Konsultation der 9. MaRisk-Novelle – Impulse zu Governance und Organisation in Banken und Sparkassen
Bereits im Vorfeld hatte die BaFin ihre 9. MaRisk-Novelle als grundlegenden Umbau angekündigt. Am 1. April 2026 veröffentlichte sie nun die dazu mit Spannung erwartete Konsultationsfassung. In diesem ersten Artikel stellen wir die Leitmotive dieser MaRisk-Konsultation vor und gehen auf Neuerungen bzw. Anpassungen bei Governance und Organisation der Institute ein. Schon heute deuten sich dabei – zum Teil tiefgreifende – Veränderungen in der Anforderungshaltung an, welche die Banken und Sparkassen zu berücksichtigen haben. In einem zweiten Artikel widmen wir uns den Änderungen für die Gesamtbanksteuerung und das Risikomanagement.
Leitmotive und inhaltliche Neuerungen für die 9. MaRisk-Novelle (A)
Die Konsultationsfassung folgt drei deutlich erkennbaren übergeordneten strukturellen Leitmotiven: Der stärkeren Prinzipienorientierung (1), einer verringerten Komplexität (v.a. bei den proportionalen Erleichterungen) (2) sowie einer höheren „aus sich heraus“ Lesbarkeit (3).
Erstes Leitmotiv: Stärkere Prinzipienorientierung
Das erste Leitmotiv der Konsultation ist die höhere Prinzipienorientierung, die zugleich auf einen Abbau von Komplexität einzahlt. Durch die Streichung zahlreicher Detailvorgaben will die MaRisk erkennbar weg von einer immer dichteren Detailnormierung und wieder stärker einen flexiblen, praxisnahen Rahmen für ein angemessenes Risikomanagement setzen. Gerade deshalb wäre es jedoch zu kurz gegriffen, die Vielzahl gestrichener oder gestraffter Formulierungen vorschnell als materielle Entlastung zu lesen. Stattdessen muss die MaRisk neu gelesen werden: An vielen Stellen verschiebt sich der Akzent von detaillierten Einzelvorgaben hin zu Anforderungen, die von den Instituten stärker institutsindividuell auszufüllen sind. Für die Banken und Sparkassen bedeutet dies mehr Verantwortung bei der Auslegung und Anwendung der MaRisk. Wo explizite Detailhinweise zurücktreten, wächst nun die Pflicht, die eigene Umsetzung fachlich tragfähig herzuleiten und gegenüber der Aufsicht plausibel zu machen. Dies eröffnet zugleich die Chance, die entstehenden regulatorischen Freiräume für individuell auf das eigene Geschäftsmodell zugeschnittene Lösungen zu nutzen, anstatt sich auf reine Pro-forma-Ansätze zu beschränken.
Zweites Leitmotiv: Verringerte Komplexität und erhöhte Proportionalität
Das zweite Leitmotiv ist die stärker hervorgehobene Proportionalitätslogik. Auch diese ist nicht völlig neu, gewinnt in der Konsultationsfassung aber sichtbar an Struktur. So definiert die BaFin konkrete Institutsklassen und knüpft an diese zahlreiche, entsprechend leichter handhabbare proportionale Erleichterungen. In diesem Sinne unterscheidet die Konsultationsfassung zwischen der über die Bilanzsumme von < 1 Mrd. € definierten Klasse sehr kleiner Institute (1), der um die SNCIs erweiterten Klasse kleiner Institute (2) sowie den übrigen Instituten im Geltungsbereich der MaRisk (3). Dieser umfasst nun erstmals ausdrücklich nur LSIs. Die Trichotomie der Größenklassen ist dabei nicht völlig neu; sie liegt bereits der Aufsichtsmitteilung zur Proportionalität für kleine und sehr kleine Kreditinstitute zugrunde.
Wichtig ist allerdings, dass Proportionalität nicht ausschließlich an diese Institutsklassen geknüpft wird. Daneben bestehen weiterhin spezifische Schwellen und Öffnungsklauseln, wie sie die MaRisk schon in früheren Fassungen kannte. Ein gutes Beispiel dafür ist BTO 3 (Immobiliengeschäft): Die weitere Einschränkung des Geltungsbereichs auf ein höheres Geschäftsvolumen beziehungsweise einen höheren Anteil an der Bilanzsumme ist keine Folge der neuen Institutsklassenlogik, sondern Ausdruck einer gesonderten, modulspezifischen Proportionalisierung.
