Novus FINANCIAL SERVICES - Ebner Stolz
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
1. AUSGABE 2021
novus
FINANCIAL SERVICES
Konsultation der Novellierung der BAIT Stärkung des Fonds-
6. MaRisk-Novelle zur Umsetzung der standorts Deutschland –
EBA ICT Guidelines – Entwurf eines Fonds-
Weitere Verschärfung der standortgesetzes
Anforderungen an die IT
novus EDITORIAL
Vorwort
Sehr geehrte Leserin, sehr geehrter Leser,
2020 war ein außergewöhnliches und von vielen Unsicherheiten geprägtes Jahr. Ein Befund
unserer letzten novus Financial Services Ausgabe 2019 hat sich allerdings auch in 2020 bewährt:
anhaltender Regulierungsdruck in der Finanzindustrie. Dieser Umstand wurde durch zwei „Black
Swans“ verstärkt: Eine weltweite Pandemie, deren Ausmaß nach ersten Fällen im Januar 2020
erst im Frühjahr des Vorjahres so richtig deutlich wurde, sowie ein Betrugsfall im letzten Sommer
in bis dahin ungekannter Größenordnung in Deutschland. Beide Ereignisse riefen den Gesetzgeber,
die Aufsicht sowie die Verwaltung in 2020 noch mehr als sonst auf den Plan. Aber der Reihe nach.
Im April 2020 hat die BaFin die Konsultation neuer Module der Mindestanforderungen an
die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten
(MaComp) veröffentlicht sowie verschiedene Module neu gefasst. Auch wenn die Konsultation
bereits im Juni 2020 endete, verschiebt sich die endgültige Veröffentlichung auf 2021. Im Mai
vergangenen Jahres hat die EU-Kommission einen neuen Aktionsplan im Kampf gegen Geldwäsche
vorgestellt, um verbleibende Schlupflöcher zu schließen. Für das erste Quartal 2021 ist u. a. ein
Vorschlag für ein stärker harmonisiertes Regelwerk (Verordnungen statt Richtlinien) angekündigt.
Außerdem hätte die 6. EU-Geldwäsche-Richtlinie in 2020 in deutsches Recht umgesetzt werden
müssen. Ein Gesetzesentwurf wurde jedoch erst Mitte Oktober 2020 veröffentlicht, der u. a. alle
Straftaten als Geldwäschevortaten einbezieht (All-Crime-Ansatz). Ebenfalls im Oktober erfolgten
die Konsultationen zum Entwurf einer Neufassung der Mindestanforderungen an das Risikoma-
nagement (MaRisk) sowie des Rundschreibens Bankaufsichtliche Anforderungen an die IT (BAIT).
In die MaRisk werden insb. die EBA-Leitlinien über das Management notleidender und gestunde-
ter Risikopositionen, Auslagerungen sowie für das Management von IKT- und Sicherheitsrisiken
implementiert sowie aufsichtlich notwendig erscheinende Anpassungen in den Bereichen opera-
tionelle und Liquiditätsrisiken, Handelsgeschäfte und Risikotragfähigkeit vorgenommen. Die
Novellierung der BAIT dient der Umsetzung der EBA ICT Guidelines und bringt weitere deutliche
Verschärfungen der Anforderungen an die IT der Institute. Beide Novellierungen werden voraus-
sichtlich kurzfristig nun Anfang 2021 endgültig veröffentlicht.
Auf steuerlicher Seite wurde im Oktober 2020 das BMF-Schreiben zu Anwendungsfragen zum
Investmentsteuergesetz vom 21.5.2019 erneut ergänzt. Alleine das Änderungsschreiben umfasst
79 Seiten, deren Auswirkungen im Einzelfall zu analysieren sind. Im darauf folgenden November
hat die BaFin das Verwahrstellenrundschreiben neu veröffentlicht. Zum Jahresende bestand wie-
der erhöhte Betriebsamkeit: Das BMF hat den Referentenentwurf eines Fondsstandortgesetzes
veröffentlicht, das den Fondsstandort Deutschland attraktiver machen soll. Die Bundesregierung
hat den Entwurf eines Gesetzes zur Einführung von elektronischen Wertpapieren veröffentlicht.
U. a. soll der elektronischen (Inhaber-) Schuldverschreibung bzw. dem elektronischen Wertpapier
qua Fiktion ebenso Sachqualität zukommen wie dem in einer Urkunde verkörperten (Inhaber-)
Wertpapier, so dass die Anknüpfung an das Sachenrecht für beide gegeben wäre. Zudem hat die
Bundesregierung den Entwurf eines Finanzmarktintegritätsstärkungsgesetzes veröffentlicht, mit
dem die Bilanzkontrolle gestärkt und die Abschlussprüfung weiter reguliert werden soll. Außer-
dem trat im Dezember das Gesetz zur Reduzierung von Risiken und zur Stärkung der Proportio-
nalität im Bankensektor (Risikoreduzierungsgesetz) sowie das Jahressteuergesetz 2020 mit zahl-
reichen Änderungen in Kraft.
Wir wünschen Ihnen viel Spaß bei der Lektüre der ersten 2021er-Ausgabe des novus Financial
Services. Bei Fragen stehen wir Ihnen wie gewohnt persönlich zur Verfügung. Gerne können Sie
Ihre Fragen und/oder Anmerkungen auch an novus.fs@ebnerstolz.de senden.
Marco Brinkmann
Steuerberater und Partner bei Ebner Stolz in Frankfurt
2
INHALT
AUFSICHTSRECHT
Konsultation der 6. MaRisk-Novelle 4
Novellierung der BAIT zur Umsetzung der EBA ICT Guidelines –
Weitere Verschärfung der Anforderungen an die IT 8
Risikoreduzierungsgesetz – Neue Anforderungen an Vergütungssysteme
und die Eignung von Organmitgliedern 12
BaFin-Hinweis zur Qualifizierung als kleines und nicht komplexes Institut
und Antragstellung zur Nutzung der sNSFR 14
Konsultation der MaComp 14
Neufassung des Verwahrstellenrundschreibens 16
Stärkung des Fondsstandorts Deutschland – Entwurf eines Fondsstandortgesetzes 17
Entwurf eines Gesetzes zur Einführung von elektronischen Wertpapieren 20
Aktuelle Entwicklungen bei der Bekämpfung der Geldwäsche 22
STEUERRECHT
Auswirkungen des Jahressteuergesetz 2020 auf Kapitalanlagen 24
Ergänzung des Anwendungsschreibens zum Investmentsteuergesetz 26
3
novus AUFSICHTSRECHT
Konsultation der 6. MaRisk-Novelle
Am 26.10.2020 eröffnete die BaFin die Eine Verschiebung der Einführung der Novel- Große und komplexe Institute
Konsultation zum Entwurf einer Neufassung le ist nicht zu erwarten. Das bestätigte die
der Mindestanforderungen an das Risiko BaFin jüngst in ihrem FAQ unter der Rubrik Die MaRisk richtet sich an alle nationalen
management (MaRisk). Neben der Imple Aktuelles zum Corona-Virus: „Die Arbeiten Institute unter der Berücksichtigung des Prin
mentierung internationaler Regelsetzungen, an der Novellierung der MaRisk gehen mit zips der doppelten Proportionalität. Beson
insb. der EBA-Leitlinien über das Management einer gewissen Verzögerung weiter, wobei dere Anforderungen galten für „systemrele
notleidender und gestundeter Risikopositio- die neuen Vorgaben nicht zum Stichtag vante Institute“ (bspw. Datenmanagement,
nen, zu Auslagerungen sowie für das Ma- 31.12.2020 gelten und auch nicht für das Aggregation von Risikodaten, Risiko cont
nagement von IKT- und Sicher heitsrisiken, Jahr 2020 prüfungsrelevant sein werden. rolling- und Compliance-Funktion). Gemäß
erfolgen auch aufsichtlich notwendig erschei- Darüber hinaus wird auch nach der Einfüh- Konsultation ist geplant, dass die beson
nende Anpassungen in den Bereichen ope- rung Anfang 2021 die geübte Praxis ange- deren Anforderungen nun auch für „große
rationelle und Liquiditätsrisiken, Handelsge- wendet werden, Übergangsfristen für neue und komplexe Institute“ gelten sollen, deren
schäfte und Risikotragfähigkeit. Anforderungen zu gewähren, die mit Au- Bilanzsumme auf Einzelinstitutsebene oder
genmaß festgelegt werden.“ konsolidiert auf Gruppenebene EUR 30 Mrd.
