Im neuen Jahr 2021 steht eine Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin ins Haus. Ende Oktober 2020 stellte die BaFin einen Konsultationsentwurf zur Neufassung der MaRisk vor. Nach der inzwischen abgelaufenen Konsultationsphase im November und Dezember ist in Kürze die Verabschiedung der Neufassung zu erwarten.

Die 6. MaRisk-Novelle bringt eine Vielzahl neuer Regelungen und Konkretisierungen in unterschiedlichen Bereichen des Risikomanagements für Kredit- und Finanzdienstleistungsinstitute. Die Änderungen beruhen auf den Leitlinien der European Banking Authority (EBA) zu notleidenden und gestundeten Risikopositionen (Guidelines on management of non-performing and forborne exposures – NPE Guidelines), zu Auslagerungen (Guidelines on outsourcing arrangements), sowie den ICT Guidelines (Guidelines on Information and Communications Technology and Security Risk Management). Hier ein Überblick über die geplanten Neuregelungen:

Regelungen für Institute mit hohem Bestand an notleidenden Risikopositionen

Die NPE Guidelines machen Vorgaben für Kreditinstitute für das Management notleidender und gestundeter Risikopositionen. Anwendbar sind die in Abschnitt 4 der MaRisk umgesetzten Regelungen auf Institute mit einer Quote notleidender Kredite (non-performing loans – NPLs) von 5% oder mehr. Die BaFin kann aber auch solche Institute zur Einhaltung dieser Vorgaben verpflichten, die zwar unter der 5%-Schwelle liegen, aber einen hohen Anteil an NPEs in einem einzigen Portfolio aufweisen.

Entwicklung einer Risikostrategie

Institute mit hohem NPL-Bestand haben eine Strategie für notleidende Risikopositionen und einen entsprechenden Implementierungsplan zu entwickeln, um den Anteil von NPEs auf ein festgelegtes Ziel zu reduzieren. Die MaRisk geben hierbei die Entwicklung einer Risikostrategie in drei zentralen Schritte vor:

• Beurteilung des operativen Geschäftsumfelds und der externen Bedingungen,

• Entwicklung der kurz-, mittel- und langfristigen Strategie für notleidende Risikopositionen,

• Umsetzung des Implementierungsplans.

Zu begrüßen ist, dass diese recht allgemein formulierten Schritte um detaillierte Erläuterungen ergänzt wurden, was es Instituten erleichtert, die Vorgaben der BaFin umzusetzen. Sie müssen insbesondere quantitative und zeitliche Ziele zum Abbau von NPEs definieren, sodass sich die BaFin mit einer vage gehaltenen Risikostrategie nicht begnügen wird. Zudem sind die Fortschritte bei der Umsetzung des Implementierungsplans anhand von Key Performance Indicators (KPI) zu überprüfen. Mindestanforderungen an die KPI sind im Abschnitt zur Risikocontrolling-Funktion näher definiert. Bei wesentlichen Abweichungen von den festgelegten Zielen ist die BaFin zu informieren.

Besondere Anforderungen an die Risikocontrolling-Funktion

Für alle Institute gilt, dass sie über eine unabhängige, organisatorisch von bestimmten Bereichen abgetrennte Risikocontrolling-Funktion verfügen müssen. Die Aufgaben der Risikocontrolling-Funktion umfassen etwa die Erstellung eines Gesamtrisikoprofils, von Risikoberichten oder die Unterstützung der Geschäftsleitung bei der Entwicklung und Umsetzung einer Risikostrategie. Bei Instituten mit hohem NPL-Bestand ist die Risikocontrolling-Funktion für die Überwachung der NPE-bezogenen Risiken und der Fortschritte bei der Umsetzung der Risikostrategie zuständig.

