Die Bundesanstalt für Finanzdienstleistungsaufsicht („BaFin“) hat am 6. August 2025 den Entwurf ihres neuen Rundschreibens „Mindestanforderungen an das Risikomanagement von Wertpapierinstituten“ („WpI-MaRisk“) zur Konsultation gestellt.
Die WpI-MaRisk stellen einen zentralen regulatorischen Rahmen für das Risikomanagement von Wertpapierinstituten in Deutschland dar. Sie konkretisieren die gesetzlichen Anforderungen des Wertpapierinstitutsgesetzes („WpIG“) im Bereich des Risikomanagements (vgl. insbesondere §§ 40, 41 WpIG) und dienen der Sicherstellung einer angemessenen und wirksamen Steuerung aller wesentlichen Risiken. Die WpI-MaRisk orientieren sich in ihrer Struktur und Zielsetzung an den bereits etablierten MaRisk für Kredit- und Finanzdienstleistungsinstitute (Rundschreiben 06/2024 (BA), „MaRisk“), berücksichtigen jedoch die spezifischen Geschäftsmodelle, Risikoprofile und Größenverhältnisse von Wertpapierinstituten. Während die MaRisk einen breiten Anwendungsbereich für Kredit- und Finanzdienstleistungsinstitute abdecken, sind die WpI-MaRisk gezielt auf die Besonderheiten und regulatorischen Anforderungen von Wertpapierinstituten zugeschnitten.
Die WpI-MaRisk berücksichtigen die geringere Komplexität und das reduzierte Risikoprofil vieler Wertpapierinstitute, indem sie zahlreiche Anforderungen proportional ausgestalten und Erleichterungen für kleinere Wertpapierinstitute vorsehen.
A. Anwendungsbereich
Die WpI-MaRisk gelten für alle Wertpapierinstitute im Sinne des § 2 Abs. 1 WpIG, die nicht als Große Wertpapierinstitute im Sinne des § 2 Abs. 18 WpIG eingestuft werden. Sie adressieren damit Kleine und Mittlere Wertpapierinstitute im Sinne von § 2 Abs. 16 und Abs. 17 WpIG.1
Für Kleine und Mittlere Wertpapierinstitute galten bislang sinngemäß die MaRisk mangels eines spezifischen Rahmens für Wertpapierinstitute. Mit der Einführung der WpI-MaRisk erhalten Kleine und Mittlere Wertpapierinstitute eigenständige Vorgaben in Bezug auf das Risikomanagement.
Für Große Wertpapierinstitute bleibt dagegen weitgehend das Kreditwesengesetz („KWG“) anwendbar, u.a. § 25a KWG in Bezug auf eine ordnungsgemäße Geschäftsorganisation (vgl. § 4 WpIG), sodass für diese auch weiterhin die MaRisk Anwendung findet.
B. Materielle Mindestanforderungen an das Risikomanagement von Wertpapierinstituten
I. Allgemeine Anforderungen an das Risikomanagement
Die WpI-MaRisk fordern von Wertpapierinstituten die Einrichtung eines angemessenen und wirksamen Risikomanagementsystems, das alle wesentlichen Risiken abdeckt. Dazu zählen insbesondere die Risiken für Kunden, den Markt, das Wertpapierinstitut selbst sowie Liquiditätsrisiken. Insofern sind auch operationelle und ESG-Risiken einzubeziehen.
Die Anforderungen an die Risikoinventur sind nach den WpI-MaRisk zum einen auf Kleine und Mittlere Wertpapierinstitute zugeschnitten, zum anderen unter Beachtung von Proportionalitätsgrundsätzen von Kleinen Wertpapierinstituten nur anzuwenden, soweit es unter Berücksichtigung des eigenen Geschäftsmodells erforderlich ist. Im Vergleich zu den MaRisk sind die Anforderungen an das Risikomanagement bei den WpI-MaRisk damit weniger detailliert und lassen den betroffenen Wertpapierinstituten mehr Spielraum bei der Ausgestaltung. Die MaRisk enthalten darüber hinaus umfangreiche Vorgaben zu Risikokategorien, Stresstests (insbesondere einschließlich der Berücksichtigung von ESG-Risiken und der Durchführung sogenannter „inverser Stresstests“) und Risikokonzentrationen. Anforderungen an die Risikotragfähigkeit und Stresstests sind nur für Mittlere Wertpapierinstitute gefordert.
Einen deutlich verhältnismäßigeren Ansatz wählt die WpI-MaRisk ebenfalls in Bezug auf die besonderen Funktionen (Risikomanagement-/Risikocontrolling-Funktion, Compliance-Funktion, Interne Revision). Bei Kleinen Wertpapierinstituten kann z.B. die Risikomanagement-Funktion oder die Position des Compliance-Beauftragten von einem Geschäftsleiter übernommen werden, während die MaRisk eine strengere organisatorische Trennung und grundsätzlich eine exklusive Besetzung fordern (nur ausnahmsweise Übernahme der Position des Compliance-Beauftragten von einem Geschäftsleiter). Auch die Interne Revision kann aus Verhältnismäßigkeitsgründen bei Mittleren und Kleinen Wertpapierinstituten von einem Geschäftsleiter übernommen werden.
Die Einbeziehung der Internen Revision ist erforderlich (i) bei wesentlichen Weisungen und Beschlüssen der Geschäftsleitung, die der Internen Revision bekannt zu geben sind, (ii) bei wesentlichen Änderungen im Risikomanagement, über die die Interne Revision rechtzeitig zu informieren ist, sowie (iii) bei Änderungen betrieblicher Prozesse oder Strukturen (AT 8.2 WpI-MaRisk). „Sehr kleine“ Wertpapierinstitute (d.h. Institute mit nicht mehr als zehn Mitarbeitern) können die Einrichtung der Internen Revision sogar entfallen lassen. Insofern bieten die WpI-MaRisk mehr Flexibilität und Erleichterungen für kleinere Wertpapierinstitute.
II. Organisationsrichtlinien
Die WpI-MaRisk verlangen von Wertpapierinstituten die Implementierung klarer und nachvollziehbarer Organisationsrichtlinien. Dazu gehören insbesondere Regelungen zur Aufbau- und Ablauforganisation, zur Aufgaben- und Verantwortungsverteilung sowie zur Sicherstellung der Unabhängigkeit von Kontrollfunktionen. Insofern stimmen die WpI-MaRisk weitgehend mit den MaRisk überein, wobei die WpI-MaRisk allerdings nicht explizit Regelungen zur Berücksichtigung von ESG-Risiken verlangen.
III. Auslagerungen
Die vertraglichen Vorkehrungen nach der MaRisk und der WpI-MaRisk, die Institute bei wesentlichen Auslagerungen zu beachten haben, sind im Wesentlichen identisch. Allerdings verlangen die WpI-MaRisk darüber hinaus ausdrücklich Regelungen zur ordnungsgemäßen Überwachung der ausgelagerten Aufgaben und zur Steuerung der mit der Auslagerung verbundenen Risiken (AT 9 Tz. 7 Buchst. o WpI-MaRisk). Eine derartige Überwachung und Steuerung durch das Institut sind zwar auch nach den MaRisk gefordert (AT 9 Tz. 9 MaRisk) – die WpI-MaRisk gehen in-sofern jedoch einen Schritt weiter und schreiben dahingehende Regelungen im Auslagerungsvertrag vor.
Zudem sind bei Auslagerungen zu einem Cloud-Anbieter nach den WpI-MaRisk Regelungen zum Cloud-Dienstmodell und -Bereitstellungsmodell sowie den Standorten der Datenspeicherung gefordert (AT 9 Tz. 7 Buchst. p WpI-MaRisk).
Hinsichtlich der Position des Auslagerungsbeauftragten stellen die WpI-MaRisk weniger strenge Vorgaben als die MaRisk. Nach AT 9 Tz. 12 MaRisk hat der zentrale Auslagerungsbeauftragte grundsätzlich einer Organisationseinheit anzugehören, die der Geschäftsleitung unmittelbar unterstellt ist; ist er bei einer anderen Einheit angesiedelt, bedarf es einer direkten Berichtslinie zur Geschäftsleitung. Diese Anforderungen finden sich in den WpI-MaRisk nicht wieder, die vielmehr ausführen, dass Wertpapierinstitute die Funktion des zentralen Auslagerungsbeauftragten je nach Größe oder Art, Umfang, Komplexität oder Risikogehalt der Geschäftstätigkeit einem Mitglied der Geschäftsleitung übertragen können.
IV. Besondere Anforderungen an interne Kontrollmechanismen
Die besonderen Anforderungen der WpI-MaRisk sind auf die spezifischen Geschäftsmodelle und Risikoprofile von Kleinen und Mittleren Wertpapierinstituten zugeschnitten.
Der Besondere Teil der WpI-MaRisk gliedert sich in Module zu besonderen Anforderungen an interne Kontrollmechanismen (BTO) – diesbezüglich Anforderungen an die Organisation des Handelsgeschäfts (mit Fokus auf die Funktionstrennung, Abwicklung, Kontrolle und das Risikomanagement) und die Anbindung vertraglich gebundener Vermittler – sowie zu Anforderungen an die Risikomanagementprozesse (BTR) für verschiedene Risikoarten (Risiken für Kunden, Markt, das Wertpapierinstitut, sonstige Risiken, Liquiditätsrisiken, Risiko einer ungeordneten Abwicklung). Zudem werden Anforderungen an die Risikoberichterstattung formuliert.
- Besondere Anforderungen an interne Kontrollmechanismen (BTO)
Im Fokus der spezifischen Anforderungen an die Ausgestaltung der internen Kontrollmechanismen stehen die Aufbau- und Ablauforganisation, insbesondere im Handelsgeschäft. Es wird eine klare organisatorische Trennung des Handels von den Funktionen des Risikomanagements sowie der Abwicklung und Kontrolle bis auf Ebene der Geschäftsleitung gefordert (BTO 1.1 Tz. 1 WpI-MaRisk). Von einer solchen Trennung kann bei nicht-risikorelevanten Handelsaktivitäten abgesehen werden, d.h. bei Geschäften in Finanzinstrumenten, die (i) im Schwerpunkt Geschäfte nach § 15 Abs. 3 WpIG für das Anlagebuch, (ii) gemessen am Geschäftsvolumen gering und (iii) bei denen die Struktur der Handelsaktivitäten einfach sowie die Komplexität, die Volatilität und der Risikogehalt der Positionen gering sind (BTO 1.1 Tz. 2 WpI-MaRisk). Das Rechnungswesen und die Überprüfung wesentlicher Rechtsrisiken (i.d.R. als Teil der Rechtsabteilung) müssen ebenso unabhängig vom Handel erfolgen (BTO 1.1 Tz. 3 und Tz. 4 WpI-MaRisk). - Anforderungen an die Organisation des Handelsgeschäfts
Im Handelsgeschäft sind die vollständige Vereinbarung der Konditionen, die Nutzung standardisierter Vertragstexte und die Dokumentation aller Geschäfte vorgeschrieben (BTO 1.2.1 Tz. 1 WpI-MaRisk). Handelsgeschäfte zu nicht marktgerechten Bedingungen sind grundsätzlich unzulässig; Ausnahmen sind insofern eng begrenzt (insbesondere ausschließlich bei Kundenwunsch) und zu dokumentieren (BTO 1.2.1 Tz. 2 WpI-MaRisk). Die Abwicklung der Geschäfte, inklusive Bestätigungsverfahren, unterliegen einer laufenden Kontrolle (insbesondere hinsichtlich der Marktgerechtigkeit) und regelmäßiger Abstimmung der Positionen (BTO 1.2.2 Tz. 4, Tz. 5 und Tz. 7 WpI-MaRisk). Unstimmigkeiten und Auffälligkeiten sind durch einen vom Handel unabhängigen Bereich zu klären (BTO 1.2.2 Tz. 6 WpI-MaRisk). - Anbindung vertraglich gebundener Vermittler
Die Tätigkeit vertraglich gebundener Vermittler gilt als Auslagerung (BTO 2 Tz. 1 WpI-MaRisk). Das Wertpapierinstitut muss die fachliche Eignung und Zuverlässigkeit der Vermittler sicherstellen, deren Tätigkeit systematisch überwachen und die Einhaltung rechtlicher Vorgaben kontrollieren (BTO 2 Tz. 2 und Tz. 4 WpI-MaRisk). Die Vermittler sind in die Vertriebsorganisation des Instituts einzubinden und deren Status ist gegenüber der BaFin anzuzeigen (BTO 3 Tz. 1 WpI-MaRisk). - Anforderungen an die Risikomanagementprozesse
Die WpI-MaRisk verlangen angemessene Prozesse zur Identifikation, Beurteilung, Steuerung und Überwachung wesentlicher Risiken. Hierbei erfolgt eine Differenzierung nach Risiken für Kunden, Markt, das Wertpapierinstitut selbst, sonstigen Risiken, Liquiditätsrisiken und dem Risiko einer ungeordneten Abwicklung (BTR WpI-MaRisk). Operationelle Risiken sind jeweils zu berücksichtigen. Für wesentliche Risiken sind geeignete Begrenzungsmaßnahmen wie Limit-/Ampelsysteme oder qualitative Instrumente vorzusehen. Die Prozesse müssen gewährleisten, dass Risiken – auch aus ausgelagerten Aktivitäten – frühzeitig erkannt und angemessen dargestellt werden. Die Angemessenheit der Prozesse und Methoden ist regelmäßig zu überprüfen und bei Bedarf anzupassen. - Risikoberichterstattung
Die Geschäftsleitung von Kleinen und Mittleren Wertpapierinstituten muss sich regelmäßig und anlassbezogen über die Risikosituation informieren lassen. Die Berichte müssen vollständig, aktuell und aussagekräftig sein, auch Stresstestergebnisse und Risikokonzentrationen enthalten und eine zukunftsorientierte Einschätzung bieten. Ad-hoc-Berichte müssen bei Bedarf möglich sein.
C. Fazit
Die WpI-MaRisk stellen einen eigenständigen, auf die Besonderheiten von Kleinen und Mittleren Wertpapierinstituten zugeschnittenen Rahmen für das Risikomanagement dar. Sie orientieren sich in ihrer Grundstruktur an den MaRisk, sind jedoch weniger detailliert. Die Anforderungen sind so ausgestaltet, dass sie den unterschiedlichen Geschäftsmodellen, Größen und Risikoprofilen der Wertpapierinstitute Rechnung tragen. Im Vergleich zu den MaRisk bieten die WpI-MaRisk insbesondere für kleinere Wertpapierinstitute Erleichterungen und mehr Flexibilität bei der Umsetzung der regulatorischen Vorgaben, ohne dabei die grundlegenden Prinzipien eines wirksamen Risikomanagements zu vernachlässigen.
Vor dem Hintergrund der konsultierten Fassung der WpI-MaRisk bietet es sich für Kleine und Mittlere Wertpapierinstitute bereits jetzt an, ihre Organisationsrichtlinien dahingehend zu überprüfen, ob und inwiefern sich die zu erwartenden Erleichterungen und die in Aussicht gestellte Flexibilität im Bereich des Risikomanagements für das jeweilige Risikomanagement umsetzen lassen.
Stellungnahmen zum Entwurf der WpI-MaRisk sind bis zum 19. September 2025 möglich.
[1] Ein Wertpapierinstitut ist als „klein“ im Sinne von § 2 Abs. 16 WpIG einzustufen, wenn das die Bedingungen des Art. 12 Abs. 1 der Verordnung (EU) 2019/2033 erfüllt, d.h. wenn u.a. der Wert der Assets under Management („AUM“) unter 1,2 Mrd. EUR und der Wert der Client Orders Handled („COH“) unter 100 Mio. EUR/Tag für Kassageschäfte oder 1 Mrd. EUR/Tag für Derivate liegt. Ein Wertpapierinstitut ist als Mittleres Wertpapierinstitut im Sinne von § 2 Abs. 17 WpIG einzustufen, wenn es die Bedingungen des Art. 12 Abs. 1 der Verordnung (EU) 2019/2033 nicht erfüllt.
Weiterleiten
