Was gilt für wen, wenn EBA/ESMA, EZB und BaFin sich zu demselben Thema äußern? – Aufsichtskonvergenz innerhalb der EU am Beispiel der Geschäftsleitereignung

Geschäftsleiter eines regulierten Unternehmens kann nicht jeder werden. Es gibt spezifische aufsichtsrechtliche Vorgaben, die ein Geschäftsleiter erfüllen muss, z.B. muss er über eine ausreichende fachliche Eignung verfügen und insgesamt zuverlässig sein. Was sind nun die Vorgaben an die fachliche Eignung und was bedeutet Zuverlässigkeit genau? Hierzu geben Veröffentlichungen der Aufsichtsbehörden Aufschluss. Zum Thema Geschäftsleitereignung gibt es gleich von verschiedenen Behörden Äußerungen.

Bereits seit Januar 2016 gilt in Deutschland das von der BaFin veröffentliche Merkblatt zu den Geschäftsleitern, das zuletzt im Januar 2017 aktualisiert wurde. Nachdem EBA und ESMA im März 2018 weitere Leitlinien zur Bewertung der Eignung von Mitgliedern des Leitungsorgans und Inhabern von Schlüsselfunktionen und zur internen Governance veröffentlichten, hat die EZB im Mai 2018 den Leitfaden zur Beurteilung der fachlichen Qualifikation und persönlichen Zuverlässigkeit an diese Leitlinien angepasst.

Angesichts der verschiedenen Veröffentlichungen stellt sich die Frage, welche rechtlichen Verbindlichkeiten damit einhergehen und was in der Praxis beachtet werden muss.

Für deutsche Institute gilt zunächst unmittelbar die Verwaltungspraxis der BaFin, die in dem Merkblatt zu den Geschäftsleitern veröffentlicht ist.

Die Aufgabe von EBA und ESMA hingegen ist unter anderem die Sicherstellung stabiler und funktionsfähiger Finanzmärkte. Dazu gehört auch die Förderung der Aufsichtskonvergenz in den verschiedenen Mitgliedstaaten. Um eine gemeinsame Aufsichtskultur zu schaffen, müssen in der gesamten Union einheitliche Rechtsauslegung und ‑anwendung gewährleistet werden. EBA und ESMA nutzen hauptsächlich Leitlinien sowie Fragen und Antworten (Q&As) und geben so einen einheitlichen Rahmen vor. Die Leitlinien konkretisieren so zunächst europäische Richtlinien oder Verordnungen und sind für die nationalen Aufsichtsbehörden bindend. Sie gelten nicht unmittelbar gegenüber den deutschen Instituten, solange die BaFin sie nicht ausdrücklich in ihre Verwaltungspraxis übernommen hat. Die BaFin übernimmt die Leitlinien der europäischen Aufsichtsbehörden in der Regel, nicht übernommene Leitlinien weist sie auf ihrer Homepage explizit aus.

Systemkritische Banken in Deutschland werden direkt durch die EZB beaufsichtigt. Die EZB kann die Leitlinien von EBA und ESMA innerhalb des vorgegebenen Rahmens durch eigene Leitfäden konkretisieren. Sie trägt so in einer teilnehmenden Rolle zur Ausführung der Aufgaben der europäischen Aufsichtsbehörden bei. Der Leitfaden der EZB zur Geschäftsleitereignung konkretisiert die Beurteilungspraxis der EZB und ersetzt nicht die Leitlinien. So wie das Merkblatt zu den Geschäftsleitern der BaFin die Verwaltungspraxis der BaFin widerspiegelt, zeigt der Leitfaden der EZB zur Geschäftsleitereignung die Verwaltungspraxis der EZB auf. Damit gilt der Leitfaden für die Institute, die die EZB direkt beaufsichtigt, da diese den Erwartungen der EZB genügen müssen. In der Praxis werden auch die nationalen Aufsichtsbehörden den Leitfaden der EZB nicht ignorieren, sondern versuchen, ihn in ihre Aufsichtspraxis zu integrieren, um eine einheitliche Praxis im eigenen Land sicherzustellen. Es sollte für systemkritische Banken kein wesentlich anderer Maßstab gelten als für den restlichen Finanzmarkt.

