POINT OF COMPLIANCE DAMIT SIE DIE FÄDEN IN DER HAND HALTEN - MARISK UND BAIT - WAS IST NEU? - DZ-CP
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Point of Compliance
Das Risikomanagement-Magazin für
unsere Kunden und Geschäftspartner
AUSGABE 2/ 2021
Damit Sie die Fäden
in der Hand halten
ab Seite 4 ab Seite 17
MaRisk und Bait – Hinweisgebersystem –
was ist neu? was kommt?
Impressum 2
STARTPUNKT 3
SCHWERPUNKT
Zusammenfassung der 4
neuen MaRisk
BAIT 2.0 – Umsetzung 9
ohne Übergangfrist
MaRisk-Compliance: 11
(Neue) Herausforderungen
Geldwäscheprävention: 14
Aktuelle Entwicklungen
Neuer Schutz für 17
Hinweisgeber*innen
Schrems II, III, IV … 20
Marktmissbrauch – ein 22
Praxisbericht
PUNKTUM
Online-Seminar (kostenfrei) 26
Interne Revision 27
Wirtschaftliche Lage 27
Neue Telefonnummern 27
IMPRESSUM
Point of Compliance Verantwortlich i. S. d. P.: Jens Saenger Bildnachweise: DZ CompliancePartner fältigung, Verbreitung, Veröffentlichung und
Das Risikomanagement-Magazin für unsere Redaktion: Gabriele Seifert, Leitung (red.), GmbH, iStockphoto (Titel) Onlinezugänglichmachung des Magazins oder
Kunden und Geschäftspartner, Ausgabe 26, Redaktionsanschrift: DZ Compliance- Gestaltung: EGENOLF DESIGN, Wiesbaden, einzelner Beiträge aus dem Magazin, stellt
2/2021 Partner GmbH, Redaktion Point of Compliance, studio@egenolf-design.de eine zustimmungsbedürftige Nutzungshand-
ISSN: 2194-9514 Wilhelm-Haas-Platz, 63263 Neu-Isenburg, Druck: odd GmbH & Co. KG · Print und lung dar. Namentlich gekennzeichnete Beiträ-
Herausgeber: DZ CompliancePartner GmbH, Telefon 069 6978-3188, Telefax 069 6978- Medien, www.odd.de ge geben nicht in jedem Fall die Meinung des
Wilhelm-Haas-Platz, 63263 Neu-Isenburg, 3322, E-Mail: poc@dz-cp.de Redaktioneller Hinweis: Nachdruck, auch Herausgebers wieder. Die DZ CompliancePart-
Telefon 069 6978-3324, Telefax 069 6978- Weitere Autoren dieser Ausgabe: auszugsweise, nur mit ausdrücklicher Geneh- ner GmbH übernimmt keinerlei Haftung für die
3322, www.dz-cp.de Matthias Hommel, Marc Linnebach, Michael migung der Redaktion sowie mit Quellenan- Richtigkeit des Inhalts.
Handelsregister HRB 11105, Amtsgericht Maier, Andreas Marbeiter, Jens Saenger, gabe und gegen Belegexemplar. Die Beiträge Redaktionsschluss: 10. September 2021
Offenbach, USt.-IdNr.: DE201150917 Lars Schinnerling, Thomas Schröder, Sarah- sind urheberrechtlich geschützt. Zitate sind Auflage: 2.600 Exemplare
Geschäftsführung: Jens Saenger (Sprecher), Lena Tiburtius, Björn Veit mit Quellenangabe zu versehen. Jede darü- Die aktuellen Mediadaten finden Sie im
Andreas Marbeiter, Norbert Schäfer ber hinausgehende Nutzung, wie die Verviel- Internet unter www.dz-cp.de/poc
2 Point of Compliance 2/2021 DZ CompliancePartner
STARTPUNKT
Wenn über Regulatorik gesprochen
wird, fehlt eines nie: die Klage über unverhält-
nismäßig steigende Anforderungen im Allgemei-
nen und damit verbunden die Klage über die
– noch den kleinsten Prozess erfassende –
Regulationstiefe. Und tatsächlich: Allein im
letzten Jahr haben wir gegenüber dem Vorjahr
einen Anstieg von über 50 % bei regulato-
Jens Saenger
rischen Neuerungen gesehen. Sprecher der Geschäftsführung
Gerade hat die BaFin die MaRisk, die BAIT und
sowie die Auslegungs- und Anwendungshinweise
zum GwG novelliert. Daneben trat im Sommer
eine Geldwäsche-Novelle in Kraft. Zum Ende des
Jahres ist die EU-Hinweisgeberrichtlinie umzu-
setzen. Weil absehbar ist, dass sich deren Um-
setzung in nationales Recht verzögert, stehen die
Unternehmen einmal mehr vor juristischen
Unsicherheiten.
Das alles ist weder einfach noch bringt es einen
Marktvorteil. Aber keiner kann sich dem ent-
ziehen, im Gegenteil: Die BaFin unterstreicht die
Verantwortung der Institute.
In der genossenschaftlichen Gruppe sind wir,
auch aus Sicht der Aufsicht, in gewisser Weise
privilegiert. Wir arbeiten vernetzt, um gemein-
sam zu schaffen, was einer alleine nicht leisten
kann. Als Ihr Compliance-Partner ist es an
uns, den qualitätsfördernden Wissensaustausch
zu ermöglichen und zertifizierte Sicherheit sowie
aufwandsreduzierende Tools bereitzustellen –
damit Sie die Fäden in der Hand behalten, wenn
die Anforderungen steigen.
In diesem Sinne wünsche ich Ihnen eine
spannende Lektüre.
Ihr Jens Saenger
DZ CompliancePartner Point of Compliance 2/2021 3
SCHWERPUNKT
M
aRisk-Compliance
Zusammenfassung der
neuen MaRisk
Mit Datum vom 16. August 2021 hat die BaFin das Rundschreiben 09/2017 mit dem
Rundschreiben 10/2021 Mindestanforderungen an das Risikomanagement – MaRisk
aktualisiert.
Damit sind der im Oktober 2020 begonnene Konsultationspro- Risikotragfähigkeit (Anpassung an den überarbeiteten Leitfaden
zess und die Diskussionen im Fachgremium MaRisk abgeschlos- zur Risikotragfähigkeit).
sen. In der Novelle nicht berücksichtigt sind die EBA-Leitlinien
für die Kreditvergabe und Überwachung sowie das Thema Nachfolgend die zentralen Inhalte bei den wesentlichen Über-
Nachhaltigkeit. Diese werden, wie bereits von der Aufsicht arbeitungen:
adressiert, in der nächsten Überarbeitung der MaRisk – der sieb-
ten MaRisk-Novelle – Berücksichtigung finden. Mit der Über- NPE Guidelines
arbeitung soll zeitnah begonnen werden, sodass im Jahr 2022
mit der offiziellen Konsultation der nächsten Fassung zu rech- Die NPE Guidelines unterscheiden zwischen notleidenden Kre-
nen ist. diten und notleidenden Risikopositionen. Entscheidend ist da-
In der nun veröffentlichten finalen Fassung der MaRisk wird bei, ob das Institut die Quote von 5 % oder mehr notleidender
nicht mehr auf „systemrelevante“ Institute oder, wie noch in der Kredite (brutto) in zwei aufeinanderfolgenden Quartalen über-
Konsultationsfassung vorgesehen, auf „große und komplexe In- schreitet und damit als Institut mit hohem NPL-Bestand einge-
stitute“ abgestellt. Vielmehr wird auf „bedeutende Institute“ im stuft wird. Auch wenn nur in einzelnen Portfolios ein wesent-
Sinne des Art. 6 der SSM-Verordnung (Verordnung (EU) Nr. licher Anteil an notleidenden Krediten besteht, kann die
1024/2013) abgestellt. Für bedeutende Institute ergeben sich Aufsicht die Einhaltung der zusätzlichen Anforderungen von
spezifische Anforderungen hinsichtlich Geschäftsstrategie, den Instituten verlangen. Zur Berechnung der NPL-Quote ist
Datenmanagement/Datenqualität, Risikocontrolling-Funktion, der Bruttobuchwert der notleidenden Kredite durch den Brutto-
Compliance-Funktion sowie Risikoberichterstattung. buchwert der gesamten Darlehen zu teilen. Zu beachten ist, dass
Doch auch für nicht bedeutende Institute ergeben sich zahl- bis zur endgültigen Entscheidung der EBA zu diesem Sachver-
reiche neue Anforderungen sowie Präzisierungen bereits beste- halt die Berechnung der NPL-Quote ohne Zentralbankgutha-
hender Anforderungen. Die wesentlichen Überarbeitungen be- ben erfolgt.
