Die BaFin beabsichtigt erstmalig die Veröffentlichung eines Rundschreibens zu den Mindest-anforderungen an das Risikomanagement (MaRisk) für Institute im Sinne des Zahlungs-dienstaufsichtsgesetzes (ZAG). Wir haben uns die dort getroffenen Regelungen genauer ange-schaut und diese mit den Regelungen der BaFin für Institute im Sinne des KWG verglichen.
Im Aufsichtsrecht ist es üblich, dass die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihre Verwaltungspraxis bezüglich der Anforderungen an die einzelnen Institute durch Rundschreiben konkretisiert.
Hiervon machte die BaFin für Kredit- und Finanzdienstleistungsinstitute sowie für große Wertpapierinstitute nach KWG/WpIG Gebrauch und veröffentlichte die MaRisk BA (zuletzt angepasst im Juni 2023 mit Rundschreiben 05/23 (BA)). Dort konkretisierte sie unter ande-rem die Rahmenbedingungen hinsichtlich der Ausgestaltung des Risikomanagements der ein-zelnen Institute.
Das nun zur Konsultation veröffentlichte Rundschreiben ZAG-MaRisk nimmt die unter dem ZAG beaufsichtigten Institute in den Blick. Zentrale Elemente des Rundschreibens sind Rege-lungen der BaFin hinsichtlich der Anforderungen an die ordnungsgemäße Geschäftsorganisa-tion der Institute, Konkretisierungen der Sicherungsanforderungen, Anforderungen zur Be-trugsprävention und Vorgaben zur Auslagerung.
Die BaFin nutzt das Rundschreiben, um den ZAG-Instituten einen praxisnahen Rahmen vor-zugeben und konkrete Anforderungen zu definieren, die eine ordnungsgemäße Geschäftsorga-nisation gewährleisten sollen. Deren wesentliche Merkmale sind zum einen die Schaffung an-gemessener Maßnahmen zur Steuerung des Unternehmens sowie andererseits Kontrollme-chanismen und Verfahren, die sicherstellen sollen, dass das Institut seine Verpflichtungen erfüllt.
Innerhalb der Institute ist die Geschäftsleitung für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich. Dies umfasst insbesondere auch das Risikoma-nagement. Um Risiken einzuschätzen und ihnen entsprechend begegnen zu können, muss jeder Geschäftsleiter Kontroll- und Überwachungsprozesse und eine angemessene Risikokul-tur schaffen. Unter Letzterem versteht die BaFin ein klares Bekenntnis der Geschäftsleitung zu risikoangemessenem Verhalten und eine regelmäßige Kontrolle, ob dies durch die Mitarbeiter realisiert und beachtet wird.
Als Grundlage der Kontrolle und Überwachung möglicher Risiken dient eine Risikoanalyse, die durch das Institut durchzuführen ist. Um ein umfassendes Risikoprofil erstellen zu können, haben die Institute auch ESG-Risiken angemessen und explizit einzubeziehen. Gemeint sind mit ESG-Risiken Ereignisse oder Bedingungen aus den Bereichen Umwelt, Soziales oder Un-ternehmensführung, deren Eintreten potenziell negative Auswirkungen für das Unternehmen hat. Es geht demnach gerade nicht um Umweltrisiken, die von dem Unternehmen ausgehen. Die hier ermittelten ESG-Risiken können als Grundlage/Ergänzung zu sonstigen Reporting-Verpflichtungen dienen (z.B. CSRD).
Wird auf diesem Wege ein Risiko als „wesentlich“ eingestuft oder entsteht durch die Konzent-ration ein besonderes Risiko, müssen institutsseitig besondere Maßnahmen ergriffen werden. Das neue Rundschreiben rückt hierbei besondere Risikokonstellationen in den Fokus.
Im Rahmen der Sicherungsanforderungen für die Entgegennahme von Geldbeträgen (§§ 17 und 18 ZAG), die Zahlungsinstitute und E-Geldinstitute erfüllen müssen, trägt das neue Rund-schreiben dem Umstand Rechnung, dass diese – anders als Kreditinstitute – nicht berechtigt sind, Kundengelder zu halten.
Um den Sicherungsanforderungen zu entsprechen, bietet das ZAG den verpflichteten Instituten drei Möglichkeiten:
(i) Hinterlegung auf einem Treuhandkonto,
(ii) Anlage in sichere liquide Aktiva mit niedrigem Risiko nach Abstimmung mit der BaFin, oder
(iii) Absicherung durch eine Versicherung oder gleichwertige Garantie.
Die BaFin führt nunmehr im Konsultationsentwurf aus, welche Anforderungen ein Treuhandkonto erfüllen muss. Die Vorgaben dienen im Wesentlichen dazu, eine Vermischung von Kunden- und Institutsgeldern zum Schutze der Kunden zu verhindern.
Weiterhin konkretisiert die BaFin in ihrer Konsultation die Anforderungen an den Umgang mit (möglichen) betrügerischen Handlungen zu Lasten der Kunden eines ZAG-Instituts.
