Skip to main content
10. April 2026

Die Köpfe hinter dem S+P Hub Risk: Achim Schulz

„Die neuen MaRisk 2026 sind weit mehr als eine regulatorische Checkliste – sie sind der Prüfstein für eine haftungssichere Führungskultur.“

Achim Schulz begleitet C-Level Manager und Fachkräfte dabei, den Spagat zwischen strategischer Transformation und den verschärften Anforderungen der Aufsicht zu meistern. Sein Fokus liegt auf der Übersetzung der 9. MaRisk-Novelle in rechtssichere Delegationsstrukturen und einen gelebten „Tone from the Top“.

Als strategischer Impulsgeber im S+P Hub sorgt er für die nötige Prüfungssicherheit, damit Führungskräfte ihre persönliche Organhaftung effektiv absichern und Compliance als aktiven Werttreiber im Unternehmen etablieren können.

Der Aufsichtsrat im Spannungsfeld zwischen AktG und KWG: Aufgaben, Kompetenzabgrenzung und regulatorische Besonderheiten

Die Rolle als Aufsichtsrat hat sich grundlegend gewandelt: Was früher oft als ehrenvolle Krönung einer Karriere galt, ist heute ein Hochrisiko-Mandat. In einer zunehmend komplexen Rechtslandschaft stehen Mandatsträger vor der Herausforderung, die feine Linie zwischen notwendiger Überwachung und unzulässigem Eingriff in die Geschäftsführung zu wahren. Ein falscher Schritt oder eine übersehene Information kann nicht nur den wirtschaftlichen Erfolg des Unternehmens gefährden, sondern führt immer öfter direkt in die persönliche Haftungsfalle.

Besonders prekär wird die Lage, wenn sich die allgemeine aktienrechtliche Sorgfaltspflicht mit den dichten, fast schon operativen Anforderungen der Bankenaufsicht überschneidet. Während der Aufsichtsrat in Industrieunternehmen noch als strategischer „Sparringspartner“ agiert, sieht er sich in Finanzinstituten einer Regulatorik gegenüber (KWG, MaRisk), die faktisch keinen Raum für Unwissenheit lässt. Wer hier die speziellen Governance-Anforderungen der BaFin missachtet oder die Kompetenzabgrenzung zum Vorstand falsch interpretiert, riskiert nicht nur Bußgelder, sondern den sofortigen Entzug der fachlichen Eignung („Fit & Proper“).

Warum ist das Risiko so ungleich verteilt? Die Antwort liegt in der systemischen Bedeutung von Finanzunternehmen. Während das AktG den Rahmen für die interne Kontrolle steckt, fordert das Bankaufsichtsrecht eine aktive Einbindung des Aufsichtsrats in die Risikostrategie. Dieser Artikel untersucht die tiefgreifenden Unterschiede in der Aufgabenstellung: Wo endet die allgemeine Überwachung und wo beginnt die spezialgesetzliche Pflicht zur präventiven Risikokontrolle?

Um als Aufsichtsrat rechtssicher zu agieren, ist ein präzises Verständnis der Kompetenzverteilung zwischen Vorstand, Aufsichtsrat und Hauptversammlung unerlässlich. Der folgende Beitrag bietet eine fundierte Analyse der Rechtsgrundlagen und stellt die entscheidenden Weichenstellungen zwischen Industrie und Finanzwelt gegenüber.

Jetzt Whitepaper fü die rechtssichere Tätigkeit als Aufsichtsrat sichern
MaRisk 2026: Von der regulatorischen Pflicht zur operativen Kür
[index]

FAQ: Umsetzung der MaRisk 2026

Die Kernaufgabe: Überwachung und Beratung

Dualistisches System nach AktG und Übertragung auf die GmbH

Die zentrale Rolle des Aufsichtsrats in der Aktiengesellschaft ist durch das dualistische System geprägt. Der Vorstand hat die Gesellschaft unter eigener Verantwortung zu leiten (§ 76 Abs. 1 AktG). Der Aufsichtsrat hat demgegenüber die Geschäftsführung des Vorstands zu überwachen (§ 111 Abs. 1 AktG). Eine Geschäftsführung durch den Aufsichtsrat ist gesetzlich ausgeschlossen; er darf Maßnahmen der Geschäftsführung nicht an sich ziehen (§ 111 Abs. 4 Satz 1 AktG).

