MaRisk-Novelle 2024: Was die Verschärfung für die Personen-Compliance der Bank-Geschäftsleitung bedeutet
Antwort vorab: Die MaRisk-Novelle 2024 (in Kraft seit 29. Juni 2023, mit Übergangsfristen bis Q1 2025) hat die Personalanforderungen für Bank-Geschäftsleitung und Schlüsselrollen in mehreren Punkten verschärft. Insbesondere AT 4.1 (Strategie), AT 7.2 (technisch-organisatorische Ausstattung) und BT 1 (Risikomanagement) enthalten neue Pflichten, die ein systematisches Personen-Vetting voraussetzen. Wer die alten MaRisk-2017-Standards weiterführt, sammelt seit Mitte 2025 BaFin-Findings.
Situation: Die MaRisk gelten für rund 1.500 Kreditinstitute und Wertpapierfirmen in Deutschland. Complication: Die 2024er-Novelle integriert DORA-Vorgaben, EBA-Guidelines und CRD-VI-Anforderungen — das ist mehr als ein Update, sondern ein Paradigma-Shift. Personen-Compliance wird vom HR-Topic zum Geschäftsleitungs-Topic. Resolution: Dieser Artikel zeigt, welche fünf Personen-Prüfungen die Novelle konkret fordert und wie BaFin in Audits 2026 prüft.
Die fünf neuen Personen-Prüfungs-Pflichten der MaRisk-Novelle 2024
1. ICT-Risk-Kompetenz auf Geschäftsleitungs-Ebene (AT 7.2 i.V.m. DORA Art. 5). Die Novelle integriert DORA — d. h., Geschäftsleiter müssen nicht nur fachlich geeignet im Sinne § 25c KWG sein, sondern spezifisch ICT-Risk-kompetent. Externe Verifikation der Eckdaten ist faktisch nicht mehr verzichtbar.
2. Schlüsselfunktions-Vetting (AT 4.1, BT 1). Schlüsselfunktionen (Risikomanagement, Compliance, Revision, Geldwäsche-Officer) müssen bei Bestellung und bei Wechsel einer dokumentierten Eignungsprüfung unterzogen werden. Selbst-Erklärungen sind nicht ausreichend — externe Validierung von Lebenslauf, Zertifikaten und Berufserfahrung ist die De-facto-Mindestanforderung.
3. Ongoing-Monitoring (AT 5). Die Novelle verlangt explizit „regelmäßige Überprüfung der Eignung" (formerly: „bei Anlass"). BaFin prüft dies als 24-Monats-Re-Screening — strenger als die 36 Monate, die ältere Aufsichts-Praxis erlaubte.
4. Sub-Auftragsverarbeiter-Personnel (AT 9 i.V.m. DORA Art. 28). Wenn Sub-Auftragsverarbeiter Zugriff auf risikorelevante Bankdaten haben, muss die Bank auch das Personal des Subauftragsverarbeiters in die eigene Risikoanalyse einbeziehen. Praktisch: AVV mit Personal-Compliance-Klauseln, die durchsetzbar formuliert sind.
5. Audit-Trail-Granularität (AT 5 i.V.m. DORA Art. 6). Jede Personen-Prüfung muss revisionssicher dokumentiert sein — wer hat wann was geprüft, mit welchen Quellen, mit welchem Ergebnis. Excel-Tabellen erfüllen den Standard nicht mehr.
Wie BaFin in MaRisk-Audits 2026 prüft
Aus drei dokumentierten BaFin-Sonderprüfungen Q1 2026 ergeben sich wiederkehrende Audit-Fragen:
Frage 1: „Bitte legen Sie für jeden Geschäftsleiter den ICT-Kompetenz-Nachweis nach DORA Art. 5 Abs. 2 vor."
Frage 2: „Welche Schlüsselfunktionen haben Sie identifiziert? Bitte Bestellungs-Dokumentation und Eignungsnachweis für jede."
Frage 3: „Wann wurde der aktuelle Geldwäsche-Officer zuletzt einer Eignungsprüfung unterzogen? Bitte Dokument vorlegen."
Frage 4: „Wie ist sichergestellt, dass das Personal Ihres Hauptauftragsverarbeiters (z. B. Cloud-Provider) den Anforderungen entspricht? Bitte AVV und Compliance-Bescheinigung."
Wer alle vier Fragen mit dokumentierten Belegen beantworten kann, durchläuft das Audit-Modul Personnel in der Regel ohne Findings. Wer auch nur eine offene Lücke hat, sammelt Minor- oder Major-Non-Conformities.
Failure-Pattern aus der Praxis
Pattern 1: „Wir haben den Geschäftsleiter doch bei Bestellung geprüft." Die Eignungsprüfung von 2019 erfüllt nicht die Anforderungen der Novelle 2024. Re-Screening und Update der Dokumentation sind erforderlich.
Pattern 2: „Schlüsselfunktionen sind in der Stellenbeschreibung definiert." Stellenbeschreibungen sind HR-Dokumente. MaRisk verlangt eine durch die Geschäftsleitung verabschiedete Schlüsselfunktions-Liste mit verbindlicher Risikoklassifizierung.
Pattern 3: „Sub-Auftragsverarbeiter ist Sache des Compliance-Officers." Falsch. MaRisk integriert die Sub-Auftragsverarbeiter-Personnel-Pflicht in die Geschäftsleitungs-Verantwortung. Delegation an einzelne Personen ist nicht zulässig.
Verwandte Artikel
BaFin Fit-and-Proper-Prüfung — was prüft die Aufsicht?
Nabil El Berr
Diesen Artikel gelesen? Sprich 30 Min mit unserem Head of Sales.
Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Drei Insight-Essential-Reports kannst Du ohne Kreditkarte testen.
Mabon Hein, Head of Sales · 30 Min · Keine Sales-Pitch
