Die europäische Bankenregulierung befindet sich aktuell in einer Phase tiefgreifender Anpassungen. Mit CRR III/CRD VI, dem Digital Operational Resilience Act (DORA) und weiteren bankaufsichtsrechtlichen Weiterentwicklungen verdichten sich die Anforderungen erheblich. Die Europäische Bankenaufsichtsbehörde (EBA) nutzt diesen Zeitpunkt, um ihre Leitlinien zur internen Governance umfassend zu überarbeiten.
Die Konsultation EBA/CP/2025/20 ist mehr als ein technisches Update. Interne Governance wird nicht länger primär als Organstruktur verstanden, sondern als Teil eines integrierten Steuerungs- und Kontrollsystems, das rechtliche, operationale und technologische Risiken gleichermaßen umfassend adressiert. Institute stehen damit vor der doppelten Aufgabe, die regulatorischen Vorgaben revisionssicher umzusetzen und ihre Compliance- sowie Monitoring-Funktionen an die gestiegene Dynamik des Aufsichtsrahmens anzupassen.
Hintergrund und Einbettung
Am 7. August 2025 veröffentlichte die EBA den Entwurf (EBA/CP/2025/20), der sich noch bis zum 7. November in der Konsultationsphase befinden wird. Er aktualisiert die EBA-Leitlinien zur internen Governance von 2021 (EBA/GL/2021/05) und berücksichtigt dabei unter anderem die Vorgaben aus CRR III/CRD VI sowie DORA. Ziel ist eine konsistente, EU-weit einheitliche Governance-Praxis, die regulatorische Anforderungen und zunehmende Komplexität in einen einheitlichen aufsichtsrechtlich erwarteten „Mindest-Governance-Standard“ integriert. Zudem fließen Ergebnisse der EBA-Benchmarking-Berichte zu Diversität und Vergütung sowie Erfahrungen aus der Aufsichtspraxis in den neuen europäischen Governance-Standard ein.
Zentrale Neuerungen
Die Überarbeitung betrifft mehrere Kernbereiche:
- Präzisierung von Rollen und Verantwortlichkeiten mit systematischem Verantwortlichkeits-Mapping.
- Einbeziehung von Drittstaaten-Zweigstellen in die Governance-Vorgaben.
- Integration von DORA zur Stärkung der digitalen und operationellen Resilienz.
- Aufnahme der Ergebnisse zu Diversität und geschlechtsneutraler Vergütungspolitik.
- Überarbeitung von Section 21 zur Compliance-Funktion, insbesondere durch Einführung des Begriffs „legal risk stemming from non-compliance events“.
Damit wird die Compliance-Funktion neu akzentuiert: Sie entwickelt sich von einer überwiegend reaktiven Kontrollinstanz hin zu einer proaktiven Einheit, die rechtliche Risiken aus Compliance-Verstößen frühzeitig identifiziert und Gegenmaßnahmen initiiert.
Auswirkungen auf MaRisk-Compliance
AT 4.4.2 MaRisk i. V. m. § 25a KWG verpflichtet Institute bereits seit 2012 (seit der 4. MaRisk-Novelle, regulatorische Änderungen frühzeitig zu erfassen und umzusetzen.
Abb. 1 Nationaler und Supranationaler Regulierungskontext der Regulatory- / MaRisk-Compliance-Funktion
Die neuen Leitlinien verschärfen die Anforderungen: Prozesse müssen systematisch dokumentiert, interdisziplinär abgestimmt und revisionssicher verankert sein. Damit steigt die Bedeutung der MaRisk-Compliance als aktiver Steuerungs- und Schnittstellenfunktion im internen Kontrollsystem (IKS) erheblich.
Praktische Herausforderungen
In vielen Instituten zeigen sich Defizite: Monitoring ist oft dezentral und personenabhängig, automatisierte Lösungen werden kaum genutzt, Schnittstellen zwischen Compliance, Rechtsabteilung, Risikomanagement und IT sind unzureichend definiert und KI (AI) – bspw. Applikationen wie „Chat with the Law“ – kommt derzeit ehr rudimentär zum Einsatz. Konsultationen werden zu spät eingebunden, höchstrichterliche Rechtsprechung nur punktuell berücksichtigt. Gerade kleinere Institute sind auf Rundschreiben ihrer Verbände angewiesen – ein Ansatz, der bei steigender Regulierungsdichte schnell an Grenzen stößt!.Wir sprechen hier mittlerweile nicht mehr von einem, sondern von einer „regulatorischen Polkappenschmelze“, denn die Regulatorik ist gekommen um zu bleiben!
Elemente eines zukunftsfähigen Monitorings
Ein modernes Regulatory Monitoring muss somit zukünftig folgende Key-Points gewährleisten:
- kontinuierliches Screening regulatorischer Änderungen,
- klare Verantwortlichkeiten und Eskalationswege,
- frühzeitige Einbindung von Konsultationen,
- ganzheitliche Auswirkungsanalyse auf Organisation, Prozesse, Systeme und Personal,
- interdisziplinäre Zusammenarbeit,
- verbindliche Maßnahmenpläne mit Fristen,
- digitale, revisionssichere Dokumentation.
