Sehr geehrter Herr Prof. Baxmann,

meine sehr verehrten Damen und Herren,

wir Menschen lieben einfache Geschichten. Nachweislich kann man einer Rede leichter folgen und sich den Inhalt besser merken, wenn man schnell den roten Faden und die Botschaft des Vortrags entdeckt.

Wenn es um die Digitalisierung der Finanzbranche geht, verhält sich das kaum anders. Häufig wird die Digitalisierung als große Chance, als große Bedrohung, als Aufbruch in eine Welt ohne Banken oder als jahrzehntealte, stetige Evolution dargestellt. Nach meiner Auffassung müssen wir uns aber von dem Verlangen trennen, immer nur eine dieser Geschichten zu erzählen  oder hören zu wollen. Die Bedeutung der Digitalisierung für den Bankensektor werden wir nur erfassen können, wenn wir bereit sind, sehr unterschiedliche Brillen aufzusetzen und sehr ungleiche Aspekte zu sehen. Daher möchte ich mich in meinem heutigen Vortrag bei Ihnen an der Leuphana Universität darum bemühen, ein gebührend differenziertes Bild auf die Entwicklung und ihre Konsequenzen für Banken und die Bankenaufsicht zu werfen.

1 Allgemeine Trends der Digitalisierung

Meine Damen und Herren, technische Innovation ist keineswegs ein neues Thema in der Bankenbranche. Die Kreditinstitute gehörten bekanntermaßen häufig zu den Ersten, die IT in der Verwaltung, an der Schnittstelle zu ihren Kunden oder im Handel einsetzen. Dass das Thema zurzeit kaum aus den Schlagzeilen kommt, liegt wohl daran, dass der Digitalisierung jetzt eine einschneidende Rolle zugetraut wird, nämlich – wie in anderen Branchen erlebt – die Struktur und die inneren Funktionszusammenhänge der Bankenbranche grundlegend zu ändern.

Die besondere Rolle liegt aber nicht nur an den technischen Möglichkeiten, sondern insbesondere an den zu erwartenden und bereits stattfindenden sozialen Veränderungen. Dafür können wir heute weltweit genügend Belege finden. Selbst in Deutschland, das in diesem Punkt kein Vorreiter ist, erledigt mittlerweile die Mehrheit der Bankkunden ihre Bankgeschäfte regelmäßig online und das Mobile Banking ist zudem auf dem Vormarsch. So gibt es bereits erste Institute, die sämtliche Services nur noch auf dem Smartphone anbieten. Mit veränderten Gewohnheiten und neuen technischen Möglichkeiten werden Menschen auch veränderte Ansprüche an das Bankwesen stellen. Dazu gehört zunehmend die Erwartung, als Kunde über Bankdienstleistungen jederzeit und  entsprechend der persönlichen Bedürfnisse verfügen zu können.

Inzwischen wurden von Wissenschaft und Politik diverse Anläufe unternommen, die technologischen Entwicklungen und deren Anwendungsmöglichkeiten zu systematisieren und wirtschaftliche und gesellschaftliche Auswirkungen zu quantifizieren. Allerdings sollten wir uns bewusst machen, dass wir nur sehr bedingt Aussagen über die künftige Entwicklung von Finanztechnologien treffen können. Denn die Technologien entwickeln sich ständig weiter – viele werden verfeinert, manche verworfen. Lohnende Anwendungen hängen auch von der sich wandelnden Kundenakzeptanz und vielen anderen Marktentwicklungen ab. Eine belastbare Aussage über die künftige Relevanz einzelner Innovationen zu treffen, gleicht in meinen Augen eher dem Versuch, die Auswirkungen des Klimawandels auf den Vogelbestand der Lüneburger Heide in zehn Jahren vorherzusagen.

