Von Björn Brücher, Rechtsanwalt bei WSS Redpoint Rechtsanwälte
Die digitale Transformation macht auch vor der Finanzindustrie keinen Halt. Seit geraumer Zeit drängen Fintech-Startups (kurz: Fintechs) mit innovativen Produkten und Dienstleistungen auf den Markt. Hierzu zählen neben neuartigen Payment-Lösungen vor allem (Social) Trading-Plattformen und Robo Advisor-Modelle. Daneben entwickeln Fintechs aber auch weitere Anwendungsgebiete für disruptive Technologien (z.B. Distributed Ledger/Blockchain, Smart Contracts). Mit dem Finanzsektor betreten Fintechs dabei allerdings ein hochreguliertes Spielfeld, dessen regulatorischer Rahmen sich in immer kürzeren Abständen ändert und zunehmend komplex wird. Aufgrund der vielen ungeklärten Fragen liegen hier Chancen und Risiken nah beieinander. Der Artikel gibt einen Überblick über ausgewählte rechtliche Aspekte, die Investoren bei Beteiligungen an Fintechs berücksichtigen sollten.
Erlaubnispflichten
Grundsätzlich sollten Investoren beachten, dass es sich bei Fintechs um Unternehmen handelt, die in einer regulierten Branche tätig sind. Dabei gelten für Fintech-Startups die gleichen Bestimmungen wie für klassische Kredit- und Finanzdienstleistungsinstitute (sog. „level playing field“). Eine „regulatory sandbox“ für Fintechs, d.h. eine regulatorische Privilegierung, gibt es derzeit in Deutschland nicht. Je nach Geschäftsmodell können sich Erlaubnispflichten dabei aus dem Kreditwesengesetz (KWG), dem Zahlungsdiensteaufsichtsgesetz (ZAG) sowie dem Kapitalanlagegesetzbuch (KAGB) ergeben. Gerade bei sehr innovativen Geschäftsmodellen und Produkten kann die aufsichtsrechtliche Einordnung im Einzelfall jedoch schwierig sein. In solchen Fällen sollte das Bestehen etwaiger Erlaubnispflichten sorgfältig geprüft und mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) abgeklärt werden. Für Investoren stellt es ein hohes Risiko dar, wenn das Fintech gegen Erlaubnispflichten verstößt. Die BaFin kann dem Fintech in solchen Fällen die Geschäftstätigkeit untersagen und die Rückabwicklung von Geschäften anordnen. Zudem drohen Schadensersatzansprüche. Investoren sollten im Falle einer Beteiligung an einem Fintech daher sicherstellen, dass das Fintech über die erforderliche Erlaubnis verfügt oder das Fehlen einer Erlaubnispflicht dokumentiert ist, beispielsweise durch eine schriftliche Stellungnahme der BaFin oder ein Rechtsgutachten.
Compliance
Besteht eine Erlaubnispflicht, so ist der finanzielle, organisatorische sowie administrative Aufwand, der mit der Beantragung der erforderlichen Erlaubnis und der Einhaltung der regulatorischen Anforderungen im Rahmen der laufenden Aufsicht verbunden ist, in der Regel nicht tragbar für ein junges Fintech-Startup. Aus diesem Grund nutzen Fintechs häufig gesetzliche Ausnahmebestimmungen oder kooperieren mit regulierten Instituten, welche die erlaubnispflichtige Tätigkeit abwickeln. Insbesondere bei Robo Advisor-, Social Trading- und digitalen Geldanlage-Modellen werden Fintechs beispielsweise häufig als sogenannter vertraglich gebundener Vermittler („tied agent“) für ein Institut tätig, welches im Außenverhältnis die Haftung übernimmt (sog. „Haftungsdach“). Das Fehlen einer Erlaubnispflicht darf jedoch in keinem Fall verwechselt werden mit dem Fehlen jeglicher Compliance-Anforderungen. Diese können sich in Abhängigkeit vom Geschäftsmodell sowohl aus dem geltenden Recht (z.B. dem Wertpapierhandels-, Wertpapierprospekt- oder Vermögensanlagengesetz, der Finanzanlagenver-mittlungsverordnung oder dem Geldwäschegesetz) als auch aus etwaigen Vorgaben des jeweiligen Kooperationspartners ergeben.
