Finanzaufsichtsrecht: Zulassungen, Lizenzen und Compliance gegenüber CNMV und Banco de España

Die finanzregulatorische Beratung umfasst den gesamten Lebenszyklus eines beaufsichtigten Finanzinstituts in Spanien: von der Feststellung, ob das Geschäftsmodell eine vorherige Zulassung erfordert, bis zur Verwaltung des laufenden regulatorischen Compliance-Programms nach Erteilung der Lizenz. Die CNMV, die Banco de España und die Dirección General de Seguros y Fondos de Pensiones (DGSFP) sind Spaniens drei sektorale Finanzaufseher, jeder mit ausschließlicher Zuständigkeit über die von ihm regulierten Institutsarten und Tätigkeiten. Die Verordnung MiCA (Verordnung EU 2023/1114), seit Dezember 2024 vollständig anwendbar, hat eine vierte Regulierungsschicht speziell für Krypto-Asset-Märkte hinzugefügt, in Spanien von der CNMV für Dienstleister (CASP) und von der Banco de España für E-Geld-Token-Emittenten (EMT) beaufsichtigt.

Warum das spanische Finanzregulierungsrecht zu den anspruchsvollsten in Europa gehört

Der europäische Finanzregulierungsrahmen ist ein mehrschichtiges System sich gegenseitig verstärkender Rechtsvorschriften: sektorale Richtlinien (MiFID II, Solvency II, CRD, AIFMD, UCITS), unmittelbar anwendbare Verordnungen (MiCA, EMIR, SFDR, MiFIR, IFR) und nationales Umsetzungsrecht (Ley 6/2023 LMVSI, Ley 35/2003 IIC, Ley 22/2014 ECR, Real Decreto-ley 7/2021 über Zahlungsdienste). Diese Mehrschichtigkeit bedeutet, dass die Bestimmung der auf ein bestimmtes Institut anwendbaren Pflichten — insbesondere bei einem Fintech mit einem innovativen Geschäftsmodell, das nicht eindeutig in eine traditionelle Kategorie passt — eine Rechtsanalyse von erheblich größerer Komplexität erfordert als die meisten anderen regulierten Sektoren.

Der Umfang regulierter Tätigkeiten hat sich in den letzten fünf Jahren erheblich ausgeweitet. Das Entstehen von Krypto-Asset-Märkten, das Wachstum des Open Banking unter PSD2 und die Ausweitung der KI-Regulierung auf Hochrisiko-KI-Systeme im Finanzsektor (unter dem AI Act) haben neue Kategorien regulierter Tätigkeiten geschaffen, wo die Grenze zwischen freier Tätigkeit und zulassungspflichtiger Tätigkeit nicht immer klar ist.

Der kostspieligste Fehler im Regulierungszyklus ist nicht eine verspätete Meldung oder eine unvollständige Offenlegung: Es ist die Aufnahme der Tätigkeit ohne die korrekte Zulassung. Die Folgen reichen von der Nichtigkeit geschlossener Verträge bis zur persönlichen Haftung der Geschäftsführer, Verwaltungssanktionen und — in den schwerwiegendsten Fällen — strafrechtlicher Verfolgung.

Zulassungen bei CNMV und Banco de España — welche Institute eine Lizenz brauchen und was das Paket erfordert

Die CNMV ist zuständig für die Zulassung von Wertpapierfirmen (ESI), zu denen Wertpapieragenturen, Wertpapiergesellschaften, unabhängige Finanzberatungsunternehmen (EAFI) sowie Verwaltungsgesellschaften für Organismen für gemeinsame Anlagen (SGIIC) und Wagniskapitalmanager (SGEIC) gehören. Die Banco de España lässt Kreditinstitute (Banken, Sparkassen und Kreditgenossenschaften), Zahlungsinstitute (ZI) und E-Geld-Institute (EGI) zu. Die DGSFP lässt Versicherungs- und Rückversicherungsunternehmen zu.

Das Zulassungsunterlagenpaket beim jeweiligen Aufseher hat sowohl gemeinsame als auch kategoriespezifische Komponenten. Gemeinsame Komponenten sind: ein Aktivitätsprogramm mit detaillierter Beschreibung der zu erbringenden Dienstleistungen und der abgedeckten Instrumente; eine Organisations- und Governance-Struktur (Vorstand, Geschäftsleitung, Kontrollausschüsse); Compliance- und Risikomanagement-Handbücher; ein Dreijahres-Businessplan mit Finanzprojektionen; sowie Eignungs-, Leumunds- und Erfahrungsdokumentation für Vorstandsmitglieder und Leiter der internen Kontrollfunktionen.

Die Verwaltung des Dialogs mit dem Aufseher während des Bewertungsverfahrens ist ebenso wichtig wie die Qualität der ursprünglichen Unterlagen. Aufseher fordern routinemäßig ergänzende Informationen oder Klarstellungen zu Aspekten der Unterlagen an, die sie für unzureichend halten. Die fristgerechte Beantwortung dieser Anfragen ist ein zentrales Element unserer Methodik.

MiCA in Spanien — der neue Rahmen für Krypto-Asset-Emittenten und CASPs

Die Verordnung (EU) 2023/1114 (MiCA) schafft erstmals einen harmonisierten europäischen Rahmen für Krypto-Asset-Märkte. In Spanien hat MiCA das bisherige Regime unter Real Decreto 7/2021 teilweise abgelöst und für zwei Kategorien von Marktteilnehmern neue Pflichten geschaffen.