Hinweis: Stellungnahmen zur Konsultation erreicht oder überschritten hat.
waren bis zum 4.12.2020 abzugeben. Es ist Nachfolgend werden die wichtigsten Neue-
mit einer Veröffentlichung der finalen Fas rungen erläutert.
sung im ersten Quartal 2021 sowie einer
kurzen Umsetzungsfrist zu rechnen.
4
Notleidende Risikopositionen Die BaFin kann zudem die Einhaltung der ge- fähigkeitskonzept entsprechend dem Risiko-
nannten Anforderungen auch von Instituten tragfähigkeitsleitfaden der BaFin umstellen.
Um den nachhaltigen Abbau von insb. im verlangen, die eine geringe NPL-Quote, aber
Rahmen der Finanzkrise aufgebauten notlei- einen wesentlichen an notleidenden Risikopo- Ergänzend müssen künftig unwesentliche
tenden Krediten zu forcieren, wurde im Ok- sitionen in einem Portfolio aufweisen. Risiken, die aggregiert wesentlich sind, im
tober 2018 die EBA-Leitlinie über das Ma- Rahmen der Risikotragfähigkeitsrechnung an-
nagement notleidender und gestundeter Hinweis: Institute, welche absehbar als gemessen berücksichtigt werden.
Risikopositionen final veröffentlicht und jetzt Institute mit hohem NPL-Bestand zu quali-
mit der MaRisk-Novelle in nationales Recht fizieren sind bzw. ggf. eine hohe portfo- Das Management operationeller Risiken sollte
umgesetzt. lioindividuelle NPL-Quote aufweisen, sehen sich insb. auf deren wesentliche Ausprägun-
sich hohen aufbau- und ablauforganisa- gen erstrecken, welche anhand retrospektiver
Insb. für Institute mit einer Quote notleidender torischen Herausforderungen gegenüber und prospektiver Analysen zu ermitteln sind.
Kredite (NPL-Quote) von 5 % oder mehr (sog. und sollten zeitnah einen Umsetzungsplan
„Institute mit hohem NPL-Bestand“) gelten zu- für die neuen Anforderungen verabschieden. Zudem wird in den neuen MaRisk klargestellt,
sätzliche Anforderungen. So haben sie eine dass sich die regelmäßige Risikoberichterstat-
Strategie für notleidende Risikopositionen ein- tung auch auf vorhandene Risikokonzent-
zuführen, um einen zeitlich festgelegten Ab- Risikotragfähigkeit und Risikomanage- rationen erstrecken muss.
bau der notleidenden Risikopositionen über ment
einen realistischen, aber hinreichend ambitio-
nierten Zeithorizont anzustreben. Der struktu- Künftig ist zur Sicherstellung der Risikotrag- Notfallmanagement
rierte Abbau der NPL-Bestände soll durch spe- fähigkeit neben der normativen auch die
zialisierte NPE-Abwicklungseinheitenerfolgen, ökonomische Perspektive zu berücksichti- Parallel zu den ebenfalls in Konsultation be-
die grund sätzlich vom Kreditvergabeprozess gen. Damit werden die Vorgaben des auf- findlichen BAIT (siehe auch S. 8 in dieser Aus-
getrennt und nicht im Markt anzusiedeln sind. sichtlichen Leitfadens zur Risikotragfähigkeit gabe des novus Financial Services) erfolgte
Eine Überwachung der strategischen Abbau- in die MaRisk überführt. auch eine Überarbeitung der Anforderungen
ziele und insb. deren Auswirkung auf die zum Notfallmanagement. Handlungsfelder
Eigenmittelanfoderungen sowie eine entspre- Hinweis: Die Anwendung der bislang von der betreffen insb. Auswirkungs- und Risikoanaly-
chende Berichterstattung hierüber hat durch Aufsicht akzeptierten „Going Concern-An- sen, Notfallkonzepte sowie die Berichterstat-
die Risiko-controlling-Funktion anhand zu de- sätze alter Prägung“ ist künftig nicht mehr tung an die Geschäftsleitung (siehe Über-
finierender Leistungsindikatoren zu erfolgen. möglich. Institute, die noch diese alten An- sicht 1).
sätze nutzen, sollten zeitnah ihr Risikotrag-
Übersicht 1: Bestandteile des Notfallmanagementprozesses inkl. Notfallkonzept
Notfallmanagement
Ziele zum Notfallmanagement definieren Bericht an die Geschäftsleitung mind. vierteljährlich (und ggf.
Festlegen eines Notfallmanagementprozesses anlassbezogen) über den Zustand des Notfallmanagements
Ausgangsbasis: Prozesslandkarte oder Übersicht über alle Aktivitäten und Prozesse
Auswirkungsanalyse (Business Impact): Risikoanalyse (Risk Impact):
ffArt und Umfang des (im-)materiellen Schadens ff Identifizierung und Bewertung potentieller Gefährdungen
ffAuswirkung des Zeitpunkts des Ausfalls auf den Schaden ff Beeinträchtigung der zeitkritischen Geschäftsprozesse
Ergebnis: Identifikation zeitkritischer Prozesse und Aktivitäten (erwarteter Schaden nicht mehr akzeptabel)
für die ein Notfallkonzept zu erstellen ist
Allgemeine Anforderungen: Inhalte mit Mindestszenarien:
ff Angemessene Kommunikation ff Geschäftsfortführungspläne (für zeitnahe Ersatzlösungen) und
ff Jährlich auf Aktualität überprüfen und anlassbezogen aktualisieren Wiederherstellungspläne (für Rückkehr zum Normalbetrieb)
ff Wirksamkeit und Angemessenheit regelmäßig überprüfen ff Verantwortlichkeiten, Ziele und Maßnahmen, Kriterien für
Einstufung und Auslösen, ggf. Abstimmung mit Outsourcer
5
novus AUFSICHTSRECHT
Auslagerungen integration der ausgelagerten Leistung in das Neu sind auch konkrete Anforderungen an
Institut zu unterstützen. Auch im Falle einer ein Auslagerungsregister, welches wesent-
Die Anpassung der MaRisk an die EBA-Leit- Insolvenz oder einer Einstellung der Geschäfts- liche Informationen zu den bestehenden
linien zu Auslagerungen ist ein Schwerpunkt tätigkeit des Auslagerungsuntenehmens muss Auslagerungen zu enthalten hat (siehe
der Novelle, daraus ergeben sich umfang- ein Zugriff auf die bei Auslagerungsunterneh- Übersicht 2).
reiche Neuerungen für die Institute. men gelagerten Daten sichergestellt sein.
Insgesamt dürfen die Auslagerungen nicht
So wurden die Anforderungen an die regel- Neu ist die Funktion eines zentralen Ausla- dazu führen, dass das Institut nur noch als
mäßig vorzunehmende Risikoanalyse erwei- gerungsbeauftragten, welcher der Geschäfts- „leere Hülle“ existiert.
tert, wobei, soweit sinnvoll, diese zukünftig leitung unmittelbar zu unterstellen ist und
durch eine Szenarioanalyse zu ergänzen ist. das zentrale Auslagerungsmanagement zu Die BaFin hat zudem klargestellt, dass sich
unterstützen hat. die neuen Anforderungen auch in der
Vor der Auslagerung haben Institute zukünf- schriftlich fixierten Ordnung der Institute
tig zu überprüfen, ob das Auslagerungsunter- Hinsichtlich gruppen- und verbundinterner widerspiegeln muss.
nehmen nach dem Recht seines Sitzlandes Auslagerungen wurden Erleichterungen ein-
befugt ist, die ausgelagerte Tätigkeit auszu- geräumt. So wirken sich ein einheitliches Hinweis: Im Rahmen einer Gap-Analyse
üben. Risikomanagement und Durchgriffsrechte sollte zeitnah der notwendige Anpassungs-
risikomindernd aus. Für gemeinsame Aus- bedarf, insb. hinsichtlich des Vertragswe
Die Mindestanforderungen an die Verträge mit lagerungen besteht die Möglichkeit, auf sens, geprüft und anschließend umgesetzt
wesentlichen Auslagerungspartnern wurden Gruppen- oder Verbandsebene ein zentra- werden.
deutlich erweitert; so wurden bspw. die Rege- les Auslagerungsmanagement einzurichten,
lungen zum Datenschutz konkretisiert und welches u. a. auch eine Vorauswertung der
Aussagen zu Notfallkonzepten aufgenommen. Risikoberichte der Auslagerungsunterneh-
Das Auslagerungsunternehmen hat sich zu- men vornehmen kann. Auf die Erstellung
dem auf den Verhaltenskodex des auslagern- von Ausstiegsprozessen und Handlungsopti-
den Instituts zu verpflichten und im Falle einer onen kann bei gruppen- und verbundinter-
Kündigung des Auslagerungsvertrages die Re- nen Auslagerungen verzichtet werden.