Bei der GmbH ist ein Aufsichtsrat im Grundmodell nicht zwingend vorgesehen. Er kann aber durch Gesellschaftsvertrag fakultativ eingerichtet werden oder ergibt sich aus den Mitbestimmungsgesetzen (Drittelbeteiligungsgesetz, Mitbestimmungsgesetz). In diesen Fällen regelt § 52 GmbHG die Rechtsstellung des GmbH‑Aufsichtsrats. Die Norm verweist auf eine Reihe zentraler aktienrechtlicher Vorschriften über Zusammensetzung, Pflichten, Informationsrechte und Haftung des Aufsichtsrats. Dadurch wird das aktienrechtliche Leitbild des AR – insbesondere die Überwachungsfunktion und der Sorgfaltsmaßstab – weitgehend auf die GmbH mit Aufsichtsrat übertragen, sofern der Gesellschaftsvertrag nichts Abweichendes bestimmt.

Gemeinsame Grundpfeiler für AG und GmbH mit Aufsichtsrat

Unabhängig von der konkreten Rechtsform (AG oder GmbH mit Aufsichtsrat) lassen sich folgende Grundpfeiler der Aufsichtsratstätigkeit herausarbeiten:

  1. Bestellung und Abberufung der Geschäftsleitung
    In der AG ist der Aufsichtsrat für die Bestellung und Abberufung der Mitglieder des Vorstands zuständig (§ 84 AktG). Er bestimmt die Amtszeit, entscheidet über Wiederbestellungen und kann Vorstandsmitglieder aus wichtigem Grund abberufen (z.B. grobe Pflichtverletzung, Unfähigkeit zur ordnungsgemäßen Geschäftsführung). Zudem legt er typischerweise die Eckpunkte der Vorstandsvergütung fest.
    In der GmbH liegt die Personalhoheit über die Geschäftsführer grundsätzlich bei der Gesellschafterversammlung. Wird jedoch ein Aufsichtsrat eingerichtet, kann der Gesellschaftsvertrag ihm – in Anlehnung an das Aktienrecht – Bestellung, Abberufung und Vergütungsfestsetzung der Geschäftsführer zuweisen. Über § 52 GmbHG kann so ein dem AG‑Modell angenähertes Kontroll- und Personalregime etabliert werden.

  2. Überwachung der Geschäftsführung
    Kernaufgabe des Aufsichtsrats ist die Überwachung der Geschäftsführung. Für die AG ergibt sich dies ausdrücklich aus § 111 Abs. 1 AktG. Der AR prüft Rechtmäßigkeit, Ordnungsmäßigkeit und – im Rahmen des Gesellschaftsinteresses – Zweckmäßigkeit wesentlicher Leitungsentscheidungen. Hierzu stehen ihm umfassende Informations‑, Einsichts‑ und Prüfungsrechte zu (§ 111 Abs. 2 AktG).
    In der GmbH mit Aufsichtsrat führt § 52 GmbHG dazu, dass die aktienrechtlichen Überwachungs‑ und Haftungsstandards (insbesondere §§ 111, 116 i.V.m. § 93 AktG) sinngemäß gelten, sofern der Gesellschaftsvertrag nichts anderes anordnet. Der GmbH‑Aufsichtsrat hat damit funktional eine vergleichbare Rolle wie der Aufsichtsrat einer AG.

  3. Berichtspflichten der Geschäftsleitung
    In der AG konkretisiert § 90 AktG die Berichtspflichten des Vorstands gegenüber dem Aufsichtsrat. Der Vorstand hat u.a. regelmäßig über den Geschäftsverlauf, die Lage des Unternehmens, die Unternehmensplanung sowie über besondere Vorgänge und Risiken zu berichten.
    Über § 52 GmbHG findet § 90 AktG grundsätzlich auch auf die GmbH mit Aufsichtsrat Anwendung. Der GmbH‑AR kann damit ein vergleichbares Berichtsniveau verlangen; im Gesellschaftsvertrag können Umfang und Form der Berichterstattung weiter konkretisiert werden.

  4. Prüfung des Jahres- und ggf. Konzernabschlusses
    Der Aufsichtsrat der AG prüft den Jahresabschluss, den Lagebericht und – sofern vorhanden – den Konzernabschluss. Er erteilt dem Abschlussprüfer den Prüfungsauftrag, bewertet das Prüfungsergebnis und berichtet der Hauptversammlung.
    Besteht in der GmbH ein Aufsichtsrat, wird er in der Praxis in sehr ähnlicher Weise in die Bilanzprüfung eingebunden; durch Verweisungen in § 52 GmbHG auf aktienrechtliche Vorschriften wird dieses Leitbild gestützt. Der Aufsichtsrat kann die Auswahl des Abschlussprüfers vorbereiten, dessen Unabhängigkeit überwachen und die Kommunikation mit dem Prüfer führen.

