Blogpost

Konsultation der EBA-Leitlinien zur internen Governance (EBA/CP/2025/20)

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 07.08.2025 eine Konsultation (EBA/CP/2025/20) zu ihren überarbeiteten Leitlinien zur internen Governance (in der aktuellen Version EBA/GL/2021/05) gemäß der Eigenkapitalrichtlinie (CRD) gestartet. Die vorgeschlagenen Änderungen spiegeln die Änderungen im CRD-Rahmenwerk sowie in anderen relevanten Rechtsvorschriften, wie beispielsweise den Digital Operational Resilience Acts (DORA), wider.

Sandra Leicht

3094

Aufsichtsrecht

Compliance

12. August 2025 11 Minuten Lesezeit

Die EBA-Leitlinien zur internen Governance (EBA/CP/2025/20)
Hintergrund und mögliches Ziel der Konsultation
Zentrale Änderungen
Bedeutung für die Regulatory- / MaRisk-Compliance und das Regulatory Monitoring
Angemessenheit und Wirksamkeit als Ausdruck des Anspruchs und Realität
Elemente eines zukunftsfähigen Regulatory Monitoring
Händisches Vorgehen in kleinen Instituten
Effizientes IT-gestütztes Regulatory Monitoring
Künstliche Intelligenz zur Effizienzsteigerung
Zielbild für Institute
Fazit
Quellen und weiterführende Hinweise

Autoren: Sandra Leicht und Markus Müller

Die EBA-Leitlinien zur internen Governance (EBA/CP/2025/20)

Die Europäische Bankenaufsichtsbehörde (EBA) hat am 7. August 2025 eine Konsultation (EBA/CP/2025/20)¹ zu ihren überarbeiteten Leitlinien zur internen Governance (in der aktuellen Version EBA/GL/2021/05) gemäß der Eigenkapitalrichtlinie (CRD) gestartet.

Die vorgeschlagenen Änderungen spiegeln die Änderungen im CRD-Rahmenwerk sowie in anderen relevanten Rechtsvorschriften, wie beispielsweise den Digital Operational Resilience Act (DORA), wider. Die Konsultation läuft bis zum 7. November 2025 und beschränkt sich auf die vorgeschlagenen Änderungen.

Der Entwurf der überarbeiteten Leitlinien wurde an die Änderungen durch die CRD VI angepasst. Sie präzisieren die Anforderungen gemäß Artikel 88 Absatz 3 CRD VI, um sicherzustellen, dass jedes Mitglied des Leitungsorgans, jeder leitende Angestellte und jeder Inhaber von Schlüsselfunktionen über eine dokumentierte Rollen- und Aufgabenbeschreibung verfügt und eine Zuordnung der Aufgaben der Mitglieder des Leitungsorgans, der leitenden Angestellten und der Inhaber von Schlüsselfunktionen erstellt wurde.

Sie enthalten zudem konkrete Hinweise, um sicherzustellen, dass Zweigstellen in Drittländern über einen soliden Governance-Rahmen verfügen. Der Entwurf der überarbeiteten Leitlinien wurde zudem angepasst, um die Angleichung an die DORA-Verordnung sicherzustellen und die Ergebnisse des EBA-Benchmarking-Berichts zu Diversitätspraktiken und geschlechtsneutraler Vergütungspolitik zu berücksichtigen. Schließlich berücksichtigen sie auch die Erkenntnisse aus der Aufsichtspraxis in der gesamten EU.

Hinweis zur Konsultation

Kommentare zum Konsultationspapier können über die Schaltfläche „Kommentare senden“ auf der Konsultationsseite der EBA eingereicht werden. Die Frist für die Einreichung von Kommentaren endet am 7. November 2025. Die EBA veranstaltet am 5. September von 11:30 bis 13:00 Uhr (Pariser Zeit) eine virtuelle öffentliche Anhörung. Interessierte Interessengruppen können sich bis zum 1. September (16:00 Uhr MESZ) über diesen Link registrieren.

