Die wichtigsten Vorschriften und Sicherheitanforderungen in der Finanzbranche [2022]

Im Jahr 2021 hatten die politischen Entscheidungsträger und Aufsichtsbehörden alle Hände voll zu tun: Die Umstellung auf digitale Zahlungen und digitale Währungen schreitet weiter voran und es galt daher, die Cybersicherheit zu verbessern, die digitaler Identität und die Online-Authentifizierung voranzubringen und damit die Verbraucher zu schützen.

Im Folgenden haben wir einige der wichtigsten internationalen Vorschriften, Richtlinien und Gesetze zusammengetragen, die sich auf Finanzinstitute, Fintech-Unternehmen, Zahlungssysteme, Geschäftsbanken, Kreditgeber, Kreditnehmer, Vermögensverwaltungsfirmen und die Bankenbranche insgesamt auswirken werden.

Eine umfassende Liste finden Sie im OneSpan Global Financial Regulations Report 2022, der online und zum Download zur Verfügung steht.

Inhaltsverzeichnis:

• • Aktuelle aufsichtsrechtliche Entwicklungen im Jahr 2022
  • Cybersicherheit
  • Kryptowährungen
  • Digitale Währungen der Zentralbanken
  • Künstliche Intelligenz
  • Digitale Identität
  • Datenschutz
  • Bekämpfung von Geldwäsche und Terrorismusfinanzierung
  • Biometrische Geldautomaten
  • Elektronische Signatur
  • Open Banking
• Prognosen für 2022

Cybersicherheit

VEREINIGTE STAATEN VON AMERIKA

Im November veröffentlichten der Federal Reserve Board, die Federal Deposit Insurance Corporation (FDIC) und das Office of the Comptroller of the Currency (OCC) eine endgültige Regelung, die Kreditinstitute (wörtlich: „Banking Organizations“) dazu verpflichtet, im Falle bestimmter Arten von Cybersicherheitsvorfällen innerhalb von 36 Stunden die für sie zuständige oberste Bundesaufsichtsbehörde zu benachrichtigen. Die Regelung verpflichtet Erbringer von Bankdienstleistungen („Bank Service Providers“) gesondert dazu, „die Kunden der Kreditinstituten so schnell wie möglich zu benachrichtigen, wenn sich ein Vorfall ereignet, der diese Kunden vier oder mehr Stunden lang wesentlich beeinträchtigt oder beeinträchtigen könnte“. Zu den Erbringern von Bankdienstleistungen zählen alle Unternehmen oder andere Parteien, die Dienstleistungen erbringen, die dem Bank Service Company Act unterliegen. Die Verordnung tritt am 1. April 2022 in Kraft und Kreditinstitute und ihre Bankdienstleister haben bis zum 1. Mai 2022, um richtlinienkonform zu werden.

Im August hat der Federal Financial Institutions Examination Council (FFIEC) seine Leitlinien für Authentifizierung und Zugang zu Dienstleistungen und Systemen von Finanzinstituten zum ersten Mal seit einem Jahrzehnt aktualisiert. Gemäß der Leitlinien sollen FIS klären, für welche Benutzer und Kunden Authentifizierungs- und Zugriffsverwaltungskontrollen gerechtfertigt sind und welche Benutzer und Kunden möglicherweise erweiterte Authentifizierungskontrollen wie die Multi-Faktor-Authentifizierung (MFA) erfordern. Der FFIEC weist auch darauf hin, dass die Single-Factor-Authentifizierung, wie z. B. ein Benutzername und ein statisches Passwort, in der Regel nicht ausreicht. Er schreibt:

“Angriffe auf Systeme und Benutzer, die mit einer Ein-Faktor-Authentifizierung geschützt sind, führen häufig zu unbefugtem Zugriff und damit zu Datendiebstahl oder -zerstörung, negative Folgen von Ransomware, Betrug mit Kundenkonten und Identitätsdiebstahl. Daher hat sich gezeigt, dass die Verwendung der Single-Factor-Authentifizierung als einziger Kontrollmechanismus gegen diese Bedrohungen nicht ausreicht.”

Der FFIEC geht auch auf die Identitätsprüfung ein, eine wichtige Komponente der KYC-Vorschriften (Know Your Customer). Der FFIEC betont: „Verifizierungsmethoden, die zuverlässig sind, hängen im Allgemeinen nicht allein von wissensbasierten Fragen zur Verifizierung der Identität ab“. Wir stimmen dem zu und empfehlen Methoden der digitalen Identitätsverifizierung wie die Überprüfung mithilfe von Ausweisdokumenten und den Gesichtsvergleich.

Im Oktober 2021 veröffentlichte die Federal Trade Commission eine Aktualisierung der „Safeguards Rule“ des Gramm-Leach-Bliley Act, in der dargelegt wird, wie Finanzinstitute, die keine Banken sind, und die der Zuständigkeit der FTC unterliegen, die Finanzinformationen der Kunden schützen müssen. Banken, Bank-Holdinggesellschaften und ihre Tochtergesellschaften unterliegen separaten Richtlinien und Standards, die von den bundesstaatlichen Bankenaufsichtsbehörden wie dem OCC, der Fed und der FDIC herausgegeben werden. Die Aktualisierung gilt für Institutionen, „die Finanzdienstleistungen erbringen“, darunter Autohändler, Immobiliengutachter, Steuerberater, Anlageberater sowie Hochschulen und Universitäten, die an staatlichen Finanzhilfeprogrammen teilnehmen. Abgesehen von denjenigen, die aktuell unter die Regelung fallen, kann die geänderte Safeguards Rule auch für Internetdienstleister, die „Gig Economy“ und Online-Marktplätze gelten.