Token-Emittenten: Wer ein öffentliches Angebot von Utility-Tokens über 1 Million Euro durchführt, muss ein registriertes Whitepaper veröffentlichen. ART-Emittenten müssen eine vorherige CNMV-Zulassung einholen; EMT-Emittenten benötigen die Zulassung der Banco de España, mit Mindestkapitalanforderungen von 350.000 Euro bis hin zu mehreren Millionen Euro je nach Volumen der in Umlauf gebrachten Token.

Krypto-Asset-Dienstleister (CASP): Börsen, Krypto-Verwahrer, Handelsplattformen und Krypto-Berater müssen sich als CASP bei der CNMV registrieren. Das Übergangsregime für Institute, die bereits vor Dezember 2024 im bisherigen Banco de España-Register für Virtual-Currency-Dienste tätig waren, endete Ende 2024.

Die wesentliche praktische Schwierigkeit des MiCA-Rahmens ist die Token-Klassifizierung: Ein Token, der sich selbst als „Utility-Token” bezeichnet, kann in Wirklichkeit ein ART oder sogar ein nach MiFID II reguliertes Finanzinstrument sein. Eine Fehlklassifizierung — durch Unterlassung (keine Beantragung der erforderlichen Zulassung) oder durch Übermaß (Unterstellung unter MiCA eines Tokens, der eigentlich ein Finanzinstrument nach MiFID II ist) — hat erhebliche rechtliche Konsequenzen.

Laufende MiFID II-Compliance — Pflichten, die mit der Zulassung nicht enden

Die Richtlinie 2014/65/EU (MiFID II) und ihre Durchführungsinstrumente (MiFIR, Delegierte Verordnung 2017/565, Delegierte Verordnung 2017/583) legen einen detaillierten Katalog an Verhaltens- und Organisationspflichten fest, die Wertpapierfirmen jederzeit einhalten müssen. Verstöße sind unabhängig davon sanktionierbar, ob das Institut über die entsprechende Zulassung verfügt.

Die vier operativ anspruchsvollsten MiFID II-Pflichten sind: die Interessenkonfliktsrichtlinie, die alle Situationen identifizieren muss, in denen das Institut oder seine Mitarbeiter im eigenen Interesse zum Nachteil des Kunden handeln könnten; die Geeignetheits- und Angemessenheitsprüfung, die für Kunden, die Beratung oder Portfolio-Management erhalten, streng, dokumentiert und regelmäßig aktualisiert sein muss; die Best-Execution-Politik, die den Kundeninteressen bei der Auswahl von Ausführungsplätzen echten Vorrang einräumen muss; und die Kosten- und Gebührenoffenlegung, vorausschauend und rückblickend, mit dem in der Delegierten Verordnung 2017/565 geforderten Detaillierungsgrad.

Die DORA-Compliance und das Finanzaufsichtsrecht sind komplementäre Bereiche für Finanzinstitute: DORA fügt eine Schicht digitaler operationeller Resilienzanforderungen über den Organisations- und internen Kontrollpflichten von MiFID II, Solvency II und dem Bankenrecht hinzu.

Wie man eine proportionale Finanz-Compliance-Funktion für Ihr Institut aufbaut

Die Compliance-Funktion in regulierten Finanzinstituten ist nicht optional: MiFID II, Solvency II und das Bankenrecht (CRD/CRR) verlangen alle, dass Institute über eine unabhängige Compliance-Funktion mit Zugang zum Leitungsorgan und angemessenen Ressourcen verfügen.

Für kleine und mittelgroße Institute — Einzel-EAFIs, Fondsmanager mit weniger als 500 Millionen Euro AUM, Zahlungsinstitute mit begrenzter Aktivität, spezialisierte Versicherer — kann die Compliance-Funktion ausgelagert werden, sofern die interne Verantwortlichkeit gewahrt bleibt. Ein externer Compliance-Beauftragter bringt das spezialisierte regulatorische Wissen ein, das in einer kleinen Organisation intern kaum aufgebaut werden kann, zu einem der Institutsgröße angemessenen Preis.

Unsere ausgelagerte Finanz-Compliance-Funktion umfasst laufendes regulatorisches Monitoring, periodische Aktualisierungen von Richtlinien und Verfahren, Mitarbeiterschulungen in Compliance-Fragen, Verwaltung der Aufsichtskommunikation, Erstellung des jährlichen Compliance-Funktionsberichts für das Leitungsorgan sowie Aufsicht über das GwG/CFT-Programm nach Ley 10/2010 in der jeweils geltenden Fassung.

Was Sie erwarten können

• Präzise Bestimmung der Zulassungspflicht und der anwendbaren Regulierungskategorie
• Zulassungsunterlagenpaket für CNMV, Banco de España oder DGSFP in Aufsichtsqualität
• MiFID II / MiCA / GwG-Compliance-Programm konzipiert und operativ
• Periodische Aufsichtsmeldungen fristgerecht und in der richtigen Form beim zuständigen Aufseher verwaltet
• Ausgelagerte Compliance-Funktion mit der Institutsgröße angemessener Widmung
• Koordination mit DORA-, GwG- und Datenschutz-Compliance-Funktionen in einem integrierten Rahmen

Regulierte Finanzinstitute in Spanien profitieren davon, in einem Markt mit anspruchsvoller, aber vorhersehbarer Aufsicht zu operieren. Die CNMV, die Banco de España und die DGSFP sind aktive Aufseher mit hoher technischer Kapazität, was Rechtsicherheit für Marktteilnehmer bietet, die mit der entsprechenden Zulassung und den richtigen Compliance-Programmen operieren. Die Kosten für den Aufbau und die Pflege dieser Programme sind erheblich, aber kalkulierbar; die Kosten des Betriebs ohne sie — in Form von Sanktionen, persönlicher Haftung und Reputationsschäden — sind unvorhersehbar und häufig höher.