Compliance ist ein Begriff, der aus dem englischen „to comply“ stammt, was so viel wie „entsprechen“, „befolgen“ oder „erfüllen“ bedeutet. Im geschäftlichen Kontext bezieht sich Compliance auf das Einhalten von gesetzlichen Bestimmungen, unternehmensinternen Richtlinien und ethischen Grundsätzen.
Der Duden definiert Compliance als regelgerechtes, vorschriftsmäßiges und ethisch korrektes Verhalten im Wirtschaftsjargon. Diese Definition legt den Fokus auf die Konformität mit bestehenden Vorschriften und die ethische Ausrichtung des Handelns innerhalb der Geschäftswelt.
In einer erweiterten Betrachtung umfasst Compliance nicht nur die strikte Befolgung von Gesetzen und offiziellen Regelungen, sondern schließt auch selbstauferlegte Verpflichtungen und Verhaltenskodizes ein. Hierbei geht es nicht allein um die Einhaltung von Gesetzen aller Rechtsordnungen, in denen ein Unternehmen tätig ist, sondern auch um die Erfüllung von Verträgen und die Befolgung von Standards, die ein Unternehmen freiwillig übernommen hat. Dazu können auch durch öffentlichen Druck eingegangene Verpflichtungen zählen.
Die Debatte darüber, ob Compliance auch interne Regelungen umfasst, ist lebendig. Einige Argumentationen beschränken Compliance auf externe, gesetzlich vorgegebene Regelungen, während andere sie als umfassenderes Konzept sehen, das auch selbstgesetzte interne Richtlinien beinhaltet. Letzteres schafft eine Verbindung zwischen Compliance und Corporate Governance, wobei letztere auf die Gesamtheit der Unternehmensführung und -kontrolle abzielt.
Im Bankensektor ist Compliance von besonderer Bedeutung, da zahlreiche gesetzliche Vorgaben und regulatorische Anforderungen eingehalten werden müssen. Diese gesetzlichen Regelungen sind darauf ausgerichtet, die Integrität und Stabilität des Finanzsystems zu wahren, Betrug zu verhindern, Geldwäsche zu bekämpfen und das Vertrauen in die Märkte zu stärken.
Für Banken und Finanzinstitute gelten spezifische Compliance-Vorschriften, die unter anderem folgende Bereiche abdecken:
Die Einhaltung dieser gesetzlichen und internen Regelungen wird nicht nur intern, sondern auch von externen Stellen überwacht. Externe Wirtschaftsprüfer sowie Prüfer des zuständigen Verbandes können Audits durchführen, um sicherzustellen, dass die Banken und Finanzinstitute die Compliance-Anforderungen erfüllen. Diese Prüfungen können sowohl geplant als auch unangekündigt stattfinden und sind entscheidend, um Transparenz zu schaffen und die Einhaltung der gesetzlichen Vorgaben zu garantieren.
Die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin, spielt eine zentrale Rolle im deutschen Finanzsystem, indem sie die Aufsicht über Banken, Finanzdienstleister, Versicherungen und den Wertpapierhandel innehat. Ihr oberstes Ziel ist es, die Funktionsfähigkeit, Stabilität und Integrität des Finanzsystems in Deutschland sicherzustellen. Als Bundesbehörde agiert sie im öffentlichen Interesse und untersteht der Rechts- und Fachaufsicht des Bundesministeriums der Finanzen
Die BaFin handelt auf Grundlage des Kreditwesengesetzes (KWG) sowie anderer Spezialgesetze wie dem Pfandbriefgesetz und den Sparkassengesetzen der Länder. Ihre Tätigkeit ist unter anderem darauf ausgerichtet, Missständen im Kredit- und Finanzdienstleistungswesen entgegenzuwirken, die Sicherheit der den Instituten anvertrauten Vermögenswerte zu gewährleisten und die ordnungsgemäße Durchführung der Bankgeschäfte und Finanzdienstleistungen zu überwachen.
Die BaFin veröffentlicht regelmäßig Richtlinien, um Banken bei der Erfüllung ihrer Anforderungen zu unterstützen. Ein zentrales Dokument ist das Rundschreiben 10/2012 (BA), bekannt als die Mindestanforderungen an das Risikomanagement (MaRisk). Diese Vorgaben bieten einen flexiblen und praxisnahen Rahmen für das Risikomanagement der Institute und konkretisieren die Anforderungen hinsichtlich des Risikomanagements auf Gruppenebene und des Outsourcings gemäß § 25a KWG.
Bezogen auf das Thema Outsourcing, legt MaRisk fest, dass grundsätzlich alle Aktivitäten und Prozesse auslagerbar sind, solange die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigt wird. Es wird jedoch klargestellt, dass eine Auslagerung nicht zu einer Delegation der Verantwortung der Geschäftsleitung führen darf. Insbesondere Leitungsaufgaben der Geschäftsleitung sind von der Auslagerung ausgeschlossen.
