Die Compliance-Funktion nach AT 4.4.2 MaRisk – Anforderungen, Umsetzung und Praxisrelevanz

Einleitung

Finanzinstitute agieren in einem stark regulierten Umfeld, in dem die Einhaltung rechtlicher Vorgaben einen entscheidenden Wettbewerbs- und Vertrauensfaktor darstellt. Verstöße gegen aufsichtsrechtliche Anforderungen, gegen straf- oder zivilrechtliche Normen oder gegen interne Regeln können weitreichende Folgen haben: Bußgelder, Haftungsrisiken, Reputationsschäden und im schlimmsten Fall existenzbedrohende Entwicklungen.
Die BaFin stellt mit den MaRisk sicher, dass Institute über interne Organisationsstrukturen verfügen, mit denen diese Risiken beherrscht werden. Die Compliance-Funktion bildet hierbei eine tragende Rolle: Sie ist zentraler Ansprechpartner der Geschäftsleitung, Berater und zugleich Wächter über die Einhaltung rechtlicher Vorgaben.

Rechtliche Grundlagen

Die Compliance-Funktion nach AT 4.4.2 MaRisk ist eingebettet in ein komplexes Geflecht aus nationalen und europäischen Rechtsquellen.
Wichtige Bezugspunkte sind:

• § 25a Abs. 1 KWG – Anforderungen an eine ordnungsgemäße Geschäftsorganisation.
• § 25h KWG – besondere Anforderungen im Bereich Geldwäscheprävention.
• § 80 Abs. 1 WpHG i.V.m. Art. 22 Delegierte Verordnung (EU) 2017/565 – Konkretisierung für Wertpapierfirmen.
• EBA/GL/2021/05 – Leitlinien zur internen Governance, auf die sich die BaFin ausdrücklich bezieht.
• MaComp – Umsetzungshilfe für institutespezifische Compliance-Fragen im Wertpapiergeschäft.

Diese Rechtsquellen bilden ein sich ergänzendes Geflecht, das dem Institut vorgibt, welche Strukturen es schaffen muss und welche Berichtspflichten einzuhalten sind.

Aufgaben und Verantwortung

Die primäre Aufgabe der Compliance-Funktion besteht darin, auf die Implementierung wirksamer Verfahren zur Einhaltung rechtlicher Vorgaben hinzuwirken. Dazu gehören insbesondere:

• Identifikation relevanter Gesetze, Verordnungen und Verwaltungsanweisungen.
• Regelmäßige Risikoanalysen auf Grundlage von Geschäftsmodell, Größe und Komplexität des Instituts.
• Beratung der Geschäftsleitung in rechtlichen und regulatorischen Fragen.
• Unterstützung bei der Erstellung, Umsetzung und Überwachung von internen Richtlinien.
• Schulung und Sensibilisierung der Mitarbeiter.
• Einrichtung eines kontinuierlichen Kontroll- und Berichtsprozesses.

Besonders hervorzuheben ist, dass die Verantwortung für die Einhaltung der Vorschriften uneingeschränkt bei den Geschäftsleitern bleibt. Die Compliance-Funktion hat keinen exkulpativen Charakter für die Geschäftsleitung, sondern wirkt unterstützend, beratend und überwachend.

Organisation und Anbindung

Nach MaRisk ist die Compliance-Funktion grundsätzlich unmittelbar der Geschäftsleitung unterstellt. Sie darf organisatorisch auch in andere Kontrolleinheiten eingegliedert sein, solange eine direkte Berichtslinie zur Geschäftsleitung besteht.
Ausdrücklich ausgeschlossen ist eine organisatorische Verbindung mit der Internen Revision, um eine wirksame Unabhängigkeit zu gewährleisten. Dagegen können Funktionen wie Risikocontrolling oder Geldwäschebeauftragter durchaus im organisatorischen Zusammenhang stehen.

Zur wirksamen Wahrnehmung ihrer Aufgaben benötigt die Compliance-Funktion:

• Genügend personelle und sachliche Ressourcen
• Uneingeschränkten Zugang zu relevanten Informationen und Systemen
• Unabhängigkeit von den Bereichen Markt und Handel

Eigenständige Compliance-Einheit

Ein besonders hervorgehobener Punkt in AT 4.4.2 MaRisk betrifft die eigenständige Organisationseinheit für die Compliance-Funktion bei bedeutenden Instituten oder Instituten, die bestimmte Bilanzgrößen überschreiten (§ 2 Abs. 9i KWG).
Die BaFin fordert hier regelmäßig die Errichtung einer separaten organisatorischen Einheit, die ausschließlich und zentral die Einhaltung regulatorischer Vorgaben überwacht.

Die Kriterien der Verhältnismäßigkeit (Proportionalität) für die Einrichtung einer eigenständigen Einheit ergeben sich aus Tz. 206 MaRisk sowie Titel I der EBA-Leitlinien zur Governance. Die Entscheidung hängt ab von:

• Größe und Bilanzsumme des Instituts
• Art und Risikoprofil der Geschäftsaktivitäten
• Komplexität des Geschäftsmodells
• Internationale Tätigkeit und Konzernanbindung

In der eigenständigen Einheit für die Compliance-Funktion dürfen auch weitere Compliance-nahe Funktionen angesiedelt sein, wie z. B.:

• WpHG-Compliance
• Geldwäsche- und Terrorismusfinanzierungsbeauftragter
• Informationssicherheitsbeauftragter (CISO)
• Datenschutzbeauftragter

Dadurch wird eine Bündelung von Kontrollfunktionen ermöglicht, gleichzeitig jedoch eine klare Abgrenzung zur Internen Revision gewahrt.

Rolle des Compliance-Beauftragten

Jedes Institut hat einen Compliance-Beauftragten zu benennen, der die Verantwortung für die Erfüllung der Aufgaben trägt. Seine Pflichten umfassen:

• Steuerung der Compliance-Funktion
• Ansprechpartner für Geschäftsleitung und Aufsichtsbehörden
• Koordination der Berichtsprozesse
• Sicherstellung wirksamer Kontrollen

In kleinen Instituten darf im Ausnahmefall ein Geschäftsleiter selbst diese Funktion übernehmen. Für mittlere und große Institute ist dies regelmäßig ausgeschlossen, da Interessenkonflikte entstehen würden.

Berichtspflichten und Informationsrechte

Die Compliance-Funktion muss mindestens jährlich, bei Bedarf jedoch anlassbezogen an die Geschäftsleitung berichten. Der Bericht muss inhaltlich eingehen auf:

• Angemessenheit und Wirksamkeit der Compliance-Regelungen
• Identifizierte Risiken und Verstöße
• Maßnahmen zur Beseitigung von Defiziten
• Empfehlungen für künftige organisatorische Anpassungen

Zudem sind die Berichte dem Aufsichtsorgan und der Internen Revision weiterzuleiten. Jedes Mitglied des Aufsichtsrates muss die Möglichkeit haben, die Berichte einzusehen, selbst wenn sie formal in einem Ausschuss behandelt werden.

Ein besonders sensibler Punkt ist der Wechsel des Compliance-Beauftragten: Dies muss der Aufsichtsrat rechtzeitig im Voraus unter Angabe der Gründe erfahren. Dies sichert die Transparenz gegenüber der Aufsicht und verhindert strategische „Überraschungen“ bei der Neubesetzung.

Organisatorischer Aufbau der eigenständigen Compliance-Einheit

• Die Compliance-Einheit wird unter unmittelbarer Leitung eines Compliance-Beauftragten als eigene Organisationseinheit eingerichtet.
• Sie ist direkt der Geschäftsleitung unterstellt und von Markt und Handel organisatorisch unabhängig aufgestellt.
• In der Einheit können weitere nahestehende Funktionen, wie Geldwäsche, Wertpapier-Compliance, Datenschutz und Informationssicherheit gebündelt werden. Risikocontrolling oder Interne Revision dürfen hingegen nicht integriert werden.
• Die personelle Ausstattung erfolgt proportional zum Umfang und Risiko des Geschäftsmodells; Expertise in Bankaufsichtsrecht, Organisationswesen und IT-Compliance ist einzubinden.
• Die Compliance-Mitarbeitenden erhalten uneingeschränkten Zugang zu relevanten Informationen, Systemen und Entscheidungsvorlagen sowie direkte Kommunikationslinien zu Leitung und Prüfern des Hauses.

Implementierung effektiver Richtlinien und Kontrollpläne

• Entwicklung und Pflege eines Compliance-Universums, das alle instituteigenen und regulatorisch verpflichtenden Themenbereiche, Prozesse und Vorgaben umfasst.
• Aufbau eines transparenten Kontrollplans: Regelmäßige Prüfungen, risikoorientierte Einzelkontrollen, Turnus-Workshops und laufendes Monitoring relevanter Rechtspflichten.
• Klar definierte Arbeits- und Berichtsschritte für jede identifizierte Compliance-Risiko-Kategorie (z.B. Geldwäsche, Marktmissbrauch, Datenschutz).
• Nutzung eines digitalen Compliance-Management-Systems, das Aufgaben, Mitteilungen und Kontrollen dokumentiert und die Fortschrittsüberwachung gewährleistet.

Berichtslinien und interne Kommunikation

• Mindestens einmal jährlich, im Bedarfsfall auch anlassbezogen, wird ein umfassender Compliance-Bericht erstellt und an Geschäftsleitung, Aufsichtsrat und Interne Revision kommuniziert.
• Im Bericht speziell: Darstellung ergriffener Kontrollen, Status regulatorischer Projekte, identifizierte Risiken, Handlungsbedarfe und Maßnahmenpläne.
• Wechsel des Compliance-Beauftragten müssen unter Angabe von Gründen rechtzeitig und transparent gegenüber dem Aufsichtsorgan erfolgen.
• Mitarbeiter werden regelmäßig über neue Regelungen, geänderte Leitlinien und relevante Compliance-Initiativen instruiert.

Kontroll- und Überwachungsaufgaben

• Durchführung von jährlichen Risikoanalysen zur Identifikation und Gewichtung wesentlicher rechtlicher Vorgaben.
• Implementierung eines Monitoringsystems für regulatorische Änderungen (Regulatory Change Management), das eigenständig rechtliche Neuerungen bewertet und Umsetzungsnotwendigkeiten ableitet.
• Dokumentierte Verwaltung und Aufbereitung von Verstößen, Verdachtsfällen, und deren Nachbearbeitung im Rahmen eines robusten Incident- & Escalation-Managements.

Umsetzungstipps aus der Praxis

• Frühzeitige Einbindung der Compliance-Funktion in Produkt- und Prozessentwicklungen der Bank.
• Aufbau einer Compliance-Kultur „von oben“, etwa durch regelmäßige Compliance-Workshops und Schulungen auf allen Ebenen.
• Nutzung moderner Software für Dokumentation, Workflow-Management und regulatorische Überwachung.
• Enge Kooperation mit den Bereichen Rechtsabteilung, IT, Risikomanagement und internen Revision.
• Regelmäßige Überprüfung der Effektivität der Kontrollen und Berichtswege sowie kontinuierliche Weiterentwicklung der Compliance-Aufgaben entsprechend neuer regulatorischer Anforderungen.

Diese Schritte stellen sicher, dass die eigenständige Compliance-Einheit eines mittelgroßen Instituts nicht nur regulatorisch einwandfrei, sondern auch praxistauglich und nachhaltig wirksam aufgestellt ist.

Herausforderungen in der Praxis

Die Umsetzung der Anforderungen des AT 4.4.2 bringt zahlreiche Herausforderungen mit sich:

• Personelle Ausstattung: Insbesondere kleinere Institute haben Schwierigkeiten, qualifiziertes Fachpersonal für Compliance-Positionen zu finden.
• Digitale und internationale Komplexität: Neue Geschäftsfelder wie FinTech-Lösungen oder internationale Expansion erhöhen die Anforderungen an die Compliance.
• Koordination mehrerer Aufsichtsvorgaben: Überschneidungen zwischen MaRisk, MaComp, KWG, GwG und EU-Recht erfordern klare Abgrenzungen.
• Berichtsdichte: Aufsichtsgremien fordern zunehmend detaillierte und häufigere Compliance-Berichte, teils auch quartalsweise.

Fazit

Die Compliance-Funktion nach AT 4.4.2 MaRisk ist ein zentrales Steuerungs- und Kontrollinstrument für Finanzinstitute. Ausdrücklich hervorgehoben wird die Notwendigkeit einer eigenständigen Compliance-Einheit in bedeutenden Instituten, wodurch die organisatorische Unabhängigkeit und Effizienz dieser Funktion nachhaltig gestärkt wird. Der Compliance-Beauftragte übernimmt als Schlüsselfigur die Koordination und Berichterstattung, während die Verantwortung für die Einhaltung letztlich bei der Geschäftsleitung verbleibt.

In der Praxis verlangt die Umsetzung der Vorgaben eine sorgfältige Abwägung im Spannungsfeld zwischen Proportionalität, Ressourceneinsatz und aufsichtsrechtlichen Erwartungen.