Sie sind auf Seite 1von 97

12.

Deutscher Fondstag
German Business Community
Deloitte Luxemburg
19. Juni 2019
Agenda

Registrierung / Kaffee

Begrüßung

Das neue UBO Register


Alice Lehnert, Deloitte Luxemburg
Geldwäscheanforderungen an die Immobilienbranche
Thomas Kurth, Deloitte Deutschland
Michael Martin, Deloitte Luxemburg
Aufsichtsrechtliche Anforderungen an die IT von KVGs
Philipp Herrmann, Deloitte Deutschland

Pause

Mark update: 3rd party Mancos


David Berners, Deloitte Luxemburg

Ein Jahr Datenschutzgrundverordnung – Erkenntnisse aus Unternehmens- und Behördenpraxis


Georges Wantz, Deloitte Luxemburg

Steuerupdate inkl. aktuelle Entwicklungen beim Transfer Pricing für das Asset Management
Denis Bossert, Deloitte Luxemburg

Wrap-up

Networking-Lunch / Erfahrungsaustausch

© 2019 Deloitte General Services 2


AML / CFT - Einführung eines Registers der
wirtschaftlichen Eigentümer
Juni 2019
Gesetz vom 13. Januar 2019 -
Umsetzung von Artikel 30 der AMLD4

© 2019 Deloitte General Services 4


Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Gesetzlich anwendbarer Rahmen Rundschreiben 2019

LBR RS 19/01 vom 25. Februar 2019 LBR RS 19/02 vom 28. März 2019
beschreibt das RBE, wie das funktioniert und welche Informationen für die Non-Profit Organisationen (NPOs) und wie sie ihre
wirtschaftlichen Eigentümer in RBE eintragen

RBE
Legislation
GrVO vom 15. Februar 2019
2019 über

• die Eintragungsmodalitäten,
Gesetz 13. Januar 2019 • die Zahlungsmodalitäten im Hinblick auf
die Verwaltungsgebühren und
zur Schaffung eines Registers der
• den Zugang zu den im Register der
wirtschaftlichen Eigentümer (RBE) wirtschaftlichen Eigentümer eingetragenen
Angaben

© 2019 Deloitte General Services 5


Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Article 1
Regulation &
Law 13/01/2019
Definitionen Rundschreiben 2019

Register der wirtschaftlichen Verwalter Gewerbetreibende


Eigentümer (“RBE”) Die wirtschaftliche Interessenvereinigung Personen gemäß Artikel 2 des geänderten
Datenbank, in der die Informationen zu den “Luxembourg Business Registers” (“Groupement Gesetzes vom 12. November 2004
wirtschaftlichen Eigentümern gespeichert d’intérêt économique Luxembourg Business
werden Registers”).

Wirtschaftlicher Eigentümer Nationale Behörde Eingetragener Rechtsträger


(“UBO”) Umfasst: .. die im Handels -und Gesellschaftsregister
Wirtschaftlicher Eigentümer im Sinne der a) Generalstaatsanwalt, die Staatsanwälte und registrierten Rechtsträger (gemäß des
Definition nach Artikel 1 (7) des geänderten die Mitglieder der Staatsanwaltschaften geänderten Gesetzes von 19. Dezember 2002
Gesetzes vom 12. November 2004. b) Untersuchungsrichter zum Handels- und Gesellschaftsregisters sowie
c) Zentralstelle für Geldwäsche- zur Buchführung und zum Jahresabschluss der
Alle natürlichen Personen, die den Rechtsträger Verdachtsanzeigen (FIU) Unternehmen)
in letzter Instanz besitzen oder kontrollieren d) Beamten der Kriminalpolizei
(direkt oder indirekt über einen ausreichenden e) Commission de Surveillance du Secteur
Anteil an Aktien oder Stimmrechten halten) oder Financier (CSSF)
Alle natürlichen Personen, in deren Auftrag ein f) Commissariat aux Assuraces (CAA)
Geschäft abgewickelt oder eine Tätigkeit g) Administration de l’enregistrement, des
ausgeführt wird. domains et de la TVA
h) Administration des douanes et accises
i) Staatlichen Nachrichtendienst (Service de
renseignement de l’Etat)
j) Administration des contributions directes
(ACD)
k) Ministerium für auswärtige und europäische
Angelegenheiten und das
l) Ministerium der Finanzen im Rahmen der
spezifischen Befugnisse hinsichtlich der
Bekämpfung der Geldwäsche und der
Terrorismusfinanzierung
m) Amt für Ausfuhr-, Einfuhr- und Transitkontrolle
© 2019 Deloitte General Services 6
Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Schaffung eines Registers Rundschreiben 2019

Adoption des Luxemburgischen Gesetzes vom 13/01/2019,


das den Artikel 30 der AMLD4 bezüglich Schaffung eines Zweck
Registers der wirtschaftlichen Eigentümer Speicherung und Bereitstellung der Informationen zu den
wirtschaftlichen Eigentümern der eingetragenen
(“RBE”) umsetzt und das bereits AMLD5 Vorschriften
Rechtsträger
berücksichtigt.

Wer ist betroffen?

RBE untersteht dem Justizministerium und wird von der


Interessensgemeinschaft “Luxembourg Business Registers”
(LBR) betrieben
Eingetrage
ne Rechts-
träger Trust
(RCS)

z.B. Handelsgesellschaften, Umsetzung des Artikels 31 AMLD4 Das Gesetz gilt ab 1. März 2019.
Renten-/Pensions- bzgl. Stiftungen ist berücksichtigt Für Rechtsträger, die bereits im RCS eingetragen
fondsvereinigungen, öffentlich- im Gesetz vom 10. August 2018 sind, ist ein Übergangszeitraum bis 31. August 2019
rechtliche Anstalten des Staats, und Gesetzesvorlage 7216B. vorgesehen.
gemeinsame Anlagefonds etc.

© 2019 Deloitte General Services 7


Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Registration und Speicherung der Informationen im RBE Rundschreiben 2019

Wann ?
Die Eintragung der Informationen sowie alle damit
zusammenhängenden Änderungen müssen innerhalb eines
Monats beantragt werden, nachdem der Rechtsträger Kenntnis
erlangt hat (oder erlangen hätte können)

Was ?
Prinzip – Informationen über den Wer ?
wirtschaftlichen Eigentümers müssen
Alle wirtschaftlichen Eigentümer sind
vollständig, präzise und aktuell sein und
betroffen, unabhängig davon ob
entsprechende Nachweise enthalten, z. B.:
Luxemburger Staatsbürger oder nicht.
• Name und Vorname
Die Eintragung der Informationen erfolgt
• Geburtsort und – Datum (Tag, Monat,
über die Website des Verwalters und kann
Jahr)
beantragt werden vom:
• Staatsangehörigkeit und Wohnsitzland
• Eingetragenen Rechtsträger oder seinem
• Privatanschrift oder Geschäftsadresse
Bevollmächtigten,
• Art und Umfang des wirtschaftlichen
• Notar, der die Gründungsurkunde oder
Interesses (der tatsächlich gehaltenen
eine Änderungsurkunde des eingetragenen
Anteile)
Rechtsträgers aufgesetzt hat, oder
• Für Personen, die im nationalen Register
• Wenn ein eingetragener Rechtsträger
natürlicher Personen eingetragen sind
keinen Internetzugang hat, kann die
(RNPP): die ID-Nummer
Eintragung vom Verwalter gemacht
• Für nicht-ansässige Personen, die nicht im
werden (auf Antrag und für Rechnung des
nationalen Register natürlicher Personen
eingetragenen Rechtsträgers)
eingetragen sind: die ausländische ID- Ausnahme
Nummer
Gesellschaften, deren Anteile zum Handel auf
einem geregelten Markt in Luxemburg oder einem
anderen EWR-Vertragsstaat oder einem anderen
Drittland zugelassen sind
© 2019 Deloitte General Services 8
Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Eintragungsmodalitäten Rundschreiben 2019

Wie?

Website des Belege


Verwalters
In bestimmten Fällen

3
• Verbindung zu der LBR müssen zusätzliche
Website (www.lbr.lu) (RBE Unterlagen bereitgestellt
spezifisches Portal), mit werden, z.B. bei

1 •
Hilfe eines LuxTrust
Zertifikats
Identifikation des
Antragstellers für den
Beschränkung des
Zugangs

Rechtsträger, für den er


handelt Entscheidung der LBR
• Zugang zum
Registrierungsprozess
Online-Deklaration • LBR muss innerhalb von 3
Arbeitstagen die Eintragung
• Nachdem der Rechtsträger
in das RBE vornehmen.
ermittelt ist, erhält der
• LBR lehnt unvollständige /

4
Antragsteller online ein
nicht gesetzeskonforme
elektronisches

2
Anträge ab; der
Meldeformular
eingetragene Rechtsträger
• Vorgeschriebene
hat eine Frist von 15
Kommunikationsform
Tagen, die Berichtigung
zwischen dem Verwalter
vorzunehmen
und eingetragenem
• Jede Eintragung ist mit
Rechtsträger (gesicherter
einer ID-Nummer versehen
elektronischer Weg mit
und bestätigt
Versandnachweis)

© 2019 Deloitte General Services 9


Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Zugang zu dem Register der wirtschaftlichen Eigentümer Rundschreiben 2019

Die Öffentlichkeit hat ab dem 1. September 2019 die Möglichkeit, kostenlos online über das Portal des RBE Einsicht in das RBE zu nehmen.

Beschränkung des Zugangs Dauer des beschränkten Zugangs


Der eingetragene Rechtsträger oder der wirtschaftliche Nach Erhalt des Antrags beschränkt LBR den Zugang
Eigentümer können im Einzelfall und unter vorübergehend ausschließlich auf die nationalen
außergewöhnlichen Umständen einen begründeten Behörden bis zur Mitteilung seiner Entscheidung.
Antrag an den Verwalter stellen, den Zugang auf Im Falle einer negativen Entscheidung bleibt der Zugang
• die nationalen Behörden, 1 3 für weitere 15 Tage beschränkt.
Falls ein Rechtsbehelf gegen die Entscheidung
• die Kredit- und Finanzinstitute und
eingereicht wird, wird die Beschränkung solange
• die Gerichtsvollzieher und Notare aufrechterhalten, bis gegen die ablehnende
Beschränkung
Entscheidung kein Rechtsbehelf mehr eingereicht
zu begrenzen. des werden kann.
öffentlichen Eine Beschränkung des Zugangs kann für eine Dauer
von maximal 3 Jahren gewährt werden; Verlängerung
Zugangs ist möglich durch einen erneuten begründeten Antrag.
Der Verwalter veröffentlicht die Informationen zur

Außergewöhnliche Umstände 2 4 Zugangsbeschränkung.

für den beschränkten Zugang liegen vor, wenn der Möglichkeit einer Anfechtung
wirtschaftlichen Eigentümer einem unverhältnismäßigen Jeder Betroffene kann innerhalb von 15 Tagen ab dem
Risiko von Betrug, Entführung, Erpressung, Belästigung, Zeitpunkt der Veröffentlichung einen Rechtsbehelf
Gewalt oder Einschüchterung ausgesetzt werden würde. einlegen.

© 2019 Deloitte General Services 10


Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Bereitstellung, Einholung und Aufbewahrung der Informationen zu den Rundschreiben 2019

wirtschaftlichen Eigentümern

Wirtschaftlicher Jeder wirtschaftlicher Eigentümer eines eingetragenen Rechtsträgers muss dem Rechtsträger alle relevanten und notwendigen
Eigentümer Information über seine Identität bereitstellen, damit dieser seine gesetzlichen Pflichten erfüllen kann.

..müssen die Informationen zu den wirtschaftlichen ..müssen den nationalen Behörden Mit Ausnahme des eingeschränkten
Eigentümern sowie die dazugehören Belege auf einfachen Antrag und innerhalb Zugangs, müssen die eingetragenen
zusammentragen und am Ort ihres Sitzes von drei Tagen ab dem Eingang des Rechtsträger den Gewerbetreibenden
aufbewahren (für 5 Jahre). Antrags die Informationen zu ihrem auf begründeten Antrag und
Bei einer Streichung aus dem Gesellschafts- und wirtschaftlichen und rechtlichen innerhalb von 3 Tagen nach dem
Eingetragener Eigentümer bereitstellen. Eingangs des Antrags die
Handelsregister aufgrund von Auflösung, muss der
Rechtsträger Ort benannt werden, an dem die Informationen für Informationen zu ihrem
eine Dauer von 5 Jahren nach der Streichung wirtschaftlichen und rechtlichen
aufbewahrt werden. Eigentümer bereitstellen (keine
Adressen, keine ID-Nummern).
Die Angabe des Ortes wird im elektronischen Recueil
des sociétés et associations veröffentlicht.

