I. Einführung

Am 27.09.2023 hat die BaFin den Entwurf eines Rundschreibens zu den „Mindestanforderungen an das Risikomanagement von ZAG-Instituten – ZAG-MaRisk“ zur öffentlichen Konsultation vorgestellt. Bis zum 06.12.2023 können ZAG-Institute Stellungnahmen zu dem Entwurf abgeben.

Mit der geplanten Veröffentlichung der ZAG-MaRisk beschreitet die BaFin für den Bereich der ZAG-Aufsicht einen Weg, der sich im Bereich der Aufsicht über Kredit- und Finanzdienstleistungsinstitute nach dem KWG bereits seit 2005 bewährt hat. Die damals veröffentlichten „Mindestanforderungen an das Risikomanagement – MaRisk“, welche mittlerweile in der siebten Novelle vorliegen (Rundschreiben 05/2023 (BA) vom 29.06.2023 – im Folgenden als „MaRisk (BA)“ bezeichnet), wie auch die zukünftigen ZAG-MaRisk sind norminterpretierende Verwaltungsvorschriften, die das Verständnis der BaFin von bestimmten, die interne Organisation und das Risikomanagement betreffenden aufsichtsrechtlichen Vorschriften darlegen. Ihre Veröffentlichung und Anwendung durch die Aufsicht führt zu einer Selbstbindung der Verwaltung.

Auch wenn es sich bei den MaRisk (BA) und den zukünftigen ZAG-MaRisk nicht um Rechtsnormen, sondern „nur“ um Interpretations- und Anwendungshinweise handelt, sind sie für die Praxis von besonderer Bedeutung. Die MaRisk (BA) haben sich zum anerkannten Standard für die Erfüllung von Organisations- und Risikomanagementpflichten für KWG-Institute entwickelt. Entsprechendes ist für die ZAG-MaRisk im Bereich der ZAG-Aufsicht zu erwarten.

II. Regulatorischer Hintergrund

Grundlage der ZAG-MaRisk ist § 27 Abs. 1 ZAG. Nach dieser Vorschrift haben ZAG-Institute über eine ordnungsgemäße Geschäftsorganisation zu verfügen, für welche die Geschäftsleiter verantwortlich sind. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere angemessene Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren, die gewährleisten, dass das Institut seine (aufsichtsrechtlichen) Verpflichtungen erfüllt. Beispielhaft aufgeführt sind weiterhin die Einrichtung einer Verlustdatenbank und eines Notfallkonzepts für IT-Systeme, Verfahren und Kontrollsysteme zur Einhaltung bestimmter europäischer Verordnungen sowie Maßnahmen zur Einhaltung geldwäscherechtlicher Pflichten. Neben der Konkretisierung des § 27 ZAG dienen die ZAG-MaRisk auch der Präzisierung der Anforderungen an die Sicherung von Kundengeldern (§§ 17, 18 ZAG) und an Auslagerungen (§ 26 ZAG).

§ 27 ZAG beruht im Unterschied zu dem weit überwiegenden Teil der Vorschriften des ZAG nicht unmittelbar auf der Umsetzung der zweiten europäischen Zahlungsdiensterichtlinie (Richtlinie (EU) 2015/2366 – „PSD2“). Vielmehr hat der deutsche Gesetzgeber die Vorschrift selbständig in Anlehnung an § 25a KWG, auf welchem die MaRisk (BA) basieren, geschaffen. § 27 ZAG weist allerdings Überschneidungen und einen systematischen Zusammenhang mit § 53 ZAG auf, welcher Art. 95 PSD2 umsetzt. § 53 ZAG regelt die Beherrschung operationeller und sicherheitsrelevanter Risiken und verpflichtet Zahlungsdienstleister in diesem Zusammenhang zur Einrichtung angemessener Risikominderungsmaßnahmen und Kontrollmechanismen. § 53 ZAG bezieht sich jedoch primär auf die Erbringung der Zahlungsdienste, während § 27 ZAG die interne Organisation als solche betrifft. Dementsprechend verpflichtet § 53 ZAG alle Zahlungsdienstleister – beispielsweise auch CRR-Kreditinstitute, wenn sie Zahlungsdienste erbringen. § 27 ZAG und die zukünftigen ZAG-MaRisk beanspruchen Geltung hingegen nur für ZAG-Institute.