Die aktualisierte Regelung schreibt nun eine Mehrfaktor-Authentifizierung (MFA) vor, wenn eine Person - ob Mitarbeiter, Kunde oder nicht - auf ein Informationssystem zugreift.

Die FTC hat heftige Strafen für die Nichteinhaltung auferlegt. Sie belaufen sich auf 43.792 US-Dollar pro Verstoß und Tag.

Kryptowährungen

FINANCIAL ACTION TASK FORCE

Die FATF hat im Oktober neue Leitlinien zu virtuellen Vermögenswerten und Dienstleistern für virtuelle Vermögenswerte (VASPs) veröffentlicht, die die zuvor im Jahr 2019 herausgegebenen Leitlinien ablösen. Die neununddreißig Mitgliedstaaten müssen Anbieter lizenzieren oder registrieren und sie der Aufsicht oder Überwachung durch Finanzaufsichtsbehörden unterwerfen. Die Leitlinien gelten für Stablecoins und stellen klar, dass eine Reihe von Unternehmen, die an Stablecoin-Vereinbarungen beteiligt sind, gemäß den Normen der FAT als VASPs gelten können. Es wird erwartet, dass bis Ende 2022 mehrere globale Aufsichtsbehörden ihre eigenen Regelungen auf die FATF-Leitsätze abstimmen werden.

ESTLAND

Im Dezember 2021 verabschiedete die Regierung einen Gesetzesentwurf zur Verschärfung der Vorschriften für VASP im Einklang mit den neuen Leitlinien der FATF. Auf der Website des Finanzministers ist dazu vermerkt:

“bringt die Regulierung von VASPs besser in Einklang mit E-Geld-Institutionen und Zahlungsdienstleistern, wirkt sich aber nicht direkt auf Kunden oder Einzelpersonen aus, die private Geldbörsen aus dem Besitz von Krypto verwenden. Allerdings dürfen estnische VASPs keine anonymen Dienste anbieten und müssen ihre Kunden identifizieren... Dabei müssen Informationen zur Identifizierung so aufbewahrt werden, dass sie mit der Transaktion in Verbindung gebracht werden können, ähnlich wie bei Banküberweisungen.”

Es ist zu erwarten, dass die Verordnung vom Parlament verabschiedet und in der ersten Hälfte des Jahres 2022 in Kraft treten.

EUROPÄISCHE UNION

Der Vorschlag für eine Verordnung über Märkte für Krypto-Vermögenswerte (MiCA) zielt darauf ab, einen umfassenden Rechtsrahmen für Krypto-Vermögenswerte zu schaffen und die Rechtssicherheit und Harmonisierung in der EU zu verbessern. Zu den wichtigsten Prioritäten gehören Transparenz, Verbraucherschutz, Verhinderung von Marktmissbrauch, Zulassung und Überwachung. Die Krypto-Vermögenswerte werden in drei Kategorien unterteilt: E-Geld-Token, vermögenswertbezogene Token und eine dritte Gruppe, die alle anderen Arten wie Utility-Token und algorithmische Stablecoins abdeckt. Je nachdem, welcher Typ von Krypto-Vermögenswert verkauft wird, unterliegen die Emittenten regulatorischen Anforderungen. Alle Emittenten von E-Geld-Token und wertpapierbezogenen Token müssen demnach in der EU zugelassen und niedergelassen sein. Der Beschluss über die MiCA wird voraussichtlich Anfang 2022 abgeschlossen sein. Die Mitgliedstaaten müssen die neuen Vorschriften voraussichtlich im Jahr 2024 umsetzen.

JAPAN

Im Jahr 2021 kündigte die japanische Finanzdienstleistungsbehörde (FSA) ihre Absicht an, die „Travel Rule“ der Financial Action Task Force (FATF) gemäß ihren Leitlinien zu virtuellen Vermögenswerten (VAs) und VASPs umzusetzen. Die Travel Rule verlangt den Austausch von Identifikationsdaten zwischen Absendern (Auftraggebern) und Empfängern (Begünstigten) von digitalen Geldtransfers. Die Regel zielt daher darauf ab, durch die Verringerung der Anonymität bei Überweisungen und Kryptotransaktionen Geldwäsche und Terrorismusfinanzierung zu verhindern.

Die erforderlichen Informationen sind eng an die Normen für die Sorgfaltspflicht gegenüber Kunden angelehnt. Erfragt werden muss der Name, die Adresse, das Geburtsdatum, der Geburtsort, die Kontonummer und die Ausweisnummer des Auftraggebers. Darüber hinaus sind auch der Name des Empfängers und die Nummer des Kontos oder der virtuellen Wallet anzugeben. Die Regel tritt 2022 in Kraft.

PERU

Im Dezember 2021 wurde das „CryptoAsset Marketing Framework“ im Kongress eingebracht.

Dieser Rahmen legt die Anforderungen fest, die jeder VASP erfüllen muss, um seinen Betrieb aufzunehmen. Die Gesetzgebung sieht die Einrichtung eines öffentlichen Registers für VASPs vor, auf das Peruaner zugreifen können, um zu prüfen, ob die Börsen oder Plattformen registriert sind.

Außerdem sollen VASPs verpflichtet werden, die Nutzer vertraglich darüber zu informieren, dass Peru Kryptowährungen nicht als gesetzliches Zahlungsmittel anerkennt und dass die Überwachung dieser Vermögenswerte durch die Regierung keine Garantie gegen die Risiken darstellt, die der Handel mit Kryptowährungen für die Nutzer mit sich bringen kann. Wir gehen davon aus, dass dieses Gesetz im Jahr 2022 in Kraft treten wird.

