deen

Branchen

ZAG-MaRisk: Die neue Regulierung von Zahlungsdienstleistern

Im Mai 2024 hat die Bun­des­an­stalt für Fi­nanz­dienst­leis­tungs­auf­sicht (Ba­Fin) das Rund­schrei­ben: 01/2024 (BA) – die Min­dest­an­for­de­run­gen an das Ri­si­ko­ma­nage­ment von ZAG-In­sti­tu­ten (ZAG-Ma­Risk) - veröff­ent­licht. Im Juni 2024 wurde die Nr. des Rund­schrei­bens auf 07/2024 (BA) geändert. Die Ma­Risk der Ba­Fin gal­ten bis­lang nur für Kre­dit- und Fi­nanz­dienst­leis­tungs­in­sti­tute, die dem Kre­dit­we­sen­ge­setz (KWG) un­ter­lie­gen. Sie wur­den in der Re­gel von ZAG-In­sti­tu­ten ana­log an­ge­wen­det. Mit den ZAG-Ma­Risk wer­den nun erst­ma­lig ei­gene Re­ge­lun­gen für In­sti­tute, die un­ter das Zah­lungs­diens­teauf­sichts­ge­setz (ZAG) fal­len, ge­schaf­fen.

Kernziele der ZAG-MaRisk

Zah­lungs­dienst­leis­ter spie­len in der heu­ti­gen di­gi­ta­li­sier­ten Welt eine im­mer größer wer­dende Rolle. Die Ge­schäfts­mo­delle die­ser In­sti­tute sind vielfältig und rei­chen von klas­si­schen Über­wei­sungs­diens­ten bis hin zu in­no­va­ti­ven Pay­ment-Lösun­gen. Mit der ra­san­ten Ent­wick­lung die­ser Bran­che gin­gen auch neue Ri­si­ken ein­her, die nach Be­ur­tei­lung der Auf­sicht ei­ner spe­zi­fi­schen Ge­schäfts­or­ga­ni­sa­tion bedürfen.

© unsplash

Die Kern­ziele der ZAG-Ma­Risk sind ins­be­son­dere:

Angemessenes Risikomanagement

Das grund­le­gende Ziel der ZAG-Ma­Risk ist die Schaf­fung ei­nes an­ge­mes­se­nen Ri­si­ko­ma­nage­ments, das spe­zi­fi­sch auf die be­son­de­ren Ge­fah­ren des Zah­lungs­ver­kehrs aus­ge­rich­tet ist. Das Rund­schrei­ben um­fasst da­her ins­be­son­dere An­for­de­run­gen an die Ri­si­ko­st­ra­te­gie, das Ri­si­ko­con­trol­ling und -ma­nage­ment, aber auch in­terne Kon­trol­len, IT-Si­cher­heit und das Aus­la­ge­rungs­ma­nage­ment, wie nach­fol­gend dar­ge­stellt:

Anwendungsbereich der ZAG-MaRisk

Die ZAG-Ma­Risk fin­den An­wen­dung auf In­sti­tute i. S. d. § 1 Abs. 3 bzw. § 42 Abs. 1 ZAG so­wie auf Zweig­nie­der­las­sun­gen deut­scher In­sti­tute im Aus­land. In­sti­tute nach § 1 Abs. 3 ZAG sind alle Zah­lungs­in­sti­tute und E-Geld-In­sti­tute. Auf Zweig­nie­der­las­sun­gen von Un­ter­neh­men mit Sitz in einem an­de­ren Staat des Eu­ropäischen Wirt­schafts­raums fin­den sie keine An­wen­dung.

Hin­weis: Die ZAG-Ma­Risk gel­ten un­mit­tel­bar mit ih­rer Veröff­ent­li­chung, gewähren den ZAG-In­sti­tu­ten aber eine Überg­angs­frist für die Im­ple­men­tie­rung bis zum 01.01.2025.

Anlehnung an die MaRisk für Banken und Finanzdienstleister

Die Struk­tur der ZAG-Ma­Risk ist ab­ge­se­hen von ver­ein­zel­ten Er­leich­te­run­gen in Form von Öff­nungs­klau­seln stark an die Ma­Risk für Ban­ken und Fi­nanz­dienst­leis­ter an­ge­lehnt. Die Ab­schnitte BTO so­wie BTO 1 - 3 spie­geln je­doch die spe­zi­fi­schen An­for­de­run­gen des ZAG wie­der, die sich ins­be­son­dere die ge­schäfts­mo­dell­spe­zi­fi­schen Ri­si­ken von ZAG-In­sti­tu­ten be­zie­hen bzw. sich mit der Auf­bau- und Ab­lauf­or­ga­ni­sa­tion bei der Er­brin­gung von Zah­lungs­diens­ten oder dem Be­trei­ben des E-Geld­ge­schäfts be­schäfti­gen.

