Mindestanforderungen an das Risikomanagement von ZAG-Instituten

Das Zahlungsdiensteaufsichtsgesetz (ZAG) schreibt in §27 für Zahlungsinstitute  sowie E-Geld-Institute eine ordnungsgemäße Geschäftsorganisation vor. Am 27. September 2023 wurde nun seitens der BaFin ein  Konsultationsentwurf zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten (ZAG-MaRisk) vorgelegt. Neben den bereits am 16. November 2021 in Kraft getretenen Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) werden damit weitere aufsichtsrechtliche Regelungen und Verwaltungshinweise für Zahlungsdienstleister und E-Geld-Institute konkret. Welche Institute betroffen sind, welche Gemeinsamkeiten sowie Unterschiede es zu den Mindestanforderungen an das Risikomanagement von KWG-Instituten (MaRisk) gibt und worauf sich die Institute jetzt einstellen können, stellen wir im Folgenden dar.

In Deutschland werden die EU-Zahlungsdienstrichtlinen zur Beaufsichtigung von Zahlungsdienstleistern durch das Zahlungsdiensteaufsichtsgesetz (ZAG) in nationales Recht umgesetzt. Unterschieden wird dabei zwischen Zahlungsinstituten, Kreditinstituten – welche im Rahmen des Kreditwesengesetz (KWG) geregelt werden – und E-Geld-Instituten. Zahlungsdienstleister sind dabei nach § 1 Absatz 1  Punkt 1 alle Unternehmen, die gewerbsmäßig oder in einem Umfang, der einen in kaufmännischer Weise eingerichteten Geschäftsbetrieb erfordert, Zahlungsdienste erbringen und E-Geld-Institute sowie CRR-Kreditinstitute. Im ZAG-Instituts-Register nach §§43, 44 ZAG der BaFin sind für Deutschland dabei 105 Institute gelistet. Anzumerken ist hierbei, dass es nur noch bei 89 eine laufende Erlaubnis vorliegt. Diese Listung umfasst 80 Zahlungsinstitute (davon 70 mit aktueller Erlaubnis), 13 registrierte Zahlungsinstitute, welche lediglich einen Kontoinformationsdienst erbringen (davon 9 mit aktueller Erlaubnis) sowie 12 E-Geld-Institute (davon 10 mit aktueller Erlaubnis).

Entsprechend §1 Absatz 1 Punkt 1 Satz 2 ZAG umfasst die Definition von Zahlungsdiensten das Einzahlungs- sowie Auszahlungsgeschäft, Lastschrift-, Zahlungskarten- und Überweisungsgeschäft mit und ohne Kreditgewährung aber auch Akquisitionsgeschäft, Finanztransfergeschäfte sowie Zahlungsauslöse- und Kontoinformationsdienste.

Unter registrierten Zahlungsinstituten werden entsprechend alle Institute, die nach §1 Abs (1) Punkt 1 Satz 2 Nr. 8 ZAG ausschließliche Kontoinformationsdienste erbringen, verstanden Kontoinformationsdienste sind dabei alle Onlinedienste, welche Kontoinformationen wie Umsätze, Salden oder Vormerkposten bei den kontoführenden Instituten abrufen und diese konsolidierten Informationen für Kund:innen aufbereiten.

Neben E-Geld-Instituten, d.h. Unternehmen die E-Geld Geschäfte entsprechend §1 Abs (2) Satz 1 ZAG betreiben, sind auch CRR-Institute im Sinne des KWG, welche E-Geld-Geschäfte betreiben sowie die Europäische Zentralbank und die Bundesbank E-Geld-Emittenten.  Unter E-Geld-Geschäft wird nach § 1 Abs (2) Satz 3 ZAG dabei die Ausgabe von E-Geld, das heißt jede Art elektronisch, auch magnetisch gespeicherter monetärer Wert in Form einer Forderung, der gegen Zahlung eines Geldbetrages ausgestellt wird, um Zahlungsvorgänge durchzuführen, verstanden.

