Am 25. Februar 2026 haben EBA und ESMA die Konsultation zur Überarbeitung ihrer Gemeinsamen Leitlinien für die Eignungsprüfung (Fit-and-Proper) eingeleitet. Die nur noch bis zum 25. Mai 2026 laufende Konsultation ist eine gezielte Fortschreibung der 2021er Leitlinien in Folge der CRD-VI und dürfte sich auch bald im BaFin-FAP-Rundschreiben widerspiegeln.

Wir geben einen Überblick über die wichtigsten neuen Regelungen (engere Verzahnung von Eignungsprüfung, Governance, Aufsichtsdialog und Dokumentation) und den daraus resultierenden Handlungsbedarf.

Der Entwurf ist durchgehend vom Proportionalitätsgedanken geprägt. Bereits der Anwendungsbereich differenziert klar zwischen großen Instituten, sonstigen Instituten sowie verschiedenen Klassen von Wertpapierfirmen und Kategorien von Drittstaatenzweigstellen.

Auch kleinere, nicht verflochtene Wertpapierfirmen bleiben grundsätzlich im Anwendungsbereich, sind aber von einzelnen Teilen – etwa zur Eignungsprüfung von Schlüsselfunktionen oder zu organisatorischen Anforderungen – ausgenommen. Die Leitlinien schaffen damit ein abgestuftes System, das je nach Größe, Organisation und Komplexität unterschiedlich intensiv greift.

Mit der Überarbeitung der Leitlinien finden die abstrakten Regeln der CRD-VI, welche durch das bereits besprochene BRUBEG im KWG umgesetzt wurden, Eingang in die behördliche Anwendung. Damit konkretisieren die neuen Leitlinien die personellen Eignungsvorgaben und ergänzen die organisatorischen Vorgaben der MaRisk.

Der eigentliche regulatorische Schwerpunkt liegt dabei in einer stärkeren Aufsicht über Schlüsselfunktionsträger, die Einbeziehung von Drittstaatenzweigstellen, eine schärfere Verzahnung mit der Geldwäscheprävention sowie die Einführung des „Enhanced Dialogue“ als neues Aufsichtsinstrument.

Schon unter den Leitlinien von 2021 gab es Eignungsanforderungen für die Leitung interner Kontrollfunktionen (etwa für Risiko-, Revisions- oder Compliance-Manager).

Neu ist vielmehr die ausdrücklichere normative Verankerung über Art. 91a CRD und die deutlich engere verfahrensmäßige Anbindung an die Aufsicht. Die Leitlinien betonen die besondere Bedeutung gerade der Leiter interner Kontrollfunktionen und des CFO, weil diese Personen unter der Gesamtverantwortung des Leitungsorgans eine Schlüsselrolle für robuste Governance und Regelbefolgung einnehmen. Für große Institute („large entities“) kommt hinzu, dass die zuständigen Behörden deren Eignung selbst prüfen sollen; andere Schlüsselfunktionsträger können auf Anforderung der Behörde zusätzlich in die behördliche Assessment-Logik einbezogen werden.

Für Institute bedeutet das vor allem mehr Strukturierungsaufwand: Die Identifikation relevanter Schlüsselfunktionen, die Zuordnung ihrer Aufgaben, die Dokumentation ihrer individuellen Eignung und die Verknüpfung mit der kollektiven Governance-Architektur müssen künftig sauberer und belastbarer erfolgen.

Die Leitlinien lösen sich dabei vom bisherigen reinen Annex-Ansatz und verankern den maßgeblichen Dokumentationsrahmen in den RTS on information and documentation for suitability assessments of members of the management body and key function holders to be submitted to the competent authorities

Die Einbeziehung von Drittstaatenzweigstellen in die Leitlinien stellt eine zentrale Neuerung dar, weil die Eignungsprüfung ihrer Leitungsebene bisher rein national geregelt war. Diese regulatorische Fragmentierung innerhalb der EU wird durch den ausdrücklichen Bezug auf Artikel 48g der CRD-VI beendet und durch einen einheitlichen Standard ersetzt.

In der Praxis bedeutet dies, dass die Zweigstellen aus Drittländern künftig über mindestens zwei Personen vor Ort verfügen müssen, die ihre Geschäfte tatsächlich leiten. Diese Personen müssen zudem über einen guten Leumund sowie ausreichende Kenntnisse, Fähigkeiten und Erfahrungen verfügen sowie ausreichend Zeit für die Wahrnehmung ihrer Aufgaben aufwenden.