TÜRKEI

Ende Dezember bestätigte Präsident Erdoğan die Fertigstellung eines Gesetzesentwurfs zu Kryptowährungen, der demnächst dem Parlament vorgelegt werden soll. Er soll anschließend einheitlich im Land umgesetzt werden.

Nach dem Zusammenbruch der beiden Kryptowährungsbörsen Thodex und Vebitcoin im April 2021, der dazu führte, dass Kryptowährungsanleger in der Türkei keinen Zugriff mehr auf ihre Konten hatten, hat die Türkei die Entwicklung von Vorschriften für Kryptowährungen beschleunigt.

Das Gesetz soll die Einrichtung einer zentralen Depotbank vorsehen, um das Gegenparteirisiko auszuräumen. Wir gehen davon aus, dass dieses Gesetz das Parlament zügig passieren und 2022 in Kraft treten wird.

USA

Kryptowährungen stehen eindeutig im Fadenkreuz der Bundesaufsichtsbehörden. Am 23. November 2021 veröffentlichten die US-amerikanischen Bankenaufsichtsbehörden eine gemeinsame Erklärung zur Politik in Sachen Krypto-Vermögenswerten, die Joint Statement on Crypto-Asset Policy Sprint Initiative and Next Steps. Es handelt sich um ein behördenübergreifenden Projekt, das sich speziell auf die Beteiligung von regulierten Banken und Bankholdinggesellschaften an Geschäften mit Krypto-Vermögenswerten konzentriert. In der gemeinsamen Erklärung ist nachzulesen:

“Im Laufe des Jahres 2022 planen die Behörden, mehr Klarheit darüber zu schaffen, ob bestimmte Aktivitäten im Zusammenhang mit Krypto-Vermögenswerten, die von Bankinstituten durchgeführt werden, rechtlich zulässig sind und welche Anforderungen in Bezug auf die Sicherheit und Solidität, den Verbraucherschutz und die Einhaltung bestehender Gesetze und Vorschriften mit folgenden Leistungen verbunden sind:

• Verwahrung von Krypto-Vermögenswerten und traditionellen Verwahrungsdiensten.
•  Ergänzende Verwahrungsdienstleistungen.
•  Erleichterung von Kundenkäufen und -Verkäufen von Krypto-Vermögenswerten.
•  Durch Krypto-Vermögenswerte besicherte Kredite.
•  Emission und Vertrieb von Stablecoins.
•  Aktivitäten, die den Besitz von Krypto-Vermögenswerten in der Bilanz beinhalten.

Des Weiteren werden die Behörden bei Aktivitäten, an denen US-Bankinstitute beteiligt sind, die Anwendung von Eigenkapital- und Liquiditätsstandards auf Kryptoassets prüfen. Sie werden sich weiterhin mit dem Basler Ausschuss für Bankenaufsicht über dessen Konsultationsprozess in diesem Bereich austauschen.”

Unabhängig davon hat Michael Hsu, Acting Comptroller of Currency, eine Regulierung des Krypto-Bankings gefordert und Bedenken geäußert, dass „synthetische Bankanbieter (SBPs), die außerhalb der Reichweite der Bankaufsichtsbehörden und frei von Bankregeln operieren“, im Kryptowährungsraum sehr aktiv sind, und hat die Notwendigkeit betont, dass SBPs den Bankstandards unterliegen müssen. In Anbetracht dieser Aktivitäten erwarten wir, dass in der zweiten Hälfte des Jahres 2022 eine Vorankündigung (Advanced Notice of Proposed Rulemaking - ANPRM) für den Bereich der Kryptowährungen veröffentlicht wird.

Digitale Währungen der Zentralbanken (Central Bank Digital Currencies, CBDCs)

CHINA

Chinas digitaler Yuan, „e-CNY“, wird voraussichtlich im ersten Quartal 2022 eingeführt.  Im Gegensatz zu einigen in der Entwicklung befindlichen CBDCs, die das Bargeld lediglich ergänzen, soll der e-CNY das bereits im Umlauf befindliche Bargeld und die Münzen ersetzen. Anfang Januar startete die Zentralbank eine Pilotversion einer Wallet-App für e-CNY in den App-Stores, um die Nutzung in 10 Gebieten Chinas auszuweiten.

NIGERIA

Im Oktober 2021 führte die nigerianische Zentralbank (Central Bank of Nigeria, CBN) den „eNaira" ein - eine digitale Zentralbankwährung (CBDC). Nigeria könnte als „Startrampe“ für CBDC auf dem afrikanischen Kontinent dienen. Zurzeit führen Ghana, Südafrika und Tunesien CBDC-Pilotprojekte durch. Simbabwe, Namibia, Madagaskar, Ruanda, Mauritius, Marokko und Kenia befinden sich in der Forschungsphase.

SCHWEDEN

Die e-krona-Pilotphase wurde zum Teil gestartet, weil die Bargeldnutzung in Schweden rückläufig ist und man sich gegen mögliche zukünftige Störungen des Geldsystems absichern möchte. Einige schwedische Banker befürchten jedoch, dass eine CBDC die Finanzstabilität gefährden könnte und es zu einem Ansturm auf die Banken kommen könnte. Die Riksbank wird voraussichtlich im November 2022 eine Entscheidung über die Möglichkeit einer e-krona treffen.

Künstliche Intelligenz

EUROPÄISCHE UNION

Im Rahmen der europäischen Datenstrategie veröffentlichte die Europäische Kommission einen weitreichenden 108-seitigen Vorschlag zur Regulierung des Einsatzes von KI, das Gesetz über künstliche Intelligenz, mit besonderem Augenmerk auf „hochriskante“ Systeme und Zusammenhänge. Die Verordnung würde für alle Anbieter und Nutzer innerhalb der EU sowie für exterritoriale Anbieter, deren Dienste innerhalb der EU genutzt werden, gelten. Der Vorschlag muss noch das EU-Gesetzgebungsverfahren durchlaufen. Er wird sich wahrscheinlich nicht auf das Jahr 2022 auswirken, aber es lohnt sich, ihn aufmerksam zu verfolgen, da erwartet wird, dass er eine Vorreiterrolle bei den globalen KI-Vorschriften einnehmen wird, ähnlich wie es die GDPR im Hinblick auf den Datenschutz getan hat.

