VV-Dienstleister und Aufsicht

 

Beauftragtenwesen –zunehmende Herausforderungen durch regulatorische Vorgaben

 

Einführung

Nach den gesetzlichen Vorgaben und den Regularien der BaFin sind von KWG-regulierten Finanzdienstleistern zahlreiche Beauftragten-Funktionen in ihrer Organisation zu definieren und vorzuhalten. Vor allem ist eine Besetzung der Funktionen mit fachlich geeigneten Personen wichtig.

Die damit verbundenen Anforderungen stellen häufig gerade kleinere Finanzdienstleister vor größere Herausforderungen. Die zu verschiedenen Themen zu benennenden Beauftragten wurden in den letzten Jahren stetig mehr, so dass die Belegung dieser Funktionen in einer überschaubaren Organisation kapazitätsmäßig oft nur schwer darstellbar ist. Die mögliche Kombination verschiedener Funktionen ist begrenzt und die Abgrenzung der Tätigkeiten werfen häufig Fragen auf. Ferner bestehen teilweise Informationspflichten an Aufsichtsrat und BaFin sowie Berichterstattungspflichten der einzelnen Funktionsträger.

In der Praxis ist daher eine zunehmende Übertragung - zumindest einzelner der vorzuhaltenden Funktionen - auf spezialisierte externe Dienstleister zu beobachten. Übertragen werden häufig die Funktionen betreffend Interne Revision, Compliance und/oder Geldwäsche sowie Datenschutz.

 

Funktionen und Beauftragte bei einem regulierten Institut

Die Interne Revision ist eine ausnahmslos zwingend einzurichtende Überwachungsfunktion innerhalb eines Instituts. Sie ist Teil der im KWG geforderten Regelungen zur Steuerung und Überwachung von Risiken, ordnungsgemäßer Geschäftsorganisation und angemessener Kontrollverfahren. Ein wesentliches Merkmal der Internen Revision ist, dass sie eine prozessunabhängige Funktion innerhalb des Unternehmens darstellt. Grundsätzlich ist die Einrichtung einer selbstständigen Organisationseinheit erforderlich; bei kleinen Instituten kann dies verzichtbar sein.

Die Interne Revision ist zuständig für die Prüfung aller wesentlichen betrieblichen Funktionen einschließlich der Support-Funktionen wie beispielsweise Rechnungslegung/Finanzen oder auch Risikomanagement und Compliance. Als Instrument des Managements dient sie dessen Unterstützung und kann in gewissem Maße auch eine beratende Rolle bei Fragen der Effizienz und sonstiger Aufgabenstellungen wahrnehmen. Die Interne Revision ist dabei nicht mit dem prozessabhängigen Controlling gleichzusetzen. Sie ist tätig auf Basis einer zwingend vorgesehenen mehrjährigen und risikoorientierten Revisionsplanung.

Sofern die Funktion der Internen Revision an einen Dienstleister ausgelagert wird, ist zwingend aus dem Kreis des unternehmenseigenen Personals ein Revisionsbeauftragter zu bestimmen. Dieser soll die unmittelbare Verantwortlichkeit des Unternehmens selbst für die Revisionsfunktion unterstreichen.

Die Compliance-Funktion wird ebenfalls als Teil des Internen Kontrollsystems betrachtet. Sie ist auf Basis des WpHG und der Vorgaben der Mindestanforderungen an Compliance (MaComp) und der Mindestanforderungen an das Risikomanagement (MaRisk) in jedem Institut zu implementieren. Ausnahmen für kleinere Institute sind nicht vorgesehen. Aufbauorganisatorisch ist die Compliance-Funktion generell von den Bereichen zu trennen, die für Initiierung und Abschluss von Geschäften zuständig sind, was insbesondere für kleine Institute in der Praxis aber häufig schwierig ist. Grundsätzlich ist auch für die Compliance-Funktion die Einrichtung einer selbstständigen Organisationseinheit erforderlich, was in Ausnahmefällen und unter bestimmten Voraussetzungen aber auch verzichtbar sein kann. Als Aufgaben sind insbesondere die Überwachung der WpHG-Vorschriften und der Einhaltung sämtlicher weiterer (wesentlicher) rechtlicher Regelungen, (z.B. Geldwäsche + Datenschutz) zu nennen. Für den Compliance-Beauftragten bestehen konkret definierte Anforderungen an die Sachkunde und Zuverlässigkeit.

In den MaRisk ist außerdem die Einrichtung einer Risikocontrolling-Funktion vorgegeben. Die Benennung des „Inhabers“ der Risikocontrolling-Funktion sowie die konkrete Ausgestaltung des Aufgabenbereichs werden im Sinne des Proportionalitätsgrundsatzes weitestgehend den Instituten überlassen. Bei kleineren Instituten wird die RC-Funktion häufig identisch mit der Geschäftsleitung sein. Die Risikocontrolling-Funktion ist auch verantwortlich für die periodisch zu erstellenden Risikoberichte.

Grundsätzlich hat jedes Institut auch einen Geldwäschebeauftragten zu bestellen. Der Geldwäschebeauftragte ist verantwortlich für interne Sicherungsmaßnahmen zur Verhinderung von Geldwäsche sowie für die Erfüllung der Pflichten zur Verhinderung von sonstigen strafbaren Handlungen.

Zu nennen ist außerdem die Funktion eines Datenschutzbeauftragten. Hier gab es zuletzt in 2019 eine für die Institute erfreuliche gesetzliche Änderung, wonach die verpflichtende Einrichtung nunmehr erst ab 20 (bisher 10) relevanten Mitarbeitern zwingend vorgeschrieben ist.

In der jüngeren Vergangenheit wurden daneben durch die regulatorischen Vorgaben weitere einzurichtende Funktionen definiert. So ist generell die Benennung eines Auslagerungsbeauftragten, eines IT-Sicherheitsbeauftragten und eines sog. Single Safeguarding Officers gefordert.

Eine weitere Anforderung besteht ferner in Bezug auf Mitarbeiter, die mit der Ausgestaltung, Umsetzung oder Überwachung von Vertriebsvorgaben betraut sind (sog. Vertriebsbeauftragter). Diese Funktion ist nur bei Bestehen von Vertriebsvorgaben zu implementieren. Für einen Vertriebsbeauftragten bestehen besondere Anforderungen an die Sachkunde und Zuverlässigkeit.

 

Fazit

Die ordnungsgemäße und angemessene Besetzung der geforderten betrieblichen Funktionen ist für Institute eine regulatorische Anforderung. Vor allem ist eine Besetzung der Funktionen mit fachlich geeigneten Mitarbeitern wichtig. Ggf. können hier auch Auslagerungen einzelner Funktionen die beste Lösung sein. Um Auseinandersetzungen mit Prüfern und Aufsichtsbehörden oder Sanktionen zu vermeiden, sollte eine effiziente Umsetzung der regulatorischen Anforderungen im eigenen Interesse des Unternehmens sein.

Bei einer Nichteinrichtung oder nicht angemessenen Ausgestaltung drohen Sanktionen durch die Aufsicht, da dies einen Verstoß gegen gesetzliche bzw. aufsichtsrechtliche Anforderungen darstellt.