Entwurf der ZAG-MaRisk - Mindestanforderungen an das Risikomanagement von ZAG-Instituten | Payment Services Law Blog | GÖRG Blog

Payment Services
Law Blog

Entwurf der ZAG-MaRisk (Mindestanforderungen an das Risikomanagement von ZAG-Instituten)

Informationen über ,

veröffentlicht am 19.10.2023

Hintergrund

Nach § 27 Abs. 1 Satz 1 ZAG – der Kernvorschrift für Compliance im ZAG – muss ein Zahlungs- oder E-Geld-Institut „über eine ordnungsgemäße Geschäftsorganisation verfügen“. Während das „Ob“ einer ordnungsgemäßen Geschäftsorganisation als Grundprinzip eines jeden Compliance-Systems eigentlich eine Selbstverständlichkeit darstellt, eröffnet das „Wie“, also die konkrete Ausgestaltung im Einzelfall, ein weites Feld von Interpretationsspielräumen.

Im Rahmen der Parallelvorschrift im KWG – § 25a KWG – wird der unbestimmte Rechtsbegriff der ordnungsgemäßen Geschäftsorganisation für Kreditinstitute durch die erstmals von der BaFin im Jahre 2005 veröffentlichten „Mindestanforderungen an das Risikomanagement“ (“MaRisk (BA)”) konkretisiert. Auf ZAG-Institute finden die MaRisk (BA) keine direkte Anwendung, bieten laut BaFin allerdings „Anhaltspunkte“ für die nach § 27 Abs. 1 ZAG einzuhaltenden Anforderungen. Welche konkreten Anforderungen ZAG-Institute bei der Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation zu erfüllen haben, bleibt in der Praxis aus Sicht der ZAG-Institute dennoch häufig unklar.

Um diese Rechtsunsicherheit zu beseitigen hat die BaFin nun – 14 Jahre nach Inkrafttreten des ZAG – einen Entwurf eines Rundschreibens zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (“ZAG-MaRisk”) zur Konsultation vorgelegt. Hinweise zum Verfahren der Stellungnahme finden Sie hier.

Wer ist erfasst?

Die ZAG-MaRisk erfassen inländische Zahlungs- und E-Geld-Institute sowie deren Zweigniederlassungen im Ausland. Zweigniederlassungen von Instituten mit Sitz in einem anderen EU/EWR-Mitgliedsstaat gehören hingegen nicht zum Anwenderkreis.

Wie unterscheiden sich die ZAG-MaRisk zu den MaRisk (BA)?

Die ZAG-MaRisk orientieren sich – wenig überraschend – an dem modularen Aufbau und dem prinzipienorientieren Inhalt der MaRisk (BA).

Nachfolgend wollen wir auf die wesentlichen Unterschiede zu den MaRisk (BA) eingehen:

Wesentliche Risiken (AT 2.2.)

Operationelle Risiken (einschließlich IT-Risiken) sind grundsätzlich als wesentlich einzustufen. Abhängig vom Geschäftsmodell, sind die nachfolgenden Risiken als wesentlich einzustufen:

  • Adressenausfallrisiken (einschließlich Erfüllungsrisiken und Charge-Back-Risiken),
  • Marktpreisrisiken (einschließlich FX-Risiken und Risiken im Hinblick auf die Anlagen zu Liquiditätssicherung und Einhaltung der gesetzlichen Sicherungsanforderungen)
  • Geschäftsmodellrisiken und
  • Liquiditätsrisiken.

Unklar ist, wie der Begriff der „Geschäftsmodellrisiken“ im Kontext der anderen genannten Risikokategorien zu verstehen ist. Die Geschäftsmodellrisiken werden im Rahmen der besonderen Anforderungen an die Risikostreuerungs- und controllingprozesse (BTR) auch nicht näher konkretisiert.

Abschirmung von Risiken (AT 4.1)

In AT 4.1 stellt die Aufsicht klar, dass ZAG-Institute auf der Grundlage des Gesamtrisikoprofils sicherzustellen zu haben, dass die wesentlichen Risiken des Instituts durch das Risikodeckungspotenzial ausreichend abgeschirmt sind, wobei auch die Auswirkungen von ESG-Risiken angemessen zu berücksichtigen sind. Der Fokus liegt auf einer proaktiven Minimierung der Risiken (Abschirmung), bevor sich diese realisieren. Eine wie bei Kreditinstituten geforderten laufende Bewertung der Risiken im Sinne einer Risikotragfähigkeit – d.h. wie viel Risiko zu einem bestimmten Zeitpunkt oder über einen bestimmten Zeitraum hinweg tragbar ist – wird von ZAG-Instituten hingegen nicht erwartet.

