Am 27. Mai 2024 veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) das Rundschreiben 01/2024 (BA)1, in welchem erstmals Mindestanforderungen an das Risikomanagement von Zahlungsinstituten und E-Geldinstituten („ZAG-Institute“) i.S.d. Zahlungsdiensteaufsichtsgesetzes („ZAG“) geregelt werden („ZAG-MaRisk“). Der Entwurf des Rundschreibens wurde ursprünglich am 27. September 2023 zur öffentlichen Konsultation gestellt. Die endgültige Fassung enthält gegenüber dem Entwurf nur geringfügige Änderungen, die entweder die angestrebte Zielrichtung stärker betonen oder den Interessen von ZAG-Instituten mit weniger komplexen Geschäftsmodellen entgegenkommen.
Mit der Veröffentlichung des Rundschreibens wird eine aufsichtsrechtliche Regelungslücke geschlossen, denn ZAG-Institute erhalten erstmals einen konkreten Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation und des Risikomanagements. Angelehnt ist das Rundschreiben an die MaRisk (BA) für Kreditinstitute und Finanzdienstleister („MaRisk Banken“)2, welche in ihren verschiedenen Fassungen bereits seit 2005 Vorgaben an die ordnungsgemäße Geschäftsorganisation von Kreditinstituten und Finanzdienstleistern trifft. Ganz ähnlich soll nun durch die Vorgaben der ZAG-MaRisk Missständen in ZAG-Instituten entgegengewirkt werden, welche die Sicherheit der den ZAG-Instituten anvertrauten Vermögenswerte gefährden können, die ordnungsgemäße Durchführung der Zahlungsdienste oder E-Geld-Geschäfte beeinträchtigen oder erhebliche Nachteile für die Gesamtwirtschaft herbeiführen können.
Dieser Beitrag bietet einen Überblick über den Aufbau und die Kernelemente des Rundschreibens, zeigt Unterschiede zur MaRisk Banken auf und gibt einen Ausblick zur Umsetzung für betroffene ZAG-Institute.
Der Aufbau und die Struktur der ZAG-MaRisk sind weitestgehend deckungsgleich mit dem der MaRisk Banken. Während in einem allgemeinen Teil („AT“) grundsätzliche Prinzipien für die Ausgestaltung des Risikomanagements geregelt werden, enthält der besondere Teil („BT“) spezielle Anforderungen an das interne Kontrollsystem, die interne Revision und die Risikoberichterstattung. Wichtige Unterschiede zu den MaRisk Banken ergeben sich insbesondere aus dem Abschnitt BTO, welcher organisatorische Anforderungen an das Erbringen von Zahlungsdiensten und das Betreiben des E-Geld-Geschäfts festlegt.
Die Vorgaben der ZAG-MaRisk gelten künftig für alle inländischen ZAG-Institute bzw. inländische Zweigstellen von Unternehmen mit Sitz außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums („EWR“), die Zahlungsdienste erbringen oder das E-Geld-Geschäft betreiben. Einbezogen sind auch Zweigniederlassungen deutscher ZAG-Institute im Ausland, vgl. § 42 Abs. 1 ZAG. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des EWR, die auf der Grundlage des so genannten „Europäischen Passes“ für Zahlungsdienstleistungen (§ 39 ZAG) in Deutschland errichtet worden sind, findet das Rundschreiben jedoch keine Anwendung.
Sachlich beziehen sich die Anforderungen des Rundschreibens auf das Management der für das ZAG-Institut wesentlichen Risiken im Zusammenhang mit Zahlungsdienstleistungen, dem E-Geld-Geschäft und allen damit verbundenen Nebentätigkeiten. Im Rahmen einer Risikoanalyse muss sich das ZAG-Institut regelmäßig einen Überblick über die institutsweiten Risiken verschaffen, wobei auch die Auswirkungen von ESG-Risiken mit einzubeziehen sind. Dabei ist insbesondere zu ermitteln, welche Risiken „wesentlich“ für das jeweilige ZAG-Institut sind, wobei operationelle Risiken (einschließlich IT-Risiken) grundsätzlich als wesentlich einzustufen sind. Je nach Geschäftsmodell können aber auch Adressenausfall-, Marktpreis- oder Liquiditätsrisiken als wesentlich zu qualifizieren sein.