Drittparteien Nationale Behörden Gewerbetreibende

© 2019 Deloitte General Services 11


Gesetz 13. Januar 2019 – Register der wirtschaftlichen Eigentümer Gesetz, Grand Ducal
Regulation &
Strafrechtliche Bestimmungen Rundschreiben 2019

Wirtschaftliche(r)
Eingetragener Rechtsträger
Eigentümer

Nicht alle Angaben


Angaben gegenüber
zu den
Antrag auf Eintragung in das nationalen Behörden Bereitstellung von
wirtschaftlichen
Eintragung in das RBE von unrichtigen, und/oder unvollständigen,
Eigentümern
RBE nicht unvollständigen oder Gewerbetreibenden unrichtigen oder
eingeholt und am
fristgerecht veralteten Angaben wissentlich unrichtig veralteten Angaben
Sitz der Gesellschaft
oder veraltet
aufbewahrt

Sanktionen
Geldstrafe zwischen EUR 1.250 und EUR 1.250.000

© 2019 Deloitte General Services 12


Großherzogliche Verordnung vom 15/02/2019 Gesetz, Grand Ducal
Regulation &
Eintragungsmodalitäten in das RBE Rundschreiben 2019

Eintragungen Büro des Verwalters Erforderlichen Belege

• werden mit dem Genehmigungsdatum und einer • Befindet sich in der Gemeinde Luxemburg • Für natürliche Personen, die nicht im nationalen
individuellen Identifikationsnummer versehen Register natürlicher Personen eingetragen sind
• Kann auch in anderen Gemeinden sein
(RNPP), die amtlichen ID Dokumente (übersetzt in
• Müssen in Französisch, Deutsch oder
• Eingetragene Rechtsträger, denen es faktisch nicht Französisch, Deutsch oder Luxemburgisch – falls
Luxemburgisch erfolgen;
möglich ist, online Eintragungen vorzunehmen, keine lateinischen Schriftzeichen)
• Vollständig und akkurat sein; erhalten in den Büros des Verwalters technische
• ggf. Antrag auf Beschränkung des Zugang
Unterstützung.
• Alphanummerische Zeichen sind zu verwenden
• Sofern zutreffend, ein Dokument, das belegt, dass
die Gesellschaft an der Luxemburgischen Börse
oder an einem vergleichbaren regulierten Markt,
gelistet ist.

© 2019 Deloitte General Services 13


Großherzogliche Verordnung vom 15/02/2019 Gesetz, Grand Ducal
Regulation &
Zugang zu den Angaben Rundschreiben 2019

Auszüge und Nachweise aus dem RBE

Auf Sicherheitspapier oder in Die Anträge auf Ausstellung eines Auszugs oder eines Nachweises sind
elektronischer Form über die Website des Verwalters einzureichen

Wenn keine Informationen über


die angeforderte Entität
Eingeschränkte Informationen werden in den RBE-Auszügen
vorliegen, kann ein Zertifikat
nicht erwähnt.
ausgestellt werden, das diese
Tatsache bestätigt.

Verwaltungsgebühren nach
Anhang A der GrVO:
Handschriftliche oder elektronische Unterschrift des Verwalters
• Sicherheitspapier: 10€
• Elektronische Form: 5€

© 2019 Deloitte General Services 14


Großherzogliche Verordnung vom 15/02/2019 Gesetz, Grand Ducal
Gesetz, GrVO &
Regulation &
Circular 2019
Zahlungsmodalitäten Rundschreiben 2019

Ausstellung Auszug
Genehmigte Eintragung gebührenpflichtig oder Nachweis

Monatliche Zahlung
Einzelne Zahlung (elektronisch / bar) oder wenn regelmäßig hohe Zahl an Anträgen auf Eintragung oder
Ausstellung eines Auszugs/Nachweises

Genehmigung
kann
Verpflichtung des Genehmigun
widerrufen
Antrag beim Antragstellers g enthält
werden wenn
Verwalter zu innerhalb von 30 eine
keine
stellen Tagen zu Referenz-
verspätete
bezahlen nummer
Zahlung (2
Keine Gebühren während der Übergangsfrist bis 31. August 2019 Monate)
(einschl.)

© 2019 Deloitte General Services 15


Wie Deloitte helfen kann

1. ÜBERPRÜFUNG UND ERSTELLUNG VON RICHTLINIEN UND VERFAHREN


• Kritische Überprüfung bestehender Richtlinien und Verfahren im Hinblick auf das regulatorische Eine
Rahmenwerk in Luxemburg
bedürfnisorientierte
• Identifizierung regulatorischer Lücken und Vorschlag einer adäquaten Formulierung unter
Berücksichtigung der in Luxemburg marktüblichen Vorgehensweise und auf Ihre
Fragestellung
2. ANALYSE / BESTIMMUNG VON WIRTSCHAFTLICHEN EIGENTÜMERN zugeschnittene
im Auftrag der eigetragenen Rechtsträger Vorgehensweise, unter
Berücksichtigung der in
3. UNTERSTÜTZUNG WÄHREND DES REGISTRIERUNGSPROZESSES
Luxemburg
marktüblichen
Industriestandards

© 2019 Deloitte General Services 16


Ihre Ansprechpartner

Andreas Meier Lou Kiesch


Partner Partner
+352 45145 2320 +352 45145 2456
ameier@deloitte.lu lkiesch@deloitte.lu

Michael Martin Frank Lichtenthäler


Partner Partner
+352 45145 2449 +352 45145 4387
michamartin@deloitte.lu flichtenthaeler@deloitte.lu

Alice Lehnert Beate Twellmeyer


Direktor Manager
+352 45145 2605 +352 45145 4105
alehnert@deloitte.lu btwellmeyer@deloitte.lu

© 2019 Deloitte General Services 17


Geldwäscheanforderungen an die Fonds- und Immobilienbranche
WP Thomas Kurt, Director – FSI Assurance
Luxemburg, 19. Juni 2019
Agenda

• Rechtsrahmen für Luxemburger Tochterunternehmen von deutschen


Verpflichteten
• Übersicht über die gültige Rechtslage und anstehende Änderungen
• Ausgewählte Besonderheiten für den Fonds- und Immobiliensektor

© 2019 Deloitte General Services 19


Deutsches Recht in Luxemburg: Jurisdictional Link?

§ 9 Abs. 1 S. 2 Nr. 1 GwG § 9 Abs. 1 S. 2 Nr. 3 GwG


Gruppenweit einheitliche Sicherungsmaßnahmen gegen Verfahren für den Informationsaustausch innerhalb
Geldwäsche und Terrorismusfinanzierung (umfasst der Gruppe zur Verhinderung von Geldwäsche und
insbesondere auch den Bereich der Terrorismusfinanzierung
Kundensorgfaltspflichten)

Die deutschen
regulatorischen
Anforderungen gelten im
Ausland nicht unmittelbar,
sondern verpflichten
deutsche Mutterunternehmen
zur gruppenweiten
Anwendung im In- und
Ausland
§ 9 Abs. 2 GwG
§ 9 Abs. 1 S. 2 Nr. 2 GwG Soweit sich gruppenangehörige Unternehmen in einem
Gruppen-Geldwäschebeauftragter mit Zuständigkeit anderen Mitgliedstaat der Europäischen Union befinden,
für die Erstellung einer gruppenweiten Strategie zur haben die Mutterunternehmen sicherzustellen, dass
Verhinderung von Geldwäsche und diese gruppenangehörigen Unternehmen die dort
Terrorismusfinanzierung sowie für die Koordinierung geltenden nationalen Rechtsvorschriften zur
und Überwachung ihrer Umsetzung Umsetzung der Richtlinie (EU) 2015/849 einhalten.

Achtung: Die Verpflichtung zu gruppenweiten Sicherungsmaßnahmen gegen sonstige strafbare Handlungen (§ 25l KWG a.F.) wurde 2017
abgeschafft.

© 2019 Deloitte General Services 20


Der Weg zur 4. und 5. EU-Geldwäscherichtlinie: Wesentliche Meilensteine

Mai
2018
Verabschiedung der
5. EU-Geldwäscherichtlinie
Juli
2016

Mai Vorschlag der EU-Kommission zur


2015 Änderung der 4. EU-Geldwäscherichtlinie

Februar Verabschiedung der


2012 4. EU-Geldwäscherichtlinie

Oktober Überarbeitung der FATF-Empfehlungen


2010

Evaluierung der europaweiten Umsetzung der 3. EU-Geldwäsche-Richtlinie


Oktober durch die EU-Kommission (Deloitte-Studie)
2005

Verabschiedung der
3. EU-Geldwäscherichtlinie

© 2019 Deloitte General Services 21


Reformüberlegungen der EU-Studie versus Empfehlungen der FATF: Überschneidungen
in zentralen Punkten

EU FATF
Stärkere
Vereinheitlichung
innerhalb der EU Strafbarkeit der
Stärkung des Selbstgeldwäsche
risikobasierten
Bessere
Abstimmung mit
Ansatzes
Anforderungen High Risk für
zum Datenschutz ausländische PEPs
(inländische PEPs
Höhere risikobasiert)
Erweiterung der Transparenz in
Möglichkeit, sich auf
Bezug auf
Kundenidentifizierung
durch Dritte zu wirtschaftlich Einstufung von
verlassen Berechtigte Steuerstraftaten als
Vortat zur
Geldwäsche
Stärkung der
Rolle der FIU

© 2019 Deloitte General Services 22


Überblick über die seit 2017 gültige Rechtslage

GwG-Novellierung aus Juni 2017 Auslegungs- und Anwendungshinweise der BaFin aus
(Umsetzung der 4. EU-Geldwäscherichtlinie) Dezember 2018

• Abschaffung von Vorgaben zur standardisierten • Reduzierung der Anzahl der fiktiven wirtschaftlich
Risikoeinstufung von Kunden (mit wenigen Ausnahmen im Berechtigten im Regelfall auf einen
Bereich der verstärkten Sorgfaltspflichten, z.B. bei politisch
exponierten Personen) • Verdachtsmeldewesen: Klarstellung, dass den
=> weitgehend kundenindividuelle Risikobetrachtung Verpflichteten im Falle von Auffälligkeiten keine eigenen
Ermittlungen obliegen; Meldepflicht wird bereits ausgelöst,
• Einführung des sog. „fiktiven wirtschaftlich Berechtigten“ (z.B.
wenn „nach allgemeinen Erfahrungen“ ein Verdacht
Organmitglieder einer juristischen Person), falls tatsächlicher Neues vorliegt (d.h. „Gewissheit“ nicht erforderlich)
WB nicht ermittelt werden kann Recht
• Einrichtung nationaler Transparenzregister (allerdings: • Beschäftigung der Internen Revision mit der
Einsichtnahme durch Institute derzeit noch nicht verpflichtend) Geldwäscheprävention: jährlich erforderlich, ggf. in Teilen
(war im Entwurf widersprüchlich formuliert)
• Verdachtsmeldewesen: Meldepflicht nur noch gegenüber der
FIU bei gleichzeitiger Einführung eines verpflichtenden • Subauslagerungen: grundsätzlich zulässig (unter
elektronischen Meldeweges (Portal „goAML“) bestimmten Voraussetzungen an die vertragliche
Ausgestaltung)
• Ausweiskopien: Das Lichtbild sowie sämtliche Angaben
müssen gut lesbar sein

© 2019 Deloitte General Services 23


Überblick über anstehende Änderungen

5. EU-Geldwäscherichtlinie (Umsetzung in nationales Entwurf eines BaFin-Rundschreibens (Konsultation


Recht bis Januar 2020) 17/2018) zu Sorgfaltspflichten im Zusammenhang mit
virtuellen Währungen

• Verpflichtende Recherche im Transparenzregister im


Neukundenprozess (bisher: freiwillig) • Erfordernis zusätzlicher risikobasierter Sorgfaltspflichten
bei Zahlungseingängen, die aus dem Tausch virtueller
• Verbesserte Zusammenarbeit der Aufsichts-, Ermittlungs- und
Währungen resultieren (z.B. Einfordern von Angaben zur
Meldestellen innerhalb der EU
Herkunft der Beträge und zum Verkäufer)
• Stärkere Berücksichtigung virtueller Währungen bei der
Geldwäscheprävention • Der Risikograd hängt auch davon
ab, ob ein vorheriger Tausch virtueller Währungen über
• Nicht aufgegriffen: Forderung nach Ausblick eine regulierte Tauschbörse erfolgt ist oder nicht
Rückkehr zum risikobasierten Ansatz für alle PEPs oder
zumindest für inländische PEPs • In Deutschland ansässige Tauschbörsen unterliegen
(vgl. Wolfsberg Group, PEP Guidance 2017) bereits jetzt geldwäscherechtlichen Pflichten, da es sich
um Geschäfte gemäß KWG oder ZAG handelt
• Die Inanspruchnahme sog. „Tumbler“- oder „Mixer-
Services“ ist als risikoerhöhender Faktor zu
berücksichtigen (Entgegennahme von Überweisungen
virtueller Währungsbeträge, deren Sammlung und
anschließende zeitversetzte oder gestückelte
Wiederauszahlung)

© 2019 Deloitte General Services 24


Ausgewählte Bestimmungen für Fonds

• Verpflichtete gemäß § 2 Abs. 1 Nr. 9 GwG sind u.a.:

- Kapitalverwaltungsgesellschaften im Sinne des § 17 Abs. 1 KAGB

- ausländische AIF-Verwaltungsgesellschaften, für die die Bundesrepublik Deutschland


Referenzmitgliedstaat ist und die der Aufsicht der BaFin unterliegen

• Auch Verwahrung von Kryptowerten durch Fonds löst geldwäscherechtliche Pflichten aus

• Geldwäscherechtliche Kundensorgfaltspflichten bestehen nur gegenüber Anlegern

• AuA 2018, Abschnitt 4.1: Nicht zu Geschäftsbeziehungen im Sinne des GwG zählen solche
zu…

- Mietern einer Immobilie aus einem Immobilienfonds

- Vertragspartnern von Immobilientransaktionen

- Dienstleistern im Zusammenhang mit der Verwaltung von Investmentvermögen

© 2019 Deloitte General Services 25


Ausgewählte Bestimmungen für den Immobiliensektor

• Geldwäscherechtlich Verpflichtete:

- Immobilienmakler (§ 2 Abs. 1 Nr. 14 GwG)

- Rechtsanwälte, soweit sie für ihre Mandanten an der Planung oder Durchführung des Kaufs oder Verkaufs von Immobilien mitwirken (§ 2
Abs. 1 Nr. 10 Buchstabe a GwG) oder die im Namen und auf Rechnung des Mandanten Immobilientransaktionen durchführen (§ 2 Abs. 1 Nr.
10 Buchstabe b GwG); analog gilt dies für Rechtsbeistände, die nicht Mitglied einer Rechtsanwaltskammer sind (§ 2 Abs. 1 Nr. 11 GwG)

• Immobilientransaktionen lösen geldwäscherechtliche Sorgfaltspflichten aus, u.a.:

- Identifizierung der Vertragspartner bereits bei ernsthaftem Interesse an der Durchführung des Immobilienkaufvertrages
(§ 11 Abs. 2 GwG). Zu beachten: Der Kreis der zu identifizierenden Personen umfasst über den eigenen Vertragspartner hinaus alle
Vertragsparteien einer Immobilientransaktion (einschließlich deren wirtschaftlich Berechtigte)

- Pflichten werden nicht nur bei direkter Übertragung dinglicher Rechte, sondern auch in Fällen des Immobilienerwerbs über die Veräußerung
von Gesellschaftsanteilen ausgelöst (Klarstellung im RefE vom 20. Mai 2019)

- Im Verdachtsfall Pflicht zur Erstattung einer Verdachtsmeldung (§ 43 Abs. 1 Nr. 1 GwG)

• Ausblick (RefE vom 20. Mai 2019 zur Umsetzung der 5. EU-GW-RL):

- Auch gewerbliche Vermittlung des Abschlusses von Pacht- oder Mietverträgen über Grundstücke, grundstücksgleiche Rechte, gewerbliche
Räume oder Wohnräume wird geldwäscherelevant (=> Erweiterung des Pflichtenkreises auf Mietmakler)

- Geldwäscherechtliche Pflichten werden auf Zwangsversteigerungen ausgeweitet (persönlich Verpflichteter: das die Versteigerung
durchführende Gericht)

© 2019 Deloitte General Services 26


Vielen Dank!

