Es gilt das gesprochene Wort!

Sehr geehrter Herr Siebel,
sehr geehrte Damen und Herren,

herzlichen Dank für die nette Begrüßung und die Einladung, heute hier zu sprechen.

„Es gibt Risiken, die einzugehen du dir nicht leisten kannst und es gibt Risiken, die nicht einzugehen du dir nicht leisten kannst.“ Dieser Gedanke, der dem US-amerikanischen Management-Pionier Peter Drucker zugeschrieben wird, ist aktueller denn je. Es kommt darauf an, die richtigen Risiken einzugehen. Gerade heute, da digitale Technologien unser gesamtes Leben, und damit auch die Kapitalmärkte, immer stärker prägen.

Ich bin überzeugt: Digitale Technologien können die europäischen Kapitalmärkte und die Kapitalmarktunion ein großes Stück voranbringen. Als Aufseher sehe ich aber auch, dass digitale Technologien Risiken mit sich bringen, die niemand außer Acht lassen darf, der heute im Asset-Management Verantwortung trägt.

In Europa brauchen wir leistungsstarke Kapitalmärkte. Denn für die Transformation unserer Volkswirtschaften zur Klimaneutralität und für den digitalen Wandel müssen wir investieren – und zwar in enormem Ausmaß. Experten schätzen die jährliche Investitionslücke in den Mitgliedstaaten bis 2030 auf mehr als 480 Milliarden Euro. Das ist mehr als der gesamte Bundeshaushalt 2024. Dafür braucht es privates Kapital. Deshalb ist die Weiterentwicklung der europäischen Kapitalmärkte, hin zu einer Kapitalmarktunion, so wichtig.

Die Kapitalmarktunion ist ja kein neues Projekt. Wir beschäftigen uns damit schon seit fast einem Jahrzehnt. Die Liste der noch offenen Regulierungsvorhaben ist lang: der Listing Act, die Retail-Investment-Strategy, EMIR 3.0 oder FiDA, bisher auch bekannt als Open Finance, – es gibt noch viel zu tun. Auch für die nächste EU-Kommission und das neue EU-Parlament.

Die vielen Regulierungsprojekte, die zurzeit in Brüssel verhandelt werden oder die schon in der Umsetzung sind, zeigen übrigens fast alle eines: Die Gestaltung der Kapitalmarktunion und der Fortschritt digitaler Technologien sind eng miteinander verwoben. Auf der einen Seite haben viele europäische Verordnungen und Richtlinien zur Regulierung der Kapitalmärkte einen starken Digitalbezug. Und auf der anderen Seite hat fast die Hälfte der laufenden und absehbaren Vorhaben in der Digitalregulierung einen Bezug zum Kapitalmarkt. Das eine ist ohne das andere mittlerweile undenkbar. Wenn wir heute also über die Kapitalmarktunion sprechen, dann sprechen wir eigentlich über die digitale Kapitalmarktunion.

Es geht jetzt darum, die großen Möglichkeiten digitaler Technologien für die Entwicklung der europäischen Kapitalmärkte zu nutzen – und gleichzeitig die mit dem digitalen Fortschritt einhergehenden Risiken im Zaum zu halten. Wie sollte Regulierung also ausgestaltet sein? Und welchen Beitrag müssen die Unternehmen leisten, die im Finanzsektor tätig sind, also auch Kapitalverwaltungsgesellschaften und Asset-Manager? Auf diese Fragen möchte ich mich heute konzentrieren.

Bei der Regulierung digitaler Technologien im Kapitalmarkt ist für mich nicht das Ob, sondern das Wie entscheidend. Europa muss ein attraktiver und sicherer Standort für Kapitalmarktakteure sein. Wir brauchen Geschwindigkeit, klare Regeln und ein Minimum an Bürokratie. Wir müssen Komplexität eindämmen. Was meine ich damit?

Nehmen wir als Beispiel die MiCA-Verordnung, die Markets in Crypto Assets Regulation. Damit haben wir in Europa einen verbindlichen Rechtsrahmen für die Regulierung von Kryptowerten und –dienstleistern geschaffen. So bekommen wir Sicherheit für Anbieter und für Kundinnen und Kunden.

Bei MiCA gibt es jedoch auch 57 Level-2- und Level-3-Rechtsakte oder Leitlinien, die zusätzlich erlassen werden, um die Verordnung zu konkretisieren. Bei allem Verständnis für schnelles Anpassen von Regulierung in schnelllebigen Märkten, frage ich mich da schon: Ist diese Menge an Regeln wirklich zielführend? Brauchen wir ein Regelwerk, das festlegt, wie Standardformulare und Mustertexte für Kryptowerte-Whitepaper aussehen sollen? Ginge es wirklich nicht einfacher, pragmatischer?

