Heikle Gesetze, die ICHRA-Anbieter beachten sollten, Teil 3: FinTech-Ausgabe

Wir setzen unsere Reihe über die rechtlichen und regulatorischen Herausforderungen fort, denen sich individuelle Gesundheitsrückerstattungsvereinbarungen (ICHRAs) gegenübersehen. Dieses Mal konzentrieren wir uns auf die fintech-bezogenen Anforderungen, die für ICHRA-Anbieter gelten können. Im ersten Teil unserer Reihe haben wir eine Reihe von Compliance-Anforderungen für Gesundheitsvorsorgepläne und externe Verwaltungsgesellschaften zusammengefasst und dabei kurz auf Überlegungen zum Geldtransfer eingegangen. Im zweiten Teil haben wir weitere Compliance-Themen im Zusammenhang mit Gesundheitsvorsorgeplänen sowie Themen im Bereich Steuern und Versicherungsagenturen behandelt. Im dritten Teil (diesem Artikel) untersuchen wir eine Reihe von Gesetzen und Vorschriften für Finanzdienstleistungen, die für viele Aktivitäten von ICHRA-Anbietern gelten können und von denen viele Sie überraschen dürften.

Übersicht

Einige ICHRA-Anbieter verstehen sich lediglich als Verwalter einer einfachen Sozialleistung für Arbeitnehmer und sind bestrebt, ein hervorragendes Nutzererlebnis, optimierte Prozesse und zuverlässige Verwaltungsdienstleistungen für Gesundheitsleistungen zu bieten. Warum sollten dann Finanzdienstleistungsgesetze und -vorschriften für sie gelten? Die einfache Antwort lautet, dass dieses Nutzererlebnis, diese optimierten Prozesse und diese Verwaltungsdienstleistungen für Sozialleistungen fast immer eine finanzielle Komponente beinhalten, sei es die Verarbeitung oder Erleichterung von Zahlungen und/oder der Umgang mit Finanzdaten. 

Innovative Technologielösungen und die Unternehmen, die sie anbieten, wie beispielsweise ICHRA-Anbieter, erfreuen sich branchenübergreifend wachsender Beliebtheit. In der Regel befinden sich diese Technologien in der Mitte zwischen einem traditionellen Händler/Unternehmen (z. B. einem Geschäft, einem Arbeitgeber) und einem Verbraucher oder einem traditionellen Finanzinstitut (z. B. einer Bank, einem Versicherungsträger) und einem Verbraucher. Die rechtlichen und regulatorischen Rahmenbedingungen, die für Zahlungen, Finanzdaten und andere Finanzdienstleistungsaktivitäten gelten, gelten jedoch weiterhin für diese ICHRA-bezogenen Aktivitäten und diejenigen, die sie ausüben, was von den Finanzaufsichtsbehörden oft recht weit gefasst gesehen werden kann. Darüber hinaus können ICHRA-Anbieter, indem sie sich in die Mitte einer ansonsten traditionellen Zwei-Parteien-Transaktion (z. B. Arbeitgeber-Verbraucher, Bank-Verbraucher) stellen, zusätzliche finanzaufsichtsrechtliche Anforderungen im Zusammenhang mit Geldtransfers auslösen.

Anwendbare Gesetze

Gelddienstleistungsunternehmen (MSB), Geldtransfer

Im Allgemeinen versteht man unter Geldtransfer die Annahme und Überweisung von Geldern von einer Person an einen anderen Ort oder eine andere Person mit beliebigen Mitteln. Geldtransfers werden auf Bundes- und Landesebene reguliert. Auf Bundesebene kann ein Unternehmen, das Geldtransfers durchführt, gemäß dem Bank Secrecy Act und dessen Durchführungsbestimmungen (zusammenfassend als BSA bezeichnet) als Gelddienstleistungsunternehmen (Money Services Business, MSB) betrachtet werden. MSBs müssen sich möglicherweise beim Financial Crimes Enforcement Network (FinCEN) registrieren lassen und sind unter Umständen verpflichtet, ein robustes Programm zur Bekämpfung von Geldwäsche (AML) zu unterhalten. Die Gesetze der Bundesstaaten sind ähnlich, wobei in jedem Bundesstaat eine Form der Geldtransferlizenz erforderlich ist und die Definitionen von Geldtransfer oder MSB im Allgemeinen ähnlich sind.

Gemäß dem BSA können für einen ICHRA-Anbieter je nach Umfang und Struktur seiner Geldtransferaktivitäten mehrere Ausnahmen für die Registrierung als MSB auf Bundesebene gelten. Leider gibt es auf staatlicher Ebene weniger Ausnahmen, die zudem von Bundesstaat zu Bundesstaat variieren.

Geldwäschebekämpfung, Know Your Customer, Kundenidentifizierungsprogramm

Die BSA und die Gesetze der Bundesstaaten verlangen von MSBs die Aufrechterhaltung robuster AML-Compliance-Programme, die unter anderem umfassende Richtlinien und Verfahren, die Meldung von Transaktionen an Bundes- und Landesbehörden sowie jährliche unabhängige AML-Compliance-Prüfungen umfassen. Die BSA verlangt von MSBs außerdem die Einhaltung der Anforderungen des Customer Identification Program (CIP) und des Know Your Customer (KYC) bei der Aufnahme neuer Kunden und der Überwachung der Transaktionsaktivitäten der Kunden während der gesamten Geschäftsbeziehung.