Deloitte GmbH
Wirtschaftsprüfungsgesellschaft
Kurfürstendamm 23
Thomas Kurth 10719 Berlin
Wirtschaftsprüfer Germany
Director
Tel: +49 (0)30 25468 377
Mobile: +49 (0)151 58001 377
Email: tkurth@deloitte.de
www.deloitte.com/de

© 2019 Deloitte General Services 27


Geldwäschebekämpfung: Spezifikationen der luxemburgischen Gesetzgebung
Michael JJ Martin, Partner - Forensic & Restructuring
Juni 2019
Agenda

• Rechtsrahmen in Luxemburg

• Anwendungsbereich des luxemburgischen Gesetz zur Bekämpfung von


Geldwäsche & Terrorismusfinanzierung im Fondbereich

• Übersicht der Pflichten aus dem Gesetz vom 12. November 2004 (Stand 10
August 2018)

• CSSF 18/698 Nr. 309 und der Einfluss auf die Investmentfondsbranche

© 2019 Deloitte General Services 29


Rechtliche & Regulatorische Rahmenbedingungen in Luxemburg

EU-RICHTILINIEN
EU Directives

GESETZE
Laws

VERORDNUNGEN
• Gesetz vom 13/01/2019
– Register über
Richtlinie 2015/849 vom 20. wirtschaftliche Eigentümer CSSF
Mai 2015 (4. GW-Richtlinie); in • Gesetz vom 10/08/2018
Kraft seit Juni 2017 RUNDSCHREIBEN
– Informationserlangung • CSSF Verordnung 12-02
Anmerkung: und -sicherung eines vom 14/12/2012
Richtlinie 2018/843 vom 30. Treuhänders • Großherzogliche • 19/711 – FATF Statement
Mai 2018 (5. GW-Richtlinie) ist • Gesetz vom 27/10/2010 Verordnung 01/02/2010 - • 18/702 – Privatkundengeschäft
bis zum 10. Januar 2020 in – weitere Ergänzungen zur über die Präzisierung • 18/698 – Nähere
einzelstaatliches Recht zu Verstärkung des ges. verschiedener Bestimmungen Bestimmungen für IFM und
überführen Rahmens zur Bekämpfung zum Gesetz vom 12. Registerstellen
von Geldwäsche und November 2004 • 18/680 – Leitlinien für d.
Terrorismusfinanzierung • Ministerialverordnung zu Zahlungsverkehr
• Gesetz vom 12/11/2004 sanktionierten natürlichen • 17/661 - Leitlinien über
zuletzt geändert am 10. oder juristischen Personen Risikofaktoren
August 2018 (GW-Gesetz) bzw. Gruppen (EU+UN) • 17/650 – Steuerdelikte
• 15/609 - Steuerdelikte
• 11/519 & 11/529 - RBA
• 11/528 – SAR/STR

© 2019 Deloitte General Services 30


Anwendungsbereich - Fondbezogen

Art. 2 (1) Nr. 4 GW-Gesetz


Organismen für gemeinsame Anlagen und
Wagniskapitalgesellschaften die ihre Anteile, Titel oder
Kommanditanteile vertreiben (OGAW, Spezialfonds,
Wagniskapitalgesellschaften/SICAR

Art. 2 (1) Nr. 3 & 6 GW-Gesetz Art. 2 (1) Nr. 6quinquies


Pensionsfonds, die der Beaufsichtigung Die luxemburgischen Verwalter alternativer Investmentfonds,
des Versicherungskommissariats oder
CSSF unterliegen
Regelungen hinsichtlich die Anteile, Titel oder Kommanditanteile
der Bekämpfung von eines AIF vertreiben oder zusätzliche
bzw. Nebentätigkeiten i.S.d. Art. 5 Abs.
Geldwäsche und 4 des Gesetzes über AIF, ausüben
Terrorismusfinanzierung
erstreckt sich unter
anderem auf folgende für
den Fondbereich relevante
Stakeholder

Art. 2 (1) Nr. 5 GW-Gesetz


Verwaltungsgesellschaften, die Anteile, Titel
oder Kommanditanteile von OGAW Art. 2 (1) Nr. 6bis
vertreiben oder bestimmte (ges. definierte) Verwalter/Berater von OGAW, SICAR
Hilfstätigkeiten ausüben und Pensionsfonds

Die im luxemburgischen GW-Gesetzt definierten Pflichten gelten sowohl für eigenständige Investmentgesellschaften als
auch Verwaltungsgesellschaften.

© 2019 Deloitte General Services 31


Übersicht der Pflichten aus dem GW-Gesetz
Fondgesellschaften

ADEQUATE SORGFALTSPFLICHT ÜBERWACHUNG VON ZUSAMMENARBEIT


INTERNE GEGENÜBER GESCHÄFTS- MIT DEN
ORGANISATION KUNDEN BEZIEHUNGEN BEHÖRDEN

• Ernennung eines Compliance- • Risikobewertung • Durchleuchtung von Namen • Eigeninitiative:


/Geldwäscheverantwortlichen • Risikobasierte Anwendung d. (Screening) Kontaktaufnahmen mit der
auf Leitungsebene einer Sorgfaltspflichten • Transaktionsüberwachung luxemburgischen FIU bei
Fondgesellschaft + (KYT) vorliegendem Verdacht
Verwaltungsgesellschaft • Einsatz von Kundenfragebögen
• Dokumentation und • Anfragen von Behörden zeitnah
• Personalschulung • Identifizierung & Überprüfung beantworten
Kundenidentität, potentieller Aufbewahrung von allen
• Definition d. Risikoappetits Nachweisen durchgeführter • Etc.
wirtschaftlicher Eigentümer,
Kontrollmaßnahmen, etc.
• Prozeduren (z.B. etc.
Kundenannahme- und • Feststellung der Eigentums- • Durchgehende Risikobewertung
Beendigung, Datenschutz, und Kontrollstruktur • Etc.
Risikoländer,
Eskalationsverfahren etc.) • Feststellung des Zwecks d.
Geschäftsbeziehung
• Etc.
• Berücksichtigung steuerlicher
Aspekte
• Etc.

© 2019 Deloitte General Services 32


Sonderbestimmungen zur Verhinderung von GW und TF für IFM & Transferstellen
CSSF Rundschreiben 18/698 (Substanzrundschreiben)

Beinhaltet neue Anforderungen in Bezug auf…


• Beteiligungsstruktur, IFM i.S.d. 18/698
• Eigenmittelanforderungen,
• Leitungsorgane,
• Regelungen über Hauptverwaltung und interne Unternehmenssteuerung,
• Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung, Verwaltungs-
• Due Diligence und gesellschaften
• Laufende Überwachung von übertragenden Funktionen eines IFM.

Investment-
gesellschaften

• Eröffnet weitere Pflichten für einen IFM auf der Vermögensseite, insbesondere in Bezug auf weitererreichende Verwalter AIF
Sorgfaltspflichten (z.B. Screening d. Zielanlage/ Personen der Führungsebenen/ Vertreter d. Zielanlage, Überprüfung d.
Eigentums- und Kontrollstruktur d. Zielanlage, Vorgeschichte d. Zielanlage, evtl. andere Großinvestoren/ indirekte
Mittelherkunft, etc.). Intern verwalteten
• Der Reichweite der Sorgfaltspflichten ist genau zu definieren. Insbesondere bei Dachfonds Strukturen, durchzuführende AIF
Sorgfaltspflichten ex-ante und ex-post, Regelungen hinsichtlich Mitinvestoren, etc.
• Die risikobasierte Anwendung der Sorgfaltspflichten in Bezug auf die Vermögensseite (z.B. Vermögenswerte eines AIF/
Vermögenswerte eines Fonds, welche nicht an der Börse oder Markt notiert und gehandelt werden bzw. Vermögenswerte die Nr. 309
an Börsen notiert sind, welche keine äquivalenten Regelungen wie die europäischen Börsen aufweisen)
• Mögliche Gestaltung einer Auslagerung dieser Sorgfaltspflichten an Dritte (z.B. Portfoliomanager), wobei die Verantwortung
beim IFM verbleibt. Kontinuierliche Überwachung um Sicherzustellen, dass der Dritte den ausgelagerten Sorgfaltspflichten
nachkommt (turnusgemäß/anlassbezogen). Delegierten Pflichten sind klar zu definieren und notwendige Kontrollen im Vorfeld
darzulegen (z.B. regelmäßige oder ad-hoc/anlassbezogene Berichterstattung, on-site-visit, Review, etc.).

Noch keine Leitlinien oder Empfehlungen vom Regulator veröffentlicht.

© 2019 Deloitte General Services 33


KAIT
Kapitalverwaltungsaufsichtliche Anforderungen an die IT Konsultation 07/2019
Deloitte GmbH
Inhalt

Überblick ………………………………………………………………………………………………………………………………………..3

Auswirkungsanalyse ……………………………………………………………………………………………………………….……..9

Anforderungen im Detail ………………………………………………………………………………………………………………12

© 2019 Deloitte General Services 35


Überblick

© 2019 Deloitte General Services 36


Überblick
Digitalisierung birgt neue Risiken

Attraktives Angriffsziel
Größere digitale
Angriffsflächen • Immer häufiger gezielte Angriffe

• Digitalisierungsstrategien werden
umgesetzt
• Steigende Vernetzung, steigende
Abhängigkeiten (insbesondere von
Dienstleistern)

Im Fokus der Aufsicht


Vermehrt hochentwickelte • BaFin: IT-Governance und
Angriffe Informationssicherheit haben
hohen Stellenwert
• Werkzeuge für Angriffe werden
immer leichter verfügbarer • Bundesbank: Cybersecurity Mana-
gement ist prioritäres
• Staatliche Akteure sind im
Prüfungsthema
Cyberraum sehr aktiv
• EZB: Cyberrisiken sind Thema
besonderer Aufmerksamkeit

© 2019 Deloitte General Services 37


Überblick
Ursachen für Sicherheitsvorfälle

Ursachen der mittelschweren und • Mängel im Bereich der


schwerwiegenden Vorfälle „Cyberhygiene“ als eine
wesentliche Ursache
Hardwarestörung
• Steigende Anzahl von Vorfällen,
Konfigurationsfehler die durch Cyberangriffe
verursacht werden
Fehler durch
Changes / Tests
Softwarestörung

Angriff

fehlerhafter IT-Betrieb

hohe Systemauslastung

Mitarbeiterfehler

0% 5% 10% 15% 20% 25% 30%

mittelschwer schwerwiegend

© 2019 Deloitte General Services 38


Überblick
Aufsicht reagiert auf die geänderte Risikolage im IT-Bereich

Veröffentlichung Wegfall Veröffentlichung Veröffentlichung Veröffentlichung Veröffentlichung


MaRisk Institutseigenschaft InvMaRisk KAMaRisk KAITK KAIT

12/05 12/07 06/10 01/17 04/19 ?/19

• Die Konsultationsphase endete am 15. Mai 2019


• Veröffentlichung der KAIT im Juli erwartet
• Derzeit sind keine Übergangsfristen vorgesehen (Inkrafttreten mit Veröffentlichung)

© 2019 Deloitte General Services 39


Überblick
Entwurf des Rundschreibens Kapitalverwaltungsaufsichtliche Anforderungen an die IT

• Der Entwurf des Rundschreibens wurde zur Konsultation gestellt


• Der Entwurf interpretiert die gesetzlichen Anforderungen der §§ 28, 29, 30 und 36 Kapitalanlagegesetzbuch (KAGB) sowie der §§ 4 bis 6
KAVerOV
• Die Anforderungen der Artikel 38 bis 66 sowie der Artikel 75 bis 82 der AIFM Level 2-VO gelten unmittelbar. Der Entwurf der KAIT stellt somit
eine Konkretisierung dar
• Das Rundschreiben soll anwendbar auf KVGen im Sinne des § 17 KAGB sein, soweit diese über eine Erlaubnis nach § 20 Abs. 1 KAGB verfügen
• Die prinzipienorientierten Anforderungen des Entwurfs sollen die Umsetzung des Proportionalitätsprinzips ermöglichen

Die Aufsicht erläutert in der Konsultationsfassung, was sie unter einer angemessenen technisch-organisatorischen
Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit,
versteht