Die Frage, ob und inwieweit die MaRisk (BA) auf ZAG-Institute analog angewandt werden sollten, dürfte sich mit Veröffentlichung der ZAG-MaRisk erledigt haben. Für IT-Anforderungen an Zahlungsdienstleister hatte sich ebenso die Frage der analogen Anwendbarkeit der „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ (Rundschreiben 10/2017 (BA) in der Fassung vom 16.08.2021) durch die Veröffentlichung der „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ (Rundschreiben 11/2021 (BA) vom 16.08.2021) erledigt.

III. Der Konsultationsentwurf im Überblick

Der Entwurf der ZAG-MaRisk (im Folgenden „ZAG-MaRisk-E“) gliedert sich in einen Allgemeinen Teil (AT) und einen Besonderen Teil (BT). Dabei sind der Allgemeine Teil sowie einige Abschnitte des Besonderen Teils stark an die MaRisk (BA) angelehnt, während der Unterabschnitt BTO Besonderheiten der Geschäftstätigkeiten von ZAG-Instituten betrifft und vollständig neu ist.

1. Allgemeiner Teil (AT)

Im Allgemeinen Teil des ZAG-MaRisk-E werden Grundsätze des Risikomanagements sowie Themenkomplexe wie Organisationsrichtlinien, Ressourcen und Auslagerungen geregelt.

Eine besondere Rolle bei der Anwendung von Anforderungen an das Risikomanagement spielt der sog. Grundsatz der doppelten Proportionalität (siehe AT 1 Tz. 2 ZAG-MaRisk-E). Dieser Grundsatz besagt zunächst, dass die Anforderungen an das Risikomanagement proportional zu der individuellen Risikosituation des betreffenden Instituts anzuwenden sind und sich nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten des jeweiligen Instituts zu richten haben. In einem zweiten Schritt besagt der Grundsatz, dass sich auch die Intensität und Häufigkeit der von der BaFin vorzunehmenden Prüfungshandlungen an den individuellen Verhältnissen des betreffenden Instituts zu orientieren hat. Letztendlich geht es also um eine verhältnismäßige Anwendung und eine ebensolche Beaufsichtigung – die Anforderungen sind nicht für alle Institute gleich hoch, sondern richten sich nach deren jeweiliger Risikosituation, welche sich wiederum aus den jeweiligen Geschäftsaktivitäten ergibt.

In Zusammenhang mit dem Proportionalitätsgrundsatz findet sich ein erster relevanter Unterschied im Vergleich zu den MaRisk (BA): Während nach den MaRisk (BA) Größe und Geschäftsaktivitäten von KWG-Instituten im Rahmen der Proportionalität zu berücksichtigen sind, ist die Größe von ZAG-Instituten gemäß AT 1 Tz. 2 und Tz. 3 ZAG-MaRisk-E unerheblich. Maßgeblich für die Beurteilung der Risikosituation sind allein die Geschäftsaktivitäten und dabei insbesondere deren Komplexität, Internationalität, Qualifizierung als kritische Infrastruktur und/oder besondere Risikoexponierung.

AT 2 ZAG-MaRisk-E regelt den Anwendungsbereich der ZAG-MaRisk. Gemäß AT 2.1 sind diese von ZAG-Instituten i.S.v. § 1 Abs. 3 ZAG, d.h. von inländischen Zahlungs- und E-Geld-Instituten, anzuwenden. Ebenfalls anzuwenden sind sie von inländischen Zweigstellen ausländischer Zahlungs- und E-Geld-Institute mit Sitz außerhalb des EWR, da solche Zweigstellen gemäß § 42 Abs. 1 ZAG als ZAG-Institute gelten.

AT 2.2 ZAG-MaRisk-E regelt sodann den Anwendungsbereich bezogen auf die Risiken und legt fest, dass die Anforderungen für alle „wesentlichen“ Risiken des betreffenden Instituts zu erfüllen sind. Welche Risiken wesentlich sind, davon hat sich die Geschäftsleitung im Rahmen einer regelmäßigen und anlassbezogenen Risikoinventur zu überzeugen. Dabei sind ESG-Risiken angemessen zu berücksichtigen. ESG-Risiken werden als Risikotreiber auch an verschiedenen anderen Stellen des ZAG-MaRisk-E angesprochen, stehen insgesamt jedoch nicht so im Vordergrund, wie dies in den MaRisk (BA) nach der siebten Novelle im Juni 2023 der Fall ist.

