Payment Services
Law Blog

Am 25. Februar 2026 haben EBA und ESMA die Konsultation zur Überarbeitung ihrer Gemeinsamen Leitlinien für die Eignungsprüfung (Fit-and-Proper) eingeleitet. Die nur noch bis zum 25. Mai 2026 laufende Konsultation ist eine gezielte Fortschreibung der 2021er Leitlinien in Folge der CRD-VI und dürfte sich auch bald im BaFin-FAP-Rundschreiben widerspiegeln.

Wir geben einen Überblick über die wichtigsten neuen Regelungen (engere Verzahnung von Eignungsprüfung, Governance, Aufsichtsdialog und Dokumentation) und den daraus resultierenden Handlungsbedarf.

Weniger Text ist mehr Eigenverantwortung. Die BaFin hat am 1. April 2026 die Konsultation der 9. MaRisk-Novelle (02/2026) gestartet und verschiebt das regulatorische Gefüge in drei Kernbereichen.

Während Anforderungen an interne Governance und Eskalationswege deutlich formaler ausgestaltet werden, erfährt das ESG-Risikomanagement eine methodische Vertiefung und folgt in der Umsetzung dem in Kraft getretenen BRUBEG in erwartbarer Weise. Zudem schärft die Aufsicht das Profil der Kontrollfunktionen durch die nun explizit ausformulierten Anforderungen an deren Unabhängigkeit und Expertise.

Das am 29.01.2026 durch den Bundestag beschlossene Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz („BRUBEG“) bringt sowohl umfassende neue Pflichten als auch regulatorische Entlastungen für den Finanzsektor mit sich. Während Themen wie ESG-Risiken und die Überwachung von Schlüsselfunktionen erstmals umfassend und auch hierarchisch gesetzlich verankert werden, profitieren kleinere Institute von gezielten Entlastungen. Wir geben einen Überblick über die zentralen Säulen dieser Reform und zeigen auf, welche Weichenstellungen für Institute nun entscheidend sind.

Spätestens, wenn interne Prozesse und Kundenschnittstellen parallel mit Assistenzsystemen, Scoring-Logiken oder GenAI-Bausteinen aufgerüstet werden, wird aus „Innovation“ sehr schnell ein Governance- und Betriebsprojekt.

Regulatorisch kippt so ein Setup selten wegen der „Idee KI“, sondern wegen der konkreten Einbindung. Sobald interne Systeme über APIs an ein externes Modell angebunden werden, rückt die Drittparteiensteuerung in den Fokus (insbesondere Vertrags- und Exit-Regeln, Sub-Outsourcing-Transparenz, Incident-Mitwirkung, Verantwortlichkeiten, Human-Oversight und das Change-/Test-Regime) und die Frage, welche Daten das System tatsächlich sieht und verarbeitet.

Ende Januar 2026 fanden verschiedene Workshops des Forschungsprojektes „TOKENISIERUNG - Praxiswissen für KMU und Startups (KrypToFi)" der Rechtswissenschaftlichen Fakultät der Universität Marburg statt. Wir (Matthias Terlau und Tobias Riethmüller, jeweils verlinkt) haben dabei einen Vortrag gehalten mit folgenden Inhalten:

(i) Allgemeines und besonderes Aufsichtsrecht für Kryptowerte

(ii) Kryptowerte-Dienstleistungen in der MiCAR

Die Präsentation (zum Download als PDF) ist hier zu finden.

KI-basierte Shopping-Agenten stehen kurz davor, den Handel strukturell zu verändern.
Erste Initiativen zeigen, dass digitale Agenten an Relevanz gewinnen. Wird der Handel
künftig zum FulfillmentPartner von KI-Plattformen?

Wenn Agenten zahlen ...

Einige Gedanken zu diesem interessanten Thema aus meiner Präsentation anlässlich der ProfitCard 2026...

(Präsentation kann heruntergeladen werden)

Bürokratieentlastung ist das neue Stichwort. In diesem Geiste hat die BaFin am 25.11.2025 die Neufassung der InhKontrollV und der (für KWG-Institute maßgeblichen) AnzV veröffentlicht.

Agentic Commerce ist jedenfalls als Thema in Europa angekommen. Auf der anderen Seite des Atlantiks gärt das Thema schon seit mehreren Jahren.

Das Video-Ident-Verfahren ist seit Jahren ein etablierter und von der BaFin in der Praxis akzeptierter Standard für die geldwäscherechtliche Identifizierung im deutschen Finanzmarkt.

Während das Verfahren bislang überwiegend durch aufsichtsrechtliche Rundschreiben und Anwendungshinweise geprägt war, konkretisierte der Entwurf der Geldwäschevideoidentifizierungsverordnung (GwVideoIdentV) diese Praxis erstmals für alle Verpflichteten nach dem GwG.

Ab 2027 wird bekanntermaßen dann die Verordnung (EU) 2024/1624 („AML-VO“) den unionsweit harmonisierten Rechtsrahmen auch hierfür setzen. Der aktuelle Verordnungstext wirft allerdings die Frage auf, wie sich die spezifischen Anforderungen des deutschen Referentenentwurfs zu den technologieneutralen, unionsweit harmonisierten Vorgaben der AML-VO verhalten und wie Unternehmen die bestehenden Unterschiede und Übergänge rechtssicher gestalten können.