USA

Die Zentralregierung, einschließlich der Finanzaufsichtsbehörden, hat sich im Jahr 2021 sehr stark auf KI ausgerichtet.

Im März 2021 veröffentlichten die US-Finanzaufsichtsbehörden eine Anfrage zur Nutzung von KI durch Finanzinstitute, u. a. zum maschinellen Lernen. Nach eigener Aussage dient die RFI dazu:

“Nachforschungen anzustellen über den Einsatz von KI durch Finanzinstitute bei der Erbringung von Dienstleistungen für Kunden und für andere geschäftliche oder betriebliche Zwecke sowie herauszufinden, welche Governance-, Risikomanagement-und Kontrollmaßnahmen in Bezug auf KI angemessen wären, und welche Herausforderungen es möglicherweise bei der Entwicklung, Einführung und Verwaltung von KI gibt.”

Ebenfalls im März veröffentlichte die National Security Commission on Artificial Intelligence einen Abschlussbericht, in dem sie eine Strategie skizziert, wie in der Ära von KI der „allgemeine technologische Wettbewerb zu gewinnen ist“.

Im vergangenen April veröffentlichte die Federal Trade Commission (FTC) einen Blog mit dem Titel „Aiming for truth, fairness, and equity in your company's use of AI“ („beim Einsatz von KI in Ihrem Unternehmen nach Korrektheit, Fairness und Gerechtigkeit streben“), der Leitlinien enthält, um Rassenverzerrungen und ähnliche Auswirkungen zu vermeiden. 

Im Juli veröffentlichte NIST eine RFI zur Einholung von Beiträgen für den Entwurf eines Artificial Intelligence Risk Management Framework, eines „Leitfadens zur freiwilligen Nutzung für Technologieentwickler, -nutzer und -bewerter, der ihnen dabei helfen soll, die Vertrauenswürdigkeit von KI-Systemen zu verbessern“.  

Im Oktober veröffentlichte das Office of Science and Technology Policy (OSTP) des Weißen Hauses eine Ausschreibung zum Einsatz biometrischer Technologien zur Identitätsüberprüfung, zur Identifizierung von Personen und zur Ableitung von Attributen wie individueller mentaler und emotionaler Zustände. Mit der RFI möchte das OSTP mehr erfahren darüber:

“wie viele und welche Art von biometrischen Technologien in der Vergangenheit verwendet wurden bzw. gegenwärtig oder in Zukunft verwendet werden; in welchen Bereichen diese Technologien verwendet werden; welche Einrichtungen sie verwenden; welche Prinzipien, Praktiken und Richtlinien aktuell ihre Verwendung regeln; und welche Interessengruppen von ihrer Verwendung oder Regulierung betroffen sind oder betroffen sein könnten.”

In Anbetracht der Fülle an Aktivitäten sind für das Jahr 2022 Regulierungsmaßnahmen im Bereich der KI zu erwarten.

Digitale Identität

DÄNEMARK

MitID, die lang erwartete digitale Identitätsinfrastruktur, wird NemID ersetzen. MitID soll flexibler und sicherer sein. MitID ist eine App, die für die Genehmigung von Anmeldungen und Zahlungen verwendet werden kann. Sobald die MitID die Testphase durchlaufen hat wird sie in ganz Dänemark eingeführt und NemID wird anschließend mit einer sechsmonatigen Übergangszeit auslaufen. Aufgrund von Verzögerungen wird die Lösung höchstwahrscheinlich im Sommer 2022 fertig sein.

KANADA

Kanadas mit Spannung erwartetes Pan-Canadian Trust Framework (PCTF) unter der Leitung des Digital Identity and Authentication Council of Canada (DIACC) startet 2022 sein Voila Verified Trustmark Programm.  Trustmarks werden an Organisationen vergeben, die die Einhaltung der PCTF-Bestimmungen nachweisen.

EUROPÄISCHE UNION

Viel Tinte ist bereits über die Initiative der Europäischen Union für digitale Brieftaschen geflossen. Vorerst lässt sie noch einige Jahre auf sich warten und im Jahr 2022 geht es erst einmal darum, spezifische Architekturen, Standards und Referenzen sowie Leitlinien und bewährte Verfahren zu identifizieren. Gegen Ende des Jahres wird die Europäische Kommission eine Toolbox veröffentlichen, die von den Mitgliedstaaten und anderen Parteien verwendet werden kann.  

Im Dezember 2021 veröffentlichte die Europäische Bankenaufsichtsbehörde den Entwurf der Leitlinien für die Remote-Anmeldung von Kunden zur öffentlichen Stellungnahme. Mehrere Mitgliedstaaten haben bereits das Remote Onboarding eingeführt und nutzen dabei Lösungen zur biometrischen Identitätsprüfung und Dokumentenverifizierung. Es ist nicht verwunderlich, dass die Aufsichtsbehörden der Mitgliedstaaten unterschiedliche Ansätze verfolgen, z. B. lassen einige von ihnen Selfie-Fotos zu, andere verbieten diese und verlangen Videos. Es bleibt abzuwarten, was die endgültigen Leitlinien der EBA beinhalten werden. Die Frist zur Abgabe von Stellungnahmen läuft bis zum 10. März 2022; die endgültigen Leitlinien werden voraussichtlich in der zweiten Hälfte des Jahres 2022 veröffentlicht.