  5. Beratungsfunktion
    Neben der Überwachung erfüllt der Aufsichtsrat eine wichtige Beratungsfunktion. Er steht der Geschäftsleitung bei strategischen Entscheidungen – etwa größeren Investitionen, Restrukturierungen oder M&A‑Transaktionen – mit Erfahrung und externem Blick zur Seite, ohne die operative Leitung an sich zu ziehen. Diese Funktion ist im Gesetz nicht umfassend kodifiziert, ergibt sich aber aus der Stellung des AR und wird durch Corporate‑Governance‑Kodizes und Praxisstandards ausformuliert. Sie gilt für AG und GmbH mit Aufsichtsrat gleichermaßen.

  6. Zustimmungsvorbehalte
    Bestimmte Geschäfte von erheblicher Bedeutung dürfen nur mit Zustimmung des Aufsichtsrats vorgenommen werden. In der AG ergibt sich dies aus § 111 Abs. 4 Satz 2 AktG; die Satzung oder der Aufsichtsrat legt fest, welche Arten von Geschäften der Zustimmung bedürfen (z.B. Großinvestitionen, außergewöhnliche Finanzierungen, wesentliche Auslagerungen).
    In der GmbH kann ein entsprechender Zustimmungskatalog im Gesellschaftsvertrag verankert werden. Über die Verweisungssystematik des § 52 GmbHG kann auch hier das aktienrechtliche Modell übernommen werden. Damit wird der AR in besonders bedeutsamen Fällen von einer reinen Ex‑post‑Kontrollinstanz zu einer vorgelagerten präventiven Kontrollschranke.

  7. Nichtfinanzielle Berichterstattung
    In kapitalmarktorientierten Gesellschaften ist der Aufsichtsrat darüber hinaus in die Überwachung der nichtfinanziellen Berichterstattung (Nachhaltigkeit, ESG‑Themen) eingebunden, etwa durch Beauftragung einer inhaltlichen Prüfung der nichtfinanziellen Erklärung bzw. des nichtfinanziellen Berichts bzw. der entsprechenden Konzernerklärungen. Auch in größeren GmbHs mit Aufsichtsrat wird diese Funktion zunehmend bedeutsam, soweit sie den gesetzlichen Berichtsanforderungen unterliegen.

Vergleich: Industrie vs. Finanzunternehmen (BaFin‑reguliert)

Während der Aufsichtsrat im Industriesektor – sei es bei der AG oder der GmbH mit Aufsichtsrat – primär eine ex‑post geprägte Überwachungs- und Beratungsfunktion hat, verlagert sich die Rolle bei Finanzinstituten durch das KWG, die europäische Bankenregulierung (CRD/CRR) und die MaRisk deutlich in Richtung präventiver, risikoorientierter Kontrolle.

Anforderungsprofil an Aufsichtsratsmitglieder

Industrieunternehmen (AG / GmbH mit AR):

Für Aufsichtsratsmitglieder gelten die allgemeinen Sorgfalts- und Treuepflichten eines ordentlichen und gewissenhaften Organmitglieds (§ 93 Abs. 1, § 116 AktG; über § 52 GmbHG sinngemäß auch in der GmbH). Eine formalisierte behördliche Eignungsprüfung findet nicht statt; Qualifikation und Zusammensetzung sind primär Sache der Gesellschafter bzw. Aktionäre.

Finanzunternehmen (AG oder GmbH in Institutsform):

Für Mitglieder des Verwaltungs‑ oder Aufsichtsorgans eines Instituts gelten zusätzliche Anforderungen des Aufsichtsrechts, insbesondere nach § 25d KWG und den hierzu erlassenen Leitlinien. Die Organmitglieder müssen fachlich geeignet (Sachkunde), zuverlässig und persönlich integer sein sowie über ausreichende Zeit für das Mandat verfügen („Fit & Proper“). Die Eignung wird in einem formellen Verfahren durch die Aufsicht geprüft; bei Defiziten kann die BaFin Maßnahmen bis hin zur Abberufungsanregung ergreifen.

Überwachungsinhalte

Industrieunternehmen:

Der Aufsichtsrat konzentriert sich auf Rechtmäßigkeit, Ordnungsmäßigkeit und wirtschaftliche Zweckmäßigkeit der Geschäftsführung. Er überwacht insbesondere Rechnungslegung, internes Kontrollsystem und Abschlussprüfung. Bei kapitalmarktorientierten Unternehmen kommt dem Prüfungsausschuss eine zentrale Rolle zu.