Der Abschnitt BTO 1.2 der MaRisk regelt Anforderungen an Prozesse des Instituts im Kreditgeschäft. Neu ist, dass Institute mit hohem NPL-Bestand spezialisierte, vom Kreditvergabeprozess getrennte NPE-Abwicklungseinheiten einzurichten haben (NPE-Workout Units). Diese sollen nach dem Proportionalitätsgrundsatz Größe, Art, Komplexität und Risikoprofil des Instituts entsprechen. Wie schon zuvor haben Institute Kriterien festzulegen, wann Kreditengagements an Sanierungs- oder Abwicklungseinheiten abzugeben sind. Bei der Festlegung dieser Kriterien sind nun auch Indikatoren für die Einstufung als NPEs zu berücksichtigen. Die Institute haben sicherzustellen, dass eine einheitliche NPE-Definition in allen Niederlassungen und Filialen verwendet wird.

Forbearance

Die NPE Guidelines sehen detaillierte Regelungen rund um sogenannte Forbearance-Maßnahmen vor, welche auf alle Institute anwendbar sind. Hierzu wurde in den Anforderungen der MaRisk ein Verfahren zur Früherkennung von Risiken der Unterabschnitt BTO 1.3.2 geschaffen. Forbearance-Maßnahmen bezeichnen Zugeständnisse an Kreditnehmer zur Schaffung eines nicht notleidenden Rückzahlungsstatus, etwa Stundungen. Institute haben eine Forbearance Richtlinie zu verabschieden, in der Prozesse zur Gewährung von Forbearance-Maßnahmen, die verfügbaren Maßnahmen selbst sowie deren Dokumentation und Prüfung festgelegt werden. Das Institut hat Kriterien zu entwickeln, anhand derer eine Einstufung von Forborne exposures (gestundete Risikopositionen) als notleidend oder nicht-notleidend (non-performing) erfolgen kann.

Auslagerungen

Wollen Institute externe Dienstleister bei der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Leistungen einbinden, ist dies nur unter den Voraussetzungen des § 25b KWG, präzisiert durch den Abschnitt AT 9 der MaRisk, zulässig. Auf Grundlage der EBA Leitlinien zu Auslagerungen werden zahlreiche neue Anforderungen und Konkretisierungen eingeführt, welche den gesamten Auslagerungsprozess von der Risikoanalyse, über die Ausgestaltung von Auslagerungsvereinbarungen bis hin zur Überwachung und Kontrolle von Auslagerungsrisiken durch Institute umfassen. Präzisiert wird gleich zu Beginn des Abschnitts, wann der Tatbestand einer Auslagerung trotz Übertragung von Prozessen auf ein anderes Unternehmen nicht erfüllt und damit der Anwendungsbereich der Regelungen nicht eröffnet ist.

Ein Überblick über die wichtigsten Neuerungen:

Sonstiger Fremdbezug von Leistungen nicht im Anwendungsbereich des § 25b KWG

Der Katalog von Prozessen, die als sonstiger Fremdbezug von Leistungen schon nicht unter die Definition des Auslagerungsbegriffs fallen, wird erweitert. Die Regelungen zu § 25b KWG sind auf den Bezug derartiger Dienstleistungen und Güter nicht anwendbar. Nach wie vor hat das Institut aber auch hier die Pflicht, die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten. Ergänzt wurde der Katalog etwa um die Nutzung von globalen Zahlungsverkehrsinfrastrukturen (z.B. Kartenzahlungsverfahren).

Vorgaben zur Risikoanalyse

Bei den Vorgaben zur Risikoanalyse hat die BaFin vor allem ihre Erläuterungen um weitere Bewertungskriterien, die bei der Risikoanalyse zu berücksichtigen sind, erweitert und schon vorhandene Kriterien konkretisiert. Institute sollen nun ausdrücklich etwa politische Risiken, Interessenkonflikte oder Aspekte des Datenschutzes im Zusammenhang mit der vorgesehenen Auslagerung beachten.

