MaRisk für WpI - Teil 1: Wo sich der zweite WpI-MaRisk-Entwurf im Allgemeinen Teil von der Banken-MaRisk unterscheidet

Mit dem zweiten Entwurf der WpI-MaRisk (Konsultation 05/2026) schafft die BaFin eigene Mindestanforderungen an das Risikomanagement für kleine und mittlere Wertpapierinstitute. Bisher mussten sich diese Firmen nach den Regeln für Banken richten. Dies hat für die betroffenen Institute konkrete Konsequenzen – im Allgemeinen Teil (AT) ebenso wie in der operativen Umsetzung.

Warum es eine eigene WpI-MaRisk braucht – die Abkehr von der Banken-MaRisk

Trotz des Inkrafttretens des Gesetzes zur Beaufsichtigung von Wertpapierinstituten (WpIG) im Jahr 2021 galt für das Risikomanagement kleiner und mittlerer Wertpapierinstitute mangels eigenständiger Vorgaben sinngemäß weiterhin die Banken-MaRisk. Ein Provisorium: Die Banken-MaRisk ist strukturell auf das Risikoprofil von Kreditinstituten ausgelegt – mit umfangreichen Anforderungen an Kreditrisiken, Stresstests und Risikokonzentrationen, die für viele Wertpapierinstitute wenig Relevanz haben. Die WpI-MaRisk schafft erstmals einen eigenständigen Rahmen, der die §§ 38 ff. WpIG (5. Kapitel, Abschnitt 1) konkretisiert und explizit auf die unterschiedlichen Geschäftsmodelle, Größenverhältnisse und Risikoprofile kleiner und mittlerer Häuser zugeschnitten ist.

Wie in der Banken-MaRisk sind auch hier ESG-Risiken aus den Bereichen Umwelt, Soziales und Unternehmensführung angemessen im Kontext der Risikoinventur zu berücksichtigen (AT 2.2 Tz. 3 WpI-MaRisk beziehungsweise AT 2.2 Tz. 3 und AT 4.3.3 Tz. 7 Banken-MaRisk). Methodisch genügt für kleine WpIs eine qualitative Bewertung – eine Verhältnismäßigkeit, die sich deckungsgleich auch in den Erleichterungen für kleinere Kreditinstitute (SNCIs) in der Banken-MaRisk wiederfindet.

Mehr als eine Light-Version: die Governance-Anforderungen im Detail

Dass die WpI-MaRisk ein eigenständiges Regelwerk und nicht bloß eine geschrumpfte Banken-MaRisk ist, zeigt sich auch an ihrer europäischen Verankerung. Der Entwurf setzt – soweit für das Risikomanagement einschlägig – ausdrücklich die EBA-Leitlinien zur internen Governance (EBA/GL/2021/14) sowie zur Eignung von Mitgliedern des Leitungsorgans und Inhabern von Schlüsselfunktionen (EBA/GL/2021/06) um (AT 1 Tz. 1). Daraus folgt unter anderem, dass die Geschäftsleiter eine angemessene Risikokultur auf allen Ebenen zu entwickeln, zu fördern und zu überwachen haben und ihren Risikoappetit bewusst – quantitativ wie qualitativ – festlegen müssen (AT 3.1). Auch die Einbindung des Aufsichtsorgans ist ausdrücklich geregelt: Es ist in angemessenen Abständen über Geschäftslage, Geschäfts- und Risikostrategie sowie die Risikosituation einschließlich Risikokonzentrationen zu informieren (AT 3.2). Diese Governance-Schicht ist proportional ausgestaltet, in ihrer Stoßrichtung aber verbindlich – und sollte bei der Lückenanalyse nicht als „weicher" Teil unterschätzt werden.

Auslagerung (ZAM), Interne Revision und besondere Funktionen: was der AT lockert

Die WpI-MaRisk verzichtet auf Detailtiefe bei der organisatorischen Ausgestaltung des zentralen Auslagerungsmanagements (ZAM). Zwar muss jedes Wertpapierinstitut ein ZAM einrichten – Umfang und Tiefe richten sich jedoch nach Art, Umfang, Komplexität und Risikogehalt der Auslagerungen (AT 9 Tz. 12). Statt eine starre organisatorische Unterstellung oder einen eigens benannten Auslagerungsbeauftragten vorzugeben, fordert der Entwurf primär klar festgelegte Verantwortlichkeiten (AT 9 Tz. 10) und die Erfüllung der ZAM-Kernaufgaben – etwa Auslagerungsregister, laufende Bewertung der Dienstleistungsqualität und Koordination der Risikoanalyse (AT 9 Tz. 12). Bei schlanker Auslagerungslandschaft kann das ZAM entsprechend einfach ausfallen; Gruppen und Finanzverbünde können es zudem auf Gruppen- bzw. Verbundebene bündeln (AT 9 Tz. 13).