Die Konsultationsfassung arbeitet so mit zwei Mechanismen nebeneinander: Einerseits mit institutsklassenbezogenen Erleichterungen (A), andererseits mit spezifischen Anwendungsschwellen einzelner Module (B). Explizite proportionale Erleichterungen bilden einen bewussten Gegenpol zur höheren Prinzipienorientierung und erhöhen die Handhabbarkeit der Anforderungen insbesondere für kleine Institute. Ganz im Sinne der Prinzipienorientierung kann Proportionalität aber auch in die Gegenrichtung wirken: Je nach Geschäftsmodell und Risikoprofil kann sie auch eine über den bloßen Mindesttext hinausgehende Ausgestaltung des Risikomanagements verlangen.
Insgesamt sind Banken und Sparkassen hier gefordert, sich und ihre Tätigkeiten sehr genau zu reflektieren und einzuordnen, um die konkreten aufsichtlichen Anforderungen und nutzbaren Öffnungsklauseln abzuleiten.
Drittes Leitmotiv: Höhere „aus sich heraus“-Lesbarkeit
Ein drittes Leitmotiv ist die höhere „aus sich heraus“-Lesbarkeit der MaRisk. Gerade in den letzten Novellen wurden einzelne EBA-Leitlinien über zahlreiche Verweise umgesetzt. Dieser Trend wird nun zurückgebaut, sodass die Konsultation an wichtigen Stellen geschlossener und eigenständiger ausfällt. Gerade dadurch gewinnt der Entwurf an Konsistenz als eigenständiger aufsichtsrechtlicher Referenztext.
Hervorzuhebende Beispiele inhaltlicher Anpassungen (B)
Inhaltliche Neuerungen betreffen insbesondere die Umsetzung der beiden EBA-Leitlinien zum Management von ESG-Risiken (EBA/GL/2025/01) und zu Umwelt-Szenarioanalysen (EBA/GL/2025/04) sowie in die antizipierende Einbeziehung der bislang nur als Konsultationsfassung vorliegenden Neufassung der EBA-Leitlinien zur internen Governance (EBA/CP/2025/20) . Zudem fallen weitergehende Anpassungen auf.
Die in Abbildung 1 gezeigte „Kritikalität“ quantifiziert dabei die Anzahl der betroffenen Bereiche sowie die Intensität dieser Betroffenheit. Der gezeigte „Aufwand“ hingegen bildet die Schätzung der Umsetzung der neuen Anforderungen ab.
Erstes Beispiel der neuen Leitmotive: ESG-Risikomanagement
Besonders sichtbar werden die drei Leitmotive beim Umgang mit ESG-Risiken. Die Konsultation setzt die EBA-Leitlinien zum Management von ESG-Risiken und zur Umwelt-Szenarioanalyse kompakt um, führt die wesentlichen Eckpunkte unmittelbar im MaRisk-Text auf, überlässt die Details einer prinzipienorientierten Auslegung und übernimmt zugleich wichtige Erleichterungen für LSIs und kleine Institute. Die mit der 7. Novelle eingeführte, oft formelhaft wirkende Berücksichtigung von ESG-Risiken wurde hierfür zurückgebaut. Im zweiten Artikel gehen wir auf diese konkreten Aspekte näher ein. Impulse zum ESG-Risikomanagement und den Szenarioanalysen wurden seitens Horn & Company bereits im vergangenen Jahr aufgezeigt.
Zweites Beispiel der neuen Leitmotive: Interne Governance
Ein zweites Beispiel bildet die antizipierende Einbeziehung der überarbeiteten EBA-Leitlinien zur internen Governance, die bislang nur als Konsultationsfassung vorliegen. Die EBA-Konsultation adressiert unter anderem dokumentierte Rollen- und Pflichtenbeschreibungen sowie ein klareres Mapping von Verantwortlichkeiten. Genau an diesen Punkten setzt auch die Konsultation der MaRisk sichtbar an. So liegt ein zentraler inhaltlicher Schwerpunkt der MaRisk-Konsultation in der Neuordnung der internen Governance, insbesondere bei der Rollenlogik von Geschäftsleitung und Aufsichtsorgan (1), der Dokumentation individueller Verantwortlichkeiten (2) und der Stellung der Kontrollfunktionen (3).
Neuordnung von Geschäftsleitung und Aufsichtsorgan (1)
Zunächst trennt die Konsultation die Anforderungen an Geschäftsleitung und Aufsichtsorgan klarer als bisher. Zu diesem Zweck wurde AT 3 (Verantwortung der Geschäftsleitung und des Aufsichtsorgans) um den neuen Abschnitt AT 3.2 erweitert, in dem die Anforderungen an Verantwortlichkeit und Rolle des Aufsichtsorgans zentralisiert werden. Damit wird die Governance-Struktur systematisch neu sortiert: Die Geschäftsleitung rückt stärker als Trägerin der Risikokultur in den Mittelpunkt (gefordert ist nun deren Festlegung und Genehmigung, statt nur deren Entwicklung, Förderung und Integration), während das Aufsichtsorgan durch den eigenen Abschnitt AT 3.2 deutlicher als Adressat der Überwachungsfunktion profiliert wird. Auch wenn dies eher die systematische Bündelung schon bestehender Anforderungen darstellt, so führt die Bündelung zu einer klarer erkennbaren Rollenlogik. Banken und Sparkassen sind damit gefordert, diese Rollenlogik rund um ihr Aufsichtsorgan auch in den organisatorischen Abläufen stärker zu verankern und die betreffenden Personen (d.h. Aufsichtsräte) entsprechend zu entwickeln. Aktuelle Impulse hierzu hat Horn & Company bereits im vergangenen Jahr aufgezeigt.
Dokumentierte Verantwortlichkeiten als neues Kernelement (2)
Besonders weitreichend ist die Neufassung von AT 5 (Organisationsrichtlinien). Für die nach § 25c Abs. 4a Nr. 8 KWG geforderte Übersicht verlangt die Konsultationsfassung eine verständliche Darstellung der Management- und Governance-Strukturen einschließlich der Berichtslinien und der klar abgegrenzten Zuständigkeitsbereiche. Hierzu wird eine personenspezifische Festlegung der Aufgaben und individuellen Verantwortlichkeiten aller Mitglieder der Geschäftsleitung sowie der Mitarbeiter der unmittelbar nachgelagerten Führungsebene inklusive der Inhaber von Schlüsselfunktionen verlangt. Einzuschließen sind zudem die Aufgaben und individuellen Verantwortlichkeiten des Aufsichtsorgans, welche im Vergleich zu vorher deutlich klarer vorgegeben, aber auch aufgewertet werden.
Gerade hierin liegt eine der wichtigsten Governance-Neuerungen der Konsultationsfassung. Governance soll nicht mehr nur organisatorisch „vorhanden“ sein, sondern personenscharf beschrieben, transparent zugeordnet und laufend überprüfbar gemacht werden. Das entspricht sehr eng der EBA-Konsultation zur internen Governance, die dokumentierte „individual statements of role and duties“ (schriftlich fixierte Funktionen & Verantwortlichkeiten) sowie ein „mapping of duties“ (strukturierte Gesamtübersicht) mit „reporting lines“ (Berichtslinien) und „lines of responsibility“ (Verantwortlichkeiten) vorsieht. Banken und Sparkassen sind nun gefordert, die einzelnen Stellenprofile nachzuschärfen und dabei in einen logischen und konsistenten Gesamtkontext zu stellen.
Schärfere Verankerung des Risikocontrollings, engere Verzahnung mit Compliance (3)
Für das Zusammenwirken der Risikocontrolling-Funktion mit anderen Kontrollfunktionen zeigt sich ein zweigeteiltes Bild. Einerseits wird die aufbauorganisatorische Trennung zu anderen Funktionen stärker betont. So wird die exklusive Leitung der Risikocontrolling-Funktion unmittelbar unterhalb der Geschäftsleitung noch schärfer formuliert; in den Erläuterungen wird dies zusätzlich durch die aufbauorganisatorische Trennung von Risikocontrolling-Funktion und Marktfolge bis unterhalb der Geschäftsleiterebene unterstrichen. Insbesondere bleibt die bisherige Ausnahme für Institute mit maximal drei Geschäftsleitern nur noch kleinen Instituten vorbehalten; auch die frühere Möglichkeit einer Ansiedlung auf dritter Ebene entfällt. Das verengt die aufbauorganisatorischen Optionen für zahlreiche LSIs. Vor allem mittelgroße Banken und Sparkassen sind so gefordert, die eigene Aufbauorganisation dahingehend zu prüfen und neu zu ordnen – sprich das Risikocontrolling zu stärken.
Andererseits zeigt sich im Hinblick auf die Compliance-Funktion ein anderes Bild: Die Zusammenarbeit und der Informationsaustausch zwischen Compliance-Funktion und Risikocontrolling-Funktion werden nun ausdrücklich gefordert. Während die Konsultation die organisatorische Eigenständigkeit des Risikocontrollings stärker betont, verlangt sie zugleich eine engere funktionale Verzahnung der Kontrollfunktionen. Auch das ist konsistent mit der EBA-Logik eines integrierten internen Governance- und Kontrollrahmens, verlangt jedoch von den Instituten mehr Flexibilität.
Interne Revision: Weniger Spezialteil, stärker Teil der Governance-Architektur
Besonders augenfällig ist schließlich die Neuverortung der Internen Revision. Die Anforderungen an die Interne Revision werden nicht mehr in einem gesonderten Spezialteil BT 2 nachgelagert, sondern in AT 4.4.3 in die allgemeine Architektur der besonderen Funktionen integriert, was im Sinne eines integrierten Ansatzes zu begrüßen ist. Damit wird die Interne Revision systematisch stärker als Teil der Governance- und Kontrollfunktionsarchitektur gelesen und weniger als gesondertes Annex-Thema behandelt.
Allgemeine Organisationsaspekte – vom Notfallmanagement bis zur Auslagerung
Die stärker prinzipienorientierte Stoßrichtung der Konsultation zeigt sich ebenfalls – zum Teil sogar deutlich – an den allgemeinen Organisationsaspekten von AT 7 (Ressourcen) bis AT 9 (Auslagerung).
Gerade AT 7 (Ressourcen) erfährt in diesem Sinne eine deutliche Straffung. Die Vorgaben zur technisch-organisatorischen Ausstattung in AT 7.2 sind nun knapper und stärker prinzipienorientiert gefasst, während im Notfallmanagement eine allgemeinere Perspektive eingenommen wird. Künftig stehen nicht mehr primär zeitkritische Aktivitäten und Prozesse im Vordergrund, sondern allgemeiner solche Aktivitäten und Prozesse, die kritische oder wichtige Funktionen unterstützen. Auswirkungsanalysen, Notfallkonzepte sowie Geschäftsfortführungs- und Wiederherstellungspläne der Institute müssen an diese Perspektive ausgerichtet werden.
Die Anpassungsprozesse nach AT 8 sind im Vergleich nur punktuell betroffen. Im Rahmen von NPPs werden Märkte stärker mitberücksichtigt, zugleich werden die ehemaligen Regelungen aus AT 8.2 (Änderungen betrieblicher Prozesse) und AT 8.3 (Übernahmen und Fusionen) sachlogisch zusammengeführt.
Besonders sichtbar werden die Neuerungen schließlich in AT 9 (Auslagerung). Die Konsultation grenzt den Anwendungsbereich der MaRisk-Auslagerungsregelungen zunächst klarer gegenüber IKT-Dienstleistungen im Sinne von DORA ab. Inhaltlich werden bei wesentlichen Auslagerungen die Anforderungen an Nachfolgevorkehrungen geschärft: Entsprechende Vorkehrungen sind künftig auch dann zu treffen, wenn eine Beendigung der Auslagerungsvereinbarung weder erwartet noch beabsichtigt ist. Inwieweit ggf. bestehende Strategien für unerwartete Beendigungen angepasst werden müssen, sollte somit von den Instituten geklärt werden. Hinzu kommen organisatorische Anpassungen wie der Wegfall des zentralen Auslagerungsbeauftragten hin zu einem „zentralen Auslagerungsmanagement“ sowie Erleichterungen bei bestimmten grenzüberschreitenden Auslagerungskonstellationen. Insgesamt wird somit das Auslagerungsregime für Banken und Sparkassen einerseits klarer abgegrenzt und punktuell vereinfacht, andererseits aber auch an zentralen Stellen robuster ausgestaltet.
Fazit: Bedarf an Einordnung in die proportionalen Anforderungen und Nachschärfung der internen Governance
Der Stoßrichtung der Konsultation entsprechend werden Aspekte der Governance und Organisation in den Instituten deutlich straffer und prinzipienorientierter normiert. Für Banken und Sparkassen bedeutet dies einerseits einen höheren Anspruch an die eigene Auslegung und Einordnung sowie eine angemessene Begründung der eigenen Umsetzung. Andererseits ergeben sich neue Spielräume für individuell tragfähige Lösungen. Entscheidend wird sein:
- Die eigene Position im neuen Proportionalitätsregime sauber zu bestimmen und zu bewerten (Status Quo),
- organisatorische Set-ups, etwa bei Aufsichtsorgan, Risikocontrolling, Notfallmanagement und Auslagerung frühzeitig gegen die neue MaRisk zu spiegeln und umzusetzen (Gap Analyse und Umsetzung) sowie
- die – dann neue – interne Governance personenscharf und konsistent zu dokumentieren (Dokumentation).
Dies verlangt ein hohes Maß an fachlicher Klarheit, konzeptioneller Stringenz und überzeugender Kommunikation gegenüber der Aufsicht.
Horn & Company unterstützt Banken und Sparkassen regelmäßig bei der Umsetzung neuer regulatorischer Anforderungen zu Governance, Aufbau- und Ablauforganisation. Unsere Fachexperten stehen auch Ihnen mit ihrem großen Erfahrungsschatz gern zur Seite. Wir freuen uns auf Ihre Anfrage.