Mit dem Konsultationsentwurf zu den Mindestanforderungen an das Risikomanagement für ZAG-Institute richtet sich die BaFin nun an alle oben beschriebenen Institute im Sinne des Zahlungsdiensteaufsichtsgesetz. Dies umfasst nach § 42 Abs. (1) ZAG neben E-Geld-Instituten und (registrierten) Zahlungsinstituten auch alle Unternehmen mit Sitz außerhalb der Europäischen Union oder des europäischen Wirtschaftsraums die eine Zweigstelle, die Zahlungsdienste oder E-Geld-Geschäft innerhalb Deutschlands betreiben. Keine Anwendung hingegen findet die ZAG-MaRisk auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 39 ZAG.

Analog zum Aufbau der MaRisk unterteilt sich auch die ZAG-MaRisk in einen allgemeinen und einen besonderen Teil. Während insbesondere der besondere Teil der ZAG-MaRisk den spezifischen Risiken von Zahlungs- und E-Geld-Instituten Rechnung trägt, ergibt sich grundsätzlich für die Gliederung und weite inhaltliche Teile der ZAG-MaRisk eine große Übereinstimmung zwischen MaRisk und ZAG-MaRisk. Wenngleich sich jedoch eine deutliche Reduzierung im Umfang für die ZAG-MaRisk zeigt.

Sowohl der Allgemeine Teil der ZAG-MaRisk als auch der Allgemeine Teil der MaRisk umfassen neun Kapitel mit 31 Unterkapiteln für die MaRisk sowie 28 Unterkapitel für die ZAG-MaRisk.  Der besondere Teil beider MaRisk-Dokumente umfasst drei Kapitel, wobei die MaRisk mit insgesamt 48 Unterkapiteln im Vergleich zu 19 Unterkapiteln bei der ZAG-MaRisk deutlich umfangreicher ist.  Damit ergibt sich eine inhaltliche Übereinstimmung zwischen 24 Textziffern, eine rein formelle Anpassung von einer Textziffer und 21 große inhaltliche Anpassungen von Textziffern. Weggefallen sind dabei 32 Textziffern.

Der Allgemeine Teil der ZAG-MaRisk regelt analog zum Allgemeinen Teil der MaRisk die organisatorischen Anforderungen, welchen Banken und nun auch ZAG-Institute erfüllen müssen. Insbesondere sind nun auch ZAG-Institute dazu verpflichtet den Regelungen zu internen Kontrollmechanismen nachzukommen. Dies umfasst neben der Einrichtung eines Internen Kontrollsystems (IKS) und der Internen Revision auch Regelungen zur Aufbau- und Ablauforganisation, Risikosteuerungs- und Risikocontrollingprozesse und die damit einhergehende Einrichtung einer Risikocontrolling-Funktion sowie einer Compliance-Funktion.

Ebenso wie in der MaRisk gilt auch bei der ZAG-MaRisk das Prinzip der doppelten Proportionalität, welches in der aufsichtsrechtlichen Praxis die Berücksichtigung des institutsindividuellen Risikoprofils beschreibt. Gleichzeitig sind ZAG-Institute damit auch verpflichtet im Einzelfall über bestimmte, in den ZAG-MaRisk explizit formulierte Anforderungen hinaus weitergehende Vorkehrungen treffen, soweit dies zur Sicherstellung der Angemessenheit und Wirksamkeit des Risikomanagements erforderlich sein sollte. Um der Heterogenität der Institute Rücksicht zu tragen, sind jedoch ebenfalls Öffnungsklauseln für Institute mit wenig komplexen Geschäftsaktivitäten.

Weiterhin bildet die ZAG-MaRisk nun die Grundlage für die Prüfhandlungen, welche in Form eines risikobasierten Prüfansatzes erfolgen.

In der folgenden Abbildung geben wir einen kurzen Überblick über die relevanten Unterschiede und Gemeinsamkeiten zwischen dem allgemeinen Teil der MaRisk und dem allgemeinen Teil der ZAG-MaRisk. Graue Punkte geben dabei keine Abweichungen zur MaRisk wieder. Blaue Punkte stellen den Grad der Abweichung dar.

