Die EU-Kommission sieht sich mit der Regulierung von Krypto-Assets weltweit ganz vorn, wie Jan Ceyssens, Leiter des Referats digitales Finanzwesen der Generaldirektion für Finanzstabilität und Kapitalmärkte, erklärt. Der Börsen-Zeitung hat er dargelegt, was die Kommission mit ihrem digitalen Finanzpaket bezweckt. Von Bernd Neubacher, FrankfurtDie EU-Kommission sieht sich mit ihrem digitalen Finanzpaket, mit dem sie auf neuem Terrain einen Mittelweg zwischen übermäßiger Regeldichte und regulatorischem Laisser-faire anstrebt, international in einer Vorreiterrolle, gerade mit ihrem Vorstoß zur Regulierung von Krypto-Assets. “Ich glaube, dass wir uns damit gut aufstellen”, sagt Jan Ceyssens, der das erst zum Jahresbeginn eingerichtete Referat digitales Finanzwesen der Generaldirektion für Finanzstabilität und Kapitalmärkte (GD Fisma) leitet, der Börsen-Zeitung. Die Initiative zur Regulierung von Kryptowährungen sollte zur Attraktivität der Europäischen Union beitragen, “auch weil wir sehen, dass es den Marktteilnehmern gar nicht darauf ankommt, die niedrigsten Regulierungsstandards zu haben”, wie er erklärt: “Wichtig ist ihnen vielmehr das Vertrauen, das ihnen das Label einer Regulierung bringt.” Im Ausland merkt man aufIhre Vorschläge zur Regulierung von Krypto-Assets sowie zur Prävention und Eindämmung von Cyberrisiken hatte die EU-Kommission im September publiziert. Neben anderem beinhalten sie auch eine neue Strategie für moderne und sichere Zahlungen von Kleinstbeträgen sowie eine Förderung der Kooperation zwischen Start-ups und etablierten Unternehmen. Mit dem Paket will die Behörde die Fragmentierung des digitalen Binnenmarktes überwinden, das EU-Recht ändern, um digitalen Neuerungen den Weg zu ebnen, datengesteuerte Finanzierungen fördern und Risiken des digitalen Wandels steuern.Im Ausland ist dies durchaus auf Interesse gestoßen. “Vom europäischen Ansatz der Krypto-Regulierung dürften wir etwas lernen können”, twitterte etwa Hester Peirce, Commissioner der US-Wertpapieraufsichtsbehörde SEC. “Wir sind die erste der größeren Jurisdiktionen, die einen Rahmen für Kryptowährungen und Kryptovermögenswerte angeht”, sagt Ceyssens. Großbritannien sei noch nicht so weit, und in den USA, aus denen schon Anfragen von Behörden die Kommission erreicht hätten, finde die Regulierung sehr viel stärker fragmentiert statt. Zugleich bewegt sich die Kommission etwa mit ihren Vorschlägen zu Stablecoins, also Kryptowährungen, deren Preis sich auf eine nationale Währung, einen Währungskorb oder andere Vermögenswerte bezieht, im Fall einer potenziell globalen Reichweite in Einklang mit internationalen Standards, sofern diese existieren, wie Ceyssens erläutert. Werden die Ideen der Kommission angenommen, können Krypto-Dienstleister demnach dank eines EU-Passes in der gesamten Union unter einer klar geregelten Aufsicht tätig sein. Perspektivisch könnten solche Dienste und eine entsprechende Vermögensverwaltung für etablierte Institute interessant werden, gibt Ceyssens zu bedenken. Suche nach einem MittelwegDie Vorschläge der Kommission durchweht generell das Bemühen, auf ungewohntem Terrain einen Mittelweg zwischen regulatorischem Laisser-faire und übermäßiger Regeldichte zu finden. So regt die Kommission mit Blick auf eine zunehmende Nutzung von US-Cloud-Anbietern durch Finanzinstitute keine direkte Aufsicht dieser Technologie-Dienstleister an, sondern