Es dürfte schwer fallen, im Bankaufsichtsrecht ein Themengebiet zu finden, dass sich in den letzten Jahren kontinuierlich so dynamisch entwickelt hat wie der Bereich "Compliance". Nicht zuletzt ausgelöst durch spektakuläre Unternehmensskandale in den USA, wurden bereits zu Beginn dieses Jahrzehnts immer neue regulatorische Rahmenbedingungen für ein aktives Management von Normeinhaltungen entwickelt, die längst zu einer eigenen Disziplin erwachsen sind. Die in der Wirtschaftspresse behandelten Fälle hatten aufgezeigt, dass fehlende Risikoüberwachungsstrukturen nicht nur zu hohen Bußgeldzahlungen und zu Mittelabflüssen beim Unternehmen führen können, sondern auch den Unternehmenswert aufgrund des massiven Vertrauensverlustes der Anleger verringern, was im Einzelfall Unternehmen sogar in die Insolvenz führen kann.

Art, Ausmaß und Umfang der derzeitigen Finanzkrise, sowie Korruptions- und Betrugsfälle der jüngeren Vergangenheit in Deutschland legen die Vermutung nahe, dass diese Entwicklung auch in Zukunft nicht an Dynamik verlieren wird. Die Belastung der deutschen Finanzbranche durch immer neue aufsichtsrechtliche Anforderungen hält damit unvermindert an. Hieraus resultieren nicht nur erhebliche Gefahren für das Unternehmen selbst, wie etwa mögliche Bußgelder oder die Gefahr erheblicher Reputationsschäden. Vielmehr stellt die Verletzung einschlägiger Compliance-Vorgaben vor dem Hintergrund der zunehmenden Verschärfung der Haftungsbestimmungen auch ein persönliches Risiko für Vorstände, Geschäftsführer und anderer Organe, neuerdings – worauf noch einzugehen ist - auch des Compliance Beauftragten dar.

Veröffentlichung der Mindestanforderungen an die Compliance-Funktion

Ganz auf dieser Linie hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 7. Juni 2010 ihr Rundschreiben "4/2010 (WA) - Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp)" veröffentlicht. Der Entwurf des Rundschreibens wurde von Dezember 2009 bis Mitte Februar 2010 schriftlich konsultiert. Eine mündliche Anhörung fand Anfang März in den Geschäftsräumen der BaFin in Frankfurt am Main statt. Als Anlass für das Rundschreiben benannte die BaFin die Feststellung, dass die Compliance-Funktion in den Instituten heute noch häufig nicht ihrer Bedeutung entsprechend ausgestaltet ist und die Compliance-Beauftragten somit oft nicht in ausreichendem Maße sicherstellen können, dass die Unternehmen die Vorgaben des WpHG einhalten. Dies hatte die BaFin in zahlreichen Gesprächen mit Compliance-Beauftragten verschiedener Institute, welche die BaFin anlässlich der Finanzkrise durchgeführt hatte, festgestellt.

Das Rundschreiben präzisiert darüber hinaus einzelne Regelungen des 6. Abschnitts des WpHG (§§ 31 ff. WpHG) sowie weitere, auf der Grundlage dieser Bestimmungen erlassenen Verordnungen (insb. die der WpDVerOV). Analog zu den Mindestanforderungen an das Risikomanagement (MaRisk), veröffentlicht die BaFin damit erstmals ein Kompendium, das sämtliche bisher zu diesem Abschnitt ergangenen Rundschreiben und die diesbezügliche Verwaltungspraxis der BaFin zusammen fasst.