treffen die folgenden Themenkomplexe: Institute mit hohem NPL-Bestand haben eine Strategie für
Leitlinien der EBA zu notleidenden und gestundeten den Abbau von notleidenden Risikopositionen zu erstellen, die
Risikopositionen (NPE Guidelines), regelmäßig zu überprüfen ist. Die Risikocontrolling-Funktion
A
uslagerungen (Outsourcing Guidelines), hat den NPL-Bestand sowie die Strategieüberwachung anhand
ICT Risk (ICT Guidelines). eines Mindestkatalogs von Leistungsindikatoren (KPIs) zu
Weitere Änderungen gibt es in den Bereichen operationelle überwachen und die Auswirkungen auf interne sowie regulato-
Risiken (Definition des Anwendungsbereiches), Handelsge- rische Eigenmittelanforderungen zu beachten. Die Risikocon-
schäfte (Aufnahme von Kryptowährungen, Bestätigungsverfah- trolling-Funktion kann sich zur Erfüllung dieser Vorgaben an-
ren, Kontrolle der Marktgerechtigkeit), Liquidität (Unterschei- derer marktunabhängiger Einheiten und deren Informationen
dung institutionelle und andere professionelle Anleger) und bedienen. Voraussetzung hierfür ist jedoch, dass die Informatio-
4 Point of Compliance 2/2021 DZ CompliancePartner
SCHWERPUNKT
AU TO R E N U N D A N S P R EC H PA R T N E R
Matthias Hommel Michael Maier
Beauftragter MaRisk- Leiter MaRisk-Compliance,
Compliance, E-Mail: michael.maier@dz-cp.de
E-Mail: matthias.hommel@
dz-cp.de
nen von der Risikocontrolling-Funktion plausibilisiert werden. Für die Risikoanalyse zur Auslagerung ist zusätzlich zu be-
Darüber hinaus sind Abwicklungseinheiten für NPEs einzurich- rücksichtigen, inwiefern eine auszulagernde Tätigkeit innerhalb
ten, die organisatorisch außerhalb des Marktbereichs angesiedelt der Prozesslandschaft des Instituts von wesentlicher Bedeutung
werden müssen. Die Mitarbeiter müssen ausreichend qualifiziert ist. Dabei sind auch Konzentrationsrisiken (z. B. wenn mehrere
und auf die NPE-Abwicklung spezialisiert sein. Auslagerungsverträge mit einem Auslagerungsunternehmen be-
Für alle Institute sind die Anforderungen bei Forbearance- stehen), politische Risiken, Risiken aus der Weiterverlagerung,
Maßnahmen gestiegen. Dies betrifft sowohl die Prozesse und Interessenkonflikte sowie Datenschutzaspekte etc. zu berück-
Richtlinien, die eingerichtet und entwickelt werden müssen, sichtigen.
als auch die Anforderungen zur Erfassung notleidender Risiko- Auch an die Auslagerungsverträge werden zusätzliche Anfor-
positionen, die präzisiert und ergänzt werden müssen. Damit derungen gestellt. Hierzu gehört u. a., dass auch bei nicht we-
verfolgen die Aufsichtsbehörden konsequent ihren Ansatz, den sentlichen Auslagerungen Informations- und Prüfungsrechte zu
Anteil notleidender Kredite in den Bankbilanzen zu reduzieren. vereinbaren sind. Bei wesentlichen Auslagerungen sind beispiels-
weise die Angabe des Standorts für die Dienstleistungserbrin-
Outsourcing Guidelines gung, eine Verpflichtung zur Reintegrationsunterstützung sowie
Angaben zu Beginn und Ende der Auslagerung gefordert. Für
Die umfassenden Änderungen in AT 9 betreffen den gesamten bestehende oder in Verhandlung befindliche Auslagerungsver-
Auslagerungszyklus. In den Erläuterungen zu AT 9 Tz. 1 Ma- träge besteht eine gesonderte Umsetzungsfrist bis zum 31. De-
Risk wurde der Katalog der Leistungen, die einen sonstigen zember 2022.
Fremdbezug – und somit keine Auslagerung – darstellen, erwei- Im Ergebnis führen die Änderungen zu höheren Anforderun-
tert. Eine wichtige Voraussetzung für Auslagerungen ist, dass gen an die Steuerung und Überwachung von Auslagerungen,
durch die Auslagerungen nicht lediglich eine „leere Hülle“ ver- weshalb ein zentraler Auslagerungsbeauftragter verpflichtend
bleibt. Aufgrund des Universalbanken-Ansatzes wird dies je- einzurichten ist. Die Funktion des zentralen Auslagerungsbeauf-
doch in der Genossenschaftlichen FinanzGruppe in der Regel tragten ist (im Gegensatz zum zentralen Auslagerungsmanage-
nicht von Relevanz sein. ment) nicht auslagerbar.
Ebenso ist vom Institut sicherzustellen, dass das Auslage- Insgesamt wurden jedoch die Möglichkeiten der vollstän-
rungsunternehmen zur Ausübung der auszulagernden Tätig- digen Auslagerungen der besonderen Funktionen Risikocontrol-
keiten befugt ist und ggf. über entsprechende Erlaubnisse und ling, Compliance und Interne Revision ausgeweitet.
Registrierungen verfügt. Bisher sind Zulassungen und Erlaub- Von den Instituten ist ein aktuelles Auslagerungsregister mit
nisse bereits im Rahmen der Anwendung der Musterklauseln Informationen über alle Auslagerungsvereinbarungen vorzuhal-
des AK Outsourcing berücksichtigt. ten. Bei Weiterverlagerungen von wesentlichen Auslagerungen
ist vom auslagernden Institut festzulegen, ob der weiter zu verla-
gernde Teil wesentlich ist und folglich im Auslagerungsregister
zu erfassen ist.
DZ CompliancePartner Point of Compliance 2/2021 5SCHWERPUNKT
Hinsichtlich gruppen- bzw. verbundinterner Auslagerungen zogen anzupassen. Über den Zustand des Notfallmanagements
können Erleichterungen in Anspruch genommen werden. So ist dem Vorstand vierteljährlich schriftlich zu berichten.
darf z. B. das zentrale Auslagerungsmanagement auf Gruppen-
bzw. Verbundebene angesiedelt sein, sofern es den Anforderun- Regelungen zum Inkrafttreten
gen des AT 9 entspricht.
Neben den überarbeiteten Anforderungen in AT 9 sind zu- Die neue Fassung der MaRisk trat mit Veröffentlichung in
sätzlich die neuen Vorgaben aus dem Gesetz zur Stärkung der Kraft. Soweit Änderungen notwendig sind, gibt es für die
Finanzmarktintegrität (FiSG) zu berücksichtigen: Die Absicht Implementierung grundsätzlich eine Übergangsfrist bis zum
einer wesentlichen Auslagerung, deren Vollzug sowie wesent- 31. Dezember 2021.
liche Änderungen und schwerwiegende Vorfälle im Rahmen be- Insbesondere aus den wesentlichen Themenkomplexen mit
stehender wesentlicher Auslagerungen, die einen wesentlichen Überarbeitungen, also:
Einfluss auf das Institut haben können, sind gemäß § 24 Abs. 1 NPE Guidelines,
Nr. 19 KWG gegenüber der Aufsichtsbehörde anzuzeigen. Eine Outsourcing Guidelines,
Absicht zur Auslagerung ist dann anzunehmen, wenn ein ent- nd ICT Guidelines,
u
sprechender Gremienbeschluss gefasst wurde. Diese Regelung ergibt sich für die Institute unter Umständen ein umfassender
gilt ab dem 1. Januar 2022. Umsetzungsbedarf.
ICT Guidelines
Die Anforderungen zum Notfallmanagement werden im neu
gefassten Abschnitt AT 7.3 umgesetzt. Die bereits bestehenden
Notfallkonzepte sind in einen Notfallmanagementprozess ein-
zubetten. Die Aufsicht erläutert mit den neuen MaRisk, welche
Aktivitäten und Prozesse als „zeitkritisch“ einzustufen sind.
Dies sind Aktivitäten und Prozesse, deren Beeinträchtigung zu
einem nicht mehr akzeptablen Schaden für das Institut führen
kann. Mittels Auswirkungsanalysen sind diese zu identifizieren.