So wird Monitoring zum integralen Bestandteil des IKS und entwickelt sich vom Nachweis- zum Steuerungsinstrument.
Technologie und KI
Spezialisierte Tools1 wie u.a. VÖB-Radar, COR3 oder msg Legal Change Management unterstützen bei der Erfassung regulatorischer Änderungen, filtern Informationen und erleichtern die Priorisierung. Zunehmend kommen KI-gestützte Ansätze hinzu: Sie können regulatorische Texte automatisiert analysieren, Risiken einstufen und erste Handlungsempfehlungen ableiten. Möglich ist auch die Integration neuer Vorgaben in die schriftlich fixierte Ordnung (sfO).
Allerdings setzt der EU AI Act enge Grenzen. KI ersetzt nicht die juristische und aufsichtsrechtliche Expertise, sondern kann diese nur ergänzen. Die Verantwortung für die Interpretation regulatorischer Anforderungen verbleibt beim Institut. Erfolgreich sind daher hybride Ansätze, die technologische Unterstützung mit Fachkompetenz verbinden.
Fazit und Ausblick
Mit den überarbeiteten Leitlinien setzt die EBA einen neuen Standard für Governance und Compliance. Institute müssen ihre Prozesse schneller, strukturierter und revisionssicher dokumentieren. Die MaRisk-Compliance gewinnt an strategischem Gewicht: Sie wird zur zentralen Schnittstelle, die regulatorische Entwicklungen bewertet und in konkrete Maßnahmen übersetzt. Digitale und interdisziplinäre Monitoring-Systeme sind dafür unverzichtbar.
Die überarbeiteten EBA Leitlinien zur internen Governance eröffnen den Instituten damit die Möglichkeit, sich resilient und nachhaltig aufzustellen und ihre Risiko- und Compliance-Kultur im Einklang mit der Unternehmens-Governance zu stärken. Wer Anforderungen proaktiv adressiert, stärkt nicht nur die eigene Compliance, sondern auch die Widerstandsfähigkeit und Wettbewerbsfähigkeit der Organisation.
Key Takeaways
- EBA/CP/2025/20 konkretisiert Governance-Anforderungen aus CRR III/CRD VI und integriert u. a. DORA, Diversität und Vergütung.
- Institute müssen Rollen, Verantwortlichkeiten und Prozesse dokumentieren und durch systematisches Verantwortlichkeits-Mapping absichern.
- Section 21 zur Compliance-Funktion wird überarbeitet; der Begriff „legal risk stemming from non-compliance events“ rückt rechtliche Risiken aus Compliance-Verstößen in den Fokus.
- Regulatory Monitoring entwickelt sich zum zentralen Steuerungsinstrument, digital und interdisziplinär verankert.
- Technologie und KI erhöhen Effizienz, ersetzen jedoch nicht die Fachkompetenz; die Verantwortung verbleibt bei den Instituten.
Ergänzende Informationen finden Sie hier
[1] Vgl. u.a. „Wirksames Rechtsmonitoring: So viel wie nötig, so wenig wie möglich!“, https://www.fch-gruppe.de/Seminar/wirksames-rechtsmonitoring-so-viel-wie-noetig-so-wenig-wie-moeglich-
Markus Müller, Diplom Volkswirt, Certified Compliance Professional (CCP) und Certified Compliance Officer (CCO), ist als Deputy Head MaRisk-Compliance für die Citigroup Global Markets Europe AG in Frankfurt am Main tätig. Dort ist er als Compliance Risk Management Officer (VP) im Kerngebiet Independent Compliance Risk Management zuständig für das Themengebiet Regulatory- & MaRisk-Compliance.
Davor war er bis September 2020 bei der Helaba als Referent im Bereich Compliance, MaRisk- und Central-Compliance zuständig für den Aufbau und die Weiterentwicklung der MaRisk-Compliance-Funktion. Einen Schwerpunkt bildete die Entwicklung des Compliance-Lifecycles und der Risikoanalyse nach MaRisk. Vor seinem Wechsel in das Compliance-Umfeld war Herr Müller gut zehn Jahre im Bereich Konzern- und Risikocontrolling tätig und wirkte hier u.a. an der IT-Weiterentwicklung und dem integrierten Reporting mit.
Darüber hinaus ist er seit 2015 als IHK-Prüfer im Prüfungsausschuss Bankkaufleute tätig. Aufgrund seiner exzellenten Fachkenntnisse im Bereich der MaRisk-Compliance hat Herr Müller in vielen Fachzeitschriften und Fachbüchern rund um das Thema Compliance publiziert und ist zudem ein gefragter Referent auf Veranstaltungen und Fachkongressen.
Sandra Leicht ist Head of Regulatory Compliance bei msg for banking und verfügt über umfassende Compliance-Erfahrung und -Expertise im Finanzdienstleistungssektor. Selbst seit vielen Jahren als Beauftragte tätig, berät und schult sie außerdem rund um die Compliance-Funktionen.