Inhaltlich nennt die EZB folgende Beurteilungskriterien für angehende Geschäftsleiter: Erfahrung, Leumund, Unvoreingenommenheit und Interessenskonflikte, Zeitaufwand und kollektive Eignung. Erfahrung erfordert praktische und theoretische Kenntnisse, die Geschäftsleiter für die Wahrnehmung ihrer Aufgaben benötigen. Die Anforderungen bezüglich der Erfahrung sind umso höher, je komplexer die Aufgaben sind und je größer das Institut ist. Der Leumund ist gegeben, wenn es keine gegenteiligen Hinweise gibt und auch sonst kein Grund zum Zweifeln besteht. Die Unvoreingenommenheit erfordert, dass Geschäftsleiter frei von Interessenkonflikten in der Lage sein müssen, selbst fundierte, objektive und unabhängige Entscheidungen zu treffen. Weiterhin müssen sie in der Lage sein, in quantitativer und qualitativer Hinsicht genug Zeit aufzuwenden, um ihre Leitungsaufgaben zu erfüllen. Zuletzt muss jedes Mitglied zur kollektiven Eignung der Geschäftsleitung beitragen, indem es durch bestimmte Wissensgebiete, Kenntnisse oder Erfahrungen die Geschäftsleitung ergänzt. Alle diese Anforderungen sind der Verwaltungspraxis der BaFin nicht fremd. Die Anforderungen der EZB gehen nicht über die Leitlinien von ESMA und EBA hinaus. In ihrem Newsletter vom 15. August 2018 weist die EZB darauf hin, dass die Maßnahmen der Banken zur Feststellung und laufenden Überprüfung der Eignung ihrer Geschäftsleiter noch verbesserungswürdig sind.

In Deutschland sind Banken durch die BaFin bereits stark reguliert. Die Leitlinien der EBA und ESMA ziehen bezüglich der Geschäftsleitereignung keine Verschärfung der Aufsichtspraxis der BaFin nach sich. Auch für die von der EZB beaufsichtigten deutschen Institute ergibt sich durch den Leitfaden der EZB keine Verschärfung. Eine Grundorientierung an dem Merkblatt der BaFin empfiehlt sich für alle deutschen Institute, denn wenn dieser Standard eingehalten wird, ist jedes Institut gut vorbereitet im Verfahren um die Anerkennung eines neuen Geschäftsleiters.

Finanzaufsicht in Zeiten der Digitalisierung

Die Digitalisierung der Bankenwelt ist zur Zeit ein zentrales Thema. Digitalisierung ist ein positiv besetzter Begriff, der neue Geschäftsmodelle zu versprechen scheint und oft verwendet wird als Gegensatz zum Angebot traditioneller Banken. Neue Finanzprodukte von FinTechs, die innovativ oder gar disruptiv sind, zeigen neue Möglichkeiten einer Digitalisierung im Finanzmarkt. Auch soll durch die Auswertung von Big Data und die Verwendung von Algorithmen und künstlicher Intelligenz die Benutzerfreundlichkeit erhöht und die Kundenerfahrung verbessert werden – alles digital.

Gleichzeitig treten wichtige neue Fragen des Verbraucherschutzes, der Daten- und Cybersicherheit auf, die die Digitalisierung womöglich bremsen können und die Aufsicht auf den Plan rufen. Aber auch die Anbieter selbst betonen immer wieder, dass Datenschutz und Cybersecurity für alle Marktteilnehmer essentiell sind, um das Vertrauen der Kunden zu erlangen und zu halten.

Im Folgenden zeigen wir auf, welche Regelungen es im Zusammenhang mit IT-Sicherheit bereits gibt, wie die Aufsicht damit umgeht und ob der aufsichtsrechtliche Rahmen genug Raum lässt für die Digitalisierung bestehender und die Entwicklung neuer (digitaler) Geschäftsmodelle.

