Globales Update zur Regulierung: Transformative Trends, die digitale Finanzdienstleistungen vorantreiben

Global Regulatory Update: Transformative Trends Driving Digital Financial Services

Das Jahr 2020 wird auf Grund der Coronavirus-Pandemie, von der Millionen von Menschen auf der ganzen Welt betroffen sind, für immer in Erinnerung bleiben. Die globale Gesundheitskrise hat die Gesundheitssysteme sowie das medizinische Fachpersonal weltweit belastet. Die Auswirkungen auf nahezu jede Branche haben Organisationen dazu gezwungen, ihre Arbeitsweisen zu ändern. 

Die Pandemie hat außerdem Regierungen auf der ganzen Welt dazu veranlasst, Gesetze, Richtlinien und Vorschriften zu erlassen, um eine digitale und standortferne Geschäftsabwicklung zu ermöglichen. Die Pandemie hat die bereits in einigen Bereichen erfolgte Umstellung auf digitale Dienste deutlich vorangetrieben und dabei Mängel in der Sicherheit und der technischen Infrastruktur aufgedeckt. Dies gilt vor allem für das Rechtswesen und Finanzinstitutionen (FI), die bei der Umstellung auf Digitaltechnik in der Vergangenheit einen Rückstand aufzuweisen hatten. 

Die Auswirkungen von COVID-19 auf die Digitalisierung von Finanzdienstleistungen ist eines der übergreifenden Themen unseres ersten OneSpan Global Financial Regulations Report. (Bericht über die Globale Finanzregulierung). Dieser neue Bericht konzentriert sich auf regulatorische Entwicklungen und kürzlich erlassene Gesetze, die FI einhalten müssen, um in der digitalen Wirtschaft unternehmerisch tätig sein zu können. Er umfasst die Bereiche digitale Identität, Betrugsprävention, Datenschutz, Sicherheit digitaler Zahlungen, offenes Banking, AML (Anti-Geldwäsche), elektronische Unterschriften und Online-Fernbeurkundung. 

Unser Ziel ist es, Sie über wichtige regulatorische Änderungen in der Finanzdienstleistungsbranche zu informieren. Das komplette Update erhalten Sie in unserem ersten Jahresbericht. Fahren Sie mit der Lektüre fort, um sich einen Überblick über die wichtigsten Punkte zu verschaffen.

Cybersicherheit 

In einer Zeit, in der organisierte Verbrecherringe aus der Pandemie profitieren, die Verlagerung auf Remote-Arbeit gefragt ist, allgemeine Angst und wirtschaftliche Unsicherheit herrschen, bleibt die Cybersicherheit weltweit eines der Top-Themen. Wir haben Aktivitäten zur Regulierung von Finanzdienstleistungen weltweit und in sämtlichen Phasen des jeweiligen Gesetzgebungsverfahrens beobachtet. 

In einigen Staaten, wie zum Beispiel in Bosnien und Herzegowina, wurden Schritte unternommen, um einen Rahmen für die Reaktion auf ernsthafte Bedrohungen der Cybersicherheit zu schaffen. Aber auch Akteure, deren Gesetzgebungsverfahren in diesem Bereich bereits weiter fortgeschritten ist, schreiben das Thema Risikomanagement im Bereich der Cybersicherheit nach wie vor groß. So kündigte die EZB beispielsweise im Rahmen der vierten Sitzung des “Euro Cyber Resilience Board” am 27. Februar 2020 den Start einer neuen Cybersicherheitsinitiative an, die den Austausch von Informationen über Cybersicherheitsbedrohungen zwischen staatlichen Finanzinstitutionen erleichtern soll. Die Schaffung der Initiative wird auch das Bewusstsein für Bedrohungen der Cybersicherheit erhöhen und dazu beitragen, Cyberattacken zu verhindern. 

Datenschutz und Datensicherheit  

Im Jahr 2020 wurden Datenschutz und Datensicherheit zu einem Top-Thema für die Finanzaufsichtsbehörden. Unser Bericht umfasst mehr als 300 Verweise auf Datenschutz oder Datensicherheit in der ganzen Welt, von Nigeria über Singapur bis hin zu den Vereinigten Staaten. 