vielmehr eine Kontrolle durch ein aus Vertretern der EU-Mitgliedstaaten bestehendes Gremium. Den Ehrgeiz, die Big-Tech-Unternehmen einer direkten Aufsicht zu unterstellen, hat die Generaldirektion Fisma dabei nicht gepackt: “Cloud-Anbieter sind ja weit über den Finanzmarkt hinaus tätig”, erklärt Ceyssens. “Sie schaffen keine finanzmarktspezifischen Risiken, die als solche sinnvollerweise einer direkten Aufsicht durch Finanzaufsicht unterliegen.” Überlegungen der Verhältnismäßigkeit spielen ebenso eine Rolle: “Mit den Ressourcen der Finanzaufsicht sollten wir nicht zu großzügig umgehen.” Im Übrigen sei der Umgang der Kommission dabei nicht viel anders als der Ansatz, den auch die US-Behörde Office of the Comptroller of the Currency (OCC) verfolge.Das geplante Gremium soll direkten Zugang zu den Cloud-Anbietern mit entsprechenden Informationsrechten haben und den Umgang mit diesen Gesellschaften auch mit Blick auf die aufsichtlichen Prüfpflichten von Kreditinstituten regeln. “Da kann man sich die Frage stellen, ob die Aufsicht die Dinge nun selbst in die Hand nehmen und den Instituten das Problem, für die Einhaltung der aufsichtsrechtlichen Vorgaben durch die Provider zu sorgen, abnehmen will”, meint Alexander Glos, Partner der Kanzlei Freshfields, auf deren Bankenkonferenz Ceyssens am heutigen Mittwoch die Überlegungen der Kommission darstellen wird. “Bisher haben sich die großen Cloud-Anbieter nicht dagegen gesperrt, die Anforderungen mit Blick auf die Prüfpflichten der Institute zu akzeptieren”, merkt sein Kollege und Freshfields-Partner Markus Benzing an. “Aus Sicht des Marktes dürfte es somit keine Notwendigkeit geben, die Anforderungen um weitere Punkte zu ergänzen.” Insgesamt sei der Entwurf der Kommission “so zu verstehen, dass die materielle Governance von IT-Risiken verstärkt und harmonisiert werden soll”, resümiert Glos, Co-Head der Financial Institutions Group bei Freshfields.”Wenn ich als Bank ein Produkt anbiete, bin ich auf der einen Seite dafür verantwortlich, dass die Compliance stimmt”, erläutert Ceyssens. “Andererseits sehen wir in der Praxis, dass gerade kleine Marktteilnehmer vor Herausforderungen stehen, wenn sie ihren Prüfpflichten bei einem der großen Cloud-Anbieter nachkommen sollen.” Das geplante Gremium stelle keine Aufsicht dar, sondern ergänze diese eher, indem es etwa durch Bündelung von Fragen verhindere, dass Hunderte von Instituten dieselben Fragen separat an die Cloud-Anbieter richteten. Was für eine einzelne Bank gut sei, könne dort nicht entschieden werden. Wohl aber könne es dort eine gemeinsame Risikoeinschätzung geben.So weit vorn Europa bei der Regulierung von Kryptowerten sein mag – was die Nutzung von Cloud-Diensten angeht, sind seine Banken ausschließlich auf US-Anbieter angewiesen. Vor diesem Hintergrund verwundert es kaum, dass sich die Kommission als Fan von Gaia-X, dem Vorhaben einer europäischen Cloud-Dateninfrastruktur, outet: “Das ist sicher ein Projekt, das wir unterstützten, sowohl ideell als auch möglichst finanziell”, sagt Ceyssens. Stoße der multilaterale Finanzrahmen auf Zustimmung, könne auch Geld fließen. Allerdings sei es die eine Sache, einen europäischen Wettbewerber im Cloud-Markt haben zu wollen, und eine ganz andere die Frage, ob sich dieser im Markt behaupte, ergänzt er. Ceyssens verweist auf bereits vor Jahren gescheiterte Versuche, eine europäische Ratingagentur als Kontrapunkt