Der Bundesverband deutscher Banken, Sprachrohr der privaten und Auslandsbanken in Deutschland, hat die Zusammenarbeit der verschiedenen Aufsichtsinstitutionen in Europa kritisiert. In einem Blogeintrag heißt es: „Die Aufsicht über die Banken im Euroraum hat Ende 2014 eine grundlegende Veränderung erfahren. Mit der Etablierung des Einheitlichen Aufsichtsmechanismus SSM (Single Supervisory Mechanism), der – integriert in die Europäische Zentralbank – für die Aufsicht aller Banken der Eurozone zuständig ist, gelten neue Spielregeln für alle Beteiligten. Die anfängliche Kritik am Set-up des SSM ist dabei schnell dem Respekt darüber gewichen, in welcher kurzen Zeit er aus der Taufe gehoben wurde und wie schnell eine kompetente Mannschaft am Start war. Nach inzwischen über drei Jahren Betriebszeit zeichnet sich deutlicher ab, welches die Stärken des SSM sind und wo noch Verbesserungspotentiale schlummern.
Besonderheiten des SSM
Führen wir uns einige institutionelle und rechtliche Besonderheiten des SSM noch einmal vor Augen. Der SSM ist einerseits in die Strukturen der Europäischen Zentralbank fest eingebunden; wichtige Dienstleistungen, die für seinen operativen Betrieb erforderlich sind (Einkauf, IT, Personal), bezieht er aus den EZB-Zentraleinheiten. Ferner hat der Governing Councel der EZB Einfluss auf einige Entscheidungen des SSM. Zugleich aber ist die Bankenaufsicht strikt von den geld- und währungspolitischen Aufgaben der EZB getrennt. Gegenüber dem Europäischen Rechnungshof und dem Europäischen Parlament unterliegt der SSM in verschiedenen Bereichen der Rechenschaftspflicht.
Der SSM unterscheidet in seiner Aufsichtsarbeit die „Signifikanten Institute“ (SI) von den „Weniger Signifikanten Instituten“ (LSI); für letztere sind in erster Linie die nationalen Aufsichtsbehörden verantwortlich. Sind beaufsichtigte SIs der Meinung, ein Beschluss des SSM solle geändert werden, so kann der Administrative Überprüfungsausschuss (Administrative Board of Review, ABoR) eingebunden werden oder aber die Institute können den europäischen Rechtsweg einschlagen. Deutsche LSIs hingegen müssen zunächst in den bilateralen Austausch mit der BaFin eintreten bzw. den nationalen Rechtsweg beschreiten.
SSM und EBA
Eine der zahlreichen Befugnisse des SSM liegt darin, Leitfäden für die beaufsichtigten Institute zu erlassen. Rechtsverbindlich sind die Leitfäden nicht zwangsläufig, in aller Regel aber folgen die Institute dem Wunsch des SSM. Interessant wird es, wenn in diesem Gefüge ein weiterer Beteiligter in Aktion tritt – nämlich die Europäische Bankenaufsicht (EBA). Die EBA ist für alle 28 EU-Mitgliedstaaten zuständig, wohingegen sich die Verantwortung der EZB und des SSM auf die 19 Euroländer beschränkt (sowie auf Nicht-Euro-Länder, die dafür optieren, die Zuständigkeit des SSM für ihre Banken zu erklären). Die EBA ist in ihrer Funktion der Standardsetzer für bankaufsichtliche Finanzmarktregulierung. Sie soll den Rahmen schaffen für die zuständigen Aufsichtsbehörden, um eine einheitliche Aufsichtspraxis sicherzustellen. Zuständig für die LSIs ist in Deutschland die BaFin. Die BaFin arbeitet mit dem SSM zusammen und bringt sich in Entscheidungen ein.
Die Theorie ist das eine, die Wirklichkeit häufig das andere. Wer die Feinheiten der Zusammenarbeit zwischen den Aufsichtsbehörden verstehen will, muss nicht nur tief in die Details der Gesetze und Verordnungen eintauchen, sondern auch die eigentliche Vorort-Aufsichtspraxis durch die Bankenaufseher in den Blick nehmen.
Beispiel Auslagerung
Dass hierbei so manche Fragen offen bleiben können, soll anhand eines praktischen Sachverhalts gezeigt werden. Es geht um die Auslagerungen an Drittunternehmen. Bei dieser Thematik werden die Institute mit einer Reihe von Fragen konfrontiert: Wie identifizieren, bewerten und steuern sie das Risiko aus solchen Beziehungen und welche Gegenmaßnahmen müssen sie nötigenfalls ergreifen?
Für deutsche Institute finden sich Antworten auf diese Fragen u.a. in den sogenannten MaRisks (Mindestanforderungen an das Risikomanagement, aktuelle Version der BaFin vom 27. Oktober 2017), in den Regelungen des CEBS (Committee of European Banking Supervisors, Vorgänger der EBA) zum Outsourcing aus dem Jahr 2006 sowie – im Speziellen – in den Empfehlungen der EBA zu Auslagerungen an Cloud Service Provider (vom 20. Dezember 2017). Hinsichtlich der EBA-Empfehlungen können die nationalen Aufsichtsbehörden selbst entscheiden, ob sie diese umsetzen wollen oder ob nicht. Sollten sie dies nicht tun, haben sie die EBA darüber zu informieren. Die EBA muss dies dann offiziell publizieren.
MaRisk und EBA-Empfehlungen
Die MaRisk wiederum stellen für Institute unter BaFin-Aufsicht anerkannte Anforderungen dar; gleichwohl ist aus Sicht der deutschen SIs nicht eindeutig geklärt, ob die MaRisk auch für diese gelten und wie diese mit Regelungen der EBA oder des SSM zusammenspielen. Sollte ein SI zudem in einem anderen EU-Land aktiv sein, wäre zu fragen, welche Regelungen dort gelten bzw. ob die Regelungen der EBA oder des SSM eventuell die Regelungen vor Ort ersetzen bzw. erweitern.
Zurück zu den EBA-Regelungen bei Auslagerungen an Cloud Service Provider: Sofern nationale Aufseher entscheiden, die EBA-Empfehlungen in ihrem Land nicht umzusetzen, bleibt offen, welche Folgen und welchen Einfluss diese Nichtumsetzung hat – auf andere nationale Aufseher in der EU und den SSM, aber auch auf jene Institute, die länderübergreifend Auslagerungen an Cloud Service Provider nutzen. Beispielsweise könnten Aufseher, die die Regelungen der EBA anerkannt haben, Geschäfte aus Ländern, die diese nicht anerkannt haben, verbieten.
Vereinheitlichung notwendig
Ohne auf weitere Details eingehen zu müssen, soll dieses Beispiel eines verdeutlichen: Das Miteinander der zentralen Eurozonen-Bankenaufsicht durch den SSM, der EU-weiten Bankenregulierung durch die EBA sowie nationaler Bankenaufsichten und nach wie vor vorhandener nationaler Regelungen kann zu unübersichtlichen Konstellationen führen. Diese sind für alle Beteiligten schwerer zu handhaben, als dies ursprünglich einmal angenommen wurde.
Die Forderung kann daher nur lauten, den Europäischen Binnenmarkt auch als einen solchen zu verstehen und Gesetze, Regelungen sowie die aufsichtliche Praxis vor Ort – zumindest für SIs – entsprechend zu vereinheitlichen. Die Beteiligten sind sich dessen bewusst und arbeiten bereits daran. Nur ist leider noch nicht absehbar, wann – auch im Falle des Outsourcings – der Zeitpunkt erreicht sein wird.