Um nur einige Beispiele zu nennen:  

Singapur hat eine Stellungnahme zur Änderung des Gesetzes zum Schutz personenbezogener Daten von 2012 herausgegeben, der japanische Nationalrat hat eine Änderung des Gesetzes zum Schutz personenbezogener Daten (APPI) verabschiedet, und das neue brasilianische Datenschutzgesetz (“Lei Geral de Proteção de Dados Pessoais” bzw. LGPD) ist am 16. September 2020 in Kraft getreten. Letzteres ist nach dem Vorbild der Datenschutz-Grundverordnung der Europäischen Union (DSGVO) ausgestaltet.

Auch die afrikanischen Staaten haben ihren Fokus auf Datenschutz und Datensicherheit gerichtet. Nigeria hat 2019 den Rahmen für die Umsetzung der Datenschutzverordnung veröffentlicht, um Organisationen bei der Einhaltung des NDPR zu unterstützen. Kenia hat 2019 ein Datenschutzgesetz verabschiedet, das regelt, wie und wann personenbezogene Daten erhoben, behandelt und vernichtet werden können. Im Mai wurde die Beschlussfassung der marokkanischen Datenschutzbehörde wirksam. Und das südafrikanische Gesetz zum Schutz personenbezogener Daten wird im Juni 2021 vollständig in Kraft treten. 

In den Vereinigten Staaten hat das “National Institute of Standards and Technology” (NIST) sein Rahmengesetz zum Schutz der Privatsphäre veröffentlicht. Zur gleichen Zeit trat der viel verkündete „California Consumer Privacy Act“ (CCPA) in Kraft, der praktisch alle FI im Bundesstaat betrifft. Nur zwei Monate später wurde der "Stop Hacks and Improve Electronic Data Security Act" (SHIELD Act) im Bundesstaat New York wirksam. Das Gesetz enthält unter anderem Bestimmungen zur Benachrichtigung bei Verstößen, schreibt eine angemessene Datensicherheit vor und legt weitergehende Standards fest. Erst am 3. November 2020 stimmten die kalifornischen Wähler mit überwältigender Mehrheit dem „California Privacy Rights Act of 2020“ (CPRA) zu, der den CCPA ersetzen und strengere Datenschutzbestimmungen einführen wird. 

Offenes Banking 

Das offene Banking in Australien macht langsame, aber kontinuierliche Fortschritte in Richtung Verbraucherrealität. Im Februar veröffentlichte die australische Wettbewerbsbehörde (ACCC) die finalen Regeln für Wettbewerb und Verbraucherdatenrechte sowie die Initiative für offenes Banking, deren Anwendungsbereich Verbraucher auf der Suche nach Finanzdienstleistungen umfasst. Die schrittweise Einführung der Regeln im Rahmen einer nationalen Initiative für offenes Banking begann mit den vier größten Banken am 1. Juli.

Im März veröffentlichte die mexikanische Zentralbank in Übereinstimmung mit ihrem Fintech-Gesetz das erste Regelwerk für offenes Banking. Diese ersten Regeln beziehen Kreditbüros und Clearingstellen in den Rahmen für offenes Banking ein. Regeln, die für Banken und andere FI gelten, werden für Q1 2021 erwartet. Brasilien wird das offene Banking in vier Phasen einführen, wobei die erste Phase im November beginnt. 

In den USA war das offene Banking in den vergangenen zwei Jahren immer wieder mal angesagt. Im Oktober 2020 gab die CFPB eine "Advanced Notice of Proposed Rulemaking" zum verbraucherautorisierten Zugang zu Finanzdaten heraus. Dies könnte dem offenen Banking den letzten Schub geben. 

Elektronische Unterschrift 

Zur Erleichterung des digitalen Geschäftsverkehrs angesichts der Coronavirus-Einschränkungen und den "Stay-at-home"-Auflagen haben mehrere Regierungen die Verwendung von elektronischen Unterschriften weiter ermöglicht. Diese Technologie hatten Finanzdienstleister, Versicherungen, Regierungen und andere Sektoren vor Beginn der Pandemie in ganz Kanada bereits eingeführt. Eine neue Entwicklung in diesem Jahr war jedoch die Verwendung von e-Unterschriften zur Unterzeichnung von Testamenten. Mit der Verabschiedung von „Bill 21“ zur Änderung des Testaments-, Nachlass- und Erbschaftsgesetzes, SBC 2009, c 13, wurde die Provinz von British Columbia zur ersten kanadischen Gerichtsbarkeit, die per e-Unterschrift unterzeichnete elektronische Testamente formell anerkennt. 