Das Kreditwesengesetz (KWG) bildet die rechtliche Grundlage für die Tätigkeit von Banken und Finanzdienstleistern in Deutschland und ist somit zentral für die Compliance in diesem Sektor. Besondere Bedeutung im KWG haben die Paragraphen 25a und 25b, die die Anforderungen an die Geschäftsorganisation von Instituten regeln.
Gemäß § 25a Abs. 1 KWG muss ein Institut eine ordnungsgemäße Geschäftsorganisation aufweisen, die sowohl die Einhaltung aller relevanten gesetzlichen Bestimmungen als auch betriebswirtschaftlicher Notwendigkeiten sicherstellt. Hierzu gehört explizit ein angemessenes und wirksames Risikomanagement, das die Risikotragfähigkeit des Instituts laufend gewährleistet und diverse festgelegte Kriterien erfüllt. Dies umfasst beispielsweise das Identifizieren, Bewerten, Steuern und Überwachen sämtlicher Risiken, denen das Institut ausgesetzt ist.
MaRisk als Konkretisierung des KWG
Die MaRisk, die von der BaFin herausgegeben wird, konkretisiert die Anforderungen des § 25a KWG, indem sie detaillierte Vorgaben für die Ausgestaltung des Risikomanagements und anderer Aspekte
der Geschäftsorganisation macht. Die MaRisk dient somit als eine Art Leitfaden, der den Instituten hilft, die Anforderungen des KWG in die Praxis umzusetzen.
§ 25b KWG befasst sich speziell mit der Auslagerung von Aktivitäten und Prozessen. Er schreibt vor, dass Institute angemessene Maßnahmen ergreifen müssen, um bei einer Auslagerung übermäßige zusätzliche Risiken zu vermeiden. Eine Auslagerung darf weder die Ordnungsmäßigkeit der Bankgeschäfte oder Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Abs. 1 KWG beeinträchtigen. Das bedeutet, dass auch bei ausgelagerten Aktivitäten und Prozessen stets ein angemessenes und wirksames Risikomanagement seitens des Instituts gewährleistet bleiben muss.
Bedeutung für die Praxis
Für Banken und Finanzdienstleister bedeutet dies, dass sie bei Outsourcing-Vorhaben sorgfältig prüfen müssen, ob und wie die ausgelagerten Prozesse in das eigene Risikomanagement integriert
werden können. Dabei müssen sie sicherstellen, dass sie weiterhin alle gesetzlichen Vorgaben einhalten und die Kontrolle über die ausgelagerten Prozesse behalten. Verträge mit Dienstleistern
müssen daher klare Regelungen hinsichtlich der Verantwortlichkeiten und des Risikomanagements beinhalten.
Der Datenschutz nimmt im Bankensektor eine zentrale Rolle ein, insbesondere aufgrund der Sensibilität der Kundendaten. Im Zentrum dieser Bemühungen steht das Bundesdatenschutzgesetz (BDSG), das klare Vorgaben für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch Banken und Finanzinstitute macht.
§11 BDSG behandelt spezifisch die sogenannte Auftragsdatenverarbeitung, also Fälle, in denen Banken und Finanzinstitute personenbezogene Daten durch externe Dienstleister verarbeiten lassen. Laut Absatz 1 dieses Paragraphen bleibt der Auftraggeber (also das Institut, das die Daten erhebt) für die Einhaltung der Datenschutzgesetze verantwortlich, auch wenn die Datenverarbeitung durch eine andere Stelle erfolgt. Das bedeutet, dass die Rechte der Betroffenen, wie das Recht auf Auskunft über die gespeicherten Daten oder das Recht auf Schadensersatz bei Datenschutzverletzungen, beim Auftraggeber geltend gemacht werden müssen und nicht beim externen Dienstleister.
Absatz 3 des §11 BDSG schreibt vor, dass der Auftragnehmer (der externe Dienstleister) die Daten ausschließlich im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen darf. Dies bedeutet, dass Banken und Finanzinstitute klare Anweisungen und Richtlinien vorgeben müssen, wie ihre Dienstleister mit den Daten umgehen sollen. Sie müssen sicherstellen, dass die Datenschutzprinzipien eingehalten werden und die Verarbeitung der Daten transparent, sicher und gesetzeskonform erfolgt.
Für Banken bedeutet dies, dass sie bei der Auslagerung von datenverarbeitenden Tätigkeiten nicht nur die fachliche Eignung des Dienstleisters berücksichtigen, sondern auch dessen Fähigkeit und Bereitschaft, den Datenschutzanforderungen nachzukommen. Dazu gehören unter anderem die Implementierung von technischen und organisatorischen Maßnahmen zum Schutz der Daten sowie die regelmäßige Überprüfung der Einhaltung der Datenschutzvorschriften.