Aufsichtsrecht: BaFin veröffentlicht neues Rundschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT)

Aufsichtsrat-content.jpg

Welche Entscheidungen, Regelungen und Konzeptionen im aufsichtsrechtlichen Bereich werden wichtig für Ihre tägliche Praxis? Wir erklären Ihnen die Auswirkungen auf Ihr Institut durch die nun veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT) durch die BaFin und fassen kurz und prägnant die wichtigsten Neuerungen der MaRisk-Novelle zusammen. Außerdem plant die Aufsicht vor dem Hintergrund der im Januar 2018 in Kraft tretenden MiFiD II Teile der MaComp inhaltlich anzupassen.

BaFin veröffentlicht neues Rundschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT)

Die am 06.11.2017 neu veröffentlichten Bankaufsichtlichen Anforderungen an die IT (BAIT) sind nun der zentrale Baustein für die IT-Aufsicht deutscher Banken. Die Aufsicht konkretisiert hier u.a., was unter einer angemessenen technischen organisatorischen Ausstattung der IT-Systeme zu verstehen ist. Besonders berücksichtigt werden sollen hierbei die Anforderungen an die Informationssicherheit sowie ein angemessenes Notfallkonzept. Mit der BAIT werden zudem in Teilen die Mindestanforderungen an das Risikomanagement (MaRisk) weiter konkretisiert.

In den BAIT werden detaillierte Anforderungen an die folgenden acht Bereiche formuliert:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Benutzerberechtigungsmanagement
  6. IT-Projekte, Anwendungsentwicklung (inklusive durch Endbenutzer in den Fachbereichen)
  7. IT-Betrieb (inklusive Datensicherung)
  8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistern

Jede Bank muss ab sofort einen Informationssicherheitsbeauftragten bereitstellen

Die Institute verpflichten sich, die Funktion eines Informationssicherheitsbeauftragten einzurichten. Der Informationssicherheitsbeauftragte nimmt alle Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten wahr. Er stellt sicher, dass die in der IT-Strategie, der Informationssicherheitsleitlinie und den Informationssicherheitsrichtlinien des Instituts niedergelegten Ziele und Maßnahmen hinsichtlich der Informationssicherheit sowohl intern als auch gegenüber Dritten transparent gemacht werden und deren Einhaltung überprüft und überwacht wird. Die Funktion des Beauftragten ist organisatorisch und prozessual unabhängig auszugestalten, um mögliche Interessenskonflikte zu vermeiden.

Dazu dienen insbesondere folgende Maßnahmen:

  • Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten sowie seinen Vertreter.
  • Ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen im Institut und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters.
  • Unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung.
  • Verpflichtung der Beschäftigten des Instituts sowie der IT-Dienstleister zur sofortigen und umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle bekannt gewordenen IT-sicherheitsrelevanten Sachverhalte, die das Institut betreffen.
  • Die Funktion des Informationssicherheitsbeauftragten wird aufbauorganisatorisch von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind.

Vor allem die letztgenannte Maßnahme führt dazu, dass der bisherige IT-Sicherheitsmanager, der der IT-Leitung unterstellt ist, in der Regel nicht die neu definierte Rolle übernehmen kann.

Sehen Sie sich auf der Internetseite der BaFin die in Kraft getretenen BAIT an.

Die ADG befähigt Sie zum Thema „Informationssicherheit“ mit folgenden Angeboten:

Für die Mitarbeiter, welche die Funktion des Informationssicherheitsbeauftragten als Hauptverantwortlicher oder Vertreter übernehmen, bietet die ADG in 2018 bereits zum vierten Mal die rein virtuelle Veranstaltung "Informationssicherheitsbeauftragter kompakt“ an.

MaRisk-Novelle: Diese Neuerungen sollten Sie kennen!

Die BaFin hat die finalen MaRisk Ende Oktober 2017 veröffentlicht. Die damit in Kraft getretene MaRisk-Novelle ersetzt die Version aus dem Jahr 2012. Um den Instituten aber ausreichend Umsetzungszeiträume für die Änderungen einzuräumen, gilt für diese Anforderungen eine Umsetzungsfrist bis zum 31.10.2018. Voraussetzung: Die Rahmenbedingungen sind im MaRisk-Kontext neu und stellen nicht nur Klarstellungen oder bereits vorhandene Anforderungen dar. Abweichende Umsetzungsfristen ergeben sich für die Anforderungen des Moduls AT 4.3.4. Den Instituten, die diese Anforderungen erfüllen müssen, wird eine Umsetzungsfrist von drei Jahren gewährt.

Es ergeben sich hernach einige Neuerungen, über die wir Sie kurz und kompakt gerne informieren möchten.

A) Der AT 3 TZ 1 wurde bereits im ersten Konsultationsentwurf von Februar 2016 um den Aspekt der Risikokultur erweitert. Demnach werden die Geschäftsleiter ihrer Verantwortung für die ordnungsgemäße Geschäftsorganisation nur gerecht, wenn sie die Risiken beurteilen können und die erforderlichen Maßnahmen zu deren Begrenzung treffen. 

In der nun finalen Version der MaRisk haben die Geschäftsleiter zudem künftig dafür Sorge zu tragen, dass eine angemessene Risikokultur innerhalb des Instituts und der Gruppe entwickelt, integriert und gefördert wird. Diese neue Anforderung ist ursprünglich aus dem Erwägungsgrund 54 der Bankenrichtlinie CRD IV entstanden. Hiernach sollen die Institute Grundsätze und Standards einführen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane gewährleisten. Die zuständige Aufsichtsbehörde prüft darüber hinaus auch die Risikokultur der Institute in den EBA-Leitlinien zum SREP.

Risikobewusstsein im täglichen Denken und Handeln schärfen

Der Begriff der Risikokultur beinhaltet bereits weitestgehend einige in den MaRisk vorhandenen Elemente, die im Zusammenhang mit einer angemessenen Risikokultur wichtig sind. Dazu gehören beispielsweise die Festlegung strategischer Ziele, des „Risikoappetits“ (bislang Risikotoleranzen) oder auch die Anforderungen an Kontrollen bzw. Kontrollfunktionen. Jedoch ist der Begriff der Risikokultur noch weiter zu fassen und geht über das bisher Bekannte hinaus.

Mit der neuen Anforderung sollen sich die Institute bewusst mit Risiken im täglichen Geschäft auseinandersetzen und dies fest in die Unternehmenskultur verankern – von der Geschäftsleitung bis hin zu Mitarbeitern der unterschiedlichen Ebenen. Es soll ein Risikobewusstsein geschaffen werden, das das tägliche Denken und Handeln prägt. Hierfür ist auch der kritische Dialog innerhalb des Instituts wichtig. Dieser sollte von den Führungskräften aktiv gefördert werden. Mitarbeiter sollten dazu motiviert werden, entsprechend dem Wertesystem und Verhaltenskodex zu handeln und somit innerhalb der festgelegten Risikotoleranzen zu agieren.

Auf dem Weg zur gewünschten Risikokultur soll allen Mitarbeitern zum einen vermittelt werden, welches Verhalten zukünftig erwünscht ist. Zum anderen soll jeder im Institut wissen, welche Risiken und Geschäfte eingegangen werden können. Hierfür ist ein Verhaltenskodex eine wesentliche Voraussetzung – immer in Abhängigkeit von der Unternehmensgröße, Art, Umfang sowie der Komplexität und des Risikogehalts der Geschäftsaktivität. Gemäß AT 5 Tz. 3 sind alle Institute verpflichtet, den Verhaltenskodex zu leben.

B) Im AT 4 Allgemeine Anforderungen an das Risikomanagement wurde eine neue Tz. 10 in den AT 4.1 Risikotragfähigkeit neben weiteren Änderungen in die MaRisk aufgenommen. Die bisherige Tz. 8 wurde inhaltlich aufgeteilt und findet sich nun teilweise in der Neufassung unter der Tz. 9 wieder.

Gemäß der neuen Tz. 10 ist bei einer aufgrund der Komplexität der Verfahren und Methoden, der zugrunde liegenden Annahmen oder der einfließenden Daten zur Beurteilung der Risikotragfähigkeit, eine umfassende Validierung der Komponenten gemäß Tz. 9 durchzuführen. Außerdem ist auf eine angemessene Unabhängigkeit zwischen Methodenentwicklung und Validierung zu achten. Die wesentlichen Ergebnisse der Validierung und mögliche Vorschläge für Maßnahmen zum Umgang mit bekannten Grenzen und Beschränkungen der Methoden und Verfahren sind der Geschäftsleitung vorzulegen.

C) Der AT 4.3.1 Aufbau- und Ablauforganisation wurde in der Tz. 1 dahingehend erweitert, dass beim Wechsel von Mitarbeitern der Handels- und Marktbereiche in nachgelagerte Bereiche und Kontrollbereiche angemessene Übergangfristen vorzusehen sind. Voraussetzung: Es handelt sich hierbei um Tätigkeiten, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen.

Als nachgelagerte Bereiche und Kontrollbereiche im Sinne der MaRisk sind anzusehen:

  • Risikocontrolling-Funktion,
  • Compliance-Funktion,
  • Marktfolge,
  • Abwicklung und Kontrolle.

D) Berechtigungen und Kompetenzen sind nach dem Sparsamkeitsgrundsatz („Need-to-know“-Prinzip) zu vergeben und diese bei Bedarf zeitnah anzupassen. Dies wurde unter AT 4.3.1 Tz. 2 neu aufgenommen. IT- und Zeichnungsberechtigungen sowie sonstige Kompetenzen sind innerhalb einer angemessenen Frist zu prüfen. Die Frist orientiert sich dabei an der Bedeutung der Prozesse. Bei IT-Berechtigungen ist der Schutzbedarf verarbeiteter Informationen hierfür wesentlich. Die MaRisk konkretisieren, dass Zeichnungsberechtigungen in Verbindung mit Zahlungsverkehrskonten und wesentliche IT-Berechtigungen mindestens jährlich (bisher halbjährlich!) zu überprüfen sind. Für alle anderen Berechtigungen und Kompetenzen gilt die Drei-Jahres-Regel.

E) Die Ausführungen zur Risikoberichterstattung fanden sich bisher im AT 4.3.2 (i. v. m. BTR1 und 4) der MaRisk wieder. Bis auf den Passus in Tz. 3 („Geschäftsleitung hat in angemessenen Abständen über die Risikosituation zu berichten“) finden sich alle weiteren Regelungen im neuen Modul BT 3 (Berichtswesen). Darin werden die Inhalte aus dem Baseler Papier zur Risikoberichterstattung aufgegriffen und mit den ohnehin schon bestehenden Berichtspflichten gebündelt. Dieses Modul betrifft alle Institute.

Die inhaltliche Ausgestaltung in der Praxis unterliegt wie bisher dem Proportionalitätsprinzip. Das Anschreiben zu den MaRisk verdeutlicht, dass Institute, die nicht unter die Anwendung des AT 4.3.4 fallen, auch weiterhin ihre Risikoberichterstattung nach den individuellen Bedürfnissen und Notwendigkeiten ausgestalten können. Das bereits geltende übergeordnete Ziel der nachvollziehbaren und aussagekräftigen Berichterstattung darf davon allerdings nicht negativ tangiert werden, heißt es im Schreiben. Es soll zudem bei einer zeitnahen Berichterstattung bleiben. Dass die Berichterstattungsfristen verkürzt werden können, ist aktuell nicht zu erkennen.

F)  Für systemrelevante Institute gilt der neu eingeführte AT 4.3.4 Datenmanagement, Datenqualität und Aggregation von Risikodaten. AT 1 Tz. 6 legt fest, dass sofern in den MaRisk auf systemrelevante Institute referenziert wird, es sich dabei um global systemrelevante Institute nach §10f KWG und um anderweitige systemrelevante Institute nach §10g KWG handelt.

G) Dass jedes Institut über eine unabhängige Risikocontrolling-Funktion verfügen muss, wurde neu im AT 4.4.1 ergänzt. Die Risikocontrolling-Funktion von Bereichen, die für die Initiierung bzw. den Abschluss von Geschäften zuständig sind, ist organisatorisch getrennt: So zählen zu den Bereichen, die Geschäfte initiieren bzw. abschließen, der Bereich Markt, der Bereich Handel sowie andere Bereiche, die über Positionsverantwortung verfügen (z. B. Treasury).

Grundsätzlich gehören dazu auch solche Bereiche, die „nicht-risikorelevantes Kreditgeschäft“ initiieren und abschließen. Bei Instituten mit maximal drei Geschäftsleitern ist eine aufbauorganisatorische Trennung des Bereiches Markt für „nicht-risikorelevantes“ Kreditgeschäft von der Risikocontrolling-Funktion bis unmittelbar unterhalb der Geschäftsleiterebene in der Regel ausreichend. Voraussetzung: Es sind keine Interessenkonflikte erkennbar und es liegt keine Konzentration von Verantwortlichkeiten beim betroffenen Geschäftsleiter vor.

Wird die Leitung der Risikocontrolling-Funktion exklusiv wahrgenommen, so bedeutet dies in der Regel, dass ausschließlich Risikocontrolling-Aufgaben unmittelbar unterhalb der Geschäftsleiterebene (2. Ebene) verantwortet werden. Dies umfasst eine klare aufbauorganisatorische Trennung von Risikocontrolling-Funktion und Marktfolge bis unterhalb der Geschäftsleiterebene.

Bei Instituten mit maximal drei Geschäftsleitern können Risikocontrolling-Funktion und Marktfolge auch unter einheitlicher Leitung der 2. Ebene stehen und dieser Leitung auch Votierungskompetenzen eingeräumt werden. Dies gilt für den Fall, dass daraus keine Interessenkonflikte erkennbar sind und diese Leitung weder Geschäfte initiiert noch in die Kundenbetreuung eingebunden ist.

Wechselt die Leitung der Risikocontrolling-Funktion, ist das Aufsichtsorgan neuerdings rechtzeitig vorab und unter Angabe von Gründen über den Wechsel zu informieren. (Vgl. Tz. 6). Diese Regelung gilt ebenso bei einem Wechsel des Leiters der Internen Revision (AT4.4.3 Tz. 6) oder des Compliance-Beauftragten (AT 4.4.2 Tz. 7). 

H) Verändert wurde auch die Tz. 3 des AT 4.4.2: Die Compliance-Funktion ist einerseits nach wie vor grundsätzlich unmittelbar der Geschäftsleitung unterstellt und berichtspflichtig. Und sie kann auch an andere Kontrolleinheiten angebunden werden. Neu ist andererseits die zusätzliche Voraussetzung, dass „eine direkte Berichtslinie zur Geschäftsleitung existiert.“ Die Compliance-Funktion ist ab sofort in Abhängigkeit von der Größe des Instituts sowie der Art, des Umfangs, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten in einem von den Bereichen Markt und Handel unabhängigen Bereich anzusiedeln. Tz. 4 legt fest, dass systemrelevante Institute für die Compliance-Funktion eine eigenständige Organisationeinheit einzurichten haben.

Nur noch, wenn ein Institut zwei Geschäftsleiter hat, kann im Ausnahmefall die Compliance-Funktion durch einen Geschäftsleiter übernommen werden.

I)  Fünf Jahre statt bisher zwei Jahre sind Geschäfts-, Kontroll- und Überwachungsunterlagen nach AT 6 der MaRisk aufzubewahren.

J) Im AT 7.2 Tz. 4 wurde der bisherige Text neu formuliert: Für IT-Risiken sind angemessene Überwachungs- und Steuerungsprozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen. Wird neue Software bezogen, sind die damit verbundenen Risiken angemessen zu bewerten. Tz. 5 regelt, dass die Anforderungen des AT 7.2 auch beim Einsatz selbst entwickelter Anwendungen, entsprechend der Kritikalität der unterstützten Prozesse und der Bedeutung der Anwendungen für diese Prozesse, zu beachten sind. Zur Konkretisierung dieser Vorschriften hat die BaFin die BAIT veröffentlicht. Die BAIT vertiefen den AT 7.2 der MaRisk.

K) Die bisherigen Festlegungen des AT 8.1 Tz. 2 sind in die Tz. 3 übergegangen, Tz. 2 wurde neu gefasst. Danach hat das Institut einen Katalog jener Produkte und Märkte vorzuhalten, die Gegenstand der Geschäftsaktivitäten sein sollen. In einem angemessenen Turnus ist zu überprüfen, ob die Produkte noch verwendet werden. Produkte, die über einen längeren Zeitraum nicht mehr Gegenstand der Geschäftstätigkeit waren, sind zu kennzeichnen. Der Abbau von Positionen ist davon unberührt. Das Auslaufen oder die Bestandsführung von Positionen begründet keine Produktverwendung. Vor der Wiederaufnahme der Geschäftstätigkeit in gekennzeichneten Produkten ist die Bestätigung der in die Arbeitsabläufe eingebundenen Organisationseinheiten über das Fortbestehen der beim letztmaligen Geschäftsabschluss vorherrschenden Geschäftsprozesse einzuholen. Bei Veränderungen ist zu prüfen, ob der „Neue-Produkte-Prozess“ (NPP) erneut zu durchlaufen ist.

Häufen sich im „Neue-Produkte-Prozess“ Fälle, bei denen

  • …die in den Konzepten getroffenen Annahmen und die damit verbundenen Analysen des Risikogehalts der Aktivitäten in neuen Produkten oder auf neuen Märkten im Wesentlichen unzutreffend waren, oder
  • …die in den Konzepten und aus den Testphasen gezogenen Konsequenzen im Wesentlichen unzutreffend waren, oder gemäß Tz. 7 getroffene Einschätzungen, dass Aktivitäten in neuen Produkten oder auf neuen Märkten sachgerecht gehandhabt werden können, sich als unzutreffend erwiesen haben, ist eine anlassbezogene Prüfung des „Neue-Produkte-Prozesses“ gemäß der neuen Tz. 8 des AT 8.1 durchzuführen. Bei Mängeln ist der Prozess unverzüglich anzupassen.

L) In Tz. 1 des AT 9 Auslagerungen (bisher Outsourcing) wird verdeutlicht, dass zivilrechtliche Gestaltungen und Vereinbarungen das Vorliegen einer Auslagerung nicht ausschließen.

Eine Auslagerung in Kernbankenbereiche und in wichtigen Kontrollbereiche ist laut AT 9 Tz. 5 nur dann zulässig, wenn weiterhin fundierte Kenntnisse und Erfahrungen vorgehalten werden, mit denen die Steuerung der ausgelagerten Bereiche effektiv wahrgenommen werden können, und diese bei Bedarf auch eine Rückverlagerung ins Institut ohne Störung des Betriebsablaufs gewährleisten. So ist es ab sofort nicht mehr möglich, die Risikocontrolling-Funktion, Compliance-Funktion und Interne Revision problemlos auszulagern. Eine Vollauslagerung der Risikocontrolling-Funktion wird aufgrund der besonderen Bedeutung für die Geschäftsleitung nicht gesehen. Eine Vollauslagerung der Compliance-Funktion und der Internen Revision ist nur bei kleinen Instituten möglich.

Die neu gefasste Tz. 6 legt fest, dass bei wesentlichen Auslagerungen, etwaige Handlungsoptionen auf ihre Durchführbarkeit zu prüfen und zu verabschieden sind, sollte es zu unbeabsichtigten oder unerwarteten Beendigungen dieser Auslagerungen kommen. Soweit sinnvoll und möglich bezieht sich dies auch auf die Festlegung entsprechender Ausstiegsprozesse. Die Handlungsoptionen sind regelmäßig und anlassbezogen zu überprüfen.

Bei Instituten mit umfangreichen Auslagerungslösungen ist ein zentrales Auslagerungsmanagement geboten, damit einer Stelle im Institut ein Gesamtüberblick über die ausgelagerten Prozesse und Aktivität ermöglicht wird. So kann ein möglichst einheitlicher Umgang mit den besonderen Risiken aus Auslagerung und deren Überwachung sichergestellt werden.

Die neue Tz. 12 legt nicht nur fest, dass die Institute in Abhängigkeit von der Art, des Umfangs und der Komplexität der Auslagerungsaktivitäten ein zentrales Auslagerungsmanagement einzurichten haben. Des Weiteren beschreibt diese die wesentlichen Aufgaben des Auslagerungsmanagements. Das zentrale Auslagerungsmanagement hat nach Tz. 13 mindestens jährlich einen Bericht über die wesentlichen Auslagerungen zu erstellen und der Geschäftsleitung zur Verfügung zu stellen.

Weitere Änderungen in den neu gefassten MaRisk betreffen beispielsweise das Kreditgeschäft (BTO 1) oder auch die BTR 3 Liquiditätsrisiken. Im BTO 1.2 Tz. 5 wurde neu eingeführt, dass bei Objekt- und Projektfinanzierungen in regelmäßigen Abständen während der Entwicklungsphase des Projektes Objekt-Besichtigungen und Bautenbestandskontrollen durchzuführen sind. BTR 3.1 Tz. 12 legt fest, dass die Institute einen internen Refinanzierungsplan aufzustellen haben, der den Risikoappetit und das Geschäftsmodell angemessen widerspiegelt.

 Die neuen MaRisk stehen Ihnen auf der Internetseite der BaFin zur Verfügung.

Die ADG unterstützt Sie zur MaRisk-Novelle mit folgenden Angeboten:

In unserem Webinar „Die Neufassung der MaRisk - Finale Veröffentlichung durch die BaFin“ stellen wir Ihnen am 29.11.2017 das finale Papier der Bankenaufsicht vor. Buchen Sie jetzt unser Webinar!

Spezielles Hintergrundwissen zur neuen MaRisk bieten wir außerdem Vorständen von Genossenschaftsbanken am 21.02.2018 in unserem eintägigen Seminar "Vorstand aktuell – Veröffentlichung der neuen MaRisk".

Aufsicht plant MaComp inhaltlich anzupassen

Am 03.01.2018 tritt MiFID II in Kraft. Die Aufsicht beabsichtigt daher die MaComp in den Teilen AT 3.1, BT 2, 6, 9, 10 und 12.2 inhaltlich anzupassen.

Konkret sind folgende Neuerungen geplant:

AT 3.1: Allgemeine Anforderungen für Wertpapierdienstleistungsunternehmen –

Detaillierte Beschreibung der Regelungen für Zweigniederlassungen: Das Modul AT 3.1. enthält im Vergleich zur bisherigen Fassung eine detailliertere Beschreibung der Regelungen, die auf Zweigniederlassungen Anwendung finden.

BT 2: Überwachung persönlicher Geschäfte: Das Modul wurde an die neuen Begrifflichkeiten („persönliche Geschäfte“ statt vormals „Mitarbeitergeschäfte“) angepasst. Des Weiteren musste im BT 2.4 das „Stichprobenverfahren“ als mögliche organisatorische Maßnahme gestrichen werden, um Mitarbeitergeschäfte zu überwachen. Der Grund: Nach Art. 29 Abs. 5 b) DV müssen Wertpapierdienstleistungsunternehmen künftig unverzüglich über jedes persönliche Geschäft informieren. Somit kann das Stichprobenverfahren in den MaComp als mögliche Maßnahme nicht beibehalten werden. 

Wertpapierdienstleistungsunternehmen, die kein Zweitschriftenverfahren durchführen, keine Anzeigepflicht oder Zustimmungsvorbehalt eingeführt haben, müssen ihre Vorkehrungen entsprechend anpassen.

BT 6: Zurverfügungstellung der Geeignetheitserklärung: Das bisherige Modul zum Beratungsprotokoll ist aufgrund der Aufhebung der Regelungen zum Beratungsprotokoll gestrichen worden. Stattdessen wurde ein Modul eingefügt, das Unklarheiten zur Übermittlung der neuen Geeignetheitserklärung an die Kunden erläutert. 

BT 9: Staffelprovisionen: Dieses neue Modul legt fest, dass Staffelprovisionen ausdrücklich in der Interessenkonflikt-Policy der Wertpapierdienstleistungsunternehmen zu benennen sind.

BT 10: Zuwendungen: Die früheren Ausführungen zur Aufzeichnungspflicht bei Zuwendungen in AT 8.2 im Hinblick auf die neuen Vorgaben in § 70 WpHG und § 6 WpDVerOV wurden hier ersetzt und ergänzt. 

BT 12: Beschwerdemanagement/-bericht: Anforderungen des Art. 26 DV werden in diesem neuen Modul konkretisiert. Zudem werden hierüber die Joint Committee-Leitlinien zur Beschwerdeabwicklung für den Wertpapierhandel und das Bankwesen für den WpHG-Bereich umgesetzt. Der geplante Abschnitt BT 12.1 wird zu einem späteren Zeitpunkt in dieses Modul integriert. Hier ist die Auswertung der Stellungnahmen der Konsultation noch nicht abgeschlossen. BT 12.2 enthält im Anhang ein Formular, das für den Beschwerdebericht nach Art. 26 Abs. 6 DV zu verwenden ist.

ADG-Infoservice-Seminare mit rechtlichem und aufsichtsrechtlichem Bezug in 2017

In Zeiten sich ständig ändernder rechtlichen Vorgaben und Regelungen den Überblick zu behalten fällt zunehmend schwerer. Mit unseren Seminaren mit rechtlichem bzw. aufsichtsrechtlichem Hintergrund verlieren Sie im Regulierungsdickicht von Gesetzen, Verordnungen und Richtlinien nicht den Überblick und sind jederzeit auf dem aktuellen Stand.


Ihr Ansprechpartner

Thomas Wilbert

M.A., B. A.
Experte für Interne Revision, rechtliche Fragen des Bankgeschäfts und Aufsichtsräte