Kurz vor knapp: Bundestag beschließt Gesetz über die Digitalisierung des Finanzmarktes

Einzelne Vorgaben des europäischen DORA-Rahmenwerks zur digitalen operationalen Widerstandsfähigkeit sowie der EU-Verordnung über die Märkte für Kryptowerte können rechtzeitig in deutsches Rechtumgesetzt werden. Das hat der Deutsche Bundestag mit der Verabschiedung des Gesetzes über die Digitalisierung des Finanzmarktes (FinmadiG) noch kurz vor den Neuwahlen ermöglicht. Nachdem die Abgeordneten bereits Anfang des Jahres das Gesetz in erster Lesung beraten und die Regierungsparteien das Verfahren seitdem aus parteitaktischen Gründen verschleppt haben, war mit dem Ampel-Aus lange unklar, ob das Gesetz noch vor der Neuwahl verabschiedet werden kann. Eine fehlende Einigung der Abgeordneten hätte das Verfahren erheblich verzögert, weil das Gesetz dann unter die sogenannte Diskontinuität des Bundestages gefallen wäre und in den neuen Bundestag erneut hätte eingebracht werden müssen. Am Ende votierten auf Grundlage der Beschlussempfehlung des Finanzausschusses die Fraktionen von SPD, CDU/CSU, Bündnis 90/Die Grünen und FDP. Die AfD-Fraktion enthielt sich der Stimme. 

Das DORA-Rahmenwerk ist bereits am 16. Januar 2023 in Kraft getreten. Ab dem 17. Januar 2025 ist es von Finanzunternehmen, darunter auch Kapitalverwaltungsgesellschaften und Wertpapierinstitute, anzuwenden. Die EU-Vorgaben sehen erstmals einheitliche Anforderungen an den Umgang mit Informations- und Kommunikationstechnologien (IKT) für den gesamten Finanzsektor vor. Die MiCA-Verordnung, die am 29. Juni 2023 in Kraft getreten und 2024 phasenweise in Geltung gekommen ist, enthält einen Rechtsrahmen über Märkte für Kryptowerte, der den bisherigen nationalen Rahmen der Regulierung von Kryptowerten ablöst. 

Beide Rechtsakte sehen eine Vollharmonisierung vor. Deshalb darf der deutsche Gesetzgeber innerhalb des Anwendungsbereiches keine abweichenden innerstaatlichen Rechtsvorschriften beibehalten oder einführen. Mit dem FinmadiG werden daher Kompetenzen übertragen, damit die zuständigen Aufsichtsbehörden des Bundes und der Länder ihre Aufgaben nach der DORA-Verordnung erfüllen können. Ebenso werden die Aufsichtsbefugnisse der BaFin über Kryptowerte und Kryptowerte-Dienstleister durch ein neues Kryptomärkteaufsichtsgesetz (KMAG) gebündelt sowie sonstige Fachaufsichtsgesetze vor dem Hintergrund der MiCA-Verordnung angepasst.

Das FinmadiG legt außerdem fest, dass die Abschlussprüfer der beaufsichtigten Finanzunternehmen die Einhaltung der DORA-Pflichten erst für das im Jahr 2025 beginnende Geschäftsjahr – also erst 2026 – prüfen müssen. Das dürfte den betroffenen Finanzunternehmen etwas Zeit für die komplexe Umsetzung der DORA-Anforderungen verschaffen. 

Das Aufsetzen eines Informationsregisters über die IKT-Verträge muss dennoch zügig angegangen werden. Hierzu sind inzwischen die finalen technischen Umsetzungsstandards veröffentlicht. Die zuständigen EU-Behörden haben bereits die nationalen Behörden aufgefordert, der EBA, handelnd für die drei ESAs, erstmalig bis zum 30. April 2025 die einzelnen Informationsregister der von ihnen beaufsichtigten Unternehmen zu melden. Das bedeutet, dass die Finanzunternehmen ihre Informationsregister voraussichtlich bereits etwas früher bei der BaFin einreichen müssen – ein konkreter Zeitplan der BaFin liegt uns noch nicht vor.

Die BaFin hat außerdem bereits mehrfach angekündigt, kurzfristig eine Verlautbarung veröffentlichen zu wollen, mit der sie ihre Rundschreiben über die Mindestanforderungen an die IT (KAIT, BAIT, VAIT) zur Vermeidung von Doppelregulierung aufheben wird. Diese sind infolge der neuen DORA-Verordnung, die auch umfassende Regelungen zum IKT-Risiko- und Sicherheitsmanagement enthält, obsolet geworden.