Dagegen darf man getrost festhalten, dass die Digitalisierung eine unumkehrbare Entwicklung eingeleitet hat. So vermisst im heutigen Alltag kaum jemand die analoge Fotografie, die Schreibmaschine oder den Überweisungsträger. Alle Stakeholder des Bankgewerbes müssen sich daher – besser früher als später – auf den digitalen Wandel einlassen. Im Folgenden möchte ich auf Herausforderungen zweier Hauptbetroffener eingehen, nämlich erstens die beaufsichtigten Kreditinstitute, und zweitens die Finanzaufseher und Regelsetzer selber.

2 Digitalisierung als Herausforderung für traditionelle Banken

Meine Damen und Herren, lassen Sie mich die Herausforderungen der Institute aus Sicht eines Bankenaufsehers auf eine simple Formel bringen: Banken müssen im Rahmen der Digitalisierung noch beweisen, dass sie angesichts der neuen Entwicklungen sowohl profitabel als auch sicher bleiben.

Profitabel zu bleiben, ist aus mehreren Gründen herausfordernd. Erstens ist die digitale Wettbewerbslandschaft bunter, globaler und schnelllebiger. Fintechs, Unternehmen mit innovativen, IT-basierten Geschäftsideen, drängen auf den Markt. Im Jahr 2014 summierten sich weltweit die erfassten Investitionen in Finanzstartups auf über 12 Milliarden US-Dollar.[1] Auch wenn mittlerweile – nach dem überschwänglichen Hype vergangener Jahre und der heraufbeschworenen Filetierung des Bankgeschäfts durch neue Wettbewerber – nun die Phase der Sondierung von nachweislich brauchbaren Geschäftsideen angebrochen zu sein scheint, bleibt eine wesentliche Erkenntnis: Durch neue Wettbewerber, effizientere Technologien und anspruchsvollere Kunden ist der Druck auf die Konsolidierung des Sektors insgesamt nicht gerade kleiner geworden.

Zweitens müssen sich viele Innovationen erst noch beweisen. Der unternehmerische Drahtseilakt besteht darin, Entwicklungen frühzeitig auszuloten und ein insgesamt ausgewogenes Geschäftsmodell zu entwickeln.

Exemplarisch kann man dies bei der vielzitierten „Blockchain“-Technologie nachvollziehen: Ihr werden große Potenziale bei Kostensenkungen, Effizienz und Schnelligkeit zugesprochen. Diese Prognose wundert nicht, verspricht die Technologie doch eine Revolution von Kontobüchern und Abwicklungsprozessen, da mittels der „Blockchain“ die Buchführung über Finanzgeschäfte allen Beteiligten gleichermaßen quasi im Original und nahezu in Echtzeit vorliegt. Nicht nur der Zahlungsverkehr, auch der Wertpapierhandel oder komplexe Verträge könnten so deutlich kostengünstiger, schneller, womöglich auch exakter realisiert werden. Auf der anderen Seite sind „Blockchain“-Anwendungen weder technologisch noch rechtlich trivial.

Ob die Technologie sich unter dem Strich für eine Wertschöpfungskette im Bankwesen lohnt, hängt also von vielen konkreten Fragen ab. Die besondere Herausforderung besteht für Institute darin, dass erfolgreiche Anwendungen der „Blockchain“ und andere Innovationen aufgrund der Netzwerkeffekte möglicherweise schnell zu einem neuen Standard heranreifen könnten.

Technologie kann sich also disruptiv auf einzelne Geschäftsmodelle auswirken. Es ist daher angezeigt, sich von Anfang an mit technologischen und auch gesellschaftlichen Entwicklungen auseinanderzusetzen und eine Strategie zu entwickeln.

Davon abgesehen sollte die Bankenbranche auch die Möglichkeiten der Digitalisierung nutzen, profitabler zu werden als bisher. Die Digitalisierung darf keineswegs auf ein Nullsummenspiel reduziert werden, bei dem es um die Verteilung eines gleichbleibend großen Kuchens geht. Kosten können mittelfristig deutlich gesenkt, Gebühren durch innovative Dienstleistungen gerechtfertigt werden.  

