CRD VI Fit-and-Proper-Roadmap 2026–2028: Was Banken jetzt vorbereiten müssen
Die sechste Novelle der Capital Requirements Directive (CRD VI, Richtlinie (EU) 2024/1619) wurde im Juni 2024 im Amtsblatt der Europäischen Union veröffentlicht und ist bis zum 11. Januar 2026 von den Mitgliedstaaten in nationales Recht umzusetzen. Die Richtlinie bringt für Kreditinstitute eine deutliche Ausweitung der Fit-and-Proper-Anforderungen mit sich: Erstmals werden nicht nur Mitglieder des Leitungsorgans, sondern auch eine klar definierte Gruppe von Key Function Holders — darunter CFO, CRO, CCO und Heads of Control — in den aufsichtsrechtlichen Eignungs- und Zuverlässigkeitsrahmen einbezogen.
Für Banken im DACH-Raum heißt das: Der vertraute § 25c KWG-Workflow mit Zuverlässigkeitsprüfung und Eignungsbewertung auf Geschäftsleiterebene wird in den kommenden 24 Monaten strukturell ausgeweitet. Wer erst 2026 mit der Anpassung beginnt, läuft in ein Nadelöhr aus parallel laufenden Personalprüfungen, Dokumentationsanforderungen und Aufsichtsanfragen. Dieser Beitrag liefert eine belastbare Roadmap für den Zeitraum 2026 bis 2028, inklusive Quartalsmeilensteinen, Funktionszuordnungen und einer Schnittstellenkarte zu den bestehenden EBA-ESMA Joint Guidelines.
Scope-Erweiterung verstehen: Was CRD VI neu bringt
CRD VI erweitert die Eignungs- und Zuverlässigkeitsprüfung systematisch. Bisher konzentrierte sich das Regime auf Mitglieder des Leitungsorgans in seiner Geschäftsführungs- und Aufsichtsfunktion. Die Novelle bezieht ausdrücklich folgende Personengruppen zusätzlich ein:
Chief Financial Officer (CFO): Verantwortlich für Rechnungswesen, regulatorische Meldewesen und Finanzsteuerung. Der CFO wird — soweit nicht ohnehin Mitglied der Geschäftsleitung — als Key Function Holder qualifiziert.
Chief Risk Officer (CRO): Leitung der zweiten Verteidigungslinie, Aggregation und Steuerung aller wesentlichen Risikoarten.
Chief Compliance Officer (CCO): Verantwortung für die Geldwäsche-, Sanktions- und Wertpapier-Compliance sowie für die Einhaltung aufsichtsrechtlicher Pflichten.
Heads of Control Functions: Leitung Interne Revision, Leitung Risikocontrolling, gegebenenfalls Head of Anti-Financial-Crime. Die konkrete Abgrenzung richtet sich nach der Institutsstruktur und wird durch die EBA-ESMA Joint Guidelines on the Assessment of the Suitability of Members of the Management Body and Key Function Holders (EBA/GL/2021/06, überarbeitete Fassung 2024) konkretisiert.
Materiell greifen auf die neu einbezogenen Personen dieselben fünf Bewertungskriterien wie auf Geschäftsleiter: hinreichende Kenntnisse und Fähigkeiten, angemessener Zeitaufwand, Unabhängigkeit des Urteilsvermögens, kollektiver Eignungsrahmen des Gremiums sowie — zentral — persönliche Zuverlässigkeit und Integrität. Der zuletzt genannte Punkt wird in der Praxis durch Führungszeugnisse, Bonitätsauskünfte, Sanktionslisten-Screenings und strukturierte Reputationsprüfungen operationalisiert.