Zahlungsbedingungen

Unternehmen, die bestimmte Zahlungsmethoden verwenden oder ermöglichen, können Gesetzen oder Vorschriften unterliegen, die für diese Zahlungsmethoden gelten.

Zahlungskarten

Jedes Unternehmen, das Zahlungen per Karte (Kredit- oder Debitkarte) akzeptiert, als Zahlungsabwickler fungiert, Karteninhaberdaten speichert oder in irgendeiner Weise mit Karteninhaberdaten umgeht, muss den Payment Card Industry Data Security Standard (PCI DSS) einhalten. Dabei handelt es sich um eine Reihe von Informationssicherheitsstandards, die darauf abzielen, eine sichere Umgebung zu gewährleisten und Betrug bei Kartenzahlungen sowie Datenverstöße zu verhindern.

Unternehmen, die Kartenzahlungen akzeptieren oder verarbeiten, müssen sich außerdem an die von den Kartennetzwerken (z. B. Visa, Mastercard) festgelegten Regeln sowie an die Bundes- und Landesgesetze in Bezug auf Kreditkartenaufschläge und damit verbundene Gebühren halten.

Elektronische Überweisungen und automatisierte Clearingstelle (ACH)

Zahlungen können in Form von elektronischen Überweisungen oder ACH erfolgen. Nacha, früher bekannt als National Automated Clearinghouse Association, betreibt das ACH-Netzwerk und hat Betriebsregeln aufgestellt, die jeder, der ACH-Transaktionen durchführt, einhalten muss. Wenn elektronische Überweisungen mit einer Belastung oder Gutschrift auf dem Bankkonto eines Verbrauchers verbunden sind, muss das Unternehmen außerdem sicherstellen, dass diese Überweisungen dem Electronic Fund Transfers Act und dessen Regulation E entsprechen.

Gramm-Leach-Bliley-Gesetz (GLBA)

Das GLBA ist ein Gesetz zum Schutz der Privatsphäre im Finanzbereich, das Finanzinstitute – allgemein definiert als Unternehmen, die Verbrauchern Finanzprodukte oder -dienstleistungen anbieten, einschließlich Versicherungs- und Zahlungsaktivitäten – verpflichtet, nicht öffentliche personenbezogene Daten durch ein umfassendes Datensicherheitsprogramm zu schützen und bestimmte Datenschutzhinweise bereitzustellen. Es ist wichtig zu verstehen, dass die Schutzbestimmungen des GLBA nicht nur für Finanzinstitute gelten, sondern auch für Daten, die von Finanzinstituten stammen, wie beispielsweise Zahlungsinformationen. 

Kreditgeberstatus 

In einigen Fällen kann ein ICHRA-Anbieter einem Versicherungsträger eigene Mittel zur Verfügung stellen, um die Verpflichtungen eines Arbeitgebers gegenüber seinen Mitarbeitern zu decken und so Lücken im Versicherungsschutz zu schließen. Während sie damit Risiken im Versicherungsbereich mindern, könnten ICHRA-Anbieter unwissentlich ihre Risiken im Kreditbereich erhöhen. Der Begriff „Kredit” ist sowohl nach Bundes- als auch nach Landesrecht weit gefasst und bezeichnet in der Regel das Recht, das eine Person einer anderen Person gewährt, die Zahlung einer Schuld aufzuschieben oder eine Schuld zu übernehmen und deren Zahlung aufzuschieben. Durch die Vorauszahlung von Geldern im Namen des Arbeitgebers und den Aufschub seiner Zahlungsverpflichtung kann eine solche Vereinbarung in einigen Bundesstaaten als Kredit gelten und würde Kreditlizenzen oder Zinsüberlegungen auslösen, insbesondere wenn diese Praxis regelmäßig vorkommt.

Branchenwarnung – Steigende Erwartungen der Banken hinsichtlich der BSA/AML-Anforderungen

BSA/AML sind stark regulierte Bereiche. Auch wenn ICHRA-Anbieter nicht unabhängig voneinander verpflichtet sind, eigene BSA/AML-Compliance-Programme zu unterhalten, können Partnerbanken dennoch vertraglich von ICHRA-Anbietern verlangen, dass sie mehrere Komponenten der für Banken geltenden BSA/AML-Anforderungen erfüllen. Viele der Due-Diligence- und anderen Compliance-Anforderungen, denen ICHRA-Anbieter bei der Aufnahme einer neuen Bank begegnen, sind auf die BSA/AML-Anforderungen der Bank zurückzuführen.

Wir beobachten steigende Erwartungen und eine zunehmende Kontrolle seitens der Bankpartner, darunter aufwändige unabhängige Audits des BSA/AML-Programms eines FinTech-Unternehmens bei der Aufnahme und danach jährlich, die extrem zeitaufwendig und kostspielig sind. Für ICHRA-Anbieter ist es wichtig, ihre Compliance-Programme zu evaluieren, da wir nicht nur von den Banken, sondern auch von den staatlichen Aufsichtsbehörden eine verstärkte Kontrolle erwarten.