Suchformular öffnen Menü öffnen
Expertensuche
Suche
Financial Services
  • 25 Aug 2025
  • 12 Minuten Lesezeit

BaFin-Entwurf WpI MaRisk: neuer aufsichtsrechtlicher Risikorahmen für kleine und mittlere Wertpapierinstitute

Verfasst von

Dr. Michael Huertas

Autoren dieses Beitrags sind Julia Siebrecht und Dr. Michael Huertas.

Kurzüberblick

Am 6. August 2025 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) einen Entwurf der Mindestanforderungen an das Risikomanagement von Wertpapierinstituten (WpI MaRisk) veröffentlicht.Siehe hierShow Footnote

Der Entwurf konkretisiert die aufsichtsrechtlichen Vorgaben des Wertpapierinstitutsgesetzes (WpIG), insbesondere nach § 2 Abs. 16 und 17 WpIG, und richtet sich an kleine und mittlere Wertpapierinstitute (WpIs, im Folgenden auch „Institute“). Die WpI MaRisk zielt darauf ab, ein flexibles, prinzipienbasiertes Rahmenwerk für die Gestaltung der Geschäftsorganisation und des Risikomanagements kleiner und mittlerer WpIs in Deutschland bereitzustellen.

Große WpIs, wie im WpIG definiert, unterliegen weiterhin dem gesetzlichen Aufsichtsrahmen nach WpIG und Kreditwesengesetz (KWG) sowie den darauf aufbauenden Anforderungen – einschließlich der etablierten MaRisk für Kreditinstitute der BaFin. Diese sind im Vergleich zu den neuen WpI MaRisk umfassender und weniger flexibel, insbesondere im Hinblick auf Governance, Risikomanagement, interne Kontrollen und Berichterstattung.
Die flexible Ausgestaltung der MaRisk erleichtert zwar eine praxisorientierte Umsetzung, stellt jedoch zugleich höhere Anforderungen an Eigenverantwortung und Dokumentation der Institute. Die BaFin beabsichtigt, das Rundschreiben weiterhin im Dialog mit der Praxis weiterzuentwickeln.
Dieser Client Alert beleuchtet die zentralen Überlegungen des aktuellen Entwurfs der WpI MaRisk sowie deren potenzielle Auswirkungen auf die betroffenen Institute. Wir empfehlen, beim Übergang der WpI MaRisk vom Entwurf in die endgültige Fassung ergänzend die weiterführenden Analysen von PwC sowie die Client Alerts unseres EU RegCORE im Auge zu behalten.

Zentrale Erkenntnisse aus dem Entwurf der WpI MaRisk

Doppeltes Proportionalitätsprinzip: enge Anlehnung an die MaRisk im Allgemeinen Teil, Abweichungen im Besonderen Teil

Der Entwurf der WpI MaRisk der BaFin orientiert sich weitgehend am bisherigen Ansatz des (etablierten) MaRisk-Rundschreibens, wobei der Allgemeine Teil (AT) sogar nahezu identisch ausgestaltet ist. Deutlichere Abweichungen ergeben sich im Besonderen Teil (BT), der das sogenannte doppelte Proportionalitätsprinzip widerspiegelt: Proportionalität zwischen Geschäftsmodell, Größe und Risikoprofil eines Wertpapierinstituts und den Anforderungen an interne Verfahren zur Risikomessung und -kontrolle sowie im Hinblick auf die Intensität und Häufigkeit der Risikokontrollmaßnahmen. Dieses Prinzip der doppelten Proportionalität bildet ein zentrales Leitmotiv der WpI MaRisk.

Sowohl kleine als auch mittlere Wertpapierinstitute sind verpflichtet, einen Strategieprozess zu implementieren, wobei kleineren Instituten ausdrücklich ein vereinfachter Ansatz erlaubt ist. Bestimmte Anforderungen, wie etwa die Durchführung von Stresstests und die Regelungen zur Risikotragfähigkeit, gelten dagegen ausschließlich für mittlere Institute. Zusätzlich eröffnen risikobasierte Öffnungsklauseln weitere Flexibilität.

Die BaFin betont, dass die WpI MaRisk grundsätzlich für die fortlaufende Weiterentwicklung der Prozesse und Verfahren im Risikomanagement offenstehen, sofern diese mit der aufsichtsrechtlichen Zielsetzung im Einklang stehen. Institute, die von einer wesentlichen Öffnungsklausel Gebrauch machen, müssen dies entsprechend dokumentieren (AT 6).

Erleichterungen bestehen in erster Linie im Bereich des Risikomanagements; insbesondere kleine Wertpapierinstitute (WpIs) profitieren hier von erheblichen Entlastungen. So genügt für die Wesentlichkeitsprüfung in der Regel eine qualitative Bewertung.

Im Rahmen der Risikoinventur müssen kleine Institute nur dann eine detaillierte Relevanzprüfung nach BTR 4 vornehmen, wenn dies unter Berücksichtigung des eigenen Geschäftsmodells erforderlich dafür ist, um festzustellen, ob wesentliches Risiko vorliegt.

Die Vorgaben zur Risikotragfähigkeit gelten unmittelbar nur für mittlere WpIs. Diese sind verpflichtet, die Angemessenheit ihres Kapitals im Verhältnis zu potenziellen Risiken zu beurteilen und eine ausreichende Kapitalbasis sicherzustellen. Während dies eine vorausschauende Kapitalplanung einschließlich der Durchführung von Stresstests umfasst, sind kleine WpIs weitestgehend von diesen Anforderungen befreit: eine formale, quantitative Definition der Risikotragfähigkeit ist nicht vorgeschrieben; auf Stresstests kann verzichtet werden.

Unter Berücksichtigung des Proportionalitätsgrundsatzes kann zudem von der strikten Trennung der Funktionen Risikomanagement, Compliance und Interne Revision abgewichen werden. Auch wenn eine solche Zusammenlegung für kleinere Institute als praktikabel erscheinen mag, ist sie mit gewissen Governance-Risiken verbunden, insbesondere mit der Gefahr etwaiger Interessenkonflikte oder der Beeinträchtigung der Unabhängigkeit wesentlicher Kontrollfunktionen.

Risikoorientierung: ursprungsbasierte Risikokategorien der MaRisk vs. wirkungsorientierte Perspektive der WpI MaRisk

Die WpI MaRisk verlangen die Einrichtung eines angemessenen und wirksamen Risikomanagementsystems, das alle wesentlichen Risiken abdeckt. Bei der Bewertung nimmt die WpI MaRisk eine andere Perspektive ein als die MaRisk. Während MaRisk Risiken nach ihrer Quelle klassifiziert (z. B. Adressenausfall-, Marktpreis-, Liquiditäts- und operationelle Risiken), stellen die WpI MaRisk auf die potenziellen Wirkungen für diejenigen ab, die geschädigt werden können – Kunden, Markt und das Institut selbst. Dies entspricht dem Konzept der sogenannten „K-Faktoren“ der EU, das mit der Investment Firm Regulation („IFR“) und der Investment Firms Directive („IFD“) eingeführt und in Deutschland durch das WpIG umgesetzt wurde. Darüber hinaus arbeiten die MaRisk mit einer festen Definition wesentlicher Risiken, während die WpI MaRisk verlangen, dass die im Rahmen der Risikoinventur identifizierten Risiken vergleichsweise strenger auf ihre Bedeutung hin bewertet werden.

Organisatorische Leitlinien: Flexibilität und proportionale Anforderungen der WpI MaRisk im Vergleich zu MaRisk

Wie auch die MaRisk verlangen die WpI MaRisk, dass Wertpapierinstitute (WpIs) klare und nachvollziehbare organisatorische Leitlinien implementieren. Für kleine und mittlere WpIs gelten dabei die folgenden Kernanforderungen:

a)   Risikomanagement und Governance

  • Gesamtverantwortung der Geschäftsleitung: Der Vorstand trägt die gesamte (nicht delegierbare) Verantwortung für eine ordnungsgemäße Geschäftsorganisation und das Risikomanagement. Er muss in der Lage sein, Risiken einzuschätzen und Maßnahmen zu deren Begrenzung zu ergreifen – und zwar im Rahmen einer definierten und kommunizierten Risikobereitschaft, die sowohl quantitative als auch qualitative Kriterien berücksichtigt. Die Entwicklung und Überwachung einer angemessenen Risikokultur, mit klarer Verantwortlichkeit auf allen Ebenen, ist dabei zentral. Gleiches gilt für die Anforderungen an die Definition von Geschäfts- und Risikostrategien sowie die Einrichtung interner Kontrollmechanismen. Die Risiko¬inventuren ist regelmäßig durchzuführen und muss sämtliche wesentlichen Risiken erfassen, einschließlich ESG-Risiken. Die WpI MaRisk heben besonders das Erfordernis regelmäßiger und umfassende Risikoberichte an die Geschäftsleitung und – sofern vorhanden – an Aufsichtsorgane hervor, die auch vorausschauende Einschätzungen und die Ergebnisse von Stresstests enthalten. Die Aufsicht kann dabei insbesondere die Fähigkeit der Institute bewerten, zeitnah Risikoinformationen als Reaktion auf neu auftretende Risiken oder Marktereignisse zu generieren.
  • Strategien: WpIs müssen sowohl eine Geschäftsstrategie als auch eine konsistente Risikostrategie entwickeln, sie regelmäßig überprüfen und bei Bedarf anpassen. Die Risikostrategie muss die Risikobereitschaft definieren sowie Maßnahmen zur Steuerung sämtlicher wesentlicher Risiken enthalten.

b)   Interne Kontrollmechanismen

  • Organisationsstruktur und Prozesse: Die WpI MaRisk verlangen eine Trennung unvereinbarer Funktionen; im Handelsgeschäft müssen - sofern der Handel nicht von untergeordneter Bedeutung ist  -  Handel, Risikomanagement und Kontrollfunktionen bis auf die Leitungsebene voneinander getrennt sein. Die Funktionen Risikomanagement, Compliance sowie - soweit verhältnismäßig -  Interne Revision sind einzurichten, wobei deren Unabhängigkeit und direkte Berichtswege an die Geschäftsleitung sicherzustellen sind. Die Interne Revision muss, sofern erforderlich, unabhängig von anderen Kontrollfunktionen arbeiten und unmittelbar an den Vorstand berichten. Für Kontrolldefizite oder Feststellungen der Internen Revision müssen Eskalationsverfahren vorgesehen sein, einschließlich der unverzüglichen Berichterstattung an die Geschäftsleitung und gegebenenfalls an das Aufsichtsorgan. Die Dokumentation sämtlicher Feststellungen, Abhilfemaßnahmen und Nachverfolgungen ist verpflichtend, mit klarer Zuweisung von Verantwortlichkeiten für Umsetzung und Überwachung.
  • Risikomanagement, Compliance-Funktion und Interne Revision: Jedes WpI muss über die vorgenannten Funktionen verfügen, wobei für kleine Institute Vereinfachungen vorgesehen sind (z. B. kann die Funktion des Risikomanagements oder der Compliance durch eine:n Geschäftsführer:in wahrgenommen werden). Die Interne Revision kann bei sehr kleinen Instituten entfallen oder durch ein Vorstandsmitglied wahrgenommen werden.

c)   Risikomanagementprozesse

  • Identifizierung, Beurteilung, Steuerung und Überwachung: Wesentliche Risiken sind frühzeitig zu identifizieren, vollständig zu erfassen und in den Risikoinventuren angemessen darzustellen. Hierzu zählen - im Rahmen der K-Faktoren - Risiken für Kunden, den Markt, das Institut selbst, sonstige Risiken, Liquiditätsrisiken sowie das Risiko einer ungeordneten Abwicklung. Zur Steuerung und Überwachung von Risiken und Risikokonzentrationen sind sowohl quantitative Instrumente (wie Limite, Risikoindikatoren und Szenarioanalysen) als auch qualitative Instrumente (wie regelmäßige Risikoeinschätzungen und Expertenurteile) einzusetzen. Sämtliche Risikomanagementmethoden und -prozesse sind regelmäßig zu validieren und anzupassen, um ihre fortlaufende Angemessenheit sicherzustellen.
  • Stresstests: Mittlere Institute müssen regelmäßige und ad-hoc-Stresstests durchführen und Szenarien entwickeln, die das Risikoprofil und das Geschäftsmodell des Instituts widerspiegeln. Die Ergebnisse der Stresstests sind kritisch zu bewerten, wobei dokumentierte Maßnahmenpläne zur Beseitigung festgestellter Schwachstellen vorzusehen sind. Für kleine Institute ist es in der Regel ausreichend, im Rahmen der Kapitalplanung ein negatives Szenario zu berücksichtigen.