Verzahnung mit dem bestehenden BaFin-§-25c-KWG-Workflow
Deutsche Institute arbeiten seit Jahren mit einem etablierten Workflow: Vor Bestellung eines Geschäftsleiters wird die BaFin nach § 25c Abs. 1 KWG in Verbindung mit dem BaFin-Merkblatt zu Geschäftsleitern nach KWG, ZAG und KAGB (Stand April 2024) angezeigt, und es werden umfangreiche Unterlagen eingereicht: Lebenslauf, Führungszeugnis (nicht älter als drei Monate), Auszug aus dem Gewerbezentralregister, Eigenerklärungen zu früheren Tätigkeiten, Insolvenzverfahren und Strafverfahren. Die Bearbeitungsdauer beträgt in der Regel sechs bis zwölf Wochen.
CRD VI verlangt nicht, dass Key Function Holder dem identischen Anzeigeregime unterliegen — aber das Institut muss einen strukturell vergleichbaren internen Prüfungsprozess vorhalten, der prüfungsfest dokumentiert und im Rahmen von Aufsichtsprüfungen darstellbar ist. Die Bundesanstalt hat in ihrem Konsultationspapier zur Umsetzung (Q4 2025 erwartet) angedeutet, dass sie für Key Function Holder eine interne Dokumentationspflicht mit Reifegradbewertung verlangen wird, jedoch keine Vorabgenehmigung.
Roadmap 2026 → 2027 → 2028
Phase 1: 2026 — Aufbau und Scoping
Quartal | Meilenstein | Verantwortliche Funktion |
|---|---|---|
Q1 2026 | Scoping-Workshop: Identifikation aller Key Function Holder im Institut. Abgleich mit der EBA-Liste und der bestehenden MaRisk-Funktionstrennung. | Leitung Personal, Compliance, Interne Revision |
Q1 2026 | Governance-Beschluss des Vorstands über den erweiterten Scope, dokumentiert im Organisationshandbuch. | Gesamtvorstand |
Q2 2026 | Policy „Fit-and-Proper erweitert" verabschieden: Kriterienkatalog, Prüftiefe, Dokumentation, Review-Zyklen. | CCO, Leitung Personal |
Q2 2026 | Auswahl und Vertragsabschluss mit DSGVO-konformem Background-Check-Provider. Abdeckung: DE, AT, CH plus weitere EU-Staaten, in denen das Institut aktiv ist. | Leitung Einkauf, Datenschutzbeauftragter |
Q3 2026 | Interview-Templates für neue Key Function Holder entwickeln: Strukturierte Leitfäden für CFO, CRO, CCO und Heads of Control mit funktionsspezifischen Kompetenzfeldern. | Personalentwicklung, externe Rechtsberatung |
Q4 2026 | Pilotläufe: Drei bis fünf Erstbewertungen bestehender Key Function Holder als Testfälle. Iterative Prozessverbesserung. | Compliance, Personal |
Phase 2: 2027 — Rollout und Härtung
Quartal | Meilenstein | Verantwortliche Funktion |
|---|---|---|
Q1 2027 | Vollumfänglicher Rollout: Alle aktiven Key Function Holder durchlaufen die erweiterte Fit-and-Proper-Bewertung. Lückenloses Dossier je Person. | CCO, Leitung Personal |
Q2 2027 | Integration in den Onboarding-Prozess für Neueinstellungen auf Key-Function-Ebene. Kein Dienstantritt ohne abgeschlossene Bewertung. | Leitung Personal |
Q2 2027 | Parallelisierung mit EBA-ESMA Joint Guidelines 2024: Kollektive Eignungsmatrix auf Vorstands- und Key-Function-Ebene, dokumentiert in einer Suitability-Matrix. | Aufsichtsrat, Personalausschuss |
Q3 2027 | Erste interne Revision des Fit-and-Proper-Prozesses: Prüfung auf Vollständigkeit, Nachvollziehbarkeit, DSGVO-Konformität. | Interne Revision |
Q4 2027 | Anpassung auf Basis der Revisionsfeststellungen. Einführung einer digitalen, auditfähigen Akte je Key Function Holder. | CCO, IT |