Wenn Europa das Potenzial der Kapitalmärkte nutzen will, darf es sich nicht selbst im Wege stehen. Regulierung sollte nicht darauf ausgelegt sein, jedes noch so kleine Detail zu regeln. Sie muss die großen Probleme adressieren. Und sie muss klare Leitplanken setzen. Das gibt allen Beteiligten Sicherheit. Das reduziert Bürokratie. Und das ermöglicht dann auch schnelles Handeln.

Umso wichtiger ist es jetzt, die regulatorischen Vorhaben, über die wir gerade diskutieren oder die bereits umgesetzt werden, schnell zu Ende zu bringen. Denn diese Vorhaben können die europäischen Kapitalmärkte weiter voranbringen. Drei Beispiele zeigen das sehr deutlich.

Nehmen Sie – erstens – das neue europäische Datenportal, den European Single Access Point. Kurz ESAP. Eine Plattform für die wesentlichen Finanz- und Nachhaltigkeitsdaten europäischer Unternehmen. Investorinnen und Investoren müssen Informationen dann nicht mehr europaweit an unterschiedlichen Stellen recherchieren und zusammentragen. Sie werden einfach zugänglich, zentral abrufbar und grundsätzlich kostenfrei zur Verfügung stehen. ESAP dürfte zudem zu einer größeren Vereinheitlichung der Daten führen, etwa in Bezug auf die verwendeten Formate. Das wäre ein guter Fortschritt. Auf der anderen Seite ist der Aufbau der Plattform sehr aufwändig. Die Einstellung von Daten auf ESAP wird in mehreren Schritten erfolgen. Nach aktuellem Stand dürfte ESAP erstmals im Sommer 2027 zur Verfügung stehen. Bis Anfang 2030 sollen dann alle betroffenen Daten auf der Plattform abrufbar sein. Wir werden sehen, wie sie sich konkret entwickelt.

Ein zweites Beispiel ist der konsolidierte Datenticker, das Consolidated Tape. Es ist Teil des gerade beschlossenen MiFIR-Review. Künftig wird es drei konsolidierte Datenticker geben. Für Aktien und ETFs, für Anleihen und für OTC-Derivate. Das wird uns weiter Richtung Kapitalmarktunion bringen. Aktuell haben wir in der EU viele Handelsplätze – und damit auch einen starken Wettbewerb. Das ist grundsätzlich gut. Gleichzeitig ist die Liquidität in einzelnen Finanzinstrumenten über verschiedene Handelsplätze verteilt. Ein konsolidierter Datenticker führt diese Liquidität virtuell zusammen. Für die BaFin kann ich sagen: Wir begrüßen das Consolidated Tape ausdrücklich. Denn die Datenticker unterstützen die Effizienz, die Transparenz und die Integrität der Finanzmärkte in der EU.

Das dritte regulatorische Vorhaben, das die europäischen Kapitalmärkte voranbringen kann, ist die Verordnung zum Finanzdatenzugang. Kurz: FiDA. FiDA wird Unternehmen verpflichten, ihre Kundendaten anderen Finanzinstituten und Finanzinformationsdienstleistern bereitzustellen. Immer nur mit Zustimmung der Kunden. Und immer nur an Unternehmen der regulierten Finanzindustrie. Das wird auch KVGen und Asset Manager betreffen. Die Möglichkeit eines sicheren und effizienten Datenzugriffs wird neue unternehmerische Chancen eröffnen. Für etablierte und neue Anbieter am Markt. Wir dürften neue, innovative Geschäftsmodelle sehen. Der Wettbewerb dürfte intensiver werden.

Ich finde, diese drei Regulierungsvorhaben können die digitale Kapitalmarktunion deutlich voranbringen. Weil sie klare Leitplanken setzen für einen effizienten Austausch von Daten. Und weil sie Transaktionskosten reduzieren und neue Geschäftsmodelle ermöglichen. Und noch ein anderer Aspekt ist wichtig: Regelwerke wie ESAP und FiDA werden dafür sorgen, dass künftig verlässlichere Daten viel besser verfügbar sind. Das ist auch für neue KI-Anwendungen entscheidend. Ich bin überzeugt: Die Verlässlichkeit von Informationen und Daten wird ein starker Wettbewerbsvorteil sein.

Sehr geehrte Damen und Herren,

eine gut konzipierte und effizient umgesetzte Regulierung kann die europäischen Kapitalmärkte stärken. Aber auch Sie in den Unternehmen tragen Verantwortung dafür, dass die europäischen Kapitalmärkte in einem zunehmend digitalisierten Umfeld gut funktionieren.

