Am 27.05.2024 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) die finale Fassung ihres Rundschreibens „Mindestanforderungen an das Risikomanagement von ZAG-Instituten – ZAG-MaRisk“
Table of Contents
Die nun veröffentlichte Fassung entspricht mit nur wenigen, eher marginalen Änderungen dem Entwurf, den die BaFin acht Monate zuvor zur Konsultation stellte.
Über den Konsultationsentwurf haben wir in unseren Beiträgen ZAG MaRisk AT und ZAG MaRisk BT berichtet.
Was sind die ZAG-MaRisk?
Mit den ZAG-MaRisk definiert die BaFin einen Rahmen für die ordnungsgemäße Ausgestaltung der Geschäftsorganisation von Zahlungsinstituten und E-Geld-Instituten. Schwerpunkte sind hierbei u.a. die Präzisierung der Anforderungen an die sichere Entgegennahme von Kundengeldern und an das Management operativer Risiken.
Aufbau und Struktur der ZAG-MaRisk entsprechen weitgehend den Mindestanforderungen an das Risikomanagement (MaRisk), die für Kreditinstitute und große Wertpapierinstitute, die dem KWG unterliegen, gilt.
Auch wenn die ZAG-MaRisk rechtlich gesehen keinen Gesetzescharakter haben, kommt ihnen in der Praxis überragende Bedeutung zu. An ihnen muss sich die Aufbau- und Ablauforganisation der der Aufsicht der BaFin unterstehenden Zahlungs- und E-Geld-Institute („ZAG-Institute“) messen lassen.
An wen wendet sich die ZAG-MaRisk?
Das Rundschreiben richtet sich an alle ZAG-Institute. Die ZAG-MaRisk gilt somit auch für Zahlungsauslöse- und Kontoinformationsdienstleister. Zweigniederlassungen deutscher ZAG-Institute im Ausland haben die ZAG-MaRisk ebenfalls zu beachten. Für Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Mitgliedsstaat des Europäischen Wirtschaftsraums (EWR) finden sie hingegen keine Anwendung.
Proportionalitätsgrundsatz
Die ZAG-MaRisk sind sehr abstrakt gehalten. Sie folgen dem Prinzip der sogenannten doppelten Proportionalität, womit die BaFin Flexibilität und Praxisnähe schaffen will. Die Anforderungen an die institutsspezifische Geschäftsorganisation orientieren sich demnach zum einen an Art und Umfang der von dem jeweiligen ZAG-Institut betriebenen Geschäfte und zum anderen an deren spezifischem Risikoprofil. Beiden Aspekten müssen die vom ZAG-Institut getroffenen Maßnahmen in angemessener Weise Rechnung tragen.
Aufbau
Die ZAG-MaRisk teilen sich – wie auch schon die MaRisk – in einen Allgemeinen Teil („AT“) und einen Besonderen Teil („BT“) auf.
Schwerpunkt des AT ist die allgemeine Geschäftsorganisation. Hier finden sich Anforderungen an das Risikomanagementsystem und die Funktionen Risikocontrolling, Compliance und Interne Revision eines ZAG-Instituts. Wie auch schon die MaRisk stellen die ZAG-MaRisk sehr detaillierte Regeln für die Auslagerung von Aktivitäten und Prozessen an andere Unternehmen auf. Quasi vor die Klammer gezogen definiert die BaFin im AT die (potentiell) wesentlichen Risikofelder von ZAG-Instituten, an deren Management sie im BT detaillierte Anforderungen formuliert.
Der BT gliedert sich in drei Teile und definiert Anforderungen an das interne Kontrollsystem, welches sowohl die Kundengeldsicherung als auch das Risikomanagement umfasst, die Ausgestaltung der Internen Revision und die Risikoberichterstattung.
Kundengeldsicherung
Wenig überraschend widmet die BaFin der Kundengeldsicherung den größten Teil der organisatorischen Anforderungen (BTO). Dort konkretisiert sie ihre Erwartungen an die Kundengeldsicherung mittels Treuhandkonten und stellt Anforderungen sowohl an die Ausgestaltung des Treuhandverhältnisses zwischen dem ZAG-Institut und dem kontoführenden Kreditinstitut als auch an die konkrete Handhabung der Kundengelder.
Weit weniger detailliert beschäftigt sich die BaFin mit den anderen Sicherungsmethoden, was deren geringer praktischer Bedeutung entspricht.
Risiken und deren Management
Der Natur der Geschäfte von ZAG-Instituten entsprechend spricht die BaFin in der ZAG-MaRisk nicht von der Risikotragfähigkeit eines Instituts, sondern vielmehr von der Abschirmung von Risiken.
Der Schwerpunkt der Anforderungen an die Risikosteuerungs- und -controllingprozesse (BTR) liegt auf den operationellen Risiken, die die BaFin in der ZAG-MaRisk als per se wesentlich bezeichnet und entsprechend auch an erster Stelle behandelt.
Die Ausführungen zur ordnungsgemäßen Handhabung von Adressenausfall-, Marktpreis- und Liquiditätsrisiken fallen erheblich kürzer aus als in der MaRisk. Die ZAG-MaRisk begnügt sich hier oft mit der Wiedergabe der zentralen Obersätze der MaRisk.
Ausblick und Umsetzung
Mit der Veröffentlichung der ZAG-MaRisk schafft die BaFin Klarheit über ihren aufsichtlichen Erwartungshorizont. Die ZAG-MaRisk sind mit ihrer Veröffentlichung in Kraft getreten. Die BaFin hat jedoch eine Übergangsfrist für die Umsetzung der Anforderungen der ZAG-MaRisk bis zum 01.01.2025 gewährt. Falls dies nicht schon auf Grundlage der Konsultationsfassung erfolgt ist, sollten die betroffenen ZAG-Institute unverzüglich prüfen, ob ihre Organisation bereits den Anforderungen der ZAG-MaRisk entspricht. Sollten sich hier Lücken ergeben, müssen diese schnellstmöglich, spätestens bis zu dem vorstehend genannten Datum, geschlossen werden.