Wir betrachten zunächst, wie die BaFin mit der Digitalisierung der Bankenwelt umgeht und wie sie darauf reagiert. Hierzu gibt die Darstellung der Drei-Säulen-Strategie der BaFin im Umgang mit der Digitalisierung Aufschluss, die BaFin-Präsident Felix Hufeld am 10. April auf der BaFin-Tech in Berlin vorgestellt hat. Danach werden in der ersten Säule „Aufsicht und Regulierung“ die neuen Geschäftsmodelle und die Veränderungen der Wertschöpfungsstrukturen anhand des bestehenden Aufsichtsrahmens geprüft, während die zweite Säule speziell die IT-Aufsicht zum Gegenstand hat und die IT-Sicherheit der Unternehmen im laufenden Geschäftsbetrieb überwacht. In der dritten Säule beschäftigt sich die BaFin mit ihren eigenen Prozessen, um eine wirksame Aufsicht auch in Bezug auf innovative Strukturen und Geschäftsmodelle gewährleisten zu können. Das zeigt, dass die BaFin vom Zeitpunkt der ersten Beurteilung von Geschäftsmodellen an laufend die IT-Prozesse von Banken und Finanzdienstleistern überwacht, und in Ergänzung dazu auch selbst dazulernt. Die Darstellung von Herrn Hufeld passt zu den am 9. Mai 2018 veröffentlichten Schwerpunkten der Bankenaufsicht  für das Jahr 2018. Die Aufsicht bekennt sich darin explizit dazu, sich u.a. auf fehlende Angemessenheit und Sicherheit der IT-Systeme der Banken konzentrieren zu wollen.

Was heißt das konkret? Wir wollen im Folgenden einen Blick auf drei aufsichtsrechtliche Themen werfen, die vor dem Hintergrund der Digitalisierung und als Rahmen der IT-Aufsicht ein besonderes Augenmerk verdienen. Diese legen die Verwaltungspraxis der BaFin offen, die auch bei der Prüfung und Beaufsichtigung von neuen, innovativen Geschäftsmodellen berücksichtigt werden.

Das erste Thema sind die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die zuletzt im Oktober 2017 überarbeitet wurden. Darin enthalten sind nach wie vor allgemeine Anforderungen an IT-Systeme und die dazugehörigen Prozesse und Notfallkonzepte. Neu eingefügt wurde mit der letzten Novelle ein Abschnitt zu den IT-Risiken, die fortan noch expliziter überwacht und gesteuert werden müssen. Überwachungs- und Steuerungsprozesse müssen IT-Risikokriterien festlegen, IT-Risiken identifizieren sowie den Schutzbedarf und entsprechende Maßnahmen zur Risikobehandlung und Risikominderung festlegen. Die MaRisk als Teil der prinzipienbasierten Aufsicht der BaFin gibt hier nur grobe Anforderungen vor und lässt den einzelnen Instituten offen, wie sie diese Anforderungen individuell auf das jeweilige Geschäftsmodell passend umsetzen.

Zweitens sind die von der BaFin im November 2017 erlassenen Bankaufsichtlichen Anforderungen an die IT (BAIT) zu nennen, die die Vorgaben der MaRisk für den IT-Bereich konkretisieren. Die BAIT macht etwa Vorgaben zu IT-Strategien, zur IT-Governance, zum IT-Risikomanagement und zum IT-Sicherheitsmanagement. Es finden sich hier z.B. Vorgaben, die verlangen, dass ein Institut insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten hat. Oder dass die Anforderungen eines Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien im Rahmen des IT-Risikomanagements festzulegen und in geeigneter Form in einem Sollmaßnahmenkatalog zu dokumentieren sind. Die BAIT weist die Verantwortung für die von ihr geregelten Bereiche mit IT-Bezug noch einmal explizit der Geschäftsleitung zu. Doch auch wenn auf 20 Seiten Vorgaben verschriftlicht werden, gilt dennoch, dass auch die BAIT wie die MaRisk lediglich weitere Prinzipien vorgibt, die von den Instituten ausgestaltet werden können, um ihr bestehendes Geschäftsmodell und auch neue, innovative Geschäftsmodelle sachgerecht und sicher abzubilden.

