Regtech-Anwendungen versprechen Finanzunternehmen effektive und effiziente Prozesse zur Erfüllung ihrer gesetzlichen Pflichten und haben daher in den vergangenen Jahren einen massiven Bedeutungszuwachs erfahren (siehe Infokasten). Beinahe täglich gibt es Berichte über neue Ideen und Einsatzmöglichkeiten von Regtech im Finanzsektor. Als Treiber dieser Entwicklung werden insbesondere zunehmende regulatorische Anforderungen sowie der technologische Fortschritt genannt.
Schnittstellen von Regtech zu Suptech
Auch Aufsichtsbehörden könnten künftig vermehrt innovative Technologien bei ihrer täglichen Arbeit einsetzen. Hierbei handelte es sich jedoch um Suptech (siehe Infokasten) und nicht um Regtech, auch wenn es durchaus Berührungspunkte zwischen beiden geben kann. Ein sinnvolles Ineinandergreifen an den Schnittstellen von Regtech und Suptech könnte die Effektivität oder Effizienz technischer Lösungen auf beiden Seiten fördern.
Definition: Regtech
Regtech ist ein Kofferwort aus dem englischen Begriff „Regulatory Technology“. Wie bei Fintech geht es um den Einsatz von innovativer Technologie. Der Fokus liegt bei Regtech allerdings auf der von innovativen Technologien gestützten effektiveren und effizienteren Abbildung, Erfüllung und Dokumentation regulatorischer und aufsichtlicher Pflichten. Auch wenn Regtech vor diesem Hintergrund für eine Vielzahl an Wirtschaftsbereichen relevant sein könnte, soll für diesen Beitrag unter Regtech allein ‚Regtech für den Finanzsektor‘ verstanden werden.
Eine allgemeingültige Definition von Regtech gibt es nicht. Die Begriffsbestimmungen von Institutionen wie dem Finanzstabilitätsrat FSB, der Europäischen Bankenaufsichtsbehörde EBA und der Bank für Internationalen Zahlungsausgleich BIZ haben jedoch gemeinsam, dass sie Regtech als Anwendung innovativer Finanztechnologie durch beaufsichtigte Institute zur Erfüllung regulatorischer Anforderungen definieren. Aufgrund der Unterstützung von Compliance-Anforderungen findet sich in der Literatur für Regtech zuweilen auch der Begriff Comptech.
Suptech
Von Regtech abzugrenzen ist Suptech, ein Kofferwort aus „Supervisory Technology“. Suptech-Anwendungen unterstützen die Arbeit von Aufsichtsbehörden und können somit als Gegenstück zu Regtech verstanden
Potenziale und Vorteile
Regtech-Anwendungen könnten es Unternehmen ermöglichen, manuelle (Teil-)Prozesse zu automatisieren und ihre regulatorischen Anforderungen präziser und mit geringerem Aufwand zu erfüllen. Unternehmen könnten mit Regtech nicht nur Geschwindigkeitsvorteile und eine geringere Fehlerquote realisieren,sondern auch Stellen einsparen, wobei ein geringerer Personalbestand nicht zwingend ausschließlich von Vorteil wäre, wie weiter unten zu lesen ist. Über Automatisierungsaspekte hinaus könnte Regtech eine Rolle in der digitalen Transformation von Überwachungs-, Steuerungs- und Unterstützungsfunktionen spielen.
Regtech ist ein Wachstumsfeld, darin sind sich Experten einig. Aktuelle Prognosen sehen signifikante Steigerungen des globalen Regtech-Marktvolumens in den kommenden Jahren voraus. Zudem haben in den vergangenen Jahren die Investitionen in Regtech-Unternehmen Studien zufolge signifikant zugenommen.
Kategorien und Beispiele
Es existiert keine allgemein anerkannte Kategorisierung von Regtech-Anwendungen. Die bekannten Anwendungsgebiete erweitern sich fortlaufend um neue Einsatzmöglichkeiten. Der Markt bietet derzeit etwa Anwendungen, die im Compliancemanagement, im Risikomanagement, in der Kundenverifizierung, in der Betrugserkennung und in vielen weiteren Bereichen eingesetzt werden können (siehe Infokasten „Beispiele für Regtech-Anwendungen“).
