Rechtshürden bei Fintechs

Dieser Blogpost bezieht sich auf die Podcast-Folge “Rechtshürden bei Fintechs, Interview mit RA Frank Stiegler”, nachzuhören hier:

Den rabbit Mobile Business Podcast können Sie an diversen Stellen anhören und abonnieren. Suchen Sie sich einfach Ihren jeweiligen Lieblingskanal aus:


Heute bin ich mal wieder die Reise in die Kanzlei von Frank Stiegler, Rechtsanwalt mit Hang zu IT-lastigen Themen aus Frankfurt angetreten. Ich habe mit ihm über ein — wie ich glaube — sehr aktuelles Thema gesprochen, nämlich die rechtlichen Hürden, die Fintech-Startups nehmen müssen, um halbwegs auf der sicheren Seite zu sein.

Die ersten 20 Minuten des Interviews finden Sie transkribiert und zusammengefasst hier.
Kleiner Tipp: Am meisten Spaß macht es aber glaube ich, sich das ganze tatsächlich anzuhören. Aber ganz wie Sie mögen.


Tim Wiengarten: Herzlich willkommen zu einer weiteren Folge des rabbit mobile Business Podcast. Ich bin heute nicht in meinem Büro, sondern in der Kanzlei meines Freundes und Rechtsanwalts Frank Stiegler, den Sie vielleicht noch aus der 2. Podcast-Episode dieses legendären Podcasts kennen (Anm.: Es war tatsächlich Episode Nummer 3 ;-)). Es geht heute um das Thema “Smartphone-Fintechs”, und ich habe mir das Thema nicht wirklich ausgewählt, sondern Frank Stiegler hat dazu vor etwa zwei Wochen einen Vortrag gehalten und da wurde ich natürlich neugierig. Aber jetzt erst mal: Hallo Frank! Herzlich willkommen und vielen Dank!

RA Frank Stiegler: Hallo liebe Hörer, willkommen in der kleinen, technikaffinen IT-Rechtskanzlei in (Frankfurt) Sachsenhausen!

Tim Wiengarten: Vielleicht an dieser Stelle der Hinweis, dass Frank Stiegler nicht nur in Folge 2 (wie gesagt: eigentlich 3) dieses Podcasts zu hören war, sondern er mittlerweile auch einen eigenen, sehr gut laufenden Podcast namens “Stiegler Legal Podcast” hat!

RA Frank Stiegler: Nein, der Name hat sich schon geändert! Er heißt jetzt “Legal Bits”. Das weiß noch keiner! Tatsächlich bist du der erste der das offiziell erfährt, aber wir haben ihn umbenannt. Ich fand “Stiegler Legal Podcast” langweilig und habe hier in Frankfurt neulich einen Vortrag bei den Freifunkern gehalten. Dort war im Publikum jemand der sagte: “Dann nenn das doch einfach ‘Legal Bits’”. Ich fand’s super weil es so ‘ne sehr schöne Kombination aus Recht und IT ist.

Tim Wiengarten: Cool, also “Legal Bits”. Einmal im Monat sind das total spannend aufbereitete Rechtsthemen, rund um Recht und IT. So, jetzt aber zum Thema “Smartphone Fintech”. Frank, ich habe schon berichtet: Du hast einen Vortrag dazu gehalten. Vielleicht kannst du kurz eine Einleitung dazu bringen, wie das kam, warum das Thema überhaupt relevant ist und was noch nennenswert ist.

