Ratepay-CTO Luise Linden: „Bafin und FinTechs können sich gegenseitig helfen“

Bis zur nächsten Bundestagswahl im Herbst 2021 will Finanzminister Olaf Scholz das „Wirecard-Gesetz“ beschließen. Obwohl die Bafin das Spiel des inzwischen insolventen DAX-Konzerns offenbar viel zu spät durchschaut hat, soll sie künftig früher eingreifen dürfen, wenn sie den Verdacht schöpft, dass etwas faul ist. „Die Bafin muss moderner werden“, sagt auch Ratepay-CTO Luise Linden. Seit dem 1. September 2020 gehört sie der Geschäftsführung an (Website) und leitet auch die Marktfolge des FinTechs.

Was muss sich bei der Bafin alles ändern, Frau Linden?

Dem Volksmund nach hört ja beim Geld die Freundschaft auf. Darum finde ich eine starke Finanzaufsicht erst mal ganz gut, weil sie auch den Menschen das Gefühl gibt, dass Regeln gelten, an die sich alle halten müssen und niemand einfach machen kann, was er will.

Wir merken aber schon, dass sich die Bafin sehr viel auf die Schultern lädt und von der Politik sehr viel aufgeladen bekommt, das nicht mehr in unsere Zeit passt.”

Hier können sich Bafin und FinTechs gegenseitig helfen.

Applaus für die Aufsicht kommt aus der FinTech-Szene selten. Wie sieht die gegenseitige Hilfe aus, die Sie sich wünschen?

Wichtig erscheint mir vor allem, miteinander zu sprechen. Initiativen wie der FinTechRat, in dem sich auch unsere Gründerin Miriam Wohlfarth engagiert, ermöglichen solche Gespräche und erlauben auch Bafin-regulierten Startups, sich einzubringen und ihre Sicht auf die Dinge zu schildern. Die BAIT fordern etwa manuelle Freigaben an einigen Stellen innerhalb der Ablauforganisation. Viele fragen sich, wie das gehen soll, wenn sie mit Continuous Integration und Continuous Delivery arbeiten und damit ihre Software automatisch einchecken, bauen, testen und deployen.

Viele Regeln vermuten menschliche Eingriffe, wo sie längst nicht mehr stattfinden. Statt wasserfallartig monatelang ein Fachkonzept zu schreiben, arbeiten agile Teams mit möglichst kleinen User Stories, die sie in ihren meist zweiwöchigen Sprints umsetzen.”

Und wer ist überhaupt Fachbereich in crossfunktionalen Teams? Hier prallen „old work“ und „new work“ teilweise recht hart aufeinander.

Warum muss sich die Bafin an FinTechs anpassen und nicht umgekehrt?

Ich glaube, es geht gar nicht so sehr darum, dass sich jemand jemandem anpasst. Für viele FinTechs ist die Bafin-Welt neu und für die Bafin ist die FinTech-Welt neu.

Wir sollten uns deshalb alle bemühen, den jeweils anderen zu verstehen. Das muss ja keine Extrawurst für FinTechs sein.”

Manchmal fühlen wir uns einfach falsch angesprochen, wenn wir Gesetze, Rundschreiben oder Richtlinien bekommen, in denen wir „das Institut“ sind oder in denen bestimmte „Arbeitsanweisungen“ gefordert werden, obwohl die meisten Startups genau wie wir agil arbeiten. Mitarbeiter, die selbst entscheiden und große Verantwortung tragen, gelten bei uns als wertvoll und beim Regulator als Prozessrisiko. Zumindest kommt das gelegentlich so an.

Einige Kollegen sind auch deshalb lost in translation, weil die regulatorischen Vorgaben oft in sehr hochgestochener Sprache erscheinen, also in einem Banken-Deutsch, das sich vom Startup-Denglisch manchmal so weit unterscheidet, dass viele nicht immer gleich verstehen, worum es wirklich geht.”