Hierdurch werden die ZAG-Institute zur Einrichtung geeigneter organisatorischer Maßnahmen und Verfahren verpflichtet, um
(i) eine effektive Betrugsprävention zu gewährleisten und
(ii) angemessen, schnell und effektiv auf Sicherheitsvorfälle und sicherheitsbezogene Kundenbeschwerden reagieren zu können.
Im Einzelfall bedeutet dies, dass das ZAG-Institut organisatorisch in der Lage sein muss, Sicherheitsvorfälle zu überwachen, angemessen zu handhaben und die erforderlichen Folgemaßnahmen zu ergreifen.
Ferner muss das ZAG-Institut eine geeignete Kontaktstelle (gemeint ist ein Kundensupport-Kanal) einrichten, die ihren Kunden für die Einreichung sicherheitsrelevanter Beschwerden zur Verfügung steht und die in der Lage ist, die Kundenbeschwerden wirksam und zeitnah zu bearbeiten.
Abschließend haben ZAG-Institute geeignete Verfahren einzurichten, um die gesetzlichen Meldepflichten (wir berichteten hierzu) zu erfüllen. Die Verfahren müssen dokumentiert werden und so gestaltet sein, dass keine Interessenskonflikte im Meldeprozess entstehen.
Die BaFin stellt zwar auch die organisatorischen Anforderungen bei der Inanspruchnahme von Agenten dar. Allerdings handelt es sich nur um eine Zusammenfassung der Anforderungen, die bereits im ZAG niedergeschrieben sind. Wirkliche Konkretisierungen oder weitergehende Anforderungen bietet der Konsultationsentwurf jedoch nicht.
Bereits bisher hatte die BaFin ZAG-Institute darauf hinwegwiesen, dass die MaRisk für das KWG insbesondere im Bereich der Anforderungen an die Auslagerung auch Anhaltspunkte für ZAG-Institute liefert.
Konsequenterweise weist der zur Konsultation gestellte Entwurf hinsichtlich der Auslagerung von Aktivitäten und Prozessen durch ZAG-Institute nur mit geringfügigen redaktionellen Anpassungen von der MaRisk BA ab. Inhaltlich führt die BaFin ihre etablierte Verwaltungspraxis fort.
So soll der einmalige oder gelegentliche Bezug von Dienstleistungen oder Waren oder der Bezug solcher Leistungen, die typischerweise von beaufsichtigten Unternehmen bezogen werden und von diesen nicht eigenständig erbracht werden können weiterhin keine Auslagerung darstellen.
Dagegen obliegt es auch weiterhin dem beaufsichtigten Institut, mittels einer eigenständig durchzuführenden Risikoanalyse zu ermitteln, wie eine wahrgenommene Dienstleistung zu qualifizieren ist. Handelt es sich um eine „einfache“ Auslagerung, so bleibt das Institut den allgemeinen Anforderungen unterworfen, die das ZAG an eine ordnungsgemäße Geschäftsorganisation stellt. Stellt das Institut im Rahmen der Risikoanalyse dagegen fest, dass es sich um eine „wesentliche“ Auslagerung handelt, ist es umfangreicheren Pflichten unterworfen.
Einschränkend gilt jedoch auch für ZAG-Institute, dass die Leitungsaufgaben der Geschäftsführung nicht Gegenstand einer Auslagerung sein können und zu jeder Zeit gewährleistet bleiben muss, dass die aufsichtsrechtlichen Pflichten eingehalten werden und der Auslagerungsdienstleister jederzeit den Weisungen des beaufsichtigten Instituts unterworfen bleibt.
Im Vorfeld der Veröffentlichung des Rundschreibens gibt die BaFin sämtlichen ZAG-Instituten die Gelegenheit, im Rahmen der Konsultation Stellungnahmen einzureichen. Zur Förderung der Transparenz des Verwaltungshandelns beabsichtigt die BaFin, sämtliche Stellungnahmen auf ihrer Internetseite zu veröffentlichen.
Mit ihrem Rundschreiben schafft die BaFin nun auch Klarheit über den Umfang und die Ausgestaltung der Pflichten, die ZAG-Institute treffen. Dies ist zu begrüßen. Wenn die Abweichungen gegenüber der MaRisk BA auf den ersten Blick auch geringfügig erscheinen, empfiehlt sich eine gründliche Prüfung, um eine ausreichende und qualitative Compliance zu gewährleisten. Spannend wird in Zukunft insbesondere die Frage werden, ob die zum Großteil der MaRisk BA entnommenen Verwaltungsregeln (wenn auch zum Großteil bereits gelebt) auch praktisch zur ZAG-Institutsaufsicht passen. So könnten sich etwa die Anforderungen zu Neu-Produkt-Prozessen im sich ständig wandelnden Open-Banking/Open Finance Bereich als zu träge erweisen.
Mit freundlicher Unterstützung von Manuel Traub, wissenschaftlicher Mitarbeiter.