Im Bereich der Risikostrategie ergeben sich für ZAG-MaRisk und MaRisk ähnliche Risken. Herausstechend ist die explizite Nennung der Berücksichtigung der Auswirkungen der ESG-Risken im Gesamtrisikoprofil im Falle der ZAG-MaRisk. Eine erste deutliche Abweichung zwischen MaRisk und ZAG-MaRisk stellt die Identifizierung der wesentlichen Risiken dar. So werden für ZAG-Institute operationelle Risiken, einschließlich IT-Risiken, immer als wesentlich eingestuft. Mögliche weitere in Abhängigkeit des Geschäftsmodells als wesentlich einzustufenden Risiken sind

• Adressenausfallrisiken (einschließlich Erfüllungsrisiken und Charge-Back-Risiken),

• Marktpreisrisiken (einschließlich FX-Risiken und Risiken im Hinblick auf die Anlagen zur Liquiditätssicherung und Einhaltung der gesetzlichen Sicherungsanforderungen),

• Geschäftsmodellrisiken sowie

• Liquiditätsrisiken.

Dem gegenüber gelten innerhalb der MaRisk Adressenausfallrisiken, Marktpreisrisiken, operationelle Risiken sowie Liquiditätsrisiken als mögliche wesentlich einzustufende Risken.

Für die Risikoinventur gilt in beiden Fällen die Prüfung, welche Risiken die Vermögenslage (inklusive Kapitalausstattung), die Ertragslage oder die Liquiditätslage wesentlich beeinträchtigen können.

Abbildung 8 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 9 dargestellt.

Während mit der MaRisk genau Vorgaben über die Gestaltung der Risikotragfähigkeitskonzepte, sowie detaillierte Bedingungen an Methoden und Verfahren zur Beurteilung der Risikotragfähigkeit vorgegeben sind, ist die Entsprechung innerhalb der ZAG-MaRisk weniger komplex. So gibt es für ZAG-Institute keine konkreten Bedingungen an die zur Bestimmung der Risikotragfähigkeit verwendeten Methoden. Gleichwohl sind ZAG-Institute dazu veranlasst auf Grundlage ihres Gesamtrisikoprofils sicherzustellen, dass die wesentlichen Risiken des Instituts durch Risikodeckungspotenzial, unter Berücksichtigung von Risikokonzentrationen, ausreichend abgeschirmt sind. Auch hier findet sich die explizite Berücksichtigung der Auswirkungen von ESG-Risiken. Seitens der ZAG-Institute können dabei sowohl quantitative (z. B. Szenarioansätze, Ampelsysteme oder – soweit sinnvoll – Limitsysteme) oder qualitative (z. B. regelmäßige Risikoanalysen und Vorkehrungen zur Risikomitigation) Instrumente als Maßnahmen zur Risikobegrenzung eingesetzt werden. Die Prüfung über die Angemessenheit und Wirksamkeit der genutzten Verfahren muss dabei mindestens jährlich durch fachlich zuständige Mitarbeiter:innen erfolgen.

Sowohl bei der MaRisk als auch in der ZAG-MaRisk ist die Entwicklung einer konsistenten (ökonomisch) nachhaltigen Risikostrategie unter Berücksichtigung externen sowie interner Einflussfaktoren in der Verantwortung der Geschäftsführung. Besondere Betonung findet in der ZAG-MaRisk, dass dieser Strategieentwicklung eine eingehende, zukunftsgerichtete Analyse des Geschäftsmodells vorausgesetzt wird.   Sollten ZAG-Institute sichere, liquide Aktiva mit niedrigem Risiko zu Analgensicherung gemäß § 17 Abs. 1 S. 2 Nr. 1. b) ZAG nutzen, sind diese nun ebenfalls verpflichtet eine nachhaltige Investitionsstrategie und Anlagenpolitik zu entwickeln.

Abbildung 10 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 11 dargestellt.

