Regtech im Finanzsektor

Ein Artikel von Markus Lehnert | 20.06.2020 - 11:00

Neue Ideen und Einsatzmöglichkeiten von Regtech im Finanzsektor gibt es derzeit jede Menge. Ursächlich hierfür sind einerseits Nachfragefaktoren, also beispielsweise ein gesteigerter Margen-/Kostendruck und zunehmende regulatorische Anforderungen, sowie Angebotsfaktoren, also zum Beispiel der technologische Fortschritt und die Verfügbarkeit neuer Produkte und Dienstleistungen. Die diesen Faktoren zugrundeliegenden Trends sind langfristiger Natur und demzufolge dürfte das Thema Regtech zumindest kurzfristig nicht an Bedeutung verlieren.

Kategorien und Beispiele

 Es existiert keine allgemein anerkannte Kategorisierung von Regtech-Anwendungen. Die bekannten Anwendungsgebiete erweitern sich fortlaufend um neue Einsatzmöglichkeiten. Der Markt bietet derzeit etwa Anwendungen, die im regulatorischen Reporting, im Compliancemanagement, im Risikomanagement, in der KYC/Kundenverifizierung, in der Geldwäscheprävention, in der Betrugserkennung und in vielen weiteren Bereichen eingesetzt werden können.

Als Beispiel einer produktiven Regtech-Anwendung auf dem Gebiet des regulatorischen Reportings kann die Bereitstellung granularer Mikrodaten zu aufsichtlichen Meldezwecken durch ein beaufsichtigtes Unternehmen mittels einer technischen Plattform angeführt werden. Weiterhin finden - unter den Stichwörtern „maschineninterpretierbare Regulierung“ - zurzeit international Untersuchungen statt, wie regulatorisch-aufsichtliche Anforderungen effizient in IT-Systemen abgebildet werden können. Als ein weiteres Beispiel für eine Regtech-Anwendung seien die Einsatzmöglichkeiten biometrischer Verfahren im Rahmen von Identitätsprüfungen genannt.

Verwendete Technologien

Regtech-Anwendungen im engeren Sinn bedienen sich regelmäßig diverser innovativer Technologien, wobei diese Technologien jeweils allein oder kombiniert zum Einsatz kommen können. Für Regtech sehr bedeutende Technologien sind Big Data, Advanced Analytics und künstliche Intelligenz. Bei Regtech-Anwendungen im Kontext Identifizierung und Verifizierung natürlicher Personen ist zudem der Einsatz biometrischer Verfahren zu beobachten.

Ebenfalls bedeutsam für Regtech und deren Einbettung in die Geschäftsorganisation önnen Application Programming Interfaces (APIs) und Cloud Computing sein. Zukünftig könnte in Bezug auf Regtech auch die Distributed Ledger Technology (DLT) eine noch stärkere Rolle spielen.

Make or Buy?

Beaufsichtigte Unternehmen können Regtech-Anwendungen selbst erstellen und betreiben oder dies auf ein anderes Unternehmen auslagern. In einem solchen Fall verbleibt jedoch, wie bei jeder anderen Auslagerung auch, die Letztverantwortung bei der Geschäftsleitung des auslagernden Unternehmens. Das auslagernde Unternehmen hat die aufsichtlichen Anforderungen an Auslagerungen einzuhalten.

Nicht nur bei Regtech-Auslagerungen haben Unternehmen zu gewährleisten, dass im eigenen Haus zur Sicherstellung einer ordnungsgemäßen Geschäftsorganisation stets qualifiziertes Personal vorhanden ist, das mit den fachlichen Anwendungen vertraut ist. Insoweit wären einem denkbaren Stellenabbau zur Einsparung von Kosten durch den Einsatz von Regtech letztlich Grenzen gesetzt. In Abhängigkeit von der Bedeutung der eingesetzten Regtech-Anwendungen sollten Unternehmen diese auch im Rahmen ihres Risikomanagements berücksichtigen.