© 2019 Deloitte General Services 40


Überblick
Acht Schwerpunktthemen

IT-Strategie Benutzerberechtigungsmanagement

IT-Governance IT-Projekte, Anwendungsentwicklung

KAIT

Informationsrisikomanagement IT-Betrieb

Informationssicherheitsmanagement Auslagerungen, sonstiger Fremdbezug

© 2019 Deloitte General Services 41


Auswirkungsanalyse

© 2019 Deloitte General Services 42


Auswirkungsanalyse
Besondere Herausforderungen und Diskussionspunkte

KAIT
GOVERNANCE

3| Festlegung des Informationsverbunds

1| IT-Strategie
2| IT-Governance 4| Funktion des
Informationssicherheitsbeauftragten

6| Änderungen von Dritten,


3| Informations- 4| Informations-
Überprüfung des Quellcodes
STEUERUNG

risikomanagement sicherheitsmanagement

8| Auslagerung und sonstiger Fremdbezug von


IT-Dienstleistungen 7| Aufbau eines
Konfigurationsmanagements
(CMDB)

8| Abgrenzung sonstiger Fremdbezug


OPERATIV

5| Benutzer- 6| IT-Projekte und 7| IT-Betrieb (inkl.


berechtigungs- Anwendungs- Datensicherung) von IT-Dienstleistungen
management entwicklung

© 2019 Deloitte General Services 43


Auswirkungsanalyse
Konkretisierung der KAMaRisk

KAIT Auswirk 4.2 4.3 4.5 4.9 6. 8.1 8.2 10.


ung Strategien Internes Funktions- Bericht- Organisations- Elektronische Notfallkonzept Outsourcing
Kontroll trennung erstattung richtlinien Datenver-
system arbeitung

IT-Strategie

IT-Governance

Informationsrisiko-
management

Informationssicherhe
its-management

Benutzerberechtigun
gs-management

IT-Projekte,
Anwendungsentwickl
ung

IT-Betrieb

Auslagerungen,
sonstiger
Fremdbezug

Niedrig Mittel Hoch


© 2019 Deloitte General Services 44
Anforderungen im Detail

© 2019 Deloitte General Services 45


Anforderungen im Detail
IT-Strategie/ IT-Governance

Vorgaben KAITK – Vorgaben KAITK –


IT-Strategie IT-Governance

• Die Geschäftsleitung hat eine mit der • Auf Basis der IT-Strategie sind Regelungen zur IT-
Geschäftsstrategie konsistente IT-Strategie Aufbau- und IT-Ablauforganisation festzulegen. Das
festzulegen, zu überprüfen und regelmäßig anzupassen gilt auch bezüglich der Schnittstellen zu
Verwahrstellen und wichtigen
• Für die IT-Strategie wurden ebenfalls Mindestinhalte, Auslagerungsunternehmen
wie bspw. Aussagen zur strategischen Entwicklung der IT-
Aufbau- und IT-Ablauforganisation der KVG sowie der • Quantitativ und qualitativ angemessene
Auslagerungen von IT-Dienstleistungen, festgelegt Personalausstattung
• Interessenkonflikte und unvereinbare Tätigkeiten sind
• Die in der IT-Strategie niedergelegten Ziele sind so zu
zu vermeiden
formulieren, dass eine sinnvolle Überprüfung der
Zielerreichung möglich ist • Angemessene quantitative oder qualitative Kriterien
zur Steuerung sind festzulegen und deren Einhaltung ist
zu überwachen
• Für IT-Risiken sind angemessene Überwachungs- und
Steuerungsprozesse einzurichten
• Es sind geeignete Notfallmaßnahmen zu
implementieren

© 2019 Deloitte General Services 46


Anforderungen im Detail
Informationsrisikomanagement/ Informationssicherheitsmanagement

Vorgaben KAITK - Vorgaben KAITK -


Informationsrisikomanagement Informationssicherheitsmanagement
• Identifikations-, Bewertungs-, Überwachungs- und • Beschluss einer Informationssicherheitsleitlinie sowie
Steuerungsprozesse sind einzurichten konkretisierenden Informationssicherheitsrichtlinien
und Informationssicherheitsprozessen
• Erstellung eines Überblicks über die Bestandteile des
festgelegten Informationsverbunds • Die Funktion des
Informationssicherheitsbeauftragten ist einzurichten,
• Nachvollziehbare Methodik zur Ermittlung des organisatorisch und prozessual unabhängig
Schutzbedarfs (insbesondere im Hinblick auf die auszugestalten sowie grundsätzlich im eigenen Haus
Schutzziele) vorzuhalten (Ausnahmen!)
• Festlegung der Anforderungen zur Umsetzung der • Analyse der Auswirkungen von
Schutzziele (Sollmaßnahmenkatalog) Informationssicherheitsvorfällen sowie Veranlassung
• Risikoanalyse; Überführung in den Prozess es OpRisk- von angemessenen Nachsorgemaßnahmen
Managements sowie vierteljährliche Berichterstattung • Vierteljährliche Berichterstattung

© 2019 Deloitte General Services 47


Anforderungen im Detail
Informationsrisikomanagement/ Informationssicherheitsmanagement - DeepDive

Geschäfts- Geschäftsprozess I Geschäftsprozess II Geschäftsprozess III


prozesse

Primärwerte i i i i IT-Asset
(Information)

Sekundärwert
(IT-Asset) i Informationswerte

Sekundärwerte Primärwerte Informationssegmente

Applikation Personalstammdaten
Sensible personen-
bezogene Daten
Gehälter & Boni
Datenbank Bankaufsichts-rechtliche
Daten
Finanzdaten

Betriebssystem Kreditakte
Kundenstammdaten
Vorstandsinformation
Hardware Kundenbonität

© 2019 Deloitte General Services 48


Anforderungen im Detail
Benutzerberechtigungsmanagement

Vorgaben KAITK
• Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen konsistent zum ermittelten
Schutzbedarf sowie vollständig und nachvollziehbar fest (Need-to-know-Prinzip, Wahrung der Funktionstrennung)
• Inventarisierung und Zuordnung von nicht personaliserten Berechtigungen und technischen Benutzern
• Einhaltung der Vorgaben des Berechtigungskonzepts durch entsprechende Verfahren zur Einrichtung, Änderung,
Deaktivierung oder Löschung von Berechtigungen; regelmäßige Überprüfung von Berechtigungen (Rezertifizierung); die
Aktivitäten sind nachvollziehbar und auswertbar zu dokumentieren
• Nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen sind Prozesse zur Protokollierung und Überwachung
einzurichten
• Durch begleitende technisch-organisatorische Maßnahmen ist einer Umgehung der Vorgaben der Berechtigungskonzepte
vorzubeugen

© 2019 Deloitte General Services 49


Anforderungen im Detail
IT-Projekte, Anwendungsentwicklung (inkl. IDV)

Vorgaben KAITK
• Die organisatorischen Grundlagen von IT-Projekten und die Kriterien für deren Anwendung sind zu regeln
• IT-Projekte sind angemessen zu steuern. Entsprechende Vorgehensmodelle sind festzulegen. Die Einhaltung dieser ist zu
überwachen
• Das Portfolio der IT-Projekte ist angemessen zu überwachen und zu steuern
• Regelmäßige Berichterstattung in Bezug auf wesentliche IT-Projekte/ IT-Projektrisiken. Berücksichtigung im
Risikomanagement
• IT-Systeme sind vor ihrer Übernahme in den produktiven Betrieb zu testen und abzunehmen. Produktions- und
Testumgebung sind dabei grundsätzlich voneinander zu trennen.
• Für die Anwendungsentwicklung sind angemessene Prozesse festzulegen
• Erhebung, Bewertung und Dokumentation von funktionalen und nichtfunktionalen Anforderungen
• Nach Maßgabe des Schutzbedarfs sind angemessene Vorkehrungen im Hinblick darauf zu treffen, dass nach Produktivsetzung
der Anwendung die Schutzziele sichergestellt werden
• Es sind Vorkehrungen hinsichtlich einer versehentlich Änderung oder einer absichtlichen Manipulation zu treffen (bspw.
durch eine Überprüfung des Quellcodes)
• Nachvollziehbare Dokumentation von Anwendungen
• Ein angemessenes Verfahren für die Kategorisierung (Schutzbedarfsklasse) und den Umgang mit IDV ist festzulegen

© 2019 Deloitte General Services 50


Anforderungen im Detail
IT-Betrieb

Vorgaben KAITK
• Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind in geeigneter Weise zu verwalten (CMDB)
• Das Portfolio aus IT-Systemen ist angemessen zu steuern. Hierbei werden auch die Risiken aus veralteten IT-Systemen
berücksichtigt (Lebens-Zyklus Management)
• Die Prozesse zur Änderung von IT-Systemen sind abhängig von Art, Umfang, Komplexität und Risikogehalt auszugestalten
und umzusetzen
• Ungeplante Abweichungen vom Regelbetrieb (Störungen) und deren Ursachen sind in geeigneter Weise zu erfassen, zu
bewerten, insbesondere hinsichtlich möglicherweise resultierender Risiken zu priorisieren und entsprechend zu eskalieren
• Vorgaben für die Verfahren zur Datensicherung (ohne die langfristige Datenarchivierung) sind schriftlich in einem
Datensicherungskonzept zu regeln

© 2019 Deloitte General Services 51


Anforderungen im Detail
Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Vorgaben KAITK
• Auslagerung vs. sonstiger Fremdbezug von IT-Dienstleistungen
• Vorab ist für jeden sonstigen Fremdbezug von IT-Dienstleistungen eine Risikobewertung durchzuführen
• Der sonstige Fremdbezug von IT-Dienstleistungen ist unter Berücksichtigung der Risikobewertung zu steuern. Die Erbringung
der geschuldeten Leistung ist zu überwachen
• Die aus der Risikobewertung abgeleiteten Maßnahmen sind angemessen in der Vertragsgestaltung zu berücksichtigen
• Die Ergebnisse der Risikobewertung sind in im Managementprozess des operationellen Risikos zu berücksichtigen
• Die Risikobewertungen sind regelmäßig und anlassbezogen zu überprüfen und ggf. inkl. der Vertragsinhalte anzupassen

© 2019 Deloitte General Services 52


Anforderungen im Detail
Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen - DeepDive

Auslagerungen Sonstiger Fremdbezug von IT-Dienstleistungen

In der Regel als Auslagerung von IT-Dienstleistungen zu bewerten • Der isolierte Bezug von handelsüblicher Standard-Software,
sind: d.h. von Software ohne unternehmensspezifische Anpassungen,
• die Anpassung der Software an die Erfordernisse der KVG (einschließlich automatischer Updates und Patches) und die auf
(Parametrisierung bzw. Customising), diese bezogene Inanspruchnahme von Software-Anbietern für Ad-
Hoc-Hilfe beim Betrieb dieser Systeme
• die entwicklungstechnische Erstellung von Programmen oder
Programmteilen und die Umsetzung von Änderungswünschen • Die Personalgestellung zu Gunsten der KVG ist in der Regel als
(Programmierung), sonstiger Fremdbezug einzustufen, wenn die Tätigkeit auf den
Systemen der KVG und nach deren Weisung und unter ihrer
• das Testen, die Freigabe und die Implementierung der Software in Kontrolle erfolgt
die Produktionsprozesse beim erstmaligen Einsatz und bei
wesentlichen Veränderungen, insbesondere von
programmtechnischen Vorgaben,
• Fehlerbehebungen gemäß der Anforderungs-/Fehlerbeschreibung
des Auftraggebers oder Herstellers,
• sonstige Unterstützungsleistungen (wie z.B. der Betrieb und die
Wartung von IT-Systemen durch Dritte),
sofern diese längerfristig angelegt sind oder erhebliche oder
kritische Auswirkungen auf die Portfolioverwaltung, das
Risikomanagement oder sonstige geschäftskritische Prozesse
haben oder haben können.

