Matrix Technology AG
Finsurance Blog > Was ist eigentlich die BaFin und was bedeutet Regulatorik?

Was ist eigentlich die BaFin und was bedeutet Regulatorik?

Thomas Deppisch

Thomas Deppisch ist seit über 20 Jahren als Leiter von IT-Projekten in der Finanzdienstleistungs- und Versicherungsbranche tätig und kennt die Anforderungen an die IT, die durch die Regulatorik entstehen.

Alle Beiträge des Autors

Turbulenzen im Banken- und Versicherungswesen

An den internationalen Finanzmärkten kommt es immer wieder zu Verwerfungen. Bekannte Beispiele hierfür sind die Spekulationsblase der New Economy im Jahr 2001, häufig auch als Dotcom-Blase bezeichnet, oder in 2007 das Platzen der Immobilienblase in den USA 2007, gefolgt von der Insolvenz der US-amerikanischen Großbank Lehman Brothers Inc. im September 2008.

Auch in Deutschland gerieten damals einige Kreditinstitute in erhebliche Schwierigkeiten. So musste für die IKB Deutsche Industriebank AG ein mehrere Milliarden Euro umfassender Rettungsschirm aufgelegt werden. Die Düsseldorfer Hypothekenbank AG und die Hypo Real Estate Holding (HRE) mussten vor dem Zusammenbruch bewahrt bzw. verstaatlicht werden. 

Diese Turbulenzen zeigen, dass ein funktionierendes Banken- und Versicherungswesen für eine Volkwirtschaft und damit auch für den einzelnen Verbraucher essentiell ist. Es sind offensichtlich Regelungen erforderlich und eine Instanz, die die Einhaltung dieser Vorgaben überprüft und ggf. einschreitet. Aus diesen Gründen kam es am 01. Mai 2002 zur Zusammenlegung der damaligen Bundesaufsichtsämter für Wertpapierhandel (BAWe) und Versicherungswesen (BAV) mit dem Bundesamt für das Kreditwesen (BAKred) und als Folge dessen zur Gründung der Bundesanstalt für Finanzdienstleistungsaufsicht (kurz: BaFin). Die neu gegründete Instanz wurde durch den Präsident Jochen Sanio geleitet.

Die BaFin ist eine deutsche Bundesanstalt und im öffentlichen Interesse tätig. Sie soll die Finanzstabilität auf dem Finanzmarkt Kontinentaleuropas sicherstellen und für Vertrauen bei Bankkunden, Versicherten und Anlegern sorgen. Sie beaufsichtigt und kontrolliert alle Bereiche des Finanzwesens in Deutschland. Dazu gehören Banken, Finanz-, Zahlungs- und E-Geldinstitute, deutsche Zweigniederlassungen ausländischer Kreditinstitute aus dem Europäischen Wirtschaftsraum, Versicherer und Pensionsfonds sowie Kapitalverwaltungsgesellschaften und inländische Fonds. Weiterhin will die BaFin auch den Verbraucher informieren und schützen. Die ca. 2.700 Beschäftigten der BaFin arbeiten in Bonn und in Frankfurt am Main. Die Finanzierung der BaFin wird durch Gebühren und Umlagen der Unternehmen und Institute, die beaufsichtigt werden, ermöglicht.

Schriftliche Erlaubnis für Bank- oder Versicherungsgeschäfte erforderlich

Bank- oder Versicherungsgeschäfte in erlaubnispflichtiger Weise dürfen in Deutschland nur dann betrieben werden, wenn die BaFin vorher eine schriftliche Erlaubnis erteilt hat. Dies gilt für größere Institute und kann auch für kleinere FinTechs und InsurTechs - also Unternehmen, die Finanzinnovationen anbieten - gelten. Typischerweise beabsichtigen FinTechs und InsurTechs allerdings, ihr Geschäft ohne Banklizenz zu betreiben oder mit einer Bank, die über eine Banklizenz verfügt, zusammen zu arbeiten.

