Der spanische Finanzsektor steht 2024 vor einem der intensivsten regulatorischen Zyklen seiner jüngeren Geschichte. Die gleichzeitige Anwendung der vollständigen DORA-Verordnung, des neuen europäischen Geldwäschepakets, wachsender Aufsichtserwartungen zu ESG-Fragen und der unmittelbar bevorstehenden verpflichtenden KI-Hochrisikoregeln schaffen ein außerordentlich anspruchsvolles Compliance-Umfeld für Banken, Versicherungen, Investmentfirmen, Vermögensverwalter und Zahlungsinstitute.
DORA: Digitale Betriebsstabilität ab Januar 2025
Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz des Finanzsektors — der Digital Operational Resilience Act (DORA) — ist seit dem 17. Januar 2025 in allen Mitgliedstaaten unmittelbar anwendbar. Ihr Anwendungsbereich umfasst mehr als 22.000 Finanzeinheiten in der EU, darunter Banken, Wertpapierdienstleistungsunternehmen, Zahlungs- und E-Geld-Institute, Fondsmanager, Versicherungen, Ratingagenturen, Krypto-Asset-Dienstleister und Abschlussprüfer.
Die fünf Säulen des DORA-Rahmens sind: (1) IKT-Risikomanagement, mit einem dokumentierten, vom Leitungsorgan genehmigten Rahmen, der alle Informationssysteme, Netzwerke und Datenassets abdeckt; (2) Management, Klassifizierung und Meldung von IKT-bezogenen Vorfällen, mit Pflichten zur Benachrichtigung zuständiger Behörden bei schwerwiegenden Vorfällen innerhalb strenger Fristen (Erstmeldung innerhalb von vier Stunden, Zwischen- und Abschlussberichte); (3) Prüfung der digitalen operationellen Resilienz, einschließlich jährlicher Grundtests und bedrohungsgeleiteter Penetrationstests (TLPT) alle drei Jahre für bedeutende Einheiten; (4) IKT-Drittpartei-Risikomanagement, mit Konzentrationsrisikobewertung und obligatorischen Vertragsklauseln; und (5) Austausch von Informationen und Erkenntnissen über Cyberbedrohungen, auf freiwilliger Basis zwischen Einheiten.
Die Banco de España, die CNMV und die Generaldirektion Versicherungen sind die zuständigen Aufsichtsbehörden für DORA in Spanien. Sanktionen bei Nichteinhaltung werden nach nationalem Sektorrecht festgelegt, mit ausdrücklichem Bezug auf den Schweregrad, die Dauer und den aus dem Verstoß erzielten Vorteil.
Das EU-Geldwäschepaket 2024: Neue Richtlinie und Verordnung
Die Europäische Union verabschiedete im Juni 2024 ein umfassendes Gesetzgebungspaket zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, das vier Instrumente umfasst: Verordnung (EU) 2024/1624 (unmittelbar anwendbar, keine Umsetzung erforderlich), die Sechste Richtlinie (EU) 2024/1640, Verordnung (EU) 2024/1620 zur Schaffung der Behörde zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AMLA) sowie Verordnung (EU) 2023/1113 über Geldtransfers (die Travel Rule für Krypto-Assets).
Die wesentlichen Änderungen für Einheiten, die dem spanischen Gesetz 10/2010 unterliegen, sind: (i) eine allgemeine Grenze für Barzahlungen zwischen Privatpersonen von €10.000 (Einheiten müssen Transaktionen ablehnen, die diese Schwelle übersteigen); (ii) Ausweitung des Anwendungsbereichs auf neue Sektoren, einschließlich Krypto-Asset-Dienstleister (MiCA) und Crowdfunding-Plattformen; (iii) verstärkte Sorgfaltspflichten bei Politisch Exponierten Personen (PEPs) mit strengeren Identifizierungs- und Überwachungsverfahren; und (iv) erweiterte Pflichten zur Registrierung wirtschaftlich Berechtigter mit breiterem öffentlichen Zugang.