Aber ob Multikanalbank, reine Smartphone-Bank oder Nischeninstitut: Als Bankenaufseher gebührt es mir nicht, Geschäftsmodelle und Strategien zu bewerten. Ich möchte auch kein abschließendes Urteil darüber fällen, inwiefern Banken so innovativ sein können und müssen wie Fintechs. Das ist letztlich Aufgabe des Marktes. Aber die Aufsicht hat ein Interesse an nachhaltig profitablen Instituten. Ohne Strategie in Bezug auf das digitale Zeitalter sind Institute aber nach meiner Überzeugung nicht nachhaltig aufgestellt. Die gesamte Unternehmensorganisation, von der IT-Architektur bis hin zum langfristigen Personalmanagement, ist an die digitale Strategie gebunden. Die Digitalisierung muss daher von der Geschäftsleitung vorrangig behandelt werden.

Die Kehrseite der Digitalisierung ist die Sicherheit und Zuverlässigkeit des Bankgeschäfts. Spätestens an dieser Stelle erzeugt die Digitalisierung einen Bruch in der Erzählung. Operationelle Risiken im IT-Bereich spielen eine zunehmend bedeutende Rolle. Und die Digitalisierung des Bankwesens hat einen Wandel in der Finanzkriminalität hervorgerufen. Die Bandbreite von Motiven für Cyberattacken ist groß und reicht von simplen Angriffen durch Amateure bis hin zu minutiös geplanten Angriffen mit ökonomischem oder politischem Hintergrund. Gleichzeitig verbreiten sich neue Angriffsmethoden blitzschnell über das Netz und entwickeln sich ständig weiter. Einer 2015 durchgeführten weltweiten Studie zufolge sind 61 % der Vorstandsvorsitzenden der Ansicht, dass Cyberrisiken eine zentrale Bedrohung für sie darstellen.[2] Finanzinstitute rangierten daher 2014 als Käufer von Versicherungen gegenüber Cyberrisiken mit durchschnittlichen Haftungsgrenzen von 57 Millionen US $ an erster Stelle aller Branchen.[3]

Die Bankenaufsicht hat IT- und Cyberrisiken aus diesen Gründen bereits seit vielen Jahren verstärkt in den Fokus genommen. Denn ihre Bedeutung kann kaum hoch genug eingeschätzt werden. Vertrauen in Banken heißt im digitalen Zeitalter besonders auch: Vertrauen in die IT. So ist IT- und Cybersicherheit für die europäische Bankenaufsicht im Jahr 2016 weiterhin eines der Schwerpunktthemen.

Wir Finanzaufseher fordern die Kreditinstitute daher explizit dazu auf, ihre IT- und Cyberrisiken genauso sorgsam zu managen wie die traditionellen Risiken des Bankgeschäfts. Eine ganzheitliche Cyberabwehr entsteht nicht von unten durch die IT-Abteilung – sie ist, davon bin ich überzeugt, ganz ursächlich eine Führungsaufgabe. Und sie bedeutet nicht nur für die Institute, mit den Entwicklungen mitzuwachsen. Im Folgenden möchte ich daher meinen Blick auf die Bankenaufsicht lenken.

3 Die Bankenaufsicht muss mit den Entwicklungen mitwachsen....

Die Aufsicht kann natürlich kein genaues Rezept für IT- und Cybersicherheit anbieten, da IT-Anwendungen und die Cyberumgebung heute derart beweglich sind, dass technische Details extrem schnell veralten. Zudem gibt es für die Vielzahl der Institutsarten und -größen keine Einheitslösung. Schließlich sollten wir uns eingestehen, dass es auch für einzelne Gefahren oft keinen perfekten Schutz gibt. So rückt statt absoluter Cybersicherheit das Konzept der Widerstandsfähigkeit gegenüber Cyberrisiken und eine bestmögliche Abwägung von Kosten und Nutzen verschiedener Sicherheitsmaßnahmen in den Vordergrund.