Konsultationspapier kommentieren

Die Leitlinien zur internen Governance selbst wurden dabei gemäß Artikel 74 Absatz 3 der Richtlinie 2013/36/EU entwickelt, der die EBA mit der Ausarbeitung von Leitlinien in diesem Bereich beauftragt, sowie gemäß Artikel 48g Absatz 9 der Richtlinie 2013/36/EU, der die EBA mit der Ausarbeitung von Leitlinien zu Regelungen, Prozessen und Mechanismen der internen Governance für Zweigstellen in Drittländern beauftragt.

Die aktuelle Überarbeitung der EBA-Leitlinien zur internen Governance ist Teil des Fahrplans der EBA zur Umsetzung des Bankenpakets (CRR III/CRDV VI), das am 1. Januar 2025 in Kraft tritt. Zusammen mit den regulatorischen Produkten wird sie einen robusten Regulierungsrahmen, eine effiziente Aufsicht und eine verbesserte Risikokontrolle der Kreditinstitute weiter stärken.

Im „Compliance-Fokus“ steht zudem (fast schon abseits des primär definierten EBA-Schwerpunktes) die Weiterentwicklung der Regulatory-/MaRisk-Compliance-Funktion und die Zukunft des Regulatory Monitorings.

Hintergrund und mögliches Ziel der Konsultation

Am 7. August 2025 hat die Europäische Bankenaufsichtsbehörde (EBA)² eine Konsultation zu den überarbeiteten Leitlinien zur internen Governance EBA/CP/2025/20³ veröffentlicht. Ziel ist es, die Anforderungen aus dem Bankenpaket CRR III/CRD VI zu konkretisieren und europaweit einheitliche Standards zu etablieren. Die überarbeitete Fassung soll vor allem mehr Klarheit und Präzision in die Rollen- und Verantwortlichkeitsverteilung innerhalb von Instituten bringen.

Sie stellt aber auch Weichen für die Weiterentwicklung der Compliance-Funktion nach MaRisk AT 4.4.2., insbesondere das Regulatory Monitoring wird dadurch in einigen Instituten vor neue Herausforderungen gestellt:

Künftig müssen Institute noch systematischer und proaktiver regulatorische Änderungen erfassen und bewerten, um den gestiegenen Anforderungen an Transparenz und Steuerung gerecht zu werden.⁴ Die Leitlinien verdeutlichen, wie entscheidend eine eng verzahnte Compliance- und Governance-Struktur ist, um Risiken frühzeitig zu erkennen und die Einhaltung komplexer aufsichtsrechtlicher Vorgaben dauerhaft sicherzustellen.

Damit gewinnt das Rechtsmonitoring perspektivisch nicht nur an Bedeutung, sondern erfordert auch effiziente Prozesse, um die dynamische Regulierungslandschaft zuverlässig abzubilden und in die Geschäftsorganisation zu integrieren und eine nachhaltige Risiko- und Compliance-Kultur zu etablieren.

Zentrale Änderungen

Die neuen Leitlinien beinhalten mehrere wesentliche Anpassungen:

Eindeutige Aufgabenbeschreibungen für alle Mitglieder des Leitungsorgans, leitende Manager und Inhaberinnen bzw. Inhaber von Schlüsselpositionen.⁵
Verantwortlichkeits-Mapping, das sämtliche Zuständigkeiten systematisch darstellt.
Ausweitung auf Zweigstellen von Drittstaaten, um auch dort eine robuste Governance sicherzustellen.
Integration von DORA-Anforderungen (Digital Operational Resilience Act)⁶ mit Fokus auf digitale und operationale Resilienz.
Berücksichtigung von EBA-Studien zu Diversität und geschlechtsneutraler Vergütung.⁷

aber auch

Die Neueinführung des Begriffs des „Legal risk stemming from non-compliance events“ und die Überarbeitung der Section 21 zur „Compliance function“.⁸

Die Konsultationsfrist endet am 7. November 2025. Damit bleibt für Institute ein begrenztes Zeitfenster, um sich einzubringen und sich zugleich direkt auf mögliche Umsetzungsanforderungen vorzubereiten.