SCHWEIZ

Der Bundesrat der Schweizer Regierung kündigte Pläne zur Entwicklung einer öffentlich zugänglichen E-ID-Infrastruktur an, die auf Prinzipien der selbstverwalteten Identität (SSI) aufbauen soll. Die E-ID-Infrastruktur soll zwar vom Staat betriebenen werden, doch kommt dem Privatsektor eine wichtige Rolle zu: Als Anbieter von Identitäten, als Agenten, vertrauenden Parteien und Anbietern von Identitäts-Wallets. Der Entwurf zum neuen Schweizer Gesetz zur E-ID soll voraussichtlich bis Mitte 2022 vorgestellt werden.

USA

Anfang 2022 wird das National Institute of Standards and Technology voraussichtlich einen Entwurf seiner überarbeiteten Richtlinien zur digitalen Identität zur öffentlichen Stellungnahme freigeben. Dies wird die erste Aktualisierung seit 2017 sein. Auch wenn die Richtlinien des NIST nur für US-Bundesbehörden und deren Auftragsnehmer verpflichtet sind, war es bisher immer so, dass zahlreiche Organisationen des privaten und öffentlichen Sektors weltweit, auch im Finanzsektor, diese Richtlinien übernommen haben. Eine größere Überarbeitung ist nicht zu erwarten. Da sich die Biden-Administration jedoch insbesondere auf die Bekämpfung von Phishing-Angriffen mit phish-resistenten Authentifikatoren konzentriert, erwarten wir eine Differenzierung zwischen Authentifikatoren, die unter Authenticator Assurance Level 2 (AAL) kategorisiert sind.    

Datenschutz

JAPAN

Die Änderungen der Durchsetzungsbestimmungen für das Gesetz zum Schutz personenbezogener Daten (APPI) wurden 2021 veröffentlicht und treten am 1. April 2022 in Kraft.

Das geänderte APPI stärkt die Rechte der Betroffenen und stellt neue Anforderungen an Unternehmen, die personenbezogene Daten verarbeiten. Es verpflichtet Unternehmen, Datenschutzverletzungen an die Datenschutzkommission (PPC) zu melden, erweitert die Befugnisse der PPC, so dass sie Berichte anfordern oder gegen Unternehmen im Ausland vorgehen kann, erhöht die Strafen bei Nichteinhaltung und führt das Konzept der Pseudonymisierung ein.

Bei der Pseudonymisierung handelt es sich um ein Datenverwaltungsverfahren, bei dem die personenbezogenen Daten der Betroffenen durch ein Pseudonym ersetzt werden, um ihre Rechte zu schützen und den Verarbeitern eine einfachere Nutzung ihrer Daten zu ermöglichen. Das geänderte APPI erweitert auch die Rechte der Betroffenen auf Löschung und Einstellung der Verwendung personenbezogener Daten und ermöglicht es den Betroffenen, auszuwählen, wie sie ihre Daten erhalten wollen (postalisch oder per E-Mail), wenn sie vom Auskunftsrecht Gebrauch machen.

Wie die Allgemeine Datenschutzverordnung der EU (GDPR) hat die APPI einen extraterritorialen Geltungsbereich und gilt für alle Stellen, die personenbezogene Daten japanischer Bürger verarbeiten, unabhängig von ihrem Standort. Das geänderte APPI ermöglicht es der PPC, von ausländischen Verpflichteten Berichte über ihre Verarbeitungstätigkeiten anzufordern, und die PPC wird die Befugnis haben, im Falle der Nichteinhaltung Bußgelder zu verhängen.

SCHWEIZ

Das 2020 verabschiedete revidierte schweizerische Datenschutzgesetz (revDPA) setzt viele Bestimmungen der Datenschutz-Grundverordnung (DSGVO) um, enthält aber auch bedeutende Unterschiede. Das revidierte Gesetz wird in der zweiten Hälfte 2022 in Kraft treten.

Das Gesetz verpflichtet Unternehmen, schwerwiegende Datenschutzverletzungen unverzüglich dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu melden, Datenschutz-Folgenabschätzungen vor einer potenziell riskanten Datenverarbeitung durchzuführen, vor der Datenverarbeitung durch Unterauftragsnehmer eine Genehmigung einzuholen und bei jeder Datenerhebung einen Datenschutzhinweis zu veröffentlichen. Im Unterschied zur DSGVO haben die für die Verarbeitung Verantwortlichen die Möglichkeit, aber nicht die Pflicht, einen Datenschutzbeauftragten zu ernennen. Sollte es zu einem vorsätzlichen Verstoß gegen die DSGVO kommen, können Personen anstelle des Unternehmens mit strafrechtlichen Sanktionen rechnen.

THAILAND

Aufgrund der COVID-19-Pandemie hat das thailändische Kabinett das Inkrafttreten des Gesetzes zum Schutz personenbezogener Daten (PDPA) auf den 1. Juni 2022 verschoben. Das im Mai 2019 veröffentlichte PDPA lehnt sich an die EU-Datenschutzgrundverordnung (GDPR) an und legt die Anforderungen an die Verarbeitung personenbezogener Daten fest und geht auf die Pflichten der für die Datenverarbeitung Verantwortlichen und der Auftragsverarbeiter ein. Das Gesetz ist außerhalb des Hoheitsgebiets gültig und gilt für alle Stellen, die personenbezogene Daten eines thailändischen Bürgers verarbeiten, auch wenn diese nicht in Thailand ansässig sind. Bei der grenzüberschreitenden Übertragung personenbezogener Daten muss das Empfängerland „angemessene Datenschutzstandards“ einhalten. Mit dem PDPA wird auch eine nationale Datenschutzbehörde eingerichtet, die die Einhaltung der Vorschriften überwacht, der so genannte Ausschuss für den Schutz personenbezogener Daten („Personal Data Protection Committee“ PDPC).

Bekämpfung von Geldwäsche und Terrorismusfinanzierung

EUROPÄISCHE UNION

Im vergangenen Frühjahr leitete die Europäische Bankenaufsichtsbehörde eine öffentliche Konsultation zu einem Entwurf von technischen Regulierungsstandards (RTS) für die Einrichtung einer zentralen Datenbank zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung ein. Nach den öffentlichen Stellungnahmen veröffentlichte die EBA im Dezember einen Abschlussbericht. Die in dem Entwurf der RTS festgelegten Regeln dienen dazu, die Wirksamkeit und Vertraulichkeit der Datenbank zu gewährleisten, aber auch dazu, den EU-Ansatz zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung zu koordinieren und zu harmonisieren. Dies ist besonders wichtig, da die EU-Richtlinien zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung einen Ermessensspielraum haben, der es den Mitgliedstaaten erlaubt, sie dem nationalen Recht anzupassen und auf unterschiedliche Weise zu implementieren. Das war bisher einem gesamteuropäischen Ansatz nicht unbedingt förderlich. Da die Cyberkriminalität angesichts der zunehmenden Digitalisierung immer ausgefeilter und internationaler wird, wird eine zentrale Datenbank die Maßnahmen zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung in der gesamten EU vereinfachen. Die RTS werden außerdem dafür sorgen, dass die Datenbank mit den Datenschutzgesetzen in Einklang steht.

Die EBA wird diesen Entwurf der RTS der Europäischen Kommission zur Genehmigung vorlegen. Nach der Genehmigung werden die RTS in allen Mitgliedstaaten unmittelbar anwendbar sein. Je nachdem, wie schnell dies geschieht, könnte die Kommission sie im Jahr 2022 genehmigen.

USA

Im Dezember veröffentlichte das Financial Crimes Enforcement Network (FinCen) des US-Finanzministeriums einen Regelungsvorschlag (Notice of Proposed Rule Making, NPRM) für die Meldepflichten für wirtschaftliche Eigentumsrechte (Beneficial Ownership).  Der Regelungsvorschlag dient der Umsetzung von Abschnitt 6403 des Corporate Transparency Act, der als Teil des National Defense Authorization Act für das Steuerjahr 2021 in Kraft getreten ist. Nach der Verabschiedung müssen Unternehmen Informationen über wirtschaftliche Eigentümer und Bewerber an das FinCEN übermitteln, um Geldwäsche, Terrorismusfinanzierung, Steuerbetrug und andere illegale Aktivitäten zu verhindern und zu bekämpfen. Laut Ankündigung:

“regulieren die vorgeschlagenen Verordnungen: (1) wer eine Meldung machen muss; (2) wann die Meldung zu machen ist; und (3) welche Informationen vorgelegen werden müssen. Die Erfassung dieser Informationen und der Zugang durch Strafverfolgungsbehörden, den Nachrichtendiensten und anderen wichtigen Akteuren wird die Möglichkeiten einschränken, kriminelle Aktivitäten durch anonyme Briefkasten- und Scheinfirmen zu verschleiern.”

Die öffentliche Kommentarfrist endet am 7. Februar, und wir erwarten, dass FinCen im Laufe des Jahres 2022 eine endgültige Regelung veröffentlichen wird.

Ebenfalls im Dezember veröffentlichte das FinCen eine Informationsanfrage zur Modernisierung des Regulierungssystems für Geldwäsche und Terrorismusfinanzierung. Die FinCEN möchte Informationen dazu einholen, wie die risikobasierten Vorschriften und Leitlinien für die Bekämpfung von Geldwäsche und Terrorismusfinanzierung, die unter dem Bank Secrecy Act (BSA) erlassen wurden, modernisiert werden können. Die formelle Überprüfung wird es FinCEN auch ermöglichen, Regelungen und Anleitungen zu identifizieren, die veraltet oder redundant sind oder die anderweitig einem risikobasierten Compliance-System zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung für Finanzinstitute nicht förderlich sind oder die nicht mit den Verpflichtungen der USA zur Einhaltung internationaler AML/CFT-Standards vereinbar sind. Die öffentliche Kommentierungsfrist endet am 14. Februar 2022, und ein Gesetzesentwurf (Notice of Proposed Rulemaking, NPRM) könnte in der zweiten Hälfte des Jahres 2022 veröffentlicht werden.

Biometrische Geldautomaten

ARGENTINIEN

Im Januar 2021 veröffentlichte die Zentralbank ein Rundschreiben, in dem die Regeln für den Zugriff auf Geldautomaten mithilfe von Fingerabdrucklesegeräten dargelegt wurden. Gemäß den neuen Regeln sollen Benutzer über „etwas, das Sie wissen“ – eine PIN oder einen Personalausweis (DNI) – neben Fingerabdrücken Zugang zu Geldautomaten erhalten. Die Vorschriften werden schrittweise umgesetzt. Bis zum 31. Dezember 2021 mussten 35 % der Geldautomaten mit einem biometrisches Lesegerät ausgestattet sein; bis zum 20. Juni 2022 müssen es 60 % sein, und zum Stichtag 31. Dezember 2022 müssen alle Geldautomaten mit einem biometrischen Lesegerät ausgestattet sein.

Elektronische Signatur

JAPAN

Auf Initiative von Premierminister Suga vom Oktober 2020 werden Banken und andere Finanzinstitute bis Ende 2022 die Technologie der elektronischen Unterschrift einsetzen und ihre Formulare digitalisieren. Unternehmen haben bislang Papierdokumente bei der Finanzdienstleistungsbehörde eingereicht, was die Effizienz verringert und die Kosten in die Höhe getrieben hat.