Phase 3: 2028 — Konsolidierung und Aufsichtsdialog
Quartal | Meilenstein | Verantwortliche Funktion |
|---|---|---|
Q1 2028 | Erste vollständige jährliche Reassessment-Welle aller Key Function Holder. Fokus: Veränderungen in der persönlichen Situation, fortlaufende Weiterbildung, Rollenanpassungen. | CCO, Personal |
Q2 2028 | Aufsichtsdialog mit BaFin und gegebenenfalls EZB (im SSM): Darstellung des etablierten Prozesses, Austausch zu Best Practices. | Vorstand, CCO |
Q3 2028 | Benchmark-Analyse gegen Peer-Institute und Aufsichtserwartungen. Identifikation von Optimierungspotenzialen. | Compliance, Strategie |
Q4 2028 | Konsolidierter Gesamtbericht an Aufsichtsrat: Reifegradbewertung, Handlungsbedarfe, Ausblick. | CCO, Vorstand |
Dokumentationsanforderungen im Detail
Für jeden Key Function Holder ist ein prüfungsfestes Dossier aufzubauen. Die Inhalte leiten sich aus den EBA-ESMA Joint Guidelines 2024 ab und sollten über den gesamten Lebenszyklus der Rolle aktuell gehalten werden.
Persönliche Angaben: Lebenslauf, Ausbildungsnachweise, Zeugnisse, Qualifikationsnachweise relevanter Weiterbildungen.
Zuverlässigkeitsnachweise: Behördliches Führungszeugnis, Auszug aus dem Gewerbezentralregister (soweit anwendbar), Bonitätsauskunft, Sanktionslisten-Screening, internationale Background-Check-Ergebnisse bei Auslandsbezug.
Unabhängigkeitsprüfung: Offenlegung wesentlicher privater und geschäftlicher Beziehungen, Interessenkonflikt-Register, Zweittätigkeitsgenehmigungen.
Kompetenzbewertung: Funktionsspezifischer Kriterienkatalog, dokumentierte Interviewergebnisse, Self-Assessment, Fremdbeurteilung durch Vorstand oder Aufsichtsrat.
Zeitverfügbarkeit: Inventar paralleler Mandate, Berechnung der kommittierten Stunden, Schwellenwerte je nach Institutsgröße.
Laufende Aktualisierung: Jährliches Self-Declaration-Formular, Ad-hoc-Meldepflicht bei wesentlichen Ereignissen (Insolvenzverfahren, Strafverfahren, Zivilrechtsstreitigkeiten mit wesentlicher Reputationsrelevanz).
Eine Bitkom-Studie aus dem Jahr 2025 zur Digitalisierung der Compliance-Funktion zeigt, dass nur rund ein Drittel der befragten Kreditinstitute ihre Fit-and-Proper-Akten bereits vollständig digital und auditfähig führt. Für die CRD-VI-Welle ist die Papierform nicht mehr skalierbar — spätestens ab 2027 ist ein elektronisches Aktensystem Pflichtpraxis.
Interview-Templates für die erweiterten Key Function Holder
Die bisher für Geschäftsleiter verwendeten Interview-Leitfäden sind nicht eins-zu-eins auf Key Function Holder übertragbar. Jede Funktion hat ein spezifisches Kompetenzprofil, das in strukturierten Interviews abgedeckt werden muss.
CFO-Interview: IFRS- und HGB-Rechnungslegung, regulatorische Meldewesen (COREP, FINREP, AnaCredit), Treasury, Steuerrecht, Investor Relations. Szenariofragen: Handling einer kurzfristigen Liquiditätskrise, Kommunikation einer Ergebniskorrektur gegenüber der Aufsicht.
CRO-Interview: ICAAP, ILAAP, Stresstests, ESG-Risiken, Model Risk Management, Operational Resilience. Szenariofragen: Eskalationsentscheidung bei Überschreitung von Risikotoleranzen, Umgang mit Aufsichtsfeststellungen im Rahmen des SREP.
