MaRisk: BaFin veröffentlicht Mindestanforderungen an das Risikomanagement von Wertpapierinstituten

Die BaFin hat ein Rundschreiben mit den Mindestanforderungen an das Risikomanagement von Wertpapierinstituten (WpI MaRisk) veröffentlicht.
Kategorien:
,
Bild von Aristotelis Zervos

Aristotelis Zervos

Aristotelis Zervos, Editorial Director bei 2B Advice, vereint juristische und journalistische Expertise in Datenschutz, IT-Compliance und KI-Regulierung.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 6. August ein neues Rundschreiben mit den Mindestanforderungen an das Risikomanagement von Wertpapierinstituten (kurz WpI MaRisk) zur Konsultation veröffentlicht. Dieses neue Regelwerk richtet sich explizit an kleine und mittlere Wertpapierinstitute im Sinne des § 2 Abs. 16 und 17 WpIG und ersetzt für diese die bisherigen aufsichtsrechtlichen Anforderungen aus dem KWG-Umfeld. Die wichtigsten Punkte im Überblick.

WpI MaRisk: Hintergrund und Aufbau

Ziel ist es, einen flexiblen, prinzipienbasierten und verhältnismäßigen Rahmen für die Ausgestaltung der Geschäftsorganisation und des Risikomanagements dieser Institute zu schaffen.

Das Rundschreiben besteht aus zwei Hauptteilen:

  • Allgemeiner Teil (AT): Enthält grundsätzliche Anforderungen an die Geschäftsleitung, Risikostrategien, Risikotragfähigkeit, interne Kontrollmechanismen, Personal- und Ressourcenausstattung, Dokumentation etc.

  • Besonderer Teil (BT): Stellt zusätzliche Anforderungen an Handelsgeschäfte, das Risikomanagement, Auslagerungen, Liquiditätsrisiken und Risikoberichterstattung auf.


Das sind die wesentlichen Neuerungen:

1. Proportionalitätsprinzip mit doppelter Staffelung

Ein zentrales Element ist der Grundsatz der doppelten Proportionalität. Die Anforderungen der WpI MaRisk richten sich nicht pauschal an alle Institute, sondern sind sowohl nach der Größe des Instituts (klein oder mittel im Sinne des § 2 Abs. 16 und 17 WpIG) als auch nach der Art, Komplexität und dem Umfang ihrer Geschäftstätigkeit und Risikostruktur abgestuft.

Diese doppelte Staffelung bedeutet:

  • Erste Staffelung – institutsspezifisch: Je nachdem, ob ein Institut als kleines oder mittleres Wertpapierinstitut eingestuft wird, gelten unterschiedlich weitreichende Anforderungen, z. B. bei der Kapitalplanung, internen Revision oder Auslagerungskontrolle.

  • Zweite Staffelung – risikoorientiert: Auch innerhalb der Größenklassen wird berücksichtigt, ob besondere Risikopotenziale vorliegen. Institute mit einfacher Geschäftsstruktur und geringem Risikoexponierung können Prozesse stark vereinfachen, während komplexere Institute detaillierte Verfahren und stärkere Kontrollen vorhalten müssen.


Ziel ist es, dass keine Überregulierung stattfindet und zugleich ein hohes Schutzniveau für Kunden und Marktteilnehmer gewährleistet bleibt.

2. Pflicht zur Risikoinventur und Berücksichtigung von ESG-Risiken

Alle Institute sind verpflichtet, regelmäßig eine umfassende Risikoinventur durchzuführen. Ziel dieser Inventur ist es, sämtliche potenziellen Risiken systematisch zu identifizieren, zu bewerten und als „wesentlich“ oder „nicht wesentlich“ einzustufen. Die Bewertung erfolgt institutsindividuell unter Berücksichtigung der jeweiligen Geschäftsmodelle und Tätigkeitsbereiche.

Ein besonderer Fokus liegt auf der Einbeziehung von ESG-Risiken: also Risiken mit Bezug zu Umwelt (Environmental), Sozialem (Social) und guter Unternehmensführung (Governance). Diese müssen ausdrücklich in die Risikoanalyse integriert werden, auch wenn sie nur mittelbare Auswirkungen auf das Institut haben.