COVID-19 hat eine Reihe ähnlicher regulatorischer und gesetzgeberischer Aktivitäten in Australien ausgelöst. Unter anderem legalisierte die australische Regierung die Unterzeichnung von Unternehmensverträgen per e-Unterschrift. Diese Regelung wurde bis zum 21. März 2021 verlängert. Australien hat auch Pläne zur Änderung des „Corporations Act 2001“ und anderer einschlägiger Gesetze und Verordnungen angekündigt, um die Verwendung der e-Unterschrift bei der Unterzeichnung von Rechtsdokumenten zu ermöglichen und die Beurkundung offizieller Dokumente per Videokonferenz oder anderer sicherer Mittel zu ermöglichen. 

Maßnahmen, die die Verwendung von elektronischen und digitalen Unterschriften auch in anderen Teilen der Welt fördern, wurden global beobachtet. Ein weiteres Beispiel ist die Verabschiedung des „Business Laws Amendment“ in Kenia. Mit diesem Gesetz wurden mehrere bedeutende Änderungen an bestehenden Gesetzen vorgenommen, um die Geschäftsabwicklung zu erleichtern. Das Gesetz hebt die Verwendung von e-Unterschriften und fortgeschrittenen elektronischen Unterschriften hervor, die seit einiger Zeit erlaubt sind, aber nur unzureichend umgesetzt wurden. In ähnlicher Weise treten Änderungen des südkoreanischen Gesetzes über digitale Unterschriften in Kraft. Durch die Änderungen des Gesetzes werden bestimmte Anforderungen an Zertifikate für digitale Unterschriften aufgehoben, um Zugangsbarrieren für Verbraucher zu beseitigen. 

Digitale Identität, e-KYC („Know your customer”) und Remote Onboarding 

Remote Onboarding mittels digitaler Identitätsprüfung als Teil der digitalen Kontoeröffnung war zweifellos eine der spürbarsten Auswirkungen der Pandemie auf die regulatorischen Rahmenbedingungen in diesem Jahr. Remote Onboarding und die digitale Kontoeröffnung hatten bereits in den letzten Jahren im Zuge von Gesetzen wie dem „MOBILE Act“ in den USA im Bereich der Finanzdienstleistungen an Bedeutung gewonnen. 2020 kennzeichnet jedoch einen Wendepunkt.

Eine der wichtigsten Veröffentlichungen des Jahres kam von der internationalen Arbeitsgruppe Finanzielle Maßnahmen gegen die Geldwäsche („Financial Action Task Force“ bzw. FATF). Im März 2020 veröffentlichte die FATF ihren Leitfaden „Guidance on Digital Identity“. Obwohl der Zeitpunkt der Veröffentlichung mit dem Ausbruch der Pandemie zusammenfiel, wurde der FATF-Leitfaden in Wirklichkeit über einen Zeitraum von zwei Jahren entwickelt, bedingt durch die rasche Zunahme digitaler Zahlungen und die Notwendigkeit, Kenntnis über die tatsächlichen Transaktionspartner zu erlangen. Die Leitlinien enthalten Details zur Due Diligence bei der Nutzung von digitalen ID-Systemen zur Fernüberprüfung der Identität beim Remote Onboarding sowie zur Authentifizierung bei Finanztransaktionen. 

Unser Bericht enthält viele Verweise auf regulatorische Aktivitäten rund um digitale Identitäten, e-KYC und Remote-Onboarding, von denen hier nur einige exemplarisch herausgegriffen wurden, um den globalen Charakter dieses Trends zu verdeutlichen. Im asiatisch-pazifischen Raum beispielsweise veröffentlichte die Finanzaufsichtsbehörde von Hong Kong (HKMA) ein Rundschreiben, in dem das Remote Onboarding für einzelne Kunden auf der Grundlage des Feedbacks von Banken und Finanzunternehmen skizziert wurde. Das Rundschreiben legt die Erwartungen der Aufsichtsbehörden und Best Practice-Empfehlungen für das Remote-Onboarding dar. Erwähnenswert ist auch, dass die Versicherungsaufsichtsbehörde von Hong Kong zunächst vorübergehende Maßnahmen der Phase 2 verlängert hat, die beim Verkauf von Versicherungspolicen "die Durchführung von persönlichen Treffen entbehrlich machen, um das Infektionsrisiko zu minimieren". Die Maßnahmen wurden bis zum 31. Dezember 2020 verlängert. Die Finanzaufsichtsbehörde von Singapur (MAS) hat die FI dazu ermutigt, aktiv die Nutzung von [persönliche Anwesenheit nicht erfordernden] digitalen Optionen zu fördern und den Kunden geeignete Anleitungen zur Nutzung dieser Optionen zu geben, insbesondere für die Fernüberprüfung der Identität. 