Dem Konsultationsentwurf der ZAG-MaRisk entsprechend sind nun auch ZAG-Institute dazu verpflichtet entsprechend der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten Regelungen zur Aufbau- und Ablauforganisation zu treffen, Risikosteuerungs- und -controllingprozesse einzurichten sowie eine Risikocontrolling-Funktion und eine Compliance-Funktion zu implementieren. Auch hier werden in der ZAG-MaRisk nochmals explizit ESG-Risiken als zu berücksichtigende Risiken genannt. Geeignete Maßnahmen zur Risikiobegrenzung in Bezug auf die Risikokonzentration und den Risikoappetit werden innerhalb der ZAG-MaRisk nicht erwähnt. Die Ausgestaltung der Risikosteuerungs- und -controllingprozesse erfolgt für ZAG-Institute in Zukunft in Analogie zu den Regelungen in der MaRisk.

In Bezug auf die Seitens der ZAG-Institute durchzuführenden Stresstests ergibt sich eine inhaltliche Anpassung für die ZAG-MaRisk. So müssen die Stresstests auch außergewöhnliche, aber plausibel mögliche Ereignisse abbilden. Bei der Festlegung der Szenarien sind dabei strategische Ausrichtung des Instituts und sein wirtschaftliches Umfeld zu berücksichtigen. Explizit nicht erwähnt werden die in der MaRisk beschriebenen inversen Stresstests.

Gänzlich wegfallen in der ZAG-MaRisk die in der MaRisk enthaltenden Regelungen zum Datenmanagement, der Datenqualität, der Aggregation von Risikodaten gemäß BCBS 239 sowie der Verwendung von Modellen.

Abbildung 12 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 13 dargestellt.

Entsprechend der ZAG-MaRisk müssen nun auch ZAG-Institute eine Risikocontrolling-Funktion, eine Compliance-Funktion sowie eine Interne Revision einrichten. Dabei sind Funktion, Ausgestaltung und Ansiedelung der jeweiligen Abteilungen in Analogie zu den bereits bestehenden MaRisk-Vorschriften geplant. Zu den in der MaRisk enthaltenden Regelungen für bedeutende Institute gibt es auf Grund des fehlenden Äquivalents bedeutender ZAG-Institute kein entsprechendes Pendant.  .  

Abbildung 14 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 15 dargestellt.

Sowohl die ZAG-MaRisk als auch die MaRisk schreiben die Ausarbeitung eines Konzepts zur Aufnahme von Geschäftsaktivitäten in neuen Produkten oder auf neuen Märkten (einschließlich neuer Vertriebswege) sowie das Vorhandensein eines Katalogs über die Produkte und Märkte, die Teil des Geschäftsgegenstandes sein sollen, vor. Lediglich die in der MaRisk vorgeschriebene Testphase vor der Einführung neuner Produkte oder Prozesse, entfällt für ZAG-Institute.

Abbildung 16 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 17 dargestellt.

Auch für ZAG-Institute ist entsprechend des Konsultationspapiers der ZAG-MaRisk die Möglichkeit der Auslagerung verschiedener Prozesse und Aktivitäten möglich, solange dies die Geschäftsorganisation gemäß § 27 ZAG nicht beeinträchtigt. Eventuelle Auslagerungen sind dabei entsprechend in der Risikoanalyse zu betrachten und bewerten. Inhaltliche Anpassungen im Vergleich zur MaRisk gibt es in der ZAG-MaRisk lediglich in Bezug auf die Möglichkeiten der Auslagerungen der Compliance-Funktion. Während in der MaRisk eine vollständige Auslagerung der Compliance-Funktion sowie der Internen Revision nur bei kleinen Instituten unter Berücksichtigung der Institutsgröße, der Art, dem Umfang, der Komplexität und des Risikogehalts des betriebenen Geschäfts vorgesehen ist, ist eine Auslagerung der Compliance-Funktion für ZAG-Institute nur bei wenig komplexen Geschäften möglich. Die Möglichkeit der Auslagerung der Internen Revision ist für ZAG-Institute nicht gegeben. .

Abbildung 18 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 19 dargestellt.

Analog zu den bestehenden Regularien der MaRisk folgen nun auch für ZAG-Institute in den Bereichen Gesamtverantwortung der Geschäftsleitung (AT 3), Organisationsrichtlinien (AT 5), Dokumentation (AT 6) und Ressourcen (AT 7) identische Vorgaben.