Anschließend erfolgt anhand von Risikoanalysen eine Identifi-
kation und Bewertung potenzieller Gefährdungen, die zu einer
Beeinträchtigung der zeitkritischen Geschäftsprozesse führen
können.
Das Notfallkonzept ist regelmäßig im Hinblick auf die Diese und weitere kostenlose
Wirksamkeit und Angemessenheit zu überprüfen und anlassbe- Unterstützungsleistungen finden Sie
unter www.dz-cp.de/marisk
6 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
M
aRisk-Novelle 2021: Anforderungen, die bis
zum 1. Januar 2022 umzusetzen sind
umgesetzt
in Arbeit
relevant
nicht
Tz. Anmerkungen
AT 1 Tz. 6 Definition von „bedeutenden“ Instituten
Anwenderkreis der speziellen Anforderungen für High-NPL-Institute; Berechnung der NPL-
AT 2.1 Tz.1
Quote; Definition von NPE
AT 2.3 Tz. 3 Ergänzung von Kryptowerten
AT 4.2 Tz. 1 Pflicht zur Erstellung einer NPE-Strategie für High-NPL-Institute
Inhalte der NPE-Strategie und des Implementierungsplans; Schritte zur Entwicklung der NPE-
AT 4.2 Tz. 3
Strategie
AT 4.4.1 Tz. 2 NPE-bezogene Aufgaben der Risikocontrolling-Funktion
AT 5 Tz. 3f Regelungen zu Verfahrensweisen bei allen Auslagerungen
AT 9 Tz. 2 Erweiterte Aufzählung der relevanten Aspekte bei der Risikoanalyse
AT 9 Tz. 4 Befugnis der Leistungserbringung des Auslagerungsunternehmens
Erweiterte Möglichkeit der vollständigen Auslagerung der besonderen Funktionen unter
AT 9 Tz. 5
bestimmten Bedingungen (Schwesterinstitute)
Erweiterte Vertragsinhalte; Informations- und Prüfungsrechte bei nicht wesentlichen
Auslagerungen; Erläuterungen zu Kündigungsrechten, sonstigen Sicherheitsanforderungen
AT 9 Tz. 7
und Ort der Durchführung der Dienstleistung; gesonderte Umsetzungsfrist bis
31.12.2022 für bestehende oder in Verhandlung befindliche Auslagerungsverträge
Leistungsüberwachung bei wesentlichen Auslagerungen z.B. anhand von KPIs und
AT 9 Tz. 9
vertraglich vereinbarten Informationen
AT 9 Tz. 12 Einrichtung eines zentralen Auslagerungsbeauftragten im Institut
AT 9 Tz. 13 Berichtspflicht auch für kleine Institute ohne zentrales Auslagerungsmanagement
AT 9 Tz. 14 Einrichtung und Vorhalten eines Auslagerungsregisters
Erleichterungen für Gruppen und Finanzverbünde mit Ausnahme der folgenden bereits in
der alten MaRisk-Fassung enthaltenen Regelungen:
AT 9 Tz. 15 A
T 9 Tz. 15 lit. a): war bereits für gruppeninterne Auslagerungen in AT 9 Tz. 2 MaRisk
a.F. enthalten
AT 9 Tz. 15 lit. d): war bereits in AT 9 Tz. 6 MaRisk a.F. enthalten
DZ CompliancePartner Point of Compliance 2/2021 7SCHWERPUNKT
umgesetzt
in Arbeit
relevant
nicht
Tz. Anmerkungen
Anforderungen an die mit der Wertermittlung von Immobiliensicherheiten betrauten
BTO 1.2 Tz. 3 sachverständigen Personen (sowohl interne als auch externe Sachverständige); Rotation von
Sachverständigen
Berücksichtigung von NPE-Kriterien bei Übergang in Problemkreditbearbeitung; Einrichtung
BTO 1.2.5 Tz. 1
von NPE-Abwicklungseinheiten für High-NPL-Institute
Definition von Rettungserwerben und Entwicklung einer Richtlinie, sobald Rettungserwerbe
BTO 1.2.5 Tz. 8
in Betracht gezogen werden
Durchführen von Rückvergleichen zur Überprüfung der Verfahren und Methoden zur
BTO 1.2.6 Tz. 3
Risikovorsorgebildung
Kriterien zur Einstufung und Umgliederung von Forborne-Risikopositionen als
BTO 1.3.2 Tz. 3
notleidende oder nicht-notleidende Risikopositionen
Beurteilung der finanziellen Lage des Kreditnehmers und Änderungen der
BTO 1.3.2 Tz. 4
Vertragsbedingungen
BTO 1.3.2 Tz. 5 Bewertung der Tragfähigkeit von Forbearance-Maßnahmen
Überwachung des Prozesses zur Gewährung von Forbearance-Maßnahmen und der
BTO 1.3.2 Tz. 6
Wirksamkeit der Maßnahmen
Beschränkung der Nutzung kurzfristiger Emittentenlimite auf im Wesentlichen
BTR 1 Tz. 4
Handelsbuchgeschäfte
BTR 1 Tz. 7 Erlösquotensammlung und Rettungserwerbe
Verzicht auf eigene Prüfungshandlungen der Internen Revision unter bestimmten
BT 2.1 Tz. 3 Bedingungen bei allen Auslagerungen; Rückgriff auf Nachweise / Zertifikate auf Basis
gängiger Standards
Darstellung von notleidenden und Forborne-Risikopositionen bei Instituten mit
BT 3.2 Tz. 3
hohem NPL-Bestand
BT 3.2 Tz. 6 Ergänzung Mindestinhalte OpRisk-Berichte
Diese und weitere kostenlose
Unterstützungsleistungen finden Sie
unter www.dz-cp.de/marisk
8 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
MaRisk-Compliance
BAIT 2.0 – Umsetzung
ohne Übergangsfrist
Wie die MaRisk-Novelle ist auch die neue Fassung der BAIT am 16. August 2021 in Kraft
getreten. Da aus Sicht der BaFin lediglich bestehende Vorgaben konkretisiert werden,
gibt es keine Übergangsfristen.
Die Konkretisierungen in den neuen Bankaufsichtlichen Anfor- Die Häuser müssen sich zwangsläufig mit den Fragen be-
derungen an die IT (BAIT) beziehen sich auf bestehende Vor- schäftigen, inwieweit Leit- und Richtlinien zum Informationsri-
gaben gemäß § 25a Abs. 1 und § 25b des KWG. sikomanagement und zur Informationssicherheit, aber auch der
Im November 2017 wurden die BAIT erstmalig veröffentli- Umgang mit IT-Projekten und den Anwendungsentwicklungen
cht. Die Entwicklung der letzten Jahre begründet jedoch einen den überarbeiteten Anforderungen der BAIT gerecht werden.
erheblichen Bedeutungszuwachs der Informationssicherheit und Insbesondere ist zu prüfen, inwieweit die verantwortlichen
damit auch der BAIT. Mitarbeiter*innen und Strukturen der Häuser hierfür operativ
Die Novellierung ist unter anderem auch als Reaktion auf die angemessen ausgestattet bzw. ausgelegt sind. Das beginnt bei
Anpassung bzw. Digitalisierung von Arbeitsabläufen in der Pan- der Prüfung und Anpassung bestehender Arbeitsanweisungen,
demie zu sehen. Aus der Not heraus geboren, haben sich zwi- setzt sich fort in der Prüfung aktueller Rollen, Verantwortlich-
schenzeitlich eine Reihe von digitalisierten Prozessen bewährt. keiten und Dokumentationen und endet in der Aktualisierung
Es ist davon auszugehen, dass sich diese Entwicklung fortsetzen des SOIT. Dabei kann der erforderliche Anpassungsbedarf in
wird. Allerdings wird auch deutlich, dass es im operativen Um- den Häusern je nach aktueller Organisationslage durchaus un-
gang – sowohl mit der Informationssicherheit als auch mit den terschiedlich ausfallen.
