Schlagwort: Geschäftsleitereignung

BaFin rückt die fachliche Eignung von Geschäftsleitern in den Fokus

Veröffentlicht am von Dr. Verena Ritter-Döring and Charlotte Dreisigacker-Sartor

Die BaFin konsultiert gerade ein überarbeitetes Merkblatt zu den Geschäftsleitern gemäß KWG, ZAG und KAGB. Geschäftsleiter müssen ihre fachliche und persönliche Eignung nachweisen, bevor sie ein Kreditinstitut, einen Finanzdienstleistungsinstitut, ein Zahlungsinstitut oder eine Kapitalverwaltungsgesellschaft führen dürfen. Die BaFin hat die Qualifikationen eines designierten Geschäftsleiters immer schon überprüft, doch von nun an scheint sie noch genauer hinzusehen.

Einiges bleibt beim Alten, auch wenn es im Merkblatt neu ist

Grundsätzlich gilt nach wie vor, wer einmal Geschäftsleiter eines regulierten Unternehmens war, hat es nicht schwer, diese Tätigkeit auch bei einem anderen regulierten Unternehmen fortzusetzen. Neben der fachlichen Eignung der einzelnen Geschäftsleiter, die theoretische und praktische Kenntnisse sowie Leitungserfahrung umfasst, wird künftig ein besonderes Augenmerk auch auf die fachliche Eignung der Geschäftsleitung in ihrer Gesamtheit gelegt. Denn die Institute sollen sicherstellen, dass neben der individuellen fachlichen Eignung jedes einzelnen Geschäftsleiters die Geschäftsleitung auch in ihrer Gesamtheit alle notwendigen Kenntnisse, Fähigkeiten und Erfahrungen mitbringt, um ihrer Gesamtverantwortung für eine ordnungsgemäße Geschäftsorganisation und den damit eihergehenden Anforderungen jederzeit gerecht zu werden. Zur Evaluierung der Gesamtqualifikation der Geschäftsleitung hat die BaFin ihrer Konsultation eine entsprechende Muster-Matrix beigefügt, die recht umfangreich die Überlegungen der Institute dokumentieren soll.

Auch das ist in der Verwaltungspraxis der BaFin kein ganz neuer Ansatz. Es war auch bisher möglich, dass in einem Institut, das z.B. auf digitale Lösungen spezialisiert ist, ein Geschäftsleiter besondere Fähigkeiten und Kenntnisse im Bereich der IT mitbringt, dafür aber noch nicht ganz so viel Erfahrung im Risikomanagement hat, wenn insgesamt in der Geschäftsleitung alle Verantwortungsbereiche abgedeckt sind. Die Tatsache, dass es dieses Prinzip jetzt in ein Merkblatt geschafft hat, zeigt, dass die BaFin bei Ernennung eines neuen Geschäftsleiters nicht mehr nur den einzelnen Geschäftsleiter überprüft, sondern sich auch erklären lassen wird, wie der neue Geschäftsleiter in die bereits bestehende Führungsriege passt.

Die BaFin geht weiterhin davon aus, dass neue Geschäftsleiter nach Amtseinführung geschult werden, um allen Anforderungen, die mit der Geschäftsleitung einhergehen, gerecht werden zu können. Insbesondere sollen alle neuen Geschäftsleiter Verständnis für die Struktur, das Geschäftsmodell, das Risikoprofil und die Governance-Regelungen des Instituts sowie ihre eigene Rolle in der Geschäftsleitung entwickeln. Dies soll durch Fort- und Weiterbildungen unterstützt werden. Das ist in der Praxis auch heute schon üblich. Auch forderte die BaFin auch in der Vergangenheit Institute auf, neue Geschäftsleiter entsprechend nach ihrer Ernennung zu schulen.

Es bleibt dabei, dass unbeschadet der aufsichtlichen Beurteilung die primäre Verantwortung für die Erst- und Folgebewertungen der individuellen Eignung und der Eignung in der Gesamtheit der Geschäftsleitung bei den Instituten verbleibt. Die BaFin überprüft dies regelmäßig anhand der Berichterstattung des Jahresabschlussprüfers. Die Institute sind verpflichtet, der BaFin und ggf. der Deutschen Bundesbank auf Anforderung weitere Unterlagen und Informationen zur Verfügung zu stellen, die es der Aufsicht erlauben, die Qualifikation der Geschäftsleiter zu beurteilen.

