Compliance in der Bank: Pflichten, Rollen und prüffeste Nachweise nach MaRisk und WpHG

Compliance in einer Bank ist seit MaRisk AT 4.4.2 und § 80 WpHG eine bestellte, unabhängige Funktion mit direkter Berichtslinie an die Geschäftsleitung. Wer als Institut der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) gegenübertritt, muss nicht nur Richtlinien vorhalten, sondern die Bestellung, die Aufgabenbeschreibung, die Risikobewertung und die laufende Überwachung lückenlos belegen können. Die Prüfungspraxis hat sich in den letzten Jahren spürbar verschärft, vor allem nach den Aufsichtsverlautbarungen zu MaComp und zur Geldwäscheprävention sowie im Zuge der Vorbereitung auf DORA und die AMLR.

Dieser Beitrag ordnet die wichtigsten Pflichten ein, beschreibt die Rollen Compliance-Beauftragter, Geldwäschebeauftragter und Informationssicherheitsbeauftragter im Bankkontext und zeigt, wie Institute Bestellungen, Berichtslinien und Nachweise so führen, dass sie der Prüfung standhalten. Im Mittelpunkt stehen Audit-Festigkeit, klare Dokumentation und der saubere Übergang zwischen Linie, Compliance und Interner Revision. Wir verzichten auf Allgemeinplätze und benennen konkret, welche Belege auf welchem Stand vorzuhalten sind und wo die typischen Lücken in der Praxis entstehen.

Der Pflichtenkanon für Compliance in Kreditinstituten speist sich aus mehreren Quellen. MaRisk AT 4.4.2 fordert eine Compliance-Funktion zur Identifizierung und Überwachung wesentlicher rechtlicher Risiken, die mit der Geschäftstätigkeit verbunden sind. Für Wertpapierdienstleistungen tritt § 80 WpHG hinzu, ausgelegt durch die Mindestanforderungen an die Compliance-Funktion (MaComp). Die Geldwäscheprävention regelt das GwG, insbesondere §§ 4 bis 9, mit Risikomanagement, internen Sicherungsmaßnahmen und der Bestellung des Geldwäschebeauftragten. Ergänzend prägen § 25a und § 25b KWG die Anforderungen an Geschäftsorganisation und Auslagerung.

Hinzu kommen institutsspezifische Pflichten aus der DSGVO, dem KWG sowie aus europäischen Vorgaben wie MiFID II, der DORA-Verordnung (EU) 2022/2554 und der EU-Geldwäscheverordnung (AMLR). Die Bündelung dieser Quellen erzeugt einen erheblichen Dokumentationsdruck: Jede Pflicht braucht einen Verantwortlichen, eine Beschreibung der Kontrolle und einen belegbaren Nachweis der Durchführung. CIVAC versteht Compliance an dieser Schnittstelle als bestellte Compliance-Beauftragter-Funktion mit klar definierten Berichtslinien, nicht als lose Sammlung von Richtlinien im Intranet. Wer die Quellen in einer einheitlichen Pflichtenmatrix führt, kann gegenüber der BaFin und gegenüber der Internen Revision konsistent argumentieren und vermeidet Mehrfacharbeit zwischen Compliance, Recht und Risiko. Eine solche Matrix ordnet jede Pflicht einer Rechtsquelle, einer Kontrolle, einem Verantwortlichen, einer Frequenz und einem Beleg zu. Damit ist der Sprung von der Norm zur Akte für Prüfer in jedem Punkt nachvollziehbar.

Nach MaRisk AT 4.4.2 Nr. 2 ist ein Compliance-Beauftragter zu benennen, der für die Wirksamkeit der Compliance-Funktion verantwortlich ist. Die Bestellung erfolgt schriftlich durch die Geschäftsleitung. Die Funktion muss organisatorisch unabhängig sein, das heißt frei von Weisungen aus dem operativen Geschäft, mit ausreichenden Ressourcen, eigenem Budget und ungehindertem Informationszugang zu allen relevanten Bereichen. Die Aufgabenbeschreibung legt fest, welche Rechtsbereiche überwacht werden, wie Risikobewertungen vorgenommen werden und wie das Berichtswesen ausgestaltet ist.