technischen Verfahren – einen Anpassungsbedarf gibt: Erklärtes In der Summe lässt sich aber jetzt schon sagen, dass im Rah-
Ziel ist, die Schere zwischen technischem Nutzen und tech- men eines Analyseprozesses der Vorstand, diverse Fachabtei-
nischen Risiken nicht auseinanderdriften zu lassen. lungen, die IT-Organisation, der Notfallbeauftragte und der In-
formationssicherheitsbeauftragte gefordert sein werden. Diese
IT-Sicherheit breite Auffächerung verdeutlicht ein wesentliches operatives Ziel
der Novelle:
In diesem Zusammenhang stellt die BaFin klar, dass die Die Wahrung der Informationssicherheit ist nicht und kann
fortlaufende Beachtung der Informationssicherheit und deren nie die Aufgabe von einzelnen Mitarbeiter*innen oder Beauf-
Einhaltung auf Basis angemessener und wirksamer Sicherungs- tragten sein. Informationssicherheit impliziert vielmehr
maßnahmen künftig deutlicher von der Aufgabe der Identifi- L eitplanken und Vorgaben (Vorstand),
kation und Steuerung der mit den digitalen Prozessen einher- d ie Bereitstellung angemessener Mittel und Ressourcen
gehenden Informationssicherheitsrisiken abzugrenzen ist. Dies (Vorstand),
mündet darin, dass in den BAIT ein völlig neues Kapitel zur k lare Arbeitsanweisungen (Orga),
operativen IT-Sicherheit aufgenommen wurde. Aus Sicht der e indeutige Verantwortlichkeiten (Vorstand und Orga),
Behörde mag dies nur eine Konkretisierung bestehender Vorga- U msetzung und Beachtung in den operativen Einheiten
ben sein. Operativ bedeutet dies allerdings die Notwendigkeit, sowie
sich mit allen Verfahren und Prozessen innerhalb des Hauses d ie fortlaufende Analyse, Steuerung und Beratung der
auseinanderzusetzen und dabei auch potenzielle Interessenkon- jeweiligen Facheinheiten durch den Informationssicherheits-
flikte im Auge zu behalten. beauftragten (ISB).
DZ CompliancePartner Point of Compliance 2/2021 9SCHWERPUNKT
AU TO R U N D
A N S P R EC H PA R T N E R
Andreas Marbeiter
Geschäftsführung,
E-Mail: andreas.marbeiter@
dz-cp.de
Operative Informationssicherheit ohne weiteren eigenen Aufwand in die Kontrolldokumentation
des eigenen Hauses übernommen und dem Prüfer zur Verfü-
Damit unterstreicht die Aufsicht einmal mehr ihr Verständnis gung gestellt werden.
der drei Verteidigungslinien. Die operativen Einheiten stehen Schlussendlich thematisieren die neuen BAIT das (IT-)Not-
als „first line of defense“ nun mal an vorderster Front und „ver- fallmanagement. Unserer Einschätzung zufolge gibt es nicht un-
antworten“ damit die meisten Einfallstore zur Gefährdung der erhebliche Synergien mit den im Informationssicherheitsprozess
Informationssicherheit. definierten Sicherungsmaßnahmen. Insbesondere die Einschät-
In diesem Zusammenhang ist auch die Hervorhebung der zungen zu Verfügbarkeitsbedarf und Zeitkritikalität können als
Bedeutung der Informationseigentümer zu sehen, die sich aus Basis genutzt werden. Dennoch wird es auch in diesem Segment
dem neu geschaffenen Kapitel 3 der BAIT – operative Informa- nicht ohne detaillierte Analyse und ggf. Anpassung bestehender
tionssicherheit – ergibt. Die interessenkonfliktfreie Trennung Systeme und Prozesse gehen.
von operativem Handeln einerseits und unterstützender Bera-
tung, Risikoanalyse und -steuerung andererseits verdeutlicht die Detaillierte Informationen auf unserer Homepage
Erfordernis eines Zusammenwirkens von Fachabteilungen und
den dortigen Informationseigentümern mit dem Informations- Auf unserer Homepage unter www.dz-cp.de/bait können Sie
sicherheitsbeauftragten als verantwortlichem Kollegen der auszugsweise einige wesentliche Änderungen und daraus resul-
„second line of defense“. Klare Schnittstellendefinitionen verein- tierende Handlungserfordernisse für Ihr Haus in tabellarischer
fachen dabei nicht nur die Allokation durchzuführender Tätig- Form herunterladen. Die detaillierten Analysen und Maßnah-
keiten. Sie ermöglichen dem Vorstand darüber hinaus einen menempfehlungen sprechen wir mit unseren Auslagerungsman-
transparenten Überblick über erforderliche Ressourcen und daten in den nächsten Wochen systematisch durch.
Kosten, die den jeweiligen Rollenprofilen innewohnen. Auch wenn die BAIT viel enthalten, was in den Häusern be-
reits heute so durchgeführt wird, haben sich neue Schwerpunkte
IT-Governance – insbesondere im Bereich der Einbindung der Informationsei-
gentümer in der Bank, der operativen Informationssicherheit so-
Ein weiterer wichtiger, operativer Aspekt ist die Rolle der inter- wie des IT-Notfallmanagements – ergeben.
nen Kontrollsysteme (IKS) aus Kapitel 2 der BAIT – IT-Gover-
nance. Die Einbindung der ordnungsgemäßen Aufgabenwahr-
nehmung in das IKS der Bank ist auch hier der wesentliche
Faktor.
Wir haben dieser Entwicklung bereits Rechnung getragen Einen ersten, tabellarischen Überblick
und stellen unseren Auslagerungsmandaten seit letztem Jahr zur der wesentlichen Änderungen und daraus
Bestätigung unserer ordnungsgemäßen Aufgabenwahrnehmung resultierenden Handlungsempfehlungen
ein Testat nach IDW PS 951 Typ II zur Verfügung. Dieses kann finden Sie unter www.dz-cp.de/bait
10 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
M
aRisk-Compliance
(Neue) Herausforderungen
in der Regulatorik meistern
Die immer stärker steigende Anzahl neuer oder aktualisierter regulatorischer Anforderun-
gen bereitet den Instituten Kopfzerbrechen. Diese müssen nicht nur pragmatisch um-
gesetzt werden. Relevante Änderungen müssen zunächst überhaupt identifiziert, zeitnah
gesichtet und analysiert werden.
Dies führt zu steigenden Aufwendungen, die sich jedoch mit Rechtsmonitoring im Jahr 2020 fast 50 % mehr Einträge als im
dem richtigen Ansatz leicht vermeiden lassen. Jahr 2019. Schnell kommen so mehrere Hundert Seiten Rund-
Zu den Hauptaufgaben der MaRisk-Compliance-Funktion schreiben und Umsetzungshilfen im Monat zusammen, die von
gehört die Identifizierung der wesentlichen rechtlichen Rege- jedem Compliance-Beauftragten auf Relevanz und Handlungs-
lungen und Vorgaben, deren Nichteinhaltung zu einer Gefähr- bedarf untersucht werden müssen.
dung des Instituts führen kann (AT 4.4.2 Tz. 2 MaRisk). Hinzu kommt, dass ein immer stärkerer Fokus seitens Auf-
Doch der Aufwand für das Institut und die Compliance-Funk- sicht und Prüfung auch auf die Dokumentation zur Umsetzung
tion wird von zahlreichen internen und externen Faktoren be- von Vorgaben gerichtet wird.
einflusst. Grundsätze wie „Was nicht dokumentiert ist, wurde nicht
Der offenkundigste Faktor ist dabei die stetig wachsende gemacht“ oder „Wer schreibt, der bleibt“ bewahrheiten sich zu-
Anzahl regulatorischer Anforderungen. Unter anderem bedingt nehmend und werden bei Nichtbeachtung mit zum Teil erheb-
durch die Corona-Pandemie umfasste das von uns angebotene lichen Beanstandungen in Prüfungsberichten quittiert.
50 %
mehr Compliance-relevante Neuerungen
von 2019 auf 2020
DZ CompliancePartner Point of Compliance 2/2021 11SCHWERPUNKT
A B B. 1 P R OZ E SS Z U M M A N AG EM EN T D ER R EG U L ATO R I K
Identifikation relevanter F estlegung der
Normen Verantwortlich- Verantwortlichkeiten
Identifikation
keiten
S ichtung relevanter B
ewertung des
Rundschreiben Umsetzungsbedarfs
Dadurch wird nicht nur die Compliance-Funktion, sondern das AU TO R U N D
Institut als Ganzes vor die große Herausforderung gestellt, auf A N S P R EC H PA R T N E R
eine ausreichende und transparente Dokumentation zu achten.