zu den US-Oligopolisten zu etablieren: “Es ist klar, dass es nicht einfach ist, einen europäischen Wettbewerber zu etablieren, denn die bestehenden Wettbewerber haben natürlich einen gewissen technologischen Vorsprung.” Der Kommission gehe es im Umgang mit den US-Cloud-Dienstleistern vor allem darum, “eine gewisse Portabilität sicherzustellen, damit es keinen Lock-in von Finanzdienstleistern gibt”.Angesprochen auf das jüngste Urteil des Europäischen Gerichtshofs, welches im September die Privacy-Shield-Vereinbarung für den Datenaustausch zwischen Europa und den USA gekippt hat, sagt er: “Das müssen die Banken jetzt mit den Datenschutzbehörden angehen. Wir halten das erst einmal für eine separate Diskussion, auch wenn Datenschutz und Aufsicht sich natürlich koordinieren müssen. Aber klar: Die Rechtslage ist nicht einfach.”Er weist darauf hin, dass viele Cloud-Anbieter inzwischen anböten, Daten von Banken in der EU zu speichern. So weit, auch eine Verarbeitung dieser Daten in der EU vorzuschreiben, hat die Kommission nicht gehen wollen. “Aus Sicht der Finanzmarktaufsicht meinen wir nicht, dass es Regeln geben sollte, denen zufolge Daten europäischer Banken nur in Europa verarbeitet werden dürften”, sagt Ceyssens. “Wichtig ist vielmehr, dass die Aufsicht Zugriff hat und die Daten entsprechend geschützt sind. Die EU braucht ja auch andere global tätige Finanzdienstleister, und für die ist es in der Praxis schwierig, alle Daten ausschließlich in der EU zu verarbeiten. Es gibt auch Drittstaaten, wo ein ordnungsgemäßer Umgang mit den Daten gewährleistet ist.”Verhältnismäßigkeit war auch mit Blick auf Geldwäscherisiken und Kryptowährungen das Gebot. Je näher ein Projekt an einer Zahlungsfunktion sei, um so stärker sollte es reguliert werden – je stärker es im Sektor der Investmentprodukte anzusiedeln sei, um so weniger stark sei dies notwendig, postuliert Ceyssens. Auch hier müsse die Aufsicht ihre Ressourcen konzentrieren.Zwar würden mit Blick auf Kryptowährungen auf der einen Seite häufig Geldwäschevorwürfe laut. Andererseits aber seien Kryptoverwahrungsentgelte im Vergleich zu Bargeld sehr viel einfacher zu regulieren, da entsprechende Transaktionen im Nachhinein nachvollziehbar seien. Die Kommission favorisiere in diesem Punkt ein Konzept der “Embedded Supervision”, demzufolge die Aufsicht zu praktisch jedem Knoten eines Distributed Ledger Zugang habe. Eine Frage der ZugangsrechteAuf längere Sicht will sich die Kommission auch der Frage der Nutzung von Daten und der entsprechenden Zugangsrechte annehmen, wie Ceyssens berichtet. So sei angesichts der Vielfalt von Veröffentlichungspflichten im Finanzsektor zu klären, ob einem in der Anlageberatung aktiven Finanzdienstleister Informationen in einem besseren technischen Format zur Verfügung gestellt werden könnten, also nicht etwa als PDF, sondern eventuell über eine Schnittstelle.Im Rahmen der Bemühungen um eine Kapitalmarktunion arbeitet die Kommission an der Idee eines Single Access Point für bestehende Daten, wie er berichtet. Zudem gebe es Pläne für einen Big Data Cluster, welcher den Zugang zu Daten von Behörden erleichtern soll. Und überdies stehe zum Dritten eine Überprüfung der Zahlungsdienste-Richtlinie an, in deren Verlauf es auch darum gehen solle, wie der Rechtsrahmen für das Konzept von Open Finance, das Drittanbietern den Zugriff auf Daten ermöglichen soll, auszufüllen sei.