Neue Anforderungen

Daneben gibt es nun für Institute neue ToDos. Teil der ordnungsgemäßen Geschäftsorganisation eines Institutes ist künftig, dass es (a) Eignungsrichtlinien, (b) Diversitätsrichtlinien für Geschäftsleiter, Verwaltungs- und Aufsichtsratsmitglieder und Mitarbeiter, (c) Einführungs- und Schulungsrichtlinien und (d) Richtlinien spezifisch für den Umgang mit Interessenskonflikten für Geschäftsleiter, Verwaltungs- und Aufsichtsratsmitglieder und Mitarbeiter geben soll.

Die Eignungsrichtlinien sollen Richtlinien und Prozesse zur Bewertung der individuellen Eignung und der Eignung in der Gesamtheit der Geschäftsleitung aufstellen. Diese Richtlinien sollen an den gesamten Governance-Rahmen des Instituts, die Unternehmenskultur und die Risikobereitschaft des Instituts angepasst sein. Auch Inhaber von Schlüsselpositionen (etwa der Leiter der internen Revision oder der CFO, sofern dieser nicht Geschäftsleiter ist) sollen hier berücksichtigt werden.

Anknüpfend an die Eignungsrichtlinien müssen sich Institute künftig Gedanken über Fort- und Weiterbildung machen. Die Mitglieder der Geschäftsleitung bzw. des Verwaltungs- oder Aufsichtsorgans sollten, soweit möglich, vor Beginn der Tätigkeit über die Kultur, Werte, das Verhalten und die Strategie des Instituts und seiner Geschäftsleitung bzw. seines Verwaltungs- oder Aufsichtsorgans informiert zu sein. Dafür müssen angemessene personelle und finanzielle Ressourcen zur Verfügung stehen. Die Richtlinien und Verfahren zur Einführung und Schulung von Mitgliedern der Geschäftsleitung bzw. des Verwaltungs- oder Aufsichtsorgans sollen nach Ansicht der BaFin mindestens die folgenden Inhalte umfassen:

  • jeweils Einführungs- und Schulungsziele getrennt für Geschäftsleitung und Verwaltungs- oder Aufsichtsorgan; diese Ziele sollten für konkrete Positionen gemäß ihren bestimmten Verantwortlichkeiten und Beteiligung an Ausschüssen spezifiziert werden,
  • die Verantwortlichkeit für die Entwicklung eines ausführlichen Schulungsprogramms,
  • die für die Einführung und Schulung vom Institut zur Verfügung gestellten Finanz- und Personalressourcen unter Berücksichtigung der Anzahl und Kosten von Einführungs- und Schulungssitzungen, sowie dazugehörenden Verwaltungsaufgaben,
  • einen klar festgelegten Vorgang, nach dem jedes Mitglied des Leitungsorgans eine Einführung oder Schulung anfordern kann.

Darüber hinaus sollte das Institut einen Prozess zur Bestimmung der Bereiche einrichten, in denen Schulungen erforderlich sind. Das wird für die einzelnen Institute einiges an Planung und Umsetzungsaufwand erfordern.

Die BaFin verspricht sich davon qualifizierte Geschäftsleiter, die für aktuelle und künftige Aufgaben gut gerüstet sind.

Was gilt für wen, wenn EBA/ESMA, EZB und BaFin sich zu demselben Thema äußern? – Aufsichtskonvergenz innerhalb der EU am Beispiel der Geschäftsleitereignung

Veröffentlicht am von Dr. Verena Ritter-Döring

Geschäftsleiter eines regulierten Unternehmens kann nicht jeder werden. Es gibt spezifische aufsichtsrechtliche Vorgaben, die ein Geschäftsleiter erfüllen muss, z.B. muss er über eine ausreichende fachliche Eignung verfügen und insgesamt zuverlässig sein. Was sind nun die Vorgaben an die fachliche Eignung und was bedeutet Zuverlässigkeit genau? Hierzu geben Veröffentlichungen der Aufsichtsbehörden Aufschluss. Zum Thema Geschäftsleitereignung gibt es gleich von verschiedenen Behörden Äußerungen.