RA Frank Stiegler: Ich habe diesen Vortrag gehalten für den “Akademie Deutscher Genossenschaften e.V.” vor knapp zwei Wochen auf Schloss Montabaur. Die machen ein Mal im Jahr zwei Foren zu den Themen IT-Sicherheit und IT-Revision und ich bin gebeten worden, da einen Vortrag zu halten und da habe ich mir etwas ausgesucht was gerade für die Finanzszene und für die Genossenschaftsbanken interessant ist wie auch IT-rechtlich relevant. Und das was ich herausgesucht habe, nimmt Bezug auf viele Artikel und viel Bewegung im Bereich “Smartphone” und die kommende Richtlinie, der EU für Zahlungsdienstleister, also die “Payment Services Directive” in der Novelle 2 (“PSD2”). Die gibt es eigentlich schon, aber die ist jetzt letztes Jahr novelliert worden. Da muss noch einiges passieren, bis die in deutsches Recht umgesetzt wird, aber darüber habe ich den Vortrag gehalten und habe Rechtshürden aufgezählt, die alle beachten müssen, die daran beteiligt sind. Also alle, die so eine (Fintech-)App bauen, die so eine App betreiben, die auch in den App-Store gehen wollen, was es für Nutzungsrechte gibt, usw. Rein das Finanzrecht betreffende Sachen wie das Geldwäschegesetz und Terrorfinanzierung und so habe ich ausgeklammert, denn das wäre alles in der Stunde gar nicht untergekommen. Aber ich habe Bezug genommen auf so Zeitungsberichte wie einen, den ich hier von der FAZ habe mit dem Titel “Die Volksbanken suchen die Super-App”, wo es um allerlei Dinge geht, wie zum Beispiel einen Hackathon, also eine Zusammenkunft von Softwareentwicklern, die innerhalb von einem bis drei Tagen Prototypen unter bestimmten Voraussetzungen herstellen sollen. Also so etwas wie: “Hier habt ihr fünf Schnittstellen, macht damit irgendwas!”. Und in meinem Vortrag ging es genau darum.

Tim Wiengarten: Okay, du hast den Vortrag gestartet mit Hinweisen auf die Vielschichtigkeit von Rechtshürden, die zu beachten sind, sowohl bei der App-Erstellung, als auch beim App-Betrieb. Das alles aufgeteilt in “Entwickler, Betreiber, Plattform, Nutzer” bzw. dann beim App-Betrieb in “Aufsicht, API-Betreiber, Wettbewerber” und so weiter und so fort — das sind viele Stichworte, die mir bekannt vorkommen aus unserer ersten, gemeinsamen Podcast-Folge wo es um grundsätzliche Rechtshürden für Unternehmen geht, die eine App betreiben möchten. Was ist das Spezielle, was Fintechs, also Finanz-Startups ausmacht?

RA Frank Stiegler: Die Besonderheit ist vor allem, dass sie besondere Hürden nehmen müssen, um bestimmte Dinge zu tun. Eine App kann man ja mit relativ kleinem Aufwand betreiben. Aber gerade kleine Entwickler und Betreiber von Apps stoßen gerade was “Banking” angeht an bestimmte Hürden. Also insbesondere die jetzt kommende PSD2 (Payment Services Directive 2) bietet da allerlei Hürden. Aber auch Dinge wie “Mindestanforderungen an Sicherheit bei Internet-Zahlungen”. Also da gibt es eine ganze Menge Geschichten. Ein Thema, das gerade überall brennt ist das Thema “Access to Accounts”, auch gerne mit “XS2A” abgekürzt. Da geht es vor allem um die Frage: “Darf ich, und wenn ja, unter welchen Voraussetzungen, überhaupt auf fremde Konten zugreifen?”. Wenn ein Startup zum Beispiel eine App macht, die vielleicht einfach auf mein Konto guckt und mir sagt: “Kann ich mir etwas bestimmtes leisten?”. Also zum Beispiel einen Fernseher, der 1.500,- Euro kosten soll. Die App könnte dann auf mein Konto schauen, das kalkulieren und mir zurückmelden: “Ja, geht” oder “Nein geht nicht” oder “Ja, aber nur wenn zusätzliche Konten angezapft werden” oder auch “Nee, das geht zwar nicht, aber hier hast du ein Kreditangebot von der Soundso”. Hier ist also die Frage: “Darf ich als App-Betreiber, der ich ja gar keine Bank bin dann auf solche Bankdaten zugreifen?”. Oder auch: Dürfen Bankkunden mir überhaupt diese Daten geben? Verstoßen die vielleicht gegen irgendwelche Bedingungen, wenn sie mir Zugang zu ihrem Konto geben?