In den durch uns betreuten Mandaten sehen wir, dass die
Institute allein durch Dokumentationen und Ablage stark
belastet werden. Darüber hinaus stehen die Institute vor dem
Problem, einen Prozess implementieren zu müssen, der eine
Michael Maier
nachvollziehbare Dokumentation der Umsetzung durch die
Leiter MaRisk-Compliance,
betroffenen Verantwortlichen ermöglicht. E-Mail: michael.maier@dz-cp.de
Diese Aufgabe impliziert einen sehr hohen Abstimmungs-
bedarf innerhalb des Instituts, der sich zunehmend komplexer
gestaltet und ohne begleitende Unterstützungsleistungen kaum
mehr zu bewerkstelligen ist. Unsere eigenen Erfahrungen als Funktion in den Griff zu bekommen versuchen: Es werden
Beauftragte MaRisk-Compliance zeigen, dass es zwingend not- eigene Datenbanken mit Rundschreibendiensten zur Dokumen-
wendig ist, die Steuerung und Abstimmung von Maßnahmen tation und zum Controlling der Umsetzung regulatorischer
einfacher und transparenter zu gestalten, Verantwortlichkeiten Anforderungen entwickelt und befüllt. Manche Häuser geben
deutlicher zu adressieren, Dokumentationen über Abläufe und sehr viel Geld für externe Lösungen, z. B. von WP-Gesell-
terminliche Vorgaben nachzuhalten, um Umsetzungsrisiken für schaften, aus und bekommen dabei Informationsinhalte gelie-
das Institut zu vermeiden. Vieles davon wird aktuell wenig res- fert, die weit über den benötigten Horizont ihrer Geschäftsmo-
sourcenschonend durch individuellen und manuellen Aufwand delle hinausgehen. Ergänzend werden bisweilen auch einfache
abgebildet. Internetrecherchen in bestimmten zeitlichen Abständen vor-
genommen.
Reduktion von Aufwand und Risiken durch Die DZ CompliancePartner ist seit Jahren Anbieter eines
geeignete Unterstützungsleistungen Rechtsmonitorings, das monatlich als Word-, Excel- und PDF-
Datei an die (Auslagerungs-)Kunden versendet wird. Berück-
Uns begegnen viele verschiedene Varianten, wie Banken die sichtigt werden dabei verschiedene Quellen, insbesondere auch
Risiken und Aufwände für das Institut und die Compliance- die Rundschreiben des BVR. Die Inhalte werden verständlich
12 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
Umsetzung der Anforderungen C
ontrolling der
Umsetzung & Controlling &
Umsetzung
Dokumentation nachvollziehbare Dokumentation Reporting
der Umsetzung R
eporting
zusammengefasst und mit pragmatischen Handlungsempfeh-
lungen ergänzt.
Dabei haben wir immer ein offenes Ohr und pflegen eine
enge Abstimmung mit zahlreichen Instituten innerhalb und
außerhalb der Genossenschaftlichen FinanzGruppe, um den
Nutzen und die Erfordernisse unserer Dienstleistung weiter zu
optimieren. Mit RM kompakt – der datenbankgestützten Steue-
rung der Compliance-Prozesse nach MaRisk AT 4.4.2 – haben
wir die Rückmeldungen unserer Kunden praxisorientiert um-
gesetzt.
Aus der Praxis für die Praxis: Das ist zusammengefasst unser
auf Basis der BVR-Musterbestandsaufnahme ausgerichtetes
Rechtsmonitoring. Das Tool ist webbasiert und ermöglicht eine des Instituts oder der Adressatenkreis von Eskalationen frei defi-
institutsindividuelle Vorgangsweiterverarbeitung. Dadurch niert werden. Darüber hinaus werden die Institute/die Anwen-
entfallen nahezu alle administrativen Tätigkeiten, die bislang der künftig die Möglichkeit haben, bei Bedarf eigene Einträge
überwiegend manuell und unter Entstehung vielfältiger Medi- zu erfassen.
enbrüchen durchgeführt wurden. Die Zuordnung von Zustän- Nach einer umfangreichen Testphase erhalten aktuell unsere
digkeiten erfolgt auf Wunsch automatisch, wodurch das Risiko MaRisk-Auslagerungskunden ein kostenloses Upgrade auf RM
nicht ausreichend geklärter Verantwortlichkeiten minimiert kompakt. Zeitnah werden auch die Kunden unseres aktuellen
wird. Rechtsmonitorings kostenfrei upgegradet.
Ein wesentlicher Nutzen ist, dass die Umsetzung der Inhalte Wir bedanken uns bei den Instituten, die an der Entwick-
einfach und revisionssicher dokumentiert wird und Umset- lung mitgewirkt haben. Nur so ist es uns möglich gewesen, den
zungsfristen einfach und ohne Zusatzaufwand im Blick behal- genossenschaftlichen Gedanken pragmatisch weiterzutragen
ten werden können. und die Ergebnisse für alle nutzbar zu machen.
Um den unterschiedlichen Ansprüchen in den Instituten ge- Sofern Sie Fragen zur Umstellung oder Interesse an RM
recht werden zu können, haben wir großen Wert auf eine hohe kompakt haben, kommen Sie gerne auf uns zu.
Individualisierbarkeit gelegt. So können die Nutzer innerhalb
DZ CompliancePartner Point of Compliance 2/2021 13SCHWERPUNKT
G
eldwäscheprävention
Aktuelle Entwicklungen auf
nationaler und europäischer Ebene
Die Verhinderung von Geldwäsche ist nach wie vor ein wesentlicher Baustein bei der Be-
kämpfung der organisierten Kriminalität. Die Maßnahmen zur Verhinderung und zum Auf-
decken von Geldwäsche, die in immer kürzeren Abständen nachjustiert und ergänzt wer-
den, führen zu stetig steigenden Anforderungen und Aufwänden bei den Kreditinstituten.
Der folgende Beitrag gibt einen Überblick über die aktuellen seite: https://rp-darmstadt.hessen.de/sicherheit/
Entwicklungen in der Geldwäschebekämpfung auf nationaler gl%C3%BCcksspiel/sportwetten
und europäischer Ebene.
Transparenzregister- und Finanzinformationsgesetz
Änderung § 261 (Geldwäsche) Strafgesetzbuch
Im Juni wurde das „Gesetz zur europäischen Vernetzung der
Durch das am 18. März 2021 in Kraft getretene Gesetz zur Transparenzregister und zur Umsetzung der Richtlinie (EU)
Verbesserung der strafrechtlichen Bekämpfung der Geldwäsche 2019/1153 des Europäischen Parlaments und des Rates vom
wurde jegliche Straftat als taugliche Geldwäschevortat definiert. 20. Juni 2019 zur Nutzung von Finanzinformationen für die
In der Kreditwirtschaft führte diese Änderung zu einem Bekämpfung von Geldwäsche, Terrorismusfinanzierung und
nochmaligen Anstieg des Verdachtsmeldeaufkommens. sonstigen schweren Straftaten“ (TraFinG) im Bundesgesetzblatt
veröffentlicht.
Novellierung des Glücksspielstaatsvertrages Zum 1. August 2021 sieht das GwG insbesondere folgende
Neuregelungen vor:
Zum 1. Juli 2021 wurde der Glücksspielstaatsvertrag (GlüStV) D as Transparenzregister wird auf ein Vollregister umgestellt.
novelliert. Im Hinblick auf die Abwicklung des Zahlungsver- A lle Rechtseinheiten gemäß § 20 Abs. 1 und § 21 Abs. 1 und
kehrs ist insbesondere die Neugestaltung des Mitwirkungsver- 2 GwG sind nun verpflichtet, ihren wirtschaftlich Berech-
botes in § 4 Abs. 1 GlüStV 2021 von Bedeutung. Danach dür- tigten nicht nur zu ermitteln, sondern dem Transparenz-
fen öffentliche Glücksspiele nur mit Erlaubnis der zuständigen register positiv zur Eintragung mitzuteilen.