So liegt auch für ZAG-Institute die Verantwortung der ordnungsgemäßen Geschäftsorganisation, deren Weiterentwicklung sowie der Einrichtung angemessener Kontroll-Überwachungsprozesse und in der Hand der Geschäftsleitung und bezieht sich auf alle wesentlichen Aspekte des Risikomanagements.

Ebenso sind ZAG-Institute nun dazu verpflichtet in Abhängigkeit von der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten Organisationsrichtlinien als Grundlage der Geschäftsaktivitäten zu erarbeiten und schriftlich zu fixieren. Diese Organisationsrichtlinien müssen in Analogie zu den MaRisk-Vorgaben unter anderem Regelungen zur Aufbau- und Ablauforganisation sowie zur Aufgabenzuweisung, zur Kompetenzordnung, zur Ausgestaltung der Risikosteuerungs- und -controllingprozesse, der Internen Revision sowie den Verfahren für den Zugang zu und den Umgang mit sensiblen Zahlungsdaten enthalten und dient der Internen Revision als Arbeitsgrundlage für die Sachprüfung.

Im Rahmen der Dokumentationspflicht sind ZAG-Institute nun verpflichtet ihre Geschäfts-, Kontroll- und Überwachungsunterlagen systematisch und für sachkundige Dritte nachvollziehbar abzufassen und 5 Jahre lang aufzubewahren.

Auch im Bereich Personal (AT 7.1), der technisch-organisatorischen Ausstattung (AT 7.2) und des Notfallmanagements (AT 7.3) müssen ZAG-Institute nun den bereits in der MaRisk vorhandenen Regelungen folgen.  Damit sind ZAG-Institute nun verpflichtet sich bei der quantitativen und qualitativen Personalausstattung sowie bei der technisch-organisatorischen Ausstattung des Instituts an betriebsinternen Erfordernissen, den Geschäftsaktivitäten und der Risikosituation zu orientieren. Die verwendeten IT-Systeme und zugehörigen IT-Prozesse haben den gängigen Standards zu entsprechen, sind regelmäßig auf ihre Eignung zu prüfen und müssen vor einem ersten Einsatz sowie nach wesentlichen Änderungen getestet werden. Im Rahmen der Risikoüberwachung sind IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs sowie daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb seitens der ZAG-Institute zu etablieren.

Des Weiteren sind ZAG-Institute nun dazu verpflichtet ein Notfallmanagement einschließlich eines zugehörigen Notfallmanagementprozesses sowie ein Notfallkonzept zu etablieren und regelmäßig sowie anlassbezogen zu überprüfen und zu aktualisieren. Dies impliziert auch festgelegte Maßnahmen, um das Ausmaß möglicher Schäden zu reduzieren.

Die nachfolgenden Abbildungen zeigen den antizipierten Umsetzungsaufwand für Gesamtverantwortung der Geschäftsleitung (Abbildung 20), Organisationsrichtlinien (Abbildung 21), Dokumentation (Abbildung 22) und Ressourcen (Abbildung 22).

Um dem Geschäftstyp von Zahlungs- und E-Geld-Instituten Rechnung zu tragen, verschiebt sich des Augenmerks des Besonderen Teil von der Aufbau- und Ablauforganisation des klassischen Kredit- und Handelsgeschäfts von Banken hin zur Aufbau- und Ablauforganisation bei der Erbringung von Zahlungsdiensten und dem Betreiben vom E-Geld-Geschäft.  Dies umfasst insbesondere

• die Anforderungen, Prozesse und Verfahren für Sicherungsanforderungen und die Absicherung von Haftungsfällen (BTO 1),

• die Anforderungen an die Prozesse und Verfahren für die Betrugsprävention, für die Überwachung und Bearbeitung sowie Folgemaßnahmen bei Sicherheitsvorfällen oder sicherheitsbezogenen Kundenbeschwerden (BTO 2) sowie

• die Organisatorische Anforderung bei der Inanspruchnahme von Agenten (BTO 3).

In der folgenden Abbildung geben wir einen kurzen Überblick über die relevanten Unterschiede und Gemeinsamkeiten zwischen dem besonderen Teil der MaRisk und dem Besondern Teil der ZAG-MaRisk. Graue Punkte geben dabei keine Abweichungen zur MaRisk wieder. Blaue Punkte stellen den Grad der Abweichung dar.

