Das Merkblatt der BaFin zur Nachhaltigkeit – Eine Einordnung

Am 24. September 2019 veröffentlichte die BaFin die Konsultation eines Merkblatts zum Umgang mit Nachhaltigkeitsrisiken.

Das Merkblatt ist 33 Seiten lang, soll für alle drei Aufsichtsbereiche gelten und macht den Anschein, als hätte sich die BaFin damit viel Mühe gegeben. Auf Nachfrage äußern Mitarbeiter der BaFin, dass das Merkblatt, wenn es einmal final ist, nicht rechtlich bindend sei. Und auch in der Vorrede wird ausführlich erläutert, dass es sich um ein Kompendium von Good-Practices, das unter Berücksichtigung des Proportionalitätsprinzips in den beaufsichtigten Unternehmen Anwendung finden soll, handele. Es soll eine sinnvolle Ergänzung zu den Mindestanforderungen an das Risikomanagement (MaRisk) sein.

Wie ist das Merkblatt also rechtlich einzuordnen?

Im Moment ist es lediglich eine Äußerung der BaFin, die hierin ihre eigenen Ideen einer möglichen künftigen Verwaltungspraxis niederlegt. Der Verweis auf die MaRisk, die die Verwaltungspraxis der BaFin offenlegt, zeigt, dass hier nicht ein völlig unverbindliches Dokument erstellt wurde. Sicher dient die Marktbefragung auch dazu, das Verständnis der Finanzbranche im Umgang mit Nachhaltigkeitsrisiken zu erweitern.

Derzeit gibt es noch keine rechtlich bindenden Vorgaben, wie der Umgang mit dem Thema Nachhaltigkeit in der Finanzbranche aussehen soll. Das Thema ist in ganz Europa auf der politischen Agenda. Und auch die BaFin hat immer wieder öffentlich geäußert, dass sie einen bewussten Umgang mit Nachhaltigkeitsrisiken als Teil des Risikomanagements etwa bei Kreditinstituten erwartet.

Die EU Transparenz-Verordnung, die die Offenlegung von Informationen über nachhaltige Investitionen und Nachhaltigkeitsrisiken regelt, ist bereits final, aber noch nicht in Kraft. Die Taxonomie-Verordnung wird zur Zeit in den Trilog-Verhandlungen auf europäischer Ebene diskutiert. Vor 2021 wird es sicher keine bindenden gesetzlichen Vorgaben geben.

Das Merkblatt ist nicht dazu gedacht, das derzeit bestehende rechtliche Vakuum zu füllen. Aber es regt an, sich mit dem Thema auseinanderzusetzen – weil dazu rechtliche Vorgaben kommen werden. Und zwar in allen drei Aufsichtsbereichen der BaFin – Banken/Finanzdienstleistungen, Versicherungen und Kapitalverwaltungsgesellschaften.

BaFin ergänzt das Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

In einer Pressemitteilung teilte die BaFin am 20. März 2019 mit, dass das VAIT um ein sogenanntes KRITIS-Modul ergänzt wurde. Die Anpassung betrifft ausschließlich Versicherer, die Betreiber Kritischer Infrastrukturen (KRITIS) nach Maßgabe des § 8a Abs. 3 BSI-Gesetz sind. Im Übrigen erfolgten keine weiteren Änderungen des vorgenannten Rundschreibens. Ein KRITIS-Modul wurde bereits im September 2018 in das Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) eingefügt.

Hintergrund

Am 2. Juli 2018 veröffentlichte BaFin das VAIT. Eine Konsultation dieses Rundschreibens fand im Frühjahr desselben Jahres statt. Mit dem Rundschreiben verfolgt die BaFin insbesondere das Ziel, einen flexiblen sowie praxisnahen Regelungsrahmen festzulegen. Das Rundschreiben gibt Hinweise vor, wie die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auszulegen sind, sofern sie die technisch-organisatorische Ausstattung des Unternehmens betreffen. Der Anwendungsbereich umfasst alle Versicherungsunternehmen sowie Pensionsfonds, die von der BaFin beaufsichtigt werden, mit Ausnahme von Versicherungs-Zweckgesellschaften im Sinne des § 168 VAG und der Sicherungsfonds im Sinne des § 223 VAG.

Die Regelungstiefe sowie der Regelungsumfang im Rundschreiben sind nicht abschließend. Zudem ist das Rundschreiben modular aufgebaut, sodass die BaFin das Rundschreiben flexibel anpassen kann, um aktuellen Entwicklungen Rechnung zu tragen. Bei der Umsetzung der Anforderungen ist das Proportionalitätsprinzip entscheidend, d.h. es soll auf das individuelle Risikoprofil eines Unternehmens abgestellt werden. Im Übrigen bleiben die Anforderungen aus den „Mindestanforderungen an die Geschäftsorganisation“ (MaGo) für die in den Anwendungsbereich von Solvency II fallenden Unternehmen unberührt.

Das Rundschreiben ist in folgende Abschnitte untergliedert:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisikomanagement,
  4. Informationssicherheitsmanagement,
  5. Benutzerberechtigungsmanagement,
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen),
  7. IT-Betrieb (inkl. Datensicherung),
  8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen; isolierter Bezug von Hard-  und/oder Software,
  9. Kritische Infrastrukturen.

Mit dem Rundschreiben soll eine konsistente Anwendung der Vorschriften gegenüber allen Unternehmen gewährleistet werden. Die unter den Anwendungsbereich fallenden Unternehmen bleiben neben den Vorgaben aus dem VAIT dazu verpflichtet, grundsätzlich die aktuellsten IT-Standards und den neuesten Stand der Technik zu beachten. Bereits am 06. November 2017 veröffentlichte die BaFin das BAIT, während die BaFin am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT “ (KAIT) gestartet hat. Inhaltlich sind BAIT, VAIT und KAIT in ihrer Struktur vergleichbar