VEREINIGTE ARABISCHE EMIRATE

Im September 2021 wurde das Bundesgesetz Nr. 46/2021 über elektronische Transaktionen und Vertrauensdienste erlassen, das das 15 Jahre alte Bundesgesetz Nr. 1/2006 über elektronischen Handel und Transaktionen aufhebt. Das neue Gesetz fördert und erleichtert alle Arten von elektronischen Transaktionen und schützt gleichzeitig die Rechte der Kunden, die elektronische Transaktionen durchführen, und soll so die digitale Transformation in den VAE fördern. 

Zu den Vertrauensdiensten gehören laut Gesetz die Erstellung elektronischer Signaturen, die Ausstellung von Authentifizierungszertifikaten für qualifizierte elektronische Signaturen, die Erstellung elektronischer Stempel, die Ausstellung von Authentifizierungszertifikaten für qualifizierte elektronische Stempel und die Ausstellung von Authentifizierungszertifikaten für Websites.

Das neue Gesetz trat am 2. Januar 2022 in Kraft. Den Unternehmen wird eine Frist von einem Jahr eingeräumt, um dem Gesetz nachzukommen.

USA

Die notarielle Fernbeglaubigung (Remote-Online-Notarisierung, RON) setzt sich immer mehr durch. Mittlerweile haben 39 Staaten RON-Gesetze verabschiedet. Zuletzt hat der Gouverneur des Staates New York am 22. Dezember 2021 ein Gesetz zur dauerhaften Einführung von RON-Maßnahmen unterzeichnet.  Das Gesetz des Staates New York tritt am 20. Juni 2022 in Kraft.

Der Staat New York schließt sich Alaska, Arizona, Arkansas, Colorado, Florida, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Kentucky, Louisiana, Maryland, Michigan, Minnesota, Missouri, Montana, Nebraska, Nevada, New Hampshire, New Mexico, New Jersey, North Dakota, Ohio, Oklahoma, Oregon, Pennsylvania, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin und Wyoming an.

Veranlasst wurde die verstärkte Einführung der RON-Maßnahmen durch die Protokolle zur sozialen Distanzierung während der COVID-19-Pandemie, die Unternehmen zwang, ihre Operationen online zu verlagern. Dabei sind die grundlegenden Elemente der einzelnen Bundesstaaten ganz ähnlich: Sie basieren alle auf audiovisuellen Kommunikationsmethoden, der Aufzeichnung der audiovisuellen Kommunikation und der Authentifizierung der Unterzeichner durch den Notar.

Open Banking

BRASILIEN

Die vierte und letzte Phase der Einführung von Open Banking in Brasilien begann Mitte Dezember.  Dies war insofern von Bedeutung, als damit der Übergang von Open Banking zu Open Finance vollzogen wurde, da nun auch Informationen aus den Bereichen Anlageprodukte, Versicherungen und Devisen mit Zustimmung des Verbrauchers mit vertrauenswürdigen Dritt-APIs ausgetauscht werden können. Entsprechende Informationen über Hypotheken, Sparguthaben, Renten und Kreditkarten waren schon vorher freigegeben.

Eine Schlüsselkomponente der vierten Phase ist die Anforderung, dass bei Finanzangelegenheiten APIs während des Zertifizierungsprozesses ausgetauscht werden müssen. Dadurch wird die Einhaltung der technologischen Anforderungen der Zentralbank sichergestellt.  

Fristen für die Zertifizierung:

• 4. März 2022: Versicherungen, offene Zusatzrente und Kapitalisierung
• 11. März 2002: Akkreditierungsdienste im Zahlungsverkehr
• 18. März 2022: Devisengeschäfte
• 25. März 2022: Festgeldkonten und andere Anlageprodukte

Am 31. Mai 2022 beginnt die zweite Phase der Phase 4, und die Verbraucher können ab dem 31. Mai 2022 ihre Zustimmung zum Datenaustausch erteilen. Dann wird Open Finance auch für die Verbraucher sichtbar sein, denn es wird Ihnen möglich sein, in Bezug auf die freigegebenen Dienstleistungen der gemeinsamen Nutzung von Daten durch die teilnehmenden Instituten zuzustimmen. Bis zum 30. September 2022 soll die Einführung von Open Finance abgeschlossen sein.

KANADA

Im August 2021 erschien ein Bericht des Beratungsausschusses der Bundesregierung für Open Banking. Demnach soll die erste Phase bis Januar 2023 anlaufen und Regierung und Industrie arbeiten gemeinsam an einem entsprechenden Zeitplan. Im Jahr 2022 laufen die Vorbereitungen für den Start im Jahr 2023.

KOLUMBIEN

Die kolumbianische Legislative arbeitet aktuell an einem Gesetz zum Ausbau von Open Banking. Das Gesetz wird voraussichtlich im Jahr 2022 eingebracht. Noch ist keine endgültiger Zeitplan verfügbar. 

HONGKONG

An der schrittweisen Einführung des Open API Framework für den Bankensektor durch die Hong Kong Money Authority (HKMA) sind 28 Banken beteiligt. Die Banken begannen Ende 2021 mit den Phasen III und IV, die sich zunächst auf Informationen zu Einlagenkonten und Zahlungen an Online-Händler konzentrierten.

Laut der Website der HKMA planen in der Phase III 25 Banken bis zum 30. Juni 2022 die Einführung der API-Funktionen für Privatkunden. Für Firmen- und KMU-Kunden planen 23 Banken eine Einführung der API-Funktionen bis zum 30. Juni 2022.