Finanzunternehmen:

Im regulierten Finanzsektor besteht ein erhöhter Fokus auf das Risikomanagement, die Risikostrategie und deren Umsetzung, auf die Angemessenheit der Eigenmittel- und Liquiditätsausstattung, auf die Risikotragfähigkeit (ICAAP) sowie auf das Liquiditätsrisikomanagement (ILAAP). Der Aufsichtsrat überwacht das Risikomanagementsystem, das Interne Kontrollsystem, die Compliance‑Funktion und die Interne Revision in Übereinstimmung mit den MaRisk‑Vorgaben. Geschäfts- und Risikostrategie sind regelmäßig zu erörtern und kritisch zu hinterfragen.

Ausschusspflichten

Industrieunternehmen:

Die Einrichtung von Ausschüssen hängt von Größe und Struktur des Unternehmens ab. In kapitalmarktorientierten Gesellschaften ist ein Prüfungsausschuss etabliert; daneben existieren häufig Präsidial‑, Personal‑ oder Strategieausschüsse. In GmbHs mit Aufsichtsrat kann der Gesellschaftsvertrag vergleichbare Ausschussstrukturen vorsehen.

Finanzunternehmen:

Für bedeutende Institute schreibt das KWG die Einrichtung bestimmter Ausschüsse zwingend vor, insbesondere eines Risikoausschusses, eines Prüfungsausschusses, eines Nominierungsausschusses und eines Vergütungskontrollausschusses. Diese Ausschüsse haben klar definierte Überwachungs‑ und Vorbereitungsaufgaben im Hinblick auf Risikolage, Rechnungslegung, Organbesetzung und Vergütungssysteme.

Haftungs- und Sanktionsrisiken

Industrieunternehmen:

Aufsichtsratsmitglieder haften nach den allgemeinen aktienrechtlichen Regeln (§ 93, § 116 AktG), in der GmbH mit AR entsprechend über § 52 GmbHG. Der Maßstab ist die Sorgfalt eines ordentlichen und gewissenhaften Organmitglieds; die Business Judgement Rule kann bei unternehmerischen Entscheidungen eine Haftung begrenzen, wenn Entscheidungen auf angemessener Informationsbasis getroffen wurden.

Finanzunternehmen:

Zusätzlich zu den zivilrechtlichen Haftungsrisiken besteht ein eigenständiges aufsichtsrechtliches Sanktionsregime. Die Aufsicht kann Organmitgliedern die Eignung absprechen, Bußgelder verhängen und auf Abberufungen hinwirken. Das Zusammenspiel aus zivilrechtlicher Organhaftung und aufsichtsrechtlicher Individualaufsicht führt zu einem deutlich erhöhten persönlichen Risiko‑ und Verantwortungsprofil für Aufsichtsratsmitglieder von Instituten.

Spezialregelungen und praktische Konsequenzen

Finanzaufsichtsräte – unabhängig davon, ob das Institut in Form einer AG oder GmbH betrieben wird – müssen die Risikostrategie des Hauses nicht nur kennen, sondern aktiv deren Einhaltung überwachen. Die Aufsicht verlangt ausreichende Zeitkapazität der Organmitglieder und begrenzt faktisch die Zahl parallel wahrgenommener Mandate. Die regulatorische Komplexität (CRR, CRD, MaRisk, ergänzende Rundschreiben) erfordert eine deutlich tiefere operative Einsicht in Geschäftsmodell, Risikoprofile und Kontrollprozesse als in vielen klassischen Industrieunternehmen.

Referenzliste der EBA-Leitlinien

Beachten Sie, dass die MaRisk 10.0 explizit klarstellt:

„Soweit die MaRisk auf diese Leitlinien verweisen, sind die entsprechenden Abschnitte als integraler Bestandteil der Aufsichtspraxis zu verstehen.“

Das bedeutet für die Praxis, dass die Institute die Detailvorgaben (z.B. die Anhänge zur Szenarioanalyse) direkt aus den EBA-Texten entnehmen müssen, wenn das MaRisk-Modul (z.B. AT 4.3.3 für ESG) darauf referenziert.

Das Fundament: Strategie und Risikokultur (AT 3 & AT 4.2)

Die Geschäftsleitung steht mehr denn je in der Pflicht. Die neue MaRisk stellt klar: Risikomanagement ist keine rein delegierbare Kontrollaufgabe, sondern ein integraler Bestandteil der Geschäftsstrategie.

Operative Umsetzung der Risikokultur

Du musst die Risikokultur (AT 3.1) nun messbar machen. Es reicht nicht, ein Leitbild an die Wand zu hängen. Die Aufsicht erwartet Verfahren, mit denen du überwachst, ob die Mitarbeiter den definierten Risikoappetit auch leben.