Bereits seit Januar 2016 gilt in Deutschland das von der BaFin veröffentliche Merkblatt zu den Geschäftsleitern, das zuletzt im Januar 2017 aktualisiert wurde. Nachdem EBA und ESMA im März 2018 weitere Leitlinien zur Bewertung der Eignung von Mitgliedern des Leitungsorgans und Inhabern von Schlüsselfunktionen und zur internen Governance veröffentlichten, hat die EZB im Mai 2018 den Leitfaden zur Beurteilung der fachlichen Qualifikation und persönlichen Zuverlässigkeit an diese Leitlinien angepasst.

Angesichts der verschiedenen Veröffentlichungen stellt sich die Frage, welche rechtlichen Verbindlichkeiten damit einhergehen und was in der Praxis beachtet werden muss.

Für deutsche Institute gilt zunächst unmittelbar die Verwaltungspraxis der BaFin, die in dem Merkblatt zu den Geschäftsleitern veröffentlicht ist.

Die Aufgabe von EBA und ESMA hingegen ist unter anderem die Sicherstellung stabiler und funktionsfähiger Finanzmärkte. Dazu gehört auch die Förderung der Aufsichtskonvergenz in den verschiedenen Mitgliedstaaten. Um eine gemeinsame Aufsichtskultur zu schaffen, müssen in der gesamten Union einheitliche Rechtsauslegung und ‑anwendung gewährleistet werden. EBA und ESMA nutzen hauptsächlich Leitlinien sowie Fragen und Antworten (Q&As) und geben so einen einheitlichen Rahmen vor. Die Leitlinien konkretisieren so zunächst europäische Richtlinien oder Verordnungen und sind für die nationalen Aufsichtsbehörden bindend. Sie gelten nicht unmittelbar gegenüber den deutschen Instituten, solange die BaFin sie nicht ausdrücklich in ihre Verwaltungspraxis übernommen hat. Die BaFin übernimmt die Leitlinien der europäischen Aufsichtsbehörden in der Regel, nicht übernommene Leitlinien weist sie auf ihrer Homepage explizit aus.

Systemkritische Banken in Deutschland werden direkt durch die EZB beaufsichtigt. Die EZB kann die Leitlinien von EBA und ESMA innerhalb des vorgegebenen Rahmens durch eigene Leitfäden konkretisieren. Sie trägt so in einer teilnehmenden Rolle zur Ausführung der Aufgaben der europäischen Aufsichtsbehörden bei. Der Leitfaden der EZB zur Geschäftsleitereignung konkretisiert die Beurteilungspraxis der EZB und ersetzt nicht die Leitlinien. So wie das Merkblatt zu den Geschäftsleitern der BaFin die Verwaltungspraxis der BaFin widerspiegelt, zeigt der Leitfaden der EZB zur Geschäftsleitereignung die Verwaltungspraxis der EZB auf. Damit gilt der Leitfaden für die Institute, die die EZB direkt beaufsichtigt, da diese den Erwartungen der EZB genügen müssen. In der Praxis werden auch die nationalen Aufsichtsbehörden den Leitfaden der EZB nicht ignorieren, sondern versuchen, ihn in ihre Aufsichtspraxis zu integrieren, um eine einheitliche Praxis im eigenen Land sicherzustellen. Es sollte für systemkritische Banken kein wesentlich anderer Maßstab gelten als für den restlichen Finanzmarkt.