Die konkrete Tiefe dieser Anforderungen richtet sich nach der Einstufung als Klasse-1- oder Klasse-2-Zweigstelle. Während für kleinere Einheiten der Klasse 2 geringere Anforderungen gelten, müssen Zweigstellen der Klasse 1 nahezu das vollständige Governance-Regime einer EU-Tochtergesellschaft abbilden. Die Aufsicht kann hierbei sogar die Einrichtung eines lokalen Verwaltungsausschusses verlangen, um eine lückenlose Kontrolle vor Ort zu garantieren.

Eine weitere Änderung ist die funktionale Verknüpfung von Geldwäscheaufsicht und Fit-and-Proper-Prüfung.

Während AML-Aspekte bisher oft als Unterpunkt der allgemeinen Zuverlässigkeit mitgeprüft wurden, etabliert der Entwurf eigenständige Auslöser für eine Neubewertung der Zuverlässigkeit bei Verdacht auf Geldwäscheaktivitäten. Sobald „hinreichende Gründe“ für den Verdacht auf Geldwäsche oder Terrorfinanzierung im Zusammenhang mit einem Institut vorliegen, muss die Aufsicht die Eignung des Leitungsorgans zwingend neu bewerten (re-assessment).

Es werden zudem Regelbeispiele für das Vorliegen solcher hinreichenden Gründe aufgeführt, zu denen etwa der Vorwurf der Geldwäsche oder der Terrorismusfinanzierung gegenüber einem Mitglied des Leitungsorgans oder einem Inhaber einer Schlüsselfunktion gehört.

Für Institute bedeutet dies, dass Compliance-Verstöße im Bereich Geldwäsche weit über Bußgelder hinausgehen können. Sie gefährden direkt die personelle Kontinuität an der Spitze. Die AML-Governance wird somit zum direkten Spiegelbild der Eignungsprüfung. Institute werden deshalb gut daran tun, den Zurechnungszusammenhang zwischen institutsbezogenen AML-Feststellungen und individueller Eignung sorgfältig zu dokumentieren. Gerade hier dürfte künftig ein wesentlicher Teil der Diskussion mit der Aufsicht liegen.

Ebenfalls deutlich stärker hervorgehoben werden ESG-, ICT- und AI-bezogene Kompetenzanforderungen. Der Entwurf knüpft an die breitere Entwicklung europäischer Governance-Regulierung an und verweist ausdrücklich auf DORA, den AI Act sowie die Relevanz von ESG-Risiken und -Auswirkungen. Daraus folgt jedoch nicht, dass jedes einzelne Organmitglied technischer Spezialist oder ESG-Experte sein müsste. Die Leitlinien lesen sich hier differenzierter. Verlangt wird vielmehr, dass das Leitungsorgan insgesamt die wesentlichen Risiken und Auswirkungen der Geschäftstätigkeit verstehen kann und dass dieses Verständnis durch angemessene individuelle Kompetenzen, kollektive Zusammensetzung und fortlaufende Schulung abgesichert wird.

Die Leitlinien behandeln Einführungs- und Fortbildungsmaßnahmen nicht als bloße Begleiterscheinung guter Governance, sondern als eigenständigen Bestandteil der Eignungssicherung. Neue Mitglieder sollen mit Struktur, Geschäftsmodell, Gruppenanbindung und Risikostrategie vertraut gemacht werden; laufende Schulungen sollen gewährleisten, dass das Leitungsorgan den erwarteten Kompetenzstand nicht nur erreicht, sondern aufrechterhält.

Dass dabei ausdrücklich auch ICT-Risiken, ESG-Risiken und deren Auswirkungen genannt werden, unterstreicht den regulatorischen Befund: Fit and Proper ist zunehmend kein statischer Eingangstest mehr, sondern ein laufender Qualifikations- und Aktualisierungsprozess.

Auch die Rolle der zuständigen Behörden wird aktiver beschrieben als bisher. Die Aufsicht soll nicht nur die Mitglieder des Leitungsorgans prüfen, sondern bei großen Instituten mindestens auch die Leiter der internen Kontrollfunktionen und den CFO.

Zugleich betont der Entwurf, dass die Behörden nicht auf die eingereichten Informationen beschränkt sind. Sie können zusätzliche Informationen erheben und auch auf zuverlässige interne oder externe Quellen, einschließlich whistleblowing-Informationen, zurückgreifen.