Potenzielle Risiken

Die Anforderungen an Auslagerungen zeigen, dass Aufsichtsbehörden auch die Entwicklungen im Bereich Regtech kontinuierlich beobachten müssen, da eine risikoorientierte Aufsicht auch Verständnis für in der Praxis eingesetzte Lösungen erfordert. Neben den vielen möglichen Vorteilen neuer technologischer Lösungen sind auch die damit einhergehenden potenziellen Risiken angemessen zu berücksichtigen. Regtech-Anwendungen können aufgrund technischer und prozessualer Designs vielfältige Risiken bergen, welche im Einzelfall zu analysieren und zu bewerten wären.

Das hohe Ausmaß an Datengetriebenheit einzelner Regtech-Anwendungen erfordert eine hohe Datenqualität. Mängel in der Datengrundlage könnten zur Ableitung ungeeigneter oder fehlerbehafteter Kausaldarstellungen führen, die überdies aufgrund des hohen Automatisierungsgrads nur eine geringe Entdeckungswahrscheinlichkeit haben könnten. Zudem ist sicherzustellen, dass die für den jeweiligen Erkenntniszweck relevanten Daten zur Analyse herangezogen werden und nicht (nur) diejenigen, die ohne großen Aufwand verfügbar oder zu bearbeiten sind.

Risiken könnten auch durch Blackbox-Algorithmen entstehen. Sofern die Unternehmen oder die Aufsicht die Arbeitsweise eines Algorithmus nicht mehr verstehen oder zumindest nachvollziehen können, besteht das Risiko nicht erkennbarer Fehlentscheidungen. Hierdurch könnte auch der kollektive Verbraucherschutz berührt werden, sofern die Algorithmen in kundenbezogenen Prozessen eingesetzt werden.

In der Literatur wird außerdem über die Verwendung von Regtech zur Aufdeckung und Ausnutzung möglicher regulatorisch-aufsichtlicher Lücken im Sinn eines „gaming the system“ und die (Aus)Nutzung regulatorischer Arbitrage als mögliches Risiko diskutiert. Weiterhin wird die Gefahr einer systematischen Optimierung von Regtech-Anwendungen zur Kaschierung eigentlich meldepflichtiger Ereignisse oder von Angriffsszenarien auf biometrische Verfahren mittels Deep Fakes gesehen.  

Bei der Beschaffung von Regtech könnten durch Konzentrationseffekte weitere Risiken entstehen. Wenn sich der Bezug bestimmter Regtech-Anwendungen auf nur wenige oder sogar nur einen Anbieter konzentriert, birgt dies entsprechende Konzentrationsrisiken. Sind wichtige Geschäftsprozesse davon betroffen, könnten sogar systemische Risiken entstehen. Eine signifikante Homogenität von Ansätzen und Modellen in Regtech-Anwendungen könnte zudem prozyklisch wirken. Im Fall (vermuteter) zentralisierter Datenbestände könnte weiterhin das Interesse Dritter geweckt werden, sich hierauf Zugriff zu verschaffen.

Fazit und Aussicht

Regtech deckt einen signifikanten Bedarf und ist gekommen, um zu bleiben. Die Entwicklung und der Einsatz von Regtech jedenfalls hat unter Beachtung des regulatorischen Rahmens zu erfolgen, beispielsweise dürfen durch den Einsatz von Regtech-Anwendungen keine unangemessenen Risiken entstehen. Die handlungsbeschränkenden Leitplanken ermöglichen Marktakteuren die Entwicklung innovativer Lösungen, die nachhaltigen Nutzen für alle Betroffenen stiften und im Einklang mit einem stabilen, sicheren und fairen Finanzsystem stehen.

Erforderliche Weiterentwicklungen des Handlungsrahmens können auch von den Marktakteuren angestoßen oder umgesetzt werden. Die Aufsicht beobachtet zur Erfüllung ihres gesetzlichen Auftrags die technologischen und anwendungs- und geschäftsmodellbezogenen Entwicklungen im Bereich Regtech jedenfalls aufmerksam. Diese dürften für alle Beteiligten spannend bleiben.

Disclaimer

Dieser Beitrag basiert auf einem Artikel des BaFinJournals (03/2019), verfasst von einem Referenten im BaFin-Referat für finanztechnologische Innovationen. Der vorliegende Namensartikel gibt die Ansichten des Verfassers wieder, die nicht zwangsläufig denjenigen der BaFin entsprechen.