Deshalb haben die deutschen Aufseher Grundsätze für das Risikomanagement der von uns beaufsichtigten Institute formuliert. Sie bilden trotz rapider Entwicklungen einen festen Bezugsrahmen. Dabei gibt es natürlich konkrete Elemente beispielsweise für die Cyberabwehr, die auf eine Checkliste für alle Institute gehören: (1.) Netzwerkpläne mit angemessenen und (2.) mehrstufigen Sicherheitsbereichen, (3.) Notfallpläne sowie (4.) ein gut durchdachtes Update-Management.

Gerade die Cyberabwehr macht deutlich, dass Sicherheit mehr als eine gut funktionierende erste Verteidigungslinie im Unternehmen erfordert. Die Abwehr von Cyberrisiken ist keineswegs trivial; sie erfordert vielmehr ein erhebliches Maß an Weitblick und Einfallsreichtum. Die Bedrohungen ändern sich ständig. Und Menschen – ob Kunden oder Mitarbeiter – sind auch bei Banken und Sparkassen häufig das schwache Glied in der Sicherheitskette. Das verlangt letztlich jenseits technischer Vorkehrungen ein intelligentes Risikomanagement. Langfristige Cybersicherheit erfordert also Reaktionen auf neue und teils unbekannte Umstände, die gleichzeitig sicherstellen, dass das Institut die ihm anvertrauten Aufgaben verlässlich erfüllt. Denn – wie kann es auch anders sein: Unternehmen und Organisationen entwickeln sich ständig weiter.

Die Steuerung der Verantwortlichkeiten ist daher von ganz entscheidender Bedeutung. Das beinhaltet auch, die Verantwortlichkeits-„Firewall“ zu durchbrechen, bei der niemand die Verantwortung für die vielen ineinandergreifenden Aspekte von Cyberrisiken übernehmen will. Banken lagern oft Teile ihrer IT-Ausstattung, wie etwa Server oder Software, aus. Die Cloud spielt bekanntlich eine immer größere Rolle. Aber letztlich bleiben Banken selbst für jegliche Fehlfunktion verantwortlich. Als Aufseher fordere ich daher, dass Institute sich darüber im Klaren sein müssen, was auf dem Spiel steht und wie sie die Risiken angehen wollen. Letztlich ist eine Sicherheitskultur einzurichten und zu verfolgen, die über einzelne Einheiten hinweg das Bewusstsein und die Bereitschaft für verantwortliches Verhalten in der digitalen Bank verankert.

4 …aber das Rad nicht neu erfinden

Angesichts der sich rasant wandelnden Umweltbedingungen – ich meine damit neue Technologien, neue Verhaltensgewohnheiten, neue Wettbewerber und neue Gefahren – stellt sich für Viele auch die Frage, ob der gegenwärtige Regulierungsansatz noch zukunftsfähig ist. Nach meiner Auffassung ist diese Frage die logische Konsequenz aus einer oberflächlichen Wahrnehmung von Technologie einerseits und dem Bankgeschäft anderseits.

Mit digitalen Technologien verbinden wir positive Eigenschaften wie die Rund-um-die-Uhr Verfügbarkeit des Internets, die Transparenz von Vergleichsportalen, die Bequemlichkeit von Smartphone-Apps und die scheinbar kostenlosen Services vieler Internetanbieter. Doch ich halte es für sehr wichtig, auch die Schattenseiten in den Blick zu nehmen. Technologie bleibt eben fehleranfällig und gehorcht ökonomischen Anreizen. Erst kürzlich wurden manipulierte Vergabepraktiken einer amerikanischen Kreditvermittlungsplattform öffentlich. Sogar selbstregulierende bzw. selbstbeaufsichtigende Finanztechnologien wie die „Distributed Ledgers“, bei denen unzählige Rechner die Buchführung der anderen Rechner gegenprüfen und damit korrekte Buchungen sozusagen im 1000-Augen-Prinzip bestimmen, reduziert womöglich die Wahrscheinlichkeit von Fehlern und Betrug deutlich, schließt sie aber nicht kategorisch aus. Der Glaube an eine durch und durch bessere Welt der Technologie erscheint mir daher als eine weitere Auflage der eingangs erwähnten Sehnsucht nach einfachen Welten und Geschichten.