  • Praxis-Tipp: Implementiere regelmäßige „Risk-Culture-Surveys“ oder binde Risiko-KPIs in die Zielvereinbarungsgespräche ein.

  • ESG-Integration: Deine Geschäftsstrategie muss nun explizit darlegen, wie die Transition zu einer nachhaltigen Wirtschaft dein Geschäftsmodell beeinflusst. Das ist kein Marketing-Text, sondern die Basis für deine Kapitalplanung.

Das ESG-Daten-Dilemma: Von der Schätzung zur Messung (AT 4.3.4 & BTO 1.2)

Das größte operative Nadelöhr der Novelle ist die Verfügbarkeit und Qualität von ESG-Daten. Die MaRisk fordern, dass du ESG-Risiken als Risikotreiber für alle wesentlichen Risikoarten berücksichtigst.

Die Datenstrategie

Du stehst vor der Herausforderung, für die 10-jährigen Resilienzanalysen (AT 4.3.3) Datenhaushalte aufzubauen, die es in dieser Form oft noch nicht gibt.

  • Bestandskunden: Integriere ESG-Fragebögen direkt in die Neu-Produkt-Prozesse und die jährlichen Kreditfolgebearbeitungen. Nutze standardisierte Branchen-Scores nur als Übergangslösung.

  • Immobilienportfolio: Für die Wertermittlung (BTO 1.2.2) musst du nun die Energieeffizienz (EPC-Labels) und physische Klimarisiken (z. B. Hochwasserzonen) systematisch erfassen.

  • IT-Anforderung: Vermeide Insellösungen. Die ESG-Daten müssen im zentralen Datenmanagementsystem (AT 4.3.4) so abgelegt werden, dass sie sowohl für die Risikoinventur als auch für die Kreditwürdigkeitsprüfung und das Reporting (BT 3) nutzbar sind.

Aufsichtsrecht Seminare

NPL-Management: Die „5 %-Hürde“ als Prozess-Auslöser (BTO 1.2.5)

Die Einführung einer harten Schwelle von 5 % für die NPL-Quote (notleidende Kredite) ist eine der schärfsten Verschärfungen. Wenn dein Institut diese Grenze überschreitet, greifen automatisch massive organisatorische Anforderungen.

Proaktive Steuerung statt Zwangsverwaltung

Warte nicht, bis du die 5 % erreichst. Du solltest ein internes Frühwarnsystem etablieren, das bereits bei 3,5 % oder 4 % Alarm schlägt.

  • Die NPL-Strategie: Wenn du über der Schwelle liegst, musst du einen mehrjährigen Abbauplan vorlegen. Das erfordert eine detaillierte Analyse der Ursachen für die Notleidendheit.

  • Die Workout-Unit: Die geforderte Trennung der Abwicklungseinheit vom Marktbereich ist für kleinere Institute personell oft schwierig. Prüfe frühzeitig, ob du durch Pool-Lösungen oder klare Stellvertreterregelungen die geforderte Unabhängigkeit gewährleisten kannst, ohne den Betrieb zu lähmen.

Immobilien-Bewertung: Prozess-Optimierung unter Druck (BTO 1.2.2)

Die MaRisk 2026 fordern eine deutlich engere Überwachung von Immobiliensicherheiten. Marktschwankungskonzepte werden kritischer beäugt; bei Wertminderungen von mehr als 10 % ist eine Neubewertung zwingend.

Operative Lösungsansätze

  • Gutachter-Rotation: Du musst nun sicherstellen, dass nicht jahrelang derselbe Gutachter dasselbe Objekt bewertet. Das erfordert ein softwaregestütztes Rotationsmanagement im Bereich Marktfolge.

  • KI-Einsatz: Nutze automatisierte Bewertungsmodelle (AVMs) zur kontinuierlichen Marktbeobachtung. So identifizierst du frühzeitig jene Objekte, die die 10 %-Schwelle reißen könnten, und kannst Gutachterkapazitäten zielgerichtet steuern.

MaRisk 2026: Von der regulatorischen Pflicht zur operativen Kür – Dein Leitfaden für die Implementierungsphase

Digitale Resilienz: MaRisk trifft DORA (AT 7.2)

Die MaRisk 2026 harmonisieren die nationalen Anforderungen mit dem europäischen Digital Operational Resilience Act (DORA). IT-Sicherheit ist damit endgültig kein reines IT-Thema mehr, sondern Kernbestandteil des operationellen Risikomanagements.

Das „Need-to-Know“-Prinzip in der Praxis

Die Anforderung, IT-Berechtigungen nach dem Sparsamkeitsgrundsatz zu vergeben und regelmäßig (bei Administratoren halbjährlich!) zu prüfen (AT 4.3.2), ist administrativ gewaltig.

