Der Austritt des Vereinigten Königreichs aus der Europäischen Union dürfte sich 2020 einen Platz in den Geschichtsbüchern gesichert haben. Dass der Brexit schon 2019 zu den geschäftsbereichsübergreifenden Aufsichtsschwerpunkten der BaFin gehörte, ist der Tatsache geschuldet, dass das Austrittsdatum eigentlich auf den 29. März 2019 fallen sollte. Das britische Parlament hatte den Termin dann aber auf den 31. Oktober 2019 verlegt, bevor sich der Austritt 2019 schließlich nicht mehr realisieren ließ.

Auch die Aufsicht befasste sich unter ständig wechselnden Vorzeichen mit dem Brexit, der dann am 31. Januar 2020 tatsächlich vollzogen wurde. Seither gilt eine Übergangsphase bis voraussichtlich 31. Dezember 2020, in der das EU-Recht für Bürger und Unternehmen aus und im Vereinigten Königreich grundsätzlich weitergilt. Die Übergangsphase könnte auf Antrag des Vereinigten Königreichs einmalig um bis zu zwei Jahre verlängert werden.

Einigen sich die Unterhändler der Europäischen Union und des Vereinigten Königreichs bis dahin nicht, wäre ab Anfang 2021 wieder ein No-Deal-Szenario möglich. Darauf hatte sich die BaFin bereits im vergangenen Jahr intensiv vorbereitet, indem sie Allgemeinverfügungen erließ, die auf den Aufsichtsgesetzen KWG (Kreditwesengesetz), ZAG (Zahlungsdiensteaufsichtsgesetz), VAG (Versicherungsaufsichtsgesetz) und WpHG (Wertpapierhandelsgesetz) beruhten. Die Regelungen, nach denen die BaFin die vorübergehende Weitergeltung bestimmter Vorschriften für grenzüberschreitende Geschäfte hätte anordnen können, hätten die allergrößten Härten für die beaufsichtigten Finanzunternehmen abgemildert. Diese Möglichkeit steht der BaFin nun, nachdem das Austrittsabkommen ratifiziert wurde, nicht mehr zur Verfügung.

Finanzunternehmen, die ihren Standort 2019 nach Deutschland verlegten oder ihren deutschen Standort stärkten, stand die BaFin im vergangenen Jahr beratend zur Seite. Sie nahm etwa komplexe Modelleprüfungen im Zusammenhang mit der regulatorischen Eigenkapitalunterlegung vor.

Schwerpunkt Digitalisierung

Beim Schwerpunktthema Digitalisierung trieb die BaFin 2019 viele Entwicklungen aus den Vorjahren weiter voran. Nach den Bankaufsichtlichen Anforderungen an die IT (BAIT) 2017 und den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) 2018 veröffentlichte sie 2019 die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) und ergänzte die VAIT um ein Modul zu kritischen Infrastrukturen (siehe BaFinJournal Oktober 2019 und April 2019). Die Umsetzung der Digitalisierungsstrategie aus dem August 2018 ist seit Anfang 2019 eine Hauptaufgabe des neuen Digital Office (siehe BaFinJournal Juli 2019).

Die BaFin hat 2019 zudem die zahlreichen Rückmeldungen zu ihrer Studie „Big Data trifft auf künstliche Intelligenz“ (siehe BaFinJournal Juni 2018) analysiert und im Lichte dessen beschlossen, sich verstärkt mit der Geldwäscheerkennung durch BDAI und den eingesetzten BDAI-Techniken im Finanzsektor auseinanderzusetzen sowie auf europäischer Ebene über den rechtlichen Rahmen für Daten- und Plattformanbieter zu diskutieren.

Eines der Themen des Jahres war die IT-Sicherheit: Banken meldeten der BaFin im vergangenen Jahr im Zahlungsverkehr 286 IT-Vorfälle. Unter großem Medienecho trat am 14. September 2019 die Pflicht zur Starken Kundenauthentifizierung auf der Grundlage der zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD2) in Kraft (siehe BaFinJournal September 2019). Um Störungen im E-Commerce zu vermeiden, werden Kartenzahlungen im Internet ohne Starke Kundenauthentifizierung bis zum 31. Dezember 2020 nicht beanstandet. Seit Umsetzung der PSD2 erteilte die BaFin 37 Instituten eine Zulassung auf der Grundlage des novellierten Gesetzes, wobei es sich bei rund 60 Prozent dieser Institute um IT-fokussierte Zahlungsdienstleister handelt – für deren Geschäftsmodell war es entscheidend, dass Banken nach der PSD2 ihre Schnittstellen für Dienste von Drittanbietern öffnen müssen.