© 2019 Deloitte General Services 53


Ihre Ansprechpartner zur KAIT bei Deloitte

Deloitte GmbH Deloitte GmbH


Wirtschaftsprüfungsgesellschaft Wirtschaftsprüfungsgesellschaft
Franklinstraße 50 Rosenheimer Platz 4
Nico Hass 60486 Frankfurt am Main Philipp Herrmann 81669 München
Senior Manager Germany Senior Manager Germany
Risk Advisory Risk Advisory
Tel: +49 (0)69 75695 6461 Tel: +49 (0)89 29036 8095
Mobile: +49 (0)151 5800 5318 Mobile: +49 (0)151 5800 5405
Email: nhass@deloitte.de Email: pherrmann@deloitte.de
www.deloitte.com/de www.deloitte.com/de

© 2019 Deloitte General Services 54


Deloittes Ausblick auf den Markt der Third Party ManCos
19. Juni 2019
Agenda

1 Luxemburgs Verwaltungsgesellschafts-Industrie im Überblick

2 Markttrends für Verwaltungsgesellschaften

3 Appendix

© 2019 Deloitte General Services 56


Luxemburg bleibt die führende Asset-Management-Drehscheibe in Europa für OGAW
und alternative Produkte
Der europäische Fondsmarkt wächst seit Ende 2013 um +9% p.a., getragen von einem starken Wachstum in Luxemburg, Irland und
Deutschland, welche zusammen mehr als die Hälfte der europäischen AuM ausmachen

Top-Domizile der weltweiten AuM, in Billionen € (Q4 2018)(1) Top-Domizile europäischer AuM, in Billionen € (Q4 2018)(1)

Andere Luxemburg
+9% +11% 3,0
(20,1%)
Europa 4,1
(27,4%) +9%
14,8
+11%* (33,6%)

USA 20,2
(46,0%) 1,5
UK
(10,3%)
+6%

2,4
1,8
(16,3%)
+4% (12,2%)
Irland
9,0 Frankreich
(20,4%) +14%* 2,0 +13%
Andere Domizile (13,7%)
+X% CAGR 2013-2018 des
Anlagevermögens Deutschland

+8%
Hinweis: Gesamtnettovermögen inklusive
Dachfonds, * exklusive Dachfonds
Quellen: (1) EFAMA-Berichte Q4/2013-Q4/2018, Luxemburg hat den größten Marktanteil an in Europa ansässigen Fonds
Deloitte-Analyse

© 2019 Deloitte General Services 57


Das Wachstum der AuM von Third Party ManCos lag zwischen 2014 und 2018 jährlich
bei 8% und somit genauso hoch wie bei Inhouse KVGs

Third Party ManCos repräsentieren 9% des Marktes in 2018 .... mit einer gleichmäßigen Produktaufteilung

AuM-Verteilung der Inhouse und Third Party ManCos in Luxemburg, in Bio. € (1) Aufteilung der AuM der Third Party ManCos je nach Fondstyp (1)

Drittanbieter +8% Inhouse +8% AIF +10% OGAW +6%

+8% +8%
4.234 4.216 552
3.769 552 400
3.551
366 30%
3.149 291
400
298 366
298 291 45%
36%
3.682 3.816 42% 38%
3.260 3.403
2.851 70%

64% 55%
58% 62%

2014 2015 2016 2017 2018 2014 2015 2016 2017 2018
Markt-
9% 8% 10% 13% 9%
anteil

Quelle: (1) Monterey-Datenbank 2014-2018


X% 2014-2018 CAGR

© 2019 Deloitte General Services 58


Die größten 15 Third Party ManCos verwalten im Schnitt 40 Fonds. Dabei sind AIF
durchschnittlich um mehr als 30% größer als OGAW

Proprietäre Player verwalten im Durchschnitt mehr Fonds mit ....wobei reine Player im Durchschnitt immer noch höhere
größeren AIFs, aber kleineren OGAW als reine Player Wachstumsraten und höhere Assets under Management aufweisen

(1) Durchschnittliches AuM pro Akteurstyp für die Top 14* Third Party ManCos in
Anzahl der von den Top 15 Third Party ManCos verwalteten Fonds, 2017
2017 (Mrd. €) (1)
# verwalteter Durchschnittliche
Reine Proprietäre Fonds Reine Player +26%
Fondsgröße (Mio. €)
Player Player 21 Proprietäre Player +19%
AIF OGAW 20,2
IPConcept 101 395 125 20

Hauck & Aufhäuser Fund Services 77 622 42 19


Degroof Petercam Asset Services 59 170 586
18
377 632 17,2 17,3
Lemanik Asset Management 49
17
Fundpartner Solutions (Europe) 49 679 412 17,1
LRI Invest 48 212 178 16

MDO Management Company 45 389 545


15 14,7
Universal-Investment Luxembourg 36 5345 148
14 13,5
FundRock Management Company 35 2376 877

MultiConcept Fund Management 23 1343 250 13

SEB Fund Services 19 403 458 12


Edmond de Rothschild Asset Management 19 581 1,275
11
Global Funds Management 18 494 n/a 10,1
10 10,4
Commerz Funds Solutions 13 52 865

UBS Third Party Management Company 13 1548 590


0
Durchschnitt Top 15 40 999 499 2014 2015 2016 2017
Hinweis: (*) UBS Third Party Management Company wurde aufgrund fehlender historischer Daten ausgeschlossen
Quellen: (1) Monterey Datenbank 2014-2017, Deloitte-Analyse Daten für 2016. Detaillierte Zahlen für 2017 ManCos von Drittanbietern sind nicht verfügbar

© 2019 Deloitte General Services 59


Third Party ManCos brauchen eine geeignete Architektur, um ein Gleichgewicht
zwischen zunehmenden Aufsichtspflichten und dem Wunsch nach Flexibilität
herzustellen ...aber die Flexibilität des Open-Architecture-Modells ermöglicht
Aufgrund von Aufsichtspflichten und betrieblicher Komplexität es großen Akteuren, höhere AuM-Wachstumsraten zu erzielen als
neigen ManCos dazu, die Anzahl der Dienstleister zu begrenzen ihre integrierten Wettbewerber

(1)
2014-2017 AuM CAGR und die Anzahl der Dienstleister der Top 14* Third Party
Anzahl der Dienstleister der Third Party ManCos, 2017
ManCos (1)
Min Average Max Proprietäre ManCo Größe
Reine Player
Player in AuM
Number of service providers
Gesamtanzahl der Dienstleister
25 23
50
Lemanik
45

20 18 18
40

35 MDO
15
30
FundRock
25
10
20
5.3 5.1 Universal
4.8 LRI
15
5 FPS
IPConcept
10 Global Fund Management
MultiConcept
EDR** Degroof H&A
5
0
SEB Commerz
0 Administrator
1 Verwahrer
2 Transferagenten
3
0
Hinweis: (*) UBS Third Party Management Company wurde aufgrund fehlender historischer Daten -12 -10 -8 -6 -4 -2 0 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40
ausgeschlossen; (**) 2015-2017 CAGR
Quellen: (1) Monterey Datenbank 2014-2017, Deloitte-Analyse CAGR (%)
© 2019 Deloitte General Services 60
Agenda

1 Luxemburgs Verwaltungsgesellschafts-Industrie im Überblick

2 Markttrends für Verwaltungsgesellschaften

3 Appendix

© 2019 Deloitte General Services 61


Third Party ManCos müssen eine Reihe von Marktentwicklungen berücksichtigen, die ihr
Geschäft beeinflussen, um ihre Geschäftstätigkeit weiterzuentwickeln

Kunden, Produkte und Dienstleistungen Regulatorische Anforderungen

• Stetig wachsender Kundenstamm • Umsetzung der jüngsten Regulierungsanforderungen


(MiFID, GDPR, PRIIPS, EMIR usw.) wird 2019 verstärkt
• Erweiterung des Angebots horizontal (Konsolidierung der
geprüft
Branche) und vertikal (Einsatz von Drittdienstleistern)
• Rundschreiben 18/698 steht bei ManCos im Fokus
 Expansion der Third Party ManCos
• Neue Möglichkeiten durch Brexit und der Verlust des
britischen Passes
 Entstehung zusätzlicher Kosten und operationeller
Komplexität

Betriebsmodell Wettbewerb

• Nutzung von Drittdienstleistern für Nicht-Kerndienste wird • Zunehmender Druck auf Gebühren und Kosten, auch
zum Trend wenn die Umsätze steigen
• Nutzung von Shared Service Centers (Paneuropäische • Anhaltende M&A-Aktivitäten am Markt
Plattformen)
 Konsolidierung der Branche
 Senkung der Betriebskosten und Konzentration auf
Kernaktivitäten

Digitalisierung

• Einfluss neuer Technologien steigt am Markt und ermöglicht den Aufstieg neuer Serviceangebote externer Anbieter
 Differenzierung am Markt, Senkung der Betriebskosten und Erzielung neuer Wettbewerbsvorteile

© 2019 Deloitte General Services 62


Fast die Hälfte des von Drittanbietern in Luxemburg verwalteten Vermögens kommt aus
der Schweiz, Deutschland und dem Vereinigten Königreich

Verwaltetes Vermögen von Third Party ManCos in Luxemburg pro Herkunftsland der Promoter in Mrd. € (1) Hauptwachstumspotenzial

AIFM
OGAW 90 83 81 48% des Marktes
80 76
72
70 33%
41% 32%
60 35%
50
40 38
32
30 31%
67% 16%
59% 65% 68%
20 16 16
10% 13
69% 84% 50%
10 90%
50% 96%
0 4%
Schweiz* Deutschland UK USA Belgien Frankreich Luxemburg Japan Andere **

AuM 2014 -2017 CAGR


AIFM -11% 0% 106% 12% -1% 10% 2% -11% 21%
OGAW 17% 17% 7% 28% 28% 46% -4% 66% 18%

Hinweis: (*) Daten von 2016, da detaillierte Zahlen für 2017 nicht verfügbar sind, ** Dazu zählen der Größe nach u.a.: Schweden, Spanien, China, Südafrika, Italien, Kanada, Australien und die Niederlande
Quellen: (1) Monterey 2014-2017 Datenbank

© 2019 Deloitte General Services 63


Der Markt für Third Party ManCos ist ständig von einer Reihe sich ändernder
regulatorischer Rahmenbedingungen betroffen

Sektorübergreifende Themen werden sich auf die …sowie eine Reihe von Themen, die sich auf Akteure des
Verwaltungsgesellschaften auswirken..... Investmentmanagements konzentrieren

Transparenz der Gebühren und Kaufkraft des Geldes

MiFID
EMIR PSD II
II Zahlung für die Forschung

Produktmanagement & Vertrieb


IDD GDPR PRIIPS

Prüfung von Fondsliquidität & Verschuldungsgrad

• Nach informeller "Schonfrist" für Unternehmen bis 2018 werden die


Aufsichtsbehörden die Umsetzung der Regulierungsanforderungen ab 2019
genauer prüfen Höhere Aufsicht der ManCos über Investmentmanager

• Reaktion der CSSF durch das sofortige Inkrafttreten des CSSF-Rundschreibens 18/698
• ManCos können mit verstärkter aufsichtsrechtlicher Kontrolle der Delegation rechnen und müssen solide Sorgfaltspflicht und unabhängige Aufsicht über ihre
Delegierten nachweisen

© 2019 Deloitte General Services 64


Das regulatorische Umfeld wird auch das Wachstum der luxemburgischen
Verwaltungsgesellschaften fördern, die erfolgreich einen Nutzen aus dem Brexit ziehen

Zwei Haupttypen von Akteuren werden stark vom bevorstehenden Verlust von „Pass“-Rechten zwischen der EU und UK betroffen sein

EU-Verwaltungsgesellschaften, die Kunden in Britische Verwaltungsgesellschaften, die Kunden


Großbritannien betreuen in der EU betreuen
• EU-OGAW und -AIF ManCos werden ihre britischen Pässe verlieren • Britische OGAW-ManCos werden ihre Dienstleistungen nicht mehr OGAW-Fonds
mit Sitz in der EU anbieten können
• EU ManCos müssen möglicherweise als eigenständiges Unternehmen oder
Zweigniederlassung im Vereinigten Königreich gegründet werden • Britische AIFMs verlieren ihre Pässe innerhalb des EWR
• EU-OGAW ManCos, die ehemalige OGAW verwalten, müssen möglicherweise • Britische MiFID-Einheiten werden nicht mehr in der Lage sein,
eine Zulassung als AIFM beantragen, wenn sie beabsichtigen, diese Tätigkeit grenzüberschreitend in der EU zu verkaufen
auszuüben
Stand Januar 2019 befanden sich noch mehr als 58.300 im Vereinigten Königreich
• EU-AIFM, die britische AIFs verwalten, müssen sich möglicherweise im ansässige Fonds im Besitz ausländischer Investoren(1)
Vereinigten Königreich niederlassen, wenn sie die Tätigkeit weiter ausüben
möchten

Luxemburg ist derzeit der bevorzugte Verlagerungsort für britische Finanzunternehmen(2)


51
40
Darunter 24 22 19 19
Vermögensverwalter 5 3

Luxemburg Irland Deutschland Niederlande Frankreich Belgien Spanien

Quellen: (1) Die Pressemitteilung der Investment Association (2) KPMG Brexit Newsletter Feb 2019

© 2019 Deloitte General Services 65


Die Nutzung von Drittanbietern für Nicht-Kern-Dienste gewinnt immer mehr an
Bedeutung und könnte zukünftig noch weiter steigen
Geschäfts- Vertriebs- Vertriebs- Vertriebs-
Produkt- partner Portfolio-
Marketing entwicklung partner partner Risiko-mgt Fondsgeschäft Reporting
mgt mgt
/ Vertrieb Onboarding Servicing Aufsicht
Produktstrategie Marketingstrategie Prospekt- PDO/DDQ etc. Anfängliche und Laufende KYD- Portfolio- Risiko- Finanzbericht- KI(I)Ds
management laufende Ströme Prüfung / management management erstattung
Genehmigung

Produktentwicklung Marketingevents Vertriebs- und Vertrîeb / Anfragen- Richtlinien / Portfolioaufsicht Risikoreporting Steuer-Reporting Factsheets
Pipeline- Leistungsvertrags- management Prozeduren
management verhandlung

Produktstart Marketinginhalt & RFPs Erste KYD-Prüfung Daten / Inhalt / Fehlerbehebung Fondsdaten- Regulatorisches
Materialien- / Genehmigung Materialverbreitung management Reporting
produktion

Produktregistrierung Marketing- Internes Vertriebs- Vertriebsverein- Gebühren- Aufsicht über Investorendaten- Kundenreporting
Unterstützung training barungs- überwachung andere Vertriebs- management (Positionen, Handel)
management partner

Produktabschluss Digitales Marketing Kunden-Targeting Alltägliche Vertriebspartner Delegiertenaufsicht


Überwachung Due Diligence

Prospekt Marketing- Grenzüberschreiten- Transaktions-


kampagnen der Vertreib reporting

Compliance Kanalmanagement Kundendienst NAV-Generierung


und -Überwachung

Marketinginhalt & Steuerrück-


Materialienprüfung forderung

Zeichnungs- und
Rücknahme-
management

Hoch
© 2019 Deloitte General Services Markt-Outsourcing-Anteil Starkes Wachstumspotenzial 66
Gering
Agenda

1 Luxemburgs Verwaltungsgesellschafts-Industrie im Überblick

2 Markttrends für Verwaltungsgesellschaften

3 Appendix

© 2019 Deloitte General Services 67


Digitalisierung Anwendungsfall: Digitale Due Diligence bei Vertriebspartnern - D2D2