Letzteres ist insbesondere dann der Fall, wenn Fintechs als vertraglich gebundene Vermittler auftreten, da das Haftungsdach durch organisatorische Maßnahmen die Einhaltung der für das Haftungsdach geltenden gesetzlichen Vorgaben sicherstellen muss (z.B. Informations- und Dokumentationspflichten im Rahmen der Anlageberatung). Investoren sollten im Rahmen der Due Diligence daher auch die Einhaltung der wesentlichen Anforderungen und Richtlinien des Kooperationspartners durch das Fintech überprüfen. So können Verstöße zu Schadensersatzpflichten führen oder dem Kooperationspartner bei schweren oder wiederholten Verstößen ein Recht zur außerordentlichen Kündigung gewähren. Um die Funktionsfähigkeit des Fintech-Geschäftsmodells zu wahren müsste ein neuer Kooperationspartner gefunden werden. Ungeachtet der rechtlichen und finanziellen Risiken einer Non-Compliance sollte Fintechs und deren Investoren bewusst sein, dass Compliance zudem als Wettbewerbsvorteil angesehen werden kann. Verbraucher stehen Fintechs vielfach noch skeptisch gegenüber. Die Implementierung, Dokumentation sowie Kommunikation einer Compliance-Organisation kann dabei helfen, das Vertrauen der Verbraucher zu gewinnen und sich besser gegenüber Wettbewerbern zu positionieren. Gerade wenn das Fintech mittelfristig die Beantragung einer Banklizenz beabsichtigt, führt ohnehin kein Weg an der frühzeitigen Implementierung einer Compliance-Organisationsstruktur vorbei.
IP-Rechte
Viele Fintechs basieren auf proprietären Technologien und Softwarelösungen. Gerade im Hinblick auf weitere Finanzierungsrunden und einen zukünftigen Verkauf ist es essentiell, dass das Fintech Inhaber der hieran bestehenden Rechte sowie der im Rahmen der Geschäftstätigkeit genutzten gewerblichen Schutzrechte (z.B. Marken) ist. Vorsicht ist geboten, wenn eine dem Geschäftsmodell zugrundeliegende Software von einzelnen Gründern vor Gründung des Fintechs oder durch externe Programmierer (z.B. Freelancer) entwickelt wurde. In diesen Fällen sollte im Rahmen der Due Diligence geklärt werden, ob und in welchem Umfang die Rechte bereits wirksam auf das Fintech übertragen wurden, da sie zunächst in der Person des Urhebers (hier z.B. Gründer oder Freelancer) entstehen. Ein Augenmerk sollte dabei auf eine saubere vertragliche Dokumentation gelegt werden, um zukünftige Auslegungsschwierigkeiten und Streitigkeiten aufgrund von Unklarheiten bezüglich der IP-Rechte zu vermeiden.
Open-Source-Software
Ähnliche Risiken bestehen bei der Einbindung oder Weiterentwicklung von Open-Source-Software (OSS). Hier kommt es entscheidend auf die Voraussetzungen und den Umfang der in den jeweiligen OSS-Lizenzbedingungen geregelten Rechteeinräumung an. Im Einzelfall kann in den Lizenzbedingungen eine kommerzielle Nutzung ausgeschlossen sein. Insbesondere für den Fall, dass die dem Fintech-Modell zugrundeliegende Software auf einer Weiterentwicklung des OSS-Quellcodes basiert, kann dies dazu führen, dass eine kommerzielle Nutzung des Fintech-Modells unzulässig ist.
Ein weiteres Risiko beim Einsatz von OSS besteht dann, wenn die OSS-Lizenzbedingungen eine sogenannte Copyleft-Klausel enthalten. Dies bedeutet, dass aufgrund der Lizenzbedingungen eine Pflicht besteht, bestimmte Weiterentwicklungen des Quellcodes unter der Ursprungslizenz zu veröffentlichen. Dieser sogenannte „Copyleft-Effekt“ kann unterschiedlich ausgestaltet sein, je nachdem, ob die OSS-Lizenzbedingungen lediglich eine beschränkte oder eine strenge Copyleft-Klausel vorsehen. In allen Fällen sollte jedenfalls sichergestellt sein, dass das Fintech Weiterentwicklungen der OSS kommerziell nutzen kann und kein proprietäres Know-how offenlegen muss.
