Rechtsanwälte klären auf 6 rechtliche Fallstricke bei Fintech-Investments

Seite 2 / 2

Investition in Fintech-Produkte im Entwicklungsstadium

Befindet sich das Fintech-Produkt noch am Anfang der Entwicklung, stellt sich die Frage, inwieweit das Investment an einen Projektfortschritt geknüpft werden kann. Oder anders gewendet: Wie lässt sich sicherstellen, dass das Fintech-Produkt am Ende des Entwicklungsprozesses die Erwartungshaltung der Investoren trifft? Hierzu erscheint es aus Sicht der Investoren denkbar, das Investment auf mehrere Teilleistungen zu verteilen und die Fortführung des Investments jeweils vom Erreichen der zuvor definierten Meilensteine abhängig zu machen. Ein Nebeneffekt dieses Vorgehens ist es, dass gerade die Ausformulierung der Meilensteine (und damit letztlich der zu erbringenden Leistungen) zu einer kritischen Prüfung der Erwartungshaltung aller Beteiligten führt.

Kompatibilität mit bestehenden Systemen

Insbesondere strategische Investoren müssen die Frage klären, inwieweit das Fintech-Produkt in bereits bestehende IT-Systeme (zum Beispiel in das Kernbank-System einer Bank) integriert werden kann. Dies gilt vor allem dann, wenn das Investment der Ergänzung des eigenen Produkt- oder Prozessportfolios dienen soll und in bestehende Produkte oder Prozesse integriert oder mit diesen verknüpft werden soll.

Datenschutzrecht

Fintech-Produkte verarbeiten in aller Regel hochsensible Daten und das Vertrauen der Kunden in die Sicherheit dieser Daten ist einer der entscheidenden Faktoren dafür, ob das Geschäftsmodell am Markt angenommen wird. Daher spielen datenschutzrechtliche Belange bei der Entwicklung von Fintech-Produkten eine sehr wichtige Rolle. Neben dem Risiko einer (gegebenenfalls bußgeldbewährten) Beanstandung durch die zuständige Datenschutzbehörde drohen im Falle eines Datenschutzverstoßes Reputationsrisiken, welche letztlich das schnelle Ende eines Fintechs bedeuten können. Dass derartige Risiken nicht nur auf dem Papier existieren, zeigen vielfältige Beispiele aus der „traditionellen“ Bankenwelt. So konnten unlängst die Online-Banking-Teilnehmer einer Direktbank die Umsätze und Kontostände anderer Online-Banking-Teilnehmer (wenn auch nur für kurze Zeit) einsehen – ein datenschutzrechtlicher Super-GAU. Auch die datenschutzrechtliche Compliance eines Fintechs gilt es daher im Vorfeld eines Investment zu analysieren.

Subunternehmer

Es ist keine Seltenheit, dass Fintechs zur Leistungserbringung auf Subunternehmer zurückgreifen müssen. Die Einsatzgebiete von Subunternehmern können dabei sehr vielfältig sein. Denkbar ist beispielsweise der Rückgriff auf einen Hosting- und Serviceprovider bei einem cloudbasierten Fintech-Produkt. Darüber hinaus etablieren sich aber zunehmend auf Fintechs spezialisierte Subunternehmer, welche – ausgestattet mit einer eigenen Banklizenz – über APIs und Schnittstellen back to back nahezu alle bankfachlichen Leistungen erbringen.

Voraussetzung für den Einsatz von Subunternehmern ist jedoch stets, dass die an das Fintech gestellten spezifischen rechtlichen und regulatorischen Anforderungen von dem Subunternehmer erfüllt werden. Abzusichern ist diese Verpflichtung insbesondere durch Verträge, welche die Einhaltung der aufsichtsrechtlichen und gesetzlichen Verpflichtungen durch den Subunternehmer sicherstellen. Darüber hinaus müssen die vertraglichen Vereinbarungen mit den Subunternehmern vor einem Investment daraufhin geprüft werden, ob sie leistungsseitig so ausgestaltet sind, dass die Regelungen zu Leistungsqualität, Skalierbarkeit, Laufzeit, Vergütung, Haftung etc. einer strategischen Weiterentwicklung des Geschäftsmodells nicht im Wege stehen.

Fazit

Investoren sind gut beraten, vor einem Investment eine sorgfältige Risikoanalyse der sich stellenden IT-rechtlichen Fragestellungen vorzunehmen. Umgekehrt ist es für Fintechs mit Blick auf mögliche Exit-Szenarien erforderlich, bereits mit Aufnahme des Geschäftsbetriebs rechtliche Fragestellungen und Compliance-Vorgaben zu beachten, um die eigene Attraktivität für strategische und Finanz-Investoren zu erhöhen.

Zu den Autoren:

Dr. Jörn Heckmann ist Rechtsanwalt bei CMS in Hamburg und Mitglied des Geschäftsbereichs Technology, Media, Communications (TMC). Seine Tätigkeitsschwerpunkte liegen auf der IT-rechtlichen Beratung von Unternehmen und regulierten Industrien (Banken, Versicherungen) bei der Einführung neuer Produkte aus dem Bereich der Informationstechnologie.

Dr. Michael Kraus ist Rechtsanwalt bei CMS Hasche Sigle in Stuttgart und Fachanwalt für IT-Recht. Er ist Mitglied des Geschäftsbereichs Technology, Media, Communications (TMC). Seine Tätigkeitsschwerpunkte liegen in der IT-rechtlichen Beratung von Unternehmen bei der Entwicklung und Umsetzung innovativer Geschäftsmodelle sowie Digitalisierungsprozessen, insbesondere im Bereich der Finanz- und Versicherungswirtschaft.