Am 27. September 2023 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ihren Entwurf für das Rundschreiben zu den Mindestanforderungen an das Risikomanagement von ZAG-Instituten („ZAG-MaRisk“) zur öffentlichen Konsultation vorgelegt.
Damit wird eine Regelungslücke geschlossen: Institute nach dem Zahlungsdiensteaufsichtsgesetz (ZAG) erhalten erstmals einen flexiblen und praxisnahen Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation und ihres Risikomanagements.
Ihr Experte für Fragen
Daniel Benzing
Director, Financial Services bei PwC Deutschland
Tel.: +49 160 96629122
E-Mail
Angelehnt an die MaRisk (BA) für Kreditinstitute und Finanzdienstleister sollen Zahlungs- und E-Geldinstitute voraussichtlich 2024 ihre Geschäfts- und Risikostrategien definieren sowie detaillierte Richtlinien zur systematischen Identifikation, Messung, Steuerung und Berichterstattung von Risiken einhalten. Zudem werden institutsspezifische Anforderungen an die Sicherung von Kundengeldern und an Auslagerungen präzisiert.
Wenn auch grundsätzlich das Prinzip der doppelten Proportionalität gilt, stehen ZAG-Institute nun vor der wesentlichen Herausforderung, ihre Geschäftsprozesse und ihr Risikomanagement eingehend zu prüfen und gegebenenfalls grundlegend neu zu gestalten.
Die Zeit drängt: Bis zum 15. Januar 2024 können Institute und Verbände zu dem Entwurf Stellung nehmen. Im ersten Halbjahr 2024 wird voraussichtlich die Endfassung veröffentlicht und die neue ZAG-MaRisk in Kraft treten.
Aufgrund der hohen Überschneidung mit den MaRisk (BA) dürften die Übergangsfristen kurz sein. ZAG-Institute sollten die erforderlichen Änderungen frühzeitig identifizieren und bereits Umsetzungsmaßnahmen definieren. Spätestens mit Veröffentlichung der Endfassung sollten Vorstudien und Auswirkungsanalysen abschließen und mit der Implementierung der ZAG-MaRisk beginnen.
„Mit den ZAG-MaRisk schafft die Aufsicht Klarheit für Zahlungsdienstleister hinsichtlich der Anforderungen an das Risikomanagement. Auch wenn die ZAG-MaRisk sehr nah an den MaRisk für Banken angelehnt sind, konkretisieren sie insbesondere mit dem BTO 1 bis 3 nun auch Anforderungen aus dem ZAG, welche die Geschäftsmodell-spezifischen Risiken von ZAG-Instituten widerspiegeln.“
In ihrem Konsultationsentwurf für das Rundschreiben zu den ZAG-MaRisk gibt die BaFin Zahlungs- und E-Geld-Instituten erstmals einen flexiblen und praxisnahen Rahmen für die Ausgestaltung einer ordnungsgemäßen Geschäftsorganisation vor. Darüber hinaus werden Anforderungen des ZAG an die Sicherung von Kundengeldern und an Auslagerungen präzisiert.
Die Regelungen sind angelehnt an die Mindestanforderungen an das Risikomanagement (MaRisk (BA)) für Kreditinstitute und Finanzdienstleistungsinstitute (gemäß § 25a Abs. 1 KWG). In der 7. Novelle der MaRisk (BA) vom 29. Juni 2023 wurde diese zuletzt weiter präzisiert.
Bislang orientierten sich Jahresabschlussprüfer und Aufsicht bei der Prüfung von ZAG-Instituten an den Regelungen für Banken. Mit der Veröffentlichung der neuen ZAG-MaRisk-Anforderungen wird die BaFin künftig die Einhaltung dieser regulatorischen Vorgaben insbesondere im Rahmen von Sonderprüfungen (gem. § 19 ZAG) überprüfen.
Die Anforderungen des ZAG-MaRisk-Rundschreibens gelten künftig speziell für inländische Zahlungs- und E-Geld-Institute bzw. inländische Zweigstellen von Unternehmen mit Sitz außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR), die Zahlungsdienste erbringen oder E-Geld-Geschäft betreiben.
Einbezogen werden auch Zweigniederlassungen deutscher Institute im Ausland. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des EWR (nach § 39 ZAG) finden sie keine Anwendung.