Ein dritter Punkt, der Erwähnung verdient, und zeigt, welchen Stellenwert der fachkundige Umgang mit IT-Themen in Banken für die BaFin hat: Die Bestellung von IT-Spezialisten zu Geschäftsleitern von Banken und anderen regulierten Instituten wird in der Verwaltungspraxis der BaFin derzeit begünstigt. Um das IT-Know-how auch in der Geschäftsleitung zu fördern, kann die BaFin im Einzelfall bei der Prüfung der fachlichen Eignung eines Geschäftsleiterkandidaten mit IT-Hintergrund für eine Bank oder ein Finanzinstitut entscheiden, dass eine praktische Vorerfahrung in der Führungsebene einer vergleichbaren Bank oder eines vergleichbaren Instituts von sechs Monaten (statt der üblichen drei Jahre) ausreichen.

Diese drei Beispiele zeigen, dass der bestehende Aufsichtsrahmen in Zeiten der Digitalisierung Bestand haben kann, denn aufgrund der prinzipienorientierten Aufsichtsvorgaben sind auch die IT-Innovationen in der Produktpalette von neuen Marktakteuren abgedeckt.

Neue Leitlinien zu den Anforderungen an Geschäftsleiter von Banken und Finanzdienstleistern

RegulatoryAm 21. März 2018 hat die EBA Leitlinien zur Bewertung der Eignung von Mitgliedern des Leitungsorgans und Inhabern von Schlüsselfunktionen für CRD- und MiFID-Institute veröffentlicht. Die Vorgaben beziehen sich damit auf Banken und Finanzdienstleister und richten sich zunächst an die nationalen Aufsichtsbehörden in der EU.

Die BaFin übernimmt die Leitlinien der Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) in der Regel.[1] Die Leitlinien vereinheitlichen die Aufsichtspraxis innerhalb des europäischen Binnenmarktes und sind gerade auch vor dem Hintergrund des nahenden Brexits interessant. Denn neben den Aussagen der europäischen Aufseher, dass keine Briefkastenfirmen in der EU geduldet werden, wenn sich UK-Finanzunternehmen auf dem Kontinent nach dem Brexit zwecks Zugangs zum europäischen Markt ansiedeln, ist nun auch klar, dass die Qualifikation der Leitungsorgane und der zweiten Managementreihe die Anforderungen der Leitlinien erfüllen sollten. Wie bisher gelten die Anforderungen proportional zum geplanten Geschäftsmodel.

Die Fit-and-Proper-Anforderungen der EBA bringen für den deutschen Markt keine Verschärfung der Aufsichtspraxis. Sie gewährleisten eventuell mehr Rechtssicherheit, weil einige Grundsätze nun festgeschrieben sind. So ist etwa bei der Prüfung der zeitlichen Verfügbarkeit von Geschäftsleitern, die nicht ständig in Deutschland sind, die für die Position erforderliche Reisezeit einzubeziehen. Ausdrücklich erwähnt ist nun auch, dass Institute neuen Mitgliedern der Geschäftsleitung maßgeschneiderte Schulungsprogramme anbieten sollen, damit diese sich umfassend mit dem neuen Umfeld vertraut machen können. Gleichzeitig sollten Institute für solche Schulungsmaßnahmen Richtlinien und Verfahren vorhalten. Die Möglichkeit der Schulung neuer Geschäftsleiter ist bisher in der Verwaltungspraxis der BaFin vorgesehen, um Fachwissen ggf. aufzufrischen. Die EBA ist jetzt allerdings etwas konkreter in ihren Vorgaben.

Die neuen Leitlinien schreiben auch noch einmal explizit fest, dass Mitglieder des Leitungsorgans von Banken und Finanzdienstleistern unvoreingenommen und unabhängig sein sollen. Beides sind unbestimmte Rechtsbegriffe, die trotz Erläuterungen schwammig bleiben.

Ein einheitliches Niveau der Anforderungen an die Geschäftsleiter von Banken und Finanzdienstleistern in Europa ist sicher gut für den Markt und ermöglicht auch den Inhabern der sog. Geschäftsleiter-Führerscheine leichte grenzüberschreitende Wechsel an der Führungsspitze. Die Beibehaltung der geforderten Proportionalität der Anforderungen an Geschäftsleiter im Verhältnis zum Geschäftsmodell des jeweiligen Instituts lässt dem Markt und weiterhin auch der BaFin genug Spielraum für die konkrete Ausgestaltung der neu festgeschriebenen Vorgaben.

[1] Nicht übernommene Leitlinien der Europäischen Aufsichtsbehörden weist die BaFin explizit auf ihrer Homepage aus.