  • Handlungsempfehlung: Automatisiere den Rezertifizierungsprozess von Berechtigungen. Manuelle Excel-Listen werden bei der nächsten Prüfung durch die Revision oder Aufsicht nicht mehr standhalten.

  • Modellvalidierung: Wenn du KI für das Kredit-Scoring oder die Marktpreisbewertung nutzt, musst du die „Blackbox“ öffnen. Du musst dokumentieren können, warum ein Modell zu einem bestimmten Ergebnis kommt (Erklärbarkeit).

Ressourcen-Management: Das Ende der Überlastung (AT 7.1)

Ein oft unterschätzter Punkt ist die explizite Forderung nach angemessener Personalausstattung. Die Aufsicht hat erkannt, dass viele neue Anforderungen (ESG, DORA, NPL) zusätzliche Kapazitäten binden.

Personalstrategie

Du kannst nicht einfach mehr Aufgaben auf dieselben Köpfe verteilen.

  • Qualifikationsmatrix: Erstelle eine Matrix, welche neuen Kompetenzen (z. B. ESG-Experten, Daten-Analysten für Resilienzanalysen) im Haus fehlen.

  • Outsourcing-Check: Wenn interne Ressourcen fehlen, rückt AT 9 (Auslagerung) in den Fokus. Aber Vorsicht: Auch die Überwachung der Dienstleister wird durch die neue MaRisk komplexer (Stichwort: Sub-Outsourcing).

Quick-Check: MaRisk 10.0 – Status der 9. Novelle 2026

Check Zentrale Kontrollfrage zur MaRisk 10.0 (9. Novelle)
ESG-Datenstrategie implementiert?
Werden ESG-Risiken bereits systematisch für die 10-jährigen Resilienzanalysen (AT 4.3.3) erhoben?
NPL-Frühwarnsystem (5 %-Hürde)?
Gibt es einen Prozess, der bei Annäherung an die 5 % NPL-Quote automatisch Steuerungsmaßnahmen auslöst?
DORA & MaRisk-IT harmonisiert?
Ist das IT-Berechtigungsmanagement (AT 7.2) auf automatisierte, halbjährliche Rezertifizierung umgestellt?
Immobilien-Rotationspflicht geregelt?
Ist ein softwaregestütztes Management zur Rotation von Gutachtern (BTO 1.2.2) vorhanden?
KI-Governance & Erklärbarkeit?
Sind genutzte KI-Modelle (Scoring/Bewertung) für die Aufsicht ausreichend dokumentiert und validiert?
Ressourcen-Check (AT 7.1)?
Wurde eine Kapazitätsplanung für die neuen Anforderungen der 9. Novelle (ESG/Datenanalyse) durchgeführt?
Risikokultur messbar gemacht?
Gibt es Verfahren (z. B. Surveys), um die gelebte Risikokultur gegenüber der BaFin nachzuweisen?

🚦 Dein MaRisk 10.0 Umsetzungs-Status 2026

AKTION NOTWENDIG
Hohe Prüfungslücken – Operative Umsetzung der 9. Novelle fehlt.
IN ARBEIT
Teilweise implementiert – Strategische Roadmap muss geschärft werden.
RECHTS-SICHER
MaRisk 10.0 konform – Resilienz und Governance sind voll integriert.

Dein Implementierungs-Fahrplan: Die Gap-Analyse

Der Weg zur MaRisk-Compliance 2026 führt über eine strukturierte Bestandsaufnahme. Eine oberflächliche Betrachtung reicht nicht mehr aus; die Aufsicht fordert eine nachvollziehbare Herleitung, wie neue Anforderungen in bestehende Prozesse eingeflossen sind.

Nutze diesen 4-Phasen-Plan, um die Umsetzungsphase effizient zu steuern:

Phase 1: Die Delta-Analyse (Sofort-Check)

Im ersten Schritt erfolgt der Abgleich des neuen Rundschreibens mit deinem aktuellen Status quo.

  • Dokumenten-Audit: Vergleiche deine Organisationsrichtlinien (Handbücher, Arbeitsanweisungen) Zeile für Zeile mit der MaRisk 2026.

  • Identifikation von Leerstellen: Wo fehlen Prozesse komplett (z. B. 10-Jahres-Resilienzszenarien)? Wo weichen Definitionen ab (z. B. NPL-Begriff)?

  • Ergebnis: Ein detailliertes „Delta-Protokoll“ als Basis für die Ressourcenplanung.

Phase 2: Impact-Analyse & Wesentlichkeit (Q2 – Q3)

Hier bewertest du die Tragweite der gefundenen Lücken für dein spezifisches Geschäftsmodell.