Berichts- und Kommunikationspflicht

Die WpI MaRisk verlangen eine regelmäßige, umfassende Risikoberichterstattung an den Vorstand und -soweit vorhanden - an das Aufsichtsorgan. Die Berichte müssen eine aktuelle Beurteilung aller wesentlichen Risiken, die Ergebnisse von Stresstests, Risikokonzentrationen sowie die Angemessenheit von Kapital und Liquidität enthalten. Sie müssen auf vollständigen, zutreffenden und aktuellen Daten basieren und sowohl quantitative als auch qualitative Analysen umfassen. Darüber hinaus ist eine ad-hoc-Risikoberichterstattung erforderlich, wenn neue Risiken auftreten oder erhebliche Marktereignisse eintreten.

Zudem sind alle wesentlichen Änderungen an Strategien, Risikobereitschaft oder Organisationsstruktur intern an die relevanten Mitarbeitenden und - sofern relevant - an das Aufsichtsorgan zu kommunizieren. Häufigkeit, Inhalt und Adressaten sämtlicher Berichte sind in internen Richtlinien eindeutig festzulegen.

Auslagerung: Angleichung an MaRisk und spezifische Klarstellungen unter WpI MaRisk

Die Anforderungen der WpI MaRisk an Auslagerungen (einschließlich gruppeninterner Auslagerungen) entsprechen weitgehend denen der MaRisk. Dies gilt insbesondere für die folgenden Grundsätze:

  • Die Auslagerung von wesentlichen Funktionen ist erlaubt, darf jedoch nicht dazu führen, dass das Institut nur noch als leere Hülle (empty shell) existiert.
  • Die Verantwortung des Vorstands ist nicht übertragbar.
  • Bei wesentlichen Auslagerungen sind umfassende vertragliche und organisatorische Vorkehrungen erforderlich.
  • Dokumentations- und Anforderungen an das Auslagerungsmanagement sind weniger streng, wenn die Risiken als gering eingestuft werden.

Die WpI MaRisk stellen ausdrücklich klar, dass aufsichtsrechtlich relevante Auslagerungen von anderen Formen des Fremdbezugs abzugrenzen sind. Zugleich bestätigen die WpI MaRisk, dass die Tätigkeit vertraglich gebundener Vermittler als Auslagerung anzusehen ist und besonderen Anforderungen an Überwachung und Dokumentation unterliegt.

Abwicklungsszenarien: Neue Anforderungen an die Definition und Planung geordneter Abwicklungen nach WpI MaRisk

Neu sind die WpI detaillierte Vorgaben der WpI MaRisk zum Risiko ungeordneter Abwicklungen bzw.dem Erfordernis von Abwicklungspflänen, die operative, rechtliche und finanzielle Aspekte umfassen. Die Institute müssen Abwicklungsszenarien kritisch prüfen, Risiken identifizieren und umsetzbare Pläne entwickeln, um ungeordnete Verläufe zu vermeiden. Dementsprechend sind WpIs verpflichtet, Szenarien zu definieren, die zu einer Abwicklung führen und unkontrollierte negative Auswirkungen auf Kunden, Gegenparteien und Märkte haben könnten. Dabei sind sowohl externe Faktoren, die eine Abwicklung auslösen können, als auch interne Geschäftsentscheidungen zum Marktausstieg zu berücksichtigen. Auf Grundlage der definierten Szenarien müssen WpIs einen Plan für eine geordnete Abwicklung erstellen. 

Zentrale Überlegungen für WpIs

Der Fokus der WpI MaRisk auf eine proportionale Anwendung der etablierten EU- und BaFin-Regeln sowie der aufsichtsrechtlichen Erwartungen ist grundsätzlich zu begrüßen. Allerdings wird die Festlegung des jeweils anzuwendenden Compliance-Niveaus und der Gesamtstruktur dazu führen, dass zahlreiche WpIs ihre Größe, Komplexität und die daraus resultierende aufsichtsrechtliche Einordnung selbst genauer bewerten müssen, um die einschlägigen MaRisk-Anforderungen in angemessener Weise umzusetzen.

WpIs sollten zudem sicherstellen, dass sie über eine angemessen vorausschauende Planung verfügen, um (i) ihre internen Governance-, Risiko- und Kontrollstrukturen rasch überprüfen und anpassen sowie (ii) ihre interne wie externe (kundenbezogene) Dokumentation, Berichterstattung und Stresstests an die proportionalen Anforderungen und Erwartungen angleichen zu können. Diese vorausschauende Planung gilt in beide Richtungen, d. h. für Institute, die von klein zu mittelgroß oder groß heranwachsen, ebenso wie für solche, die in die umgekehrte Richtung wechseln. Gehört ein WpI zu einer Gruppe, können zudem gruppenweite Anforderungen an Risikomanagement und Berichterstattung Anwendung finden, was die Komplexität der Compliance erhöht.

Grundsätzlich sollten WpIs – insbesondere dann, wenn sie erstmals den WpI MaRisk unterliegen – auch erwägen, wie sie die Angemessenheit der Veränderungen von MaRisk zu WpI MaRisk nachweisen können. Ebenso betrifft dies die Nachverfolgung, Priorisierung und Bearbeitung (einschließlich Umsetzung) der gesamten rechtlichen und aufsichtsrechtlichen Compliance sowohl in interner als auch in markt- bzw. kundengerichteter Dokumentation. Dies kann insbesondere eine Intensivierung der folgenden Bereiche umfassen:

  • Regelmäßige Identifizierung und Bewertung rechtlicher Risiken im Rahmen der gesamten Risikoinventur und der Prozesse für neue Produkte, einschließlich solcher Risiken, die sich aus neuen regulatorischen Vorgaben, vertraglichen Verpflichtungen und Rechtsstreitigkeiten ergeben.
  • Laufende Überwachung von Änderungen im rechtlichen und regulatorischen Umfeld, verbunden mit einer zeitnahen Anpassung interner Richtlinien und Verfahren.
  • Erstellung, Überprüfung und Aktualisierung interner Richtlinien, Handbücher und Verfahren, um den aktuellen rechtlichen und regulatorischen Standards Rechnung zu tragen.
  • Sicherstellung, dass Dokumentationen klar, zugänglich und allen relevanten Mitarbeitenden vermittelt werden. Verträge und Kundeninformationen müssen Klauseln enthalten, die die Identifizierung, Bewertung und Steuerung von Risiken – einschließlich operationeller, rechtlicher und Compliance-Risiken – ermöglichen. Vereinbarungen mit Kunden und Geschäftspartnern sollten zudem Regelungen zum Umgang mit Interessenkonflikten, zur Trennung von Kundengeldern sowie zu den Pflichten des Instituts im Falle von Geschäftsunterbrechungen oder Abwicklungsszenarien enthalten. Auslagerungsverträge müssen insbesondere detaillierte Bestimmungen zu Service Levels, Prüfungs- und Informationsrechten, Datenschutz, Kündigung und Notfallplanung enthalten, wie von AT 9 der WpI MaRisk gefordert.
  • Führung von Aufzeichnungen über alle wesentlichen Entscheidungen, Risikobewertungen und Compliance-Aktivitäten für die vorgeschriebenen Aufbewahrungsfristen (in der Regel fünf Jahre), die sowohl für interne als auch externe Prüfungen zugänglich sein müssen.

Ausblick

Die WpI MaRisk stellen ein risikobasiertes, flexibles Rahmenwerk bereit, das es kleinen und mittleren WpIs ermöglicht, die Anforderungen passgenauer an ihr jeweiliges Risikoprofil umzusetzen. Große Institute unterliegen weiterhin den strengeren Vorgaben des KWG und der MaRisk.

Mit dem Entwurf der WpI MaRisk schließt die BaFin eine wesentliche Lücke im aufsichtsrechtlichen Rahmen für Wertpapierinstitute. Während kleinere Institute aufgrund des Proportionalitätsgrundsatzes voraussichtlich nur begrenzte Anpassungen vorzunehmen haben, werden mittelgroße Institute mit zusätzlichen Pflichten konfrontiert – insbesondere im Hinblick auf Stresstests, Risikotragfähigkeit und Abwicklungsplanung. Es bleibt abzuwarten, in welchem Umfang die überarbeitete Risikoperspektive die aufsichtsrechtlichen Erwartungen und die Aufsichtspraxis prägen wird.

Regulierte Institute sollten regelmäßig ihr Geschäftsmodell, ihre Komplexität und ihr Risikoprofil überprüfen und ihre MaRisk-Umsetzung entsprechend anpassen. Dokumentation, eine klare Zuweisung von Verantwortlichkeiten sowie die laufende Überprüfung der Angemessenheit von Prozessen sind entscheidende Erfolgsfaktoren für die Compliance und zur Vermeidung aufsichtsrechtlicher Risiken.

Über uns

PwC Legal unterstützt eine Reihe von Finanzdienstleistungsunternehmen und Marktteilnehmern bei der vorausschauenden Planung von Veränderungen, die sich aus einschlägigen Entwicklungen ergeben. Zu diesem Zweck haben wir ein multidisziplinäres und multijurisdiktionales Team von Branchenexpert:innen zusammengestellt, das unsere Mandanten dabei unterstützt, Herausforderungen zu bewältigen und Chancen zu nutzen sowie proaktiv mit ihren Marktteilnehmern und Aufsichtsbehörden in den Dialog zu treten.

Darüber hinaus haben wir eine Reihe von RegTech- und SupTech-Tools für beaufsichtigte Institute entwickelt, darunter das Rule Scanner Tool von PwC Legal, das durch ein zuverlässiges Set an Managed Solutions von PwC Legal Business Solutions unterstützt wird. Dieses ermöglicht ein Horizon Scanning und eine Risikokartierung sämtlicher gesetzlicher und regulatorischer Entwicklungen sowie von Sanktionen und Bußgeldern – erfasst von mehr als 2.500 gesetzgeberischen und aufsichtsrechtlichen Entscheidungsträgern sowie weiteren Branchenstimmen in über 170 Jurisdiktionen mit Relevanz für Finanzdienstleistungsunternehmen und deren Geschäftstätigkeit.

Ebenso bieten wir unter Nutzung unserer Rule Scanner-Technologie eine weitere Lösung an, mit der Finanzdienstleistungsunternehmen ihre internen Richtlinien und Verfahren digitalisieren können. Dadurch lässt sich ein umfassendes Dokumentationsinventar mit einer etablierten Dokumentationshierarchie und einem eingebetteten Glossar erstellen, das über eine Versionskontrolle entlang eines definierten zeitlichen Rahmens (rückblickend wie vorausschauend) verfügt. So wird sichergestellt, dass Änderungen in einer Richtlinie konsequent auch in andere Richtlinien- und Verfahrensdokumente übernommen werden, kritische Abhängigkeiten im Ablauf abgebildet sind und gesetzgeberische sowie aufsichtsrechtliche Entwicklungen gekennzeichnet werden, sofern sie Handlungsbedarf in den betreffenden Richtlinien und Verfahren erfordern.   

Das PwC Legal-Team hinter dem Rule Scanner ist stolzer Preisträger des renommierten „2024 Disruptive Technology of the Year Award“ von ALM Law.com sowie des „2025 Regulatory, Governance and Compliance Technology Award“ im Jahr 2025.

Wenn Sie die oben genannten Entwicklungen oder deren mögliche Auswirkungen auf Ihr Unternehmen im Allgemeinen näher besprechen möchten, wenden Sie sich bitte an einen unserer Ansprechpartner:innen oder an das RegCORE-Team von PwC Legal über de_regcore@pwc.com oder unserer Website.

Kontaktieren Sie uns

Dr. Michael Huertas

Partner Frankfurt am Main
Financial Services

Tel.  +49 160 97375760

Mail  E-Mail

Profil anzeigen

Weitere Fachbeiträge und Blogs

Gesellschaftsrecht
Danke für nichts? Geschäftsleiterpflichten und Künstliche Intelligenz
  • 22 Aug 2025
  • 7 Minuten Lesezeit
Financial Services
Anforderungen an die Empfängerüberprüfung (Verification of Payee, VoP) nach der EU Verordnung über Echtzeitüberweisungen (IPR)
  • 21 Aug 2025
  • 1 Minute Lesezeit
Kartell-, Vergabe- und Beihilfenrecht
Grenzüberschreitende Kumulierung von Beihilfen
  • 21 Aug 2025
  • 4 Minuten Lesezeit
Alle Fachbeiträge und Blogs