Auf einen Blick: Beispiele für Regtech-Anwendungen
Compliancemanagement: zum Beispiel automatisierte Auswertungen regulatorischer Anforderungen, die Überwachung des Compliancestatus und Gap-Analysen und technisch gestützte Offenlegungen von Anteilseignerstrukturen
Risikomanagement: zum Beispiel automatisierte Warnungen und eingeleitete Gegenmaßnahmen basierend auf quantitativen Analysen, datengetriebene und automatisierte Kreditprüfungsverfahren und die technisch gestützte Generierung und Aggregation von Daten für Ad-hoc-Stresstests
Kundenverifizierung: zum Beispiel technisch gestützte Hintergrundchecks unter Verwendung alternativer Datenquellen und die Nutzung biometrischer Verfahren zur Identitätsprüfung
Betrugserkennung: zum Beispiel automatisierte Geldwäscheprüfungen und Aktivitäten- und Transaktionsüberwachung unter Verwendung von Verfahren des maschinellen Lernens
Als Beispiel einer produktiven Regtech-Anwendung kann die Bereitstellung von Meldedaten beaufsichtigter Unternehmen an eine zuständige Behörde mittels einer technischen Plattform angeführt werden. Weiterhin finden zurzeit beispielsweise international Untersuchungen statt, wie regulatorisch-aufsichtliche Anforderungen in IT-Systemen abgebildet werden können, um deren Prüfung, Umsetzung und Dokumentation effektiver und effizienter zu gestalten. Außerdem seien als Beispiel die Einsatzmöglichkeiten biometrischer Verfahren im Rahmen von Identitätsprüfungen genannt.
Einige Anwendungsgebiete, beispielsweise die Finanzberichterstattung und die schwellenwertbasierte Analyse von Aktivitäten und Transaktionen im Zusammenhang mit Geldwäscheprüfungen, bedienen sich regelmäßig bereits seit Längerem technischer Unterstützung. Im Einzelfall könnten auch Anwendungen bekannter Technologien zur Erfüllung (neuer) regulatorischer Anforderungen unter Regtech subsumiert werden. Trotzdem werden in Abgrenzung zu etablierten technischen Lösungen zumeist Anwendungen innovativer Technologien als Regtech bezeichnet.
Verwendete Technologien
Regtech-Anwendungen im engeren Sinn bedienen sich regelmäßig diverser innovativer Technologien, wobei diese Technologien jeweils allein oder kombiniert zum Einsatz kommen können. Für Regtech sehr bedeutende Technologien sind Big Data und künstliche Intelligenz (Big Data Artificial Intelligence – BDAI). Ebenfalls bedeutsam für Regtech sind beispielsweise biometrische Verfahren, und zukünftig könnte auch die Distributed Ledger Technology (DLT) verstärkt eine Rolle spielen. Application Programming Interfaces (APIs) und Cloud Computing können auch zur Anwendung kommen, wobei diese vorrangig der Etablierung von Infrastrukturen dienen.
Nationale und internationale Regtech-Initiativen
Mittlerweile beschäftigt sich eine Vielzahl an Akteuren mit Regtech. Internationale Standardsetzer wie beispielsweise der Basler Ausschuss für Bankenaufsicht BCBS und die Europäischen Aufsichtsbehörden (ESAs) analysieren Erscheinungsformen, Entwicklungen und Implikationen von Regtech und den zugrundeliegenden Technologien. In Marktanalysen untersuchen sie zum Beispiel potenzielle Anwendungsgebiete und Einsatzmöglichkeiten für Regtech. Neben Unternehmungen der Finanzwirtschaft sind auch Interessenvereinigungen und Arbeitsgruppen mit Regtech-Bezug entstanden, sowohl auf internationaler als auch auf nationaler Ebene. Diese untersuchen Regtech-Themenkomplexe tiefgehend und formulieren gemeinsame Interessen. Vielzählige Regtech-Veranstaltungen ermöglichen überdies fachlichen Austausch und eine Vernetzung der Branche.
Regtech: Make or Buy?