Übersicht 2: Anforderungen an das Auslagerungsregister
Auslagerungsregister und Informationspflichten: Mindestbestandteile des Auslagerungsregisters:
Kreditwesengesetz (§ 25b KWG, § 24 KWG): ff
Referenznummer für jede Auslagerung,
ffAnzeigepflichten, Pflicht zur Einrichtung eines Auslagerungs-
registers (bis 31.12.2021) ff
das Startdatum und ggf. das nächste Vertragsverlängerungs
datum, das Enddatum und/oder die Kündigungsfristen,
Anzeigenverordnung (AnzV):
ffFormat des Auslagerungsregisters – jährliche Meldepflicht ff
kurze Beschreibung der ausgelagerten Funktion, der ausgela
mittels Template in der AnzV (physisch, später per Schnittstelle) gerten Daten, Angabe ob personenbezogene Daten übermittelt
ffPflichtangaben – Register umfasst alle (un)wesentlichen wurden oder deren Verarbeitung ausgelagert ist sowie eine
Auslagerungen; ggf. auch Weiterverlagerungen wesentlicher vom Institut zugewiesene Kategorie bzgl. der Art der Funktion,
Auslagerungen; vorgegebene Mindestinhalte sind für
wesentliche Auslagerungen umfangreicher (auch für Cloud); ff
Name des Dienstleisters/Registrierungsnummer/Kennung,
Register immer auf aktuellem Stand Adresse, Kontaktdaten, ggf. Name der Muttergesellschaft,
Kreditwesengesetz (§ 24 KWG): ff
Land/Länder, in denen die Leistung ausgeführt werden soll,
ffInformationspflichten gegenüber der Aufsicht – einschließlich des Ortes der Daten,
geplante wesentliche Auslagerungen und wesentlich
gewordene Auslagerungen, wesentliche Änderungen ff
Kennzeichnung, ob die Funktion (un)wesentlich, ggf. kurze
und/oder Vorfälle im Rahmen von bestehenden Zusammenfassung der Gründe, Datum der letzten Risikoanalyse
Auslagerungsverträgen, die einen wesentlichen Einfluss
auf die Geschäftstätigkeit des Institutes haben können ff
im Falle einer Auslagerung an einen Cloud-Anbieter die
Cloud-Service- und Bereitstellungsmodelle und die Standorte
der gespeicherten Daten
6
Kredit- und Handelsgeschäfte Forbearance Handelsgeschäfte
Insgesamt ergibt sich aus der MaRisk-Novelle Nach der Mitte 2019 erfolgten Ergänzung Nachdem bereits Anfang 2020 u. a. das
eine Erhöhung der Anforderungen an die der CRR um Regelungen zum Umgang KWG um Regelungen zu Kryptowerten
Wertermittlung von Immobiliensicherheiten, mit NLP wurden die entsprechenden ergänzt wurde, erfolgt mit der MaRisk-
insb. an die Qualifikation und Unabhängig- Anforderungen in den MaRisk deutlich er- Novelle die Aufnahme von Kryptowerten in
keit der Wertermittler. gänzt und erweitert. den Anwendungsbereich der Handelsge-
schäfte.
Zudem erfolgt eine Klarstellung, dass eine Forbearance sind Zugeständnisse an Kredit-
regelmäßige Bewertung der Rückzahlungs- nehmer, die diesen aufgrund finanzieller Hinweis: Dem erwarteten hohen Anpas-
fähigkeit des Kreditnehmers auch bei end- Schwierigkeiten gewährt wurden und deren sungsbedarf der Aufbau- und Ablauforga-
fälligen Krediten durchzuführen ist. Ziel die tragfähige Rückführung des Kredit- nisation durch die MaRisk-Novelle sollte
engagements ist. Hierfür hat das Institut eine durch eine frühzeitige Gap-Analyse sowie
Hinweis: Eine fortlaufende Zahlung der Richtlinie zu implementieren, welche den Planung entsprechender Umsetzungspro-
Zinsbeträge stellt kein ausreichendes Indiz Prozess und die erforderlichen Forbearance- jekten Rechnung getragen werden.
dar, um von einer Rückzahlungsfähigkeit des Maßnahmen darstellt.
Kreditnehmers auszugehen.
Hinweis: Die Umsetzung der Anforderungen
Bei Sicherheiten für Problemkredite ist auf an Forbearance erfordert eine umfangreiche
den Realisationswert abzustellen, d. h. es Anpassung der Aufbau- und Ablauf-
haben eine Abzinsung und angemessene organisation (siehe Übersicht 3), womit
Wertabschläge zu erfolgen, welche ausrei- zeitnah begonnen werden sollte.
chend zu begründen sind.
Zudem hat zukünftig ein Backtesting hin-
sichtlich der gebildeten Risikovorsorge zu
erfolgen.
Übersicht 3: Anforderungen an die Behandlung von Forbearance im Rahmen der Verfahren für die Früherkennung von Risiken
Definition Richtlinie Kriterien zur Beurteilung Bewertug der Überwachung
Einstufung finanzielle Lage Tragfähigkeit
Zugeständnisse des ff
Prozesse & ff
Forborne- Die Beurteilung ff
tragfähige & ff
Qualität der
Instituts aufgrund Verfahren Risikopositionen finanzieller nicht tragfähige Maßnahmen
sich abzeichnender Schwierigkeiten Maßnahmen
oder bereits einge- ff
Beschreibung ff
notleidende & eines Kreditnehmers ff
Effizienz der
tretener finanzieller nicht notleidende hat ausschließlich ff
kurzfr. & langfr. Prozesse für die
Schwierigkeiten ff
Informations- Risikopositionen auf Grundlage Maßnahmen Gewährung
des Kreditnehmers anforderungen seiner finanz.
ff
Gesundungs- Situation zu ff
Gesundungs- ff
Wirksamkeit der
ff
Dokumentation zeitraum erfolgen. zeitraum Maßnahmen
ff
Überwachung ff
Überwachung ff
Überwachung
7
novus AUFSICHTSRECHT
Novellierung der BAIT zur Umsetzung der EBA ICT Guidelines –
Weitere Verschärfung der Anforderungen an die IT
Mit Rundschreiben 10/2017 (BA) vom Nach der Veröffentlichung der „EBA-Leit- denbeziehungen mit Zahlungsdienstnutzern“
6.11.2017 hatte die BaFin erstmals die linien für IKT und Sicherheitsrisikomanage- sollen später im Rahmen eines separaten
„Bankaufsichtlichen Anforderungen an die ment“ (EBA ICT Guidelines) durch die Rundschreibens „Zahlungsdiensteaufsicht-
IT“ (BAIT) veröffentlicht. Die BAIT interpre- Europäische Bankenaufsichtsbehörde (EBA) liche Anforderungen an die IT“ (ZAIT) kon-
tieren die gesetzlichen Anforderungen des im November 2019 zur Schaffung einheit- sultiert werden und anschließend in der
§ 25a Abs. 1 Satz 3 Nrn. 4 und 5 KWG und licher Anforderungen an das Management finalen Fassung in die BAIT einfließen.
ergänzen bzw. konkretisieren die mit von Informationstechnik und Informations-
Rundschreiben 09/2017 (BA) novellierten sicherheit für Kreditinstitute, Wertpapier- Hinweis: Die Konsultation endete Ende
MaRisk. Nachdem die BAIT zuletzt im firmen und Zahlungsdienstleister im euro- November 2020. Die finale Veröffentlichung
September 2018 aktualisiert und um das päischen Binnenmarkt wurden aufgrund der wird im ersten Quartal 2021 erwartet. Wie
neue Themengebiet „Kritische Infrastruk- erforderlichen Umsetzung in nationales Recht bei der Veröffentlichung der BAIT 10/2017
turen“ ergänzt wurden, erfolgte nun im die BAIT seitens der BaFin auf Anpassungs- ist auch diesmal mit einem sehr kurzen
Oktober 2020 die Konsultation des Rund- und Ergänzungsbedarf geprüft. Umsetzungszeitraum zu rechnen, da die
schreibens „Bankaufsichtliche Anforderun- Anforderungen aus den EBA ICT Guidelines
gen an die IT“ (Konsultation 13/2020). Diese Hierbei wurden den BAIT die drei neuen seitens der Aufsicht als „grundsätzlich
wurde zeitgleich mit der Konsultation Kapitel „Operative IT-Sicherheit“, „IT-Notfall- bekannt“ vorausgesetzt werden.