Bedeutung für die Regulatory-/MaRisk-Compliance⁹ und das Regulatory Monitoring

Die Mindestanforderungen an das Risikomanagement (MaRisk)¹⁰ verpflichten bereits heute dazu, regulatorische Änderungen frühzeitig zu erkennen, zu bewerten und in die internen Prozesse zu integrieren.¹¹

Aus § 25a Kreditwesengesetz (KWG)¹² in Verbindung mit AT 4.4.2 der Mindestanforderungen an das Risikomanagement (MaRisk) ergibt sich für jedes Institut die Verpflichtung, eine ordnungsgemäße Geschäftsorganisation einzurichten. Dazu gehört nach Gesetzeswortlaut auch die Einhaltung der für das Institut relevanten gesetzlichen Vorgaben und nach Bundesbank Merkblatt zur Einhaltung von Finanzsanktionen auch die Überwachung¹³ entsprechender Kontrollen. Damit diese Vorgaben eingehalten werden können, müssen sie dem Institut bekannt sein. Dies schließt sowohl Änderungen bereits bestehender Regelungen als auch die Aufnahme neuer Vorschriften mit ein.

Ein Rechtsmonitoring ist daher unerlässlich, um die notwendigen Informationen systematisch zu erfassen und zu steuern und stellt daher einen integralen Bestandteil des Compliance-Lifecycles dar.

EBA/CP/2025/20, Compliance-Lifecycle/Regulatory-Compliance-Lifecycle im Workflow-Prozess

Abbildung 1: Compliance-Lifecycle/Regulatory-Compliance-Lifecycle im Workflow-Prozess ¹⁴ (zum Vergrößern bitte anklicken)

Das Ziel besteht darin, das Institut kontinuierlich über alle wesentlichen rechtlichen Anforderungen und Vorgaben zu informieren und deren aufsichtskonforme Umsetzung sicherzustellen.

Die EBA-Leitlinien erhöhen jedoch den Anspruch:

Interdisziplinäre Bewertung wird zur Voraussetzung, da Themen wie DORA über reine Bankaufsichtsaspekte hinausgehen.¹⁵
Nachweisbarkeit rückt stärker in den Fokus – von der ersten Analyse bis zur vollständigen Umsetzung.

Angemessenheit und Wirksamkeit als Ausdruck des Anspruchs und Realität

Zwischen den regulatorischen Anforderungen und der praktischen Umsetzung klafft in vielen Instituten nach wie vor eine deutliche Lücke:

Monitoring-Prozesse sind häufig dezentral organisiert, stark an einzelne Personen gebunden und trotz zunehmender Regulatorik nur selten quantitativ¹⁶ geprägt. Das Zusammenspiel zwischen den Fachbereichen und der MaRisk-Compliance-Funktion weist oft Defizite auf, insbesondere bei der Verantwortlichkeit für die zeitnahe Informationsweitergabe (Hol- vs. Bringschuld [ein gutes Beispiel hierfür ist die Compliance-Einbindung nach AT 8.1 und AT 8.2¹⁷ MaRisk]).
Automatisierte Lösungen zur Informationsbeschaffung¹⁸ sind vielfach nicht oder nur punktuell implementiert, wodurch Lücken nicht ausgeschlossen werden können.
Die Schnittstellen zwischen Compliance, Rechtsabteilung, Risikomanagement¹⁹, IT und HR sind oftmals nicht optimal verzahnt, was die konkrete und ggf. schnelle Abstimmung erschwert.
Regulatorische Konsultationen werden meist zu spät oder nur oberflächlich einbezogen, sodass Chancen zur aktiven Mitgestaltung versäumt und Umsetzungsprozesse spät gestartet werden.
Entscheidungen höchstrichterlicher Rechtsprechung werden im Monitoring-Prozess häufig nicht oder nicht ausreichend berücksichtigt.
Neue Vorgaben und Änderungen sind kaum zentral auswertbar, und die Nachvollziehbarkeit der Umsetzungsmaßnahmen ist eingeschränkt.