Ergänzt wurde die Vorgabe, die Risikoanalyse – soweit sinnvoll – durch eine Szenarioanalyse zu ergänzen, bei der die Auswirkungen möglicher Risikoereignisse, wie etwa die mangelhafte Erbringung der ausgelagerten Dienstleistung durch das Auslagerungsunternehmen, durchgespielt werden.

Ausdrücklich fordert die BaFin nun, die mit Weiterverlagerungen, insbesondere langen und komplexen Auslagerungsketten verbunden Risiken im Rahmen der Risikoanalyse zu bewerten.

Erleichterungen für Gruppenstrukturen bei Risikoanalyse und -management

Für Institutsgruppen, Finanzholding-Gruppen und Finanzkonglomerate schafft der Konsultationsentwurf einige Erleichterungen in Hinblick auf Risikoanalyse und -management. So können Institute die Risikobewertung etwa dadurch positiv beeinflussen, dass sie bei gruppen- und verbundinternen Auslagerungen ein einheitliches und umfassendes Risikomanagement etablieren. Lagern mehrere Institute einer Gruppe oder eines Verbundes an gemeinsame Auslagerungsunternehmen aus, so können sie ein zentrales Auslagerungsmanagement einrichten.

Auslagerung von Leitungsaufgaben weiterhin unzulässig – Auslagerung kritischer Bereiche erleichtert

Die Regelungen hinsichtlich des Verbots der Auslagerung von Leitungsaufgaben der Geschäftsleitung und der besonderen Anforderungen an Auslagerungsmaßnahmen bei der Auslagerung von Kontroll- oder Kernbankbereichen (z.B. Compliance-Funktion oder interne Revision) hat die BaFin ebenfalls überarbeitet:

• Das Verbot der Auslagerung von Leitungsaufgaben der Geschäftsleitung wird aufrechterhalten. Ausdrücklich formuliert die BaFin nunmehr, dass Auslagerungen nicht dazu führen dürfen, dass das Institut nur noch als leere Hülle (empty shell) existiert.

• Die vollständige Auslagerung der besonderen Bereiche Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision ist nach wie vor nur gruppenintern zulässig, wenn das auslagernde Institut hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor und hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. Durch die Ersetzung der Formulierung „[…] sofern das übergeordnete Institut Auslagerungsunternehmen ist […]“ sind nun jedoch auch entsprechende Auslagerungen an Schwesterunternehmen innerhalb der Institutsgruppe zulässig.

Betonung der Relevanz etwaiger Erlaubnispflichten von Auslagerungsunternehmen

Systematisch ein wenig überraschend geht die BaFin in den Erläuterungen zur Teilziffer betreffend Leitungsaufgaben der Geschäftsleitung auf die Frage der Erlaubnispflicht von Auslagerungsunternehmen, insbesondere im EWR-Ausland und in Drittstaaten, ein. Zunächst führt die BaFin allgemein aus, es sei sicherzustellen, „dass das Auslagerungsunternehmen nach dem Recht seines Sitzlandes zur Ausübung der ausgelagerten Aktivitäten und Prozesse befugt ist und über dazu ggf. erforderliche Erlaubnisse und Registrierungen verfügt“.

Während diese Formulierung zunächst selbstverständlich klingt (der Deckmantel eines Auslagerungsvertrages befugt das Auslagerungsunternehmen nicht dazu, sich zur Bank aufzuschwingen), so wirft diese Formulierung doch schwierige Abgrenzungsfragen auf, ohne dass die BaFin nähere Abgrenzungskriterien an die Hand gibt.

