Mit Blick auf bestimmte Finanzprodukte bestehen zahlreiche Vorgaben zur Product Governance. Hiernach müssen die Finanzprodukte so gestaltet und vertrieben werden, dass sie vor allem auch den Interessen der Kunden dienen. Wesentliches Ziel ist hierbei der Verbraucherschutz. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat hierzu das Rundschreiben 08/2023 – Überwachung und Governance von Bankprodukten im Privatkundengeschäft (abrufbar hier) erlassen, in dem sie die Leitlinien der Europäischen Bankenaufsicht (EBA – EBA-POG-GL, EBA/GL/2015/18) in die deutsche Aufsichtspraxis übernimmt. Diese geben einen Rahmen für die Überwachung und Governance von Bankprodukten, Zahlungsdiensten und E-Geld-Produkten vor und formulieren bestimmte Anforderungen an Produkthersteller und Produktvertreiber. Vor dem Hintergrund des am 27. Mai 2024 veröffentlichen Rundschreibens Mindestanforderungen an das Risikomanagement von ZAG-Instituten (ZAG-MaRisk, abrufbar hier; siehe hierzu bereits BaFin konsultiert MaRisk für Zahlungs- und E-Geldinstitute) hat die BaFin am 30. August 2024 das Rundschreiben zur Überwachung und Governance von Bankprodukten im Privatkundengeschäft aktualisiert.
Die Anforderungen des Rundschreibens gelten für Hersteller und Vertreiber von Produkten, die Verbrauchern angeboten und verkauft werden. Als Produkte kommen hierbei Verbraucherdarlehen und Einlagenprodukte, Zahlungsdienste und E-Geld-Produkte in Betracht. Anforderungen an die Product Governance werden sowohl an die Produkthersteller als auch an die Produktvertreiber formuliert und die Pflichten hiernach differenziert. Bei Produktherstellern handelt es sich um Unternehmen, welche Produkte zum Angebot an Verbraucher konzipieren. Neben CRR-Kreditinstituten kommen auch Zahlungs- und E-Geld-Institute in Betracht. Produktvertreiber sind wiederum Unternehmen, welche die Produkte an Verbraucher anbieten und/oder verkaufen oder ohne an der Konzeption mitzuwirken für die Vermarktung zuständig sind. Das Rundschreiben gibt hierbei vor, wie die Produkthersteller und -vertreiber die konzipierten bzw. vertriebenen Produkte überwachen und ihre Governance gestalten müssen. Ziel ist hierbei, dass sich der Herstellungs- und Vertriebsprozess von Finanzprodukten vor allem an den Kundeninteressen orientiert. Konkrete Vorgaben werden insoweit an die internen Prozesse, die Produktkonzeption, die Markteinführung und die Produktüberprüfung aufgestellt. Wichtig ist hierbei, dass sich die Vorgaben auf den gesamten Lebenszyklus der Finanzprodukte beziehen.
Die Regelungen des Rundschreibens bilden nach der Auffassung der BaFin ein wesentliches Element der allgemeinen organisatorischen Anforderungen an die internen Kontrollsysteme der Institute. Im bisherigen Rundschreiben wurde hierzu Bezug genommen auf die Mindestanforderungen an das Risikomanagement für Kredit- und Finanzdienstleistungsinstitute (MaRisk). Auf Zahlungs- und E-Geld-Institute, die unter das ZAG aber nicht unter das KWG fallen, sind die allgemeinen MaRisk jedoch nicht anwendbar. Die Passagen, die sich auf die MaRisk beziehen, galten unmittelbar insoweit nur für KWG-Institute.
Dabei treffen auch ZAG-Institute Anforderungen an das Risikomanagement. Die BaFin hat nun zum ersten Mal Mindestanforderungen hierzu formuliert. Durch die Anpassungen des Rundschreibens gelten nunmehr durch die Bezugnahme auf die ZAG-MaRisk auch die Anforderungen, die bisher KWG-Institute trafen, direkt auch für ZAG-Institute. Insofern besteht nun mehr Rechtssicherheit. So erwartet etwa die BaFin bei der Einführung von neuen Produkten vom Produkthersteller, dass die Regelungen für die Produktüberwachung und Governance im Rahmen der Genehmigungsstrategie für neue Produkte (sog. Neu-Produkt-Prozess, NPP) im Einklang mit den Anforderungen der MaRisk bzw. ZAG-MaRisk erfolgt. Zudem müssen im Sinne der jeweils anwendbaren Mindestanforderungen die Regelungen für die Produktüberwachung und Governance im Rahmen der Unternehmensführung und das Risikomanagement integriert werden. Dies gilt ebenfalls für die Zuständigkeiten für die Beaufsichtigung dieses Prozesses durch die Risikocontrolling und die Compliance-Funktion.
Den Rundenschreiben der BaFin kommt in der Praxis eine erhebliche Bedeutung zu. Rechtlich sind diese zwar nicht bindend. Allerdings spielen diese in der Aufsichtspraxis eine erhebliche Rolle, sodass Institute faktisch zur Umsetzung verpflichtet sind. Die betroffenen Unternehmen müssen demnach, entsprechend der von der BaFin eingeräumten Frist zur Umsetzung der ZAG-MaRisk, die Anforderungen des aktualisierten Rundschreibens zur Überwachung und Governance von Bankprodukten im Privatkundengeschäft bis zum 1. Januar 2025 umzusetzen. Daher sollten diese bereits jetzt prüfen, ob und inwiefern Anpassungen an den bestehenden Strukturen und Prozessen notwendig sind. Die redaktionellen Anpassungen des Rundschreibens treten jedoch aufgrund der beibehaltenen Verwaltungspraxis der BaFin bereits am 30. August 2024 in Kraft.
Mit freundlicher Unterstützung von Apostolos Mitsios (wissenschaftlicher Mitarbeiter)