Technologie erübrigt also nicht den kritischen Blick von außen. Der Staat, das ist meine feste Überzeugung, kann und darf sich aus der Überwachungsfunktion nicht zurückziehen. Zudem ändert Technologie nichts an den grundlegenden Aufgaben und Risiken, die sowohl Banken als auch die Bankenaufsicht rechtfertigen. Das Finanzsystem benötigt Intermediäre der Geldpolitik, und es benötigt Akteure, die wesentliche Dienstleistungen wie die Kreditvergabe, das Depotgeschäft und den Zahlungsverkehr ermöglichen. Die Existenz von Banken ist also an die Funktionsweise unseres Wirtschafts- und Finanzsystems geknüpft. Und wesentliche Aspekte der Finanzbranche wie die Übernahme von Risiken können gar nicht von Computern übernommen werden, da finanzielle Entscheidungen von Natur aus mit Unsicherheit verbunden sind. Daher behalten sowohl Banken als auch deren Aufseher in einer digitalen Finanzmarktordnung ihre Bedeutung.

Weder eine systematische Bevorzugung neuer Technologien noch deren Benachteiligung ist regulatorisch zu begründen. Vielmehr ist nach meiner Überzeugung eine Regulierung vonnöten, die Technologien neutral behandelt und genau dann greift, wenn Instrumente und Institutionen unverhältnismäßige Risiken produzieren. Der Grundsatz „same business, same risk, same rules“ –  das Credo, an dem sich die internationale Regulatorik bereits heute orientiert – bleibt daher auch künftig die maßgebliche Richtschnur für die Aufsicht.

Das Rad der Regulierung muss also nicht neu erfunden werden. Der risikoorientierte Aufsichtsansatz in Deutschland bietet hierfür nach wie vor die richtige Grundlage und verfügt auch über die notwendigen aufsichtlichen Werkzeuge, um beispielsweise unerlaubt betriebenes erlaubnispflichtiges Geschäft bei Finanzinnovationen zu ahnden.

Die Aufgabe besteht heute und in Zukunft vielmehr darin, den risikoorientierten Aufsichtsansatz konsequent auf neue Entwicklungen und Geschäftsmodelle anzuwenden. Für welche Finanzinstrumente ist die sogenannte automatisierte Anlageberatung bzw. der sogenannte „RoboAdvice“ wirklich als Beratungsgeschäft im Sinne des KWG einzustufen? Wo ist bei der Kreditvergabe die Grenze zu ziehen zwischen reiner Vermittlung von Kreditangebot und Nachfrage und eigener Kreditvergabe oder auch dem Einlagengeschäft? Hier müssen juristische Graubereiche durchdrungen werden, die gezwungenermaßen nur anhand einzelner, ganz konkreter Geschäftsmodelle von Finanz-Startups beurteilt werden können. Die vielen Anfragen von Fintechs bei den Behörden stellen daher für die Aufsicht in Deutschland derzeit eine anspruchsvolle und zeitintensive Aufgabe dar. Dieses Vorgehen ist übrigens keineswegs neu. Seit Jahrzehnten werden Finanzinnovationen in Einzelprüfungen genau auseinandergenommen und auf beaufsichtigungspflichtige Risiken hin beurteilt.

Wenn wir bei der Risikoorientierung konsequent bleiben wollen, müssen wir über die bestehende und funktionstüchtige Aufsichtssystematik hinaus mögliche neue Risiken, die die Stabilität des Finanzsystems gefährden könnten, im Blick behalten. Insbesondere den Datenschutz und den Verbraucherschutz werden wir in den kommenden Jahren dort wohl verstärkt in den Blick nehmen müssen.

Wie steht es nun um die Wettbewerbsordnung in der digitalen Finanzbranche? Unser regulatorisches Ziel sollte darin bestehen, die Rahmenbedingungen so zu setzen, dass die eingegangenen Risiken auch den Maßstab für einen fairen Wettbewerb zwischen allen Marktteilnehmern definieren. Die Debatte um das sogenannte „level playing field“, also um faire Wettbewerbsbedingungen, wird dadurch verzerrt, dass unregulierte und regulierte Wettbewerber ohne Rücksicht auf die involvierten Finanzrisiken miteinander verglichen werden. Regulatorische und aufsichtliche Anforderungen werden von den Instituten als einseitige Kostenbelastung und von erlaubnisfreien Fintechs als Marktzutrittsbarrieren wahrgenommen. Aber durch die Brille der Regulatorik betrachtet soll die Wettbewerbsordnung keinem der beiden dienen, sondern der Volkswirtschaft.

Zur regulatorischen Sicht auf die Digitalisierung möchte ich abschließend noch eine Bemerkung zum Verhältnis von Innovationsförderung und Stabilitätssicherung ergänzen. Beide Ziele sind ohne Frage aus volkswirtschaftlicher Sicht wünschenswert. Doch während es für Banken und Sparkassen geradezu notwendig erscheint, Innovation und Verlässlichkeit zugleich zu erfüllen, sollten die unterschiedlichen Aufgaben aus Sicht der Ordnungshüter und Regelsetzer klar und möglichst auch institutionell voneinander zu trennen sein, um Interessenskonflikte zu vermeiden.

5 Fazit

Wie die Digitalisierung der Finanzbranche zu beurteilen ist, hängt stark von der Brille und dem Hut ab, die man sich aufsetzt:

• Für Banken stellt sie Auftrag und Chance dar, profitabel und sicher zu bleiben. Jedes Institut benötigt eine sorgfältig abgewogene, aber dennoch klare digitale Strategie.

• Die Aufsicht steht vor der Herausforderung, in einem sich wandelnden Umfeld ein stetiges Vertrauen in Institute sicherzustellen. Das erfordert, mit den Entwicklungen Schritt zu halten und unternehmerische Verantwortung immer dort einzufordern, wo bedeutende Risiken entstehen.

• Die Regulatorik sollte darauf achten, dass sie angesichts neuer Wettbewerber und neuer Technologien dennoch das Rad nicht neu erfindet. Konkrete Geschäftsmodelle und Innovationen sollten genau dort reguliert werden, wo sie Risiken für das Finanzsystem produzieren.

• Wenn alle Seiten der Digitalisierung hinreichend beachtet werden, bin ich zuversichtlich, dass die Geschichte der Digitalisierung der Finanzbranche in wenigen Jahren von allen Parteien als Erfolgsgeschichte erzählt werden kann.

Vielen Dank für Ihre Aufmerksamkeit. Für Ihre Fragen stehe ich nun gerne zur Verfügung.

Fußnoten

[1] Accenture (2015): The Future of Fintech and Banking: Digitally disrupted or reimagined?

[2]PwC (2015): A marketplace without boundaries? Responding to disruption. 18th Annual Global CEO Survey.

[3] Die Zahl bezieht sich auf die Gesamthaftungsgrenzen der Cyberversicherungen, die von Unternehmen mit einem Umsatz von mindestens 1 Milliarde USD 2014 gekauft wurden. Quelle: Marsh (2015): Benchmarking Trends: As cyber concerns broaden, insurance purchases rise.