Behörde des jeweiligen Landes veranstaltet oder vermittelt wer- D ie sogenannte „Mitteilungsfiktion“ entfällt.
den. Das Veranstalten und das Vermitteln ohne diese Erlaubnis E rleichterung bei der Überprüfung der Angaben zum wirt-
(unerlaubtes Glücksspiel) sowie die Mitwirkung an Zahlungen schaftlich Berechtigten.
im Zusammenhang mit unerlaubtem Glücksspiel sind verboten. J e nach Rechtsform der Unternehmung bestehen Übergangs-
Die Deutsche Kreditwirtschaft hat die Glücksspielaufsicht fristen:
wiederholt darauf hingewiesen, dass Kreditinstitute grundsätz-
Frist bis zur verpflichten- Rechtsform
lich keine Möglichkeit haben, Zahlungen, die im Zusammen-
den Eintragung / Meldung
hang mit illegalem Glücksspiel stehen, zu identifizieren. Indivi-
duelle Erkenntnisse können sich ggf. aus den Maßnahmen zur bis spätestens 31.03.2022 AG, SE und KG auf Aktien
Geldwäschebekämpfung ergeben. Eine aktuelle Übersicht der bis spätestens 30.06.2022 GmbH, Genossenschaft,
in Deutschland zugelassenen (Online-)Glücksspielanbieter – europäische
die sogenannte „White List“ – finden Sie u. a. auf der Internet- Genossenschaft (SCE),
Partnerschaft
bis spätestens 31.12.2022 alle anderen Rechtsformen
14 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
BaFin veröffentlicht Besonderen Teil ihrer Aus-
legungs- und Anwendungshinweise
Die BaFin hat am 8. Juni 2021 den bereits seit Längerem
avisierten Besonderen Teil ihrer Auslegungs- und Anwen-
dungshinweise für Kreditinstitute (BaFin AuA BT KI)
veröffentlicht.
Insbesondere sind die dort unter Ziffer 1 enthaltenen Rege-
lungen zur Herkunftsnachweispflicht bei Bartransaktionen, die
spätestens ab dem 8. August 2021 einzuhalten sind, beachtlich:
Bei Bareinzahlungen innerhalb einer bestehenden Geschäfts-
beziehung von mehr als 10.000 € müssen Kunden die Her-
kunft der Barmittel durch geeignete Dokumente nachweisen. R
egelmäßige Plausibilisierung dieser Liste mittels Geno-
Bei Einzahlungen an Geldautomaten von mehr als 10.000 € SONAR® und Ausweis in der jährlichen Risikoanalyse.
ist der Kunde im Nachgang zur Transaktion aufzufordern, Ü
berprüfung der bestehenden Indizien und Neuanlage wei-
einen geeigneten Herkunftsnachweis innerhalb einer ange- terer Indizien in Geno-SONAR®. Damit wird die Erfüllung
messenen Frist einzureichen. der neuen aufsichtsrechtlichen Pflichten von uns als prozess-
Die Vorlage des Herkunftsnachweises durch den Kunden ist immanente Kontrolle flankierend unterstützt.
in geeigneter Weise zu dokumentieren. Z
udem turnusmäßige Überprüfung der Verpflichtung im
B
ei Kunden, bei denen regelmäßig höhere Bartransaktionen Rahmen der Weiterentwicklung unseres Prüfungs- und Kon-
zum Geschäftsmodell gehören, kann von der Vorlage eines trollkonzeptes.
Herkunftsnachweises abgesehen werden, sofern die Bartrans-
aktionen risikoorientiert regelmäßig auf Plausibilität über- Ausblick auf Pläne der EU-Kommission
prüft werden.
Bei Bartransaktionen außerhalb einer bestehenden Ge- Die EU-Kommission hat am 20. Juli 2021 ein ehrgeiziges
schäftsbeziehung ist die Herkunft der Vermögenswerte Bündel von Gesetzgebungsvorschlägen vorgelegt, mit denen
bereits bei einem Betrag von mehr als 2.500 € nachzuweisen. die Vorschriften der EU zur Bekämpfung von Geldwäsche und
Für die praktische Umsetzung dieser aufsichtsrechtlichen Terrorismusfinanzierung weiter gestärkt werden sollen.
Anforderungen haben wir folgende Unterstützungsleistungen Das vorgelegte Paket besteht aus vier Regulierungsvorhaben:
für die von uns betreuten Banken entwickelt bzw. vorgesehen: V
erordnung zur Schaffung einer neuen EU-Behörde für die
Bereitstellung einer editierbaren Auswertung über Kunden, Bekämpfung von Geldwäsche und Terrorismusfinanzierung
bei denen auf Basis nachvollziehbarer Kriterien höhere (AMLA).
Bartransaktionen zum Geschäftsmodell gehören. Die AMLA soll ihren operativen Geschäftsbetrieb bis Ende
2024 aufnehmen und insbesondere die Beaufsichtigung für
bestimmte Kredit- und Finanzinstitute mit einem hohen in-
härenten Risikoprofil übernehmen.
V
erordnung zur Bekämpfung von Geldwäsche und Terroris-
musfinanzierung.
DZ CompliancePartner Point of Compliance 2/2021 15SCHWERPUNKT
AU TO R U N D A N S P R EC H PA R T N E R
Thomas Schröder
Beauftragter Geldwäsche- und
Betrugsprävention,
E-Mail: thomas.schroeder@dz-cp.de
Das einheitliche EU-Regelwerk für die Bekämpfung von
Geldwäsche und Terrorismusfinanzierung soll die einschlä-
gigen Vorschriften EU-weit harmonisieren und beispielsweise
detailliertere Bestimmungen zur Kundensorgfaltspflicht,
zum wirtschaftlichen Eigentum und zu den Befugnissen und
Aufgaben von Aufsichtsbehörden und zentralen Meldestellen
enthalten. Hervorzuheben ist in diesem Zusammenhang vor
allem die Schaffung einer EU-weiten Bargeldobergrenze von
10.000 € mit einer Ausnahme für Transaktionen zwischen
Privatleuten. Leitlinienentwurf der Europäischen Banken-
Sechste Richtlinie zur Bekämpfung von Geldwäsche und aufsichtsbehörde
Terrorismusfinanzierung, die die Richtlinie 2015/849/EU
(d. h. die durch die Fünfte Geldwäscherichtlinie geänderte Auch die Europäische Bankenaufsichtsbehörde (EBA) setzt mit
Vierte Geldwäscherichtlinie) ersetzen soll und Bestim- ihren am 2. August 2021 zur Konsultation gestellten Leitlinien
mungen enthält, die in nationales Recht umgesetzt werden einen neuen weiteren Impuls zur Verhinderung von Geldwäsche
müssen, wie die Vorschriften zu den nationalen Aufsichtsbe- und Terrorismusfinanzierung. Der Leitlinienentwurf befasst
hörden und den zentralen Meldestellen in den Mitgliedstaa- sich dabei erstmals auf EU-Ebene umfassend mit dem gesamten
ten. „AML/CFT-Governance-System“ (Anti-Money Laundering /
Überarbeitete Fassung der Geldtransfer-Verordnung von Combating the Financing of Terrorism).
2015 (Verordnung 2015/847), die auch die Rückverfolgung Besonders hervorzuheben ist, dass die EBA klare Erwar-
von Krypto-Transfers ermöglichen soll. tungen an die Rolle, Aufgaben und Verantwortlichkeiten des
(Quelle: https://ec.europa.eu/germany/news/20210720-kampf- Geldwäschebeauftragten (AML/CFT-Compliance-Beauftrag-
gegen-geldwaesche_de). ten) und des „Leitungsorgans“ (Vorstand, Geschäftsführer) for-
muliert. Danach müssen die AML/CFT-Compliance-Beauf-
tragten u.a.
ü
ber ein ausreichendes „Dienstalter“ verfügen und
d
ie Befugnisse haben, dem „Leitungsorgan“ alle notwendigen
und geeigneten Maßnahmen vorzuschlagen, die die Einhal-
tung der Vorschriften zur Bekämpfung von Geldwäsche und
Terrorismusfinanzierung gewährleisten.
Die Konsultation endet am 2. November 2021.
16 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
Hinweisgebersystem
Neuer Schutz für
Hinweisgeber*innen
Whistleblowing, aber auch jedem einzelnen Hinweisgeber kommt immer mehr Bedeu-
tung zu. Die Politik hat erkannt, wie wichtig es für alle Beteiligten sein kann, frühzeitig
von möglichen Ungereimtheiten innerhalb von Unternehmen oder Behörden
zu erfahren.
Die aktuellen Geschehnisse um aufsehenerregende Betrugsauf- anderem auch Selbstständige, Anteilseigner, Verwaltungs-,
deckungen innerhalb der Finanzbranche passen hier leider nur Leitungs- und Aufsichtsorgane, Freiwillige und Praktikanten.
zu gut ins Bild. Aber sie dokumentieren auch beispielhaft, wel- Hinweisgeber können auch Personen sein, deren Arbeitsverhält-
che Möglichkeiten zur Verhinderung solcher Vorfälle bestehen nis bereits beendet ist oder noch nicht begonnen hat. Geschützt
könnten. Auch die Politik der Europäischen Union scheint die- werden sollen auch Personen, die mit dem Hinweis-geber in
ses Thema erkannt zu haben. Verbindung stehen und an der Meldung beteiligt sind.
