FinTech-Regulierung
Der europäische Regulierungsrahmen für Finanzdienstleistungen hat sich in den letzten fünf Jahren grundlegend verändert. Mit MiCA, PSD2 (und dem bevorstehenden PSD3-Regime), der Digital Operational Resilience Act (DORA) und den EBA-Leitlinien zu Auslagerung und Cybersicherheit ist ein Normgeflecht entstanden, das FinTech-Unternehmen für alle Phasen ihrer Entwicklung prägt: von der Produktgestaltung uber die Lizenzierung bis zur internationalen Skalierung.
Ich berate FinTech-Unternehmen bei der Strukturierung regulierungskonformer Geschäftsmodelle, der Auswahl und Beantragung von Lizenzen sowie der Gestaltung von Vertragsstrukturen, die regulatorische Anforderungen operativ abbilden.
MiCA: Das neue Krypto-Asset-Regulierungsregime
Die Verordnung (EU) 2023/1114 über Märkte für Krypto-Assets (MiCA) ist seit dem 30. Dezember 2024 vollständig anwendbar. Sie führt erstmals ein einheitliches EU-weites Regulierungsregime für Krypto-Assets ein, das nicht bereits unter bestehendes Finanzregulierungsrecht (MiFID II, E-Geld-Richtlinie) fällt.
MiCA unterscheidet drei Kategorien von Krypto-Assets: Asset-Referenced Tokens (ART, Art. 16 ff. MiCA), E-Geld-Token (EMT, Art. 48 ff. MiCA) und sonstige Krypto-Assets (Art. 4 ff. MiCA). Krypto-Asset-Dienstleister (CASPs) unterliegen eigenen Anforderungen nach Titel V MiCA, einschließlich Zulassungspflicht (Art. 59 ff.), Eigenkapitalanforderungen, Verhaltens- und Offenlegungspflichten.
Das Passporting-Regime nach MiCA erlaubt zugelassenen CASPs, ihre Dienste im gesamten EU-Binnenmarkt anzubieten. Für Unternehmen, die bisher außerhalb des regulierten Rahmens operierten, ist MiCA ein unmittelbarer Handlungsauftrag.
PSD2 und das kommende PSD3-Regime
Die Zahlungsdienstrerichtlinie PSD2 (Richtlinie 2015/2366/EU) reguliert Zahlungsdienste im EWR. Relevant für FinTech-Unternehmen sind insbesondere: die Lizenzierungsanforderungen für Zahlungsinstitute (PI) und E-Geld-Institute (ELMI), die Anforderungen an starke Kundenauthentifizierung (SCA, Art. 97 PSD2 i.V.m. Delegierter Verordnung (EU) 2018/389), die offenen Bankingpflichten (Open Banking, Art. 66, 67 PSD2) und die Meldepflichten bei schwerwiegenden Sicherheitsvorfallen (Art. 96 PSD2).
Die EU-Kommission hat im Juni 2023 das PSD3-Paket vorgelegt, bestehend aus einer neuen Richtlinie (PSD3) und einer direkt anwendbaren Payment Services Regulation (PSR). PSD3 soll unter anderem den Betrugsschutz verstärken, Open-Finance-Konzepte ausweiten und die Aufsichtskonvergenz verbessern. Das Inkrafttreten ist voraussichtlich 2025/2026.
DORA: Digitale Betriebsresilienz für Finanzunternehmen
Die Digital Operational Resilience Act (DORA, Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025. Sie verpflichtet Finanzunternehmen — einschließlich Zahlungsinstitute, E-Geld-Institute und CASPs — zur Implementierung von ICT-Risikomanagementsystemen, Meldung von IKT-Vorfallen, Tests der operativen Resilienz (einschließlich TLPT) und Steuerung von IKT-Drittparteirisiken.
Besonders relevant: Kritische IKT-Drittanbieter (z.B. Cloud-Anbieter) werden durch DORA direkt beaufsichtigt. Finanzunternehmen müssen ihre Auslagerungsverhältnisse auf DORA-Konformität prüfen und gegebenenfalls Vertragsanpassungen vornehmen.