Inhaltlich nennt die EZB folgende Beurteilungskriterien für angehende Geschäftsleiter: Erfahrung, Leumund, Unvoreingenommenheit und Interessenskonflikte, Zeitaufwand und kollektive Eignung. Erfahrung erfordert praktische und theoretische Kenntnisse, die Geschäftsleiter für die Wahrnehmung ihrer Aufgaben benötigen. Die Anforderungen bezüglich der Erfahrung sind umso höher, je komplexer die Aufgaben sind und je größer das Institut ist. Der Leumund ist gegeben, wenn es keine gegenteiligen Hinweise gibt und auch sonst kein Grund zum Zweifeln besteht. Die Unvoreingenommenheit erfordert, dass Geschäftsleiter frei von Interessenkonflikten in der Lage sein müssen, selbst fundierte, objektive und unabhängige Entscheidungen zu treffen. Weiterhin müssen sie in der Lage sein, in quantitativer und qualitativer Hinsicht genug Zeit aufzuwenden, um ihre Leitungsaufgaben zu erfüllen. Zuletzt muss jedes Mitglied zur kollektiven Eignung der Geschäftsleitung beitragen, indem es durch bestimmte Wissensgebiete, Kenntnisse oder Erfahrungen die Geschäftsleitung ergänzt. Alle diese Anforderungen sind der Verwaltungspraxis der BaFin nicht fremd. Die Anforderungen der EZB gehen nicht über die Leitlinien von ESMA und EBA hinaus. In ihrem Newsletter vom 15. August 2018 weist die EZB darauf hin, dass die Maßnahmen der Banken zur Feststellung und laufenden Überprüfung der Eignung ihrer Geschäftsleiter noch verbesserungswürdig sind.

In Deutschland sind Banken durch die BaFin bereits stark reguliert. Die Leitlinien der EBA und ESMA ziehen bezüglich der Geschäftsleitereignung keine Verschärfung der Aufsichtspraxis der BaFin nach sich. Auch für die von der EZB beaufsichtigten deutschen Institute ergibt sich durch den Leitfaden der EZB keine Verschärfung. Eine Grundorientierung an dem Merkblatt der BaFin empfiehlt sich für alle deutschen Institute, denn wenn dieser Standard eingehalten wird, ist jedes Institut gut vorbereitet im Verfahren um die Anerkennung eines neuen Geschäftsleiters.

Finanzaufsicht in Zeiten der Digitalisierung

Veröffentlicht am von Dr. Verena Ritter-Döring

Die Digitalisierung der Bankenwelt ist zur Zeit ein zentrales Thema. Digitalisierung ist ein positiv besetzter Begriff, der neue Geschäftsmodelle zu versprechen scheint und oft verwendet wird als Gegensatz zum Angebot traditioneller Banken. Neue Finanzprodukte von FinTechs, die innovativ oder gar disruptiv sind, zeigen neue Möglichkeiten einer Digitalisierung im Finanzmarkt. Auch soll durch die Auswertung von Big Data und die Verwendung von Algorithmen und künstlicher Intelligenz die Benutzerfreundlichkeit erhöht und die Kundenerfahrung verbessert werden – alles digital.

Gleichzeitig treten wichtige neue Fragen des Verbraucherschutzes, der Daten- und Cybersicherheit auf, die die Digitalisierung womöglich bremsen können und die Aufsicht auf den Plan rufen. Aber auch die Anbieter selbst betonen immer wieder, dass Datenschutz und Cybersecurity für alle Marktteilnehmer essentiell sind, um das Vertrauen der Kunden zu erlangen und zu halten.

Im Folgenden zeigen wir auf, welche Regelungen es im Zusammenhang mit IT-Sicherheit bereits gibt, wie die Aufsicht damit umgeht und ob der aufsichtsrechtliche Rahmen genug Raum lässt für die Digitalisierung bestehender und die Entwicklung neuer (digitaler) Geschäftsmodelle.