Unabhängig von der individuellen Risikoinventur sind bestimmte Risiken grundsätzlich als wesentlich einzustufen. An dieser Stelle besteht ein zweiter relevanter Unterschied zu den MaRisk (BA): Während diese die „klassischen“ vier Risiken, nämlich Adressenausfallrisiken, Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken als wesentlich einstufen, sind nach AT 2.2 Tz. 1 ZAG-MaRisk-E nur operationelle Risiken (einschließlich IT-Risiken) von vornherein als wesentlich anzusehen. Die anderen drei Risikoarten, sowie zusätzlich Geschäftsmodellrisiken, können abhängig vom jeweiligen Geschäftsmodell als wesentlich einzustufen sein. Diese Hervorhebung der operationellen Risiken entspricht der regelmäßigen Risikosituation von ZAG-Instituten, die mangels Ausübung von Tätigkeiten wie dem Kreditgeschäft (Adressenausfallrisiken; diese bestehen allerdings z.B. bei bestimmten Buy now pay later-Modellen einiger Zahlungsdienstleister) und der damit einhergehenden Fristentransformation (Liquiditätsrisiken) oder dem Handelsgeschäft (Marktpreisrisiken) anderen als operationellen Risiken nur in geringerem Maße ausgesetzt sind.

AT 4 ZAG-MaRisK-E beschreibt die allgemeinen Anforderungen an das Risikomanagement. Die wesentlichen Risiken sind hinreichend abzuschirmen (AT 4.1) und es ist ein internes Kontrollsystem zu etablieren (AT 4.2). Als besondere Funktionen sind eine Risikocontrolling- und eine Compliance-Funktion sowie eine Interne Revision einzurichten (AT 4.4).

In AT 5 bis AT 8 ZAG-MaRisk-E sind Organisationsrichtlinien, Dokumentation, Ressourcen und Anpassungsprozesse geregelt. In diesen Abschnitten bestehen keine wesentlichen Unterschiede zu den MaRisk (BA). Für die Praxis dürfte insbesondere der mit „Technische Ausstattung“ überschriebene AT 7.2, in welchem Anforderungen an die IT-Systeme und -Prozesse geregelt sind, von Bedeutung sein.

Ebenfalls von großer praktischer Relevanz ist der Abschnitt AT 9 zu Anforderungen an Auslagerungen. Diesbezüglich hatte die BaFin bislang die Auffassung vertreten, dass die Grundsätze der MaRisk (BA) entsprechend heranzuziehen seien. Nunmehr wurden die detaillierten Anforderungen aus den MaRisk (BA) an die Analyse der mit der Auslagerung verbundenen Risiken, an den Auslagerungsvertrag und an die Überwachung ohne inhaltliche Änderungen in den ZAG-MaRisk-E übernommen.

2. Besonderer Teil (BT)

Im Besonderen Teil enthält BT 1 ZAG-MaRisk-E besondere Anforderungen an das interne Kontrollsystem. Der Abschnitt BT 1 unterteilt sich weiter in die Unterabschnitte BTO und BTR.

Der Unterabschnitt BTO enthält organisatorische Anforderungen an das Erbringen von Zahlungsdiensten und das Betreiben von E-Geld-Geschäften. Hier geht es also um die spezifischen Geschäftstätigkeiten von ZAG-Instituten. Dementsprechend ist dieser Unterabschnitt im Vergleich zu den MaRisk (BA) vollständig neu. Während die MaRisk (BA) Anforderungen an das Kreditgeschäft, das Handelsgeschäft und – seit der siebten Novelle aus dem Juni 2023 – an das Immobiliengeschäft aufstellen, enthält BTO ZAG-MaRisk-E Anforderungen an die Sicherung von Kundengeldern (BTO 1), Anforderungen an die Betrugsprävention und betreffend Sicherheitsvorfälle (BTO 2), sowie Anforderungen bei der Inanspruchnahme von Agenten (BTO 3).