Ähnlich wie bei Kreditinstituten und Finanzdienstleistern, liegt die Gesamtverantwortung einer ordnungsgemäßen Geschäftsorganisation und deren Weiterentwicklung bei der Geschäftsleitung (§ 1 Abs. 8 ZAG) des ZAG-Instituts. Diese Verantwortung umfasst alle wesentlichen Elemente des Risikomanagements. Unabhängig von der Gesamtverantwortung der Geschäftsleitung ist jedoch jeder Geschäftsleiter für die Einrichtung angemessener Kontroll- und Überwachungsprozesse in seinem jeweiligen Zuständigkeitsbereich verantwortlich.
Der allgemeine Abschnitt AT regelt die grundsätzlichen Prinzipien für die Ausgestaltung des Risikomanagements von ZAG-Instituten. Demnach sollen Zahlungs- und E-Geldinstitute ihre Geschäfts- und Risikostrategien definieren und ausgehend von ihrem Gesamtrisikoprofil sicherstellen, dass wesentliche Risiken durch das Risikodeckungspotenzial ausreichend abgeschirmt werden. Bei der Beurteilung des Gesamtrisikoprofils sind außerdem ESG-Risiken angemessen einzubeziehen. Dabei sind die Anforderungen für ZAG-Institute jedoch weniger detailliert als die Anforderungen für Kreditinstitute und Finanzdienstleister im Rahmen der MaRisk Banken.
ZAG-Instituten wird außerdem vorgeschrieben, über eine unabhängige Risikocontrolling-Funktion, eine Compliance-Funktion und eine interne Revision zu verfügen (Abschnitt AT 4.4.). Die ZAG-Institute haben sicherzustellen, dass ihre Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden, deren Detaillierungsgrad von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten abhängt.
Zudem werden institutsspezifische Anforderungen an die Auslagerung von Zahlungsdiensten oder sonstigen institutstypischen Dienstleistungen getroffen. Vergleichbar mit der MaRisk Banken wird auch ZAG-Instituten auferlegt, anhand einer Risikoanalyse zu bewerten, welche Risiken mit einer Auslagerung verbunden sind.
Die organisatorischen Anforderungen an die Erbringung von Zahlungsdiensten und den Betrieb von E-Geld-Geschäften werden im BT der ZAG-MaRisk berücksichtigt. Zu beachten ist, dass hier abhängig von Art, Umfang und Komplexität der Geschäftsaktivitäten eine vereinfachte Umsetzung der Anforderungen möglich ist. Die Vorgaben beziehen sich vor allem auf Prozesse und Verfahren für Sicherungsanforderungen und die Absicherung von Haftungsfällen, auf Prozesse und Verfahren für die Betrugsprävention, die Überwachung und Bearbeitung sowie Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden.
Im Gegensatz zur MaRisk Banken werden in diesem Abschnitt auch Vorgaben zum Umgang mit Treuhandkonten getroffen. Regelungen hierzu sind aufgrund des § 17 ZAG erforderlich, der bestimmte Sicherungsanforderungen für die Entgegennahme von Geldbeträgen von ZAG-Instituten aufstellt. Demnach haben ZAG-Institute Geldbeträge, die zwar entgegengenommen, aber noch nicht dem Zahlungsempfänger oder einem anderen Zahlungsdienstleister übermittelt worden sind, auf einem offenen Treuhandkonto bei einem Kreditinstitut zu hinterlegen. Die ZAG-MaRisk schreibt den Instituten daher vor, dass die Nutzung von Treuhandkonten auf Basis festgelegter Bearbeitungsgrundsätze zu erfolgen hat. Außerdem sollen standardisierte Vereinbarungen für die Einrichtung solcher Treuhandkonten genutzt werden. ZAG-Institute sind außerdem verpflichtet, geeignete Verfahren und Kontrollmechanismen zur Klärung von Unstimmigkeiten und Auffälligkeiten einzurichten, die außerhalb des operativen Geschäftsbereiches anzusiedeln sind.