Analog zu den MaRisk-Regelungen für Kreditinstitute werden für ZAG-Institute unter Berücksichtigung von Risikokonzentrationen und den Auswirkungen von ESG-Risiken Anforderungen an die angemessene Ausgestaltung der Risikosteuerungs- und -controllingprozesse für operationelle Risiken, Adressenausfallrisiken, Marktpreisrisiken und Liquiditätsrisiken gestellt.

Abbildung 25 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 26 dargestellt.

Sollten ZAG-Institute Treuhandkonten zur Erfüllung der Sicherungsanforderungen nutzen, müssen dabei festgelegte Bearbeitungsgrundsätze als Basis etabliert werden und bei der Einrichtung der Treuhandkonten standardisierte Vereinbarungen genutzt werden. Dabei können für sämtliche Zahlungsdienstnutzer eines Instituts oder für bestimmte Zahlungsdienstnutzer offene Treuhandsammelkonto genutzt werden. Grundsätzlich sind dabei Verwaltungs- und Kontenabstimmungsprozesse zur Sicherstellung der Ansprüche im Fall von Zahlungsunfähigkeit anderer Gläubiger des Instituts außerhalb des operativen Bereichs anzusiedeln. Um das Vermischungsverbot, das Sicherungsgebot und das Trennungsgebot zu erfüllen, sind eingehende Gelder unmittelbar auf dem Treuhandkonto entgegenzunehmen

Falls ein ZAG-Institut sichere, liquide Aktive zur Absicherung nutzt, sind ebenfalls geeignete Verfahren und Kontrollmechanischen zu etablieren, um zu gewährleisten, dass die ausgewählten Aktiva sicher und liquide sind. Auch hier ist  die Erfüllung des Trennungs- und Vermischungsgebot zu beachten.

Werden zur Sicherung entsprechend §§ 17 und 18 ZAG Versicherungen oder vergleichbare Garantien genutzt, müssen seitens des ZAG-Institute geeignete Verfahren etabliert werden mit denen laufend sichergestellt werden kann, dass Versicherungssumme oder Garantie ausreichen sind. Dies sowie die Prozesse zur Überprüfung der Mindestdeckungssumme gemäß §§ 16 und 36 ZAG sind im Rahmen der Funktionstrennung außerhalb des operativen Geschäfts anzusiedeln.

Abbildung 27 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 28 dargestellt.

Im Rahmen der Betrugsprävention sowie der Überwachung, Handhabung und Folgemaßnahmen bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden sind ZAG-Institute nun zur Einrichtung geeigneter Verfahren und organisatorischer Maßnahmen sowie einer Kontaktstelle im Sinne eines Customer Support Chanel, welcher die Kundeneingaben wirksam und angemessen zeitnah bearbeitet, verpflichtet. Damit müssen ZAG-Institute auch die Weiterleitung von Verdachtsvorfällen gemäß § 54 ZAG an die entsprechenden internen und externen Stellen sowie nationalen Behörden sicherstellen können und die entsprechenden Berichtswege dokumentieren.

Abbildung 29 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 30 dargestellt.

Nutzen ZAG-Institute Agenten zur Erbringung der Zahlungsdienste, sind die Institute nun dazu verpflichtet die fachliche Eignung und Zuverlässigkeit der Agenten sowie die Erfüllung der der gesetzlichen Vorgaben dauerhaft sicherzustellen. Dies schließt eine Dokumentation der Agentenüberprüfung, die Aufbewahrung der Überprüfung sowie eine schriftliche Vereinbarung zwischen Institut und Agenten, welche die Pflichten des Agenten und die Rechte des Instituts einschließlich Weisungs- und Kündigungsrechte sowie Kontrollrechte des Instituts und dessen Prüfern festschreibt, mit ein.

Abbildung 31 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 32 dargestellt.