Im Vordergrund steht die Aufwertung der Compliance-Funktion und ein risikobasierter Überwachungsansatz, der je nach Institutsgröße, Geschäftsschwerpunkten und Risikosituation die Inanspruchnahme von Ermessensspielräumen bei der Ausgestaltung der Compliance-Funktion ermöglicht. Die seit langem geforderte besondere absolute arbeitsrechtliche Schutzposition der Compliance-Beauftragen können die MaComp freilich nicht schaffen. Im Vergleich zu anderen Wächtern des öffentlichen Interessen genießen die Compliance-Beauftragten auch aufgrund der neuen MaComp mit einer Mindestkündigungsfrist von 12 Monaten nur einen indirekten besonderen arbeitsrechtlichen Schutz. Eine allgemeine formale Aufwertung der Position der Compliance-Beauftragten durch die MaComp ist jedoch auch über diese Reflexwirkung des Bankaufsichtsrechts in das Arbeitsrecht unverkennbar.

Neue Strukturen und Prozesse in der Folge der MaComp

Auf die Institute kommen mit den MaComp neue Herausforderungen im Rahmen der Wertpapier-Compliance zu. Einige dieser Neuerungen geben der Compliance-Funktion mehr Einwirkungsmöglichkeiten als bisher. So ist beispielsweise zukünftig eine Einbindung der Compliance-Funktion in die Festlegung der Grundsätze für Vertriebsziele und Bonuszahlungen vorgesehen. Auch mit der Einführung neuer Produkte oder der Erschließung neuer Geschäftsfelder werden jetzt seitens der BaFin Prozesse benannt, in die die Compliance-Funktion nunmehr auch regelmäßig einzubeziehen ist, sog. "NPAP"-Prozess (New Product Approval Process).

Es ist zu erwarten, dass das Rundschreiben zu neuen Strukturen und Prozessen, insbesondere zu einer Intensivierung und Neuausrichtung derjenigen Prozesse führen wird, an denen Compliance bisher mitgewirkt hat. Dies wird trotz der bis Ende des Jahres bestehenden Umsetzungsfrist unmittelbare Auswirkungen auf künftige Abschluss- und Prüfungen nach § 36 WpHG haben. In einigen Unternehmen dürfte sicherlich auch eine Aufstockung des Personals der Compliance Funktion erforderlich sein.

Modularer Aufbau der MaComp

Das Rundschreiben ist - vergleichbar den etablierten MaRisk für Banken und Versicherungen - modular aufgebaut, so dass notwendige Anpassungen bei Bedarf in bestimmten Regelungsfeldern vernünftigerweise auf die zeitnahe Überarbeitung einzelner Module beschränkt werden können.

Es beinhaltet einen Allgemeinen (AT1-AT9) und einen Besonderen Teil (BT1-BT5). Im Allgemeiner Teil finden sich grundsätzliche Prinzipien zu den im 6. Abschnitt des WpHG geregelten Organisations- und Verhaltenspflichten von Wertpapierdienstleistungsunternehmen. Es werden unter anderem der Anwendungsbereich und die Ziele der MaComp dargestellt sowie einzelne, im 6. Abschnitt des WpHG geregelte allgemeine Organisationspflichten, erläutert. Im Besonderen Teil des Rundschreibens werden dann einzelne konkrete Regelungen der §§ 31 ff. WpHG näher erläutert.

Abschnitt BT 1 enthält dabei sehr ausführliche Anforderungen, die sich speziell an die Compliance-Funktion der Unternehmen richten. Ferner wurden neben einem eigenen Abschnitt zum Thema Best Execution (BT 4), die folgenden, bereits bestehenden Rundschreiben integriert:

• Rundschreiben – "RS 8/2008 Überwachung von Mitarbeitergeschäften gemäß § 33b WpHG und § 25a KWG" vom 18. August 2008 (nunmehr MaComp BT 2; beachte: Die dort ehemals unter Abschnitt 3. des Rundschreibens enthaltene Liste der compliance-relevanten Informationen wurde gestrichen, da jetzt unter AT 6.1 des Rundschreibens eine direkte Verlinkung zur Liste im Emittentenleitfaden der BaFin, Stand: 28. April 2009, Kapitel IV 2.2.4., Seite 56-57, enthalten ist).
• Rundschreiben – "RS 1/2010 (WA) zur Auslegung der Vorschriften des Wertpapierhandelsgesetzes über Informationen einschließlich Werbung von Wertpapierdienstleistungsunternehmen an Kunden" vom 11. Februar 2010, nunmehr MaComp BT 3.
• "Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht zur Auslegung einzelner Begriffe der §§ 31 Abs. 2 Satz 4, 34b Wertpapierhandelsgesetz in Verbindung mit der Verordnung über die Analyse von Finanzinstrumenten (Finanzanalyseverordnung)" vom 21. Dezember 2007, nunmehr BT 5 .