14/2020 der MaRisk veröffentlicht und greift management“ und „Kundenbeziehungen
auch die dortigen Anpassungen in AT 7.2 mit Zahlungsdienstnutzern“ hinzugefügt Die Bankaufsichtlichen Anforderungen an die
und AT 7.3 auf. sowie Konkretisierungen und redaktionelle IT sind künftig in folgende zwölf Kapitel
Änderungen in den Bestandskapiteln vor- unterteilt:
genommen. Die Inhalte zum Kapitel „Kun-
Übersicht 1: Künftiger Aufbau der BAIT
Bankaufsichtliche Anforderungen an die IT (BAIT)
1 IT-Strategie
Governance
2 IT-Governance
3 Informations- 4 Informations- 9 Auslagerung 11 Kunden- 12 Kritische
risikomanage- sicherheits- und sonstiger beziehungen Infrastrukturen
Steuerung
ment management Fremdbezug von mit Zahlungs-
IT-Dienstleistungen dienstnutzern
5 Operative 6 Identitäts- 7 IT-Projekte, 8 IT-Betrieb 10 IT-Notfall-
Operativ Informations- und Rechte- Anwendungs- management
sicherheit management entwicklung
Change the Bank Run the Bank
8Mit der Einführung der neuen Kapitel Hier hatten die Institute bisher mehr Frei- Inhaltlich bietet dieses Kapitel wenig Über-
„Operative Informationssicherheit“ und „IT- räume. Nun gibt es konkrete Vorgaben zur raschungen, da Notfallprozesse schon seither
Notfallmanagement“ decken die BAIT künf- Ausgestaltung der Informationssicherheits- sowohl gemäß AT 7.3 MaRisk als auch aus
tig alle grundlegenden Themen des IT-Grund- prozesse, die jedoch bei der institutsspezifi- Eigeninteresse vorzuhalten sind und das
schutzes ab. Die Anforderungen sind somit schen Umsetzung durchaus Herausforderun- grundsätzliche Vorgehen aus dem BSI Stan-
nicht gänzlich neu, werden aber nun durch die gen mit sich bringen können. Insb. der dard 100-4 „Notfallmanagement“ hinläng-
Aufsicht einheitlich und verbindlich definiert. Aufbau eines SIEM und dessen Skalierung lich bekannt ist. Neu sind die zwingend
Dies sorgt auf Seite der Adressaten immerhin auf die individuellen Gegebenheiten sowie jährliche Durchführung von Notfalltests zeit-
für Klarheit, was von der Aufsicht bei der die Definition sinnvoller regelbasierter Aus- kritischer IT-Systeme und die Vorgabe zur
Ausgestaltung der IT-Systeme und der dazu- wertungen zur Identifizierung von Gefähr- Einrichtung eines „ausreichend entfernten“
gehörigen IT-Prozesse konkret erwartet wird. dungen erfordert i. d. R. spezielle Kenntnisse. Notfall-Rechenzentrums. Letztere Formulie-
rung birgt durchaus Diskussionspotenzial.
Hinweis: Das in der Vorbemerkung der BAIT Das neue Kapitel 10 „IT-Notfallmanagement“
genannte Prinzip der doppelten Proportiona- war seitens der BaFin schon länger ange- Hinweis: Die Umsetzung der Anforderungen
lität (vgl. AT 1 Tzn. 3, 5 und 7 sowie AT 2.1 kündigt und konkretisiert die Anforderungen hinsichtlich der operativen Informations-
Tz. 2 MaRisk) bezieht sich erfahrungsgemäß des ebenfalls novellierten AT 7.3 MaRisk: sicherheit und des IT-Notfallmanagements
auf den Umfang und die Detailliertheit der in die Praxis ist erfahrungsgemäß zeit-
Umsetzung der Anforderungen. Grundsätz- ff
Erstellung eines Notfallkonzepts mit IT- und kostenintensiv (abhängig vom bereits
lich sind alle Anforderungen der BAIT bei der Notfallplänen für alle IT-Systeme, die erreichten Reifegrad). Dies betrifft insb. die
Ausgestaltung der IT-Systeme und IT-Pro- zeitkritische Aktivitäten und Prozesse Themen SIEM, SOC und Notfall-Rechenzent
zesse inhaltlich zu berücksichtigen. unterstützen rum. In der Regel dürfte auch externes
Know-how zur Umsetzung erforderlich sein.
Das neue Kapitel 5 „Operative Informations- ff
Wiederanlauf-, Notbetriebs- und Wieder- Bei den vorgenannten Themen wird im Übri
sicherheit“ setzt die Anforderungen aus herstellungspläne für alle zeitkritischen gen nicht nur das Umsetzungsprojekt das
Kapitel 4 „Informationssicherheitsmanage- Aktivitäten und Prozesse IT-Budget belasten, sondern voraussichtlich
ment“ funktional in die Praxis um: auch der künftige Regelbetrieb.
ff
Festlegung der kritischen Parameter (Wie-
ff
Implementierung von angemessenen deranlaufzeit/RTO, max. Datenverlust/RPO) Im Folgenden sind die wesentlichen
Informationssicherheitsmaßnahmen und unter Berücksichtigung von Abhängigkei- Änderungen in den bestehenden Kapiteln
-prozessen: Schwachstellenmanagement, ten von vor- und nachgelagerten Ge- der BAIT zusammengefasst:
Netzwerksegmentierung und -kontrolle, schäftsprozessen
sichere Konfiguration und Härtung der IT-
Systeme, Einsatz von Kryptographie, ff
Durchführung mindestens jährlicher IT-
mehrstufiger Schutz der IT-Systeme, Notfalltests für alle IT-Systeme, die zeit-
Perimeterschutz kritische Aktivitäten und Prozesse unter-
stützen
ff
Frühzeitige Identifizierung von Gefähr-
dungen des Informationsverbundes durch ff
Einrichtung eines ausreichend entfernten
Protokollierung und regelbasierte Auswer- (redundanten) Rechenzentrums für den
tungen sowie forensische Analysen Notbetrieb bis zur Wiederherstellung des
IT-Normalbetriebs.
ff
Security Incident Event Management
(SIEM) zur zeitnahen Analyse und
Reaktion auf sicherheitsrelevante Ereig-
nisse, ggf. Einrichtung eines Security
Operations Centers (SOC)
ff
Regelmäßige Sicherheitsüberprüfungen
durch Abweichungsanalysen, Schwach-
stellenscans, Penetrationstests und Simu-
lationen von Angriffen.
9novus AUFSICHTSRECHT
Übersicht 2: Wesentliche Änderungen der BAIT
Themenbereich Änderung der Anforderungen (Auszug)
IT-Strategie ff
Expliziter Hinweis auf AT 7.2 Tz. 2 MaRisk: Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten
ff
Zuordnung gängiger Standards auch auf Bereiche der Informationssicherheit explizit erforderlich
ff
Es sind Aussagen zur Schulung und Sensibilisierung zur Informationssicherheit erforderlich
IT-Governance ff
Lediglich redaktionelle Änderungen
Informations- ff
Konkretisierung der Definition des Informationsverbundes: geschäftsrelevante Informationen, Geschäfts-
risikomanage- und Unterstützungsprozesse, IT-Systeme, IT-Prozesse, Netz- und Gebäudeinfrastrukturen, Abhängigkeiten
ment von Dritten und Schnittstellen zu Dritten
ff
Es ist auf die Angemessenheit des Sollmaßnahmenkatalogs zu achten
ff
Das Informationsrisikomanagement hat die Soll-Ist-Vergleiche zu koordinieren und zu überwachen
ff
Die Behandlung der Risiken ist kompetenzgerecht zu genehmigen
ff
Laufende Überwachung der Bedrohungslage und Schwachstellenprüfung/-bewertung
ff
Ergreifen wirksamer technischer und organisatorischer Maßnahmen
Informations- ff
Betonung der Gesamtverantwortung der Geschäftsleitung für die Informationssicherheit
sicherheits- ff
Richtlinie für physische Sicherheit (z. B. Perimeter- und Gebäudeschutz) erforderlich
management ff
Informationssicherheitsvorfälle sind zeitnah zu analysieren (Abgrenzung von Störungen)
ff
Richtlinie für Test und Überprüfung der Maßnahmen zum Schutz der Informationssicherheit erforderlich
ff
Kontinuierliches Sensibilisierungs- und Schulungsprogramm der Mitarbeiter für Informationssicherheit mit
Lernerfolgskontrolle
Identitäts- ff
Umbenennung von Benutzerberechtigungsmanagement in Identitäts- und Rechtemanagement
und Rechte- ff
Konkretisierung des Sparsamkeitsgrundsatzes bei der Berechtigungsvergabe („Need-to-know“ und „Least
management Privilege“)
ff
Jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informations-
verbundes sollten standardisierten Prozessen und Kontrollen unterliegen
ff
Dies betrifft den Zugang zu IT-Systemen und IT-Anwendungen, den Datenzugriff sowie Zutrittsrechte zu
Räumen in Abhängigkeit vom ermittelten Schutzbedarf (Rechenzentrum!)
