Der spanische Finanzsektor steht 2024 vor einem der intensivsten regulatorischen Zyklen seiner jüngeren Geschichte. Die gleichzeitige Anwendung der vollständigen DORA-Verordnung, des neuen europäischen Geldwäsche-Pakets, wachsender Aufsichtserwartungen zu ESG-Themen und der bevorstehenden obligatorischen KI-Hochrisikoregeln schaffen ein außerordentlich anspruchsvolles Compliance-Umfeld für Banken, Versicherer, Wertpapierfirmen, Vermögensverwalter und Zahlungsinstitute.
DORA: Digitale Operationale Resilienz ab Januar 2025
Die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz des Finanzsektors – der Digital Operational Resilience Act (DORA) – gilt seit dem 17. Januar 2025 unmittelbar in allen Mitgliedstaaten. Ihr Anwendungsbereich umfasst mehr als 22.000 Finanzeinheiten in der EU, darunter Banken, Wertpapierdienstleistungsunternehmen, Zahlungs- und E-Geld-Institute, Fondsverwalter, Versicherer, Ratingagenturen, Anbieter von Krypto-Asset-Dienstleistungen und Abschlussprüfer.
Die fünf Säulen des DORA-Rahmens sind: (1) IKT-Risikomanagement, mit einem vom Leitungsorgan genehmigten dokumentierten Rahmen, der alle Informationssysteme, Netzwerke und Datenwerte abdeckt; (2) Management, Klassifizierung und Meldung IKT-bezogener Vorfälle, mit Pflichten zur Benachrichtigung zuständiger Behörden bei schwerwiegenden Vorfällen innerhalb strenger Fristen (erste Meldung innerhalb von vier Stunden, Zwischen- und Abschlussberichte); (3) Tests der digitalen operativen Resilienz, einschließlich jährlicher Basistests und bedrohungsgeleiteter Penetrationstests (TLPT) alle drei Jahre für bedeutende Einheiten; (4) IKT-Drittpartei-Risikomanagement, mit Konzentrations-Risikobeurteilung und obligatorischen Vertragsklauseln; und (5) Informations- und Erkenntnisaustausch über Cyberbedrohungen, auf freiwilliger Basis zwischen Einheiten.
Die Banco de España, CNMV und Generaldirektion Versicherungen sind die zuständigen Aufsichtsbehörden für DORA in Spanien. Sanktionen bei Nichteinhaltung werden nach nationaler sektoraler Gesetzgebung festgelegt.
Das EU-AML-Paket 2024: Neue Richtlinie und Verordnung
Die Europäische Union verabschiedete im Juni 2024 ein umfassendes Legislativpaket zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, bestehend aus vier Instrumenten: Verordnung (EU) 2024/1624 (unmittelbar anwendbar, ohne Umsetzung erforderlich), die Sechste Richtlinie (EU) 2024/1640, die Verordnung (EU) 2024/1620 zur Schaffung der Anti-Geldwäsche-Behörde (AMLA) und die Verordnung (EU) 2023/1113 über Transfers von Geldmitteln (die Travel Rule für Krypto-Assets).
Die wichtigsten Änderungen für dem spanischen Gesetz 10/2010 unterliegende Einheiten sind: (i) eine allgemeine Begrenzung von Barzahlungen zwischen Privatpersonen auf 10.000 € (Einheiten müssen Transaktionen, die diese Schwelle überschreiten, ablehnen); (ii) Erweiterung des Anwendungsbereichs auf neue Sektoren, einschließlich Krypto-Asset-Dienstleister (MiCA) und Crowdfunding-Plattformen; (iii) verstärkte Due Diligence bei politisch exponierten Personen (PEP), mit strengeren Identifizierungs- und Überwachungsverfahren; und (iv) erweiterte Pflichten zur Registrierung wirtschaftlich Berechtigter mit breiterem öffentlichen Zugang.
AMLA, mit Sitz in Frankfurt und voraussichtlich ab 2025 operativ, wird die risikoreichsten grenzüberschreitenden Einheiten direkt beaufsichtigen und das Netzwerk der Financial Intelligence Units (FIU) der Mitgliedstaaten koordinieren.
AML-Compliance in Spanien: Gesetz 10/2010 und SEPBLAC-Entwicklungen
In Spanien regelt das Gesetz 10/2010 vom 28. April zur Verhinderung von Geldwäsche und Terrorismusfinanzierung – geändert durch das Königliche Gesetzesdekret 7/2021 zur Umsetzung der Fünften AML-Richtlinie – die Pflichten der Verpflichteten. Der Ejecutive Service of the Commission for the Prevention of Money Laundering and Monetary Infractions (SEPBLAC) übt die Aufsicht aus und hat spezifische Leitlinien zum risikobasierten Ansatz (RBA) für den Finanzsektor, zur verstärkten Sorgfaltspflicht in Korrespondenzbankenbeziehungen und zur Meldung verdächtiger Transaktionen veröffentlicht.
Sanktionen bei schwerem Verstoß gegen das Gesetz 10/2010 können 10 % des gesamten Jahresumsatzes oder das Doppelte des mit dem Verstoß verbundenen Betrags erreichen; sehr schwere Verstöße können zur Widerrufung der Zulassung führen.
ESG-Aufsicht: Erwartungen von EZB und Banco de España
Die Europäische Zentralbank veröffentlichte im November 2022 ihre Aufsichtserwartungen zu Klima- und Umweltrisiken und setzte Zeitpläne für die Integration in Risikomanagementrahmen und Risikobereitschaftserklärungen. Die Banco de España beaufsichtigt die Einhaltung dieser Erwartungen bei nicht direkt von der EZB beaufsichtigten Kreditinstituten. Im Jahr 2024 leiteten beide Aufseher eine zweite Runde von Fortschrittsbewertungen ein.
Die CSRD (Richtlinie (EU) 2022/2464) betrifft Finanzeinheiten in zweierlei Hinsicht: als verpflichtete Einheiten, die ihre eigenen Nachhaltigkeitsinformationen berichten müssen, und als Akteure, die ESG-Daten von ihren Kunden und Anlagen benötigen, um die SFDR (Verordnung über nachhaltigkeitsbezogene Offenlegungspflichten im Finanzdienstleistungssektor) und die Taxonomieverordnung einzuhalten.
Integrierte Compliance: Verwaltung überlappender Pflichten
Ein charakteristisches Merkmal des Compliance-Umfelds 2024 ist die gegenseitige Abhängigkeit zwischen regulatorischen Rahmen. DORA-Pflichten zum IKT-Risikomanagement überschneiden sich mit DSGVO-Pflichten zur Sicherheit der Verarbeitung personenbezogener Daten. CSRD-Klimaoffenlegungspflichten erfordern Daten, die auch in die Taxonomie- und SFDR-Berichterstattung einfließen. AML-Kunden-Due-Diligence erzeugt Daten, die für Register wirtschaftlich Berechtigter nach dem neuen AML-Paket relevant sind.
Einheiten, die diese überlappenden Pflichten über getrennte Compliance-Funktionen verwalten, sehen sich mit Doppelarbeit und inkonsistenter Datenqualität konfrontiert. Der wirksamste Ansatz integriert Risikoidentifizierung, Datenverwaltung und Berichterstattung über alle regulatorischen Rahmen hinweg.
Bei BMC spezialisiert sich unser Rechtsteam auf Finanzsektor-Compliance in den Bereichen DORA, AML und ESG-Regulierungsrahmen. Mehr zu unseren Rechtsdienstleistungen.