Dies be­trifft Re­ge­lun­gen zu An­for­de­run­gen an die

  • Pro­zesse und Ver­fah­ren für Si­che­rungs­an­for­de­run­gen und die Ab­si­che­rung von Haf­tungsfällen (BTO 1),
  • Pro­zesse und Ver­fah­ren für die Be­trugspräven­tion, für die Über­wa­chung und Be­ar­bei­tung so­wie Fol­gemaßnah­men bei Si­cher­heits­vorfällen oder si­cher­heits­be­zo­ge­nen Kun­den­be­schwer­den (BTO 2) und
  • In­an­spruch­nahme von Agen­ten (BTO 3).

Hin­weis: Um­fang und Kom­ple­xität der ge­for­der­ten or­ga­ni­sa­to­ri­schen An­for­de­run­gen rich­ten sich auch hier nach dem be­trie­be­nen Ge­schäft und der da­mit ein­her­ge­hen­den Ri­si­ken.

Zwar sind in den ZAG-Ma­Risk keine ex­pli­zi­ten Re­ge­lun­gen zur Ri­si­ko­tragfähig­keit ent­hal­ten, al­ler­dings for­dert das Rund­schrei­ben, dass die we­sent­li­chen Ri­si­ken des ZAG-In­sti­tuts durch Ri­si­ko­de­ckungs­po­ten­zial un­ter Berück­sich­ti­gung von Ri­si­ko­kon­zen­tra­tio­nen aus­rei­chend ab­ge­schirmt wer­den und dass da­bei auch die Aus­wir­kun­gen von ESG-Ri­si­ken i.S. von AT 2.2 Tz. 1 ZAG-Ma­Risk an­ge­mes­sen und ex­pli­zit zu berück­sich­ti­gen sind. Da­bei geht es fak­ti­sch um die Ri­si­ko­tragfähig­keit, ohne dass der Be­griff ex­pli­zit fällt. Die Vor­ga­ben an die Me­tho­den zur Be­rech­nung so­wie die Ver­fah­ren sind für ZAG-In­sti­tute al­ler­dings deut­lich we­ni­ger de­zi­diert ge­re­gelt als die­je­ni­gen für Kre­dit­in­sti­tute und Fi­nanz­dienst­leis­ter in den Ma­Risk.

Das Thema ESG spielt ins­ge­samt eine wich­tige Rolle in den ZAG-Ma­Risk. ZAG-In­sti­tute müssen auf al­len Ebe­nen das Thema ESG berück­sich­ti­gen bspw. in Form ei­ner ge­for­der­ten nach­hal­ti­gen In­ves­ti­ti­ons­stra­te­gie oder des Ein­be­zugs von ESG-Ri­si­ken in die Ri­si­ko­ana­lyse oder Stress­tests. An­ders als in den Ma­Risk für Kre­dit­in­sti­tute und Fi­nanz­dienst­leis­ter wer­den in­verse Stress­test in den ZAG-Ma­Risk nicht ein­geführt.

Deut­lich stärker als bei den Ma­Risk für Ban­ken und Fi­nanz­dienst­leis­ter wer­den die ope­ra­tio­nel­len Ri­si­ken und de­ren Steue­rung in den Vor­der­grund gerückt. Da­bei sind ope­ra­tio­nelle Ri­si­ken im­mer als we­sent­lich ein­zu­stu­fen, wo­hin­ge­gen die Adress-, Markt- und Li­qui­ditätsri­si­ken eher im Hin­ter­grund ste­hen und nur in Abhängig­keit vom Ge­schäfts­mo­dell als we­sent­lich ein­zu­stu­fen sind.

Pflicht zur Errichtung einer Compliance-Funktion

Die ZAG-Ma­Risk schaf­fen auch Klar­heit im Hin­blick auf die Pflicht zur Ein­rich­tung der Com­pli­ance-Funk­tion. Im Ge­gen­satz zum KWG enthält das ZAG selbst hierzu keine Re­ge­lun­gen. Die ZAG-Ma­Risk schrei­ben nun­mehr die schon bis­lang ver­tre­tene Auf­fas­sung der Auf­sicht fest, dass die Ein­rich­tung ei­ner Com­pli­ance-Funk­tion auch für ZAG-In­sti­tute ver­pflich­tend ist. So­fern Un­ter­neh­men die Com­pli­ance-Funk­tion vollständig oder teil­weise aus­la­gen, er­ge­ben sich be­son­dere Maßstäbe für Aus­la­ge­rungsmaßnah­men. Die gilt auch für die vollständige oder teil­weise Aus­la­ge­rung der be­son­de­ren Funk­tio­nen, zu de­nen auch die Ri­si­ko­con­trol­ling-Funk­tion zählt. Aus­la­ge­run­gen dürfen nicht dazu führen, dass das In­sti­tut nur noch als leere Hülle exis­tiert. Eine vollständige Aus­la­ge­rung der Com­pli­ance-Funk­tion aber auch der Ri­si­ko­con­trol­ling-Funk­tion ist le­dig­lich für Toch­ter­in­sti­tute in­ner­halb ei­ner Gruppe gemäß § 1 Abs. 6 ZAG zulässig, so­fern das aus­la­gernde In­sti­tut so­wohl hin­sicht­lich sei­ner Größe, Kom­ple­xität und dem Ri­si­ko­ge­halt der Ge­schäfts­ak­ti­vitäten für den na­tio­na­len Fi­nanz­sek­tor als auch hin­sicht­lich sei­ner Be­deu­tung in­ner­halb der Gruppe als nicht we­sent­lich ein­zu­stu­fen ist. Glei­ches gilt für Grup­pen, wenn das Mut­ter­un­ter­neh­men kein In­sti­tut und im In­land ansässig ist. Eine vollständige Aus­la­ge­rung der Com­pli­ance-Funk­tion ist für ZAG-In­sti­tute fer­ner nur bei we­nig kom­ple­xen Ge­schäfts­ak­ti­vitäten möglich.

Hohe Anforderungen an die ZAG-Institute

Die Einführung der ZAG-Ma­Risk stellt ins­ge­samt hohe An­for­de­run­gen an die Be­trof­fe­nen. Die Zah­lungs­dienst­leis­ter müssen ihre bis­he­ri­gen Struk­tu­ren überprüfen und ggf. um­fas­sende An­pas­sun­gen vor­neh­men, um den neuen Nor­men zu ent­spre­chen. Be­son­ders her­aus­for­dernd dürfte für viele In­sti­tute die Im­ple­men­tie­rung ei­ner ganz­heit­li­chen IT-Si­cher­heits­stra­te­gie sein, da Zah­lungs­dienste stark tech­no­lo­gie­ge­trie­ben sind und sich ständig wei­ter­ent­wi­ckeln.

Hand­lungs­be­darf dürfte bei vie­len ZAG-In­sti­tu­ten u.a. auch beim Aus­la­ge­rungs­ma­nage­ment be­ste­hen. Da­bei ist ins­be­son­dere zu berück­sich­ti­gen, dass der Be­griff der Aus­la­ge­rung weit aus­ge­legt wird und bspw. bei den Aus­la­ge­run­gen im IT-Be­reich der ge­samte Ge­schäfts­be­trieb des ZAG-In­sti­tuts zu be­trach­ten ist, un­abhängig da­von, ob der be­trof­fene Be­reich un­ter die re­gu­lierte oder die un­re­gu­lierte Ge­schäftstätig­keit fällt. Ins­ge­samt dürfte hier für viele ZAG-In­sti­tute ein nicht un­er­heb­li­cher Hand­lungs­be­darf in me­tho­di­scher, pro­zes­sua­ler und ver­trag­li­cher Hin­sicht be­ste­hen.

Das Rund­schrei­ben trägt aber an­de­rer­seits auch der he­te­ro­ge­nen In­sti­tuts­struk­tur und der Viel­falt der Ge­schäfts­ak­ti­vitäten Rech­nung. Es enthält zahl­rei­che Öff­nungs­klau­seln, die abhängig von der Kom­ple­xität der Ge­schäfts­ak­ti­vitäten und der Ri­si­ko­si­tua­tion eine ver­ein­fachte Um­set­zung ermögli­chen. In­so­weit kann es vor al­lem auch von In­sti­tu­ten mit we­nig kom­ple­xen Ge­schäfts­ak­ti­vitäten fle­xi­bel um­ge­setzt wer­den.

Mit den ZAG-Ma­Risk soll die Si­cher­heit und Sta­bi­lität des Zah­lungs­ver­kehrs gefördert wer­den. Diese Min­dest­stan­dards stel­len zwar eine Her­aus­for­de­rung für die Bran­che dar, ermögli­chen je­doch lang­fris­tig eine sta­bi­lere und ver­trau­enswürdi­gere Um­ge­bung für Zah­lungs­dienst­leis­ter und ihre Kun­den. Es wird nun dar­auf an­kom­men, wie die ZAG-In­sti­tute diese Vor­ga­ben in die Pra­xis um­set­zen und wel­che Aus­wir­kun­gen sich dar­aus für den Fi­nanz­sek­tor er­ge­ben.

nach oben