Man hat’s quick schon wieder vergessen. Aber vor ein paar Jahren herrschte in Teilen der deutschen Finanzbranche statt des üblichen Regulierungs-Frusts tatsächlich mal so etwas wie Regulierungs-Euphorie. Die PSD2-Reform stand vor der Tür, und sie sollte eine regelrechte Revolution entfachen, die „Open Banking“-Revolution. Sogenannte Kontoinformations- bzw. Zahlungsauslöse-Dienste schossen aus dem Boden, angefixt von der Idee, mithilfe der neuen EU-Richtlinie die Bankkonten ihrer Kunden (bzw. der Kunden ihrer Kunden) anzuzapfen und auf dieser Foundation neue Geschäftsmodelle zu implementieren. In dem ein oder anderen Fall ging der Plan am Ende tatsächlich auf, man denke an den frühen Exit von Fintecsystems oder den zeitversetzten Wachstumsschub bei Dwins. Solche Erfolge blieben allerdings die Ausnahme. Andernorts schlug die Euphorie alsbald in Frust hin, etwa bei Wallis, dem Open-Banking-Dienstleister der Sparkassen, der simply dieser Tage (siehe unseren Scoop kurz vor Weihnachten) das Geschäft hat aufgeben müssen. Womit wir aus der Historie im Hier und Jetzt angelangt wären. Denn wie das halt so ist mit der Regulierung: Sie ruht nie. Und so befindet sich aktuell nicht nur der direkte Nachfolger der PSD2 in der Mache (additionally die PSD3), sondern, wenn man so will, auch zwei mittelbare Nachfolger, nämlich die Verordnungen PSR und FIDA. Was hat es mit dem Trio auf sich? Welche Regulierungs-Themen gehören 2025 sonst noch auf die Agenda? Und wie ist eigentlich der Stand bei DORA?

Bitte schön:

1.) DORA

• Was ist es? DORA ist die „Verordnung über die digitale operationale Resilienz im Finanzsektor“ („Digital Operational Resilience Act“).
• Worum geht es? Um die operative Stabilität des Finanzsektors in Zeiten digitalen Wandels und zunehmender Cyber-Gefahren.
• Wie ist der Stand? Laut DORA müssen Banken dafür sorgen, dass ihre Dienstleister (und deren Sub-Dienstleister) dieselben Requirements mit Blick auf Resilienz und Sicherheit in der Informations- und Kommunikationstechnik (IKT) erfüllen wie sie. Dies erfordert künftig eine Risikobewertung und Due-Diligence vor Abschluss eines Vertrags. Ebenfalls zentral: der Umgang mit Cyber-Vorfällen sowie Checks der operativen Resilienz. Zugleich wird ein europäischer Überwachungsrahmen für kritische Dienstleister der IKT geschaffen. Trotz Bruchs der Ampel-Koalition beschloss der Bundestag am 18. Dezember ein Gesetz zur Digitalisierung des Finanzmarkts, mit dem DORA nationales Recht wird.
• Was steht 2025 an? Ab dem 17. Januar müssen Banken die Bestimmungen von DORA erfüllen. Bestehende Verträge sind bis dahin gemäß der EU-Verordnung anzupassen. Bankenverbände monieren derweil, nach wie vor fehlten von europäischen Behörden entwickelte Customary-Vertragsklauseln.