Analog zu in der MaRisk-Anforderungen müssen in der Ausgestaltung der Risikosteuerungs- und Risikocontrollingprozesse seitens der ZAG-Institute neben operationellen Risiken (BTR 1), Adressenausfallrisiken (BTR 2), Marktpreisrisiken (BTR 3) und Liquiditätsrisiken (BTR 4) die Auswirkungen von ESG-Risiken berücksichtigt werden. Für ZAG-Institute ergibt sich dabei ein Fokus auf die immer als wesentlich eingestuften operationellen Risken, wobei sich im Vergleich zwischen MaRisk und ZAG-MaRisk in Bezug auf die weiteren Risikokategoiren eine Reduzierung in der Tiefe der Anforderungen an das Risikomanagement ergibt.

Im Rahmen des Risikomanagements der operationellen Risiken ist eine mindestens jährliche Identifizierung und Beurteilung der wesentlichen operationellen Risiken, sowie die Abgrenzung gegenüber der anderen vom Institut betrachteten Risiken zu garantieren. Ebenso sind ZAG-Institute nun zu einer angemessenen Erfassung der Schadenfälle, Ursachenanalyse sowie Risikosteuerungsmaßnahmen verpflichtet.

Auch Adressausfallrisiken sind unter Berücksichtigung der Auswirkungen der ESG-Risiken durch geeignete Maßnahmen und festgesetzte Limits seitens ZAG-Instituten zu begrenzen. Dabei wird in der ZAG-MaRisk explizit auf eine frühzeitige Identifizierung der Adressausfallrisiken abgestellt. Daneben müssen sowohl turnusgemäß und anlassbezogen wie auch beim Eingehen des Geschäfts der Risikogehalt der Geschäfte und die Risiken einer Geschäftsbeziehung zu bewerten werden.

Während innerhalb der MaRisk zwischen allgemeinen Anforderungen an das Risikomanagement von Markpreisrisiken, Marktpreisrisiken des Handelsbuches und Marktpreisrisiken des Anlagebuches differenziert ist, werden innerhalb der ZAG-MaRisk lediglich allgemeine Anforderungen an das Risikomanagement vorgegeben, sofern ein ZAG-Institut m Rahmen seiner Geschäftstätigkeit Marktpreisrisiken eingeht (z.B. Fremdwährungs-,Zins-, oder Kursrisiken). Dabei muss auf eine klare Kompetenzordnung, die unverzügliche Aufnahme eines Geschäfts nach Geschäftsabschluss sowie die laufenden und vom Geschäftsabschluss unabhängigen Kontrollen der Geschäfte geachtet werden.

Auch im Bereich des Liquiditätsrisikos werden in der ZAG-MaRisk nur allgemeine Anforderungen an das Risikomanagement vorgegeben. Die in der MaRisk vorhandenen speziellen Anforderungen an kapitalmarktorientierte Institute fehlen.  Während mit der MaRisk für Kreditinstitute umfangreiche Vorgaben zu Stresstestszenarien und Liquiditätspuffern gemacht werden, gibt es analoge Vorgaben für ZAG-Institute nicht. Diese müssen lediglich sicherzustellen, dass sie ihren Zahlungsverpflichtungen jederzeit erfüllen können und geeignete Maßnahmen zur Steuerung der Liquiditätsrisikos treffen. Dabei müssen ZAG-Institute zum einen auf eine frühzeitige Erkennung möglicher Liquiditätsengpässe achten und zum anderen einen internen Finanzierungsplan aufstellen.

Abbildung 33 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 34 dargestellt.

Mit dem ZAG-MaRisk Konsultationspapier ergeben sich nun auch für ZAG-Institute zur MaRisk analoge Vorgaben für die Einrichtung einer Internen Revision. Dies schließt die unabhängige sowie risikoorientierte Prüftätigkeit auf Basis eines von der Geschäftsführung zu genehmigenden Prüfplans durch die Interne Revision ein. Lediglich im Bereich der von der MaRisk vorgegeben Quartalsberichte der Internen Revision gibt es eine Differenz innerhalb der ZAG-MaRisk. So sind ZAG-Institute lediglich zur Erstellung von Jahresberichten verpflichtet.

Abbildung 35 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 36 dargestellt.