Die Einstufung der Risiken orientiert sich an der Delegierten Verordnung (EU) 2023/1668, die verbindliche Maßstäbe zur Wesentlichkeitsbeurteilung und Abgrenzung vorgibt. Insbesondere für mittlere Institute gilt hierbei eine stärkere Formalisierungspflicht: Die angewandte Methodik zur Risikobewertung, die getroffenen Annahmen sowie die Ergebnisse müssen dokumentiert, regelmäßig überprüft und ggf. angepasst werden.

Kleine Institute können vereinfachte Verfahren nutzen, müssen aber sicherstellen, dass die Identifikation und Steuerung wesentlicher Risiken stets nachvollziehbar und prüfbar ist.

3. Risikotragfähigkeit und Kapitalplanung

Mittlere Wertpapierinstitute sind verpflichtet, ein Verfahren zur Ermittlung der Risikotragfähigkeit zu etablieren. Dieses Verfahren muss gewährleisten, dass sämtliche wesentliche Risiken – insbesondere operationelle, Markt-, Kredit- sowie ESG-bezogene Risiken – in ihrem potenziellen Ausmaß quantifiziert und dem vorhandenen internen Kapital gegenübergestellt werden. Grundlage ist das jeweilige Gesamtrisikoprofil des Instituts.

Darauf aufbauend müssen mittlere Institute eine vorausschauende Kapitalplanung durchführen. Diese hat in Szenarien zu erfolgen, die sowohl normative als auch ökonomische Perspektiven abdecken. Einschließlich adverser Stressszenarien, welche ungewöhnliche, aber plausible Krisenlagen simulieren. Ziel ist die Sicherstellung, dass auch unter widrigen Bedingungen eine ausreichende Kapitalbasis besteht.

Kleine Institute sind in der Regel von der quantitativen Kapitalplanungspflicht ausgenommen. Sie müssen jedoch ein qualitatives Verständnis für mögliche Kapitalbedarfe entwickeln und in ihre strategischen Überlegungen einfließen lassen. Auch hier gilt: Der Grundsatz der Nachvollziehbarkeit und Risikoorientierung muss gewahrt bleiben.

4. Interne Kontrollmechanismen und besondere Funktionen

Die WpI MaRisk schreiben die Einrichtung und dauerhafte Wirksamkeit von drei zentralen Kontrollfunktionen vor:

  • Risikomanagement-Funktion
  • Compliance-Funktion
  • Interne Revision (mit spezifischen Ausnahmeregelungen für Kleinstinstitute)


Diese Funktionen müssen grundsätzlich unabhängig ausgestaltet sein, d. h. sie dürfen nicht in Interessenkonflikte mit anderen operativen Tätigkeiten geraten. Die organisatorische Trennung der Funktionen ist verbindlich vorgesehen, es sei denn, das Institut kann unter Wahrung der Unabhängigkeit eine Zusammenlegung sachgerecht begründen.

Bei kleinen Instituten erlaubt die BaFin unter bestimmten Bedingungen eine Personalunion, z. B. wenn einzelne Funktionen von Mitgliedern der Geschäftsleitung übernommen werden. Voraussetzung ist jedoch stets, dass die Funktionsfähigkeit der Kontrolle sowie die objektive Wahrnehmung der Aufgaben gewährleistet bleiben.

Die Interne Revision kann bei Kleinstinstituten ganz entfallen, wenn ein angemessenes Alternativkonzept zur Überwachung implementiert ist (z. B. regelmäßige externe Prüfungen).

Die Verantwortung für die Einrichtung, Steuerung und Überwachung dieser Funktionen liegt letztlich immer bei der Geschäftsleitung, welche deren Wirksamkeit regelmäßig zu evaluieren hat.

5. Anforderungen an Auslagerungen

Auslagerungen zählen zu den besonders überwachungspflichtigen Prozessen im Risikomanagement von Wertpapierinstituten. Jede Form der Auslagerung – ob vollständig, teilweise, an verbundene Unternehmen oder externe Dritte – ist als potenziell risikobehaftet zu betrachten und bedarf einer eigenständigen Beurteilung.