Die BaFin hat weitreichende Ermittlungs- und Eingriffskompetenzen und kann unerlaubt betriebene oder verbotene Geschäfte untersagen. Auf der Internet-Präsenz der BaFin werden hierzu regelmäßig entsprechende Meldungen und Informationen über angeordnete Maßnahmen publiziert. Der Finanzmarkt beschränkt sich natürlich nicht nur auf Deutschland, sondern bewegt sich auch auf europäischer bzw. internationaler Ebene. Anfang 2011 wurde deshalb ein europäisches System der Finanzaufsicht etabliert. Im November 2014 fiel der Startschuss für den Single Supervisory Mechanism. Seitdem werden die derzeit 125 größten Bankengruppen des Euroraums direkt von der Europäischen Zentralbank (kurz: EZB) beaufsichtigt.

Die Aufgaben der BaFin

Nachdem wir geklärt haben, was die BaFin ist und wo sie ihren Ursprung hatte, wollen wir nun etwas näher auf die fünf zentralen Aufgaben der Instanz eingehen.

a) Bankenaufsicht
Gerade die Turbulenzen an den internationalen Finanzmärkten haben gezeigt, dass das Vertrauen in die Marktteilnehmer und das Funktionieren des Bankensystems für eine Volkswirtschaft, aber auch für den einzelnen Verbraucher sehr wichtig ist. Falls es hier zu Störungen kommt - so wie dies im Jahr 2015 in Griechenland zu beobachten war - dann ist der Einzelne stark betroffen. Hier konnten am Geldausgabeautomaten nur 60 Euro ausgezahlt oder die Rentenzahlungen nicht bzw. erst deutlich verspätet durchgeführt werden. Bei der Neugründung einer Bank müssen mehrere Voraussetzungen erfüllt sein. So ist ein Mindestkapital von 730 TEuro erforderlich und es müssen mindestens zwei zuverlässige und fachlich geeignete Geschäftsleiter vorhanden sein. Weiterhin müssen bedeutende Beteiligungen offengelegt werden und es muss ein tragfähiger Business-Plan vorliegen. Bestehende Institute werden laufend überwacht. Hier müssen ausreichende und angemessene Eigenmittel vorhanden sein. Weiterhin müssen neben Ausfall- und Marktrisiken auch operationelle Risiken mit angemessenen Eigenmitteln unterlegt werden.

b) Versicherungsaufsicht
Wir Verbraucher möchten uns mit Versicherungen gegen eintretende Risiken absichern, z.B. gegen eine Berufsunfähigkeit. Falls so ein Risiko eintritt, dann ist es wichtig, dass das Versicherungsunternehmen solvent ist und die im Versicherungsvertrag vereinbarten Zahlungen leisten kann. Nur dann besteht gegenüber den Versicherungsunternehmen Vertrauen. Die Versicherungsaufsicht möchte die Versicherten schützen und dafür sorgen, dass die Versicherungen ihre Verträge und ihre Verpflichtungen erfüllen.
Auch bei der Gründung einer Versicherung sind bestimmte Voraussetzungen zu erfüllen. So muss das Unternehmen eine bestimmte Rechtsform besitzen, darf nur Versicherungsgeschäfte betreiben, muss einen Businessplan vorlegen, über genügend Eigenmittel verfügen und mindestens zwei Geschäftsleiter - zuverlässig und fachlich geeignet - beschäftigen. Bei der laufenden Aufsicht werden zu den Unternehmen Informationen gesammelt und ausgewertet. Der Geschäftsbetrieb wird überwacht. So sollen Missstände rechtzeitig erkannt werden. Ggf. schreitet die BaFin ein, um wieder geordnete Verhältnisse herzustellen.

c) Wertpapieraufsicht
Hierbei geht es darum, Insidergeschäfte und eine Manipulation der Märkte zu erkennen und diesen entgegenzuwirken. Weiterhin werden bestimmte Veröffentlichungen und die Anleger-Prospekte geprüft.

d) Prävention von Geldwäsche und Terrorismusfinanzierung
Das Finanzsystem kann zu Zwecken der Geldwäsche oder zur Terrorismusfinanzierung missbraucht werden. Dies zu verhindern ist die Aufgabe der BaFin. Im Rahmen meiner Projektmanagement-Tätigkeiten habe ich ein Projekt zur Bereitstellung einer elektronischen Kontenabrufeinrichtung nach § 24c Kreditwesengesetz (KWG) geleitet. Damit können bei in Deutschland ansässigen Kreditinstituten Konten verdächtiger Terroristen oder anderer Straftäter maschinell identifiziert werden. Weiterhin kümmert sich die BaFin darum, dass die Vorgaben zur Verhinderung von Geldwäsche in den Instituten und Versicherungsunternehmen umgesetzt werden. Wichtig ist dabei das „Know-your-Customer-Prinzip“, nachdem der Geschäftspartner eindeutig identifiziert werden muss.

e) Verbraucherschutz
Oft ist gar nicht bekannt, dass zu den Aufgaben der BaFin auch der Schutz des Verbrauchers zählt. Auf der BaFin-Homepage finden sich umfangreiche Informationen sowie die Nummer eines Verbrauchertelefons. Mit den Informationen im Internet will die BaFin Transparenz schaffen und Aufklärung betreiben. Wenn ein Verbraucher bzw. Kunde Probleme oder Ärger mit einer Bank oder einem Versicherungsunternehmen hat, kann er sich bei der BaFin beschweren. Weiterhin prüft die BaFin, ob die Institute ihre Verhaltenspflichten nach dem Wertpapierhandelsgesetz - hier sind die Pflichten gegenüber den Kunden gemeint - einhalten.

Publikationen der BaFin

Zur Erfüllung der oben genannten Aufgaben veröffentlicht die BaFin Publikationen, wie z.B. Jahresberichte und Statistiken. Weiterhin werden Datenbanken mit Informationen zu zugelassenen Banken, Finanzdienstleistern und Versicherungsunternehmen, aber auch für Endkunden bereitgestellt. Die BaFin kann Maßnahmen anordnen und Verfügungen erlassen. Die relevanten Teilnehmer des Finanzwesens in Deutschland wie Banken und Versicherer sind angehalten, Informationen in der Form von Anzeigen und Berichten an die BaFin zu liefern.

Doch was genau bedeutet eigentlich Regulatorik?

Nachdem wir besprochen haben, was es mit der BaFin auf sich hat, wollen wir uns mit der sogenannten „Regulatorik“ befassen. Was ist dies und wie wirkt sie sich aus? Das Festlegen von Regeln für Institute im Bankwesen wird auch als „Bankenregulierung“ oder allgemein als „Regulatorik“ bezeichnet. In entwickelten Ländern gehört das Bankwesen zu den am stärksten regulierten Teilmärkten. Durch die Bankenregulierung soll das Funktionieren des allgemeinen Zahlungsverkehrs und der Schutz des Anlegers gewährleistet werden. Weiterhin soll durch Rechnungslegungs- und Publizitätsvorschriften die Transparenz erhöht werden.

Gesetze und Verordnungen

Im Zuge der Bankenregulierung wurde eine Vielzahl von Gesetzen und Verordnungen definiert. Sie regeln das Verhältnis zwischen Kreditinstituten und der Bankenaufsicht. In Deutschland sind dies insbesondere

  • das Kreditwesengesetz (KWG)
  • die Kapitaladäquanzverordnung
  • die Mindestanforderungen an das Risikomanagement (MaRisk)
  • das Versicherungsaufsichtsgesetz (VAG)
  • die Bankaufsichtlichen Anforderungen an die IT (BAIT)
  • die Groß- und Millionenkreditverordnung
  • das Pfandbriefgesetz.

Kapitaladäquanzverordnung

Die Kapitaladäquanzverordnung mit der Bezeichnung Verordnung (EU) Nr. 575/2013[1] ist eine im Bankwesen geltende EU-Verordnung. Basierend auf den Basel III -Vorschriften, gibt diese Verordnung Vorgaben zur angemessenen Eigenmittelauslastung von Finanzholding-Gruppen bzw. gemischten Finanzholdinggruppen sowie Instituten bzw. Institutsgruppen. Zudem regelt sie auch Einzelvorschriften, die in der bisherigen Solvabilitätsverordnung umgesetzt wurden

Bankaufsichtliche Anforderungen an die IT (BAIT)

Die bisher genannten Gesetze und Verordnungen haben - bis auf die MaRisk - keinen oder wenig Bezug zur IT.

Die Verwaltungsanweisungen in den BAIT richten sich allerdings explizit an die sichere Ausgestaltung der IT-Systeme und der dazu gehörenden Geschäftsprozesse. Auch die IT-Governance in deutschen Kreditinstituten ist betroffen. Die Regelungen und die Vorgaben in den BAIT sind absolut relevant und daher umzusetzen. In den BAIT wird die technisch-organisatorische Ausstattung der Institute formuliert. Für die Versicherungswirtschaft gelten die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und für Kapitalanlagegesellschaften die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT).

Kreditwesengesetz (KWG)

Der Zweck des KWG besteht in der Marktregulierung und Marktordnung des Kreditwesens. Die Funktionsfähigkeit der Kreditwirtschaft soll gewährleistet und Gläubiger von Kreditinstituten sollen vor dem Verlust ihrer Einlagen geschützt werden. Kreditinstitute sollen keine beliebigen Risiken eingehen dürfen. Daher regelt das KWG, welche Möglichkeiten Kreditinstitute haben, Risiken einzugehen. Hier werden die Risikoarten Ausfallrisiko, Marktrisiko, Liquiditätsrisiko, operationelles Risiko und Informationsrisiko adressiert. Beim operationellen Risiko werden als Konkretisierung die Mindestanforderungen an das Risikomanagement (MaRisk) genannt. 

Die Kreditinstitute haben gegenüber der BaFin und der Bundesbank verschiedene Anzeigepflichten. Hier sind Angaben bzgl. der Solvabilität, der Liquidität, zu sogenannten Großkrediten, zu Monatsausweise und zu Jahresabschlüssen zu leisten. Auch bei besonderen Ereignissen, wie bei der Ausgabe von Millionenkrediten, organisatorischen Veränderungen oder der Bestellung bzw. des Ausscheidens eines Geschäftsführers sind Informationen zu liefern. Das KWG tätigt auch Vorgaben zur Ablauf- und Aufbauorganisation der Kreditinstitute.

Mindestanforderungen an das Risikomanagement (MaRisk)

Mindestanforderungen sind ein Instrument der BaFin-Finanzmarktaufsicht zur Ausgestaltung des Risikomanagements und verwandter Bereiche bei deutschen Finanzinstituten und Versicherungen. Veröffentlicht werden diese in Form von BaFin-Rundschreiben und internen Verwaltungsanweisungen der BaFin, die die Aufsichtspraxis der Anstalt bei der Auslegung allgemeiner gesetzlicher Vorgaben darstellen.

Die BaFin hat folgende branchenspezifische (allgemeine) „Mindestanforderungen an das Risikomanagement“ veröffentlicht:

  • MaRisk (BA): Mindestanforderungen an das Risikomanagement, die sich an Kreditinstitute richten,
  • MaRisk (VA): Mindestanforderungen an das Risikomanagement, die sich an die Versicherungswirtschaft richten. Hinweis: Die MaRisk VA wurde zum 1. Januar 2016 aufgrund des Rundschreibens vom 22. Januar 2009 aufgehoben und durch das europäische Aufsichtsregime Solvency II und deren Solvency II-Richtlinien ersetzt. Die neuen Vorgaben sind in den §§ 23–32 Versicherungsaufsichtsgesetz geregelt.
  • InvMaRisk: Mindestanforderungen an das Risikomanagement, die sich an die Investmentgesellschaften richten.

Auswirkungen

Durch die MaRisk und natürlich durch die BAIT ist die IT betroffen, da die BAIT die sichere Ausgestaltung der IT-Systeme sowie der Prozesse und die Anforderungen an die IT-Governance regelt.