Praktisch heißt das: Bestellurkunde, unterschrieben, abgelegt, belegbar. Daneben dokumentiert das Institut die Qualifikation, einen Vertretungsplan, die Eskalationswege bei Pflichtenkonflikten und die Berichtslinie. MaRisk verlangt einen mindestens jährlichen Compliance-Bericht an die Geschäftsleitung und einen Bericht an das Aufsichtsorgan. Die Funktion muss zudem ad hoc berichten, wenn schwerwiegende Verstöße oder neue regulatorische Anforderungen dies erfordern. Wichtig ist die saubere Trennung zur zweiten Verteidigungslinie der Risikofunktion und zur dritten Linie der Internen Revision. Institute, die ihre Compliance-Funktion über einen Workspace führen, verbinden Bestellung, Aufgabenbeschreibung und Berichtsvorlagen in einer Akte mit eindeutigen Versionsständen. Damit ist die Unabhängigkeit nicht nur formal, sondern nachvollziehbar dokumentiert und im Audit ohne Suchaufwand abrufbar. Wer zusätzlich Stellenbeschreibungen, Zielvereinbarungen und Vergütungselemente nachweist, die nicht an operative Geschäftserfolge gekoppelt sind, schließt eine zentrale Prüfungslücke bereits im Vorfeld. Sinnvoll ist auch ein interner Ressourcennachweis je Quartal: bewilligte Stellen, Vakanzen, Schulungstage und das Verhältnis von Eigenleistung zu externer Unterstützung, jeweils mit kurzer Bewertung durch die Funktion selbst und durch die Geschäftsleitung.

Verpflichtete nach § 2 GwG, darunter alle Kreditinstitute, haben gemäß § 7 GwG einen Geldwäschebeauftragten und einen Stellvertreter zu bestellen. Die Bestellung erfolgt schriftlich, die Person muss zuverlässig und sachkundig sein. Die BaFin ist über die Bestellung und über Wechsel zu informieren. Die Funktion ist unmittelbar der Geschäftsleitung unterstellt, mit Auskunfts- und Einsichtsrechten in alle Geschäftsbereiche. Die Anzeige erfolgt über das BaFin-Meldeportal MVP und wird Bestandteil der Aufsichtsakte.

Die Aufgaben umfassen die Risikoanalyse nach § 5 GwG, die Steuerung interner Sicherungsmaßnahmen (§ 6 GwG), die Verdachtsmeldung an die FIU (§ 43 GwG) und die regelmäßige Schulung der Mitarbeitenden. Frist läuft ab Kenntnis, das gilt für Verdachtsmomente ebenso wie für meldepflichtige Sachverhalte. Im Konzern ist die gruppenweite Verantwortlichkeit nach § 9 GwG zu beachten, einschließlich der Bestellung eines Gruppen-Geldwäschebeauftragten. Wer als Institut die Bestellung, die jährliche Risikoanalyse, das Schulungsregister und die Verdachtsmeldepfade in einer Akte führt, kann gegenüber der BaFin innerhalb von Stunden Belege liefern. Über die Funktion Geldwäschebeauftragter lässt sich die Rolle entweder intern besetzen und mit Vorlagen unterstützen oder extern als Officer-as-a-Service bestellen. In beiden Modellen wird die persönliche Eignung dokumentiert, regelmäßig nachgeschult und gegenüber der Aufsicht belegbar gemacht. Das ist der Unterschied zwischen einer Rolle auf dem Papier und einer Funktion mit nachweisbarer Wirksamkeit.