Elemente eines zukunftsfähigen Regulatory Monitorings

Angesichts dieser Herausforderungen ist ein strukturiertes, digital gestütztes Monitoring nahezu unerlässlich. Beim Monitoring bereits strukturierte und erfolgreiche Institute setzen auf folgende Kernkomponenten:

Systematisches und häufig bereits technisch unterstütztes Regulatory- / Legal-Screening (Rechtsnormen-Erkennung bei neuen und wesentlich geänderten rechtlichen Regelungen und Vorgaben)
Klare Verantwortlichkeiten und definierte Eskalationswege innerhalb der Organisation.
Frühzeitige und umfassende Erfassung aller regulatorischen Entwicklungen – inklusive laufender Konsultationsverfahren.
Systematische Bewertung der Auswirkungen auf Organisation, Prozesse, IT-Systeme, Personal sowie Governance-Strukturen.
Fachübergreifende Zusammenarbeit, um unterschiedliche Perspektiven zu integrieren und Risiken ganzheitlich zu erfassen.
Verbindliche Maßnahmenpläne mit eindeutigen Zuständigkeiten und Deadlines.
Revisionssichere Dokumentation in einem digitalen Compliance-Register zur lückenlosen Nachverfolgung.

EBA/CP/2025/20, Elemente eines zukunftsfähigen Regulatory Monitorings

Abbildung 2: Integrativ vernetzte Einbindung im „Run-, Change- und Run-the-New-Bank-Prozess“ (zum Vergrößern bitte anklicken)

Händisches Vorgehen in kleinen Instituten

Da viele der kleineren Institute einem Verband angehören, stützt sich deren Regulatory Monitoring überwiegen auf durch den Verband und dessen Rundschreiben vorgegebenen Input.

Ergänzt werden die Rundschreiben durch das Abonnieren von Newslettern, insbesondere der BaFin. Weitere Recherchen finden häufig nicht statt.

Der Prozess sieht dabei vor, dass die Fachbereiche Neuerungen aus Rundschreiben und Newslettern erkennen und an MaRisk-Compliance weiterleiten, also zunächst eine dezentrale Bearbeitung stattfindet.

Häufig findet hierbei jedoch keine „Zwei-Wege-Kommunikation“ statt, die die 1st-Line Aufgaben nach AT 4.4.2 Tz. 1 MaRisk:

„Unbeschadet der Aufgaben der Compliance-Funktion bleiben die Geschäftsleiter und die Geschäftsbereiche für die Einhaltung rechtlicher Regelungen und Vorgaben uneingeschränkt verantwortlich“²⁰,

um die 2nd Line-Komponente der MaRisk-Compliance Funktion vervollständigen würde.

Abbildung 3: Die Zusammenarbeit der MaRisk-Compliance-Funktion mit den Fachbereichen (zum Vergrößern bitte anklicken)

Effizientes IT-gestütztes Regulatory Monitoring

Die regulatorische Dynamik erfordert eine permanente und vor allem strukturierte, lückenlose Überwachung – gerade im Banken- und Finanzsektor, wo Fehler diverse Folgen von Reputationsverlust bis hin zu hohen Bußgeldern haben können. Das händische Vorgehen in kleinen Instituten ist bereits ab einer mittleren Institutsgröße deutlich fehleranfällig und häufig faktisch nicht mehr kosteneffizient praktikabel.

IT-Tools wie beispielsweise VÖB-Radar, COR3 oder msg Legal Change Management²¹ können dabei entscheidend unterstützen.

Sie automatisieren das Sammeln und Filtern relevanter Gesetzesänderungen, aufsichtsrechtlicher Vorgaben sowie höchstrichterlicher Rechtsprechung, damit die Compliance-Teams der MaRisk-Compliance Funktion – bereits im Vorgriff auf zukünftig konkreter werdende Anforderungen der EBA-Guidelines on internal governance – schnell und gezielt auf die wichtigsten Neuerungen reagieren können.

