Die BaFin hat flankierend zum Fondsrisikobegrenzungsgesetz ihr Rundschreiben über die Mindestanforderungen von Kapitalverwaltungsgesellschaften (KAMaRisk) überarbeitet und bis zum 1. Juli 2026 zur Konsultation gestellt.

Der Konsultation ging ein Workshop mit Praktikern voraus, an dem auch Experten aus dem BVI-Mitgliederkreis teilgenommen haben. Im Konsultationsentwurf finden sich gelb markiert lediglich diejenigen Textpassagen, die gestrichen oder neu eingefügt werden sollen.

Die wesentlichen Änderungen im Entwurf des Rundschreibens beziehen sich auf folgende Aspekte:

• Kreditfonds
  Die BaFin setzt insbesondere die Vorgaben des AIFMD-Reviews für den Risikomanagementprozess bei der Kreditvergabe durch Fonds sowie beim Erwerb von unverbrieften Darlehensforderungen um. Sehr erfreulich ist, dass sie wesentliche Vorgaben, die bislang aus dem Kreditprozess für Banken abgeleitet wurden, streichen will. Dies betrifft insbesondere die Einrichtung einer unabhängigen „Marktfolge“-Einheit und das Zweitvotum sowie die Bearbeitungskontrolle und die Verfahren für die Früherkennung von Risiken. Zugleich wird der Grundsatz der Proportionalität hervorgehoben. Die BaFin führt außerdem neue Vorgaben im Hinblick auf Objekt-/Projektfinanzierungen ein. 
  Entgegen ihrer bisherigen Ankündigung hält die BaFin jedoch daran fest, die Kreditvergabe weiterhin als Anlageentscheidung dem Fondsmanagement zuzuordnen. Dies erscheint mit Blick auf die neue Systematik der AIFM-Richtlinie fragwürdig.
• DORA
  In Umsetzung der DORA-Vorgaben werden IKT-Risiken ausdrücklich in den Risikomanagementprozess einbezogen; der bisherige Abschnitt „Elektronische Datenverarbeitung“ wird gestrichen.
  Besonders positiv hervorzuheben ist eine Klarstellung: Ausgelagerte oder fremdbezogene IKT-Dienstleistungen im Sinne der DORA-Verordnung gelten nicht als Auslagerung. Damit folgt die BaFin unserer mehrfach geäußerten Forderung und orientiert sich an dem bereits im Banken- und Wertpapierinstitutsbereich umgesetzten Ansatz.
• ESG-Risiken
  Der neue Ansatz zur Berücksichtigung von ESG-Risiken scheint die BaFin teilweise aus der Banken-MaRisk übernommen zu haben – er passt jedenfalls nicht auf die für den Fondsbereich geltenden Vorgaben.
• Interne Revision
  Neu ist die Vorgabe, dass Mitarbeiter der Internen Revision keine Tätigkeiten beurteilen dürfen, für die sie außerhalb der Internen Revision in den letzten zwölf Monaten verantwortlich waren. Damit sollen die Vorgaben für die Interne Revision an internationale Standards angeglichen werden. Zudem gibt es minimale Änderungen in Bezug auf die Berichtspflichten gegenüber Geschäftsleitung und Aufsichtsrat.  

Wir werden prüfen, ob über die von der BaFin vorgeschlagenen Änderungen hinaus weitere Anpassungen an der KAMaRisk (z. B. im Hinblick auf die Dokumentation und Abwicklung von Portfoliogeschäften, Homeoffice-Tätigkeit usw.) notwendig sind. Ihre Anmerkungen dazu sind willkommen.
 

Der BVI ist assoziiertes Mitglied der Internationalen Organisation der Wertpapieraufsichtsbehörden (IOSCO). Internationale Zusammenarbeit und Präsenz sind für den Verband von großer Bedeutung. „Der BVI ist einer der international aktivsten Fondsverbände weltweit. Deshalb ist es konsequent, auch in globalen Organisationen wie der IOSCO vertreten zu sein“, sagt Thomas Richter. Zentrale Branchenthemen wie Digitalisierung, Cybersicherheit und Finanzstabilität werden auf globaler Ebene diskutiert. Dabei prägen die Empfehlungen der IOSCO die Regulierung und deren Anwendung in der EU. „Von dieser Mitgliedschaft versprechen wir uns einen intensiveren Kontakt zu den Aufsehern, vor allem innerhalb Europas“, so Richter.

Die IOSCO ist der internationale Zusammenschluss der Wertpapieraufsichtsbehörden. Sie entwickelt internationale Standards für die Wertpapierregulierung und fördert deren einheitliche Anwendung. In Zusammenarbeit mit dem Finanzstabilitätsrat und der G20 zielt die IOSCO darauf ab, die Stabilität, Transparenz und Funktionsfähigkeit der globalen Finanzmärkte zu stärken.

Der erste jährliche Bericht der Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA, zusammen ESA) zu schwerwiegenden IKT-Vorfällen im EU-Finanzsektor zeigt: Rund ein Drittel der 3.383 gemeldeten Vorfälle hatte grenzüberschreitende Auswirkungen. Das unterstreicht die zunehmende Vernetzung durch gemeinsame Infrastrukturen und Dienste. Gleichzeitig waren die direkten Auswirkungen auf Kunden und Transaktionen im Allgemeinen begrenzt, insbesondere im Assetmanagement.

Hauptursachen der Meldungen waren Systemausfälle und externe Ereignisse. Das verdeutlicht die Notwendigkeit eines robusten Risikomanagements bei Dritten, einer wirksamen Überwachung ausgelagerter Dienste und einer engen Abstimmung mit Dienstleistern bei der Bewältigung und Behebung von Vorfällen.

Nur zehn Prozent der gemeldeten Vorfälle standen im Zusammenhang mit Cybersicherheit. Dennoch weisen die Behörden darauf hin, dass die jüngste Entwicklung hochleistungsfähiger KI-gestützter Tools Anlass sein sollte, die Cybersicherheitsmaßnahmen zu verstärken, um die Widerstandsfähigkeit auch in Zukunft zu gewährleisten.

Die EU-Behörden ziehen aus den Ergebnissen die Erkenntnis, dass IKT-Risiken zunehmend systemische Bedeutung erlangen. Gleichzeitig tragen die über DORA geschaffenen Anforderungen dazu bei, Resilienz, Aufsicht und Datenqualität kontinuierlich zu verbessern. Ziel ist es, künftige Vorfälle im Finanzsektor zu verhindern, abzufedern und zu bewältigen. Die Meldung schwerwiegender Vorfälle ist dabei ein Schlüsselelement: Sie ermöglicht eine zeitnahe Information der Aufsichtsbehörden über die IKT-Risiken. Außerdem unterstützt sie eine wirksame Koordinierung zwischen den zuständigen Behörden und stärkt die allgemeine Resilienz und Stabilität des EU-Finanzsystems.

Die EU-Behörden kündigen außerdem in dem Bericht noch in diesem Jahr ein neues IT-Tool für die Meldung schwerwiegender Vorfälle durch die zuständigen Behörden an die ESA an: Mit automatisierten Validierungsprüfungen und Rückmeldemechanismen soll die Datenqualität, -erhebung und -verarbeitung erheblich verbessert werden. Darüber hinaus erwarten die ESA durch eine Verknüpfung mit dem DORA-Informationsregister zusätzliche Erkenntnisse zu systemischen IKT-Risikokonzentrationen im gesamten Finanzsektor.