(Corporate) Compliance in deutschen Kredit- und Finanzdienstleistungsinstituten. Anforderungen und Auswirkungen gesetzlicher und aufsichtsrechtlicher Organisationspflichten

  II  

  Inhaltsverzeichnis  

  Darstellungsverzeichnis  IV

  Abkürzungsverzeichnis  V

1.  Einleitung  1

2.  Begriffsbestimmungen und Zusammenhänge  2

2.1  Corporate Governance  2

2.2  Compliance  3

2.3  Zusammenführung der Begriffe  5

3.  Compliance im Kontext von Bankenaufsicht und KWG  7

3.1  Organisatorische Anforderungen nach 25a KWG  8

3.2  Basel II  10

3.2.1  Die Umsetzung in deutsches Recht  11

3.2.2  Das Drei-Säulen Konzept  13

3.3  Mindestanforderungen an das Risikomanagement  15

3.4  Der Aufbau der MaRisk  16

3.5  Anforderungen an die Aufbau und Ablauforganisation  18

3.5.1  Funktionstrennung  18

3.5.2  Allgemeine Anforderungen  19

3.5.3  Anforderungen im Besonderen Teil (BTO)  20

3.5.3.1  Kreditgeschäft (BTO 1)  22

3.5.3.2  Handelsgeschäft (BTO 2)  23

3.6  Zwischenergebnis  23

  III  

4.  Compliance in Wertpapierdienstleistungsunternehmen  25

4.1  Wertpapieraufsicht und WpHG  27

4.2  Die Compliance-Richtlinie  28

4.2.1  Compliance-Organisation  29

4.2.1.1  Compliance-relevante Tatsachen und Merkmale  29

4.2.1.2  Basis-Compliance Organisation  31

4.2.1.3  Erweiterte Compliance-Organisation  31

4.2.2  Maßnahmen und Instrumente  32

4.2.2.1  Vertraulichkeitsbereiche durch Chinese Walls  33

4.2.2.2  Beobachtungsliste (Watch-List)  36

4.2.2.3  Sperrliste (Restricted-List)  37

4.2.3  Compliance-Stelle  39

5.  MiFID-Richtlinie  41

6.  Organisatorische Auswirkungen  43

6.1  Organisationstheoretische Ansätze  43

6.1.1  Bürokratieansatz von Max Weber  44

6.1.2  Analytische Variante  45

6.2  Aufbauorganisatorische Effekte  46

6.3  Ablauforganisatorische Effekte  46

7.  Fazit und Ausblick  48

Anhangverzeichnis   51

  Literaturverzeichnis  58

  IV  

  Darstellungsverzeichnis  

  Darstellung 1 Die Aufsichtssäulen der BaFin  7

  Darstellung 1 Nationale Umsetzung von Basel II  11

  Darstellung 2 Die drei Säulen von Basel II  12

  Darstellung 3 Eigenkapitalunterlegung nach Basel II  12

  Darstellung 4 MaRisk im Überblick  16

  Darstellung 5 Module zur Aufbau und Ablauforganisation  18

  Darstellung 6 Argumentationskette zu Kapitel 3  24

  Darstellung 7 Organisationsziel  33

  Darstellung 8 Informationsfluss zwischen Vertraulichkeitsbereichen  36

  Darstellung 9 Organisationstheoretische Ansätze  44

  Darstellung 10 Äquivalente Element zum Bürokratiemodell  45

  Darstellung 11 Das erweiterte Grundmodell der analytischen Variante des situati  

  ven Ansatzes  47

  Darstellung 12 Stärken und Schwächen von Compliance in der Finanzdienstleis  

  tungsbranche  50

V

Abkürzungsverzeichnis

ABS Asset Backed Securities

AktG Aktiengesetz

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht

BCBS Basel Committee on Banking Supervision

BIZ Bank für internationalen Zahlungsausgleich

BSpKG Bausparkassengesetz

BVR Bundesverband der Deutschen Volksbanken und Raiffeisenbanken e.V.

CEBS Committee of European Banking Supervisors

CRD Capital Requirements Directive

DCGK Deutscher Corporate Governance Kodex

DSGV Deutscher Sparkassen- und Giroverband e.V.

GroMiKV Großkredit- und Millionenkreditverordnung

GwG Geldwäschegesetz

HGB Handelsgesetzbuch

IAS International Accounting Standards

IFRS International Financial Reporting Standards

KonTraG Kontroll- und Transparenz-Gesetz

KWG Gesetz über das Kreditwesen

MaH Mindestanforderungen an das Handelsgeschäft

MaIR Mindestanforderungen an die interne Revision

MaK Mindestanforderungen an das Kreditgeschäft

MaRisk Mindestanforderungen an das Risikomanagement

MiFID Markets in Financial Instruments Directive

OSE Osaka Stock Exchange

VI

SIMEX Singapore Monetary Exchange

SolvV Solvabilitätsverordnung

SRP Supervisory Review Process

WpDL Wertpapierdienstleistung

WpDLU Wertpapierdienstleistungsunternehmen

WpHG Wertpapierhandelsgesetz

WpNDL Wertpapiernebendienstleistung

VÖB Bundesverband Öffentlicher Banken Deutschlands e.V.

1. Einleitung

Überregulierung oder notwendige Sicherheit? Vertrauen der Marktteilnehmer versus Agili- tät. Organisatorische Korsetts oder zwingend erforderliche Organisationsvorschriften? In deutschen Kredit- und Wertpapierdienstleistungsinstituten wird in vielen Bereichen die Frage nach der richtigen Aufbau- und Ablauforganisation nicht mehr von den betreffenden Mitarbeitern oder der Geschäftsführung beantwortet. Vielmehr geben Gesetzestexte und aufsichtsrechtliche Bestimmungen eine strikte und wenig Spielraum lassende Struktur vor. Die aktuelle und andauernde Diskussion um eine gute Corporate Governance und notwen- dige Compliance Vorschriften forcieren die geschilderte Entwicklung zusehends.

In vorliegender Arbeit werden Umsetzungsempfehlungen bzw. Vorgaben an die Organisation der Institute 1 im Rahmen von Corporate Governance und Compliance Re- gelwerken behandelt. Dazu sind zunächst die Begrifflichkeiten zu klären und die nationa- len wie branchenspezifischen Besonderheiten vorzustellen. Ferner wird auf spezielle ge- setzliche und aufsichtsrechtliche Anforderungen sowie deren Auswirkungen auf die Auf- bau- und Ablauforganisation in Kredit- und Wertpapierdienstleistungsinstituten eingegan- gen. Unumgänglich sind dabei die Selektion bestimmter Regelwerke sowie die Fokussie- rung auf die einschlägigen Paragraphen und Abschnitte innerhalb dieser Regelwerke, da eine umfassende Betrachtung aller Vorschriften im Rahmen dieser Arbeit nicht möglich ist. 2 Auch ist die einschränkende Betrachtung des deutschen Finanz- und Wertpapierdienst- leistungsgewerbes erforderlich, da die erörterten Gesetzestexte und Regelwerke meist nur auf nationaler Ebene Gültigkeit besitzen. Der Autor hat sich aus Gründen der Aktualität und Bedeutsamkeit (hinsichtlich der Organisation) entschlossen, insbesondere auf die ein- schlägigen Paragraphen und Abschnitte folgender Gesetze und Verordnungen und die dazu erlassenen Richtlinien und Vorschriften näher einzugehen:

1

Im Folgenden werden die Begriffe Institut, Kreditinstitut, Geldinstitut Finanzdienstleistungsinstitut und - unternehmen sowie Bank synonym verwendet. Jeder dieser Begriffe steht damit für die Gesamtheit dieser Einrichtungen. Abgegrenzt und somit nicht synonym verwendet wird der Begriff Wertpapierdienstleis- tungsunternehmen. Dabei ist zu beachten, dass Wertpapierdienstleistungsunternehmen gemäß Definition immer auch Kreditinstitute oder Finanzdienstleistungsinstitute sind. Zur genauen Definition siehe § 1 Abs.1, 1a und 1b KWG, § 2 Abs.4 WpHG; vgl. auch: Anhang 2.

2

Vgl. hierzu unterstützend und vertiefend: Braun, Kommentar zu § 25a KWG, 2004, S.811-812.

2

• Gesetz über das Kreditwesen (KWG)

• Wertpapierhandelsgesetz (WpHG)

• Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen ("Ba- sel II") Abschließend erfolgen ein Fazit und ein Ausblick in die nahe Zukunft.

2. Begriffsbestimmungen und Zusammenhänge

Eine funktionsübergreifende, eindeutige und klare Abgrenzung oder auch Verknüpfung der Begriffe Corporate Governance und Compliance ist weder in der Literatur noch in der Pra- xis vorhanden. Als Gründe dafür sind die Aktualität und die ebenso rasante wie kontinuier- liche Weiterentwicklung beider Themengebiete zu nennen. Eine immer schnellere Sequenz von Gesetzesänderungen, Richtlinienentwürfen und -verabschiedungen auf nationaler wie internationaler Ebene sind Hauptursache dieser Entwicklung. Für das Verständnis der vor- liegenden Arbeit sind jedoch eindeutige Begriffsbestimmungen und eine Verdeutlichung des Zusammenhangs von Corporate Governance und Compliance unabdingbar.