Die Wirksamkeit der Compliance-Funktion zeigt sich in den Berichtslinien. Nach MaRisk AT 4.4.2 Nr. 7 berichtet die Compliance-Funktion mindestens einmal jährlich an die Geschäftsleitung und das Aufsichtsorgan. Der Bericht beschreibt die Tätigkeit, die wesentlichen Feststellungen, den Umsetzungsstand von Maßnahmen, die Veränderungen der Risikolage und die Planung für das Folgejahr. MaComp ergänzt für Wertpapierdienstleistungen den Bericht nach § 80 WpHG, der Inhalt, Methodik und Erkenntnisse aus der Überwachung der Wohlverhaltenspflichten darlegt.

Daneben sind Ad-hoc-Meldungen zu schwerwiegenden Verstößen, zu Sanktionen oder zu Aufsichtsmaßnahmen vorgesehen. Die Trennung zwischen jährlichem Bericht, anlassbezogener Meldung und Eskalation an die Interne Revision muss klar definiert sein. Eine belastbare Praxis kombiniert eine Berichtsvorlage mit Pflichtfeldern, eine Fristen- und Aufgabenliste mit Verantwortlichen sowie eine versionsgeführte Ablage aller Berichte und Reaktionen. So wird sichtbar, welche Themen wann an wen eskaliert wurden, welche Maßnahmen vereinbart und welche Umsetzungsfristen gesetzt wurden. Der Prüfer ruft an, der Nachweis liegt bereit, ohne dass das Institut Mails durchsuchen muss. Genau diese Reproduzierbarkeit ist es, an der MaRisk-Prüfungen die Reife der Compliance-Funktion ablesen. Ergänzend gehört in die Berichtslinie eine kurze Lageeinschätzung zu neuen rechtlichen Entwicklungen, etwa zu DORA, zur AMLR oder zu nationalen Gesetzesänderungen, damit die Geschäftsleitung Veränderungen früh einsteuern kann und keine Lücke zwischen Inkrafttreten und Umsetzung entsteht.

Banken sind zugleich KRITIS-Sektor Finanzwesen und unterliegen ab 2026 DORA (Digital Operational Resilience Act, Verordnung (EU) 2022/2554). Die Anforderungen an IKT-Risikomanagement, Vorfallmeldung und Drittparteienrisiken greifen ineinander mit den nationalen NIS-2-Pflichten und mit ISO/IEC 27001:2022. Compliance, Informationssicherheit und Auslagerungsmanagement müssen daher inhaltlich abgestimmt sein, dürfen aber nicht in einer Hand zusammenfallen, weil MaRisk AT 4.4 die Trennung der Funktionen verlangt.

Praktisch bedeutet das, dass der Compliance-Beauftragte den rechtlichen Rahmen verantwortet, während der Informationssicherheitsbeauftragte das Sicherheitsmanagement steuert. Vorfallmeldungen nach DORA Art. 19 und NIS-2 24- und 72-Stunden-Meldepfade müssen reibungslos zwischen den Funktionen wandern. CIVAC hält dafür einen NIS-2 24/72-Meldepfad und ISO 27001:2022 ISMS-Vorlagen vor, die mit den Compliance-Akten verbunden sind. Das senkt das Risiko, dass ein Vorfall mehrfach unterschiedlich kategorisiert wird, und stellt sicher, dass die rechtliche und die sicherheitstechnische Bewertung aus derselben Datenbasis stammen. Audit-fest, dokumentiert, § 80 WpHG-fest. Wichtig ist auch das Drittparteien-Register: DORA verlangt eine Liste aller IKT-Drittdienstleister mit Kritikalitätseinstufung. Wer dieses Register an die bestehende Auslagerungsdatenbank des Instituts anschließt und mit den Compliance-Pflichten verknüpft, vermeidet eine Schatten-IT-Liste neben der MaRisk-Auslagerungsakte und reduziert die Prüfungslast für die Compliance-Funktion deutlich. Ergänzt um eine gemeinsame Klassifikationssystematik für Vorfälle (Meldepflicht, Schwellenwerte, Eskalationsstufen) entsteht eine Vorfallakte, die zugleich DORA, NIS-2, MaRisk AT 4.4 und § 33 Abs. 1 BSIG abbildet.