CCO-Interview: GwG, KYC, Sanktionsrecht, MaRisk Compliance-Funktion, WpHG, Transaktionsüberwachung. Szenariofragen: Umgang mit einem Verdachtsfall auf Insidergeschäfte, Konfliktfall zwischen Geschäftsinteresse und regulatorischer Pflicht.
Head of Internal Audit: IIA-Standards, MaRisk AT 4.4.3, Prüfungsplanung, Stichprobenmethodik, Unabhängigkeitsstandards. Szenariofragen: Umgang mit einer Prüfungsfeststellung, die ein Vorstandsmitglied persönlich betrifft.
Die Interviews sollten von einem aus Aufsichtsrat, externem Gutachter und gegebenenfalls Personalberatung bestehenden Gremium geführt werden. Die Protokolle sind Teil des Fit-and-Proper-Dossiers.
Rechtliche Pendants in CH, AT und EU-weit
Schweiz
Die Schweiz implementiert CRD VI nicht unmittelbar, verfolgt aber seit dem FINMA-Positionspapier zur Harmonisierung mit EU-Aufsichtsstandards (Oktober 2025) eine schrittweise Angleichung. Grundlage bleibt Art. 3 Abs. 2 lit. c BankG (Gewähr für einwandfreie Geschäftstätigkeit) sowie Art. 8 Bankenverordnung und das FINMA-Rundschreiben 2017/1 „Corporate Governance — Banken". Die FINMA hat angekündigt, im Rahmen der nächsten Revision des Rundschreibens Key Function Holder auf CFO-, CRO- und CCO-Ebene in die Gewährsprüfung einzubeziehen. Für Institute im SSM oder mit EU-Tochtergesellschaften ist die CRD-VI-Logik faktisch bereits heute umzusetzen. Praxisrelevant: Der schweizerische Strafregisterauszug (SRA) und der Betreibungsregisterauszug erfüllen — anders als das deutsche Führungszeugnis — nur einen Teil des Reputationsprüfungs-Scopes; ergänzende Prüfungen sind regelmäßig erforderlich.
Österreich
Österreich wird CRD VI über eine Novelle des Bankwesengesetzes (BWG) umsetzen. Kernvorschriften sind § 5 BWG (Bewilligungsvoraussetzungen und Fit-and-Proper-Anforderungen für Geschäftsleiter) sowie § 28a BWG (Eignungsprüfung von Aufsichtsratsmitgliedern). Die FMA hat in ihrem Aufsichtsprogramm 2026 die Umsetzung von CRD VI als prioritären Themenschwerpunkt benannt und wird den erweiterten Personenkreis voraussichtlich über eine Adaptierung der FMA-Rundschreiben zu Fit-and-Proper-Tests operationalisieren. Österreichische Institute sollten mit einer gegenüber Deutschland zeitlich leicht verzögerten, aber inhaltlich parallelen Umsetzung rechnen.
EU-weit
Auf Unionsebene bilden die EBA-ESMA Joint Guidelines on the Assessment of the Suitability of Members of the Management Body and Key Function Holders (EBA/GL/2021/06, in der 2024 überarbeiteten Fassung) das materielle Rückgrat. Ergänzend gelten die EBA-Guidelines on Internal Governance (EBA/GL/2021/05), die durch CRD VI in wesentlichen Punkten gestärkt werden. Die Europäische Zentralbank wendet im Rahmen des Single Supervisory Mechanism (SSM) ergänzend ihren eigenen SSM Fit-and-Proper-Leitfaden (aktuelle Fassung Dezember 2024) an, der für bedeutende Institute (SI) direkt einschlägig ist. Für Institute, die gleichzeitig unter DORA fallen, entsteht eine sinnvolle Verzahnung: Die Reputationsprüfung der Outsourcing-Verantwortlichen nach Art. 28 DORA und die Fit-and-Proper-Prüfung nach CRD VI lassen sich in einer integrierten Background-Check-Prozessarchitektur bündeln.