Lizenzierungsstrategien für FinTech-Unternehmen
Die Wahl des richtigen Lizenzierungsmodells ist eine strategische Entscheidung mit erheblichen Konsequenzen für Kosten, Zeitplan und Geschäftsmodell. Optionen:
Vollzulassung als Zahlungsinstitut oder E-Geld-Institut: Vollständige regulatorische Eigenständigkeit, aber hohe Anforderungen an Eigenkapital, Governance und Compliance-Infrastruktur. Sinnvoll für Unternehmen mit Skalierungsambition.
Agent oder Unterbevollmächtigter eines lizenzierten Instituts: Schnellerer Marktzugang, aber operative und vertragliche Abhängigkeit vom lizenzgebenden Institut. Risiken bei Lizenzentziehung des Instituts.
Banking-as-a-Service (BaaS): Nutzung der Infrastruktur eines regulierten Partners. Minimaler regulatorischer Aufwand, aber begrenzte Eigenständigkeit und Abhängigkeit von der Vertragsgestaltung.
European Passport: Wer in einem EU-Mitgliedstaat lizenziert ist, kann den europäischen Pass nutzen, um Dienste grenzüberschreitend anzubieten (Art. 28 PSD2). Die Wahl des Zulassungsstaates ist deshalb strategisch: Regulierungskultur, Bearbeitungszeiten und Aufsichtsintensität der nationalen Behörden variieren erheblich.
Häufig gestellte Fragen
Welche Krypto-Dienstleistungen sind unter MiCA zulassungspflichtig?+
Art. 3 Abs. 1 Nr. 16 i.V.m. Anhang I MiCA listet die zulassungspflichtigen Krypto-Asset-Dienstleistungen: Verwahrung und Verwaltung von Krypto-Assets, Betrieb von Handelsplattformen, Tausch von Krypto-Assets, Ausführung von Aufträgen, Platzierung von Krypto-Assets, Annahme und Übermittlung von Aufträgen sowie Beratung zu Krypto-Assets und Portfolioverwaltung. NFTs können je nach Ausgestaltung als Krypto-Asset qualifizieren; reine Utility-Token fallen in der Regel nicht unter MiCA.
Ist ein in Deutschland lizenziertes Zahlungsinstitut automatisch im UK tätig?+
Nein. Seit dem Brexit gilt der EU-Pass nicht mehr zwischen der EU und dem UK. Wer im UK Zahlungsdienste erbringen will, benötigt eine eigene FCA-Zulassung (oder kann unter das Temporary Permissions Regime fallen, sofern noch relevant). Die FCA hat eigene Anforderungen an Eigenkapital, Governance und AML-Compliance, die sich von der PSD2-Umsetzung in Deutschland unterscheiden. Ich berate bei der Strukturierung paralleler EU- und UK-Lizenzen.
Was sind die Eigenkapitalanforderungen nach PSD2 für ein Zahlungsinstitut?+
Die Mindestanfangskapitalanforderungen nach Art. 7 PSD2 variieren je nach Dienstleistung: 20.000 EUR für Zahlungsauslösung, 50.000 EUR für Kontoinformationsdienste, 125.000 EUR für alle anderen Zahlungsdienste. Hinzu kommen laufende Eigenkapitalanforderungen nach Methode A, B oder C des Anhangs I PSD2, die auf dem Zahlungsvolumen oder den Fixkosten basieren. Die tatsachlichen Anforderungen der BaFin können über das gesetzliche Minimum hinausgehen.
Was bedeutet DORA für meine Cloud-Auslagerungen?+
DORA verlangt, dass IKT-Auslagerungsvertrage mit kritischer oder wichtiger Funktion spezifische Klauseln enthalten (Art. 30 DORA): Beschreibung der ausgelagerten Funktion, Subauslagerungsregeln, Prüf- und Revisionsrechte des Finanzunternehmens und der Aufsichtsbehörde, Verfügbarkeit- und Qualitätsanforderungen, Datensicherheitsanforderungen, Regelungen zu Datenlokalisierung und Exit-Management. Bestehende Cloud-Vertrage müssen auf Konformität mit diesen Anforderungen geprüft und gegebenenfalls nachverhandelt werden.
Siehe auch
Die Inhalte dieser Seite dienen ausschließlich der allgemeinen Information und stellen keine Rechtsberatung im Einzelfall dar. Durch die Lektüre dieser Seite entsteht kein Mandatsverhältnis. Für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte direkt an die Kanzlei.