Tim Wiengarten: Wir gucken da jetzt aus der Perspektive der Bank oder des Startups drauf. Aber gerade die Deutschen sind ja sehr vorsichtig, was Datenschutz angeht. Das gilt allgemein und wahrscheinlich ganz besonders bei allem, was mit Finanzen zu tun hat. Es bleibt insofern ja auch abzuwarten, wie solch ein Service überhaupt angenommen wird. Denn ich gebe ja einem Service Zugang zu meinem Konto, von dem ich vermutlich nicht viel mehr weiß, als dass ich mir da mal einen Account eröffnet und vermutlich blind die AGB akzeptiert habe. Und das in einer Weise, dass dieser Service relativ gut abschätzen kann, ob ich mir bestimmte Dinge leisten kann oder nicht. Da muss man ja auch eine gewisse Offenheit für dieses Thema haben.

RA Frank Stiegler: Ja, das sowieso, natürlich. Wobei — das ist jetzt vielleicht etwas unjuristisch, aber ich glaube, man ist schnell dabei zu sagen “Wir Deutschen…” und so, aber… Ich weiß jetzt nicht, wie du das so findest, aber wenn ich so durch die Gegend gehe und mir angucke, wie die Leute mit Medien umgehen, dann habe ich das Gefühl, Datenschutz muss man den Leuten echt noch beibringen. Du kannst überall rumfragen, den Leuten fehlen Grundlagen.

Tim Wiengarten: (lacht) Ja, vielleicht sind das zwei verschiedene Paar Schuhe. Ich glaube, einerseits gibt es die Politik, die versucht, das alles zu kanalisieren und möglichst kontrollierbar zu machen und nicht die Macht über große Teile der Bevölkerung einzelnen Unternehmen zu überlassen. Die sind da zumindest bisher deutlich rigider als zum Beispiel die USA oder Großbritannien. Andererseits würde ich dir schon Recht geben, dass sich der Normalnutzer wenig Gedanken darüber macht.

RA Frank Stiegler: Ich finde es schon wichtig, dass wir uns damit beschäftigen. Eine Grundskepsis ist schon angebracht, wenn es darum geht, dass kritische Daten wie Kontodaten, also sowohl Zugangsdaten, als auch Transaktionen nicht einfach in die falschen Hände geraten. Unser Konsumverhalten sagt schließlich sehr viel über uns. Standortdaten und alles auch, aber wenn jemand weiß, was du konsumierst, wo du einkaufst, für welchen Wert du einkaufst, darüber lässt sich sehr schnell ein Profil herstellen, das ziemlich präzise ist.

Tim Wiengarten: Erstens das und zweitens interessiert es womöglich auch andere Parteien, wo du wie viel Geld ausgibst und ob du dir überhaupt bestimmte Dinge leisten kannst, also ich spreche jetzt zum Beispiel von Mietverträgen und solchen Dingen.

RA Frank Stiegler: Ja, oder schlicht auch einfach Behörden. Wenn du anfängst, eine Privatinsolvenz zu machen… Stell dir mal vor, der Gerichtsvollzieher, der bei so etwas für dich zuständig ist, wüsste plötzlich, wo dein Geld hingeht. Das wäre für den ganz sicherlich auch interessant.

Tim Wiengarten: Okay, also das [die “Kann ich mir das leisten-App”] ist jetzt das Beispiel von so einem Hackathon gewesen. Ich kann jetzt nicht sagen, mit was für einer heißen Nadel diese Idee gestrickt wurde. Jetzt aber noch mal zu einem andere Thema. Du hattest eben “PSD2” erwähnt. Geh doch vielleicht noch einmal darauf ein, was PSD2 genau ist und wie das rechtlich eigentlich einzuordnen ist.

RA Frank Stiegler: Das ist die Richtlinie mit der blumenreichen Beschreibung “2015/2366 des vom 25.11.2015 über Zahlungsdienste im Binnenmarkt, zur Änderung der Richtlinien 2002/65/EG, 2009/110/EG und 2013/36/EU und der Verordnung (EU) Nr. 1093/2010 sowie zur Aufhebung der Richtlinie 2007/64/EG”…

Tim Wiengarten: …und wenn Sie jetzt noch nicht ausgeschaltet haben, haben Sie auch verdient zu erfahren, was das jetzt eigentlich damit auf sich hat!