Ein zunehmender Bedarf an Due Diligence wird oft an Dienstleister Das Angebot von Deloitte basiert auf einem 4-Phasen-Ansatz, der ein
ausgelagert breites Spektrum an delegierten Funktionen abdeckt…

Heutzutage steigt der Bedarf an Due Diligence und es gibt einen Trend,
den Prozess durch einen einzigen externen Anbieter zu externalisieren
Operativer Due
Delegierten Delegierten Up-to-date
Die Auslagerung solcher Aktivitäten ermöglicht es den Diligence
Onboarding Bewertung Dashboard
Verwaltungsgesellschaften, auf die steigenden regulatorischen Prozess
Anforderungen an Sorgfaltspflicht und Aufsicht aus dem
Rundschreiben 18/698 zu reagieren Zu den delegierten Funktionen, die von den Sorgfaltspflichten abgedeckt
werden, gehören unter anderem* :
Infolgedessen sind die Verwaltungsgesellschaften in der
• Portfoliomanagement • Marketing • Diskretionäres
Lage, die Outputqualität zu verbessern, das
Portfoliomanagement
Risikomanagement zu verbessern und die Einbindung der • Administration • Risikomanagement
Gegenpartei zu beschleunigen • Compliance
*Unvollständige Liste
• Internes Audit
… Nutzung von Analysefunktionen wie Datenmanagement und Datenexploration, um Ergebnisse auf einer fortschrittlichen digitalen Plattform zu liefern, die
die Überwachung erleichtert
Einzigartige und benutzer-
freundliche digitale Wertschöpfung
ManCo
Plattform • Bietet ein verbessertes Workflow-Tool und
Dashboard erweiterte Dashboarding-Funktionen
Angepasstes Dashboard für
jeden Benutzertyp • Bietet intelligentes Reporting
Due Deloitte • Automatisierte Aufzeichnung aller in die Plattform
Diligence Integriertes eingegebenen Antworten/Daten
Plattform Dashboard Kommunikationssystem
• Verbesserter Due Diligence-Prozess durch
Nutzung historischer Daten
Delegierten Keine externen E-Mails • Verbesserte Händlerüberwachung (z.B.
Reduzierung der mit dem Vertriebsnetz
Dashboard Keine Excel- oder lokalen
xls verbundenen Risiken)
Dokumente • Reduzierung der wichtigsten Abhängigkeiten,
© 2019 Deloitte General Services
Kontinuitäten und Betriebsrisiken 68
Digitalisierung Anwendungsfall: Fonds Factsheet 2.0 als Lösung, die traditionelle und
digitale Factsheets mit Compliance-Services kombiniert
Um den neuen Anforderungen der Investoren gerecht zu werden, entwickelte Deloitte ein flexibles und digitales Tool zur Erstellung
von Factsheets

Die Deloitte Factsheet 2.0-Lösung bietet eine einzigartige Kombination von


Angeboten:
Compliance Technologie Operations • Eine traditionelle (aber hochmoderne) Factsheet-Fabrik, die die
• Wie können wir • Wie können wir die • Wie können wir Bedürfnisse der aktuellen Generation von Investoren befriedigt;
sicherstellen, dass alle rechtzeitige Lieferung sicherstellen, dass die auf
• Eine digitale Lösung, die Ihre Fondsprofile online mit Leben erfüllt, um den
Marketing-materialien aller unserer Fonds- unserem Werbematerial
neuen Interaktionsanforderungen der neu vernetzten Anleger gerecht zu
den lokalen Factsheets sicherstellen? angezeigten Daten
werden;
Marketinganforderungen • Wie können wir die vollständig und korrekt
entsprechen? nächste Generation von sind? • Ein Compliance-Service, der Ihnen die Gewissheit gibt, dass alle Ihre
• Wurde unsere Website Investoren gewinnen? • Wie können wir die Factsheets weltweit konform sind.
angemessen beworben? • Wie können wir unseren Produktion unseres
Wird der Kunden anpassbare, Marketingmaterials Erwecken Sie Ihre Fonds zum Leben, dank unserer Online-
Haftungsausschluss echtzeitfähige und automatisieren und Fondsprofile-Lösung:
ordnungsgemäß digitale Fonds- gleichzeitig die Kontrolle
offengelegt? Factsheets zur Verfügung über den
• Wie können wir unsere stellen? Genehmigungsprozess
Fonds international • Wie können wir unsere behalten?
vermarkten und internationalen Kunden • Wie können wir
gleichzeitig die erreichen, indem wir schnellere
Marketingregeln in mehrsprachige Produktionszeiten und
bestimmten Ländern Marketingmaterialien reibungslosere
einhalten? anbieten? Prozesse bei der
Erstellung unserer
monatlichen Fonds-
Factsheets sicherstellen?
• Wie können wir Zeit für
mehr wertschöpfende
Marketingaufgaben
Unsere Technologie wird angetrieben durch
sparen?
© 2019 Deloitte General Services 69
Digitalisierung Anwendungsfall: KIIDs Fabrik

Vermögensverwalter
Kontrollen:
Statische Daten: Kontinuierliche
Erstellung der DNA automatisierte
Statische Daten,
jedes KIIDs Kontrollen, NAV
Fonds NAV
Anlagerichtlinien für
(oder Proxy-
basierend auf dem Bericht, SRRI
Verträge, Risikoprofile Prospekt /
Daten),
der Kunden
Kosten
Sliding Window
Auslösungsmanagement Kundeninformationen Berichte etc.

Normalisierung und Belastung (ETL)


Lifecycle-Navigation:
Sicherstellung eines
geprüften Validierungs-
Deloitte prozesses, Datenlevel:
Risiko verschiedene Schritte Erleichterung
Plattform für verschiedene der Daten-
Deloitte KIID Interessengruppen updates durch
Factory einen Fonds /
Teilfonds /
Aktienklassen-
Sortierung

Kontinuierliche
Überwachung
+ Ad-hoc- Registrierungsmatrix:
Berichterstattung: Überblick über den gesamten
Benchmarks, SRI- Auslöser-Aufzeichnung
Ergebnisse der
Umfang (auch über noch zu Aufzeichnung der Auslöser für
letzten 4 Monate startende Klassen), das neue KIIDs
"Rückgrat" des Systems

© 2019 Deloitte General Services 70


Digitalisierung Anwendungsfall: Delegation und Überwachung von Aktivitäten -
eProseed FSIP
Eine integrierte Plattform zur Automatisierung der Datenerfassung, Archivierung, Standardberichterstellung und Risikowarnungen, um
Compliance-Aufsichtsbehörden und Prüfer dabei zu unterstützen, sich auf komplexere Off-Site- und On-Site-Untersuchungen zu
konzentrieren, die besser mit zeitnahen Erkenntnissen ausgestattet sind

Die Lösung integriert in


ein hochsicheres
1 2 3 4
Framework eine Reihe Kontinuierliche Off-Site-Kontrollen On-Site-Kontrollen Ad-hoc-Kontrollen
von Technologien, Überwachung und Validierung und Validierung und Überwachung
darunter:
• Datenintegration
eProseed FSIP Basisplattform Intuitives Web-Portal für
• Datenlager Benutzerinteraktion, Dashboard
T und dynamisches Reporting
• Serviceorientierte
e
Architektur (SOA), xt Benachrichtigung
• Geschäftsprozess- XBRL / XBRL 2
management (BPM) Warnmeldungen
• Adaptives Fall-
Datenverarbeitung,
management (ACM), T T Datenqualität und
e e
Datenerfassung
• Unternehmensportal, xt xt
Zentrale Finanz- und
• Inhaltsmanagement Fondsanschluss Regulatorik-Datenbank

• Dynamische Business
Intelligence Produkte Geschäftstätigkeit
T
e
xt Sicherheit und Zugriffskontrolle
auf der gesamten Plattform
Native
Anwendung

© 2019 Deloitte General Services 71


Quelle: eProseed Website
Digitalisierung Anwendungsfall: Einblicke in die Registrierung

RegistrationInsights ist eine einfach zu bedienende, interaktive webbasierte Anwendung, die einen Self-Service-Zugang zu Informationen über
die Registrierung von OGAW-Fonds und AIFs in mehr als 50 Ländern bietet

Aufforderung ohne Regulatorische Komplexität


Benachrichtigung
Von Deloitte erstellter Index
Diese Registerkarte gibt Ihnen zur Beurteilung und zum
den ersten Hinweis, ob es Vergleich der Komplexität von
notwendig ist, Ihren Fonds vor Registrierung, Wartung und
dem Markteintritt zu Abmeldung in ausgewählten
melden/registrieren. Heimatstaaten
“Aufforderung ohne
Benachrichtigung" gibt Ihnen Regulatorische
einen Überblick darüber, ob Anforderungen
eine Privatplatzierung möglich
Detaillierte Informationen zur
ist und ob eine umgekehrte
Registrierung eines
Aufforderung von der
ausländischen Fonds im
Aufsichtsbehörde des
ausgewählten Aufnahmestaat,
Gaststaates akzeptiert wird
zu den anfänglichen und
jährlichen
Regulierungsgebühren, den
Anforderungen nach der
Anmeldung, der Notwendigkeit
der Ernennung eines lokalen
Vertreters und den Regeln für
die Abmeldung

© 2019 Deloitte General Services 72


Ein Jahr Datenschutzgrundverordnung
Erkenntnisse aus Unternehmens- und Behördenpraxis
Was passierte 2018?
Überblick

Umsetzung in
Der luxemburgische Gesetzgeber hat das Gesetz vom 1. August 2018 über die Organisation der
luxemburgisches
Kommission für den Datenschutz (CNPD) und das allgemeine Datenschutzsystem verabschiedet.
Recht

Im Jahr 2018 hat sich die Landschaft des Datenschutzes weiterentwickelt:


Meinungen, Die Datenschutzbehörden haben gegen einige Organisationen Stellungnahmen abgegeben und
Regelungen & entschieden
Entwicklung Die EDPD hat Leitlinien aus WP29 gebilligt und zusätzliche Leitlinien zu Schlüsselthemen
bereitgestellt

Der Markt sah sich bei der Umsetzung der DSGVO einigen Herausforderungen gegenüber:
• Geeignete Rollen identifizieren
Marktheraus- • Förderung einer Vertraulichkeitskultur
forderungen • Festlegung der Mittel zur Information der betroffenen Personen
• Implementierung von DSGVO-spezifischen Prozessen
• Auswahl geeigneter Werkzeuge

EU-Institutionen
und aktueller Fokus Die Datenschutzbehörden haben mit Fragebögen, Audits und Ermittlungen begonnen, sich auf
dem Markt zu etablieren.
der Datenschutz-
Darüber hinaus ist im Dezember 2018 eine institutsspezifische Verordnung in Kraft getreten.
behörden

© 2019 Deloitte General Services 74


Wichtige
Änderungen

Umsetzung der GDPR in luxemburgisches Recht Arbeitsrecht

Wichtige Änderungen

Die im Mai 2018 in Kraft


getretene DSGVO (und
damit die Aufhebung der
Richtlinie 95/46 / EG)
bietet den EU-
Mitgliedstaaten die Meinungs-
CNPD Forschung Gen-Technik Arbeitsrecht
Möglichkeit, zusätzliche freiheit
Vorschriften und
Bestimmungen in Bezug Auftrag, Verfahren und Die Verarbeitung und die Die Verarbeitung zu Das Verbot der Die Bearbeitung im
auf bestimmte spezifische Zuständigkeiten Meinungs- und wissenschaftlichen Verarbeitung Rahmen der
Angelegenheiten zu (einschließlich der Informationsfreiheit, oder historischen genetischer Daten zum Beschäftigung. Das
Sanktionsbefugnisse) der wenn Luxemburg eine Forschungszwecken oder Zwecke der Ausübung Gesetz ändert die
erlassen.
CNPD in ihrer Ausnahme für die zu statistischen der Rechte des für die geltenden
In diesem Eigenschaft als nationale Verarbeitung Zwecken. Durch die Verarbeitung Bestimmungen des
Zusammenhang hat der Aufsichtsbehörde sowie personenbezogener Umsetzung geeigneter Verantwortlichen in Arbeitsgesetzbuchs
luxemburgische Bestimmungen zu ihrer Daten zu journalistischen zusätzlicher Maßnahmen Bezug auf Arbeitsrecht über die Verarbeitung
Gesetzgeber das Gesetz internen Organisation. Zwecken und zu (Liste im Gesetz) können und Versicherungen. personenbezogener
vom 1. August 2018 über Zwecken der die für die Verarbeitung Daten zu
die Organisation der akademischen, Verantwortlichen Überwachungszwecken
Kommission für den künstlerischen oder bestimmte und führt ein
Datenschutz (CNPD) und literarischen Äußerung Datenkategorien vorgeschriebenes
das allgemeine anwendet. verarbeiten und von Informationsverfahren
bestimmten Rechten der ein.
Datenschutzsystem
betroffenen Person
verabschiedet. Das abweichen.
Gesetz enthält
insbesondere nähere Die in Bezug auf bestimmte Verarbeitungssituationen (oben) eingeführten Bestimmungen gelten nur die Verantwortliche und
Angaben zu: Verarbeiter mit Sitz in Luxemburg.

© 2019 Deloitte General Services 75


Wichtige
Änderungen

Umsetzung der GDPR in luxemburgisches Recht Arbeitsrecht

Konzentration auf die Änderungen im Arbeitsrecht

Geltungsbereich
Die Umsetzung der DSGVO in luxemburgisches Recht hat zu einer Anpassung des Arbeitsgesetzbuchs und insbesondere des Artikels L. 261-1
geführt, der unter bestimmten Bedingungen (unter Bezugnahme auf die Anforderungen der DSGVO) die Notwendigkeit einer der 6
Rechtsgrundlagen usw.) ermächtigt den Arbeitgeber nun, personenbezogene Daten zu verarbeiten, um die Arbeitnehmer im Rahmen des
Arbeitsverhältnisses zu überwachen.