Verstöße gegen Compliance-Pflichten in Banken treffen Institut und Leitungspersonen. Nach § 56 KWG drohen Bußgelder bei vorsätzlichen oder fahrlässigen Pflichtverletzungen. § 130 OWiG erlaubt die Sanktionierung von Aufsichtspflichtverletzungen mit Geldbußen bis 1 Mio. Euro, ergänzt durch Abschöpfung wirtschaftlicher Vorteile nach § 17 Abs. 4 OWiG. Das WpHG sieht bei Verstößen gegen § 80 zusätzliche Bußgeldrahmen vor, das GwG sanktioniert Verstöße gegen die Sicherungsmaßnahmen nach § 56 GwG mit bis zu 150.000 Euro, in schweren Fällen mit bis zu 5 Mio. Euro oder 10 Prozent des Jahresumsatzes.

Persönliche Haftung trifft die Geschäftsleitung über § 25c KWG für Geldwäscheprävention und über die allgemeine Sorgfaltspflicht nach § 93 AktG bzw. § 43 GmbHG. Aufsichtsmaßnahmen reichen von Anordnungen über Abberufungsverlangen bis zur Untersagung der Geschäftstätigkeit nach § 36 KWG. Belastbare Bestellungen, dokumentierte Risikoanalysen und nachvollziehbare Berichtslinien wirken hier als wichtigster Schutzschild. Sie verschieben die Beweisrichtung: Statt das Fehlen einer Kontrolle zu widerlegen, kann das Institut die Wirksamkeit belegen. Dieser Unterschied entscheidet in der Praxis über die Höhe der Sanktion und über die Außenwirkung im Aufsichtsverfahren. Hinzu kommt die Veröffentlichungspraxis: BaFin und EZB veröffentlichen sanktionierende Maßnahmen, was reputative Folgen hat, die regelmäßig den finanziellen Schaden überschreiten. Wer in der Akte Wirksamkeit belegen kann, verkürzt Aufsichtsverfahren und reduziert die Wahrscheinlichkeit einer Veröffentlichung mit Namensnennung.

Ein vollständiges Outsourcing der Compliance-Funktion ist in Banken nicht zulässig, weil MaRisk AT 9 die Letztverantwortung der Geschäftsleitung verlangt. Zulässig ist jedoch die Auslagerung von Teilaufgaben oder die externe Besetzung der Funktion durch einen qualifizierten Officer-as-a-Service, sofern die Institutsverantwortung gewahrt bleibt. Die Auslagerungsvereinbarung muss Inhalte, Berichtslinien, Informationsrechte, Kündigung und Notfallplanung regeln. § 25b KWG und EBA-Leitlinien zu Outsourcing (EBA/GL/2019/02) setzen den Rahmen, ergänzt durch DORA Art. 28 ff. für IKT-bezogene Auslagerungen.

CIVAC arbeitet hier mit einem dualen Modell. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Im ersten Fall nutzt das Institut Audit-Vorlagen, Berichtsstrukturen und EU-Datenresidenz, ohne externe Mandatierung. Im zweiten Fall übernimmt eine externe Person die Funktion, etwa als Compliance-Beauftragter oder Geldwäschebeauftragter, eingebunden in die Berichtslinie zur Geschäftsleitung. In beiden Fällen bleibt das Institut Adressat der BaFin. Wichtig ist die saubere Schnittstelle zur Internen Revision, die die Compliance-Funktion nach MaRisk BT 2 mindestens jährlich prüft. Auslagerung ohne Schnittstellenklärung erzeugt mehr Risiko als Entlastung. Bestandteil der Vereinbarung sollten zudem Zugriffsrechte für Aufsicht und Revision, Datenresidenz, Vertraulichkeitspflichten, Servicelevel für Anfragen sowie Exit-Pläne sein, damit die Funktion auch bei Anbieterwechsel oder Insolvenz des Dienstleisters arbeitsfähig bleibt. Ein quartalsweises Auslagerungsmonitoring mit Kennzahlen zu Reaktionszeiten, Servicelevels und festgestellten Mängeln gehört in die Compliance-Akte und in den jährlichen Bericht an die Geschäftsleitung.