Am 16. Dezember 2019 ist die Richtlinie (EU) 2019/1937 Die Richtlinie gibt vor, dass es künftig drei Meldekanäle
des Europäischen Parlaments und des Rates zum „Schutz von geben soll:
Personen, die Verstöße gegen das Unionsrecht melden“ (EU- intern,
Hinweisgeberrichtlinie) in Kraft getreten. Sie soll den Schutz e xtern und
von Hinweisgebern auf ein EU-weit einheitliches Niveau heben. d ie Offenlegung.
Die Mitgliedstaaten hatten mit der Veröffentlichung zwei Jahre Die Hinweisgeber können wählen, ob sie ihren Hinweis an einen
Zeit, die Vorschriften bis Dezember 2021 in nationales Recht internen oder externen Kanal melden möchten. Intern meint ei-
umzusetzen. ne Meldestelle innerhalb des Unternehmens oder der
Behörde. Externe Meldestellen sind von den Mitgliedstaaten
Vorgaben der Richtlinie benannte Behörden. Mit Offenlegung ist die Weitergabe der
Informationen an die Öffentlichkeit gemeint. Hieran sind je-
Die Richtlinie nennt in ihren Regelungen bestimmte Vorschrif- doch mehr Voraussetzungen geknüpft als an die beiden anderen
ten des Unionsrechts und ermöglicht es Hinweisgebern, Verstö- Meldekanäle. Grundsätzlich ist diese Möglichkeit erst eröffnet,
ße hiergegen zu melden. Beispielhaft zu nennen sind hier sofern im Rahmen der beiden anderen Meldemöglichkeiten
die Vergabe von Aufträgen, dem Hinweis nicht nachgegangen wurde. Im Ausnahmefall ist
d
ie Bekämpfung von Terrorismusfinanzierung, auch eine direkte Inanspruchnahme der Offenlegung möglich,
Vorgaben zu Produktsicherheit, dies jedoch nur unter besonderen Voraussetzungen.
Lebensmittel- und Futtermittelsicherheit sowie Die Hinweisgeber sollen durch die Richtlinie insbesondere
T
ierwohl und -gesundheit, vor Repressalien geschützt und somit ermutigt werden, die ihnen
Verbraucherschutz und viele mehr. bekannt gewordenen Informationen zu melden. Sie sollen ins-
Den nationalen Gesetzgebern ist es im Rahmen der Umsetzung besondere vor
allerdings möglich, den Anwendungsbereich zu erweitern und K ündigung,
nationale Regelungen als Meldesachverhalt zu ergänzen. Hierzu S uspendierung und
finden Sie nähere Informationen weiter unten. w eiteren nachteiligen Folgen bewahrt werden.
Der Begriff des Hinweisgebers ist in der Richtlinie weit ge-
fasst. Darunter fallen neben Arbeitnehmern und Beamten unter
DZ CompliancePartner Point of Compliance 2/2021 17SCHWERPUNKT
Deutsches Hinweisgeberschutzgesetz
Der deutsche Gesetzgeber ist aufgrund dieser Vorgaben ver-
pflichtet, bis zum 17. Dezember 2021 die in der Richtlinie
genannten Erfordernisse in deutsches Recht umzusetzen.
Dies hat er bereits in Form eines Entwurfes zum Hinweis-
geberschutzgesetz (HinSchG-E) getan. Aktuell liegt nur ein
Referentenentwurf des Bundesministeriums der Justiz und für
Verbraucherschutz vor, sodass die Regelungen noch nicht im
Bundestag besprochen und diskutiert wurden. Die Diskussionen
finden aktuell wohl nur innerhalb der Ministerien statt. Es ist Monaten interessant, denn solche Hinweise sind von der EU-
daher davon auszugehen, dass es bis zur Lesung des Entwurfes Richtlinie nicht abgedeckt.
noch einige Zeit dauern wird. Hierin scheint auch der große Streitpunkt innerhalb der Poli-
Der Gesetzesentwurf setzt die Richtlinie in deutsches Recht tik zu bestehen.
um. Somit enthält auch die deutsche Regelung die Vorgaben zu Die eine Seite hält diese Ergänzung und Erweiterung für
den drei Meldekanälen. Eine Verpflichtung zur Einrichtung in- erforderlich. Sie möchte den Hinweisgebern den größtmög-
terner Meldekanäle besteht nach dem Gesetzesentwurf – wie lichen Nutzen aus der neuen Regelung bieten. Eine vorherige
auch aus der Richtlinie – für Unternehmen mit in der Regel Abwägung, welche Informationen von den Vorgaben abgedeckt
mehr als 50 Beschäftigten. Es wurde jedoch für bestimmte Be- sind und welche nicht, würde demnach dem Sinn der Rege-
schäftigungsgeber unabhängig von der Zahl der Beschäftigten lungen zuwiderlaufen. Es sei dem Hinweisgeber nicht zuzu-
eine Pflicht zur Einrichtung interner Meldestellen festgelegt. muten, erst lange zu recherchieren, welche Verstöße er melden
Hierzu könnten auch alle Kreditinstitute zählen; dies könnte kann und welche nicht.
sich aus § 12 Abs. 3 Nr. 4 HinSchG-E ergeben. Für Unterneh- Die andere Seite vertritt wohl die Meinung, dass eine richt-
men mit bis zu 249 Beschäftigten soll das Gesetz erst zum 17. linienkonforme Umsetzung ausreiche und eine Ergänzung der
Dezember 2023 in Kraft treten. Da nicht klar ist, ob diese Ab- Meldesachverhalte nicht notwendig sei. Weitere Ausführungen
grenzung auch für Kreditinstitute gilt, ist sicherheitshalber da- hierzu finden Sie am Ende des Artikels.
von auszugehen, dass die Anforderungen mit Inkrafttreten des
Gesetzes am 17. Dezember 2021 die Pflicht zur Einrichtung in- Meldestellen
terner Meldestellen umfassen.
Der deutsche Gesetzgeber hat von der Möglichkeit der Richt- Interne Meldestellen sind innerhalb der Unternehmen zu errich-
linie Gebrauch gemacht und den Anwendungsbereich des Ge- ten oder dürfen von Dritten ausgeübt werden. Diese Stellen un-
setzes ergänzt. Die Gesetze und Vorschriften, gegen die Verstöße terliegen künftig neuen Anforderungen an den Umgang mit ein-
gemeldet werden können, wurden erweitert und umfassen nun gegangenen Meldungen. So müssen diese z. B.
das in der Richtlinie genannte Unionsrecht und d em Meldenden den Eingang des Hinweises bestätigen,
zusätzlich nationales Recht. K ontakt mit ihm halten,
d ie Stichhaltigkeit der Meldung prüfen und
Ergänzung des Anwendungsbereichs a ngemessene Folgemaßnahmen ergreifen.
Zudem muss nach dem aktuellen Entwurf dem Hinweisgeber
So können die Hinweisgeber auch Sachverhalte melden, die innerhalb von drei Monaten nach Eingang der Meldung eine
straf- und bußgeldbewährt sind, sodass das gesamte Straf- und Rückmeldung gegeben werden.
Ordnungswidrigkeitenrecht Bestandteil des Gesetzes wird Die internen Meldekanäle müssen so gestaltet sein, dass
und Hinweise diesbezüglich abgegeben werden können. Das sie Meldungen in mündlicher oder in Textform ermöglichen.
bedeutet, dass auch Vorgänge bzw. Straftaten wie Betrug, Zudem ist auf Ersuchen des Hinweisgebers innerhalb einer
Körperverletzung oder Belästigung an eine Meldestelle übermit- angemessenen Zeit diesem eine persönliche Zusammenkunft
telt werden können. Dies ist insbesondere in Bezug auf die be- zu ermöglichen.
reits genannten öffentlichkeitswirksamen Fälle aus den letzten Externe Meldestelle beim Bund ist grundsätzlich der oder die
Bundesbeauftragte für den Datenschutz und die Informations-
18 Point of Compliance 2/2021 DZ CompliancePartnerSCHWERPUNKT
AU TO R I N U N D
freiheit. Diese ist zuständig, soweit nicht eine andere externe
A N S P R EC H PA R T N E R I N
Meldestelle zuständig ist. Dies kann sein: eigene Meldestellen
der einzelnen
Bundesländer, die Bundesanstalt für Finanzdienstleistungsauf-
sicht oder eine weitere externe Meldestelle des Bundes (diese Sarah-Lena Tiburtius
aber nur für den Fall, dass sich ein Hinweis gegen die eigentliche Beauftragte
externe Meldestelle des Bundes richtet). Hinweisgebersystem,
Die neuen Regelungen geben einige Anforderungen vor, E-Mail: sarah-lena.tiburtius@
dz-cp.de
die die bisherigen Vorgaben übersteigen.