  • Portfolio-Check: Welche Kreditbereiche sind von den neuen ESG-Szenarien am stärksten betroffen? Wie hoch ist der Anteil sanierungsbedürftiger Immobilien?

  • Schwellenwert-Analyse: Wie knapp liegt deine aktuelle NPL-Quote an der 5 %-Hürde?

  • Kapazitäts-Check: Wie viele Gutachten müssen aufgrund der neuen Rotationspflichten (BTO 1.2.2) kurzfristig neu vergeben werden?

Phase 3: Prozessdesign & IT-Integration (Q3 – Q4)

Nun geht es an die operative "Schraubarbeit". Compliance wird hier zum IT-Projekt.

  • Workflow-Update: Integration der ESG-Datenfelder direkt in die Kreditmasken, damit der Marktbereich die Daten ohne Medienbruch erfassen kann.

  • Automatisierung: Implementierung eines automatisierten Berechtigungsmanagements (Identity & Access Management), um die Rezertifizierungszyklen gemäß AT 7.2 einzuhalten.

  • Validierung: Aufbau einer Validierungs-Governance für KI-Modelle und Scoring-Verfahren.

Phase 4: Training & Kultur-Audit (Laufend)

Die beste Richtlinie scheitert, wenn sie nicht gelebt wird.

  • Befähigung: Schulung der Kreditanalysten in der Interpretation von ESG-Scores.

  • Kultur-Check: Durchführung von Risk-Culture-Surveys, um gegenüber der Aufsicht nachzuweisen, dass das Risikobewusstsein bis in die untersten Ebenen verankert ist.

Experten-Tipp: Nutze für die Gap-Analyse ein standardisiertes Tooling. Die S+P Tool Box unterstützt dich bei der Umsetzung.

MaRisk 2026 Target Operating Model (TOM)

Das Target Operating Model (TOM) beschreibt die mit den MaRisk 2026 angestrebte Zielstruktur zur Umsetzung regulatorischer Anforderungen. Es umfasst die optimale Ausgestaltung von Prozessen, Governance, IT-Systemen und Ressourcen, um ein wirksames Risikomanagement sicherzustellen.

Im Kontext der MaRisk 2026 unterstützt ein TOM insbesondere:

  • Aufbau- und Ablauforganisation: Klare Rollen, Verantwortlichkeiten und Prozesse gemäß AT 4.3.1
  • Risikosteuerung und -controlling: Systematische Identifikation, Bewertung und Überwachung von Risiken (AT 4.3.2)
  • Strategie und Risikokultur: Verankerung von ESG, Nachhaltigkeit und Risikoappetit in der Geschäftsstrategie (AT 4.2, AT 3.1)
  • IT- und Datenarchitektur: Sicherstellung von Datenqualität, Verfügbarkeit und Informationssicherheit (AT 7.2)
  • Compliance und Revision: Überwachung regulatorischer Anforderungen und unabhängige Kontrollfunktionen (AT 4.4.2, AT 4.4.3)

Ein strukturiertes Target Operating Model hilft dir, die MaRisk 2026 effizient, prüfungssicher und strategisch in deinem Institut umzusetzen.

MaRisk 2026: Deine strategische Umsetzungs-Roadmap

Paradigmenwechsel: Die MaRisk 2026 verlangt von dir einen klaren Strategiewechsel. Die bisherige Freiheit in der Methodenwahl wird ersetzt durch eine lückenlose, wissenschaftlich fundierte Dokumentationskette.

1. ESG-Datenstrategie & Zeithorizonte

AT 2.2 & AT 4.1

Die geforderte 10-Jahres-Perspektive lässt sich nicht mehr mit klassischen, vergangenheitsbasierten Modellen abbilden.

Aktion:
Nutze einen Methoden-Mix aus Szenarioanalysen und wissenschaftlichen Klimamodellen.
Fokus:
Schließe die Lücke zwischen 3-Jahres-Planung und 10-Jahres-Risikohorizont.

2. Validierungs-Governance

AT 4.1

Verschärfte Validierungszyklen führen zu massivem Kapazitätsbedarf.

Aktion:
Erstelle ein vollständiges Modell-Inventar und plane Ressourcen frühzeitig.
Fokus:
Vermeide den HR-Bottleneck durch gezielte Staffing-Strategie.

3. Auslagerungs-Management

AT 9

Standardberichte von Drittanbietern reichen nicht mehr aus.

Aktion:
Führe institutsindividuelle Angemessenheitsprüfungen durch.
Fokus:
Mache Auslagerung zur aktiven Risikoüberwachung.