Ansatz
Dieser neue Artikel L. 261-1 verpflichtet zunächst zur vorherigen Information über die Vertretung der Bediensteten ("Gemischter Ausschuss
oder, falls nicht, die Delegation von Bediensteten oder sonst die Arbeits- und Bergbauaufsichtsbehörde "), zusätzlich zu individuellen
Informationen an die betroffenen Personen (in diesem Fall Arbeitnehmer). Diese Vorinformation sollte enthalten:
Detaillierte Modalitäten der Dauer und / oder Formelle Verpflichtung des
Beschreibung des Umsetzung des Kriterien der Arbeitgebers, Daten nicht
Zwecks / der Zwecke Überwachungssystems Datenaufbewahrung für andere als die in den
der beabsichtigten vorherigen Informationen
Verarbeitung ausdrücklich genannten
Zwecke zu verwenden

Beteiligung der CNPD


Die Delegation des Personals oder, falls dies nicht der Fall ist, die betroffenen Mitarbeiter können innerhalb von 15 Tagen nach der vorherigen
Information einen Antrag auf vorherige Stellungnahme zur Konformität des Projekts mit der CNPD stellen. Letzterer hat einen Zeitraum von
einem Monat, um eine Entscheidung zu treffen. In diesem Zeitraum wird das Projekt angehalten.
Die Mitarbeiter haben auch das Recht, eine Beschwerde bei der CNPD einzureichen, falls ihre Rechte verletzt werden. Dies kann vom
Arbeitgeber nicht als legitimer Grund für eine Kündigung angesehen werden.

© 2019 Deloitte General Services 76


Anleitung und Stellungnahme des EDPB EDPB

Wichtige Dokumente im Jahr 2018 Regelung

Am 25. Mai trat die DSGVO in Kraft. Der Europäische Datenschutzausschuss (EDPB) folgt auf die Artikel-29-Arbeitsgruppe (WP29). Diese Folie enthält die wichtigsten
Dokumente, die das EDPB im Jahr 2019 herausgegeben hat.

Billigung von
GDPR WP 29
Dokumenten
• Stellungnahme zum Entwurf eines
• Kein offizielles Zertifizierungsschema für
Angemessenheitsbeschlusses zwischen der EU und
Andere Zertifizierung Datenschutzbeauftragte
Japan relevante und ihre • Die Zertifizierung ist für bestimmte
• Stellungnahme zu DPIA-Listen Dokumente Identifikation
Verarbeitungsvorgänge möglich
• Erklärung zur ePrivacy
• Andere EDPB wichtige
• Die Akkreditierungsanforderungen richten sich
Dokumente nach:
• Ausnahmeregelungen für internationale Ausnahmen - ISO / IEC 17065/2012
Akkreditier
Überweisungen als letzte Möglichkeit für - Zusätzliche von den SAs festgelegte
internationale ung von
• Zwingendes berechtigtes Interesse - die Anforderungen
Überwei- Zertifizier-
Ausnahmeregelung, die als allerletzte Möglichkeit sungen ungsstellen • Die EDPB erstellt einen Anhang I zu diesen
und unter bestimmten Bedingungen Leitlinien, in dem dargelegt wird, wie die SA
Territorialer
anzuwenden ist Geltungs- zusätzliche Akkreditierungsanforderungen
bereich der ermitteln sollten
GDPR

• Ein Verarbeiter in der EU sollte nicht nur aufgrund seines Status als Verarbeiter als
Niederlassung eines für die Verarbeitung Verantwortlichen angesehen werden
• Bestätigung der in Erwägungsgrund 23 genannten Kriterien für das Angebot von Waren
oder Dienstleistungen

© 2019 Deloitte General Services 77


Entscheidungen und offene Fälle EDPB

Entscheidungen / formelle Bekanntmachungen werden von Datenschutz- Regelungen

behörden in ganz Europa herausgegeben


Formelle Bekanntmachungen & Gerichtsurteile
In der Regel kommt
Deutschland – In dem Fall von ICANN ging es um die
es zu formellen uneingeschränkte öffentliche Verfügbarkeit
Bekanntmachungen personenbezogener Daten
gegen Verarbeitern
und Frankreich – Formelle Mitteilungen der CNIL an Fizup,
Verantwortlichen, Singlesport, Vectaury & Ecole 42
Luxembourg
wenn:
CNPD
UK Germany Geldstrafen
• ein Mangel in der ICO Several DPAs
Zusammenarbeit Portugal – Am 17. Juli 2018 verhängte die
mit der France portugiesische Aufsichtsbehörde (CNPD) eine Geldstrafe
Aufsichtsbehörde Portugal CNIL von 400.000 € gegen ein Krankenhaus wegen Verstoßes
besteht CNPD gegen die DSGVO. Die Untersuchung ergab, dass die
Mitarbeiter des Krankenhauses, Psychologen,
• Die Ernährungsberater und andere Fachkräfte über falsche
entsprechenden Profile Zugang zu Patientendaten hatten.
Sicherheits-
vorkehrungen Deutschland – Eine deutsche Social-Media-Plattform
nicht namens Knuddels.de wurde mit 20.000 Euro bestraft,
(ordnungsgemäß) nachdem die persönlichen Daten von 330.000 Nutzern
umgesetzt einschließlich ihrer Passwörter und E-Mail-Adressen
wurden verletzt wurden.

• Im Falle einer Frankreich – Google erhielt eine Geldbuße der CNIL-


schwerwiegenden Regulierungsbehörde in Höhe von 50.000.000 Euro, weil
Datenverletzung es unter anderem nicht gelungen war, transparente und
leicht zugängliche Informationen zu seinen Richtlinien
für die Einwilligung in Daten bereitzustellen.

© 2019 Deloitte General Services 78


Entscheidungen und offene Fälle EDPB

In der Vergangenheit hat der Gerichtshof der Europäischen Union auch gegen Regelungen

Verantwortiche Stellen entschieden

In der jüngsten Vergangenheit hat der Gerichtshof der Europäischen Union vor der Anwendbarkeit der DSGVO gegen
zwei für die Verarbeitung Verantwortliche entschieden, die nicht die geeigneten Maßnahmen ergriffen haben, um
die Einhaltung der Verordnung für zwei bestimmte Verarbeitungen personenbezogener Daten nachzuweisen

Wirtschaftsakademie
Zeugen Jehovas
Schleswig-Holstein

Der EuGH hat entschieden, dass Personen und Unternehmen Der EuGH entschied, dass Zeugen Jehovas die Zustimmung
wie die Wirtschaftsakademie Schleswig-Holstein, die von Personen einholen müssen, bevor sie ihre
Facebook-Fanseiten für eigene Zwecke verwalten, persönlichen Daten während der Predigt von Tür zu Tür
gemeinsam mit Facebook für datenschutzrechtliche notieren, um den EU-Datenschutzbestimmungen zu
Verpflichtungen auf diesen Seiten verantwortlich sind. entsprechen, da solche religiösen Aktivitäten nicht durch
Ausnahmen für persönliche Aktivitäten abgedeckt sind.
Mit anderen Worten, Facebook und der Administrator der
Fanpage sind zum Teil gemeinsam für Verstöße in Bezug auf Insbesondere die Zeugen Jehovas gelten mit ihren
den Datenschutz verantwortlich. Mitgliedern als gemeinsame Kontrolleure für die
Verarbeitung personenbezogener Daten, die im Rahmen der
Predigt von Tür zu Tür durchgeführt werden.

© 2019 Deloitte General Services 79


Marktherausforderungen
Herausforderungen bei der Umsetzung der DSGVO

GDPR Prozesse
Die Definition und Implementierung der
spezifischen Prozesse erwies sich als
herausfordernd Rollen
Organisationen haben Schwierigkeiten,
Rollen zu definieren (Kontrolleure,
Verarbeiter)

Werkzeuge Informationssicherheit
Finden der geeigneten Werkzeuge zur Vor der GDPR hatten Organisationen eine
Unterstützung der GDPR-Compliance- andere Kultur in Bezug auf die
Frameworks Informationssicherheit

© 2019 Deloitte General Services 80


Marktherausforderungen
Rollendefinition

Seit ihrem Inkrafttreten im Mai 2018 hat die Allgemeine Datenschutzverordnung eine Reihe von Fragen auf dem Markt aufgeworfen, von denen
eine ein Herausforderung für Organisationen ist, zu ermitteln, ob sie bei den Verarbeitungstätigkeiten für die Verarbeitung als
Verantwortliche oder als Verarbeiter anzusehen sind, wenn Drittanbieter involviert sind.

Kontext Vermeidung von Fallsticken

In einer Beziehung kann die Rolle Irrtum, dass alle Dienstleister als Bei der Definition der Bedingungen einer
jeder beteiligten Partei von einer Verarbeiter (Berater usw.) angesehen Beziehung, entweder durch einen Vertrag oder
Verarbeitung zur anderen variieren werden sollten eine andere Art von Rechtsakt, sollte sich eine
Organisation zunächst die folgende Frage für
jede Verarbeitung stellen:
Die Beziehung zwischen Rollen und Verantwortlichkeiten
Verantwortlichen ist weniger werden hauptsächlich von der Art der
definiert als die Beziehung zwischen Verarbeitung bestimmt
Verantwortlichen und Verarbeitern
Mittel? Zweck (e)?

Beziehungen sind manchmal sehr Alle Beteiligten müssen


branchenspezifisch (keine zusammenarbeiten, um ihre
„Einheitsgröße“) Einhaltung nachzuweisen
Art? ?
Das Abwägen der Sowohl der Verantwortliche als auch
Verantwortlichkeiten kann eine der Verarbeiter müssen mit Weitere Leitlinien werden von der EDPB in naher
Herausforderung sein (Informationen, Bußgeldern und Entschädigungen Zukunft erwartet.
Anfragen von Betroffenen usw.) rechnen, unabhängig davon, wo ihre
Verantwortlichkeiten liegen

© 2019 Deloitte General Services 81


Marktherausforderungen
Informationssicherheit

Vor der DSGVO hatten Organisationen unterschiedliche Reifegrade in Bezug auf die Informationssicherheit und aufgrund dieser Tatsache sind die
Bemühungen um die Einhaltung der DSGVO unterschiedlich.

Low Kultur der Informationssicherheit High

Im Allgemeinen sollten Organisationen mit einer niedrigeren In der Regel sollten Unternehmen mit einer höheren
Informationskultur mehr Anstrengungen unternehmen, um die Einhaltung der Informationssicherheitskultur ihre Rahmenbedingungen anpassen, indem sie
DSGVO zu erreichen. Beispielsweise sollten die meisten dieser Organisationen Datenschutzanforderungen einbeziehen. Beispielsweise haben die FSI bereits
ihr Datenmanagement- und Sicherheits-Framework aufbauen, um die Kontrollen zur Wahrung des Berufsgeheimnisses eingerichtet, sollten jedoch
Sicherheit personenbezogener Daten zu gewährleisten. unter der DSGVO auch den Datenschutzaspekt einführen.

Grundlegende Sicherheitsempfehlungen für Unternehmen Grundschutz und Berufsgeheimnis - Geltungsbereich

Nutzen Sie das Internet Verwenden Sie keine Juristische Person natürliche Person
sicher (kein Download von vertrauensunwürdigen CSSF Berufsgeheimnis
vertrauensunwürdigen USB-Sticks oder andere
Quellen, legen sie keine Wechselmedien
sensiblen Informationen
offen)
Verwenden sie starke Führen Sie keine
Passwörter und halten sie vertraulichen Aufgaben
diese geheim (kein Teilen aus, wenn Sie mit Firmen, Kunden Mitarbeiter andere Kategorien
oder Offenlegen, auch nicht vertrauensunwürdigen etc. betroffener
dem Service Desk) Netzwerken (z. Bsp. Personen
öffentliche) verbunden sind
CNPD Datenschutz

© 2019 Deloitte General Services 82


Marktherausforderungen
Investition in Werkzeuge für die DSGVO - Investition durchgehend

DSGVO-Reichweite außerhalb Europas Investition in DSGVO Compliance


Die meisten Statistiken sind nicht von der Fast die Hälfte der Organisationen innerhalb und
geografischen Lage abhängig, da die Ergebnisse außerhalb der EU hat erhebliche Investitionen in ihre
sowohl der Befragten aus der EU als auch aus Fähigkeiten zur Einhaltung der DSGVO getätigt. 15%
Drittländern weitgehend übereinstimmen. dieser Organisationen halten ihre Programme zur
Verbesserung der DSGVO inzwischen für abgeschlossen.
Rekrutierung für die DSGVO
70% der Organisationen haben ihr Personal Ressourcen
aufgestockt, das sich auf die Einhaltung der
32% der Organisationen fühlen sich nicht
DSGVO konzentriert. Nur 21% konnten auf dem
ausreichend ausgestattet, um die Einhaltung der
gleichen Personalbestand bleiben, während
DSGVO zu gewährleisten. Weitere Organisationen
überraschenderweise weitere 7% einen Rückgang
in EU-Ländern gaben an, dass sie nicht über das
des Personalbestands verzeichneten.
Budget verfügen, um die
Ressourcenanforderungen zu erfüllen.