Das spart Zeit und erhöht die Übersichtlichkeit, ohne die finale Prüfung der Relevanz beziehungsweise der Risikoeinstufung durch erfahrene Compliance-Experten zu ersetzen. Die Kombination aus leistungsfähiger Technik und menschlicher Fach- und Compliance-Expertise ist hier der Schlüssel für ein effizientes und zuverlässiges Monitoring.

Figure 4: Excerpt from msg Legal Change Management (click to enlarge)

Künstliche Intelligenz zur Effizienzsteigerung

Der Einsatz von künstlicher Intelligenz (KI/AI) bietet darüber hinaus vielversprechende Möglichkeiten, das IT-gestützte rechtliche Monitoring weiter zu optimieren und Funktionalitäten wie „chat withe the Law“ zu ermöglichen:

KI kann regulatorische Informationen automatisiert erkennen, bewerten und priorisieren, wodurch Fachbereiche und Compliance-Abteilungen entlastet werden.
Zudem erlaubt KI eine tiefere Risikoanalyse, inklusive einer qualitativ-qantitativen Risikoeinschätzung.
Des Weiteren können die Neuerungen automatisiert in die Anpassung der schriftlich fixierten Ordnung (sfO) fließen.²²

Die Bandbreite dessen, was bestehende Tools im KI-Bereich Bereich bereits bieten, geht von ausschließlichem Informationsdienst bis hin zur automatisierten Risikoeinstufung²³. Durch den EU AI Act²⁴ und die Benennung des BSI von Kriterien für vertrauenswürdige KI – Systeme im Finanzsektor²⁵ werden hier allerdings die Hürden zur Einführung und Nutzung erhöht.²⁶

Wichtig ist jedoch in jedem Fall, dass KI keinesfalls die menschliche Expertise ersetzt. Die Interpretation komplexer regulatorischer Anforderungen und die Einschätzung ihrer konkreten Auswirkungen auf das Institut, sowie das daraus institutsspezifisch folgenden Risikos erfordern weiterhin Erfahrung und menschliches Urteilsvermögen. KI und quantitative Modelle sollten daher vielmehr, als unterstützende Werkzeuge betrachtet werden, die es den Compliance-Verantwortlichen schneller und fokussierter ermöglichen, fundierte Entscheidungen zu treffen – die letztliche Verantwortung verbleibt dabei jedoch immer beim Menschen und Unternehmen/Institut und nicht bei einem wie auch immer gelagerten „KI-Agenten“²⁷.

Zielbild für Institute

Ein zeitgemäßes Regulatory Monitoring ist heute mehr als nur ein Informationskanal. Es ist ein integriertes Steuerungs- und Frühwarnsystem im Sinne eines ganzheitlichen IKS, das folgende Mindestanforderungen erfüllen sollte:

Zentrale Steuerung mit klar definierten Verantwortlichkeiten,
Automatisierte Tools zur kontinuierlichen Informationsbeschaffung und -auswertung, soweit möglich,
Standardisierte, fachübergreifende Bewertungsprozesse zur ganzheitlichen Risikoeinschätzung,
Direkte und gut aufbereitete Entscheidungsvorlagen für die Geschäftsleitung und das Management,
Lückenlose, digitale Dokumentation aller Prozessschritte zur Nachvollziehbarkeit (revisionssicher),
Auswertbarkeit zum Nachweis gegenüber Prüfern und der Aufsicht, aber auch zur Identifikation von Trends und Optimierungspotenzialen.

Ein solches (Regulatory-)Monitoring-System hilft dabei, regulatorische Risiken zu erkennen, zuzuordnen, zu verringern beziehungsweise zu mitigieren und Ressourcen besser zu allokieren und damit die Compliance-Risiko-Steuerung im Unternehmen langfristig zu verbessern.

Fazit

Die EBA-Leitlinien setzen einen klaren neuen Standard für das Regulatory Monitoring: Es muss künftig schneller, besser strukturiert und vor allem nachvollziehbar sein.

Für die Regulatory-/MaRisk-Compliance bedeutet das (in vielen Fällen) mehr Verantwortung und eine stärkere Rolle.

