Mindestanforderungen an das Risikomanagement von ZAG-Instituten – ZAG-MaRisk

Am 27. September 2023 hat die BaFin den Entwurf des Rundschreibens zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (“ZAG-MaRisk”) zur öffentlichen Konsultation vorgelegt.

Hintergrund

Für Kreditinstitute und Finanzdienstleistungsinstitute fordert § 25a Abs. 1 KWG eine “ordnungsgemäße Geschäftsorganisation”. Um einen flexiblen und praxisnahen Rahmen für die Ausgestaltung dieses abstrakten Rechtsbegriffs vorzugeben, hat die BaFin die Mindestanforderungen an das Risikomanagement (“MaRisk (BA)”) veröffentlicht, letztmals am 29. Juni 2023 im Rundschreiben 05/2023 (BA). Anwenderkreis der MaRisk (BA) sind alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland.

Die MaRisk (BA) finden auf Zahlungs- und E-Geld-Institute (“ZAG-Institute”) grundsätzlich keine Anwendung, bieten jedoch Anhaltspunkte für die Anforderungen, die im Rahmen einer ordnungsgemäßen Geschäftsorganisation gemäß § 27 Abs. 1 ZAG verlangt werden.

Am 27. September 2023 hat die BaFin diese Anforderungen an diese Institute konkretisiert und den Entwurf des Rundschreibens zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (“ZAG-MaRisk”) zur öffentlichen Konsultation vorgelegt. Damit verfolgt sie das Ziel, Zahlungsinstituten und E-Geld-Instituten einen flexiblen und praxisnahen Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation zu geben.

Die Institute haben die Möglichkeit bis zum 6. Dezember 2023 eine Stellungnahme zu dem Entwurf abzugeben.

Anwenderkreis

Die Anforderungen des neuen Rundschreibens sind von inländischen Zahlungs- und E-Geld-Instituten bzw. inländischen Zweigstellen von Unternehmen mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, die Zahlungsdienste erbringen oder E-Geld-Geschäft betreiben, zu beachten. Sie gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 39 ZAG finden sie keine Anwendung.

Wesentliche Unterschiede zwischen ZAG-MaRisk und MaRisk (BA)

Im Grundsatz orientieren sich die ZAG-MaRisk in Aufbau und Inhalt stark an den MaRisk (BA), tragen jedoch den Spezifika von Zahlungs- und E-Geld-Instituten Rechnung. Analog zu den MaRisk (BA) sind die ZAG-MaRisk unter dem Prinzip der doppelten Proportionalität formuliert. Die ZAG-MaRisk enthalten zahlreiche Öffnungsklauseln, die abhängig von Komplexität der Geschäftsaktivitäten und der Risikosituation eine vereinfachte Umsetzung der Anforderungen ermöglichen.

Für ZAG-Institute sind grundsätzlich operationelle Risiken (einschließlich IT-Risiken) als wesentlich einzustufen. In Abhängigkeit vom Geschäftsmodell kann es erforderlich werden, u. a. die nachfolgenden Risiken ebenfalls als wesentlich einzustufen:

• Adressenausfallrisiken (einschließlich Erfüllungsrisiken und Charge-Back-Risiken),
• Marktpreisrisiken (einschließlich FX-Risiken und Risiken im Hinblick auf die Anlagen zur Liquiditätssicherung und Einhaltung der gesetzlichen Sicherungsanforderungen)
• Geschäftsmodellrisiken
• Liquiditätsrisiken

Mit den Anforderungen an die “Abschirmung von Risiken” stellt die Aufsicht klar, dass ZAG-Institute auf der Grundlage ihres Gesamtrisikoprofils sicherzustellen haben, dass die wesentlichen Risiken des Instituts durch Risikodeckungspotenzial, unter Berücksichtigung von Risikokonzentrationen, ausreichend abgeschirmt sind. Auch auf die Berücksichtigung von ESG-Risiken als Risikotreiber wird explizit hingewiesen. Damit wird eine an das Geschäftsmodell angepasste “Risikotragfähigkeitsrechnung” auch von ZAG-Instituten gefordert.

Neben den aus den MaRisk (BA) bekannten Anforderungen an die Geschäfts- und damit konsistenten Risikostrategie fordern die ZAG-MaRisk, dass die Geschäftsleitung eine nachhaltige Investitionsstrategie und Anlagepolitik festzulegen hat, in der die Ziele der Investitionsstrategie sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden, sofern das Institut Anlagen in sichere liquide Aktiva mit niedrigem Risiko nach § 17 Abs. 1 S. 2 Nr. 1. b) ZAG tätigt.

Im Vergleich zu den MaRisk (BA) stellen die ZAG-MaRisk keine expliziten Anforderungen an Datenmanagement, Datenqualität und Aggregation von Risiken, die Verwendung von Modellen sowie Anforderungen an das Risikomanagement auf Gruppenebene. Aufgrund der sich von Kreditinstituten und Finanzdienstleistungsinstituten unterscheidenden Geschäftstätigkeiten entfallen ebenso Anforderungen an das Kreditgeschäft, Handelsgeschäft und Immobiliengeschäft.

In den ZAG-MaRisk werden durch die Aufsicht organisatorische Anforderungen an das Erbringen von Zahlungsdiensten und das Betreiben von E-Geld-Geschäften festgelegt. Dabei werden im Wesentlichen die Anforderungen an die Ausgestaltung der Prozesse - insbesondere für Sicherungsanforderungen und Absicherung von Haftungsfällen, Verfahren bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden und die Inanspruchnahme von Agenten - geregelt.

Fazit

Mit der Veröffentlichung des Konsultationsentwurfs am 27. September 2023 hat die BaFin erstmals die sich aus § 27 Abs. 1 ZAG ergebenden Anforderungen an Zahlungs- und E-Geld-Institute konkretisiert. Aufgrund der Dauer der Konsultationsphase bis zum 6. Dezember 2023 ist eine Umsetzung der Anforderungen in 2023 als unwahrscheinlich zu erachten.

Jedoch sind nach unserer Erfahrung solche Institute am besten auf die Herausforderung der Umsetzung der ZAG-MaRisk vorbereitet, die die aufwandsintensivsten Änderungen frühzeitig identifizieren und Umsetzungsmaßnahmen mit ausreichendem Vorlauf ableiten.

Mit der Vorlage des Konsultationsentwurfs ist der Startschuss für Vorstudien und Auswirkungsanalysen zu den ZAG-MaRisk nun erfolgt. Wir empfehlen bereits jetzt eine proaktive Befassung mit dem Entwurf.

Haben Sie Fragen? Unsere Expert:innen stehen Ihnen mit umfassender Erfahrung im regulatorischen Umfeld gerne mit Rat und Tat zur Seite und erörtern die Auswirkungen der Mindestanforderungen an das Risikomanagement von ZAG-Instituten (“ZAG-MaRisk”) auf Ihr Institut.