Besondere Anforderungen an Risikosteuerungs- und controllingprozesse, interne Revision und die Risikoberichterstattung (BTR, BT2, BT 3)

Die Anforderungen an die Risikosteuerungs- und controllingprozesse, die besonderen Anforderungen an die Ausgestaltung der Revision und Anforderungen an die Risikoberichterstattung entsprechen inhaltlich weitestgehend den Anforderungen aus der MaRisk (BA), wobei diejenigen Anforderungen, die in den spezifischen Risiken im Zusammenhang mit Bankgeschäften und Finanzdienstleistungen sowie den komplexeren Geschäftsmodellen der Banken begründet liegen, richtigerweise nicht aufgenommen wurden (z.B. keine Anforderungen zu Marktpreisrisiken des Handelsbuches und des Anlagebuches (BTR 2.2 und 2.3), keine umfangreichen Anforderungen zu Liquiditätsrisiken)

Prozesse und Verfahren bzgl. Kundengeldsicherung (BTO 1)

Erfreulicherweise geht die BaFin im Abschnitt BTO 1 nun auf die Anforderungen an die Kundengeldsicherung ein und statuiert somit erstmals ausdrücklich, was bereits ihrer ständigen Verwaltungspraxis entspricht.

So stellt die BaFin klar, dass bei der Absicherung über offene Treuhandkonten die Treuhandabrede – gemeint ist der Treuhandkontovertrag – Vereinbarungen zum Ausschluss des Pfandrechts und des Ausschlusses des Anspruchs auf Aufrechnung auch in Bezug auf Kosten des Kontos der Bank, sowie zur Verpflichtung der Bank zur Drittschuldnererklärung zu enthalten hat. Ferner verlangt die Aufsichtsbehörde im Einklang mit der bisherigen Verwaltungspraxis eine kumulative Geltung von Vermischungs-, Sicherungs- und Trennungsgebot in jedem Zeitpunkt ab der Entgegennahme, weshalb eingehende Gelder – entgegen des ausdrücklichen Wortlauts des § 17 Abs. 1 S. 2 Nr. 1 lit. b ZAG („T+1“ Regel) – unmittelbar auf dem Treuhandkonto entgegenzunehmen seien.

Ferner haben ZAG-Institute Kontenabstimmungsprozesse einzurichten, die sicherstellen sollen, dass es bei der Entgegennahme und Auskehrung von Geldern zu keinem Zeitpunkt zu einer Vermischung mit den Geldern anderer natürlicher oder juristischer Personen als der Zahlungsdienstnutzer oder E-Geld-Inhaber, für die sie gehalten werden, kommt, und die Trennung von den übrigen Vermögenswerten des Instituts gewährleistet ist.

Das Trennungs- und Vermischungsverbot ist dabei auch bei der Investition in sichere, liquide Aktive einzuhalten.

Bei Absicherung über eine Versicherung oder ähnliche Garantie ist zu beachten, dass Funktionen mit Kontrollaufgaben außerhalb der operativen Bereiche anzusiedeln sind.

Betrugsprävention und Sicherheitsvorfälle (BTO 2)

Im Abschnitt BTO 2 statuieren die ZAG-MaRisk sodann Anforderungen an die Prozesse und Verfahren für die Betrugsprävention, für die Überwachung und Bearbeitung sowie Folgemaßnahmen bei Sicherheitsvorfällen oder sicherheitsbezogenen Kundenbeschwerden. Diese Anforderungen gleichen den im Zuge des Erlaubnisverfahrens gem. GL 9.1 EBA-Zulassungsleitlinie darzulegenden Prozessen und sollten für Zahlungsinstitute somit ohnehin bereits erfüllt werden.

Inanspruchnahme von Agenten (BTO 3)

Hinsichtlich der Anforderungen bei der Inanspruchnahme von Agenten (BTO 3) belässt es die BaFin im Wesentlichen bei einer Wiedergabe des Gesetzeswortlauts von § 25 Abs.2 ZAG und statuiert die nach § 26 ZAG bestehende Pflicht zum Abschluss eines Auslagerungsvertrags. Es bleibt abzuwarten, ob die Konsultation zu einer Präzisierung beitragen kann.

Fazit

Die ZAG-MaRisk verschriftlichen im Wesentlichen die bereits bestehende Verwaltungspraxis der BaFin und führen Anforderungen aus bereits bestehenden Verlautbarung der Aufsichtsbehörden zusammen. Demnach dürften bereits zugellassene ZAG-Institute die meisten Anforderungen aus der aktuellen Fassung der ZAG-MaRisk bereits jetzt erfüllen. Wir raten dennoch zu einer proaktiven Befassung mit dem Entwurf, um etwaige Bereiche, bei denen man noch hinter den Anfordungen der ZAG-MaRisk zurückbleibt, frühzeitig identifizieren und beheben zu können.

Für Unternehmen, die noch nicht als Zahlungs- bzw. E-Geld-Institut zugelassen sind, aber beabsichtigen eine entsprechende Erlaubnis zu beantragen, führt die ZAG-MaRisk erfreulicherweise zu einem erheblichen Gewinn und Rechts- und Planungssicherheit.

  • xing
  • linkedin
  • twitter
Kategorien

,

← Vorheriger Artikel
Nächster Artikel →