ff
Zugriffsberechtigungen sind auf allen Ebenen zu betrachten (Betriebssysteme, Datenbanken, Anwendungen)
ff
Auch technische User sind explizit ins Berechtigungskonzept aufzunehmen
ff
Unverzügliche Deaktivierung/Löschung von Berechtigungen bei Ausscheiden von Mitarbeitern
ff
Starke Authentifizierung im Falle von Fernzugriffen
IT-Projekte, ff
Festlegung organisatorischer Grundlagen für IT-Projekte (Mindestinhalte)
Anwendungs- ff
Verantwortlich für Erhebung, Bewertung, Genehmigung von Anforderungen sowie für die Definition von
entwicklung Akzeptanz- und Testkriterien und die Durchführung der Abnahmetests sind die Fachbereiche!
ff
Die Integrität des Quellcodes ist während Entwicklung, Test und Betrieb sicherzustellen
ff
Maßnahmen zum Schutz der Informationen schließen auch Penetrationstests ein
10Übersicht 2: Wesentliche Änderungen der BAIT
Themenbereich Änderung der Anforderungen (Auszug)
IT-Betrieb ff
Erhebung, Planung und Überwachung des Kapazitätsbedarfs und der Leistung der IT-Systeme
ff
Definition von Standardprozessen bei Störungen
ff
Empfehlung des Einsatzes standardisierter Incident- und Problemmanagement-Lösungen
Auslagerungen ff
Lediglich redaktionelle Änderungen
und IT-Dienst- ff
Aber Beachtung der Auswirkung der Änderungen in AT 9 MaRisk auf IT-Auslagerungen erforderlich:
leistungen ffSchriftlicher Auslagerungsvertrag
ffDefinition von KPI für die Dienstleistungsgüte
ffSpezifizierung der Informations- und Prüfrechte (auch Zugangsrechte zu Verwaltung und
Rechenzentrum!)
ffRegelungen zu Werten und Verhaltenskodex
ffDatenschutzrechtliche Bestimmungen
ffUmsetzung von Notfallkonzepten
ffZentraler Auslagerungsbeauftragter
Kritische
Infrastrukturen ff
Lediglich redaktionelle Änderungen
Insgesamt wird in der vorliegenden BAIT- nahmen ergreifen, um im Rahmen beste- den, um Feststellungen durch IT-Revision
Novelle die Verantwortung der Geschäfts- hender Auslagerungen die für sie eben- und Jahresabschlussprüfer sowie gegebenen-
leitung für die Informationstechnik und die falls geltenden regulatorischen Vorgaben zu falls der Aufsicht möglichst zu vermeiden.
Informationssicherheit betont. Die Anfor- erfüllen.
derungen erfordern eine gesamtbankweite
Betrachtung der Themen und keine fokus- Hinweis: Die erweiterten Anforderungen
sierte IT-Sicht. Dies wird vor dem Hintergrund der BAIT sind bereits jetzt bei aufsichts-
der zunehmenden Digitalisierung der rechtlichen IT-Sonderprüfungen im Fokus
Geschäftsmodelle und der steigenden Be- der Prüfer. Die Neuerungen und Konkre-
drohung durch Cyber-Angriffe immer wich tisierungen sollten daher möglichst kurz-
tiger. Die Erweiterungen und Ergänzungen fristig in die IT-Prozesse und IT-Verfahren
in den BAIT betreffen im Übrigen auch die integriert werden. Aufgrund der zu erwar-
IT-Dienstleister von Banken und Finanz- tenden kurzen Umsetzungsfrist ist es sinn-
dienstleistern und hierbei insb. Rechenzent- voll, kurzfristig eine Gap-Analyse durchzu-
rumsdienstleister, bei denen rechnungsle- führen, um die institutsspezifischen Hand-
gungsrelevante Daten verarbeitet und ver- lungsbedarfe frühzeitig zu erkennen. Ent-
waltet werden. Auch diese müssen ihre Pro- sprechende Umsetzungsprojekte sollten für
zesse überprüfen und gegebenenfalls Maß- 2021 geplant und zeitnah begonnen wer-
11novus AUFSICHTSRECHT
Risikoreduzierungsgesetz – Neue Anforderungen an
Vergütungssysteme und die Eignung von Organmitgliedern
Am 14.12.2020 wurde das Gesetz zur Bislang waren die Regelungen für Risikoträ- und Factoringinstitute (siehe nachfolgend).
Reduzierung von Risiken und zur Stärkung ger in den Vergütungssystemen eines Insti- Damit werden für viele kleine und mittel-
der Proportionalität im Bankensektor (Risiko- tuts nur auf bedeutende Institute anzuwen- große Kreditinstitute neue aufsichtsrecht-
reduzierungsgesetz, kurz RiG) veröffentlicht. den. Ab dem Geschäftsjahr 2021 ist bei der liche Pflichten geschaffen.
Risikoträger-Identifizierung zwischen Risiko-
Damit sollen im Wesentlichen die Richtlinien träger-Kriterien zu unterscheiden, die gemäß Bedeutende Institute haben wie bisher eine
aus dem EU-Bankenpaket umgesetzt wer- § 25 Abs. 5b S. 1 KWG n. F. auf sämtliche umfassende Risk Taker-Analyse nach
den, wobei in erster Linie das Kreditwesen- Institute, also bedeutende Institute und Maßgabe des § 25a Abs. 5b S. 2 bis 6 KWG
gesetz (KWG n. F.) geändert wird. Mit Blick nicht-bedeutende CRR-Institute anwendbar n. F. und der Vorgaben der Delegierten Ver-
auf die europarechtlichen Vorgaben trat sind (sog. geborene Risk Taker) und Risiko- ordnung (EU) Nr. 604/2014 durchzu-führen.
bzw. tritt das RiG gestaffelt am 28.12.2020, träger-Kriterien, die nach § 25a Abs. 5b S. 2 Die Europäische Bankenaufsichts-behörde
29.12.2020, am 28.6.2021 und am 1.1.2023 und 3 KWG n. F. nur von bedeutenden Insti- (EBA) hat am 18.6.2020 den finalen Entwurf
in Kraft. tuten im Rahmen der eigenverantwortlichen zur überarbeiteten Fassung der delegierten
Risikoanalyse berücksichtigt werden müssen. Verordnung veröffentlicht, der demnächst
Die Umsetzung des EU-Bankenpakets macht von der EU-Kommission erlassen werden
parallel zum KWG auch eine Anpassung Damit sind nun bei allen CRR-Instituten soll.
verschiedener Merkblätter der BaFin und unabhängig von deren Größe, Organisa-
nationaler Verordnungen, u. a. der Instituts- tion, Art, Umfang und Komplexität der Hinweis: Diese delegierte Verordnung
vergütungsverordnung (InstitutsVergV) erfor- Geschäftstätigkeiten für bestimmte Mitarbei- soll auch nicht-bedeutenden Instituten
derlich. Hierzu liegt seit dem 12.11.2020 mit terkategorien zwingend die Risikoträger- bei der aufsichtsrechtlichen Ableitung
Konsultation 15/2020 der BaFin die geän- eigenschaft (geborene Risk Taker) ange- der Mitarbeiterkategorien Hilfe leisten
derte Verordnung (InstitutsVergV-E) vor. nommen: (§ 25a Abs. 5b Satz 7 KWG n. F.).
In diesem Beitrag gehen wir auf neuen Zur Verhinderung einer Umgehung der
Regelungen zu den Vergütungssystemen, ff
Mitarbeiter der unmittelbar nachgelager- Vergütungsvorschriften werden die Vorga-
den Eignungsanforderungen an Geschäfts- ten Führungsebene, ben auch auf Risikoträger in den den
leiter und Aufsichtsräte sowie die damit ff
Mitarbeiter mit Managementverant- Instituten nachgelagerten Unternehmen, die
zusammenhängenden Anzeigevorschriften wortung für die Kontrollfunktionen oder nicht dem KWG unterstellt sind, ausgeweitet
ein. Weitere wichtige Aspekte zu neuen für die wesentlichen Geschäftsbereiche (§ 25a Abs. 6 Satz 1 Nr. 1 KWG n. F.). Die
Anforderungen aus dem RiG beleuchten wir sowie Erweiterung zielt insb. auf gruppenangehöri-
in der nächsten Ausgabe des novus Financial ff
bestimmte Mitarbeiter mit einem An- ge Kapitalverwaltungsgesellschaften ab.
Services. spruch auf Vergütung im vergangenen Ge-
schäftsjahr von mindestens EUR 500.000. Für Leasing- und Factoringinstitute wer-
den Erleichterung bei den Anforderungen
Regelungen zu Vergütungssystemen Zu den geborenen Risk Takern eines Instituts an deren Vergütungssysteme eingeführt, da
gehören auch sämtliche Mitglieder der die Vergütungsvorschriften bei ihnen keine
Der Begriff des bedeutenden Instituts wurde Geschäftsleitung und des Aufsichts- oder besondere Steuerungswirkung entfalten. Sie
2019 von der InstitutsVergV in § 25n KWG Verwaltungsorgans. Für die Mitglieder des werden von den Regelungen nach § 25a
übernommen und ist nun zentral in § 1 Verwaltungs- oder Aufsichtsorgans hat dies Abs. 5 und 5b KWG n. F. ausgenommen
Abs. 3c KWG n. F. verortet. Hierbei handelt jedoch keine praktischen Konsequenzen, da (§ 2 Abs. 7a KWG n. F.).
es sich insb. um Institute mit einer Bilanz- diese für ihre Tätigkeit gemäß § 25d Abs. 5
summe von über EUR 15 Mrd. Der Begriff Satz 2 KWG keine variable Vergütung Hinweis: Leasing- und Factoringinstitute
dient der Vereinheitlichung der Begriffsbe- erhalten dürfen. haben jedoch weiterhin die allgemeinen
stimmungen, einerseits zur Bestimmung der Anforderungen an die Vergütungssysteme
Risikoträger (sog. Risk Taker), andererseits in Hinweis: Die Pflicht zur Risikoträger-Analyse des § 25a Abs. 1 Satz 3 Nr. 6 KWG zu
Bezug auf die Anwendbarkeit besonderer betrifft damit neben den bedeutenden CRR- erfüllen.
Anforderungen in §§ 25c und 25d KWG und Instituten ab dem Geschäftsjahr 2021 auch
ersetzt dort den bislang verwendeten Begriff alle nicht-bedeutenden CRR-Institute sowie
des Instituts von erheblicher Bedeutung. bedeutende Institute, die keine CRR-Institute
sind. Ausgenommen sind lediglich Leasing-
12Ergänzend wurden die Sanktionen verschärft Zur Evaluierung der Gesamtqualifikation der dern, Eignungsprüfung von Inhabern von
(§ 45 KWG n. F.). So kann die Aufsicht bei Geschäftsleitung und des Verwaltungs- und Schlüsselfunktionen, Umgang mit Interes-
Verstößen gegen die Angemessenheit der Aufsichtsorgans hatte die BaFin in ihrer senkonflikten,
Vergütungssysteme nicht nur Entnahmen Konsultation zum „Merkblatt zu den Ge-
und Gewinnausschüttungen, sondern auch schäftsleitern gemäß KWG, ZAG und ff
Hinweise für Wertpapierfirmen: diese
die Auszahlung variabler Vergütungen be- KAGB“ und zum „Merkblatt zu den Mitglie- umfassen diverse Hinweise zu den zu
grenzen oder untersagen. Die Anordnung dern von Verwaltungs- oder Aufsichtsorga- verwendenden Formularen.
kann sich auf den Gesamtbetrag, konkrete nen gemäß KWG und KAGB“ vom 3.6.2020
Vergütungsbestandteile oder aufgeschobene eine entsprechende Muster-Matrix beige- Hinweis: Die beiden überarbeiteten Merk-
Auszahlungstranchen früherer Geschäfts- fügt, die recht umfangreich die Überlegun- blätter enthalten die Änderungen und An
jahre beziehen. gen der Institute dokumentieren soll. passungen, die sich direkt aus den zugrunde
liegenden Vorgaben des RiG ergeben, insb.
Über die neue im Entwurf vorliegende Hinweis: Dies zeigt, dass sich die BaFin in Bezug auf die Anzeigen (§ 24 KWG)
InstitutsVergV-E erfolgt für die CRR-Institu- künftig bei Ernennung eines neuen Mitglieds und die Anforderungen an Geschäftsleiter
te künftig eine weitere wichtige Differenzie- des Leitungsorgans genau erklären lassen (§ 25c KWG) und Aufsichtsräte (§ 25d
rung. Bislang hatten nur bedeutsame Institu- wird, wie dieses in das bestehende Lei KWG). Eine endgültige Veröffentlichung
te i. S. d. § 25n KWG die Anforderungen des tungsgefüge passt. der beiden geänderten Merkblätter durch
Abschn. 3 der InstitutVergV zu erfüllen. Über die BaFin stand zum Redaktionsschluss im
den neu gefassten § 1 Abs. 3 InstitutsVergV-E Die beiden überarbeiteten Merkblätter ent- Dezember 2020 noch aus.
haben alle CRR-Institute, soweit sie nicht halten die Änderungen und Anpassungen,
kleines und nicht komplexes Institut (Small die sich aus den relevanten Vorgaben des Ergänzend werden neue Anzeigepflichten
and Non-Complex Institution – SNCI) gemäß RiG insb. in Bezug auf die Anforderungen an in § 24 KWG n. F. aufgenommen:
Art. 4 Abs. 1 Nr. 145 CRR sind, teilweise Geschäftsleiter (§ 25c KWG) und Aufsichts-
auch die besonderen Anforderungen der räte (§ 25d KWG) und die Anzeigepflichten ff
Eignungstest der Organmitglieder: künftig
InstututsVergV-E zu erfüllen. (§ 24 KWG) ergeben. Die wesentlichen Neu- sind auch die tatsächlichen Ergebnisse der
erungen beziehen sich auf: Beurteilung der Eignungsanforderungen
Hinweis: Damit müssen alle CRR-Institute sowie neue Tatsachen, die sich auf die
mit einer Bilanzsumme zwischen EUR 5 und ff
Verschärfte Anforderungen an das auf- ursprüngliche Beurteilung der Kriterien
15 Mrd. künftig für ihre identifizierten Risi sichtliche Überprüfungsverfahren (sog. Fit auswirken können, unverzüglich im Rah-
koträger zusätzlich die Vergütungsvorschrif and Proper-Prüfung): diese beinhalten men des Anzeigeverfahrens mitzuteilen
ten der §§ 18 ff. InstitutsVergV-E anwenden. eine Konkretisierung der Anforderungen, (§ 24 Abs. 1 Nr. 1 bzw. Nr. 15 KWG n. F.).
