Neues von der BaFin für die Finanzwelt

Post aus Bonn und Frankfurt – Neue Regulatorik zur MaRisk und BAIT

Die aktuell gültige siebte Fassung der MaRisk wurde nach Prüfung der Stellungnahmen zum ursprünglichen Entwurf und der anschließenden Diskussion im Rahmen des Fachgremiums MaRisk am 16.08.2021 veröffentlicht.

Seitdem sind ein paar Hektoliter Wasser den Main und Rhein heruntergeflossen, doch haben die wenigsten FinTechs, NewIns bzw, Banken und Versicherungen die neuen Regeln bereits umgesetzt. Woran es klemmt, zeigen
wir in den nächsten Zeilen.

Die Treiber für die 6. Novelle Haupttreiber der aktuellen Überarbeitung waren Änderungen der internationalen Regelsetzung. Mit der aktuellen MaRisk-Novelle werden die Leitlinien der EBA (Europäische Bankenaufsicht) zu not leidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposures – NPE Guidelines) sowie zu Auslagerungen (Guidelines on outsourcing arrangements – Outsourcing Guidelines) sowie zum Information Communication Technology (ICT) Risk (Guidelines on ICT and Security Risk Management – ICT Guidelines) umgesetzt.

Wichtig!: Für die neuen Anforderungen gilt in der Regel eine Umsetzungsfrist bis zum 01.01.2022; Ausnahmen sind entsprechend gekennzeichnet.

Für wen gilt die MaRisk und was regelt Sie genau?

Der allgemeine Teil (AT) der MaRisk liefert unter Ziffer 2.1 den Anwendungsbereich für zwei Arten von Finanzdienstleistern.

AT 2.1 (1) – umfänglich AT 2.1 (2) – bedingt
Alle Institute im Sinne von § 1 Abs. 1b KWG bzw. im Sinne von § 53 Abs. 1 KWG zu beachten. Sie gelten auch für die Zweigniederlassungen deutscher Institute im Ausland.

Die Anforderungen in Modul AT 4.5 sind von übergeordneten Unternehmen auf Gruppenebene (Holding) zu beachten.

 

Finanzdienstleistungsinstitute und große Wertpapierfirmen gemäß § 2 Abs. 18 des Wertpapierinstitutsgesetzes, welche aufgrund der Vorgabe des § 4 dieses Gesetzes zur Anwendung der §§ 25a und 25b des KWG verpflichtet sind.

Das soll vor dem Hintergrund der Institutsgröße sowie Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten zur Einhaltung der gesetzlichen Pflichten aus §§ 25a und 25b KWG erfolgen.

insbesondere die Module AT 3, AT 5, AT 7 und AT 9.

Was sind die großen Änderungen ?

Zunächst ist nach Angleichungen, Anpassungen und Konkretisierungen zu unterscheiden. Hinzu kommen überschaubare Neuerungen aus den Vorgaben der Europäischen Bankenaufsicht (EBA).

Die Unterscheidung zwischen wesentlichen und nicht wesentlichen Auslagerungen ist weiter aufgeweicht worden.  So gilt jetzt für nicht wesentliche Auslagerungen auch die Aufnahme ins Auslagerungsregister und die Vereinbarung von Informations- und Prüfungsrechten. Änderungen sind der vertraglichen Hinsicht und der Aufbau- und Ablauforganisation zuzuordnen.

Wie sehen die Änderungen vertraglicher Anforderungen aus?

Auf Basis der EBA Leitlinien zu Auslagerungen enthält die MaRisk Novelle folgende Punkte die zwingend in „Outsourcing-Verträgen“ zu regeln sind:

  1. Spezifikation und Abgrenzen von zu erbringenden Leistungen (keine einseitigen Leistungsscheine, sondern besser Schnittstellenpapier!)
  2. Datum des Beginns und Ende des Auslagerungsvertrages (Rückabwicklung nicht vergessen, Projektplan und Exit Strategy)
  3. Rechtswahl sofern deutsches Recht nicht Gegenstand
  4. Standorte (Regionen, Länder, Städte) für die Leistungserbringung (aber auch Datenspeicherung und Benachrichtungspflichten
  5. Vereinbarte und eindeutige Dienstleistungsgrade bzw. -güte (Kennzahlensystem statt einzelner KPIs und SLAs)
  6. Absichern weiterführender Risiken der Auslagerung (Rückversicherung, D&O Versicherung, Garantien für Insolvenz
  7. Anforderungen für Notfallkonzepte bzw. -management (Geschäftsfortführungsmanagement mit stetiger Verbesserung)
  8. Festlegen von Informations- und Prüfungsrechten (Dokumentation, Berichterstattung, Audit, Revision)
  9. Sicherstellen der Rechte der Aufsichtsbehörden (Kontrollmöglichkeiten, Berichte, Prüfungen)
  10. Weisungsrechte sofern erforderlich (Gefahr der Arbeitsnehmerüberlassung, Direktionsrechte, Funktionsübertragung.
  11. Datenschutz und Informationssicherheit (bestenfalls auf internationale Standards abzielen)
  12. Regelungen über Weiterverlagerungen (Subvergabe) (Subkontrakte, Genehmigungspflichten, Kontrolle)
  13. Informationspflichten des Leistungsgebers (maßgebliche Entwicklungen, Compliance-Relevanz)

Welche Anforderungen ergeben sich darüber hinaus?

Das sind im Kern Änderungen in der Aufbau- und Ablauforganisation des Instituts. Wie auch schon in den anderen Punkten sind bei Auslagerungen gemäß dem Allgemeinen Teil (AT) 5 Leitlinien zu den Verfahrensweisen festzuschreiben. Die schriftlich fixierte Ordnung (SFO), d.h. Handbücher, Arbeitsanweisungen, Prozessbeschreibungen, soll somit auch nicht wesentliche Auslagerungen abdecken.

Das Auslagerungsregister (AT 9 Tz 14.) ist gemäß §25b Abs. 1 KWG ab 01.01.2022 (Auslöser ist das FISG – Finanzmarktintegritätsgesetz vom 28.11.2021) zu verbindlich zu führen. Es beinhaltet ebenfalls wesentliche und nicht wesentliche Auslagerungen. Die Benennung eines Auslagerungsbeauftragten und die Einrichtung eines zentralen Auslagerungsmanagements sind gemäß AT 9 Tz 12 weitere Regelungen.

Erstmals ist das auslagernde Institut (Leistungsempfänger) in der Verantwortung beim Auslagerungsunternehmen (Leistungsgeber) nach AT 9 Tz. 4 eine Befugnis zur Leistungserbringung sicherzustellen. Das beinhaltet auch die Befugnis im Sitzland zur Erbringung der entsprechenden Dienstleistung im Finanzsektor und die Vereinbarungen zwischen den Aufsichtsbehörden.

Auch in der Risikoanalyse sind zusätzliche Faktoren zu berücksichtigen:

  • Risikokonzentration (Konkretisierung) auf gleichartige Auslagerungen
  • Politische Risiken
  • Maßnahmen zur Steuerung und Behandlung von Risiken
  • (Potenzielle) Interessenkonflikte
  • Schutzbedarf der Daten, etc.

Welche internationalen Standards oder Normen unterstützen das Umsetzen der MaRisk?

  • BSI Grundschutzkataloge (mehr als Nachschlagewerk)
  • ISO/IEC 27001 (Kontrollen) bzw. ISO/IEC 27002 (Praktiken)
  • Fachspezifische Standards (z.B. COBIT 2019, ISO/IEC 27034)

Wo finde ich Umsetzungsleitfäden bzw. Hinweise auf Maßnahmen einer Umsetzung?

Es eignen sich folgende Leitfaden oder Rahmenwerke:

  • Business Process Outsourcing (BITKOM)
  • Anwendung des BSI C5 durch Interne Revision und Informationssicherheit (ISACA)
  • IT-Compliance Grundlagen, Regelwerke, Umsetzung (ISACA)
  • 2.1: Outsourcing für Kunden (BSI Grundschutz)

Für die Auslagerungen an Cloud-Anbieter bietet die BaFin und das BSI besondere Publikation an.

  • Orientierungshilfe zu Auslagerungen an Cloud- Anbieter (BaFin)
  • Sichere Nutzung von Cloud- Diensten (BSI)

Dr. Gerd Grimberger, 30. September 2021

Rechtsinformatiker
Transaction Lawyer

Weitere Beiträge

Nach oben scrollen