ZAG-MaRisk: Die neue Regulierung von Zahlungsdienstleistern
Im Mai 2024 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) das Rundschreiben: 01/2024 (BA) – die Mindestanforderungen an das Risikomanagement von ZAG-Instituten (ZAG-MaRisk) - veröffentlicht. Im Juni 2024 wurde die Nr. des Rundschreibens auf 07/2024 (BA) geändert. Die MaRisk der BaFin galten bislang nur für Kredit- und Finanzdienstleistungsinstitute, die dem Kreditwesengesetz (KWG) unterliegen. Sie wurden in der Regel von ZAG-Instituten analog angewendet. Mit den ZAG-MaRisk werden nun erstmalig eigene Regelungen für Institute, die unter das Zahlungsdiensteaufsichtsgesetz (ZAG) fallen, geschaffen.
Kernziele der ZAG-MaRisk
Zahlungsdienstleister spielen in der heutigen digitalisierten Welt eine immer größer werdende Rolle. Die Geschäftsmodelle dieser Institute sind vielfältig und reichen von klassischen Überweisungsdiensten bis hin zu innovativen Payment-Lösungen. Mit der rasanten Entwicklung dieser Branche gingen auch neue Risiken einher, die nach Beurteilung der Aufsicht einer spezifischen Geschäftsorganisation bedürfen.
Die Kernziele der ZAG-MaRisk sind insbesondere:
Angemessenes Risikomanagement
Das grundlegende Ziel der ZAG-MaRisk ist die Schaffung eines angemessenen Risikomanagements, das spezifisch auf die besonderen Gefahren des Zahlungsverkehrs ausgerichtet ist. Das Rundschreiben umfasst daher insbesondere Anforderungen an die Risikostrategie, das Risikocontrolling und -management, aber auch interne Kontrollen, IT-Sicherheit und das Auslagerungsmanagement, wie nachfolgend dargestellt:
Anwendungsbereich der ZAG-MaRisk
Die ZAG-MaRisk finden Anwendung auf Institute i. S. d. § 1 Abs. 3 bzw. § 42 Abs. 1 ZAG sowie auf Zweigniederlassungen deutscher Institute im Ausland. Institute nach § 1 Abs. 3 ZAG sind alle Zahlungsinstitute und E-Geld-Institute. Auf Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums finden sie keine Anwendung.
Hinweis: Die ZAG-MaRisk gelten unmittelbar mit ihrer Veröffentlichung, gewähren den ZAG-Instituten aber eine Übergangsfrist für die Implementierung bis zum 01.01.2025.
Anlehnung an die MaRisk für Banken und Finanzdienstleister
Die Struktur der ZAG-MaRisk ist abgesehen von vereinzelten Erleichterungen in Form von Öffnungsklauseln stark an die MaRisk für Banken und Finanzdienstleister angelehnt. Die Abschnitte BTO sowie BTO 1 - 3 spiegeln jedoch die spezifischen Anforderungen des ZAG wieder, die sich insbesondere die geschäftsmodellspezifischen Risiken von ZAG-Instituten beziehen bzw. sich mit der Aufbau- und Ablauforganisation bei der Erbringung von Zahlungsdiensten oder dem Betreiben des E-Geldgeschäfts beschäftigen.
Dies betrifft Regelungen zu Anforderungen an die
- Prozesse und Verfahren für Sicherungsanforderungen und die Absicherung von Haftungsfällen (BTO 1),
- Prozesse und Verfahren für die Betrugsprävention, für die Überwachung und Bearbeitung sowie Folgemaßnahmen bei Sicherheitsvorfällen oder sicherheitsbezogenen Kundenbeschwerden (BTO 2) und
- Inanspruchnahme von Agenten (BTO 3).
Hinweis: Umfang und Komplexität der geforderten organisatorischen Anforderungen richten sich auch hier nach dem betriebenen Geschäft und der damit einhergehenden Risiken.
Zwar sind in den ZAG-MaRisk keine expliziten Regelungen zur Risikotragfähigkeit enthalten, allerdings fordert das Rundschreiben, dass die wesentlichen Risiken des ZAG-Instituts durch Risikodeckungspotenzial unter Berücksichtigung von Risikokonzentrationen ausreichend abgeschirmt werden und dass dabei auch die Auswirkungen von ESG-Risiken i.S. von AT 2.2 Tz. 1 ZAG-MaRisk angemessen und explizit zu berücksichtigen sind. Dabei geht es faktisch um die Risikotragfähigkeit, ohne dass der Begriff explizit fällt. Die Vorgaben an die Methoden zur Berechnung sowie die Verfahren sind für ZAG-Institute allerdings deutlich weniger dezidiert geregelt als diejenigen für Kreditinstitute und Finanzdienstleister in den MaRisk.
Das Thema ESG spielt insgesamt eine wichtige Rolle in den ZAG-MaRisk. ZAG-Institute müssen auf allen Ebenen das Thema ESG berücksichtigen bspw. in Form einer geforderten nachhaltigen Investitionsstrategie oder des Einbezugs von ESG-Risiken in die Risikoanalyse oder Stresstests. Anders als in den MaRisk für Kreditinstitute und Finanzdienstleister werden inverse Stresstest in den ZAG-MaRisk nicht eingeführt.
Deutlich stärker als bei den MaRisk für Banken und Finanzdienstleister werden die operationellen Risiken und deren Steuerung in den Vordergrund gerückt. Dabei sind operationelle Risiken immer als wesentlich einzustufen, wohingegen die Adress-, Markt- und Liquiditätsrisiken eher im Hintergrund stehen und nur in Abhängigkeit vom Geschäftsmodell als wesentlich einzustufen sind.
Pflicht zur Errichtung einer Compliance-Funktion
Die ZAG-MaRisk schaffen auch Klarheit im Hinblick auf die Pflicht zur Einrichtung der Compliance-Funktion. Im Gegensatz zum KWG enthält das ZAG selbst hierzu keine Regelungen. Die ZAG-MaRisk schreiben nunmehr die schon bislang vertretene Auffassung der Aufsicht fest, dass die Einrichtung einer Compliance-Funktion auch für ZAG-Institute verpflichtend ist. Sofern Unternehmen die Compliance-Funktion vollständig oder teilweise auslagen, ergeben sich besondere Maßstäbe für Auslagerungsmaßnahmen. Die gilt auch für die vollständige oder teilweise Auslagerung der besonderen Funktionen, zu denen auch die Risikocontrolling-Funktion zählt. Auslagerungen dürfen nicht dazu führen, dass das Institut nur noch als leere Hülle existiert. Eine vollständige Auslagerung der Compliance-Funktion aber auch der Risikocontrolling-Funktion ist lediglich für Tochterinstitute innerhalb einer Gruppe gemäß § 1 Abs. 6 ZAG zulässig, sofern das auslagernde Institut sowohl hinsichtlich seiner Größe, Komplexität und dem Risikogehalt der Geschäftsaktivitäten für den nationalen Finanzsektor als auch hinsichtlich seiner Bedeutung innerhalb der Gruppe als nicht wesentlich einzustufen ist. Gleiches gilt für Gruppen, wenn das Mutterunternehmen kein Institut und im Inland ansässig ist. Eine vollständige Auslagerung der Compliance-Funktion ist für ZAG-Institute ferner nur bei wenig komplexen Geschäftsaktivitäten möglich.
Hohe Anforderungen an die ZAG-Institute
Die Einführung der ZAG-MaRisk stellt insgesamt hohe Anforderungen an die Betroffenen. Die Zahlungsdienstleister müssen ihre bisherigen Strukturen überprüfen und ggf. umfassende Anpassungen vornehmen, um den neuen Normen zu entsprechen. Besonders herausfordernd dürfte für viele Institute die Implementierung einer ganzheitlichen IT-Sicherheitsstrategie sein, da Zahlungsdienste stark technologiegetrieben sind und sich ständig weiterentwickeln.
Handlungsbedarf dürfte bei vielen ZAG-Instituten u.a. auch beim Auslagerungsmanagement bestehen. Dabei ist insbesondere zu berücksichtigen, dass der Begriff der Auslagerung weit ausgelegt wird und bspw. bei den Auslagerungen im IT-Bereich der gesamte Geschäftsbetrieb des ZAG-Instituts zu betrachten ist, unabhängig davon, ob der betroffene Bereich unter die regulierte oder die unregulierte Geschäftstätigkeit fällt. Insgesamt dürfte hier für viele ZAG-Institute ein nicht unerheblicher Handlungsbedarf in methodischer, prozessualer und vertraglicher Hinsicht bestehen.
Das Rundschreiben trägt aber andererseits auch der heterogenen Institutsstruktur und der Vielfalt der Geschäftsaktivitäten Rechnung. Es enthält zahlreiche Öffnungsklauseln, die abhängig von der Komplexität der Geschäftsaktivitäten und der Risikosituation eine vereinfachte Umsetzung ermöglichen. Insoweit kann es vor allem auch von Instituten mit wenig komplexen Geschäftsaktivitäten flexibel umgesetzt werden.
Mit den ZAG-MaRisk soll die Sicherheit und Stabilität des Zahlungsverkehrs gefördert werden. Diese Mindeststandards stellen zwar eine Herausforderung für die Branche dar, ermöglichen jedoch langfristig eine stabilere und vertrauenswürdigere Umgebung für Zahlungsdienstleister und ihre Kunden. Es wird nun darauf ankommen, wie die ZAG-Institute diese Vorgaben in die Praxis umsetzen und welche Auswirkungen sich daraus für den Finanzsektor ergeben.
Ansprechpartner