Das DK betonte im Rahmen der Konsultati u. a. Anzeige von Wiederbestellungen,
onsphase, dass dies eine komplette Neuaus sowie Ausweitung der im Anzeige- ff
Zudem kann die BaFin zur Beurteilung
richtung des Vergütungssystems für diesen verfahren einzuholenden Informationen der Zuverlässigkeit und Eignung der
Mitarbeiterkreis bedeutet und die erstma- und erweiterte Informationspflichten der Organmitglieder eigene Interviews mit
lige Prüfung der Belegschaft auf die beaufsichtigten Unternehmen gegenüber den angezeigten Personen führen (§ 24
Risikoträger
eigenschaft sowie die Umset der Aufsicht, Abs. 3e KWG n. F.).
zung der §§ 18 ff. InstitutsVergV-E erheb
liche Zusatzbeanspruchungen darstellen ff
Anpassungen der materiellen Anforde- ff
Geschlechtsspezifisches Lohngefälle: Die
werden. rungen an Geschäftsleiter und Mitglieder BaFin wird künftig von den Instituten
von Aufsichtsorganen mit Schwerpunkt jährlich Informationen zum geschlechts-
in der Mandatszählung, spezifischen Lohngefälle erheben, um
Anforderungen an die Eignung diese zum Vergleich von Vergütungstrends
von Mitgliedern des Leitungsorgans ff
Anforderungen an interne Richtlinien und und -praxis zu nutzen (§ 24 Abs. 1a Nr. 5
eines KWG-Instituts (Fit-and-Proper- Prozesse der Institute: Teil der ordnungs- KWG n. F.).
Anforderungen) gemäßen Geschäftsorganisation eines
Instituts sind künftig Eignungs- und Hinweis: Die in diesem Beitrag erläuterten
In § 25c KWG n. F. wurde ein neuer Abs. 1a Diversitätsrichtlinien, Einführungs- und gesetzlichen Neuerungen traten am
eingefügt. Die Geschäftsleiter müssen künf- Schulungsrichtlinien sowie Richtlinien für 29.12.2020 in Kraft. Sie gelten seither
tig nicht nur individuell, sondern auch kol- den Umgang mit Interessenkonflikten, unmittelbar, Übergangsvorschriften sind
lektiv (also in ihrer Gesamtheit) ein ange- nicht getroffen.
messenes breites Spektrum von Kenntnissen, ff
Hinweise zu Pflichten der Institute: diese
Fähigkeiten und Erfahrungen vorweisen, die umfassen insb. die Durchführung von
zum Verständnis der Tätigkeiten des Instituts internen Prüfungen der individuellen und
und seinen Hauptrisiken notwendig sind. kollektiven Eignung von Organmitglie-
13novus AUFSICHTSRECHT
BaFin-Hinweis zur Qualifizierung als kleines und nicht
komplexes Institut und Antragstellung zur Nutzung der sNSFR
Die BaFin hat mit Schreiben vom 20.11.2020 Hinweis: Grundsätzlich ist ein Institut, das Das Schreiben stellt dar, wie die Qualifizierung
zur Qualifizierung von Kreditinstituten als die Bedingungen des Art. 4 Abs. 1 Nr. 145 als SNCI erfolgt, wie der Antrag zur Nutzung
kleines und nicht komplexes Institut (Small CRR erfüllt, als SNCI zu qualifizieren. Sofern der sNSFR gestellt werden muss und welche
and Non-Complex Institution – SNCI) gemäß die BaFin auf der Grundlage eigener Analy- Angaben gemacht werden müssen.
Art. 4 Abs. 1 Nr. 145 der CRR und zum sen zur Größe, Verflechtung, Komplexität
Antrag zur Nutzung der vereinfachten NSFR oder dem Risikoprofil des Instituts es jedoch
(Simplified Net Stable Funding Ratio – sNSFR) nicht als kleines und nicht komplexes Institut
gemäß Art. 428ai CRR Stellung genommen einschätzt, entfällt die SNCI-Qualifizierung.
und darauf hingewiesen, dass diese Institute
ab sofort die Möglichkeit haben, einen
Antrag zur Nutzung der sNSFR zu stellen,
über den die Aufsicht entscheidet.
Konsultation der MaComp
Die BaFin hatte am 29.4.2020 eine Konsul- Hinweis: Dieser Hinweis muss so gestaltet Geeignetheitserklärung
tation neuer Module der Mindestanforde- werden, dass auch in Kapitalmarktange-
rungen an die Compliance-Funktion und wei- legenheiten unerfahrene Kunden diesen Bislang sind in Modul BT 6 MaComp lediglich
tere Verhaltens-, Organisations- und Trans- nachvollziehen und verstehen können. Die die Anforderungen an das Zur-Verfügung-
parenzpflichten (MaComp) veröffentlicht Konsultation enthält daher Beispielformu- Stellen der Geeignetheitserklärung enthal-
sowie die Module BT 5.4.2, BT 7 und BT 15 lierungen für entsprechende Warnhinweise. ten. Diese werden um den neuen BT 6.1
neugefasst. Zudem hält die BaFin es – im konsultierten MaComp zum Inhalt der Geeignetheits-
Entwurf – für erforderlich, dass Anleger bei erklärung ergänzt. Danach ist eine pauschale
Hinweis: Die Konsultation endete bereits im Einsatz eines Online-Brokerage-Tools künftig Behauptung der Geeignetheit des Finanz-
Juni 2020, eine endgültige Veröffentlichung darauf hingewiesen werden, dass sie zur instruments bzw. der Wertpapierdienst-
der Neufassung erfolgte bis Ende 2020 Absicherung gegen zu hohe Ausführungs- leistung für den Kunden in der Geeig-
jedoch nicht. preise auch ein Limit einziehen können. netheitserklärung nicht ausreichend Viel-
mehr hat die Geeignetheitserklärung eine
Nachfolgend werden die wichtigsten Neuer- sog. materielle Empfehlungsbegründung
ungen erläutert. Product Governance zu enthalten, in der ein individueller Ver-
gleich zwischen den Kundenmerkmalen und
Im Rahmen des Produktüberprüfungspro- den erteilten Empfehlungen angestellt wird.
Anforderungen an redliche, eindeutige zesses sind Konzepteure gehalten, bestimmte
und nicht irreführende Informationen Informationen bei den Vertriebsunternehmen Hinweis: In die Konsultation wurden Positiv-
abzufragen; die Vertriebsunternehmen ha- und Negativbeispiele für die Formulierung
Es ist geplant, das Modul BT 3 „Anfor- ben ihrerseits die Konzepteure bei dieser der Geeignetheit sowohl für Kauf-, als
derungen an redliche, eindeutige und nicht Überprüfung zu unterstützen (§§ 11 Abs. 13, auch für Verkauf- und Halteempfehlungen
irreführende Informationen nach § 63 Abs. 6 12 Abs. 9 WpDVerOV). Modul BT 5.4.2 aufgenommen. Künftig sind nicht nur die
WpHG“ um einen Abschnitt zur ange- MaComp wurde hinsichtlich einzelner Anfor- Beratung, sondern auch deren Dokumen-
messenen Kundenaufklärung bei Verwen- derungen an Konzepteure und Vertriebs- tation in der Geeignetheitserklärung stets
dung eines Online-Brokerage-Tools mit unternehmen konkretisiert. auf den konkreten Beratungssachverhalt
indikativer Orderwertanzeige zu ergänzen. abzustimmen.
Besteht die Möglichkeit, dass der dem
Kunden angezeigte indikative Orderwert
erheblich vom tatsächlichen Kaufpreis ab-
weicht, ist der Kunde darauf in ausreichender
und verständlicher Form hinzuweisen.
14Prüfung der Geeignetheit ff
Kosten und Vorteile der Umschichtung Erstellung von Informationsblättern
von Anlagen (BT 7.10 MaComp): durch
Das sich bislang noch auf dem Stand MiFID I diesen Abschnitt werden die Anforderun- Die Aufsicht hat die bislang im Rundschreiben
(Finanzmarktrichtlinie) befindende Modul gen an die sog. Kosten-Nutzen-Analyse 4/2013 der BaFin vom 26.9.2013 „Produkt-
BT 7 MaComp wurde vollständig überarbei- des Art. 54 Abs. 11 DVO 2017/565, insb. informationsblätter gem. §§ 31 Abs. 3a WpHG,
tet und an die entsprechende Leilinien der hinsichtlich der einzurichtenden Grund- 5a WpDVerOV“ dargestellten Anforderun-
ESMA über bestimmte Aspekte der Ge- sätze und Verfahren, konkretisiert. gen an die Erstellung von Informationsblät-
eignetheitsprüfung nach MiFID II vom tern in den neuen BT 15 MaComp überführt.
28.5.2018 (ESMA35-43-869) angepasst. ff
Aufzeichnungspflichten (BT 7.11 Ma-
Neben der Aktualisierung der bereits in BT 7 Comp): Wertpapierdienstleistungsunter- Wesentliche Neuerungen betreffen die sog.