Den verfahrensrechtlichen Abschluss der Neuerungen bildet der sogenannte Enhanced Dialogue. Dieses Instrument zielt darauf ab, das Risiko einer nachträglichen Ablehnung von Führungspersonal bei großen Instituten zu minimieren.

Beabsichtigt ein großes Institut die Bestellung eines Mitglieds für das Leitungsorgan, muss es spätestens 30 Tage vor der Aufgabenübernahme einen Eignungsantrag bei der zuständigen Behörde einreichen. Dieser Antrag leitet einen formalisierten und intensiven Dialog mit der Aufsicht ein, der es der Behörde ermöglicht, Bedenken frühzeitig zu adressieren. Das Institut erhält dadurch die Gelegenheit, diese Vorbehalte etwa durch spezifische Auflagen oder gezielte Nachschulungen rechtzeitig auszuräumen.

Für die Institute bedeutet dies zwar einen erhöhten administrativen Aufwand (Personal/HR) und einen tieferen Einblick der Behörde in den laufenden Rekrutierungsprozess, bietet aber gleichzeitig eine höhere Planungssicherheit durch die Vermeidung kostspieliger Fehlbesetzungen.

Ein weiterer, bisher vielleicht noch nicht hinreichend beachteter Punkt ist die neue Regelung zu Art. 91 Abs. 14 CRD-IV. Der Entwurf enthält hierfür einen eigenen Abschnitt bei Bestellungen in Konstellationen, in denen das Institut den Auswahlprozess nicht oder nur eingeschränkt steuern kann, etwa bei regional oder lokal gewählten Mitgliedern des Aufsichtsorgans. Auch solche Mitglieder müssen geeignet sein.

Für Institute mit öffentlich-rechtlicher oder hybrider Governance-Struktur ist das besonders relevant, weil sich hier die Frage nach der tatsächlichen Einflussmöglichkeit des Instituts auf die Besetzung und nach den Reaktionsmöglichkeiten bei Eignungszweifeln verschärft stellen kann.

Obwohl das aktuelle FAP-Rundschreiben der BaFin (11/2025) erst kürzlich konsolidiert wurde, sorgen die neuen Leitlinien bereits für den nächsten Anpassungsbedarf. Ein Komplettumbau ist jedoch unwahrscheinlich, da das bestehende Werk die 2021er-Systematik bereits umfassend abbildet.

Zukünftige Anpassungen werden voraussichtlich vor allem die Rolle der Aufsicht bei großen Instituten und deren Schlüsselfunktionen (Art. 91a CRD-VI) betreffen. Auch die Anforderungen an Drittstaatenzweigstellen (Art. 48g CRD-VI) dürften eine nationale Spiegelung erfahren. Ein besonderes Augenmerk wird die BaFin zudem vermutlich auf die behördliche Rolle bei Geldwäscheverdacht und die Ausdifferenzierung von Neuprüfungsanlässen (re-assessment) legen.

Die überarbeiteten Leitlinien führen keine völlig neuen Eignungskriterien ein. Ihre praktische Wirkung liegt vielmehr in einer anderen Ausrichtung des bestehenden Systems.

Die Eignungsprüfung wird (noch) stärker standardisiert, enger dokumentiert und kontinuierlich gedacht. Schlüsselfunktionen werden klarer eingebunden, neue Themen wie AML, ESG und ICT werden systematisch integriert, und die Interaktion mit der Aufsicht wird intensiver ausgestaltet.

Für Banken steht die Etablierung klarer Prozesse im Vordergrund, die wie schon mit der Implementierung des BRUBEG und der 9. MaRisk mit der Identifikation der Schlüsselfunktionsinhaber und einer darauf abgestimmten Eignungsrichtlinie beginnen.

Ein Umsetzungspunkt dürfte vor allem das re-assessmen darstellt, welches bei Indikatoren wie Geldwäscheverdacht sofortige Neuprüfungen der Eignung auslöst. Abgerundet wird dies durch die Vorbereitung strukturierter Unterlagen und Vorlagen, die den gestiegenen Anforderungen an die Dokumentationsdichte im Aufsichtsdialog gerecht werden.

Für Institute bedeutet das vor allem eines: Fit and Proper entwickelt sich weiter von einer punktuellen Personalentscheidung zu einem dauerhaft zu organisierenden Governance-Prozess mit klareren Erwartungen an Struktur, Dokumentation und laufende Überprüfung.