FFinTech

Mindestanforderungen für Risikomanagement bei ZAG Instituten (1)

Mindestanforderungen für Risikomanagement bei ZAG Instituten | von Annerton Anwalt Joerg Streissle
0
Shares
0
0
0
0
0
0

ZAG-MaRisk – Allgemeiner Teil

Am 27.09.2023 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihren Entwurf für das Rundschreiben „Mindestanforderungen an das Risikomanagement von ZAG Instituten – ZAG-MaRisk“ zur Konsultation vor.

Wenig überraschend ist der Entwurf für die ZAG-MaRisk der für Kredit- und Finanzdienstleistungsinstitute geltenden MaRisk nachgebaut, deren nunmehr schon 7. Novelle im Mai dieses Jahres veröffentlicht wurde (https://paytechlaw.com/von-esg-risiken-die-siebte-marisk-novelle/). Insbesondere der Allgemeine Teil (AT) der MaRisk wurde weitgehend in den Entwurf für die ZAG-MaRisk übernommen.

In diesem Beitrag beschäftige ich mit dem Allgemeinen Teil (AT) der ZAG-MaRisk. In einem Folgebeitrag werden wir uns mit den Besonderen Teilen der ZAG-MaRisk auseinandersetzen.

Was sind die MaRisk?

Mit den MaRisk bringt die BaFin zum Ausdruck, welche Anforderungen sie an ein angemessenes und wirksames Risikomanagement der Kredit- und Finanzdienstleistungsinstitute stellt. Bei den ZAG-MaRisk geht die BaFin zumindest sprachlich gar einen Schritt weiter und spricht global von einem Rahmen für die Ausgestaltung der Geschäftsorganisation von Zahlungs- und E-Geld-Instituten.

Auch wenn MaRisk und ZAG-MaRisk rechtlich gesehen keinen Gesetzescharakter haben, kommt ihnen in der Praxis überragende Bedeutung zu. An ihnen muss sich die Aufbau- und Ablauforganisation der der Aufsicht der BaFin unterstehenden Institute messen lassen.

An wen wendet sich die ZAG-MaRisk?

Das Rundschreiben richtet sich an alle Institute im Sinne des ZAG, mithin an alle Zahlungs- und E-Geld-Institute (ZAG-Institute). Die ZAG-MaRisk gilt somit auch für Zahlungsauslöse- und Kontoinformationsdienste. Zweigniederlassungen deutscher ZAG-Institute im Ausland haben die ZAG-MaRisk ebenfalls zu beachten. Für Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Mitgliedsstaat des Europäischen Wirtschaftsraums (EWR) finden sie hingegen keine Anwendung.

Proportionalitätsgrundsatz

Die ZAG-MaRisk sind sehr abstrakt gehalten. Sie folgen ebenso wie die MaRisk dem Prinzip der sogenannten doppelten Proportionalität. Die institutsspezifische Ausgestaltung der Geschäftsorganisation orientiert sich demnach zum einen an Art und Umgang der vom jeweiligen ZAG-Institut betriebenen Geschäfte und zum anderen an deren spezifischem Risikoprofil. Beiden Aspekten müssen die vom ZAG-Institut getroffenen Maßnahmen in angemessener Weise Rechnung tragen.

Risiken

Die Anforderungen der ZAG-MaRisk beziehen sich auf das Management derjenigen Risiken, die ein ZAG-Institut auf Basis seines Gesamtrisikoprofils für sich als wesentlich beurteilt.

Operationelle Risiken einschließlich der IT-Risiken sind grundsätzlich als wesentlich einzustufen. Adressenausfall-, Marktpreis-, Geschäftsmodell- und Liquiditätsrisiken betrachtet die ZAG-MaRisk hingegen nur in Abhängigkeit des Geschäftsmodells als wesentlich und setzt sich insofern von der MaRisk ab.

Allgemeine Anforderungen an das Risikomanagement

Allgemein fordern die ZAG-MaRisk, dass die wesentlichen Risiken eines ZAG-Instituts ausreichend abgeschirmt sind. Der zentrale Begriff der MaRisk, nämlich die Risikotragfähigkeit (RTF), und die sehr detaillierten Regelungen zu deren Sicherstellung fanden keinen Eingang in die ZAG-MaRisk.

Ebenso wie die KWG-Institute sind auch ZAG-Institute verpflichtet, ein Internes Kontrollsystem (IKS) zu implementieren. Hierbei ist – dem Proportionalitätsgrundsatz entsprechend – Art, Umfang Komplexität und Risikogehalt der Geschäftsaktivitäten Rechnung zu tragen. Die Vorgaben in der ZAG-MaRisk betreffen sowohl die Aufbau- und Ablauforganisation der ZAG-Institute als auch die Einrichtung von Prozessen zur Risikosteuerung und – -controlling und die Schaffung entsprechender Funktionen. Regelmäßig sind Stresstests zur Validierung der getroffenen Maßnahmen durchzuführen.

ZAG-Institute müssen – wiederum im Gleichklang zu ihren Cousins und Cousinen aus der Bank- oder Finanzdienstleistungsbranche – über eine Risikomanagement bzw. -controlling-, eine Compliance- und eine Interne Revision- bzw. Audit-Funktion verfügen. Deren jeweilige Ansiedelung im Organigramm eines ZAG-Instituts, Aufgaben und Kompetenzen gibt die ZAG-MaRisk sehr detailliert vor.

Outsourcing

Geradezu berühmt-berüchtigt sind die Anforderungen an wesentliche Auslagerungen von KWG- Instituten in AT 9 der MaRisk. Diese hat die ZAG-MaRisk nunmehr fast wortgleich übernommen. Sehr detailliert werden die Anforderungen an die Analyse von auslagerungsspezifischen Risiken, die notwendigen Regelung in einem Auslagerungsvertrag und die Überwachung der ausgelagerten Tätigkeit durch das auslagernde ZAG-Institut vorgegeben.

0
0

Dr. Jörg Streißle ist Of Counsel bei der Annerton Rechtsanwaltsgesellschaft mbH am Standort München. Er berät schwerpunktmäßig nationale und internationale Banken und Finanzdienstleister zu aufsichts-, zivil- und gesellschaftsrechtlichen Themen. Er vertritt deren Interessen – auch im Arbeits- und Wettbewerbsrecht – in und außerhalb des Gerichtssaals.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like
FFinTech
Einbahnstraße FiDA – warum gut gemeint nicht gut gemacht ist
Weiterlesen
  • 3 minute read

Einbahnstraße FiDA – warum gut gemeint nicht gut gemacht ist

Mit ihrem Vorschlag für eine Verordnung über einen Rahmen für den Zugang zu Finanzdaten (Financial Data Access – „FiDA“) will die Europäische Kommission dem Prinzip des Open Banking einen erheblichen Schub verpassen. Vorbild ist der Zugang zu Zahlungskonten, wie ihn die 2. Zahlungsdiensterichtlinie („PSD2“) und entsprechend das Zahlungsdiensteaufsichtsgesetz („ZAG“) gewähren, wobei die Kommission in der FiDA ganz andere Zugangsmechanismen vorsieht.
Weiterlesen