Datenschutz
In kaum einem anderen Bereich ist die Sicherheit persönlicher Daten so wichtig und die Skepsis der Verbraucher so groß wie im Finanzbereich. Für Fintechs stellt die Nutzung und Verarbeitung von Daten damit eine große Chance aber auch ein Risiko dar. Dies gilt zumindest dann, wenn dem Schutz dieser Daten nicht in ausreichendem Maße Rechnung getragen wird. In rechtlicher Hinsicht besteht für Fintechs bei datenschutzrechtlichen Verstößen zunächst das Risiko von Abmahnungen, insbesondere durch Wettbewerber oder Verbraucherschutzeinrichtungen. Daneben können die zuständigen Datenschutzbehörden Maßnahmen ergreifen und Bußgelder verhängen. Ebenso schwerwiegend sind hingegen die wirtschaftlichen Folgen.
So können öffentlich gewordene Datenschutzverstöße zu einem Reputations- sowie Vertrauensverlust führen. Vor dem Hintergrund, dass derartige „Skandale“ in der Vergangenheit auch klassische Kreditinstitute in Rechtfertigungszwang gebracht haben, ist das wirtschaftliche Risiko für ein junges Fintech nicht zu unterschätzen. In der Praxis liegen die Fallstricke vor allem bei der Übermittlung von Daten zwischen dem Fintech und etwaigen Kooperationspartnern oder Dienstleistern. Zum Teil sind die datenschutzrechtlichen Verantwortlichkeiten nicht oder nur unzureichend geklärt. In der Regel ist bei der Einschaltung von Dienstleistern (z.B. bei Nutzung von SaaS-Produkten) sowie bei Tätigwerden als Dienstleister durch das Fintech der Abschluss einer Auftragsdatenverarbeitungs-Vereinbarung erforderlich. Investoren sollten im Rahmen der Due Diligence daher prüfen, ob entsprechende Vereinbarungen vorliegen und im Übrigen wirksame Maßnahmen zum Schutz personenbezogener Daten getroffen wurden. Da eine Erhebung, Speicherung sowie Verarbeitung von personenbezogenen Daten nur bei Vorliegen einer gesetzlichen Erlaubnis oder datenschutzrechtlichen Einwilligung des Betroffenen zulässig ist, sollten Investoren im Rahmen der Due Diligence darauf achten, dass das Fintech die erforderlichen datenschutzrechtlichen Einwilligungen rechtswirksam einholt und die Nutzer des Produkts bzw. der Dienstleistung in einer Datenschutzerklärung vollständig, zutreffend sowie transparent aufklärt.
Fazit
Fintechs bewegen sich in einem sehr dynamischen Umfeld, insbesondere mit Blick auf die regulatorischen Rahmenbedingungen. Investoren sollten dies bei Beteiligungen an Fintechs im Blick haben und im Übrigen auf die typischen Stolpersteine achten. Im Regelfall lassen sich kritische Punkte in frühen Unternehmensphasen noch gut beheben. In späteren Unternehmensphasen sowie im Falle einer Regulierung (z.B. Beantragung einer Erlaubnis nach dem KWG oder ZAG) ist dies nur mit erhöhtem Aufwand möglich.
Zum Autor:
Björn Brücher ist Rechtsanwalt bei WSS Redpoint Rechtsanwälte, Köln. WSS Redpoint ist eine auf die wirtschaftliche Beratung von Startups und deren Investoren spezialisierte Kanzlei. Herr Brücher ist dort im Bereich Kapitalmarkt- und Aufsichtsrecht sowie Gesellschaftsrecht tätig. Er berät Fintech-Unternehmen bei der Strukturierung ihres Geschäftsmodells. Daneben begleitet Herr Brücher Startups und Investoren bei Unternehmensfinanzierungen und Beteiligungen, insbesondere in aufsichts- und kapitalmarktrecht-lichen Fragen.