AMLA mit Sitz in Frankfurt, voraussichtlich ab 2025 operativ, wird die risikostärksten grenzüberschreitenden Einheiten direkt beaufsichtigen und das Netzwerk der Financial Intelligence Units (FIUs) der Mitgliedstaaten koordinieren.
AML-Compliance in Spanien: Gesetz 10/2010 und SEPBLAC-Entwicklungen
In Spanien regelt Gesetz 10/2010 vom 28. April zur Prävention von Geldwäsche und Terrorismusfinanzierung — geändert durch das Königliche Gesetzesdekret 7/2021 zur Umsetzung der Fünften Geldwäscherichtlinie — die Pflichten für verpflichtete Einheiten. Der Ejecutive Service der Kommission zur Prävention von Geldwäsche und Währungsverstößen (SEPBLAC) übt die Aufsicht aus und hat spezifische Leitlinien zum risikobasierten Ansatz (RBA) für den Finanzsektor, zur verstärkten Sorgfalt in Korrespondenzbankenbeziehungen und zur Meldung verdächtiger Transaktionen veröffentlicht.
Sanktionen bei schwerwiegenden Verstößen gegen Gesetz 10/2010 können 10% des gesamten Jahresumsatzes oder das Doppelte der mit dem Verstoß verbundenen Mittel erreichen; sehr schwere Verstöße können zum Entzug der Zulassung führen.
ESG-Aufsicht: EZB- und Banco-de-España-Erwartungen
Die Europäische Zentralbank veröffentlichte im November 2022 ihre Aufsichtserwartungen zu Klima- und Umweltrisiken und legte Zeitpläne für die Integration in Risikomanagementsysteme und Risikobereitschaftsaussagen fest. Die Banco de España beaufsichtigt die Einhaltung dieser Erwartungen für Kreditinstitute, die nicht direkt von der EZB beaufsichtigt werden. Im Jahr 2024 initiierten beide Aufseher eine zweite Runde von Fortschrittsbeurteilungen, mit der Erwartung, dass die Institute Klimarisiken vor Ende 2025 vollständig in ihren Risikomanagementsystemen und ökonomischen Kapitalmodellen integriert haben.
Die CSRD (Richtlinie (EU) 2022/2464) betrifft Finanzeinheiten in zweierlei Hinsicht: als verpflichtete Einheiten, die ihre eigenen Nachhaltigkeitsinformationen berichten müssen, und als Akteure, die ESG-Daten von ihren Kunden und Investitionen benötigen, um die SFDR (Offenlegungsverordnung für nachhaltige Finanzen) und die Taxonomieverordnungen einzuhalten.
Integriertes Compliance-Management: Umgang mit überlappenden Pflichten
Ein besonderes Merkmal der Compliance-Landschaft 2024 ist die gegenseitige Abhängigkeit zwischen den regulatorischen Rahmenbedingungen. DORA-Pflichten zum IKT-Risikomanagement überschneiden sich mit DSGVO-Pflichten zur Sicherheit der Verarbeitung personenbezogener Daten. CSRD-Klimaoffenlegungsanforderungen erfordern Daten, die auch in die Taxonomie- und SFDR-Berichterstattung einfließen. Die AML-Kundenidentifizierung erzeugt Daten, die für Register wirtschaftlich Berechtigter nach dem neuen Geldwäschepaket relevant sind.
Einheiten, die diese überlappenden Pflichten durch isolierte Compliance-Funktionen verwalten, sehen sich mit doppeltem Aufwand und inkonsistenter Datenqualität konfrontiert. Der effektivste Ansatz integriert Risikoidentifikation, Datenverwaltung und Berichterstattung über alle regulatorischen Rahmenbedingungen hinweg, unterstützt durch eine einzige Datenquelle für Entitäts- und Kontrahentendaten.
Bei BMC ist unser Rechtsteam auf die Compliance im Finanzsektor für DORA, Geldwäscheprävention und ESG-regulatorische Rahmenbedingungen spezialisiert. Erfahren Sie mehr über unsere Rechtsdienstleistungen.