Sie müssen beispielsweise Ihre Cyber-Risiken im Griff haben: Weltweit gibt es immer mehr Angriffe auf IT-Systeme von Unternehmen. Das BSI, die Cyber-Sicherheitsbehörde des Bundes, sagt: Die Bedrohung war noch nie so groß wie heute. Fakt ist: Durch die zunehmende Digitalisierung wächst die Angriffsfläche für Cyber-Attacken. Die Bedrohung durch schlagkräftige Wirtschaftskriminelle steigt. Und die geopolitischen Spannungen erhöhen das Risiko politisch motivierter Attacken. Cyber-Attacken sind gefährlich für Unternehmen. Sie sind aber auch brandgefährlich für das Finanzsystem als Ganzes und für die Finanzstabilität. Das haben wir im vergangenen Jahr gesehen.

In den USA wurde ein Institut Opfer einer Cyber-Attacke, das Geschäfte mit US-Treasuries, also US-amerikanischen Staatsanleihen, verarbeitet. Es war nur eine von mehreren Clearing-Stellen für den amerikanischen Markt. Aber weil es mit anderen Marktteilnehmern so stark vernetzt war, war durch die Cyber-Attacke der gesamte Handel und das Clearing der betroffenen Kunden stark eingeschränkt. Es kam glücklicherweise nicht zu großen Verwerfungen in dem betroffenen Handelssegment. Aber nur, weil das Institut auf aufwändige manuelle Prozesse zurückgreifen konnte. Nochmal Glück gehabt! Aber auf Glück dürfen wir es nicht ankommen lassen. Nicht Sie in den Unternehmen. Und auch nicht wir Aufseher. Deshalb handeln wir. Zum Beispiel, indem wir Krisen- und Notfallübungen organisieren. Oder indem wir künftig ein Cyber-Lagebild erstellen, das uns zeigt, welche Bedrohungen es für die Finanzwirtschaft gibt, wie verwundbar die beaufsichtigten Unternehmen und ihre IT-Dienstleister sind und welche Angriffe es gab.

Ein weiteres Risiko sind Konzentrationen bei der Auslagerung von IT-Dienstleistungen. Immer mehr Unternehmen des Finanzsektors lagern IT-Dienstleistungen aus. Das macht wirtschaftlich ja auch Sinn. Weil Kosten sinken und die Qualität idealerweise steigt. Aber es birgt Risiken. Denn in manchen Bereichen bedienen wenige IT-Dienstleister viele Unternehmen im Finanzsektor. Wenn bei diesen Mehrmandaten-Dienstleistern Störungen auftreten, dann hat schlimmstenfalls der gesamte Finanzsektor ein Problem. Deshalb ist ein gezieltes Risikomanagement extrem wichtig. Wir prüfen das. Bei beaufsichtigten Unternehmen und bei Dienstleistern. Das ermöglicht uns künftig auch DORA. Denn dazu gehört ein europäisches Überwachungsrahmenwerk für IKT-Drittdienstleister. Eine Kollegin und ein Kollege aus der BaFin halten dazu übrigens heute einen Vortrag.

Sehr geehrte Damen und Herren,

Unternehmen müssen ihre Cyber- und Auslagerungsrisiken im Griff haben. Sie müssen aber auch richtig mit Daten umgehen. Das klingt trivial, ist es aber nicht. Lassen Sie mich das an einem konkreten Beispiel festmachen: am Thema Nachhaltigkeit. Damit beschäftigen sich alle KVGen und Asset-Manager.
Wer ESG-Aspekte bei seinen Investitionsentscheidungen und in seinen Reportings berücksichtigten muss, der braucht vor allem eines: aussagekräftige Daten. Jetzt ist die Datenlage in Sachen ESG, um es diplomatisch auszudrücken, stark verbesserungswürdig. Dass hier noch ganz viel Luft nach oben besteht, ist für viele von Ihnen nichts Neues. Vor ein paar Wochen haben wir eine Studie veröffentlicht, die zeigt, wie KVGen das verfügbare Angebot von ESG-Daten und -Ratings einschätzen. In einem Satz: Es ist oftmals lückenhaft, schwer nachvollziehbar und außerdem zu teuer.

Wir teilen viele der vorgebrachten Kritikpunkte. Aber wir sagen auch: Ein suboptimales Angebot entlässt Sie nicht aus der Verantwortung. Daher möchte ich Sie nochmal klar aufrufen: übernehmen Sie Daten und Ratings nicht unreflektiert. Schauen Sie genau hin: Was bilden die Daten eines externen Anbieters ab? Und was nicht? Unsere Studie hat auch gezeigt: Die meisten KVGen machen das. Aber die Art und Weise und der Umfang solcher Prüfungen unterscheidet sich sehr. Weil das so ist, werden wir auf europäischer Ebene schauen müssen, ob wir für die Erhebung und den Umgang mit ESG-Daten und –Ratings durch KVGen einen Mindeststandard brauchen.

