Am 27. Oktober 2017 hat die BaFin die Neufassung der MaRisk veröffentlicht, am 3. November die bankaufsichtlichen Anforderungen an die IT (BAIT). In der rechtlichen Systematik stellen die MaRisk und die BAIT die Konkretisierung der Verwaltungsauffassung der BaFin zum Risikomanagement der Banken dar.
Für Banken, die gleichzeitig Zahlungsdienstleister sind, wird ab dem 13. Januar 2018 der neue § 53 ZAG gelten. Dieser regelt die Pflicht von Zahlungsdienstleistern, d.h. Kreditinstituten, Zahlungsinstituten und E-Geld-Instituten, zum Management von operationellen und sicherheitsrelevanten Risiken. Die EBA hatte die Pflicht nach der PSD2, bis zum 13. Juli 2017 konkretisierende Leitlinien zu veröffentlichen. Diese Leitlinien liegen bisher nur im Entwurf vom Mai 2017 vor. Auch eine Umsetzung durch die BaFin steht deshalb noch aus.
Was gilt nun für Banken? Eigentlich sollte man denken, dass das ZAG (nach Umsetzung der PSD2) für Zahlungsdienste den allgemeinen Regeln des KWG, der MaRisk und der BAIT vorgeht. Dann würden Banken für ihr Zahlungsgeschäft ab 13. Januar 2018 ausschließlich die Risikomanagement-Regeln des ZAG und der EBA-Leitlinien (wenn sie mal final vorliegen) anwenden müssen.
Das würde auch für die Regeln über Governance und Auslagerungen gelten. Die Definition der Auslagerung für Zahlungsdienstleister wäre basierend auf europäischem Recht zu bestimmen und nicht nach MaRisk und nicht nach BAIT.
Auslagerungen technischer Prozesse würden, soweit sie Zahlungsdienste betreffen, den EBA Leitlinien genügen müssen; nur für das übrige Geschäft, z.B. Sparkonten, Kreditgeschäft etc., würde sich dies nach KWG, MaRisk sowie BAIT richten. Schon das kann Schwierigkeiten aufwerfen. Da die EBA Leitlinien den Begriff der Auslagerung nicht definieren, könnte man in Versuchung kommen, auf den Begriff der MaRisk zurückzugreifen, was aber eigentlich rechtlich unsauber wäre.
Bei der Governance (zu deutsch: gute Unternehmensführung) ist die Abgrenzung noch schwieriger. Sowohl MaRisk / BAIT als auch die EBA Leitlinien stellen Regeln für die Governance im Rahmen eines angemessenen Risikomanagements auf. Dies ist auch von KWG sowie von den neuen Regeln des ZAG (infolge PSD2) so vorgegeben . Das Institut soll als Ganzes erfasst werden und nicht nur die “Abteilung Zahlungsdienste”. Hier könnten Kreditinstitute, die neben Zahlungsgeschäft auch Kreditgeschäft, Wertpapiergeschäft etc. betreiben, nicht einfach “trennen”. Sie müssten wohl beide Regulierungen gleichzeitig beachten.
Um diese Widersprüche aufzulösen, wäre die Lösung wohl eine weitergehende europäische Vereinheitlichung des aufsichtsrechtlichen Rahmens auch für Risikomanagement, so dass einheitliche Regeln für Kreditinstitute, Zahlungsdienstleister und Wertpapierfirmen Anwendung fänden. … wenn man das will.