Aufsichtsrechtliche Anforderungen an Vergütungssysteme

Unter BT 1.1.1. Ziff. 9 des Rundschreibens hat die BaFin ferner etwas versteckt, ("im Übrigen") die Anforderungen des Rundschreibens 22/2009 "Aufsichtsrechtliche Anforderungen an Vergütungssysteme von Instituten" vom 21. Dezember 2009 verlinkt (beachte: Nach den derzeitigen Planungen der Bundesregierung werden die Regelungen dieses Rundschreibens vollumfänglich durch eine Rechtsverordnung ersetzt. Die Bundesregierung hat diesbezüglich im Frühjahr einen Gesetzesentwurf eingebracht ("Referentenentwurf zum "Gesetz über die aufsichtsrechtlichen Anforderungen an die Vergütungssysteme von Instituten und Versicherungsunternehmen"). Mit dem Abschluss des Gesetzgebungsverfahrens ist frühestens Ende des Jahres zu rechnen sein (vgl. hierzu i. Ü. auch die Pressemitteilung – Nr.: 55/2009 – des Bundesministeriums der Finanzen vom 11. Dezember 2009, "Fehlanreize verhindern – Nachhaltige Vergütungsstrukturen schaffen; Mit  Selbstverpflichtungserklärung des Finanzsektors erfolgt weiterer Schritt zur nationalen Umsetzung der G20-Standards".

Es ist daher zu vermuten, dass auch zukünftige relevante Rundschreiben in die MaComp integriert werden, was im Sinne einer einheitlichen Lesbarkeit natürlich zu begrüßen ist. Seitens der Bundesanstalt ist eine kontinuierliche Erweiterung des Rundschreibens um neue Themen geplant Mit den MaComp zielt die BaFin auf die Einführung angemessener organisatorischer Maßnahmen. Das Rundschreiben setzt daher – analog zu dem vergleichbar stark risikobasierten Ansatz der MaRisk ("Rundschreiben - 15/2009 (BA) "Mindestanforderungen an das Risikomanagement", letzte Novelle veröffentlicht am 15. August 2009) – einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der Geschäftsorganisation des Wertpapiergeschäfts.

Proportionalitätsgrundsatz als Fundament der MaComp

Zu begrüßen ist, dass das Rundschreiben eine Reihe von Öffnungsklauseln enthält, die insbesondere abhängig von der Größe der Institute, den Geschäftsschwerpunkten und der Risikosituation eine vereinfachte Umsetzung ermöglichen. Dies erscheint aufgrund der großen Zahl kleiner bis mittelgroßer Wertpapierdienstleister in Deutschland mit eher geringem Geschäftsumfang und Risikogehalt sehr sinnvoll. Das Rundschreiben trägt damit der heterogenen Institutsstruktur und Vielfalt der Geschäftsaktivitäten der Wertpapierdienstleistungsunternehmen im Aufsichtsbereich der Bundesanstalt Rechnung. Das Rundschreiben wird insbesondere für diese kleineren Unternehmen eine gute Orientierungshilfe bieten können. An verschiedenen Stellen enthält das Rundschreiben eine beispielhafte Auflistung möglicher Maßnahmen, die aus Sicht der BaFin geeignet sind, den Anforderungen der genannten Regelungen nachzukommen.

Bei Ermittlung der jeweils "angemessenen" Vorkehrungen sind daher immer Art, Umfang, Komplexität und Risikogehalt des jeweiligen Geschäfts sowie Art und Spektrum der angebotenen Wertpapierdienstleistungen und Wertpapiernebendienstleistungen zu berücksichtigen (Proportionalitätsgrundsatz).