Im Rahmen der Anforderungen an die Risikoberichterstattung ergeben sich im Vergleich zwischen MaRisk und ZAG-MaRisk kaum Unterschiede in den allgemeinen Anforderungen an die Risikoberichte. Dies impliziert das turnusgemäße Erstellen von Risikoberichten inklusive der Beurteilung der Risikosituation sowie eine jährliche Berichterstattung von ZAG-Instituten an die entsprechenden Aufsichtsbehörden. Gleichwohl entfallen Berichte über Stresstests sowie Quartalsberichte. Damit sind ZAG-Institute lediglich zu einer jährlichen Berichterstattung verpflichtet. Auch alle im Rahmen der Berichte der Risikocontrolling-Funktion vorgesehen Quartalsberichte innerhalb der MaRisk, sind im Konsultationsentwurf der ZAG-MaRisk für ZAG-Institute nicht vorgesehen.

Abbildung 37 gibt zusammenfassend die Abweichungen zwischen MaRisk und ZAG-MaRisk wieder.

Der antizipierte Umsetzungsaufwand der ZAG-MaRisk ist in Abbildung 38 dargestellt.

Mit dem Konsultationsentwurf der ZAG-MaRisk hat die BaFin nun erstmalig  die Anforderungen an die gemäß § 27 ZAG geforderte ordnungsgemäße Geschäftsorganisation konkretisiert. Mit dem Ende der Konsultationsphase am 06. Dezember 2023, müssen sich ZAG-Institute auf eine Umsetzung der Anforderungen für 2024 einstellen. Trotz des geringeren Umfangs der ZAG-MaRisk gegenüber der MaRisk kann dies für die betroffenen Institute einen erheblichen Mehraufwand darstellen. So zeigt sich in der Umsetzung der MaRisk für Kreditinstitute eine erhebliche Belastung, insbesondere durch die umfangreiche Prüfungen der internen und externen Revision. Perspektivisch müssen sich ZAG-Institute damit auf eine verstärkte Prüfungsintensität einstellen. Vor diesem Hintergrund sind auch Geschäfts- und Lizenzmodelle zu hinterfragen und eine frühzeitige Auseinandersetzung mit den kommenden Anforderungen geboten.

Wie obig beschrieben, kommen mit der ZAG-MaRisk viele konkrete bereits für Kreditinstitute bekannte regulatorischen Anforderungen auch auf ZAG-Institute zu. Unsere Experti:nnen verfügen über Umfassendes Wissen über die genaue Ausgestaltung der MaRisk Anforderungen sowie den zugehörigen Aufwänden und  Prüfungen. Gemeinsam unterstützen wir Sie bei der Analyse der konkreten Anforderungen an Ihr Institut und Geschäftsmodell, der Bewertung des zu erwartenden Mehraufwands und begleiten Sie bei der schnellen und effektiven Umsetzung der in der ZAG-MaRisk geforderten Regulatorien. Ebenso unterstützen wir Sie gerne im Rahmen von Prüfungsvorbereitungen und Schulungen Ihrer Mitarbeiter:innen zum Themenbereich Risikomanagement.   

[1] 1Rundschreiben 05/2023 (BA) - Mindestanforderungen an das Risikomanagement – MaRisk

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2023/rs_05_2023_MaRisk_BA.html (zuletzt abgerufen 01.12.2023)

[2] 2Rundschreiben 11/2021 (BA)- Zahlungsdiensteaufsichtliche Anforderungen an die IT (ZAIT)

https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1121_BA_ZAIT.html?nn=9021442 (zuletzt abgerufen am 01.12.2023)

[3] Konsultationsentwurf Mindestanforderungen an das Risikomanagement von ZAG-Instituten – ZAG-MaRisk

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2023/meldung_2023_09_27_Kons_MaRisk_ZAG.html (zuletzt abgerufen am 01.12.2023)

[4] Gesetz über die Beaufsichtigung von Zahlungsdiensten (Zahlungsdiensteaufsichtsgesetz - ZAG)

https://www.gesetze-im-internet.de/zag_2018/BJNR244610017.html (zuletzt abgerufen am 01.12.2023)

Autoren: Nicolas Hendricks, Dr. Ingeborg Keller, Stefan Scheutzow