In jedem Fall handelt es sich bei dem Thema Hinweisgeber/
Whistleblowing um eine sensible Angelegenheit für alle Seiten,
sowohl für die Politik als auch für die potenziellen Hinweisgeber
und Unternehmen. Der Nutzen eines funktionierenden Hin-
weisgebersystems im eigenen Unternehmen liegt auf der Hand
und bietet allen Beteiligten Vorteile. Die Verantwortlichen
schaffen eine Kultur des offenen Umgangs und zeigen, dass
ihnen die Kenntnis von Vorgängen wichtig ist. Die Mitarbeiter
haben die Möglichkeit, ihre Informationen an geeigneter Stelle
loszuwerden. Ihnen wird gezeigt, dass ihre Meinung und ihr
Wissen wichtig sind. Auch die Richtlinie und der Gesetzesent- ellen noch vom künftigen Bundestag bis zum Ende der Umset-
wurf legen dar, dass diese Art der Hinweismeldung die am zungsfrist verabschiedet wird. Und dieses Ergebnis wird dem
meisten bevorzugte bzw. gewünschte Variante ist. eigentlich gewollten Schutz von Hinweisgebern in keinem Fall
förderlich sein.
Juristische Herausforderung Die Dienstleistung der DZ CompliancePartner erfüllt für Sie
bereits jetzt die Anforderungen des § 25a KWG und übernimmt
Die inzwischen sehr wahrscheinliche Verzögerung der Umset- künftig die Aufgaben der internen Meldestelle zur Entgegennah-
zung der Richtlinie in nationales Recht stellt alle Betroffenen, me von Meldungen der Hinweisgeber. Die Hinweise werden
also sowohl potenzielle Hinweisgeber als auch Unternehmen/ dann der Geschäftsleitung unter Wahrung der Identität des
Behörden, vor einige Probleme. Es ergeben sich hieraus nämlich Hinweisgebers weitergeleitet, sodass diese entscheiden kann, wie
juristische Schwierigkeiten. Nach Ablauf der Umsetzungsfrist weiter vorgegangen werden soll. Die Anforderungen der Richtli-
könnte es dazu kommen, dass einzelne Vorgaben der Richtlinie nie und des deutschen Gesetzesentwurfs lassen sich durch ge-
unmittelbar anwendbar werden. Sie würden also auch ohne nati- ringfügige Anpassungen in die bereits bestehende Dienstleistung
onales Umsetzungsgesetz gelten. Die Regelungen müssten aber integrieren, sodass Sie mit unserem Produkt die Vorgaben so-
u. a. wohl des KWG als auch des HinSchG erfüllen.
k lar und präzise sein und
dürften in ihrer Wirksamkeit nicht von Bedingungen
abhängen.
Das trifft jedoch nicht auf alle Normen der Richtlinie zu.
Zudem ist die unmittelbare Wirkung der Richtlinie nur im
Verhältnis zwischen Bürger und Staat und somit nicht zwischen
Privaten, also z. B. zwischen privaten Arbeitnehmer und
privatem Arbeitgeber, möglich. Anders verhält es sich, wenn der
Arbeitgeber ein öffentlicher ist.
Es zeichnet sich somit ab, dass eine Nicht-Umsetzung der
Richtlinie durch den deutschen Gesetzgeber keine Vorteile mit
sich brächte. Es gäbe hingegen einiges an Konsequenzen zu be-
denken, sofern das nationale Gesetz tatsächlich weder vom aktu-
DZ CompliancePartner Point of Compliance 2/2021 19SCHWERPUNKT
D
atenschutz
Schrems II, III, IV …
Soziale Medien im Spannungsfeld zwischen Datenschutz und Realität
Im Juli vergangenen Jahres erschütterte der Europäische Ge- der Stellung. Ungeachtet dessen gibt es kaum Anhaltspunkte
richtshof mit seinem Urteil die Welt des europäischen Daten- dafür, dass nicht – im gesamten Zeitraum von 2015 bis heute
schutzes. Das Urteil ging als „Schrems II“ in die Rechtsgeschich- – die Weitergabepraxis beibehalten wurde.
te ein. Es beschäftigt Praxis, Regulatorik und Literatur bis heute Da insgesamt bei Facebook keine Bewegung oder gar substan-
intensiv und geht dabei weit über den Bereich der sozialen zielle Besserung erreichbar war, erweiterten die Aufsichtsbehör-
Medien hinaus. den die „Frontlinien“ in Richtung der „gemeinsam mit Face-
Und ein Ende ist vorläufig auch nicht absehbar: Der österrei- book verantwortlichen Unternehmen“:
chische Aktivist Max Schrems und seine Organisation noyb 2 020 kritisierte der Landesdatenschutzbeauftragte Baden-
bringen die Praktiken von Facebook erneut vor das höchste Württembergs, Dr. Stefan Brink, die Auftritte öffentlicher
europäische Gericht. Einrichtungen in den sozialen Medien und verlangte Unter-
Das Thema ist hochaktuell. Soziale Medien sind Teil unseres lassung.
Alltages und weisen hohe Nutzungsraten auf. Grund genug, sich 2 021 forderte der Bundesdatenschutzbeauftragte Ulrich
mit den bisherigen Entwicklungen für diesen „Teilbereich“ des Kelber die Abschaltung derartiger Auftritte bis zum
Datenschutzes zu beschäftigen. 31. Dezember 2021.
Ergänzend kündigten die Aufsichtsbehörden der Länder
Eine lange Geschichte: Soziale Medien und Prüfungen im Rahmen des transatlantischen Datenverkehrs bei
Datenschutz den nicht-öffentlichen Verantwortlichen, das heißt den Unter-
nehmen der Privatwirtschaft, an. Diese Prüfungen werden auch
Bereits im Jahr 2015 kippte der EuGH Regelungen zum transat- und insbesondere Unternehmensseiten auf Facebook oder sons-
lantischen Datenverkehr („Schrems I“). Das sogenannte „Safe tigen, in gleichem Maß betroffenen Anbietern von sozialen Me-
Harbour“-Abkommen als Grundlage der Datenübermittlungen dien betreffen.
in die USA wurde mit nahezu identischer Begründung wie fünf
Jahre später der EU-US Privacy Shield für ungültig und die Pra- Die Macht der sozialen Medien
xis für rechtswidrig erklärt.
Ging es damals und 2020 um die Rechtsgrundlage der Über- Solange es an Lösungen fehlt, bleibt die Marktmacht von
mittlung in die USA, wird es künftig vor allem um die mehr als Facebook ungebrochen und die Zahlen beeindruckend:
berechtigte Frage gehen, auf welcher rechtlichen Basis Facebook 8 6 Mrd. € Jahresumsatz 2020:
überhaupt personenbezogene Daten der User verarbeiten darf. ein Zuwachs von mehr als 12.200 % seit 2009.
Es bleibt abzuwarten, ob sich Facebook hier ähnlich unbeein- 1 ,9 Mrd. täglich aktive User:
druckt zeigt wie bei vorangegangenen Feststellungen europä- ein Zuwachs von mehr als 2.000 % seit 2009.
ischer Institutionen: 2 ,9 Mrd. monatlich aktive User:
2018 stellte der EuGH die „gemeinsame Verantwortlichkeit“ ein Zuwachs von mehr als 1.100 % seit 2009.
(Art. 26 DSGVO) beim Betrieb einer Unternehmensseite C a. 1 Stunde am Tag verbringt ein User im Durchschnitt
fest: Damit ist jedes Unternehmen, das eine Unternehmens- auf Facebook.
seite unterhält, mit Facebook gemeinsam verantwortlich. C a. 8 Mal am Tag ruft ein User im Durchschnitt Facebook.
Facebook veröffentlichte daraufhin das Joint Controller Ad- 6 3 % der deutschen Internet-User nutzen Facebook,
dendum. Änderungen in der ausgeübten Praxis gab es keine. das sind knapp zwei Drittel.
2019 untersagte das Kartellamt die Weitergabe von Daten 6 8 % der deutschen Internet-User zwischen 20 und 29 Jahren
zwischen WhatsApp und Facebook wegen marktbeherrschen- nutzen Facebook.
20 Point of Compliance 2/2021 DZ CompliancePartnerSie können auch lesen