Denn die Formulierung ist wohl nicht so weitgehend zu verstehen, dass jedes Unternehmen, das als Auslagerungsunternehmen einen – auch ggf. wichtigen – Teilakt einer Bank- oder Finanzdienstleistung erbringt, einer eigenen Erlaubnis für diese bedürfte. Dann wären nämlich (von der BaFin in langjähriger Praxis akzeptierte) Modelle obsolet, bei denen das lizenzierte Institut als „White Label“ Institut beim Marktauftritt eher im Hintergrund bleibt und wichtige Elemente des lizenzpflichtigen Geschäftes durch Auslagerungsunternehmen ausführen lässt, die allerdings im Namen des lizenzierten Institutes handeln, welches diese Aktivitäten zu überwachen und zu steuern hat. Für diese Modelle gilt der Grundsatz „Soweit ein externer Dienstleister Leistungen ausschließlich in offener Stellvertretung für das lizenzierte Institut erbringt, benötigt er keine eigene Erlaubnis nach § 32 KWG“ (Zitat aus dem KWG-Kommentar Boos/Fischer/Schulte-Mattler/Wolfgarten, 5. Aufl. 2016, § 25b Rn. 37, in Übereinstimmung mit langjähriger Rechtsprechung des Bundesverwaltungsgerichts).

Welche Kriterien nun für die Frage der Erlaubnispflicht des Auslagerungsunternehmens gelten sollen, lassen die MaRisk leider offen. Eine Andeutung findet sich in einer weiteren Passage, wonach das auslagernde Institut die Lizenzsituation des Auslagerungsunternehmens klären muss, „sofern es sich um ausgelagerte Aktivitäten oder Prozesse von Bankgeschäften in einem Umfang handelt, der innerhalb des EWR eine Zulassung oder Registrierung durch die zuständigen Aufsichtsbehörden erfordern würde“. Allerdings ist der „Umfang“ ein schwer handhabbares Kriterium. Es kommt weniger auf die Quantität, sondern auf die Qualität der Handlungen an, was das vorgenannte Literaturzitat zur Erlaubnispflicht gemäß § 32 KWG deutlich macht: wer nach außen erkennbar im Namen des Institutes Teilakte des lizenzpflichtigen Geschäftes ausführt, benötigt keine eigene Erlaubnis (auch wenn dies in großem Umfang passiert).

Insgesamt entsteht allerdings nicht der Eindruck, dass die BaFin mit der vorliegenden Novelle einen von der bisher allgemein anerkannten Dogmatik abweichenden Akzent setzen möchte. Vielmehr möchte die BaFin lediglich eins zu eins eine entsprechende Passage der EBA-Leitlinien zu Auslagerungsunternehmen, dort Tz. 62 ff., umsetzen.

In diesem Abschnitt der EBA-Leitlinien geht es nicht um die Definition der Schwelle, ab wann das Auslagerungsunternehmen materiell die Erlaubnisschwelle überschreitet, sondern vielmehr um die Frage, aus welchen Staaten Lizenzen akzeptabel sind, wenn die (schwach konturierte) materielle Schwelle zur Lizenzpflichtigkeit des Auslagerungsunternehmens überschritten ist.

Zu dieser Frage ist die Antwort wie folgt: wenn das Auslagerungsunternehmen seinen Sitz im EWR hat, so kommt es auf eine Befugnis nach dem Recht dieses EWR-Staates an. Wenn das Unternehmen seinen Sitz in einem Drittstaat hat (z.B. Großbritannien, Schweiz), so gelten gemäß den EBA-Leitlinien / den neuen MaRisk folgende Grundsätze: erstens richtet es sich nach den innerhalb des EWR geltenden Maßstäben (nicht etwa z.B. nach britischem oder Schweizer Recht), ob die materielle Schwelle zur Erlaubnispflicht des Auslagerungsunternehmens überschritten ist. Zweitens ist eine Lizenz des Auslagerungsunternehmens aus dem Drittstaat nur dann akzeptabel, wenn zwischen der BaFin und den Aufsichtsbehörden des Drittstaates eine Kooperationsvereinbarung (z.B. ein Memorandum of Understanding oder eine sog. College-Vereinbarung) besteht, was zum Beispiel im Verhältnis Deutschland / EU vs. UK nur für einzelne Finanzdienstleistungssparten der Fall ist und sich zudem von Zeit zu Zeit ändern kann.