Wo sehen Sie sich selbst in der Pflicht, auf die Bafin zuzugehen?

Ich empfehle jedem FinTech, die regulatorischen Vorgaben ernst zu nehmen und verstehen zu wollen, was die Bafin erreichen möchte. Dafür brauchen auch FinTechs passende Mitarbeiter, die sich damit auskennen, die mit den Behörden sprechen, aktiv in den Dialog treten und sich um Geldwäscheprävention, Compliance oder Auslagerungen kümmern, interne und externe Prüfungen vorbereiten und vor allem dabei helfen, die Anforderungen in eine für Techniker verständliche Sprache zu übersetzen. Wir müssen anerkennen, dass wir jetzt eine von vielen Bausteinen innerhalb des Finanzsystems sind und weil es einerseits um Geld, andererseits aber auch um personenbezogene Daten geht, darf nichts schiefgehen.

Unseren Kolleginnen und Kollegen, die sich dem verschrieben haben und ihre Aufgaben mit großer Sorgfalt und großem Sachverstand erledigen, gebühren ebenso Lob, Dank und Respekt wie jenen, die das technisch alles ermöglichen.”

Gibt es Überraschungen, auf die sich ein Startup vorbereiten kann, sobald es reguliert wird?

Wer noch nie in einer Bank oder im banknahen Umfeld gearbeitet hat, kennt wahrscheinlich das Prinzip von Markt und Marktfolge nicht. Regulierte FinTechs müssen das organisatorisch und prozessual durchgehend bis zur obersten Führungsebene abbilden.

Über meine neue Rolle als Geschäftsführerin bin ich viel stärker in die Bereiche Compliance, Geldwäsche oder Merchant Risk involviert als vorher, als ich – nur – CTO war.”

Auch der Spagat zwischen Time-to-Market, die gerade für noch nicht profitable Startups überlebenswichtig ist, und der Dokumentation verstärkt sich spürbar. „Der Code ist die Doku“ geht in Bafin-regulierten FinTechs nicht mehr durch. Prüfer wollen genau verstehen, was in den IT-Systemen passiert.

War das auch der Grund, warum Ratepay das Kernsystem modernisiert hat?

Das eine folgt ja aus dem anderen. Wir haben lange sehr nah am Kernsystem entwickelt, um schnell zu sein. So ist Legacy entstanden, mit der auch viele Banken kämpfen, sehr verschachtelt, unübersichtlich, kaum dokumentiert und dadurch schwer zu warten.”

So etwas entsteht, wenn ein einfaches SQL-Statement, das anfangs eine einzelne, überschaubare Funktion ausführt, schlank und sauber, mit der Zeit um immer mehr Logik und Fallunterscheidungen erweitert wird und wegen des hohen Zeitdrucks nicht nur Designprinzipien sondern auch die Dokumentation leiden. Ehe man sich versieht, ist das Statement mehrere hundert Zeilen lang und enthält komplex verschachtelte Views. Das Refactoring kam lange Zeit zu kurz, daher mussten wir etwas verändern.

Das hat bei der Migration bestimmt viel Spaß gebracht …

Ja (lacht). Wir haben mit Senacor zusammen erst mal ein paar Wochen Reverse Engineering auf die Fachlichkeit gemacht, die über zehn Jahre lang gewachsen ist.

Immer wieder frage ich mich, warum wir und andere Unternehmen keine Rückstellungen für technische Schulden bilden, so wie wir das auch für Forderungsausfälle tun.”

Ich vermute, das lag und liegt daran, dass technical debt virtuell und der damit einhergehende Produktivitätsverlust nur schwer monetär zu beziffern sind.

Wie sorgen Sie jetzt dafür, dass keine technischen Schulden mehr entstehen?

Ganz vermeiden lässt sich das nicht. Manchmal muss es eben schnell gehen und deshalb ist es auch richtig und angemessen, bewusst technische Schulden aufzunehmen.