Wir betrachten zunächst, wie die BaFin mit der Digitalisierung der Bankenwelt umgeht und wie sie darauf reagiert. Hierzu gibt die Darstellung der Drei-Säulen-Strategie der BaFin im Umgang mit der Digitalisierung Aufschluss, die BaFin-Präsident Felix Hufeld am 10. April auf der BaFin-Tech in Berlin vorgestellt hat. Danach werden in der ersten Säule „Aufsicht und Regulierung“ die neuen Geschäftsmodelle und die Veränderungen der Wertschöpfungsstrukturen anhand des bestehenden Aufsichtsrahmens geprüft, während die zweite Säule speziell die IT-Aufsicht zum Gegenstand hat und die IT-Sicherheit der Unternehmen im laufenden Geschäftsbetrieb überwacht. In der dritten Säule beschäftigt sich die BaFin mit ihren eigenen Prozessen, um eine wirksame Aufsicht auch in Bezug auf innovative Strukturen und Geschäftsmodelle gewährleisten zu können. Das zeigt, dass die BaFin vom Zeitpunkt der ersten Beurteilung von Geschäftsmodellen an laufend die IT-Prozesse von Banken und Finanzdienstleistern überwacht, und in Ergänzung dazu auch selbst dazulernt. Die Darstellung von Herrn Hufeld passt zu den am 9. Mai 2018 veröffentlichten Schwerpunkten der Bankenaufsicht  für das Jahr 2018. Die Aufsicht bekennt sich darin explizit dazu, sich u.a. auf fehlende Angemessenheit und Sicherheit der IT-Systeme der Banken konzentrieren zu wollen.

Was heißt das konkret? Wir wollen im Folgenden einen Blick auf drei aufsichtsrechtliche Themen werfen, die vor dem Hintergrund der Digitalisierung und als Rahmen der IT-Aufsicht ein besonderes Augenmerk verdienen. Diese legen die Verwaltungspraxis der BaFin offen, die auch bei der Prüfung und Beaufsichtigung von neuen, innovativen Geschäftsmodellen berücksichtigt werden.

Das erste Thema sind die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die zuletzt im Oktober 2017 überarbeitet wurden. Darin enthalten sind nach wie vor allgemeine Anforderungen an IT-Systeme und die dazugehörigen Prozesse und Notfallkonzepte. Neu eingefügt wurde mit der letzten Novelle ein Abschnitt zu den IT-Risiken, die fortan noch expliziter überwacht und gesteuert werden müssen. Überwachungs- und Steuerungsprozesse müssen IT-Risikokriterien festlegen, IT-Risiken identifizieren sowie den Schutzbedarf und entsprechende Maßnahmen zur Risikobehandlung und Risikominderung festlegen. Die MaRisk als Teil der prinzipienbasierten Aufsicht der BaFin gibt hier nur grobe Anforderungen vor und lässt den einzelnen Instituten offen, wie sie diese Anforderungen individuell auf das jeweilige Geschäftsmodell passend umsetzen.

Zweitens sind die von der BaFin im November 2017 erlassenen Bankaufsichtlichen Anforderungen an die IT (BAIT) zu nennen, die die Vorgaben der MaRisk für den IT-Bereich konkretisieren. Die BAIT macht etwa Vorgaben zu IT-Strategien, zur IT-Governance, zum IT-Risikomanagement und zum IT-Sicherheitsmanagement. Es finden sich hier z.B. Vorgaben, die verlangen, dass ein Institut insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten hat. Oder dass die Anforderungen eines Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien im Rahmen des IT-Risikomanagements festzulegen und in geeigneter Form in einem Sollmaßnahmenkatalog zu dokumentieren sind. Die BAIT weist die Verantwortung für die von ihr geregelten Bereiche mit IT-Bezug noch einmal explizit der Geschäftsleitung zu. Doch auch wenn auf 20 Seiten Vorgaben verschriftlicht werden, gilt dennoch, dass auch die BAIT wie die MaRisk lediglich weitere Prinzipien vorgibt, die von den Instituten ausgestaltet werden können, um ihr bestehendes Geschäftsmodell und auch neue, innovative Geschäftsmodelle sachgerecht und sicher abzubilden.

Ein dritter Punkt, der Erwähnung verdient, und zeigt, welchen Stellenwert der fachkundige Umgang mit IT-Themen in Banken für die BaFin hat: Die Bestellung von IT-Spezialisten zu Geschäftsleitern von Banken und anderen regulierten Instituten wird in der Verwaltungspraxis der BaFin derzeit begünstigt. Um das IT-Know-how auch in der Geschäftsleitung zu fördern, kann die BaFin im Einzelfall bei der Prüfung der fachlichen Eignung eines Geschäftsleiterkandidaten mit IT-Hintergrund für eine Bank oder ein Finanzinstitut entscheiden, dass eine praktische Vorerfahrung in der Führungsebene einer vergleichbaren Bank oder eines vergleichbaren Instituts von sechs Monaten (statt der üblichen drei Jahre) ausreichen.