Ausgestaltung von Auslagerungsvereinbarungen

Der Katalog zwingender Inhalte, die die schriftliche Auslagerungsvereinbarung enthalten muss, wurde wesentlich erweitert. So müssen etwa die Standorte benannt werden, an denen die ausgelagerte Dienstleistung durchgeführt wird.

Informations- und Prüfungsrechte der internen Revision, externer Prüfer, sowie Kontrollmöglichkeiten der Aufsichtsbehörden bezüglich der ausgelagerten Prozesse

Die BaFin stellt klar, dass derartige Informations- und Prüfungsrechte möglichst auch für nicht wesentliche Auslagerungen vereinbart werden sollten, falls abzusehen ist, dass sie in naher oder mittlerer Zukunft als wesentlich eingestuft werden könnten. Die Vereinbarungen müssen auch Zugangsrechte zu relevanten Gebäuden des Auslagerungsunternehmens gewähren.

Kündigungsrechte

Die Auslagerungsvereinbarung muss Kündigungsrechte und angemessene Kündigungsfristen enthalten. Hierzu ergänzt die BaFin, dass das Auslagerungsunternehmen verpflichtet werden sollte, im Falle der Kündigung das Institut bei der Übertragung der ausgelagerten Prozesse an ein anderes Unternehmen zu unterstützten.

Datenschutz

Der Datenschutz wird gestärkt, indem u.a. nun auch in Vereinbarungen für nicht wesentliche Auslagerungen datenschutzrechtliche Regelungen getroffen werden sollen. Institute sollen im Bereich Datenschutz und Informationssicherheit einen risikobasierten Ansatz verfolgen.

Zentraler Auslagerungsbeauftragte und Auslagerungsregister

Auslagernde Institute haben die Funktion eines zentralen Auslagerungsbeauftragten zu schaffen. Dieser ist der Geschäftsleitung unmittelbar unterstellt, womit die BaFin dessen Bedeutung hervorhebt. Bei kleineren Instituten kann unter gewissen Voraussetzungen auch ein Mitglied der Geschäftsleitung diese Funktion übernehmen. Ob zusätzlich ein zentrales Auslagerungsmanagement zur Unterstützung des Auslagerungsbeauftragten einzurichten ist, hängt entsprechend des Proportionalitätsgrundsatzes von Art, Umfang und Komplexität der Auslagerungsaktivitäten ab. Neu ist auch die Pflicht zur Führung eines Auslagerungsregisters, in dem Informationen zu sämtlichen Auslagerungsvereinbarungen festgehalten werden.

Vorgaben zum Notfallmanagement

Die ICT Guidelines geben zahlreiche Neuerungen zum Notfallmanagement der Institute vor, welche im Konsultationsentwurf detailliert umgesetzt wurden. Die Institute haben Ziele zum Notfallmanagement zu definieren und für Notfälle in zeitkritischen Aktivitäten ein Notfallkonzept zu erstellen. Als zeitkritisch gelten solche Prozesse, deren Störung nicht mehr akzeptable Schäden beim Institut verursachen würde. Zur Ermittlung dieser Prozesse haben die Institute Auswirkungs- und Risikoanalysen (Business Impact und Risk Impact Analysen) durchzuführen. Das Notfallkonzept sieht Maßnahmen vor, wie zeitkritische Aktivitäten im Falle ihres Ausfalls wiederhergestellt werden können.

Sonstige Änderungen

Im Bereich Risikosteuerungs- und controllingprozesse gibt es Änderungen im Hinblick auf operationelle Risiken. Die Definition des Handelsgeschäfts wurde um Geschäfte in Kryptowerte ergänzt. Ferner wird in Abschnitt in AT 7.2 der Begriff des Informationsverbunds eingeführt.

Der Autor dankt dem Rechtsreferendar Herrn Raschied Ezzeldin für die wertvolle Mitarbeit an diesem Beitrag.