EBA/CP/2025/20, regulatorische Beaufsichtigung

Abbildung 5: Regulatorische Beaufsichtigung (zum Vergrößern bitte anklicken)

Compliance-Teams sollen sich nicht nur Änderungen intern zuspielen lassen, sondern diese aktiv bewerten („Check & Challenge), die Auswirkungen auf das Institut prüfen und mit den Fachbereichen passende Maßnahmen entwickeln (Regulatory Change). Das bisherige „Hinwirken“²⁸ aus MaRisk AT 4.4.2. und das interne Standing des MaRisk-Compliance Beauftragten werden damit noch einmal deutlich intensiviert.

So wird die Compliance-Funktion zur wichtigen generalistischen Schnittstelle, die den Überblick behält und sicherstellt, dass alle Beteiligten rechtzeitig eingebunden sind. Ein digitales Monitoring-System ist dabei nahezu unverzichtbar – es sorgt für transparente Dokumentation, entlastet bei Routineaufgaben und schafft Raum für die Beratung der Geschäftsleitung.

Insgesamt wandelt sich die Compliance-Funktion von einer (häufig noch) reinen Kontrollinstanz zu einem aktiven Partner, der die Compliance- und Risikokultur im Institut aktiv mitgestaltet.

Unabhängig von diesen für viele Institute neuen Anforderungen zeigt sich bei Instituten mit stabilen MaRisk-Compliance Funktionen bereits, dass ein strukturiertes Regulatory Monitoring helfen kann, auch Chancen zu erkennen und strategisch zu handeln. Wer neue Vorgaben und deren Folgen bereits frühzeitig kennt, hat mehr Zeit, Abläufe, Prozesse oder Produkte anzupassen, Partnerschaften zu planen, Marketingbotschaften zu verbessern oder neue Schwerpunkte zu setzen.

Wie gut diese Anpassung gelingt, entscheidet mit darüber, wie widerstandsfähig und zukunftsfähig Banken und Finanzinstitute im komplexen regulatorischen Umfeld sind und bleiben.