4. Risikokultur operationalisieren

AT 3

Risikokultur wird prüfungsrelevant und messbar.

Aktion:
Implementiere Selbstbewertungen und Kultur-Audits.
Fokus:
Risikokultur ist jetzt klare Vorstandspflicht.

5. Kreditprozesse anpassen

BTO 1

Stundungen gelten künftig als Kreditentscheidung.

Aktion:
Passe Richtlinien und Workflows an die neuen Anforderungen an.
Fokus:
Klare Trennung zwischen Monitoring und Kreditentscheidung sicherstellen.
MaRisk 10.0 & DORA

Resilienz als Wettbewerbs-Vorteil

Die MaRisk-Novelle 2026 ist zweifellos eine große Belastung für die Administration. Doch wenn du den Blickwinkel änderst, bietet sie eine Chance:

  1. ESG-Daten helfen dir, Risiken in deinem Portfolio besser zu verstehen und zu bepreisen.

  2. Digitale Resilienz schützt dich vor den massiv steigenden Kosten von Cyber-Angriffen.

  3. Saubere NPL-Prozesse sichern deine Liquidität in wirtschaftlich volatilen Zeiten.

Banken und Finanzinstitute, die diese Anforderungen nicht als lästige Checkliste, sondern als Werkzeuge für ein moderneres Risikomanagement begreifen, werden langfristig stabiler und attraktiver für Investoren und Kunden sein.

📄

Whitepaper zur MaRisk 2026 (9. MaRisk Novelle)

Praxisleitfaden zu ESG, DORA und prüfungssicherer Umsetzung – inklusive Templates und Checklisten für dein Institut.

Whitepaper anfordern →
Implementierung der MaRisk 2026
MaRisk 2026 Hub: DORA, ESG & Risk Management für C-Level

MaRisk 2026 Hub: DORA, ESG & Risk Management für C-Level

Setze die MaRisk-Novelle 2026 effizient um. Dieser Hub zeigt dir, wie du DORA, ESG-Risiken und Governance-Anforderungen strukturiert in dein Risikomanagement integrierst.

Programme & Lehrgänge

MaRisk 2026 – Überblick & Umsetzung ➜

Alle Änderungen der MaRisk-Novelle 2026 im Überblick: Proportionalität, ESG, Validierung und Governance.

Zum MaRisk Hub

AI Compliance Officer ➜

Setze den EU AI Act praxisnah um – mit klaren Policies, Governance-Strukturen und Tools.

Zum Seminar

DORA Compliance Expert ➜

Baue IKT-Resilienz auf und erfülle die Anforderungen des DORA Acts mit praxiserprobten Tools.

Zum Lehrgang

MaRisk für Wertpapierinstitute ➜

Setze die MaRisk-Anforderungen gezielt um und optimiere Governance, Risikosteuerung und interne Kontrollen.

Zum Seminar

MaRisk 10.0 & DORA Update ➜

Aktuelle BaFin-Anforderungen verstehen und DORA wirksam in deine Organisation integrieren.

Zum Update

ESG-Compliance Manager ➜

Integriere ESG- und CSRD-Anforderungen wirksam in deine Governance-Struktur.

Zum Lehrgang

Risikomanager (S+P Certified) ➜

Baue ein effektives Risikomanagement-System auf und steuere Risiken datenbasiert und regulatorisch sicher.

Zum Lehrgang

Compliance Excellence (C-Level) ➜

Strategische Compliance-Kompetenz für Geschäftsführung und Aufsichtsorgane.

Zu den Seminaren

Resilience Officer ➜

Stärkung der organisatorischen Widerstandskraft durch BCM, Cyber-Resilience und Krisenmanagement.

Zum Lehrgang

Quellen & regulatorische Grundlagen

  • Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Konsultation 02/2026 – MaRisk-Novelle (01.04.2026)
    Zur Veröffentlichung
  • Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Konsultation zur Überarbeitung der MaRisk (01.08.2025)
    Zur Veröffentlichung
  • BaFin Rundschreiben 06/2024 (BA): Mindestanforderungen an das Risikomanagement (MaRisk)
    PDF-Version
  • Überblick zur MaRisk-Novelle 2026: Fokus auf Proportionalität, Vereinfachung und Integration von DORA-Anforderungen
    (Analyse basierend auf aktuellen Veröffentlichungen und Marktkommentaren)

Praxis-Hinweis: Die geplante MaRisk-Novelle 2026 verfolgt insbesondere das Ziel, die Anforderungen stärker prinzipienorientiert auszugestalten, Komplexität zu reduzieren und regulatorische Überschneidungen mit DORA klarer abzugrenzen.