RA Frank Stiegler: (lacht) Also diese Richtlinie richtet sich an Deutschland, wie an alle anderen Mitglieder der EU auch. Jetzt müssen die nationalen Gesetzgeber das, was da drinsteht in nationales Recht übersetzen, also transkribieren, so, dass es dann wirksam wird. Dafür ist noch ein bisschen Zeit, aber inhaltlich wurde darin jetzt normiert, was mit Zahlungsdiensten dann passieren soll, also welche Hürden jemand nehmen muss, worauf zu achten ist, und es gibt natürlich tausende von Aspekten die da interessant sind. Aber es gibt so ein paar Sachen, die immer wieder hervorstechen. Eine Sache, die immer wieder kommt, ist zum Beispiel der sichere Betrieb von IT-Infrastruktur. Also alles, was da passiert, muss sicher passieren. Also Stichwort “Verschlüsselung”, “Zwei-Faktor-Authentifikation”, es geht darum, Sicherheitsrisiken für elektronische Zahlungen zu minimieren, es sollen Regulierungslücken geschlossen werden, es soll europaweite Rechtsklarheit geben, es sollen also ein paar zentrale Dinge passieren, die einen europaweiten Standard schaffen.

Tim Wiengarten: Wenn Sie uns jetzt zugucken könnten, könnten Sie sehen, wie Frank Stiegler gerade ein PDF geöffnet hat mit kleingedrucktem Text und 93 Seiten. Wenn ich jetzt ein Startup wäre, dann würde mich das extrem abschrecken, wenn jemand zu mir sagen würde: “Na ja Gott, also darauf musst du jetzt achten!”. Aus meiner Sicht sind Startups Firmen, die eine gute Idee haben, sich vielleicht innerhalb eines kurzen Businessplans darüber Gedanken machen, ob diese Idee eventuell auch Geld abwerfen würde, und falls die Antwort “ja” ist, dann einfach mal starten und loslegen. Erstens auf Grund des Umfangs und zweitens auf Grund der Tatsache, dass es noch eine Richtlinie ist, für die die Gesetzestexte erst noch geschrieben werden müssen, macht das [das o.g. PDF] jetzt den Eindruck, dass ich jetzt starten könnte, weil ich halbwegs verstanden habe, was da drin steht und dass dann aber eines Tages ein Gesetz verabschiedet werden kann, was zwar auf Grundlage dieser Richtlinie entstanden ist, aber was mir dann einen Strich durch meinen kompletten Businessplan macht. Kann das passieren?

RA Frank Stiegler: Ja, das kann passieren. Was genau das wird, weiß glaube ich heute immer noch niemand so ganz genau. Viele wissen natürlich schon, in welche Richtung es geht. Es gibt ein paar Kernpunkte, die schon klar sind. Wie lange das dann hält, ist natürlich die Frage, denn auch diese Richtlinie muss nicht bis in alle Ewigkeit so bleiben. Aber je mehr man sich Gedanken darüber macht, was man machen möchte, was das Produkt können soll und wie man an den Markt geht, sollte man auch die Rechtslage entsprechend mit berücksichtigen.

Tim Wiengarten: Ja klar, aber ich persönlich bin zum Beispiel im Zweifel eher dafür “lean” zu starten und auf dem Weg zu korrigieren, anstatt erst einmal ein Riesending aufzubauen und vielleicht links und rechts überholt zu werden. Andererseits glaube ich auch, dass das in anderen Bereichen der Wirtschaft eher möglich ist, als im Finanzwesen. Einfach deswegen, weil hier viel mehr Regularien existieren, die mir wenig Gestaltungsspielraum lassen. Gerade auch vor dem Hintergrund, dass Startups normalerweise von eher jungen Menschen gegründet werden, die auch nicht die große Berufserfahrung im Finanzsektor haben und die auch nicht die wirtschaftlichen Möglichkeiten haben, sich in alle Richtungen komplett rechtlich abzusichern, glaube ich, ist das ein Dämpfer für viele Ideen, die man haben kann. Wenn ich zum Beispiel eine App entwickle, die eher Nebensächlichkeiten bedient, dann erscheint das einfacher, als wenn ich eine App habe, für die ich eine Hoheit über den Bank-Account des Nutzers haben muss. Viele Ideen werden doch vermutlich so schwierig in der Umsetzung sein, dass nur wenige Startups sich da ran trauen mögen.

RA Frank Stiegler: …

Das waren die transkribierten, ersten 20 Minuten des Interviews. Wenn Sie interessiert, wie es weiter ging, hören Sie den Rest des Interviews einfach hier an:


Weiterführende Links: