„Die BaFin ordnet die Sicherstellung einer ordnungsgemäßen Geschäftsorganisation an“ – so oder so ähnlich lauten die sich häufenden Mitteilungen, mit denen die Bankenaufsichtsbehörde über organisatorische Schwächen informiert, die sie bei Finanzinstituten festgestellt hat. Es trifft alle, egal ob groß oder klein, alteingesessen oder „Challenger“. Allein in diesem Jahr wurden schon in über 30 Fällen Mängel bekannt gemacht, Geschäftsleiter ermahnt oder Sonderbeauftragte vorgesehen.

Auf den ersten Blick könnte man vermuten, dass die Flut von Verwarnungen entweder von einem „neuen Biss“ der Aufsicht zeugt. Oder aber, dass sich der innere Zustand der Banken dramatisch verschlechtert hat. Doch auch in der Vergangenheit existierten Missstände, auch bei prominenten Banken. In der Regel erfuhr die Öffentlichkeit davon aber erst, wenn dies erhebliche wirtschaftliche Auswirkungen hatte oder gar existenzbedrohend wurde, wie bei Herstatt, SchmidtBank, Sachsen LB, IKB oder der WestLB.

Heute trudeln einschlägige BaFin-Meldungen im Wochentakt ein. Da es sich um behördliche Verfahren handelt, die Zeit brauchen, ist davon auszugehen, dass die darin bemängelten Missstände in aller Regel schon seit längerem herrschen. In der Zwischenzeit aber agiert die Bank, nicht erkennbar für Kunden und Geschäftspartner, mit zumindest fraglicher Qualität. Deshalb ist die Kommunikationsoffensive der Aufsicht grundsätzlich zu begrüßen.  Missstände, Fehlverhalten, Fehlentscheidungen sollten den (potenziellen) Geschäftspartnern der Banken bekannt sein.

Neben der Nichteinhaltung von Vorschriften zur Verhinderung von Geldwäsche werden vorrangig die Mindestanforderungen an das Risikomanagement (MaRisk) als nicht erfüllt angesehen, denn hier finden sich die wesentlichen Regelungen zur geforderten Geschäftsorganisation. Der Großteil der Sonderprüfungen der BaFin behandelt die Einhaltung der MaRisk. Im Jahresbericht 2022 entfallen darauf 82 von insgesamt 115 Fällen. Die MaRisk existieren schon seit gut zwei Jahrzehnten, die Vorgängerregelungen (Mindestanforderungen an das Kreditgeschäft, das Handelsgeschäft und die Innenrevision) noch deutlich länger. Wieso also kommen dennoch so viele Banken offenbar nicht mit diesen Regeln zurecht?

Ein Grund liegt sicher im Umfang der Regelungen. Allein die aktuellen MaRisk füllen 55 Seiten, dazu existieren noch 121 Seiten mit Erläuterungen sowie Begleittexte und Interviews zu deren Einordnung. Dabei finden sich Selbstverständlichkeiten und grundsätzliche Aussagen ebenso wie lebensfremd wirkende oder jedenfalls ungewöhnliche Regelungen.

Schnell wird klar, dass nicht alle dieser Vorgaben für jede Bank Relevanz haben können – einige treffen aufgrund der Geschäftstätigkeit oder Größe nicht zu oder sind kaum umzusetzen. Einzelne Aspekte erscheinen strikt einzuhalten, andere wirken generös.

Die Bankenlandschaft ist vielfältig und umfasst sehr große, international tätige Universalbanken, aber auch relativ kleine Vollbanken oder Spezialanbieter, regional oder branchenfokussierte sowie thematisch konzentrierte Häuser. Daher ist nachvollziehbar, dass die organisatorischen Vorgaben nicht überall gleich sein können – und auch nicht müssen.

Die Aufsicht versucht, dem Rechnung zu tragen, indem sie postuliert, dass die MaRisk relativ, proportional und risikoorientiert anzuwenden seien. Konkret wird für „größere“ Institute tendenziell mehr an Regeln erwartet, bei „kleineren“ kann es im Einzelfall auch weniger sein. Zudem räumt sie für die nicht risikorelevanten Kredite Öffnungsklauseln ein. Welche Maßstäbe hier angesetzt werden, bleibt jedoch weitgehend unklar. Entstanden aus einer Sammlung von beobachteten Einzelsachverhalten und Rückschlüssen aus Umständen der Vergangenheit, sind die MaRisk keine eindeutigen Mindestanforderungen, sondern nur ein Ausgangspunkt: hier einmal mehr oder dort auch einmal weniger.

Das ist wenig fair, transparent, nachvollziehbar und auch kaum steuerbar. Zudem fällt die Entscheidung letztlich immer erst, wenn Untersuchungen und Prüfungen stattgefunden haben und Berichte geschrieben sind, nicht selten Jahre nach dem eigentlichen Befund. Niemand weiß im Vorhinein, ob die getroffene Regelung den kritischen Beurteilungen standhält. Die Wahrscheinlichkeit nimmt aber ab, wenn sich zwischenzeitlich negative Ereignisse eingestellt haben, ob selbst verursacht oder extern und nicht beeinflussbar.

Manches Mal ist das insofern verständlich, als Sonderprüfungen und Sonderprüfer auch nicht immer alles objektiv richtig und besser erkennen, in der Breite aber erstaunlich, wenn Mindestanforderungen eben doch nicht das Minimum bedeuten. Obwohl eine Vielzahl der 78 im BaFin-Jahresbericht aufgezählten gravierenden Verstöße auf MaRisk-Themen entfallen, blieben unmittelbare Konsequenzen oftmals aus. Die Anordnung, es von nun an besser zu machen, ist zwar für die Betroffenen organisatorisch belastend und kostenträchtig, stellt die Existenz des Instituts jedoch nicht in Frage. Das überrascht, denn im Kreditwesengesetz (KGW) ist klipp und klar geregelt, dass die Aufsicht einer Bank die Lizenz entziehen kann, wenn sie dauerhaft gegen seine Vorschriften verstößt.

Um die Transparenz zu schaffen, die das KWG anstrebt, braucht es nicht ein Mehr an aufsichtsrechtlichen Regeln, sondern passendere. Dafür wäre es sinnvoll, zu unterscheiden zwischen universellen Mindestanforderungen an die Geschäftsorganisation und individualisierten Vereinbarungen zum Risikomanagement, die dem jeweiligen Geschäftsmodell Rechnung tragen.

Die allgemeinen Anforderungen sollten möglichst kurz, knapp und klar formuliert sein und für alle gelten. Egal ob groß, klein, jung oder alt, Universal- oder Spezialinstitut. Wer diese elementaren Regeln verletzt, scheidet nach kurzer Vorwarnung aus. Die individuellen Vorgaben dagegen müssten zusätzliche organisatorische und finanzielle Auflagen für spezifische Geschäfte definieren und müssten auch nicht zwingend öffentlich sein. Das wäre für alle Beteiligten besser zu handhaben und würde für die meisten Institute eine organisatorische Entlastung darstellen.

Für die Öffentlichkeit relevant wäre vor allem, ob elementare Mängel bei der Umsetzung der Mindestanforderungen an die Geschäftsorganisation noch bestehen oder aber bis wann das Institut sie vollständig behoben haben muss. Denn derartige Verfehlungen würden den Bestand der Bank erkennbar gefährden. Jeder Geschäftspartner sollte die Chance bekommen zu überlegen, ob und in welchem Umfang er mit dem Institut zusammenarbeiten will und kann.