Ähnliches gilt für besondere Funktionen wie Risikocontrolling (beziehungsweise Risikomanagement), Compliance und Interne Revision: Während die Banken-MaRisk für große Institute eine strikte organisatorische Trennung und grundsätzlich exklusive Besetzung fordert (Banken-MaRisk AT 4.4.1 Tz. 4), erlaubt die WpI-MaRisk bei kleinen Wertpapierinstituten die Übernahme dieser Funktionen durch einen Geschäftsleiter (Personalunion). Kleine Wertpapierinstitute, welche die qualitativen und quantitativen Kriterien des § 2 Abs. 16 WpIG erfüllen (u. a. Bilanzsumme < 100 Mio. €), können unter Umständen vollständig auf die Einrichtung einer Internen Revision verzichten. Gemäß AT 4.4.3 Tz. 1 ist dies unter Berücksichtigung von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit möglich. Eine solche Unverhältnismäßigkeit wird regelmäßig vermutet, wenn das Institut (inklusive der Geschäftsleiter) über weniger als zehn Mitarbeiter verfügt. Dieser vollständige Entfall ist jedoch ausgeschlossen, wenn das Institut Eigentum oder Besitz an Kundengeldern oder -wertpapieren hält, komplexe Produkte vertreibt oder ein MTF bzw. OTF betreibt.

Wichtig: Trotz dieser Unterschiede sind die Erleichterungen auf beiden Seiten kein regulatorisches Geschenk (AT 1 Tz. 3). Auch die Banken-MaRisk sieht für kleine, weniger komplexe Banken (SNCIs) umfassende, in der 9. Novelle präzise ausformulierte Proportionalitätsregeln vor (Banken-MaRisk 9. Novelle, AT 1 Tz. 3). In beiden Regelwerken trägt das Proportionalitätsprinzip die Logik – es verschiebt sich lediglich die Art der Anforderung. Statt rein struktureller Erfüllung tritt das Prinzip „Comply or Explain" (WpI-MaRisk AT 1 Tz. 4 / Banken-MaRisk AT 1 Tz. 5). Das Institut muss proaktiv nachweisen und dokumentieren, warum eine schlanke Ausgestaltung dem spezifischen Risikoprofil entspricht.

Auslagerung und DORA-Abgrenzung im MiFID-II-Kontext

Ein strukturelles Grundproblem der bisherigen Rechtslage war die parallele Anwendung von Anforderungen aus MiFID II (§§ 38 ff. WpIG i.V.m. der Delegierten Verordnung EU 2017/565) und der Banken-MaRisk – mit partiellen inhaltlichen Überschneidungen, aber unterschiedlichen Regelungslogiken. Die WpI-MaRisk setzt an diesem Punkt an: Sie konkretisiert die §§ 38 ff. WpIG unter expliziter Berücksichtigung des europäischen Rahmens (AT 1 Tz. 1), anstatt ein davon losgelöstes Parallel-Regelwerk zu konstruieren.

Im Bereich Auslagerungen geht die WpI-MaRisk in einem Punkt sogar über die Banken-MaRisk hinaus: Während die Banken-MaRisk eine wirksame Steuerung und Überwachung ausgelagerter Aktivitäten primär als materielle Organisationspflicht fordert (Banken-MaRisk AT 9 Tz. 9), unterstreicht der WpI-MaRisk-Entwurf die Notwendigkeit, die Informationsgrundlagen für diese Überwachung explizit als Teil der vertraglichen Mindestinhalte zu fixieren (WpI-MaRisk AT 9 Tz. 7 i.V.m. Tz. 9). Bei der Abgrenzung von WpI-MaRisk und DORA gilt: IKT-bezogene Cloud-Auslagerungen fallen in der Regel unter DORA und damit nach AT 9 Tz. 1 des zweiten Entwurfs aus dem Anwendungsbereich der WpI-MaRisk-Auslagerungsregeln heraus.

Vertraglich gebundene Vermittler: Anbindung des Haftungsdachs nach BTV

Einen Abschnitt, der in der Banken-MaRisk in dieser Form kein Pendant hat, verdient besondere Aufmerksamkeit – und betrifft einen erheblichen Teil der Adressaten unmittelbar: die Anbindung vertraglich gebundener Vermittler. Der Entwurf stellt klar, dass deren Tätigkeit nach § 3 Abs. 2 WpIG aufsichtlich als Auslagerung gilt; die BTV-Anforderungen treten damit ergänzend zu AT 9 hinzu (BTV 1). Die Konsequenz für die Risikoanalyse ist konkret: Das haftende Institut darf nicht nur die Tätigkeit des einzelnen Vermittlers betrachten, sondern muss die Bedeutung der Haftungsübernahmen insgesamt für sein Risikomanagement bewerten.

Fazit: Die Proportionalität dokumentieren und die WpI-MaRisk bis 2027 umsetzen

Die WpI-MaRisk ist einerseits ein vereinfachtes Abbild der Banken-MaRisk, andererseits aber auch ein eigenständiges Regelwerk mit eigener Regelungslogik, das auf dem 5. Kapitel des WpIG sowie der Delegierten Verordnung (EU) 2017/565 basiert (AT 1 Tz. 1). Wer die angebotene Flexibilität nutzen will – und das sollte das strategische Ziel jedes betroffenen Instituts sein – muss seine Proportionalitätsentscheidungen sauber dokumentieren (AT 6 Tz. 2) und regulatorisch begründen, da die BaFin im Rahmen von Prüfungen explizit eine Auseinandersetzung mit der „flexiblen Grundausrichtung" erwartet (AT 1 Tz. 4).

Der erste Schritt in der Praxis ist daher eine zwingende Einordnung nach § 2 Abs. 16 WpIG: Fällt das Institut unter die Schwelle des kleinen Wertpapierinstituts (AT 2.1)? Diese Frage entscheidet im Detail, welche AT-Erleichterungen – etwa der mögliche Entfall der Internen Revision (AT 4.4.3 Tz. 1) – überhaupt rechtssicher in Anspruch genommen werden können und wo die erweiterte Dokumentationspflicht gegenüber der Aufsicht anfängt. Wer die Zeit bis zum voraussichtlichen Geltungsbeginn am 1. Januar 2027 (AT 1 Tz. 5)für eine WpI-MaRisk-Gap-Analyse nutzt und institutsspezifische Anpassungsbedarfe frühzeitig identifiziert, ist für das finale Rundschreiben deutlich besser aufgestellt.

FAQ

Was ist die WpI-MaRisk?

Die WpI-MaRisk ist ein BaFin-Rundschreiben mit Mindestanforderungen an das Risikomanagement von Wertpapierinstituten. Es schafft erstmals einen eigenständigen, prinzipienorientierten Rahmen für kleine und mittlere Wertpapierinstitute und konkretisiert die §§ 38 ff. WpIG. Bislang galt für diese Institute sinngemäß die Banken-MaRisk.

Für wen gilt die WpI-MaRisk?

Die WpI-MaRisk richtet sich an kleine und mittlere Wertpapierinstitute im Sinne von § 2 Abs. 16 und 17 WpIG (AT 2.1). Große Wertpapierinstitute nach § 2 Abs. 18 WpIG sind ausgenommen, für sie gelten unverändert die §§ 25a und 25b KWG und die konkretisierende Banken-MaRisk.

Wann tritt die WpI-MaRisk in Kraft?

Der Geltungsbeginn ist voraussichtlich der 1. Januar 2027 (AT 1 Tz. 5). Maßgeblich ist derzeit der zweite Konsultationsentwurf (Stand 06.05.2026).

Worin unterscheidet sich die WpI-MaRisk von der Banken-MaRisk?

Die WpI-MaRisk ist ein eigenständiges Regelwerk auf Grundlage der §§ 38 ff. WpIG. Beide Rundschreiben sind prinzipienorientiert; die WpI-MaRisk ist jedoch deutlich schlanker und verfügt nicht über den über zwei Jahrzehnte gewachsenen Auslegungs- und Prüfungsapparat der Banken-MaRisk.

Können kleine Wertpapierinstitute auf eine Interne Revision verzichten?

Ja, wenn sowohl die Einrichtung einer eigenen Revisionseinheit als auch deren Wahrnehmung durch einen Geschäftsleiter unverhältnismäßig sind (AT 4.4.3 Tz. 1).

Was bedeutet das Proportionalitätsprinzip in der WpI-MaRisk?

Das Proportionalitätsprinzip bedeutet, dass sich Umfang und Tiefe der Anforderungen nach Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit richten (AT 1 Tz. 3). In Anspruch genommene Erleichterungen muss das Institut allerdings proaktiv begründen und dokumentieren (AT 6 Tz. 2) – die BaFin erwartet bei Prüfungen eine Auseinandersetzung mit der flexiblen Grundausrichtung (AT 1 Tz. 4).