MaComp enthaltenen Abschnitte wurden nehmen müssen im Hinblick auf die Ge- Konformitätserklärung eines Wirtschafts-
folgende neue Abschnitte eingefügt: eignetheitsprüfung eine ordnungsgemä- prüfers zur sachgerechten Erstellung von
ße und nachvollziehbare Dokumentation Informationsblättern durch Drittanbieter.
ff
Notwendige Vorkehrungen zum Verständ- gewährleisten. Diese hat nun eine Geltungsdauer von drei
nis von Produkten (BT 7.7 MaComp): Jahren (bislang ein Jahr). Zudem wurden die
durch diesen Abschnitt wird insbes. Hinweis: Die konkretisierten Anforderungen Anforderungen an die gesetzlichen Rege-
§ 63 Abs. 5 WpHG für die Zwecke der an die Geeignetheitserklärung, die „äquiva- lungen nach MiFID 2 angepasst.
Geeignetheitsprüfung umgesetzt. lenten Produkte“ sowie die Kosten-Nutzen-
Analyse fordern eine für Dritte nachvoll-
ff
Kosten und Komplexität von äquivalenten ziehbare Dokumentation der erteilten
Produkten (BT 7.9 MaComp): dieser Ab- Anlageempfehlung im Einzelfall. Zur Um
schnitt konkretisiert die Anforderung, im setzung dieser materiell nicht neuen Anfor
Rahmen der Geeignetheitsprüfung dem derungen sind die Wertpapierdienstleister
Kunden nicht nur ein geeignetes Produkt, gehalten, sofern noch nicht erfolgt, zeitnah
sondern grundsätzlich das geeignetste ihre Aufbau- und Ablauforganisation anzu
Produkt, insb. hinsichtlich Kosten und passen und ihre Mitarbeiter entsprechend zu
Komplexität, zu empfehlen. qualifizieren.
15novus AUFSICHTSRECHT
Neufassung des Verwahrstellenrundschreibens
Am 4.11.2020 hat die BaFin mit dem Übersicht über die Aktualisierungen des ff
Klarstellung der gesetzlichen Mindest-
Rundschreiben 05/2020 (WA) – Aufgaben Verwahrstellenrundschreibens vorgaben für den Inhalt von Verwahr-
und Pflichten der Verwahrstelle nach Kapitel 1 stellenverträgen und Erfordernis einer
Abschn. 3 des Kapitalanlagegesetzbuches ff
Anforderungen an Aufzeichnungen und abschließenden vertraglichen Regelung
(KAGB) eine neue Fassung ihres erstmals im die Kontenführung bei OGAW und AIF, hinsichtlich eines etwaigen Aufwen-
Oktober 2015 als Rundschreiben 08/2015 insb. Frequenz eines durch die Verwahr- dungsersatzanspruchs der Kapitalverwal-
(WA) herausgebrachtes Verwahrstellenrund- stelle durchzuführenden Kontenabgleichs tungsgesellschaft für die Zurverfügung-
schreibens veröffentlicht. bei Einschaltung eines Unterverwah- stellung von Informationen oder Unter-
rers; bei OGAW muss ein täglicher lagen, Ziff. XII.
Abgleich erfolgen, sofern eine tägliche
Regelungsgehalt des Handelstätigkeit von OGAW stattfindet, ff
Klarstellung der Pflicht der Kapitalver-
Verwahrstellenrundschreibens Ziff. IV. 1.1., 1.2. waltungsgesellschaft zur unverzüglichen
Übermittlung aus ihrer Sphäre stammen-
Die BaFin fasst in dem Verwahrstellen- ff
Pflicht des Unterverwahrers zur getrenn der Informationen an die Verwahrstelle
rundschreiben anhand ausgewählter Fragen ten Verwahrung und Depottrennung zwecks Ermöglichung einer ordnungs-
ihre Verwaltungsauffassung zu wichtigen von Vermögensgegenständen der beauf- gemäßen Ausübung der Verwahrstellen-
Aspekten betreffend die im KAGB geregelte tragenden Verwahrstelle und der eigenen funktion, Ziff. XIV.
Verwahrstelle zusammen, insb. zur Geneh- Vermögensgegenstände auf getrennten
migung der Verwahrstelle, zur Einordnung Konten bzw. Depots, wobei eine Tren- Auch wenn dem am 4.11.2020 veröf-
von Objektgesellschaften im Hinblick auf nung auf rein buchhalterischer Eben nicht fentlichten neuen Verwahrstellenrundschrei-
die Tätigkeit der Verwahrstelle, zur Ver- ausreicht, Ziff. V. 2. ben eine entsprechende Konsultation voran-
wahrtätigkeit sowie Unterverwahrtätigkeit, gegangen ist, ist festzustellen, dass diese
zu Geschäften, die der Zustimmung der Ver- ff
Konkrete Vorgaben zur Sicherstellung des erst im März 2020 (Konsultation 03/2020)
wahrstelle bedürfen, zu Kontrollpflichten Schutzes unterverwahrter Vermögensge- eingeleitet wurde. Angesichts des Umstands,
der Verwahrstelle sowie zu Fragen der Aus- genstände im Falle der Insolvenz des dass die bereits am 13.4.2016 in Kraft
lagerung, der Divisionslösung, des Eskalati- Unterverwahrers, Ziff. V. 2. getretene und ab dem 13.10.2016 anzu-
onsprozesses, zum Verwahrstellenvertrag, wendende OGAW V Level-2-Verordnung
zur Dokumentation und zu Mitwirkungs- ff
Definition konkreter Merkmale für die (Delegierte Verordnung (EU) 2016/438)
pflichten der Kapitalverwaltungsgesellschaft. Zulässigkeit einer Drittverwahrung von Anlass für die Überarbeitung des alten Ver-
Vermögenswerten im Ausland (Drei- wahrstellenrundschreibens 08/2015 (WA)
Punkte-Erklärung), Ziff. V. 2. ist, drängt sich die Frage auf, warum die
Anlass zur Aktualisierung des bisherigen BaFin mehr als vier Jahre mit der Anpassung
Verwahrstellenrundschreibens ff
Erstreckung der von Unterverwahr- ihrer Verwaltungsauffassung an die OGAW
verträgen nach KAGB, OGAW V Level- V Level-2-Verordnung gewartet hat.
Mit dem nun vorgelegten Rundschreiben 2-VO und AIFM Level-2-VO ausgehenden
05/2020 (WA) aktualisiert die BaFin ihre Schutzwirkungen auf weitere Unterver- Hinweis: Zu beachten ist, dass das Rund
bisherige veröffentlichte Verwaltungsauf- wahrer innerhalb einer Verwahrkette schreiben 05/2020 (WA) wie schon das
fassung zur Verwahrstelle. Anlass für die aufgrund entsprechender Vereinba- Rundschreiben 08/2015 (WA) die Ver-
Aktualisierung ist die Delegierte Verordnung rungen, Ziff. V 3. waltungsauffassung der BaFin zur Verwahr-
(EU) 2016/438 der Kommission vom stelle nicht abschließend zusammenfasst.
17.12.2015 zur Ergänzung der Richtlinie ff
Klarstellung des Erfordernisses einer kon- Weitere Pflichten oder Konkretisierungen
2009/65/EG in Bezug auf die Pflichten der kreten und einzelfallbezogenen Prüfung ergeben sich auch aus anderen Verlaut-
Verwahrstelle (OGAW V Level-2-Richtlinie). der Berechnungsmethode einer Kapital- barungen der BaFin. Zu nennen sind hier et
Das Rundschreiben 05/2020 (WA), welches verwaltungsgesellschaft für die Entnahme wa das Merkblatt zu den Anforderungen
das Rundschreiben 08/2015 (WA) ersetzt, einer Verwaltungsvergütung durch die an Treuhänder als Verwahrstelle nach
enthält neben redaktionellen Änderungen Verwahrstelle – Nachvollziehbarkeit auch § 80 Abs. 3 KAGB vom 18.7.2013 und die
neue Inhalte bzw. Anpassungen. bei erfolgsabhängiger Vergütung; Mitwir- Hinweise zur Frage der Genehmigungs
kungspflicht der KVG zur Überlassung pflicht für die Auswahl der Verwahrstelle
der hierfür erforderlichen Unterlagen, nach Maßgabe des § 284 Abs. 1 und 2
Ziff. VII. 6.1. KAGB vom 7.10.2013.
16Sie können auch lesen