Daten sind extrem wichtig. Vor allem für Künstliche Intelligenz. Viele KVGen und Asset-Manager nutzen zunehmend KI-Technologien, zum Beispiel in der Marktanalyse oder im Portfoliomanagement. Bei der BaFin setzen wir uns natürlich auch intensiv mit dem Thema auseinander, mit den Chancen, aber natürlich auch mit den Risiken. Das ist schließlich unsere Aufgabe als Aufseher.

Als Aufseher über die Kapitalmärkte sehe ich drei kritische Felder. Erstens natürlich Cyber-Angriffe. Darüber haben wir bereits gesprochen. Mit KI erhalten die Täterinnen und Täter nochmal wirksamere Werkzeuge für solche Angriffe. Zweitens Marktmanipulation. Kriminelle werden KI einsetzen, um auf diese Weise Gewinne zu machen. Und drittens Anlegerschutz. Denken Sie nur daran, welche Möglichkeiten generative KI in puncto Desinformation eröffnet.

Darüber hinaus sehen wir als Finanzaufsicht beim Thema KI ein grundsätzliches Problem: Bei verschiedenen KI-Modellen sind die Entscheidungen nur eingeschränkt nachvollziehbar. Und das ist nicht akzeptabel. Wir erwarten von den Unternehmen einen verantwortungsvollen Einsatz neuer Technologien und eine sorgfältige Governance. Sie müssen regelmäßig prüfen, wie leistungsfähig ihre KI-Tools sind. Menschen müssen Entscheidungsprozesse weiterhin kontrollieren und darin eingreifen können. Die Bedeutung des menschlichen Urteilsvermögens darf nicht durch übermäßiges Vertrauen in KI beeinträchtigt werden. Unternehmen müssen versteckte Diskriminierung, Fehlanwendungen, mangelnde Nachvollziehbarkeit oder Urheberrechtsverletzungen vermeiden.

Im Portfoliomanagement wäre der Einsatz von KI-Technologien ohne den zusätzlichen Faktor Mensch mit erheblichen Risiken verbunden. Daher dürfen Unternehmen KI-Technologien nicht ohne Kontrollmechanismen einsetzen. Und sie dürfen Wertpapiere derzeit nicht direkt aufgrund einer Entscheidung einer KI-Technologie handeln.

Bei generativer KI kommt ein weiteres Thema hinzu. Solche Anwendungen arbeiten auf Basis von Wahrscheinlichkeiten. Es besteht daher die Gefahr, dass sie inhaltlich falsche Aussagen tätigen oder vermeintliche Tatsachen darstellen, die aber nur schwer zu erkennen sind. Wenn die KI ohne zusätzlichen Filter oder menschliche Kontrolle agiert, entstehen dann Haftungs- und Reputationsrisiken. Unsere beaufsichtigten Unternehmen setzen generative KI noch nicht verbreitet im operativen Regelbetrieb ein. Aber sie prüfen intensiv die möglichen Einsatzgebiete. Sicherlich auch viele von Ihnen hier. Und es gibt ja auch sehr viele Einsatzgebiete.

Eine wichtige Rolle wird auf diesem Feld sicher die europäische KI-Verordnung spielen. Denn sie wird sektorübergreifend einen Rahmen für einen vertrauenswürdigen Einsatz von KI setzen.

Sehr geehrte Damen und Herren,

als Aufseher ist es mir ganz wichtig, dass Sie bei neuen Technologien wie KI die Risiken von Anfang an gut managen. Genauso wichtig ist mir aber, dass Sie die unternehmerischen Chancen ergreifen, die solche disruptiven Technologien mit sich bringen. Denn nur ein wettbewerbsstarker Finanzsektor ist auch langfristig stabil. Standortförderung ist nicht unsere Aufgabe. Aber wir hätten überhaupt nichts dagegen, wenn führende Spieler in der digitalen Kapitalmarktunion ihren Sitz hier in Deutschland hätten.

Lassen Sie mich noch einmal zusammenfassen: Wir brauchen praktikable Regulierung, die Leitplanken setzt. Regulierung, die die großen Probleme adressiert, die unnötige Bürokratie vermeidet und Fortschritt ermöglicht. Dafür setzen wir uns ein.

Wir brauchen aber auch Unternehmen, die ihre Risiken aus Cyber-Attacken oder IT-Auslagerungen gut managen und die verantwortungsvoll mit Daten und KI umgehen. Die, ganz im Sinne Druckers, wissen, welche Risiken sie nicht eingehen sollten – und welche Risiken sie eingehen müssen, um die unternehmerischen Chancen der technologischen Disruption zu ergreifen und neue Geschäftsmodelle für den digitalen Kapitalmarkt der Zukunft zu gestalten. Unternehmen, die verstanden haben: Wer nicht zum Spielball der anderen werden will, der muss jetzt die Initiative ergreifen.