Mindestanforderungen an das Risikomanagement von Zahlungs-und E-Geld-Instituten (ZAG) Konsultation des BaFin-Rundschreibens
Die BaFin konkretisiert nunmehr auch für ZAG-Institute die Anforderungen an eine ordnungsgemäße Geschäftsorganisation und lehnt sich dabei stark an den bislang schon für Kredit- und Finanzdienstleistungsinstitute geltenden Rahmen an.
1
Es gelten nunmehr auch detaillierte Vorgaben an eine ordnungsgemäße Geschäftsorganisation bei ZAGInstituten.
2
Der Entwurf der MaRisk orientiert sich sehr stark an den bereits für Kreditinstitute geltenden Regeln und setzt somit die Messlatte hoch.
3
Die Erstanwendung wird nicht vor Mitte 2024 erwartet. Bis dahin ist der Status quo der Geschäftsorganisation zu überprüfen.
4
Die MaRisk sind im Kontext anderer ab 2024 geltender Vorgaben zu sehen, unter anderem neuen Organisations- und Anzeigepflichten.
Überblick Die für Kredit- und Finanzdienstleistungsinstitute relevanten Anforderungen der BaFin an eine ordnungsgemäße Geschäftsorganisation gemäß § 25a Abs. 1 KWG sind seit langer Zeit in den Mindestanforderungen an das Risikomanagement (MaRisk) konkretisiert. Nun hat die BaFin am 27. September 2023 den Entwurf des Rundschreibens zu den Mindestanforderungen für das Risikomanagement von Zahlungs- und E-GeldInstituten (ZAG-MaRisk) zur öffentlichen Konsultation vorgelegt. Institute und Verbände können bis zum 15. Januar 2024 Stellung zu dem Entwurf nehmen.
Der Anwenderkreis umfasst inländische Zahlungsund E-Geld-Institute bzw. inländische Zweigstellen von Unternehmen mit Sitz außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums, die Zahlungsdienste erbringen oder E-Geld-Geschäfte betreiben. Die Anforderungen gelten auch für Zweigniederlassungen deutscher Institute im Ausland. Das Rundschreiben richtet sich grundsätzlich an alle Institute, die nach dem ZAG beaufsichtigt werden (ZAG-Institute).
Gemäß BaFin gibt das Rundschreiben den Instituten auf Grundlage des § 27 Abs. 1 Zahlungsdiensteaufsichtsgesetz (ZAG) einen flexiblen und praxisnahen Rahmen vor, wie sie ihre ordnungsgemäße Geschäftsorganisation auszugestalten haben. Darüber hinaus präzisiert es Anforderungen an die Sicherheit (§§ 17 und 18 ZAG) und an Auslagerungen (§ 26 ZAG). Bereits am 16. August 2021 hatte die BaFin mit einem gesonderten Rundschreiben (ZAIT) die aufsichtlichen IT-Anforderungen für ZAG-Institute konkretisiert. Die Struktur der ZAG-MaRisk orientiert sich auffallend stark an den MaRisk für Kredit- und Finanzdienstleistungsinstitute. Die Anforderungen an die Gesamtverantwortung der Geschäftsleiter, die Organisationsrichtlinien und Dokumentationen sowie die Anpassungsprozesse und das Auslagerungsmanagement der ZAG-Institute entsprechen weitestgehend dem Bankenstandard aus der MaRisk. Damit wird die Messlatte im Vergleich zu vorher deutlich angehoben. Gesondert herauszustellen ist die weitergehende Übernahme der ESG-Anforderungen gemäß der 7. MaRiskNovelle für Banken.
© 2024 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten.