.
30) Verordnung (EU) 2016/679 v. 27.04.2016, ABl. L 119/1; dazu Lettl, Die Datenschutz-Grundverordnung (DSGVO), WM 2018, 1149.
31) Vgl. zum Hintergrund von Open Banking Zachariadis/Ozcan, The API Economy and Digital Transformation in Financial Services: The Case of Open Banking, SWIFT Institute Working Paper No. 2016-001.
32) Verordnung (EU) Nr. 910/2014 vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt.
33) Vgl. Europäische Kommission, http://bit.ly/2p9FH5P.
34) Europäische Kommission, Mitteilung der Kommission, Aktionsplan Finanzdienstleistungen für Verbraucher: bessere Produkte, mehr Auswahl (23.3.2017), Ziff. 4.2.1., COM(2017) 139 final.
35) Vgl. Friese/Brehm/Orth, GWR 2017, 271, 273; Longrée/Pesch, NZG 2017, 1081, 1082; Schaub, DStR 2017, 1438, 1443.
36) Nach Umsetzung der 4. Geldwäscherichtlinie sind sämtliche Registerdaten frei zugänglich (s. 1086 (1) Companies Act 2006), mit Ausnahme der in s. 1087 Companies Act 2006 genannten Daten frei zugänglich. Speziell zu wirtschaftlich Berechtigten vgl. The Information about People with Significant Control (Amendment) Regulations 2017 (S.I. 2017/693).
37) Dazu UK Department for Business, Energy & Industrial Strategy, Corporate Transparency and Register Reform - Consultation on options to enhance the role of Companies House and increase the transparency of UK corporate entities, 9. Mai 2019, insb. S. 53 ff.
38) Dazu ausf. Arner et al. (Fn. 14), EBOR 2019, S. 63 f.
39) S. Enriques/Zetzsche, Corporate Technologies (Fn. 8), S. 4.
40) Arner/Zetzsche/Buckley, FinTech, RegTech and Systemic Risk: The Rise of Global Technology Risk, in: Schwarcz/Arner/Avgouleas/Bush, Systemic Risk in the Financial Sector: Ten Years after the Global Financial (im Druck).
41) S. (mit Beispielen) Zetzsche et. al., From FinTech to TechFin (Fn. 1), S. 3.
42) Vl. Lessig, Code: Version 2.0. (2006).
43) Als Moore's Gesetz wird die Prognose von Intel-Gründer Gordon Moore aus dem Jahr 1965 bezeichnet, wonach sich die Anzahl der Transistoren, die pro Quadratzoll auf integrierten Schaltungen fixiert werden kann, alle zwei Jahre verdoppelt, während sich der dafür erforderliche Aufwand halbiert. Folge wäre eine enorme Zunahme der Datenverarbeitungskapazität. Vgl. Moore, Cramming More Components onto Integrated Circuits, Electronics, Apr. 19, 1965, 114; neuaufgelegt 1986 Proceedings of the IEEE, 82 (1998).
44) Nach Mark Kryder benannte Prognose, wonach die Datenspeicherkapazität exponentiell wachsen wird; vgl. Walter, Kryder's Law, Scientific American, Aug. 2005, S. 32.
45) Vgl. Bourgeois/Waelbroeck (Hrsg.), Ten years of effects-based approach in EU competition law (2013); Podszun, EuCML 2018, 57