Risikobasierte "Soll-Ist"- bzw. "Gap"-Analyse

Um einen möglichst praxisnahen Rahmen für die Ausgestaltung der eigenen Compliance Funktion zu schaffen, dürfte es sich daher empfehlen, auf Seiten des Compliance Office initiativ zu werden und gemeinsam mit der Geschäftsleitung und den maßgeblichen Geschäftsbereichen eine risikobasierte "Soll-Ist"- bzw. "Gap"-Analyse unter Einbeziehung des jeweiligen Geschäftsmodells des Unternehmens vorzunehmen. Durch eine detaillierte Auswirkungsanalyse kann der konkrete Änderungsbedarf für die Organisation und die einzelnen Prozesse ermittelt und damit die Grundlage für die Entwicklung eines ggf. erforderlichen Maßnahmenkataloges (beispielsweise die Anpassung von Organisations- und Arbeitsanweisungen) geschaffen werden. Auf Basis der im folgenden Betrachtungszeitraum gemachten Erfahrungen kann dann der gewählte Risikoansatz überprüft und ggf. verbessert werden; ein typischer "Risikozyklus" entsteht.

Diese Risikoanalyse sollte deshalb schriftlich dokumentiert und zumindest jährlich überprüft ("Annual Review"), bei entsprechenden regulatorisch oder gesetzlich indizierten Entwicklungen auch ad hoc aktualisiert werden. Mit dem ausdrücklichen Verweis des Gesetzgebers in § 33 Abs.1 Satz 1 WpHG auf § 25a KWG stellt dieser ferner klar, dass die grundsätzlichen Anforderungen nach § 25a Abs. 1 und Abs. 4 KWG im Hinblick auf das Kontroll- und Risikomanagement der Institute auch für die Erbringung von Wertpapierdienstleistungen Anwendung finden. Für den Bereich der Wertpapierdienstleistungen gelten die Vorgaben in § 33 Abs. 1 WpHG und § 12 WpDVerOV daher neben den Vorgaben in § 25a Abs. 1 KWG, nunmehr konkretisiert durch die MaRisk. Die Compliance-Funktion ist daher Bestandteil des internen Kontrollsystems nach § 25a Abs. 1 Satz 3 Nr. 1 KWG.

Ganzheitliche Sicht auf Compliance Organisation

Die BaFin weist ferner in diesem Zusammenhang nochmals darauf hin, dass die aufsichtsrechtlichen Anforderungen an die Auslagerung von Aktivitäten (Outsourcing), neben § 33 Abs. 2 WpHG, auch an § 25a Abs. 2 KWG auch anhand von AT 9 der MaRisk zu messen sind. Im Ergebnis macht die BaFin damit klar, dass eine effektive Compliance Organisation nicht völlig losgelöst von anderen bestehenden Unternehmensbereichen unterhalten werden kann. Sie stellt vielmehr eine Weiterentwicklung des bestehenden Risikomanagements eines Unternehmens dar.

Durch das hierdurch zwangsläufig erweiterte Tätigkeitsfeld ergeben sich für die Praxis Abgrenzungsfragen, die zu klären sind. Insbesondere erscheint eine Koordination im Verhältnis zu den Kontrollen durch die operativen Bereiche und zu den Prüfungen der Internen Revision und Risk Control erforderlich. Die MaComp bestimmen unter BT 1.2. Ziff. 7 nunmehr sogar explizit, dass die Überwachungshandlungen des Compliance-Office mit den Kontrollen der Geschäftsbereiche sowie den Prüfungshandlungen der internen Revision zu koordinieren sind.


Autoren:

Dr. Joachim Kaetzler, Partner, Banking & Finance, CMS Hasche Sigle

Dr. Joachim Natterer, Partner, Banking & Finance, CMS Hasche Sigle

Download der Publikation "Mindestanforderungen an die Compliance-Funktion und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG für Wertpapierdienstleistungsunternehmen (MaComp)":

www.cms-hs.com/MaComp_0610_de

 

[Bildquelle: iStockPhoto]