Der Aufbau und die Struktur der Rahmenwerke der ZAG-MaRisk und der MaRisk (BA) sind weitestgehend deckungsgleich – vereinzelt gibt es Erleichterungen gegenüber den Anforderungen für Banken. Demnach enthalten die ZAG-MaRisk zahlreiche Öffnungsklauseln, die abhängig von der Komplexität der Geschäftsaktivitäten und der Risikosituation eine vereinfachte und passgenaue Umsetzung der Anforderungen ermöglichen.
Im Gegensatz zu den MaRisk (BA) stellen die ZAG-MaRisk keine expliziten Anforderungen an das Datenmanagement, die Datenqualität und Aggregation von Risiken, die Verwendung von Modellen sowie Anforderungen an das Risikomanagement auf Gruppenebene.
Für ZAG-Institute sind grundsätzlich operationelle Risiken (einschließlich IT-Risiken) als wesentlich einzustufen. Je nach Geschäftsmodell kann es auch erforderlich werden, Adressenausfall-, Marktpreis- oder Liquiditätsrisiken als wesentlich einzustufen.
ZAG-Institute sollen sicherstellen, dass wesentliche Institutsrisiken durch Risikodeckungspotenzial, unter Berücksichtigung von Risikokonzentrationen, ausreichend abgeschirmt werden. Zur Berücksichtigung von ESG-Risiken wird eine an das Geschäftsmodell angepasste “Risikotragfähigkeitsrechnung” gefordert.
Neben Anforderungen an eine Geschäfts- und damit konsistente Risikostrategie bestimmen die ZAG-MaRisk, dass die Geschäftsleitung eine nachhaltige Investitionsstrategie und Anlagepolitik festlegt. Diese sollen die Ziele der Investitionsstrategie und die Maßnahmen zur Erreichung dieser Ziele definieren, wenn ein Institut Anlagen in sichere liquide Aktiva mit niedrigem Risiko tätigt.
Die ZAG-MaRisk enthalten Geschäftsmodell-spezifische Anforderungen an das Erbringen von Zahlungsdiensten und das Betreiben von E-Geld-Geschäften, welche in den Punkten BTO 1 bis 3 formuliert werden. Diese Vorgaben beziehen sich vor allem auf die Prozesse für Sicherungsanforderungen und die Absicherung von Haftungsfällen, auf Verfahren bei Sicherheitsvorfällen und sicherheitsbezogenen Kundenbeschwerden sowie auf die Inanspruchnahme von Agenten.
Mit den ZAG-MaRisk stehen Zahlungsdienstleister aktuell vor der enormen Herausforderung, die Regulierung bis 2024 mit ihren Geschäfts- und Risikostrategien sowie mit ihren institutsspezifischen Besonderheiten in Einklang zu bringen. Mit der Veröffentlichung des Konsultationsentwurfs ist der Startschuss gefallen, das institutsweite Risikomanagement und die interne Governance auf den Prüfstand zu stellen sowie Prozesse gegebenenfalls in erheblichem Umfang neu zu gestalten.
Unsere Expert:innen beraten Sie gerne bei der zügigen Umsetzung der regulatorischen Anforderungen von ZAG-MaRisk. Wir unterstützen Sie auch langfristig dabei, mögliche Novellierungen zeitnah zu berücksichtigen.
„Nach unserer Erfahrung meistern diejenigen Institute die Herausforderungen am besten, die die aufwandsintensivsten Änderungen frühzeitig identifizieren und zügig Umsetzungsmaßnahmen ableiten. Spätestens mit Veröffentlichung der finalen Fassung der ZAG-MaRisk sollten Vorstudien und Auswirkungsanalysen schnellstmöglich abgeschlossen und mit einer Implementierung begonnen werden.“
Matthias Eisert,Partner, Financial Services bei PwC DeutschlandDie ZAG-MaRisk stellen hohe Anforderungen an die Geschäftsorganisation und das Risikomanagement von Zahlungs- und E-Geldinstituten. In unserer monatlichen Webcast-Reihe „Caffinate und Regulate“ erläutern unsere Expert:innen, worauf Institute bei der Umsetzung achten sollten.
Partner, Financial Services Governance, Risk & Compliance, PwC Germany
Tel: +49 160 8953260