Zum Umgang mit Betrug, Sicherungsvorfällen und Kundenbeschwerden sollen bestimmte Maßnahmen und Verfahren eingeführt werden, wie beispielsweise die Einrichtung einer Kontaktstelle, an welche sich die Kunden in Betrugsfällen, im Falle von technischen Problemen oder bei Anliegen zum Forderungsmanagement zur zeitnahen Bearbeitung wenden können. Außerdem sollen Verfahren für die Meldung von schwerwiegenden Betriebs- oder Sicherheitsvorfällen gemäß § 54 ZAG geschaffen werden und Berichte über solche Vorfälle an interne oder externe Stellen übermittelt werden. Für den Fall, dass ein ZAG-Institut Zahlungsdienste über einen Agenten erbringt (vgl. § 25 ZAG), hat das ZAG-Institut u.a. zu prüfen, ob der Agent zuverlässig und fachlich geeignet ist und seinen Informationspflichten genügt. Darüber hinaus ist die Überprüfung des Agenten schriftlich zu dokumentieren.
Ein Abgleich mit der MaRisk Banken zeigt, dass die ZAG-MaRisk keine Vorgaben bezüglich der Verwendung von Modellen (AT 5.3.5 MaRisk Banken) enthält. Hintergrund hierfür dürfte sein, dass CRR-Kreditinstitute nach der Verordnung (EU) Nr. 575/2013 (Capital Requirements Regulation – „CRR“)3 zur Ermittlung der individuellen Eigenkapitalanforderung entweder einen vom Gesetzgeber festgelegten Standardansatz oder ein so genanntes internes Modell nutzen können, das bestimmte vom Gesetz- bzw. Verordnungsgeber festgelegte Bedingungen erfüllen muss. Eine vergleichbare Regelung enthält das ZAG nicht, weshalb Vorgaben hierzu in der ZAG-MaRisk nicht erforderlich sind.
Die ZAG-MaRisk enthalten auch keine Bestimmungen zum Risikomanagement auf Gruppenebene, wie sie AT 4.5 MaRisk Banken für CRR-Institute vorsieht. AT 4.5 MaRisk Banken konkretisiert die Vorgaben aus § 25a Abs. 3 Kreditwesengesetz („KWG“). Danach sind Geschäftsleiter des übergeordneten Unternehmens einer Institutsgruppe für die Einrichtung eines angemessenen und wirksamen Risikomanagements auf Gruppenebene verantwortlich. Da sich eine entsprechende Regelung in § 27 ZAG, der die Organisationspflichten für ZAG-Institute regelt, nicht findet, enthält auch die ZAG-MaRisk keine Anforderungen zum Risikomanagement auf Gruppenebene.
Mehr noch als die MaRisk Banken, enthält die ZAG-MaRisk zahlreiche Öffnungsklauseln, die abhängig von der Komplexität der Geschäftsaktivitäten und der Risikosituation des jeweiligen Instituts eine vereinfachte und individuelle Umsetzung der Anforderungen ermöglicht. Vorgaben hierzu, die auf die Komplexität der jeweiligen Geschäftsaktivitäten abstellen, finden sich z. B. bei den Anforderungen im Rahmen der besonders strategischen Aspekte, der Ausgestaltung des internen Kontrollsystems sowie der Ausübung von Risikocontrolling- und Compliance Funktionen.
Mit der Veröffentlichung der finalen Fassung der ZAG-MaRisk stehen ZAG-Institute nun vor der Herausforderung, die ihnen auferlegten regulatorischen Anforderungen an das Risikomanagement und die interne Governance bis Ende 2024 umzusetzen. Die Tatsache, dass das endgültige Rundschreiben im Vergleich zum Referentenentwurf nur wenige Änderungen bzw. weitergehende Anforderungen enthält, sollte jedoch jenen ZAG-Instituten zugute kommen, die bereits mit der Veröffentlichung des Entwurfs im September 2023 eine individuelle Prüfung vorgenommen haben und möglicherweise bereits Umsetzungen für ihr Risikomanagement geplant haben.
Unaufgeforderte E-Mails und andere Informationen, die Dentons erhält, werden nicht vertraulich behandelt, können an Dritte weitergegeben werden, erhalten möglicherweise keine Antwort und schaffen keine Anwalt-Mandanten-Beziehung. Wenn Sie noch kein Mandant von Dentons sind, schicken Sie uns bitte keine vertraulichen Informationen.
Die Seite, die Sie besuchen wollten, ist in der von Ihnen ausgewählten Sprache nicht verfügbar. Sie wurden auf einen entsprechenden Bereich unserer Webseite weitergeleitet.
Sie werden jetzt von der Dentons Website zur englischen $redirectingsite Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.
Sie werden jetzt von der Dentons Website zur Beijing Dacheng Law Offices, LLP Website weitergeleitet. Wenn Sie fortfahren möchten, klicken Sie bitte auf Annehmen.