Langfristige Compliance Tools zur Einhaltung


92% von den in der EU befragten Organisationen Die Mehrheit (über 70%) der Befragten nutzte
wurde ein gewisses Maß an Vertrauen in den interne oder externe Tools, um ihre Aktivitäten
Nachweis der langfristigen Konformität mit der zur Einhaltung der DSGVO zu unterstützen.
DSGVO gefordert, mit nahezu identischen
Ergebnissen außerhalb der EU.
Source: Deloitte presentation on “Maintaining momentum
GDPR 6 months on”
© 2019 Deloitte General Services 83
Marktherausforderungen
DSGVO spezifische Prozesse

Management von
Rechte der betroffenen Personen Überwachung
Datenschutzverletzungen
In den meisten Organisationen gelten Verfahren und Prozesse zur Behandlung In Organisationen fehlen häufig Prozesse
Richtlinien / Verfahren zur Verwaltung von von Rechten betroffener Personen wurden zur Überwachung der Wirksamkeit von
Datenschutzverletzungen. Es mangelt weder definiert noch implementiert, Datenschutzmaßnahmen, die eingesetzt
jedoch an Kenntnissen über grundlegende insbesondere die technische Ausführung werden, um die laufende Einhaltung der
Identifizierte Sicherheitsregeln zur Verhinderung von der Anfragen, wodurch es zu DSGVO zu überprüfen.
wesentliche Verstößen und darüber, wie Verstöße Verzögerungen bei der Bearbeitung solcher
Lücken erkannt werden können. Anfragen kommt.

• Formalisieren Sie in Betriebsverfahren


• Sensibilisierung für grundlegende
(einschließlich technischer Verfahren) • Definieren Sie Ihren Kontrollrahmen mit
Sicherheitsregeln in der Organisation
die Schritte zur Bearbeitung von klaren Rollen, Verantwortlichkeiten und
Anfragen betroffener Personen mit Berichtskanälen
• Mitarbeiterschulungen, um zu erfahren, klaren Szenarien für jede Art von Recht
Beispielhafte wie sie personenbezogene Daten
• Definieren und implementieren Sie
identifizieren, wie sie Verstöße gegen
Empfehlungen • Definieren Sie klar die internen Rollen Aktivitäten, um die Wirksamkeit Ihrer
personenbezogene Daten feststellen und
und Verantwortlichkeiten im Prozess Kontrollen regelmäßig zu überwachen
was sie in diesem Fall tun müssen
(Business, IT, DPO, etc.)

56 Prozent der in Luxemburg seit dem Fast die Hälfte der Unternehmen hat
Die am häufigsten eingegangene Anfrage
25. Mai bis zum 28. September erhebliche Investitionen in die
waren Zugriffsanfragen. Nur 30
gemeldeten Verstöße gegen Einhaltung der DSGVO-Bestimmungen
Prozent der Unternehmen konnten
Statistiken & personenbezogene Daten sind auf getätigt. Nur 15 Prozent von ihnen halten
innerhalb eines Monats auf die
menschliches Versagen der Mitarbeiter ihre DSGVO-Bereitschaftsprogramme für
Umfragen Datenanfragen antworten.
zurückzuführen. abgeschlossen.

Quelle: CNPD Data Breach Report für den Zeitraum vom Quelle: Deloitte-Präsentation zum Thema "Aufrechterhaltung Quelle: Deloitte-Präsentation zum Thema "Aufrechterhaltung
Mai bis September 2018 der Dynamik der DSGVO nach 6 Monaten" der Dynamik der DSGVO nach 6 Monaten"

© 2019 Deloitte General Services 84


Steuerupdate
Inklusive aktuelle Entwicklungen beim Transfer Pricing für das Asset Management
Verrechnungspreise -
Aktuelle Entwicklungen im Bereich Asset
Management

© 2019 Deloitte General Services 86


Verrechnungspreise – Aktuelle Entwicklungen im Bereich Asset Management
Übersicht

Zuwachs an
Verrechnungspreisansätze
Sektor AIFMD-regulierten
Strukturen 1. BEPS - Einfluss auf Angemessenheit und
Verteidigbarkeit existierender
Erhöhter Fokus auf
Transpa- Verrechnungspreisansätze
Verrechnungspreis-
dokumentation renz • Vergütung der Rolle von Verwaltungsgesellschaft in
Angemessenheit und Abhängigkeit des Delegationsmodells vs. nicht-regulierte
Verteidigbarkeit Strukturen
Policy existierender
Zunehmender Fokus Verrechnungspreis- • Einseitige Verrechnungspreisansätze (d.h., nur
der Aufsichtsbehörden ansätze Bepreisung von delegierten Funktionen mit
auf das Thema Gover- Residualgewinn/-verlust bei ManCo) vs. zweiseitige
Steuern als Teil nance Verrechnungspreisansätze (zusätzliche Bepreisung der
der Governance- Prinzipalfunktion ManCo unter Delegationsmodell)
Funktion Steuer-
liche • Kostenaufschlags-Vereinbarungen (z.B. für
Betriebs- vertriebsbezogene Tätigkeiten)
prüfung • Änderungen zu Betriebsstättenanforderungen
Diskussion zu
Substanzaspekten aus Substanz 2. Ansätze zur Aufteilung von Managementvergütungen
steuerlicher sowie für
regulatorischer Sicht
• Vertrieb und Kapitalbeschaffung
Politisches BEPS, Brexit
• Portfoliomanagement
Umfeld und EU-Beihilfen
• Aufsetzen von Fonds (Prinzipalfunktion von
Verwaltungsgesellschaften) sowie
• Fondsadministration, Back-office Dienste und andere
Hilfsfunktionen
3. Restrukturierungen und Funktionsverlagerungen
• Steuerfragen durch Brexit-bedingte Funktionsverlagerung
aus UK nach Europa

© 2019 Deloitte General Services 87


Richtlinie 2017/952 vom 29. Mai
2017
(„ATAD 2“)

© 2019 Deloitte General Services 88


Richtlinie 2017/952 vom 29. Mai 2017 („ATAD 2“)
Anwendung ab 1. Januar 2020

ATAD 2 erweitert die Definition von hybriden


Gestaltungsformen wie folgt:

Eingeführte
Übertragung
Abzug ohne hybride
Doppelter Abzug von
Einbeziehung Gestaltungs-
Mischformen
Am 29. Mai 2017 formen
verabschiedete der EU-Rat
die Richtlinie 2017/952 vom 29.
Mai 2017, welche die Richtlinie
2016/1164 abändert bezüglich
hybriden Gestaltungsformen mit “mismatches” Möglichkeiten
Unberück- “Reverse
Drittländern (ATAD 2) durch steuerliche für
sichtigtes hybrid”
Ansässigkeit Ausschlüsse
Einkommen einer
Betriebsstätte

Nächste Schritte
• EU Mitgliedstaaten werden die Bedingungen von ATAD 2 bis zum 31. Dezember 2019 umsetzen und ab dem 1. Januar 2020 anwenden müssen.
• Bei Abweichung ist die “Reverse Hybrid Entity Rule” zum 31. Dezember 2021 umzusetzen und ab dem 1. Januar 2022 anzuwenden.

© 2019 Deloitte General Services 89


Richtlinie 2017/952 vom 29. Mai 2017 („ATAD 2“)
Beispiele

Abzug ohne Einbeziehung Doppelter Abzug Eingeführte hybride Gestaltungsformen

• Die hybride Tochtergesellschaft TopCo ist • Hybride Betriebsstätte (BE) wird in Staat B als • BottomCo ist eine EU-Gesellschaft und zahlt Zinsen
intransparent in Staat B, aber transparent für Staat solche betrachtet, aber nicht vom Stammhaus in to MidCo. Solche Zinsen sind auf Ebene der
A. Staat A BottomCo abziehbar und steuerbar auf Ebene der
• Lizenzzahlungen der TopCo zur Mutter werden bei • Zahlungen, Ausgaben oder Verluste werden auf MidCo.
der TopCo abgezogen, aber nicht bei der Mutter beiden Ebenen abgezogen • MidCo zahlt Zinsen auf ein PPL an TopCo und solche
miteinbezogen • Der betroffene Mitgliedsstaat soll den Abzug Zinsen sind abziehbar auf Ebene der MidCO, ohne
• Organschaft zwischen TopCo & BottomCo verweigern, es sei denn, der Drittstaat hat dies Einbeziehung auf Ebene der TopCo.
• Wenn Staat A ein Mitgliedsstaat ist und Staat B ein bereits getan. • Eine solcher Mismatch wird auf Ebene der BottomCo
Drittstaat => Mutter hat die Lizenzzahlungen in durch den Abzug der Zinsen eingeführt, der dann
ihrem Einkommen berücksichtigen. verweigert werden sollte.
• Wenn Staat A ein Drittstaat ist und Staat B ein
Mitgliedsstaat, darf TopCo die Lizenzzahlungen
nicht abziehen.

Mutter Stammhaus TopCo


0 0
(Staat A) (Staat A) - ((Drittstaat A)
Lizenz-
gebühren Zinsen
TopCo MidCo
(Staat B) - Hybride - (Drittstaat B) +
BE -
Zinsen
(Staat B) BottomCo
BottomCo
+ (EU- -
(Staat B)
Mitgliedstaat)

© 2019 Deloitte General Services 90


EU-Transparenzregelungen –
Update

© 2019 Deloitte General Services 91


EU-Transparenzregelungen – Update

Was umfasst die Richtlinie?


• Alle Arten von direkten Steuern -Körperschaft-, Personen-, Kapitalertrag-und Erbschaftsteuer
• Erfordert die obligatorische Berichterstattung und den automatischen Informationsaustausch der Steuerbehörden der Mitgliedstaaten für bestimmte
grenzüberschreitende Vereinbarungen:
 Eine Verpflichtung von Beratern und relevanten Steuerpflichtige, die Steuerbehörden über bestimmte grenzüberschreitende Vereinbarungen zu informieren
 Nach der Weitergabe an die nationalen Steuerbehörden werden die Informationen automatisch zwischen den Mitgliedstaaten geteilt
• Eine "meldepflichtige grenzüberschreitende Vereinbarung" ist eine solche, die mindestens eines der ausgewiesenen „Kennzeichen" enthält.
• Verpflichtet Berater wie Steuerberater, Buchhalter, Banken, die eine meldepflichtige grenzüberschreitende Vereinbarung entwerfen, vermarkten oder organisieren,
dies bei den Steuerbehörden des Landes, in dem der Kunde ansässig ist, zu melden.
• Verschiebung der Verpflichtung, die Steuerbehörden zu informieren, falls die Berater von lokalen Verpflichtungen bezüglich des Anwaltsgeheimnisses betroffen sind oder
wenn es keinen Steuerberater gibt (d.h. entweder interne Berater oder alle beteiligten Berater haben ihren Sitz außerhalb der EU)
• Der EU-Mitgliedstaat teilt die Informationen dann vierteljährlich mit allen anderen Mitgliedstaaten.
Meldung von Beratern und relevanten Steuerpflichtigen
über meldepflichtige grenzüberschreitende
Am 5. Juni 2018 wurde die Direktive Vereinbarungen, deren erster Schritt zwischen 25. Juni
offiziell im JOEU veröffentlicht. 2018 bis 1. Juli 2020 implementiert wurde.


Politische Einigung über die
Richtlinie über Steuerberater im
März 2018.
5. Juni 1 Juli 31. August
Die Direktive wurde auf der
2018 2020 2020
ECOFIN Tagung am 25. März
2018 formell angenommen.


Ab dem 1. Juli 2020 (Datum der allgemeinen Antragstellung) wird die Meldung von Beratern und relevanten Steuerpflichtigen an Steuerbehörden innerhalb von 30
Tagen nach der Vereinbarung für die Umsetzung zur Verfügung gestellt ...
Informationen werden innerhalb eines Monats nach Ende des Quartals, in dem die Informationen eingereicht wurden, zwischen den Mitgliedstaaten ausgetauscht werden.
Die erste Meldung wird bis zum 31. Oktober 2020 erstattet.

© 2019 Deloitte General Services 92


Haushaltsgesetz 2019

© 2019 Deloitte General Services 93


Haushaltsgesetz 2019
Senkung des Körperschaftsteuersatzes und Anpassung der Steuerkonsolidierung

• Ab dem Steuerjahr 2019;


Senkung des Körperschaft-
• Solidaritätszuschlag und Gewerbesteuer bleibt unverändert;
steuersatzes von 18% auf 17%
 Gesamtsteuersatz = 24,94% (Sitz: Luxemburg Stadt)
Gesetz vom
26. April 2019

• Neu formulierter Artikel 164bis;


Änderungen bzgl. der • Anwendung der Zinsschranke;
Steuerkonsolidierung • Wahlweise auf Ebene der Konsolidierung oder der
einzelnen Gesellschaften.

• Super reduzierte MwSt.- Rate (3%) u.a. auf Hygieneprodukte, E-


Books, sowie eine reduzierte MwSt.- Rate (8%) auf phytosanitäre
Produkte;
Diverse weitere Änderungen
• Erhöhung der Verbrauchsteuer um 1 Cent auf Benzin, sowie um 2
Cent auf Gas;
• Erhöhung des Mindestlohns um 100 Euro.

© 2019 Deloitte General Services 94


Ausblick 2019

© 2019 Deloitte General Services 95


© 2019. Deloitte Touche Tohmatsu Limited
Ausblick 2019
Hot Topics die beim nächsten Fondstag wieder aufgegriffen werden

Doppelbesteuerungs-
abkommen Gesetz zu
Luxemburg ATAD 2
Frankreich

Luxemburger EU-
REIT - Transparenzregelungen
Diskussionen

© 2019 Deloitte General Services 96


Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited ("DTTL"), its global network of member firms and their related entities. DTTL (also referred to as "Deloitte Global")
and each of its member firms are legally separate and independent entities. DTTL does not provide services to clients. Please see www.deloitte.com/about to learn more.

Deloitte is a leading global provider of audit and assurance, consulting, financial advisory, risk advisory, tax and related services. Our network of member firms in more than 150
countries and territories serves four out of five Fortune Global 500® companies. Learn how Deloitte’s approximately 286,000 people make an impact that matters at www.deloitte.com.

This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms or their related entities (collectively, the “Deloitte network”) is,
by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should
consult a qualified professional adviser. No entity in the Deloitte network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.

© 2019 Deloitte General Services 97