Schnittstelle zum BaFin-§-25c-Workflow
In der Praxis bewährt sich ein gestaffelter Ansatz, der die externe BaFin-Anzeigepflicht für Geschäftsleiter nach § 25c KWG mit der internen Fit-and-Proper-Bewertung für Key Function Holder systematisch zusammenführt.
Einheitlicher Dokumentenkatalog für beide Personenkreise, mit klar gekennzeichneten Modulen, die zusätzlich für § 25c KWG-Anzeigen herangezogen werden.
Gemeinsame digitale Plattform für Dokumentenerfassung, Freigaben und Audit-Trails. DSGVO-konform, mit klaren Löschfristen nach Beendigung der Rolle zuzüglich aufsichtsrechtlicher Aufbewahrungsfristen.
Harmonisierte Re-Prüfungszyklen: jährliches Self-Declaration, alle drei Jahre Full-Reassessment, anlassbezogene Ad-hoc-Prüfungen bei wesentlichen Ereignissen.
Klare Eskalationswege bei Abweichungen zwischen Self-Declaration und objektiven Prüfungsbefunden — insbesondere bei Bonitätsauskünften oder Strafverfahren.
Typische Fallstricke aus der Praxis
Eine Kienbaum-Analyse zur Umsetzungsreife regulatorischer Personalprozesse aus 2024 identifiziert drei wiederkehrende Problembereiche. Erstens die Abgrenzung des Personenkreises: Institute unterschätzen regelmäßig, wie viele Rollen materiell Key-Function-Charakter haben — gerade in matrixorganisierten Häusern. Zweitens die Datenaktualität: Führungszeugnisse und Bonitätsauskünfte werden einmalig beim Onboarding eingeholt, dann aber nicht mehr systematisch aktualisiert. Drittens die Interviewqualität: Strukturierte Leitfäden fehlen, Interviews werden ad hoc geführt und lückenhaft dokumentiert.
Die PwC-Regulatory-Compliance-Studie 2024 unterstreicht zusätzlich einen vierten Punkt: die Sprachdimension. Bei grenzüberschreitend tätigen Instituten müssen ausländische Strafregister- und Reputationsnachweise beschafft, übersetzt und konsistent mit den deutschen Maßstäben bewertet werden. Ohne standardisierten Prozess führt das zu erheblichen Laufzeiten und Qualitätsrisiken.
Fazit und Handlungsempfehlung
CRD VI ist keine Detailanpassung, sondern eine strukturelle Erweiterung der aufsichtsrechtlichen Personalprüfung. Institute, die 2026 noch ohne Key-Function-Scope-Definition starten, werden die 2027er Rollout-Phase nicht ohne Prüfungsrisiken durchlaufen. Die vorliegende Roadmap adressiert die drei kritischen Erfolgsfaktoren: klare Scope-Definition zu Beginn, digitalisierte Dokumentation im Rollout, auditfeste Konsolidierung in der Reifephase.
An der Schnittstelle zu DORA, EBA-ESMA Joint Guidelines und den nationalen FMA- und FINMA-Regimen zeigt sich: Fit-and-Proper ist keine isolierte Personalabteilungs-Aufgabe mehr, sondern ein integrierter Compliance-Prozess mit Schnittstellen zu Outsourcing, Risikomanagement und Aufsichtsreporting. Indicium Technologies liefert Banken im DACH- und EU-Raum eine DSGVO-konforme, auditfeste Plattform, die Background-Checks, Reputationsprüfungen und Fit-and-Proper-Dokumentation in einer integrierten Prozessarchitektur bündelt.
Buche eine Demo und sprich mit unserem Team über die konkrete Umsetzung deiner CRD-VI-Roadmap — vom Scoping bis zum fertigen digitalen Dossier.
Weiterlesen — verwandte Artikel
Nabil El Berr