Hinsichtlich der Sicherung von Kundengeldern konzentrieren sich die Anforderungen des BTO 1 v.a. auf die Nutzung von Treuhandkonten, der in der Praxis mit Abstand häufigsten Sicherungsmethode. Die Anforderungen entsprechen dabei der schon bislang geübten Verwaltungspraxis der BaFin. Es sind Verwaltungs- und Kontenabstimmungsprozesse einzurichten, mit denen sichergestellt wird, dass die Geldbeträge auf den Treuhandkonten im Fall der Insolvenz des ZAG-Instituts abgesichert sind. Die Kontenabstimmungsprozesse sind außerhalb des operativen Geschäftsbereichs anzusiedeln. Grundsätzlich ist die Einrichtung eines offenen Treuhandsammelkontos ausreichend. Rücklastschriften dürfen jedoch nur auf Treuhandeinzelkonten zugelassen werden. Für die mit dem verwahrenden Kreditinstitut abzuschließende Treuhandvereinbarung werden in der Erläuterung zu BTO 1 Tz. ZAG-MaRisk-E einige der erforderlichen Vertragsklauseln genannt, diese sind allerdings nicht abschließend.
Hinsichtlich der Anforderungen an die Betrugsprävention aus BTO 2 haben ZAG-Institute u.a. eine Kontaktstelle einzurichten, an welche sich die Kunden in Betrugsfällen, im Falle von technischen Problemen oder Anliegen beim Forderungsmanagement wenden können. Die Kontaktstelle ist so auszugestalten, dass Kundeneingaben wirksam und zeitnah bearbeitet werden können.

Die in BTO 3 ZAG-MaRisk-E enthaltenen Anforderungen bei der Inanspruchnahme von Agenten ergeben sich bereits aus § 25 ZAG und der hierzu ergangenen Agentennachweisverordnung. Insbesondere ist eine schriftliche Vereinbarung zu treffen, in welcher die Pflichten des Agenten und die Rechte des Instituts geregelt sind. Die Überprüfung des Agenten im Hinblick auf seine Zuverlässigkeit und fachliche Geeignetheit sowie auf die Erfüllung seiner Pflichten und der gesetzlichen Vorgaben ist zu dokumentieren und die Dokumentation für mindestens fünf Jahre nach Beendigung der Agententätigkeit aufzubewahren.

Der Unterabschnitt BTR spezifiziert die vier bereits oben angesprochenen Risikoarten, nämlich operationelle Risiken (BTR 1), Adressenausfallrisiken (BTR 2), Marktpreisrisiken (BTR 3) und Liquiditätsrisiken (BTR 4). Entsprechend der besonderen Bedeutung der operationellen Risiken für ZAG-Institute wurden diese an die erste Stelle gerückt.

Der Abschnitt BT 2 enthält besondere Anforderungen an die Interne Revision und regelt deren Aufgaben, Grundsätze, Prüfungen und Berichtspflichten. Hinsichtlich der Berichtspflichten ist im Unterschied zu den MaRisk (BA) keine quartalsmäßige Berichterstattung erforderlich, sondern es ist ein Jahresbericht ausreichend (BT 2.4 Tz. 4 ZAG-MaRisk-E).

Schließlich sind im Abschnitt BT 3 Anforderungen an die Risikoberichterstattung enthalten. Die Geschäftsleitung hat sich in angemessenen Abständen über die Geschäftslage und die Risikosituation berichten zu lassen. Gleichzeitig unterliegt die Geschäftsleitung selbst einer Risikoberichtspflicht gegenüber dem Aufsichtsorgan. Für die schriftlichen Berichte gegenüber dem Aufsichtsorgan ist – im Unterschied zu den MaRisk-BA – eine jährliche Berichterstattung ausreichend (BT 3.1 Tz. 4 ZAG-MaRisk-E). Ähnliches gilt für den Gesamtrisikobericht der Risikocontrolling-Funktion, der gemäß BT 3.2 Tz. 1 ZAG-MaRisk-E „in angemessenen Abständen“ und nicht wie nach den MaRisk (BA) mindestens vierteljährlich zu erfolgen hat.

IV. Fazit und Ausblick

Die nach Abschluss der Konsultationsphase vermutlich Anfang 2024 zu erwartende Veröffentlichung der finalen ZAG-MaRisk durch die BaFin ist zu begrüßen. Sie gibt ZAG-Instituten Rechts- und Planungssicherheit hinsichtlich der von der Aufsicht erwarteten Anforderungen. Fragen der analogen Anwendung der MaRisk (BA) werden sich damit erledigen. Abzuwarten bleibt, ob und inwieweit die BaFin Übergangsfristen für die Erfüllung der in den neuen ZAG-MaRisk enthaltenen Anforderungen gewährt. Bei den 2021 veröffentlichten ZAIT war dies nicht der Fall, da die BaFin die Auffassung vertrat, sie habe lediglich bereits bestehende aufsichtliche Anforderungen ergänzend interpretiert.