–––––––––––––––––––

2.) MiCAR

• Was ist es? MiCAR ist die EU-Verordnung über Märkte für Krypto-Werte („Markets in Crypto-Belongings Regulation“).
• Worum geht es? Um die europaweit einheitliche Regulierung von Krypto-Belongings.
• Wie ist der Stand? Nachdem die Verordnung parallel mit DORA in deutsches Recht umgesetzt wurde, sind die Bestimmungen Ende 2024 in Kraft getreten. Somit kann die Bafin bereits seit Beginn dieses Jahres MiCAR-Kryptolizenzen erteilen.
• Was steht 2025 an? Theoretisch benötigt zwar jeder Anbieter von Krypto-Dienstleistungen ab sofort eine MiCAR-Lizenz. In der Praxis müssen das volle Erlaubnisverfahren aber nur solche Anbieter durchlaufen, die bisher unreguliert tätig gewesen sind und nun von der Verordnung erfasst werden – etwa Emittenten oder Händler serieller Non-Fungible Tokens (NFT). Ein vereinfachtes Verfahren durchläuft, wer belegen kann, dass er mit entsprechender Lizenz schon bisher gleichwertige Dienstleistungen erbracht hat. Wer als Financial institution ohnehin bereits unter die EU-Eigenkapitalverordnung fällt, muss die Bafin nur spätestens 40 Tage vor Ende der Übergangsfrist über sein Angebot an Krypto-Diensten informieren, ohne eine MiCAR-Lizenz beantragen zu müssen (Grund ist in dem Fall eine nationale Übergangsfrist bis Ende 2025). Eine weitere Veränderung: Die EU-Kommission soll bis Mitte des Jahres Vorschläge machen, welche Risikogewichte und Publicity-Grenzen für Kryptowerte künftig gelten. Bisher gelten nur Übergangsregelungen.

–––––––––––––––––––

3.) Digitaler Euro

• Was ist es? Im Zentrum stehen digitale Zentralbank-Währungen für den (grenzüberschreitenden) Zahlungsverkehr zwischen Geschäftsbanken und andere Finanzinstitutionen („Wholesale-CBDC“, CDBC für Central Financial institution Digital Currencies) sowie „Retail-CDBC“ – für eine Nutzung im Massengeschäft.
• Worum geht es? Um die Rolle von Zentralbankgeld in einer digitalen Welt sowie um Souveränität im Zahlungsverkehr.
• Wie ist der Stand? In Sachen Wholesale-CBDC hat das Eurosystem im November 2024 die Testphase zur Ausgestaltung eines digitalen Zentralbankgelds abgeschlossen. Erprobt wurden Systeme der Banque de France, der Banca d’Italia sowie der Deutschen Bundesbank. In Sachen Retail-CDBC hat die EU-Kommission im Juni 2023 entsprechende Gesetzesvorschläge präsentiert, daraufhin startete die EZB im November 2023 die Section der Vorbereitung.
• Was steht 2025 an? Wholesale-CBDC: Im ersten Halbjahr will das Euroystem entscheiden, ob und wie die Abwicklung von Wholesale-Transaktionen in Zentralbankgeld fortgesetzt wird. Zu rechnen ist damit, das Suggestions aus dem Markt auf die Testphase warfare positiv. Im Idealfall werden die Stärken der drei Systeme aus Frankreich, Italien und Deutschland miteinander kombiniert, im Worst Case droht ein politisches Klein-Klein. Retail-CDBC: Frühestens im zweiten Halbjahr dürfte sich entscheiden, ob (und wie) das EU-Parlament und der Rat den Gesetzentwurf der Kommission akzeptieren. Und erst wenn die EU-Gesetzgebung abgeschlossen ist, wird die EZB über eine Ausgabe digitaler Euros entscheiden.