Quellen und weiterführende Hinweise

1. The EBA consults on revised Guidelines on internal governance, 07.08.2025
2. Vgl. EBA
3. Vgl. EBA/CP/2025/20
4. Vgl. u. a. auch folgenden Beitrag Markus Müller
5. Weiterführend zum Thema auch mit Blick auf Qualifikationen siehe auch hier:
6. Vgl. DORA - Digital Operational Resilience Act, BaFin, geändert 08.07.2025
7. Vgl. u .a. Guidelines on the benchmarking of diversity practices including diversity policies and gender pay gap, EBA, 27.06.2024
8. Vgl. folgenden Beitrag von Markus Müller
9. Vgl. MaRisk AT 4.4.2.; z. B. The ‚Regulatory Change Risk‘ and how to handle it - Compliance als Change-Manager und Trusted Advisor“ auf S. 46-51 in das „Kleine Handbuch Regulatory-/MaRisk-Compliance“: 10 Jahre nach finaler Einführung der MaRisk-Compliance-Funktion in der deutschen Finanz- und Bankenlandschaft steht nun auch ein „Kleines Handbuch Regulatory-/MaRisk-Compliance“ zum kostenlosen Download für die Compliance-Comunity bereit;
10. Vgl. Rundschreiben 06/2024 (BA) - MaRisk, BaFin, 29.05.2024
11. Vgl. auch MaRisk AT 4.2, Strategien: „Bei der Festlegung und Anpassung der Geschäftsstrategie sind sowohl externe Einflussfaktoren (z. B. Marktentwicklung, Wettbewerbssituation, regulatorisches Umfeld, veränderte Umweltbedingungen und Transition zu einer nachhaltigen Wirtschaft unter Berücksichtigung möglicher Entwicklungen über einen angemessen langen Zeitraum) … zu berücksichtigen. … Im Hinblick auf die zukünftige Entwicklung der relevanten Einflussfaktoren sind Annahmen zu treffen. Die Annahmen sind einer mindestens jährlichen und anlassbezogenen Überprüfung zu unterziehen; erforderlichenfalls ist die Geschäftsstrategie anzupassen.“
12. Vgl. Gesetz über das Kreditwesen (Kreditwesengesetz - KWG) § 25a Besondere organisatorische Pflichten, Bestimmungen für Risikoträger; Verordnungsermächtigung, , Bunesministerium für Justiz,
13. Siehe Merkblatt zur Einhaltung von Finanzsanktionen, Deutsche Bundesbank, 05.07.2024„Die Compliance-Funktion hat auf die Implementierung wirksamer Verfahren zur Einhaltung der Finanzsanktionen und entsprechender Kontrollen hinzuwirken und diese Kontrollen zu überwachen.“
14. Eigene Darstellung, vgl. Handout zum Seminar „MaRisk-Compliance III: Risikoanalyse – fit and proper
15. Vgl. hierzu auch das ursprüngliche BaFin Protokoll aus 2013: BaFin Protokoll 2013 (FG MaRisk: Compliance) → BaFin - Publikationen & Daten - Protokoll der Sitzung vom 24. April 2013
16. Vgl. Video "Digitalisierung der Compliance-Funktionen", Markus Müller
17. Vgl. Müller, M., Jarocki, T. (2024). Einbindung der Compliance-Funktion nach AT 8.2 MaRisk: Regulatorische Anforderungen, Best Practice und Musterformular, Compliance-Berater (CB), 11/2024, 24.10.2023
18. Vgl. Guide on effective risk data aggregation and risk reporting, 3.1 (9): „Ensuring that members of the management body and heads of internal control functions, including the heads of risk management, compliance and internal audit, have a sufficient understanding of data management, IT and financial and non-financial risks (including, among others, climate risk and IT and security risks), as well as the related data and reporting requirements. If required for their position or institution, the management body should ensure its members have sufficient skills and experience in those same areas.“
19. Siehe hierzu auch EBA/GL/2025/05 und EBA/CP/2025/05 Section 21 Nummer 210 Satz 2
20. Vgl. Mindestanforderungen an das Risikomanagement - MaRisk, BaFin, 29.05.2024
21. Siehe: KI für regulatorische Überwachung & Änderungsmanagement, msg Rethink Compliance
22. Beispielweise in: Compliance und Digitalisierung – von Automatisierung bis KI, msg Rethink Compliance, 15.06.2024
23. Beachte hierzu jedoch auch AT 9 MaRisk zu Auslagerung; Sonstiger Fremdbezug von Leistungen: Nicht als Auslagerung im Sinne dieses Rundschreibens zu qualifizieren ist der sonstige Fremdbezug von Leistungen. […] Der isolierte Bezug von Software ist in der Regel als sonstiger Fremdbezug einzustufen. […] Dies gilt nicht für Software, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken eingesetzt wird oder die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist; bei dieser Software sind Unterstützungsleistungen als Auslagerung einzustufen. Die gleichen Maßstäbe gelten für den Betrieb der Software durch einen externen Dritten als Auslagerung.
24. Vgl. AI-Act verabschiedet Einheitliche Regeln für Künstliche Intelligenz in der EU , Bundesregierung
25. Vgl. BSI benennt Kriterien für vertrauenswürdige KI-Systeme im Finanzsektor, BSI, 03.06.2025
26. Auszug aus dem AI-Act: „Hochriskante KI-Systeme – zum Beispiel in den Bereichen kritische Infrastruktur, Beschäftigung sowie Gesundheits- oder Bankenwesen – müssen eine Reihe von Anforderungen erfüllen, um für den EU-Markt zugelassen zu werden.“
27. Vgl. Principal-Agent-Theorie
28. Vgl. auch Daumann/ Leicht, Regulatorische Compliance, 2. Auflage, S. 85 f.

Markus Müller

ist Diplom Volkswirt, Certified Compliance Professional (CCP) und Certified Compliance Officer (CCO). Als Deputy Head MaRisk-Compliance-Management für eine globale US-Investmentbank in Frankfurt am Main ist er im Kerngebiet Independent Compliance Risk Management (ICRM) für das Themengebiet Regulatory- & MaRisk-Compliance zuständig.