In Phase IV werden 27 der 28 teilnehmenden Banken bis zum 30. Juni 2022 eine App-to-App-Zahlungsfunktion einführen. Die verbleibe Bank plant, die Einführung dieser Funktion zum 30. September 2022.

KÖNIGREICH SAUDIA-ARABIEN

Die Zentralbank hat ein Strategiepapier für Open Banking veröffentlicht. Damit will sie Wettbewerb, Innovation, finanzielle Eingliederung und Effizienz im Bankensystem fördern. Die Zentralbank bewertet derzeit die potenziellen Auswirkungen von Open Banking und wie es im Königreich am besten eingeführt werden kann. Die Einführung von Open Banking soll in drei Phasen erfolgen: Konzeption, Umsetzung und Inbetriebnahme.

Im Strategiepapier der Zentralbank heißt es: „Die Umsetzungsphase umfasst die Entwicklung des vorgegebenen Rahmens und der technologischen Bausteine sowie die Maßnahmen zur Einführung, einschließlich Tests mit Finanzmarktteilnehmern und der Sensibilisierung der Kunden.“ Die Zentralbank plant, das System in der ersten Hälfte des Jahres 2022 in Betrieb zu nehmen.

GROSSBRITANNIEN

Im Mai 2021 gab die Financial Conduct Authority (FCA) eine Erklärung ab, in der sie die Frist für die Umsetzung der Anforderungen an die starke Kundenauthentifizierung (SCA) bei Transaktionen im elektronischen Handel bis zum 14. März 2022 verlängerte. Die Verlängerung um sechs Monate soll gewährleisten, dass die „Beeinträchtigung für Händler und Verbraucher zu gering wie möglich ist. Sie ist eine Reaktion auf die Schwierigkeiten der Branche, den vorherigen Stichtag, den 14. September 2021, einzuhalten.“

USA

Bisher war das Open Banking in den USA marktgesteuert, aber das könnte sich bald ändern. Im Juli 2021 erließ Präsident Biden die Executive Order Promoting Competition in the American Economy, (Förderung des Wettbewerbs in der amerikanischen Wirtschaft) mit insgesamt 72 Initiativen von mehr als einem Dutzend Bundesbehörden zur Lösung der dringendsten Wettbewerbsprobleme in der US-Wirtschaft. Eine dieser 72 Aufgaben, die der Direktor des Consumer Financial Protection Bureau angehen oder weiterführen soll, ist eine Regelung gemäß Abschnitt 1033 des Dodd-Frank Act, die die Übertragbarkeit der Finanztransaktionsdaten von Verbrauchern erleichtert. Dies würde es den Verbrauchern ermöglichen, einfacher die Bank zu wechseln und neue, innovative Finanzprodukte zu verwenden. Dies könnte auch als Beschleuniger für Open Banking in den Vereinigten Staaten dienen.

Prognosen für 2022

Angesichts dieser umfangreichen regulatorischen Änderungen wagen wir einige Prognosen für dieses Jahr:

1. Stellen Sie sich darauf ein, dass die USA eine „Advanced Notice of Proposed Rulemaking for Regulation of Crypto Banking“ („Erweiterte Bekanntmachung eines Regelungsvorschlags für die Regulierung des Kryptobankwesens“) ankündigen werden.
2. Die US-Finanzaufsichtsbehörden, das Office of the Comptroller of Currency (OCC), das Federal Reserve Board (FRB), die Federal Deposit Insurance Corporation (FDIC) und die Securities Exchange Commission (SEC) werden eine Notice of Proposed Rulemaking für umfassende Regelungen ähnlich der überarbeiteten Safeguards Rule der Federal Trade Commission veröffentlichen.
3. Das U.S. Consumer Financial Protection Bureau wird Richtlinien zur Förderung des Open Banking in den USA bekannt geben. 
4. Die Zentralbanken werden außerdem strenge Sicherheitsanforderungen für digitale Geldbörsen, die digitale Zentralbankwährungen (CBDCs) speichern und mit ihnen Transaktionen durchführen, einführen, darunter eine Mehrfaktoren-Authentifizierung, die biometrische Merkmale wie Gesicht und Fingerabdruck nutzt, sowie eine Abschirmung für mobile Anwendungen. Sicherheit ist für Zentralbanken von größter Bedeutung, und diese Anforderungen werden mit der weltweiten Einführung von CBDCs zur Norm werden.
5. Frankreichs Datenschutzbehörde, die Commission nationale de l'informatique et des libertés (CNIL), wird ankündigen, dass es nicht mehr erlaubt sein wird, nur mit einem Passwort Zugang zu sensiblen personenbezogenen Daten zu erhalten. Systeme und Datenbanken, auf die über eine Ein-Faktor-Authentifizierung (Benutzername und Kennwort) zugegriffen wird, entsprechen nicht mehr der DSGVO.

Bankvorschriften und neue Möglichkeiten

Das Jahr 2022 bringt weltweit große regulatorische Veränderungen für Gemeinschaftsbanken, nationale Banken, Bankholdinggesellschaften, Kreditgenossenschaften und das Finanzsystem mit sich. Daher ist es unerlässlich, sich über die aktuellen regulatorischen Änderungen und Bankgesetze sowie über neue Vorschläge, die in den Ländern, in denen Sie tätig sind, zur Diskussion stehen, auf dem Laufenden zu halten. Sie können sich entscheidend auf Ihre Initiativen zur digitalen Transformation auswirken.

Erfahren Sie mehr über Sicherheitslösungen und die Einhaltung von Vorschriften, indem Sie unsere Seite besuchen, auf der wir näher auf die Herausforderungen bei der Einhaltung von Vorschriften eingehen.