–––––––––––––––––––

4.) PSD3/PSR

• Was ist es? PSD3 („Fee Providers Directive 3“) ist eine Novelle der EU-Richtlinie zu Zahlungsdiensten, die PSR („Fee Providers Regulation“) eine flankierende EU-Verordnung.
• Worum geht es? Um die Regulierung des elektronischen Zahlungsverkehrs und eine Verbesserung des Open Banking.
• Wie ist der Stand? Zusammen sollen PSD3 und PSR die Stability zwischen Sicherheit, Transparenz und Nutzerfreundlichkeit verbessern. Sie regeln unter anderem die Geldwäsche- und Betrugsprävention, zudem ebenen sie die (bisher teils erheblichen) Spielräume nationaler Behörden etwa bei der Lizenzierung von E-Geld-Instituten ein. Konkret regelt die PDS3 vor allem Fragen der Zulassung als Zahlungsinstitut sowie des Aufsichtsrechts. Zudem können Zahlungsinstitute unter der PSD3 eigene Kundengelder direkt bei der nationalen Zentralbank sichern, sie sind somit nicht mehr auf das Treuhandkonto einer Financial institution angewiesen. Zugleich werden sie künftig aber die Anforderungen der Bafin an Cyber-Sicherheit, Company Governance und Risikomanagement erfüllen müssen. Die PSR wiederum soll Open Banking forcieren. Aufreger für Banken sind hierbei schärfere Haftungsregeln und die Pflicht, künftig Standardschnittstellen für den Datenaustausch mit Zahlungsdienstleistern einzurichten – ohne Gebühren für den Kontozugang erheben zu dürfen.
• Was steht 2025 an? Über beide Regelwerke wird derzeit im Trilog der EU beraten. Eine Einigung wird für Anfang 2025 erwartet. Die PSD3 würde 18 Monate nach ihrem Inkrafttreten gültig und wäre innerhalb dieser Frist in nationales Recht umzusetzen; sie dürfte damit kaum vor 2026 wirksam werden. Die PSR soll nach dem Willen der Kommission auch erst parallel mit der PSD3 gelten.

–––––––––––––––––––

5.) FIDA

• Was ist es? Bei FIDA („Monetary Information Entry“) handelt es sich um eine EU-Verordnung, die Zugang zu Finanzdaten regeln soll.
• Worum geht es? Um Open Banking außerhalb der Kontoinformationsdienste und eine Regulierung des Datenaustauschs im europäischen Finanzmarkt.
• Wie ist der Stand? FIDA zielt darauf ab, die Idee des Open Finance auf alle Finanzdienstleistungen auszuweiten. Zugleich sollen Konsumenten aber die Hoheit über ihre Daten behalten. Im Kern sollen Banken künftig Kundendaten auch über Kontoprodukte hinaus (sprich zu Investments, Depots und Kredite) anderen Finanz- und Informationsdienstleistern bereitstellen (das Einverständnis des Kunden vorausgesetzt). Anders als für den Zugang zum Konto sollen Banken für den Abruf von Daten nach FIDA Geld verlangen dürfen. Über Obergrenzen entscheiden sollen mit Vertretern von Markteilnehmern, Banken, Verbänden und Drittanbietern besetzte Gremien (die zudem einen Customary für den Zugriff erarbeiten sollen).
• Was steht 2025 an? Zunächst der – bereits mehrfach verschobene – finale Entwurf der Verordnung (erwartet für den Sommer).

–––––––––––––––––––

6.) CSRD

• Was ist es? Die EU-Richtlinie für die Berichterstattung von Unternehmen in Sachen Nachhaltigkeit („Company Sustainability Reporting Directive“).
• Worum geht es? Um die Vereinheitlichung und large Ausweitung der Berichterstattung zu Nachhaltigkeitsfragen.
• Wie ist der Stand? Grundsätzlich ist die Richtlinie zwar schon seit Anfang 2024 anzuwenden. Die Offenlegungspflichten für Banken greifen gleichwohl erst sukzessive bis 2028, je nach Größe der Institute. Zu verwenden sind die neu entwickelten Bilanz-Requirements ESRS (European Sustainability Reporting Requirements).
• Was steht 2025  an? Eigentlich müssten deutsche Banken schon dieses Jahr die ersten CSRD-Berichte (für 2024) publizieren, und zwar jene Institute, die schon bisher Berichte zu nichtfinanziellen Fragen vorlegen mussten. Dies betrifft kapitalmarktorientierte Gesellschaften mit mehr als 500 Arbeitnehmern – die großen Privatbanken, aber auch etwa jede vierte Sparkasse sowie rund 30 Genobanken. Sie alle haben aber das Drawback, dass Deutschland mit der Umsetzung der CSRD in nationales Recht massiv hinterherhinkt, ja das entsprechende Gesetz wegen des Bruchs der Ampel 2024 nicht mehr verabschiedet wurde. Die deutsche Kreditwirtschaft wie auch das Institut der Wirtschaftsprüfer (IDW) gehen davon aus, dass es für 2024 bei den „alten“ nicht-finanziellen Berichtspflichten bleibt (somit werden die ersten CSRD-Berichte deutscher Banken erst 2026 – für 2025 – fällig). Es ist aber damit zu rechnen, dass viele Häuser ihre nicht-finanziellen Berichte für 2024 bereits um Elemente der CSRD erweitern werden. Das wäre für alle Banken der zweiten Welle hilfreich, denn auch sie müssten 2026 (für 2025) Berichte gemäß CSRD vorlegen. Dies betrifft, vereinfacht gesagt, alle Banken mit mehr als 250 Beschäftigten, 25 Mio. Euro Bilanzsumme und 50 Mio. Euro Umsatz. Dass das aber weiter bewegliche Ziele sind, zeigten jüngst Überlegungen von EU-Kommissionspräsidentin Ursula von der Leyen, die Berichtspflichten der CSRD sowie weiterer Richtlinien und Verordnungen in einer Artwork Tremendous-Verordnung zu bündeln.

–––––––––––––––––––

7.) eIDAS

• Was ist es? Hinter dem Kürzel verbirgt sich die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste („Digital Identification, Authentification and Belief Providers“), die seit 2016 gilt, jüngst aber überarbeitet wurde.
• Worum geht es? Um die elektronische Identität.
• Wie ist der Stand? Im Juni 2024 ist die Novelle der eIDAS in Kraft getreten. Sie soll EU-Bürgern eine sichere Identifikation on-line sowie die Nutzung elektronischer Signaturen ermöglichen und das Vertrauen in digitale Transaktionen stärken. Vorgesehen ist ein einheitliches System für digitale Identitäten innerhalb der EU. Die Mitgliedstaaten sind verpflichtet, bis 2027 eine solche „Identification Pockets“ für ihre Bürger anzubieten sowie Wallets aus anderen Mitgliedstaaten zu akzeptieren.
• Was steht 2025 an? Einiges. Auf EU-Ebene zieht die Umsetzung des Regelwerks 47 Durchführungsakte nach sich, unter anderem zu technischen Spezifikationen, Sicherheit, Anerkennungsverfahren, Checks und Spezialfällen für Behörden. Weitere Themen: die grenzüberschreitende Identitätsprüfung und various digitale Transaktionen. Derweil setzt eine Skilled Group vier Großpilotprojekte fort, um die digitale Identität in Type der „EUDI-Pockets“ zu testen. Darüber hinaus wird 2025 von der Bundesregierung ein neuer Entwurf der VideoIdent-Verordnung erwartet.

–––––––––––––––––––

8.) Basel III

• Was ist es? Ein Bündel an neuen Vorschriften für Banken weltweit seitens des Baseler Ausschusses für Bankenaufsicht.
• Worum geht es? Um den Abschluss der Re-Regulierung des Bankensektors nach der Finanzkrise von 2007/08.
• Wie ist der Stand? 17 Jahre nach dem Meltdown der internationalen Finanzwelt treten am 1. Januar 2025 die finalen Regelungen des Reformwerks Basel III in Kraft – wenn auch mit einer bis Ende 2032 gestreckten Einführungsphase. Und: erstmal nur in der EU. Großbritannien hat den Begin der Einführung auf Anfang 2026 verschoben, und in den USA steht die Umsetzung nach der Wahl Donald Trump ohnehin in Frage. Kernstück und Zankapfel der Reform ist der Output Flooring, der die Kapitalersparnis durch den Einsatz bankinterner Modelle bei der Ermittlung des Eigenkapitalbedarfs auf maximal 27,5% (verglichen mit den Werten nach dem Standardansatz) begrenzt. Zwar gilt die entsprechende EU-Eigenkapital-Verordnung unmittelbar. Über die Wahrnehmung nationaler Wahlrechte hat die Bundespolitik aber noch nicht entschieden. Das entsprechende „Gesetz für dringliche Änderungen im Finanzmarkt und Steuerbereich“, vorgelegt von SPD und Grünen, liegt derzeit im Finanzausschuss des Bundestags und soll, so wird erwartet, in der letzten Januar-Woche den Bundestag passieren – sprich noch vor den Neuwahlen.
• Was steht 2025 an? Ende Juni ist für die deutschen Banken die Frist für die erste aufsichtliche Meldung der Eigenmittel unter dem neuen Regelwerk (per Ende März). Die Debatte um eine Lockerung der Regularien dürfte derweil andauern. Deutsche-Financial institution-Chef Christian Stitching forderte schon im Oktober, „eine mögliche Benachteiligung europäischer Banken“ müsse vermieden werden, und die seither aus den USA kommenden Signale dürften den Wunsch europäischer Banken nach weniger Re-Regulierung verstärkt haben. Dabei hat die Kreditwirtschaft die Effekte der Reform durch jahrelanges Lobbying bereits kräftig dezimiert.