In ähnlicher Weise hat die indische Zentralbank im Rahmen von e-KYC und Remote Onboarding die videobasierte Fernauthentifizierung über das System „Aadhaar“ genehmigt. Der „Video Customer Identification Process“ (V-CIP) ist eine Video Chat-Sitzungsoption, bei der der Kunde Identitätsdokumente vorzeigen kann, die mit der Datenbank der ausstellenden Behörde abgeglichen werden.  

Im Anschluss an die „Guidance on Digital Identity“ der FATF und eine anschließende Umfrage bei regionalen Interessengruppen hat der Arabische Währungsfonds (AMF) im April neue Richtlinien für e-KYC herausgegeben. Dies ermöglicht Remote Onboarding sowie „Non-Face-to-Face“-Aufnahme neuer Bankkunden. 

Im Juli 2020 veröffentlichte die Europäische Kommission eine Folgenabschätzung zur öffentlichen Stellungnahme mit Plänen zur Ausweitung der Regulierung auf den privaten Sektor und zur Förderung vertrauenswürdiger Identitäten für alle Europäer. Die Folgenabschätzung enthält einen Strategieplan mit verschiedenen Optionen für die Aktualisierung. Eine Option ist die Einführung eines europäischen digitalen Identitätssystems für EU-Bürger, das sowohl für Online-Dienste des öffentlichen als auch des privaten Sektors genutzt werden könnte. Mitte September schlug die Präsidentin der Europäischen Kommission in ihrer Rede zur Lage der Union eine neue europäische e-Identität vor.  Dies wird nicht von heute auf morgen geschehen, da die Mitgliedsstaaten die Initiative unterstützen und Mittel und Ressourcen zuweisen müssen. Die europäische e-Identität würde alle Branchen in der gesamten EU betreffen. 

Im Vereinigten Königreich hat die „Financial Conduct Authority“ des Landes einen Leitfaden zur digitalen Identitätsprüfung herausgegeben, der es Finanzunternehmen im Einzelhandel erlaubt, gescannte Unterlagen und „Selfie-Match“-Fotos zu akzeptieren, um Identitäten zu überprüfen. Im Laufe des Sommers startete die britische Regierung ein Pilotprojekt zur Dokumentenprüfung. Die teilnehmenden Unternehmen des privaten Sektors können die Reisepassdaten einer Person digital mit der Datenbank der Regierung abgleichen, um ihre Identität zu überprüfen und Verbrechen zu verhindern. Das Pilotprojekt wird bis zum 31. Juli 2021 laufen. 

Schlussfolgerung

In den kommenden Monaten und Jahren werden wir weitere Veränderungen erleben. Weltweit werden weitere Datenschutzgesetze erlassen werden, und ein jedes wird einzigartige regulatorische Anforderungen an Finanzdienstleister, Versicherer und andere Organisationen mit sich bringen. Darüber hinaus erwarten wir, dass das offene Banking in der gesamten industrialisierten Welt zur Norm werden wird, ebenso wie e-KYC und das Remote Onboarding von Kunden. 

Für weitere Einblicke und Aktualisierungen können Sie unseren Bericht Global Financial Regulations Report herunterladen. Wir freuen uns bereits jetzt auf Ihr Feedback und Vorschläge zur Verbesserung der Publikation im Jahr 2021. Gerne können Sie uns Ihre Kommentare zu diesem Bericht an [email protected] schicken. 

OneSpan Global Financial Regulations Report
Report

OneSpan Global Financial Regulations Report

Download this 2020 report to keep current on the latest regulatory and legislative changes around the world – relative to e-signature, digital identity, cybersecurity, and more.

Download Now

Dieser Artikel dient lediglich zu Informationszwecken und stellt keine Rechtsberatung dar. Es wird empfohlen, unabhängigen professionellen Rat einzuholen. OneSpan übernimmt keine Haftung für den Inhalt dieser Materialien. 

Michael Magrath ist verantwortlich für die Anpassung der Lösungs-Roadmap von OneSpan an Standards und regulatorische Anforderungen weltweit. Er ist Co-Vorsitzender der „FIDO Alliance's Government Deployment Working Group“ und gehört dem Vorstand der „Electronic Signature and Records Association“ (ESRA) an.