Beaufsichtigte Unternehmen können Regtech-Anwendungen selbst erstellen oder dies auf ein anderes Unternehmen auslagern. In einem solchen Fall verbleibt jedoch, wie bei jeder anderen Auslagerung auch, die Letztverantwortung bei der Geschäftsleitung des auslagernden Unternehmens. Das auslagernde Unternehmen hat die aufsichtlichen Anforderungen an Auslagerungen einzuhalten.
Mögliche Risiken bei der Anwendung von Regtech
Die Aufsicht muss die Regtech-Entwicklungen kontinuierlich beobachten, da eine ordnungsgemäße Funktionswahrnehmung ein umfassendes Verständnis für in der Praxis relevante Lösungen erfordert.
Neben den vielen möglichen Vorteilen neuer technologischer Lösungen muss eine Aufsichtsbehörde auch die damit einhergehenden potenziellen Risiken angemessen berücksichtigen. Regtech-Anwendungen können aufgrund technischer und prozessualer Designs vielfältige Risiken bergen, welche im Einzelfall zu analysieren und bewerten wären.
Das hohe Ausmaß an Datengetriebenheit einzelner Regtech-Anwendungen erfordert eine hohe Datenqualität. Mängel in der Datengrundlage könnten zur Ableitung ungeeigneter oder fehlerbehafteter Kausaldarstellungen führen, die überdies aufgrund eines hohen Automatisierungsgrads nur eine geringe Entdeckungswahrscheinlichkeit haben könnten. Zudem ist sicherzustellen, dass die für den jeweiligen Erkenntniszweck relevanten Daten zur Analyse herangezogen werden und nicht (nur) diejenigen, die aufwandsarm verfügbar sind.
Risiken könnten ebenfalls durch Blackbox-Algorithmen entstehen.1 Sofern die Unternehmen oder die Aufsicht die Arbeitsweise eines Algorithmus nicht mehr verstehen oder zumindest nachvollziehen können, besteht das Risiko nicht erkennbarer Fehlentscheidungen. In der Literatur wird außerdem über die Verwendung von Regtech zur Aufdeckung und Ausnutzung möglicher regulatorisch-aufsichtlicher Lücken im Sinn eines „gaming the system“ als mögliches Risiko diskutiert. Weiterhin wird die Gefahr einer systematischen Optimierung von Regtech-Anwendungen zur Kaschierung eigentlich meldepflichtiger Ereignisse gesehen.
Bei der Beschaffung von Regtech könnten durch Konzentrationseffekte weitere Risiken entstehen. Wenn sich der Bezug bestimmter Regtech-Anwendungen auf nur wenige oder sogar nur einen Anbieter konzentriert, birgt dies entsprechende Konzentrationsrisiken. Sind wichtige Geschäftsprozesse davon betroffen, könnten sogar systemische Risiken entstehen. Eine signifikante Homogenität von Ansätzen und Modellen in Regtech-Anwendungen könnte zudem prozyklisch wirken. Im Fall (vermuteter) zentralisierter Datenbestände könnte weiterhin das Interesse Dritter geweckt werden, sich hierauf Zugriff zu verschaffen.
Nicht nur bei Regtech-Auslagerungen haben Unternehmen zu gewährleisten, dass im eigenen Haus zur Sicherstellung einer ordnungsgemäßen Geschäftsorganisation stets qualifiziertes Personal vorhanden ist, das mit den fachlichen Anwendungen vertraut ist. Insoweit sind dem Stellenabbau zur Einsparung von Kosten durch den Einsatz von Regtech Grenzen gesetzt. In Abhängigkeit von der Bedeutung der eingesetzten Regtech-Anwendungen sollten Unternehmen diese auch im Rahmen ihres Risikomanagements berücksichtigen.
Fazit und Aussicht
Die weiteren technologischen Entwicklungen im Bereich Regtech versprechen spannend zu bleiben. Unabhängig davon, welche innovativen Lösungen sich am Markt durchsetzen können, dürfen durch den Einsatz von Regtech-Anwendungen keine unangemessenen Risiken entstehen. Die BaFin beobachtet die Entwicklungen jedenfalls aufmerksam.