Diese drei Beispiele zeigen, dass der bestehende Aufsichtsrahmen in Zeiten der Digitalisierung Bestand haben kann, denn aufgrund der prinzipienorientierten Aufsichtsvorgaben sind auch die IT-Innovationen in der Produktpalette von neuen Marktakteuren abgedeckt.

Neue Leitlinien zu den Anforderungen an Geschäftsleiter von Banken und Finanzdienstleistern

Veröffentlicht am von Dr. Verena Ritter-DöringSchreib einen Kommentar

RegulatoryAm 21. März 2018 hat die EBA Leitlinien zur Bewertung der Eignung von Mitgliedern des Leitungsorgans und Inhabern von Schlüsselfunktionen für CRD- und MiFID-Institute veröffentlicht. Die Vorgaben beziehen sich damit auf Banken und Finanzdienstleister und richten sich zunächst an die nationalen Aufsichtsbehörden in der EU.

Die BaFin übernimmt die Leitlinien der Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) in der Regel.[1] Die Leitlinien vereinheitlichen die Aufsichtspraxis innerhalb des europäischen Binnenmarktes und sind gerade auch vor dem Hintergrund des nahenden Brexits interessant. Denn neben den Aussagen der europäischen Aufseher, dass keine Briefkastenfirmen in der EU geduldet werden, wenn sich UK-Finanzunternehmen auf dem Kontinent nach dem Brexit zwecks Zugangs zum europäischen Markt ansiedeln, ist nun auch klar, dass die Qualifikation der Leitungsorgane und der zweiten Managementreihe die Anforderungen der Leitlinien erfüllen sollten. Wie bisher gelten die Anforderungen proportional zum geplanten Geschäftsmodel.

Die Fit-and-Proper-Anforderungen der EBA bringen für den deutschen Markt keine Verschärfung der Aufsichtspraxis. Sie gewährleisten eventuell mehr Rechtssicherheit, weil einige Grundsätze nun festgeschrieben sind. So ist etwa bei der Prüfung der zeitlichen Verfügbarkeit von Geschäftsleitern, die nicht ständig in Deutschland sind, die für die Position erforderliche Reisezeit einzubeziehen. Ausdrücklich erwähnt ist nun auch, dass Institute neuen Mitgliedern der Geschäftsleitung maßgeschneiderte Schulungsprogramme anbieten sollen, damit diese sich umfassend mit dem neuen Umfeld vertraut machen können. Gleichzeitig sollten Institute für solche Schulungsmaßnahmen Richtlinien und Verfahren vorhalten. Die Möglichkeit der Schulung neuer Geschäftsleiter ist bisher in der Verwaltungspraxis der BaFin vorgesehen, um Fachwissen ggf. aufzufrischen. Die EBA ist jetzt allerdings etwas konkreter in ihren Vorgaben.

Die neuen Leitlinien schreiben auch noch einmal explizit fest, dass Mitglieder des Leitungsorgans von Banken und Finanzdienstleistern unvoreingenommen und unabhängig sein sollen. Beides sind unbestimmte Rechtsbegriffe, die trotz Erläuterungen schwammig bleiben.

Ein einheitliches Niveau der Anforderungen an die Geschäftsleiter von Banken und Finanzdienstleistern in Europa ist sicher gut für den Markt und ermöglicht auch den Inhabern der sog. Geschäftsleiter-Führerscheine leichte grenzüberschreitende Wechsel an der Führungsspitze. Die Beibehaltung der geforderten Proportionalität der Anforderungen an Geschäftsleiter im Verhältnis zum Geschäftsmodell des jeweiligen Instituts lässt dem Markt und weiterhin auch der BaFin genug Spielraum für die konkrete Ausgestaltung der neu festgeschriebenen Vorgaben.

[1] Nicht übernommene Leitlinien der Europäischen Aufsichtsbehörden weist die BaFin explizit auf ihrer Homepage aus.