Eine Compliance-Akte ist dann prüffest, wenn ein Prüfer ohne Rückfrage versteht, was, von wem, wann und mit welchem Ergebnis getan wurde. Folgende Bestandteile sind aus Aufsichtssicht typischerweise erwartbar: Bestellurkunde mit Datum und Unterschrift; Aufgabenbeschreibung; Pflichtenkatalog mit Rechtsquellen; jährliche Risikoanalyse nach MaRisk und GwG; Compliance-Plan; Berichtsvorlagen für jährliche und ad hoc Berichte; Schulungsnachweise; Eskalationen mit Datum und Status; Auslagerungsverträge und deren Überwachung; Vertretungsplan; Protokolle über regelmäßige Abstimmungen mit Risiko, Recht und Interner Revision.

Hinzu kommen verfahrensbezogene Belege: Sanktionsscreening, KYC-Updates, Verdachtsmeldungen, MAR-Insiderverzeichnis, Beschwerde- und Beschwerdemanagementakten, Verdachtsfälle nach WpHG, Geschenke- und Einladungsregister, Whistleblowing-Meldungen nach HinSchG. Wer diese Bestandteile in eine versionsgeführte Akte einsortiert, reduziert die Vorbereitungszeit auf BaFin- und Prüfungsanfragen drastisch. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Das CIVAC-Workspace bündelt 37 einsatzbereite Audit-Vorlagen und verbindet sie mit den Beauftragten-Rollen, sodass Bestellung, Aufgabenbeschreibung, Berichte und Schulungsnachweise nicht aus drei Systemen zusammengesucht werden müssen. So entsteht eine Akte, die im Audit verlässlich besteht. Wichtig ist außerdem ein einheitliches Versionsschema, das Änderungen mit Datum, Autor und Anlass verknüpft, damit die Aufsicht den Reifungspfad einer Pflicht über mehrere Jahre nachvollziehen kann. Eine kurze Lesehilfe für Prüfer, etwa eine zweiseitige Aktenkarte mit Verweisen auf Bestellung, Risikoanalyse, jüngsten Bericht und offene Maßnahmen, beschleunigt den Einstieg in jede Prüfung erheblich.

Banken arbeiten unter dichter Aufsicht. Die Erwartung ist nicht Perfektion, sondern Nachweisbarkeit. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service, ausgelegt auf die Beauftragten-Rollen, die ein Institut führt: Compliance-Beauftragter, Geldwäschebeauftragter, Informationssicherheitsbeauftragter, Datenschutzbeauftragter, ergänzt um Audit-Vorlagen, eine Berichtslinie zur Geschäftsleitung und EU-Datenresidenz für die Ablage sensibler Belege. Wer einen NIS-2 24/72-Meldepfad und ISO 27001:2022 ISMS sauber verbinden möchte, findet beides in einer Akte. So lässt sich die regulatorische Last in Routinen überführen, statt sie projektweise abzuarbeiten.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Wege enden in derselben prüffesten Akte. Für die nächsten Schritte sind drei Fragen sinnvoll: Welche Funktionen sind bestellt, schriftlich, mit Datum? Wo liegen die Berichte der letzten 24 Monate? Welche Schnittstellen zwischen Compliance, Informationssicherheit und Interner Revision sind formal geregelt? Wer hier Lücken identifiziert, kann sie in wenigen Wochen schließen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von zwei Werktagen eine strukturierte Rückmeldung mit Vorlagen und einer Vorgehensskizze für Ihr Institut, abgestimmt auf Größe, Geschäftsmodell und die zuständige Aufsichtspraxis. So wird aus regulatorischer Unschärfe eine konkrete Aktenstruktur, die täglich nutzbar ist und gleichzeitig der Prüfung standhält.