–––––––––––––––––––

9.) Rahmenwerk für den Verbriefungsmarkt

• Was ist es? Im Second nur ein Plan, doch 2025 soll ein Vorschlag der EU-Kommission auf dem Tisch liegen.
• Worum geht es? Um eine Reform respektive Lockerung der Regeln für Verbriefungen am Kapitalmarkt, um den Switch von Risiken zu erleichtern, die Bilanzen der Banken zu entlasten und mittelbar die Finanzierung der Realwirtschaft zu fördern.
• Wie ist der Stand? Im Frühjahr 2024 kam neue Bewegung in die Sache, als Bundeskanzler Olaf Scholz und Frankreichs Präsident Emmanuel Macron dafür plädierten, den darbenden Verbriefungsmarkt zu stärken. Im September präsentierte Deutschlands Kreditwirtschaft einen Bericht, der eine Überarbeitung der Kapitalvorgaben, eine Ausweitung der Investorenbasis sowie eine Verschlankung der aufsichtsrechtlichen Prüfungen forderte. Anfang Oktober dann startete die EU-Kommission eine Konsultation zur „Funktionsfähigkeit des EU-Rahmenwerks für Verbriefungen“.
• Was steht 2025 an? Nach Auswertung der Konsultation will die Kommission im zweiten Quartal 2025 einen Gesetzesvorschlag vorlegen. Prinzipiell scheint das Thema EU-weit konsensfähig.

–––––––––––––––––––

10.) KI-Verordnung

• Was ist es? Eine EU-Verordnung zu Fragen der KI („AI Act“).
• Worum geht es? Um die Regulierung Künstlicher Intelligenz auf EU-Ebene.
• Wie ist der Stand? Die Verordnung, die Systeme mit Künstlicher Intelligenz einer von vier Risikostufen zuordnet (inakzeptabel, hoch, begrenzt, minimal), trat bereits im August 2024 in Kraft. Ihre  Bestimmungen kommen gestaffelt zum Tragen: Bis zum 2. Februar 2025 müssen zunächst verbotene KI-Anwendungen, denen ein unannehmbar hohes Risiko attestiert wurde, abgeschaltet werden. Anfang 2025 greifen die Pflichten für KI-Modelle mit einem allgemeinem Verwendungszweck (GPAI/GenAI), ab August 2026 gelten die Regeln für sogenannte Hochrisikosysteme (etwa für den Einsatz in autonomen Fahrzeugen).
• Was steht 2025 an? Bis Ende April 2025 muss das neue AI Workplace der EU-Kommission einen Verhaltenskodex für GPAI fertigstellen, damit dieser Anfang August in Kraft treten kann. Auf nationaler Ebene muss die Bafin der Finanzwirtschaft Vorgaben machen, bis Ende Mai will das Bundesamt für Sicherheit in der Informationstechnik (BSI) Standardisierungen festlegen.

–––––––––––––––––––

Hinweis:

Ebenfalls wichtig sind 2025 die Pläne der EU fürs europäische Krisenmanagement (kurz CMDI) und für eine Vergemeinschaftung des Einlagenschutzes (kurz EDIS) – allerdings in erster Linie für die Verbünde von Sparkassen und Genobanken. Drum haben wir sie schon im zweiten Teil unseres Ausblicks auf 2025 behandelt (siehe hier).