Damit wir aber nie vergessen, diese Schulden auch abzubauen, empfehle ich, sie zu markieren, im Backlog als zu beheben zu führen und von vornherein Zeit und Ressourcen zu planen, um sie zu tilgen.”

Wir versuchen deshalb, in jedem Sprint einen Teil unserer Schulden zu reduzieren. Das entspricht auch mehr der agilen Denkweise, anstatt erst lange nichts zu tun, um dann mit einem Herkulesprojekt einen Riesenberg abzutragen. Uns ist das zwar gelungen mit unserem Kernsystem, doch das hat über mehr als ein Jahr große Teile der Organisation gelähmt. Das brauche ich so schnell nicht wieder, obwohl die Aufgabe tatsächlich auch Spaß gemacht hat, wir eine ganze Menge gelernt haben und das Team dadurch auch viel enger zusammengewachsen ist.

Wie sieht Ihre IT-Architektur jetzt aus?

Wir arbeiten mit event-gesteuerten Microservices.”

Unser Risikomanagement-System braucht keine halbe Sekunde, um zu entscheiden, ob die online bestellte Ware auf Rechnung oder in Raten bezahlt werden darf. Kunden bekommen praktisch in Echtzeit eine Entscheidung. Gleichzeitig bleiben wir agil genug, um dezentral neue Features einzusteuern und, auch das unterschätzen FinTechs manchmal, ohne uns zu verrenken regulatorische Anforderungen an die IT zu erfüllen.

Haben Sie ein Beispiel?

Ja, das Minimalprinzip, das die MaRisk vorschreibt. Wir müssen dokumentieren, wer über welche Zugriffsrechte verfügt und das übrigens auch turnusmäßig überprüfen im Rahmen der Rezertifizierung. Dafür brauchen wir Software, die diese Zugriffsrechte steuert, und Personen, die sich mit den Geschäftsprozessen auskennen und als Owner diese Rechte erteilen dürfen. Dabei gilt, dass jeder nur über die Rechte verfügen soll, die er oder sie für die eigenen Aufgaben wirklich benötigt. In einer modularen Architektur geht das offensichtlich viel einfacher als in einem monolithischen Großsystem.

Eine schlaue IT spielt also auch dem in die Hände, was ich sowieso machen muss, um die Aufsicht glücklich zu machen.”

Wo liegen Ihre Schwerpunkte in den nächsten Monaten?

Jedes Unternehmen sollte immer zuerst an die eigenen Kunden denken, also neue Produkte entwickeln und Customer Value schaffen. Darum herum entstehen die anderen Aufgaben wie mehr zu automatisieren, um unsere Abläufe weniger fehleranfällig und vor allem noch schneller zu machen. Zweitens setzen wir darauf, bei Vorgängen, die nicht direkt mit unserer Produktplattform zu tun haben, noch mehr zu standardisieren. Das betrifft etwa die Corporate IT sowie das Debitoren- und Kreditoren-Management. Rund um SAP führen wir derzeit auch eigene Entwicklungen wieder zum Standard zurück. Das steht auf unserer Agenda, weil sich nur automatisierte und idealerweise standardisierte Prozesse gut skalieren lassen.

Mit welchen Schwierigkeiten rechnen Sie dabei?

Technisch kann immer mal etwas passieren. Viel wichtiger ist, dass wir in der gesamten Organisation ein gemeinsames Verständnis dafür haben, dass wir technisches Refactoring und Optimierungen quasi nebenbei mit erledigen müssen.

In letzter Zeit hört und liest man ständig, dass sich über kurz oder lang alle Unternehmen zu Tech-Firmen entwickeln. Wir dürfen dabei aber nicht vergessen, dass die IT immer noch dem Business folgt. „IT just for IT“ ist schlicht kein Geschäftsmodell.”

Frau Linden, vielen herzlichen Dank für das Gespräch!aj