Die WpI MaRisk sehen insbesondere folgende Maßnahmen vor:

  • Risikoprüfung vor jeder Auslagerung: Institute müssen im Vorfeld einer Auslagerung analysieren, welche Risiken daraus für Geschäftsfortführung, Kontrollfähigkeit, Datenschutz und IT-Sicherheit entstehen.
  • Vertragliche Mindestanforderungen: Es sind klare vertragliche Regelungen notwendig, u. a. zu Weisungsrechten, Prüfungs- und Kontrollrechten, datenschutzrechtlichen Anforderungen, Unterauslagerungen und Exit-Strategien.
  • Auslagerungsregister: Alle bestehenden Auslagerungsverhältnisse sind in einem laufend zu aktualisierenden Register zu dokumentieren, inklusive Angaben zu Dienstleister, Leistungsinhalt, Risikoanalyse, Prüfrechten und Zuständigkeiten.
  • Zentraler Auslagerungsbeauftragter: Für Koordination, Kontrolle und Kommunikation im Zusammenhang mit Auslagerungen ist eine zentrale Stelle oder verantwortliche Person zu benennen.
  • Besonderheiten bei Auslagerung ins Ausland / Cloud: Für Auslagerungen in Drittstaaten oder bei Nutzung von Cloud-Diensten gelten erhöhte Anforderungen hinsichtlich Zugriff, Datentransparenz, Rückholbarkeit und aufsichtsrechtlicher Prüfzugriffe.
  • Kleinere Institute: Diese können bei nicht wesentlichen Auslagerungen vereinfachte Verfahren anwenden, müssen jedoch im Zweifel nachweisen, dass die Kontrolle und Steuerung auch bei begrenzten Ressourcen gewährleistet ist.

Wpl MaRisk: Praktische Auswirkungen für Institute

Kleine Wertpapierinstitute

  • Vereinfachte Anforderungen bei Strategieprozessen, Stresstests und Interner Revision
  • Qualitative Wesentlichkeitsprüfung ausreichend
  • Möglichkeit zur Personalunion bei Compliance und Risikomanagement


Mittlere Wertpapierinstitute

  • Detaillierte Pflichten zur Kapitalplanung und Stresstests
  • Pflicht zur schriftlichen Berichterstattung über wesentliche Risiken
  • Pflicht zur Berücksichtigung des Risikos einer ungeordneten Abwicklung


Link-Tipp: General-Purpose AI Code of Practice: EU präsentiert neuen KI-Kodex

Fazit und Handlungsempfehlung zu Wpl MaRisk

Das neue Rundschreiben der BaFin stellt einen wichtigen Schritt hin zu einem eigenständigen und proportionalen Aufsichtsrahmen für Wertpapierinstitute dar. Institute sollten:

  1. Überprüfen, in welche Größenklasse sie nach § 2 WpIG fallen.
  2. Risikomanagementsysteme und Governance-Strukturen evaluieren.
  3. Verantwortlichkeiten und Dokumentation, insbesondere zu ESG-Risiken, Stresstests und Auslagerungen, überarbeiten.
  4. Technische und organisatorische Ressourcen im Hinblick auf die neuen Anforderungen optimieren.

Insbesondere für kleine Institute eröffnet sich die Chance, mit schlanken Strukturen dennoch aufsichtsrechtlich konform zu agieren. Vorausgesetzt, die Prozesse sind nachvollziehbar dokumentiert und risikoorientiert.

Stellungnahmen zu ihrem Rundschreiben nimmt die BaFin bis zum 19. September 2025 per E-Mail an Konsultation-15-25@bafin.de  mit dem Betreff „Konsultation 15/2025“ entgegen.

Link-Tipp: BaFin Rundschreiben – Mindestanforderungen an das Risikomanagement von Wertpapierinstituten (“WpI MaRisk”)

Aristotelis Zervos ist Editorial Director bei 2B Advice, Jurist und Journalist mit profundem Know-how in Datenschutz, DSGVO, IT-Compliance und KI-Governance. Er veröffentlicht regelmäßig fundierte Artikel zu KI-Regulierung, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.

Kontakt aufnehmen
Tags:
,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge