Folgende Ausführung stammt aus dem Anschreiben zum Konsultationsentwurf 14/2020 der "Mindestanforderungen an das Risikomanagement" (MaRisk): "Zusätzlicher neuer Erfüllungsaufwand, welcher nicht bereits durch die EBA Leitlinien über das Management notleidender und gestundeter Risikopositionen (NPL Guidelines), die EBA Leitlinien zu Auslagerungen (Outsourcing Guidelines) und die EBA Leitlinien für das Management von IKT- und Sicherheitsrisiken (ICT Guidelines) oder durch die bestehenden aufsichtlichen Anforderungen der EZB vorgegeben ist, entsteht durch diese MaRisk Novelle weder für die Institute noch für die BaFin."
Sie verweist auf den Anlass der Änderungen der aktuellen MaRisk-Novelle. Beruhigend wirkt zunächst der Hinweis, dass zusätzlicher neuer Erfüllungsaufwand durch diese Novelle weder für die Institute noch für die BaFin entstehe. Ob das in der Praxis aber tatsächlich gehalten werden kann, werden die kommenden Monate und insbesondere das aufsichtliche Handeln auf der Grundlage der weiterentwickelten MaRisk zeigen. Zumindest kleinere Institute haben sich bisher noch nicht mit den Neuerungen und Vorgaben der EBA-Leitlinien befasst und werden durch die MaRisk erstmals aktiv mit den Regelungen in Berührung kommen. Dieser Aufsatz gibt einen Überblick über die wichtigsten Änderungen des Konsultationsentwurfs vom 26. Oktober 2020.
In Textziffer 6 wird der bisher in den Ma-Risk verwendete Begriff der "systemrelevanten Institute" gestrichen und durch den neu eingeführten Begriff der "großen und komplexen Institute" ersetzt. Als solche gelten "in der Regel" Institute, deren Bilanzsumme auf Einzelinstitutsebene oder konsolidiert auf Gruppenebene 30 Milliarden Euro erreicht oder überschreitet. Das legt aus Sicht der Aufsicht zwar zunächst auf der Grundlage klarer Größengrenzen den Kreis der betroffenen Institute fest, lässt aber zugleich Raum für aufsichtliches Handeln.
Allgemeiner Teil
"In der Regel" deutet einerseits darauf hin, dass auch Institute unterhalb dieser Größengrenzen grundsätzlich als groß und komplex eingestuft werden können und lässt zugleich die Möglichkeit offen, bestimmte Institute trotz einer Bilanzsumme von größer 30 Milliarden Euro durch aufsichtliche Entscheidung, beispielsweise wenn deren Geschäftsmodell als wenig komplex einzustufen ist, aus der Gruppe der großen und komplexen Institute auszunehmen. Da mit den auslegungsbedürftigen Kriterien Handlungsspielraum geschaffen wurde, kann dieser nun durch die Aufsicht dazu genutzt werden, zielgerichteter und individueller über die Einstufung der Institute zu entscheiden.
Der Entwurf der MaRisk trägt auch der zunehmenden Bedeutung von Kryptowerten Rechnung. Nach den Vorschriften des Kreditwesengesetzes gilt das Kryptoverwahrgeschäft, die Verwahrung, die Verwaltung und die Sicherung von Kryptowerten oder privaten kryptografischen Schlüsseln, die dazu dienen, Kryptowerte zu halten, zu speichern oder zu übertragen bereits als Finanzdienstleistungsgeschäft (§ 1 Abs. 1a Nr. 6 KWG) sowie Kryptowerte selbst als Finanzinstrumente (§ 1 Abs. 11 Nr. 10 KWG). Konsequenterweise werden daher Geschäfte in Kryptowerten den Handelsgeschäften im Sinne der MaRisk zugeordnet. Für sie gelten daher - wie auch für andere, vergleichbare Geschäfte an den Geld- und Kapitalmärkten (zum Beispiel Geldmarktgeschäfte, Devisengeschäfte) - besondere organisatorische Anforderungen.
Die Änderungen im Bereich des AT 4.1 zur Risikotragfähigkeit beschränken sich im Wesentlichen auf einen Verweis auf den Leitfaden zur aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte, der zuletzt unter dem Datum 24. Mai 2018 von Deutscher Bundesbank und BaFin veröffentlicht wurde. Dort haben die deutschen Aufsichtsbehörden Grundsätze, Prinzipien und Kriterien festgelegt, die von der Aufsicht bei der Beurteilung der Risikotragfähigkeitskonzepte von Instituten, die der unmittelbaren deutschen Bankenaufsicht unterstehen, zugrunde gelegt werden. Sie konkretisieren damit zugleich auch die Inhalte der Überprüfung des ICAAP der Institute, die im Rahmen des SREP durch die Bankaufsichtsbehörden vorgenommen werden muss (EBA/GL/2014/13 vom 19. Dezember 2014). Darüber hinaus wird einleitend zur Risikotragfähigkeit klarstellend darauf hingewiesen, dass Risiken, die jeweils für sich betrachtet als unwesentlich einzustufen sind, zusammengefasst aber wesentlich sind, in der Risikotragfähigkeitsanalyse auf zusammengefasster Basis angemessen berücksichtigt werden müssen.
Im Abschnitt zu den Risikosteuerungs- und Controlling-Prozessen (AT 4.3.2) betont die Aufsicht in den Erläuterungen, dass zu einer wirksamen Beurteilung, Steuerung und Überwachung von Risiken auch die Bereitstellung von Informationen und Daten zu Sicherheiten sowie zu den für die Beurteilung und Steuerung des Risikos relevanten Zusammenhängen zwischen Sicherheiten und zugrunde liegender Transaktion erforderlich sind. Dies dürfte für zahlreiche Institute eine Herausforderung darstellen, die in den kommenden Jahren zu teilweise erheblichen informationstechnischen Anstrengungen führen dürfte, da die elektronische Verfügbarkeit von insbesondere risikorelevanten Informationen zu den gestellten Kreditsicherheiten nur in geringem Umfang gewährleistet ist.
Risikosteuerung und Compliance
In den meisten Fällen bedeutet die Erweiterung der Risikoanalyse von Kreditverhältnissen um Risikofaktoren, die mittelbar über die Sicherstellung wirken, umfangreiche manuelle Arbeiten. Damit steht auch die Anforderung, die Risikoberichterstattung um Informationen zu vorhandenen Risikokonzentrationen zu erweitern, in mittelbarem Zusammenhang - sowohl gegenüber der Geschäftsleitung als auch gegenüber dem Aufsichtsorgan. Dabei ist davon auszugehen, dass auch mittelbare Risikokonzentrationen, wie sie aus gleichartigen Sicherheiten resultieren, zu berichten sein werden. Ferner können Risikokonzentrationen bei Immobilien auch in Bezug auf den Mieter oder den Wirtschaftszweig des Mieters bestehen und in Phasen der wirtschaftlichen Schlechtentwicklung von Bedeutung werden.
In den Ausführungen zu der Compliance-Funktion für große und komplexe Institute betont die Aufsicht nochmals deren Unabhängigkeit und Eigenständigkeit, indem ausgeführt wird, dass lediglich Compliance-nahe Bereiche in der unabhängigen Compliance-Funktion angesiedelt werden dürfen. Ausgeschlossen ist dies ausdrücklich für Bereiche, die für sich umfangreiche gesetzliche Vor gaben einzuhalten haben und die eine wesentliche Funktion für die Aufrechterhaltung eines ordnungsgemäßen Geschäftsbetriebs haben (zum Beispiel der Auslagerungsbeauftragte, der Informationssicherheitsbeauftragte sowie das Business Continuity Management). Unklarheit besteht im Hinblick auf die Berichterstattung der Compliance-Funktion.
Während in AT 4.4.2 Randnummer 7 als Adressat der Berichterstattung ausdrücklich nur die Geschäftsleitung genannt ist und eine Weiterleitung der Berichterstattung der Compliance-Funktion an den Aufsichtsrat (und die Interne Revision) vorgegeben wird, nennen die Erläuterungen zu der betreffenden Randnummer als Adressaten zusätzlich jedes Mitglied des Aufsichtsorgans. Nach den Erläuterungen kann die Berichterstattung aber auch - sofern ein entsprechend zuständiger Ausschuss besteht - nur an den betreffenden Ausschuss weitergeleitet werden. Dennoch soll jedem Mitglied des Aufsichtsrats die Möglichkeit zur Einsichtnahme eingeräumt werden. Insgesamt legt dies nahe, dass eine originäre Berichterstattung der Compliance-Funktion an das Aufsichtsorgan beziehungsweise jedes Mitglied des Aufsichtsorgans nicht beabsichtigt ist.
Neues Notfallmanagement
Die Regelungen zum Notfallmanagement wurden hingegen deutlich ausgeweitet. Während bislang der Fokus der Aufsicht auf den Anforderungen an die Ausgestaltung und Funktionsfähigkeit eines Notfallkonzepts lag, sollen nun umfangreiche Regelungen zu einem Notfallmanagementprozess in Kraft treten, um sicherzustellen, dass Beeinträchtigungen zeitkritischer Aktivitäten und Prozesse nicht zu einem inakzeptablen Schaden beim Institut führen. Grundlage für das Notfallkonzept und die dort zu treffenden Regelungen sind Risiko- und Auswirkungsanalysen, die dem Institut Transparenz darüber geben sollen, welche Auswirkungen Beeinträchtigungen von geschäftskritischen Aktivitäten und Prozessen auf das Institut haben.
Hierzu gehört auch die Erhebung und Analyse möglicher materieller und immaterieller Schäden unter Berücksichtigung des Zeitpunkts des Ausfalls der betreffenden Prozesse. Im Notfallkonzept sind Verantwortlichkeiten, Ziele und Maßnahmen zur Fortführung beziehungsweise Wiederherstellung von zeitkritischen Aktivitäten und Prozessen festzulegen und Kriterien für die Einstufung sowie für das Auslösen der Pläne zu definieren. Grundlage der Auswirkungsanalyse von Notfallszenarien bildet in der Regel eine Prozesslandkarte. Für wesentliche Prozesse ist eine Analyse schwerwiegender Ereignisse mit besonders hohem Schadenspotenzial vorzunehmen. Hierbei sind mindestens der vollständige oder teilweise Ausfall einzelner Standorte durch externe Ereignisse, der Ausfall von geschäftskritischen IT-Systemen oder Dienstleistern sowie der Ausfall einer kritischen Anzahl von Mitarbeitern zu analysieren. Die im Notfallkonzept festgelegten Maßnahmen sind in regelmäßigen Zeitabständen auf ihre Wirksamkeit hin zu überprüfen, wobei dies für zeitkritische Aktivitäten und Prozesse mindestens jährlich nachzuweisen ist. Das Notfallkonzept ist anlassbezogen zu aktualisieren, jährlich auf Aktualität zu überprüfen und angemessen zu kommunizieren. Die Geschäftsleitung hat sich mindestens quartalsweise und darüber hinaus auch anlassbezogen über den Zustand des Notfallmanagements schriftlich berichten zu lassen.
Auslagerungen
Ein Schwerpunkt des Konsultationsentwurfs 14/2020 ist die Überführung der Regeln der EBA-Leitlinien zu Auslagerungen (Outsourcing Guidelines; EBA/GL/ 2019/02) in die nationale Aufsichtspraxis. Die dort auf 125 Seiten aufgeführten detaillierten Ausführungen hat die deutsche Aufsicht in die prinzipienbasierte Darstellungsweise der MaRisk überführt. Die vorgenommenen Konkretisierungen und Erweiterungen erstrecken sich über den gesamten Auslagerungszyklus beziehungsweise die entsprechenden Regelungen dazu in den MaRisk.
Zu Beginn ihrer Ausführungen schärft die deutsche Aufsicht die Definition des Auslagerungstatbestands. Dazu wird in den Erläuterungen zu Tz. 1 des AT 9 der "Sonstige Fremdbezug von Leistungen" durch die Aufnahme von weiteren Beispielen ergänzt. So wird jetzt zum Beispiel dargestellt, dass die Nutzung öffentlich zugänglicher Daten von Marktinformationsdienstleistern, die Verwendung von globalen Zahlungsverkehrsinfrastrukturen, die Nutzung von globalen Nachrichteninfrastrukturen zur Übermittlung von Zahlungsverkehrsdaten sowie der Erwerb von Dienstleistungen wie die Bereitstellung eines Rechtsgutachtens, die Vertretung vor Gericht und Verwaltungsbehörden als auch Versorgungsleistungen als Sonstiger Fremdbezug einzustufen ist. Nach der Definition des Auslagerungstatbestands konkretisiert die Aufsicht auch die Anforderungen an die Risikoanalyse noch weiter. Dazu wird betont, dass in der Risikoanalyse bewertet werden muss, welche Risiken mit einer Auslagerung verbunden sind und dass die Ergebnisse in der Auslagerungs- und Risikosteuerung beachtet werden müssen. Die Risikoanalyse soll sich zukünftig auch detailliert mit den Risiken der Weiterverlagerung beziehungsweise der Länge und Komplexität von Auslagerungsketten auseinandersetzen. In die Risikoanalyse sollen nun auch Aspekte, wie das Vorliegen mehrerer Auslagerungsvereinbarungen beziehungsweise Auslagerungsverträge mit demselben Auslagerungsunternehmen, politische Risiken, Maßnahmen zur Steuerung und Minderung der Risiken, mögliche Interessenkonflikte, Schutzbedarf der an das Auslagerungsunternehmen übermittelten Daten sowie die anfallenden Kosten einbezogen werden.
Insbesondere ist zu berücksichtigen, inwiefern eine auszulagernde Aktivität oder ein auszulagernder Prozess innerhalb der Prozesslandschaft des Instituts als wesentlich einzustufen ist. Besonders erwähnenswert ist, dass die Risikoanalyse durch eine Szenarioanalyse ergänzt werden soll, sofern dies sinnvoll ist. Dem Proportionalitätsgrundsatz entsprechend sollen größere Institute dabei über qualitative Ansätze hinausgehen und zum Beispiel interne und externe Verlustdaten als Grundlage für die Szenarioanalyse heranziehen. Die Praxis wird zeigen, wie die Institute diesen neuen Aspekt zukünftig mit Leben füllen werden.
Ausweitungen für Tochterinstitute
Unverändert gilt, dass Aktivitäten und Prozesse auslagerbar sind, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Entsprechend der Vorgabe in den EBA Guidelines wird dies durch folgende Formulierung in Tz. 5 des AT 9 ergänzt: "Auslagerungen dürfen nicht dazu führen, dass das Institut nur noch als leere Hülle (empty shell) existiert." Außerdem, wird betont, dass die Auslagerung nicht in den unregulierten Bereich herein erfolgen dürfe. Das auslagernde Institut wird dabei in die Pflicht genommen, sicherzustellen, dass das Auslagerungsunternehmen zur Ausübung der ausgelagerten Aktivitäten und Prozesse befugt ist.
Von hoher praktischer Relevanz dürfte die Neuerung sein, dass für Tochterinstitute innerhalb einer Institutsgruppe zukünftig die vollständige Auslagerung aller besonderen Funktionen (Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision) zulässig sein kann. Diese Möglichkeit der Kosteneinsparung innerhalb des Konzerns wird von der deutschen Aufsicht zukünftig akzeptiert, sofern das gruppenangehörige auslagernde Institut sowohl hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist.
Erneut schärft die Aufsicht in Tz. 7 des AT 9 die Anforderungen an den Auslagerungsvertrag. Zukünftig müssen im Auslagerungsvertrag enthalten sein der Beginn und gegebenenfalls das Ende der Auslagerungsvereinbarung, die Festlegung des geltenden Rechts, die Standorte, in denen die Durchführung der Dienstleistung erfolgt und/oder kritische Daten gespeichert und verarbeitet werden, die vereinbarte Dienstleistungsgüte mit eindeutigen quantitativen und qualitativen Leistungszielen, der Umgang mit Versicherungen, Anforderungen für die Umsetzung und Überprüfung von Notfallkonzepten sowie Regelungen, die sicherstellen, dass das Auslagerungsunternehmen in einer mit den Werten und dem Verhaltenskodex des auslagernden Instituts im Einklang stehenden Weise handelt.
Daneben ergänzt die Aufsicht, dass Informations- und Prüfungsrechte sowie Regelungen zu datenschutzrechtlichen Bestimmungen und zu sonstigen Sicherheitsanforderungen auch für nicht wesentliche Auslagerungen, vertraglich vereinbart werden sollten. Für den Fall einer Kündigung soll das Auslagerungsunternehmen vertraglich verpflichtet werden, das Institut bei der Übertragung der ausgelagerten Aktivität beziehungsweise des ausgelagerten Prozesses an ein anderes Auslagerungsunternehmen oder ihre beziehungsweise seine Reintegration in das Institut zu unterstützen.
Auslagerungen auf Verbundebene
Durch die Streichung des Wortes "wesentlich" im ersten Satz der Tz. 9 macht die Aufsicht deutlich, dass die mit Auslagerungen verbundenen Risiken in jedem Fall, egal, ob es sich um eine wesentliche oder unwesentliche Auslagerung handelt, zu steuern und zu überwachen sind. Für die wesentlichen Auslagerungen konkretisiert sie diese Anforderung dadurch, dass eine laufende Überwachung zum Beispiel anhand Key Performance Indicators erfolgen kann. Die aufsichtlichen Anforderungen an die Risikosteuerungsprozesse für unwesentliche Auslagerungen werden sich in der Praxis wahrscheinlich noch herauskristallisieren.
Jedes Institut, welches Auslagerungen vornimmt, hat im Sinne von Tz 12f. des AT 9 einen zentralen Auslagerungsbeauftragten zu benennen, welcher neben der jährlichen Berichterstattung nun auch anlassbezogen einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen hat. Der Auslagerungsbeauftragte soll unmittelbar der Geschäftsleitung unterstellt werden; bei kleineren, weniger komplexen Instituten kann diese Funktion auch durch ein Mitglied der Geschäftsleitung des Instituts ausgeübt werden. Für den Revisionsbeauftragten wurden in der Novelle eine identische Regelung aufgenommen (vergleiche Tz. 10 Erläuterungen).
Ebenso wie bei den besonderen Funktionen gibt es durch die Novelle Erleichterungen bei den Gruppen gemäß AT 4.5 und den Finanzverbünden. Nachfolgend werden die wichtigsten Aspekte dargestellt. Bei gruppen- und verbundinternen Auslagerungen können im Rahmen der Risikoanalyse ein einheitliches und umfassendes Risikomanagement sowie Durchgriffsrechte bei der Erstellung und Anpassung der Risikoanalyse risikomindernd berücksichtigt werden. Des Weiteren können Synergien erzielt werden durch die Möglichkeit zukünftig ein zentrales Auslagerungsmanagement auf Gruppenbeziehungsweise Verbundebene einzurichten. Daneben kann bei gruppen- und verbundinternen Auslagerungen auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen verzichtet werden. Ebenfalls in Umsetzung einer Anforderung der EBA Guidelines wird schließlich in Tz 15 des AT 9 die Einrichtung eines vollständigen und aktuellen Auslagerungsregisters mit Informationen über alle Auslagerungsvereinbarungen gefordert.
Notleidende und gestundete Risikopositionen
Die Neuregelungen zum Kreditgeschäft nehmen einen großen Teil der Änderungen der MaRisk ein. Dabei stehen die Anforderungen an das Management von Krediten im Mittelpunkt, die entweder bereits notleidend sind oder aber aufgrund von Schwierigkeiten der Kreditnehmer notleidend zu werden drohen. Einige dieser Anforderungen gelten nur für Institute mit einem hohen Bestand an notleidenden Krediten - sogenannte "Institute mit hohem NPL-Bestand" (vergleiche hierzu die Erläuterungen zur AT 2.1 MaRisk). Hierzu zählen alle Institute, deren Anteil an notleidenden Krediten am Gesamtbestand der Darlehen und Kredite 5 Prozent - gemessen jeweils an den Bruttobuchwerten - auf Einzel- oder Gruppenebene übersteigt. Welche Kredite als notleidend gelten, richtet sich nach den Vorschriften für das Meldewesen.
Institute mit hohem NPL-Bestand haben insbesondere im Bereich der Geschäfts- und Risikostrategie Festlegungen zu treffen, um die notleidenden Kredite über einen realistischen, aber hinreichend ambitionierten Zeithorizont zu reduzieren. Hierzu gehört zunächst eine intensive inhaltliche Auseinandersetzung mit dem operativen Geschäftsumfeld und den externen Bedingungen des Instituts mit dem Ziel, Ursachen und Zusammenhänge zu erkennen und in zielgerichtete Maßnahmen umzusetzen. Hierbei haben die Institute kurz-, mittel- und langfristige Ziele zu formulieren und mit geeigneten Maßnahmen zu unterlegen. Dabei sind sämtliche Handlungsoptionen in Betracht zu ziehen (zum Beispiel Haltestrategie, Forbearance-Optionen, aktiver Portfolioabbau, Änderung der Art der Risikoposition oder Sicherheit, Rettungserwerbe, rechtliche Optionen) und insbesondere festzulegen, welcher Umfang an notleidenden Krediten mit dem Risikoappetit des Instituts langfristig vereinbar ist.
Die strategischen Überlegungen sind in einen Umsetzungsplan für einen Zeitraum von ein bis drei Jahren zu überführen, der zumindest vierteljährlich anhand geeigneter Kennzahlen (vergleiche hierzu die Erläuterungen zu AT 4.4.1 Tz. 2 MaRisk) durch die Risikocontrolling-Funktion zu überwachen ist. Hierbei sind auch die Auswirkungen auf die Eigenkapitalanforderungen zu beachten. Wesentliche Abweichungen von dem Plan sind den Aufsichtsbehörden anzuzeigen. Zur Umsetzung der Maßnahmen sollen Institute mit hohem NPL-Bestand spezielle Organisationseinheiten einrichten, die mit entsprechend spezialisierten und hinreichend qualifizierten Mitarbeitern auszustatten sind. Diese Organisationseinheiten sind zwingend außerhalb des Bereichs Markt anzusiedeln und grundsätzlich auch vom Kreditvergabeprozess zu trennen - in jedem Fall sind aber Interessenkonflikte zu vermeiden.
Bewertung und Früherkennung
Eine wesentliche Rolle spielt auch die Bewertung von Sicherheiten. Nicht nur Institute mit hohem NPL-Bestand sondern alle Institute müssen bei Überleitung eines Kredits in die Sanierung oder Abwicklung den Sicherheitenwert (gegebenenfalls unter Realisationsgesichtspunkten) überprüfen. Dabei sind der voraussichtliche Verwertungserlös, die erwarteten Verwertungskosten, die voraussichtliche Verwertungsdauer durch Abzinsung sowie ein angemessener Wertabschlag ("Haircut") zu berücksichtigen.
In Abschnitt BTO 1.3 zur Früherkennung von Risiken werden umfangreiche Regelungen zu Forbearance-Maßnahmen in einem eigenen Unterabschnitt (BTO 1.3.2) eingeführt. Darin werden klare Grundsätze formuliert, wie Institute gegenüber Kreditnehmern gemachte Zugeständnisse zu behandeln haben. Zielsetzung dieser Zugeständnisse ist in der Regel die Vermeidung einer Zahlungsstörung und damit die Verschlechterung des Kredits in den Status "notleidend". Um hierbei eine einheitliche Vorgehensweise zu gewährleisten, haben die Institute eine Richtlinie in Kraft zu setzen, die die Grundzüge der Gewährung derartiger Zugeständnisse regelt (zum Beispiel Prozess und Verfahren, verfügbare Maßnahmen, Informationsanforderungen, Dokumentation sowie Überwachung der Effizienz und Wirksamkeit der Maßnahmen), um die Auswirkungen finanzieller Schwierigkeiten bei einem Kreditnehmer abzumildern.
Die Beurteilung finanzieller Schwierigkeiten darf sich dabei ausschließlich an der spezifischen finanziellen Situation des Kreditnehmers und nicht an den gestellten Sicherheiten orientieren. Bei der Festlegung geeigneter Forbearance-Maßnahmen hat das Institut die Rückzahlungsfähigkeit des Kreditnehmers zu berücksichtigen und die getroffenen Maßnahmen in angemessenen Abständen auf ihre Wirksamkeit hin zu überprüfen. Forbearance-Maßnahmen sollten dabei eine Wirkungsdauer von zwei Jahren nicht überschreiten.
Änderungen im besonderen Teil
Die Neuerungen in BTO 2 Handelsgeschäft fokussieren sich auf die Themen Kontrolle der Marktgerechtheit von Geschäftsabschlüssen und Bestätigungsverfahren. In BTO 2.2.1. Tz. 2 zur Marktgerechtigkeitsprüfung wurde der Punkt c) zur Offenlegung der "Abweichungen von den marktgerechten Bedingungen gegenüber dem Kunden in der Geschäftsbestätigung" gestrichen und in die Erläuterung zu dieser Textziffer überführt. In der Erläuterung zu Tz. 2 wird nun ausgeführt, dass es für die Dokumentation in den bankeigenen Geschäftsunterlagen ausreichend sei, wenn die Abweichung von marktgerechten Bedingungen durch die Offenlegung gegenüber dem Kunden in der Geschäftsbestätigung Rechnung getragen werde. Damit werden die Anforderungen an die interne Dokumentation geschärft und abschließend beschrieben.
Daneben wurden in den Erläuterungen zu BTO 2.2.1. Tz. 5 Erleichterungen im Prozesse der Marktgerechtigkeitskontrolle aufgenommen. Zukünftig darf bei einem Handel an organisierten Märkten auf eine Marktgerechtigkeitskontrolle verzichtet werden (vorher "Börsen" und "geregelte Märkte"). Die Aufsicht verweist in ihren Darstellungen auf entsprechende im Internet abrufbare Veröffentlichungen, die die organisierten Märkte definieren. Durch diese Neuerung brauchen Geschäfte, welche über multilaterale Handelssysteme (MTFs) abgeschlossen werden, nicht mehr zwangsläufig auf Marktgerechtheit durch die Institute geprüft werden. Für Geschäfte, die über organisierte Handelssysteme (OTFs) abgeschlossen werden, gelten entsprechende Erleichterungen jedoch nicht (vergleiche auch Art. 20 Abs. 1 MiFID II).
Zukünftig beinhaltet BTO 2.2.2 Tz. 3 nicht Ausführungen zu Abwicklungssystemen, sondern spricht von Abwicklungs- oder Bestätigungssystemen. In den dazugehörigen Erläuterungen wird aufgenommen, dass in Rahmenverträgen festgelegt werden kann, dass das Schweigen nach Ablauf einer im Voraus vereinbarten Frist als Gegenbestätigung anzusehen ist. Damit besteht zukünftig nicht mehr die Notwendigkeit Mahnungen bei ausbleibenden Bestätigungen zu versenden; die Vorschrift passt sich damit der Praxis an, in der im internationalen Bereich Gegenbestätigungen unüblich sind. Außerdem kann zukünftig bei Geschäften in OTC-Derivaten (over the counter) eine Bestätigung gemäß Art. 11 Abs. 1 a) der Verordnung EU 648/2012 (EMIR) ausreichend sein, sofern sie vom Handel unabhängig erfolgt und der Meldepflicht an ein Transaktionsregister nachgekommen wird.
Die Darstellungen zum Management der Adressausfallrisiken (BTR 1) wurden in den Erläuterungen zu Tz. 4 um Darstellungen zum Umgang mit Emittentenlimiten zu Zwecken des Handels ergänzt. Eine Anrechnung von Handelsgeschäften auf kurzfristig eingeräumte Emittentenlimite ist dann ausreichend, sofern angemessene Limit-Verfahren existieren und die Papiere nicht länger als drei Monate beim Institut verbleiben. Bei Handelsgeschäfte für das Anlagebuch sollen vor Erwerb ein festgelegter Bearbeitungsprozess durchlaufen und ein Limit allokiert werden. Da das Neuemissionsgeschäft in der Regel sehr kurzfristig abgewickelt wird, kann in diesen engen Zeiträumen nicht immer ein vollständiger Limit-Prozess durchlaufen werden. Nach Erwerb soll der Bearbeitungsprozess zur Genehmigung des individuellen Emittentenlimits schnellstmöglich durchlaufen werden. Eine Anrechnung auf Globallimit ist vorab möglich.
Emittentenlimite und operationelle Risiken
In den Erläuterungen zu Textziffer 3 des BTR 3.2, die sich den zusätzlichen Anforderungen an kapitalmarktorientierte Institute widmen, wurde die Definition von Institutionellen Anlegern geschärft. Die Regelungen zu den operationellen Risiken in BTR 4 hat die Aufsicht insbesondere in Bezug auf die Analysen von Schadensfällen erweitert. Für die Schadenserfassung nach Tz. 3 wird fixiert, dass Sammelschäden als solche in der Datenbasis erkennbar und auswertbar gemacht werden müssen. Des Weiteren wird in Tz. 4 betont, dass die Verfahren für die Beurteilung der operationellen Risiken die wesentlichen Ausprägungen aufzeigen müssen. Dazu sollen historische Erkenntnisse (insbesondere Schadensfälle), aktuelle (Prozess-)Schwächen sowie potenzielle Ereignisse Berücksichtigung finden. Unter dem Management der operationellen Risiken versteht die Aufsicht unter anderem auch, dass die Erkenntnisse aus der IT-Sicherheit, der Compliance, den Anpassungsprozessen sowie den Prozessen des Notfall- und Auslagerungsmanagements einbezogen werden. Der am 26. Oktober 2020 zur Konsultation gestellte Entwurf soll planmäßig im ersten Quartal 2021 als 6. MaRisk-Novelle veröffentlicht werden.