2.1 Corporate Governance

Der Deutsche Corporate Governance Kodex (DCGK) beinhaltet gesetzliche Vorschriften zur Leitung und Überwachung von deutschen börsennotierten Gesellschaften und enthält damit Standards guter und verantwortungsvoller Unternehmensführung. Durch eine gute Corporate Governance soll das Vertrauen der Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung der Gesellschaften gefördert werden. 3 Corporate Governance diskutiert also die Frage guter, sorgfältiger und getreuer Leitung und Überwachung von Unternehmen. 4

3

Vgl. Kodex, 2006, S.1, s. www.corporate-governance-code.de, s. genau: http://www.corporate-

governance-code.de/ger/kodex/in-dex.html.

4

Vgl. Lutter, DCGK, 2003, S.738.

3

Es wird zwischen einer internen und einer externen Perspektive von Corporate Governance unterschieden. Die interne Sicht beschäftigt sich ausschließlich mit den Un- ternehmensorganen. Im Fokus stehen dabei hauptsächlich deren Rollen, Kompetenzen, Funktionsweisen und ihr Zusammenwirken. Dabei ist in Deutschland die Besonderheit der dualistischen Unternehmensführung, bestehend aus Vorstand und Aufsichtsrat, zu beach- ten. Einschlägige Vorschriften beinhaltet bereits das Aktiengesetz (AktG). 5 Die externe Sicht hingegen setzt sich mit dem Verhältnis der Unternehmensführung zu den wesentli- chen Bezugsgruppen des Unternehmens (Stakeholder) auseinander. Eine hervorgehobene Rolle spielen im Kreis der Stakeholder die Anteilseigener (Shareholder). Zu den wichtigs- ten Stakeholdern gehören ebenso die Mitarbeiter, die Kunden, die Banken (höhere Rele- vanz für Unternehmen als für die Banken selbst), der Kapitalmarkt sowie interne und ex- terne Prüfungs- und Aufsichtsorgane. 6

2.2 Compliance

Der Begriff Compliance leitet sich vom englischen "to comply with" (= einhalten), oder auch "in compliance with" (= gemäß) ab und bedeutet im weiteren Sinne die Einhaltung von Gesetzen, Richtlinien, Verhaltenspflichten, Regeln und Usancen. 7 Compliance ist so- mit eine Managementfunktion, welche insbesondere die Steuerung des Geschäfts- und Re- putationsrisikos zur Aufgabe hat. Durch Compliance (= "Handeln im Einklang mit dem Gesetz, oder – etwas allgemeiner formuliert – mit den jeweils anwendbaren Regeln" 8 ) sol- len verwaltungsrechtliche Sanktionen und straf- und zivilrechtliche Folgen vermieden werden. 9 Die sprachliche Offenheit des Begriffs lässt diese weite Compliance-Definition zu. Die neueren Entwicklungen im Bereich der Bankenaufsicht gehen ebenfalls von einem allgemeinen Compliance-Begriff aus und sehen Compliance als umfassende und weitrei- chende Aufgabe aller Mitarbeiter eines Instituts an. So definiert der Baseler Ausschuss für

5

Vgl. hierzu vertiefend: Aktiengesetz, § 76 - § 116.

6

Vgl. zu diesem Absatz: v. Werder, Grundfragen, 2003, S.4.

7

Vgl. Buff, Compliance, 2000, S.10-11; Buff erweitert den Compliance-Begriff um ethische Aspekte wie Ehrlichkeit, Fairness und Anstand.

8

Loesler, Modernes Verständnis von Compliance, 2006, S. 24.

9

Vgl. Eisele, in: Bankrechts-Handbuch, 2001, § 109, Rn.1 – die Ausführungen von Eisele können nach Meinung des Verfassers auf das moderne Verständnis von Compliance übertragen werden; vgl. unter- stützend: Loesler, Modernes Verständnis von Compliance, 2006.

4

Bankenaufsicht 10 in seinem Diskussionspapier "Compliance and the compliance function in banks" folgendes:

"Compliance starts at the top. ... It concerns everyone within the bank and should be viewed as an integral part of the bank's business activities. ... Failure to con- sider the impact of its actions on its shareholders, customers, employees and the markets may result in significant adverse publicity and reputational damage, even if no law has been broken.

The expression 'compliance risk' is defined in this paper as the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suf- fer as a result of its failure to comply with laws, regulations, rules, related self- regulatory organisation standards, and codes of conduct applicable to its banking activities ... " 11

Compliance scheint damit endgültig als Stichwort auch in den Blick der Bankenaufsicht (und nicht nur der Wertpapieraufsicht) gerückt zu sein.

Denn diesem allgemeinen und modernen Verständnis von Compliance steht – gera- de im Finanzdienstleistungssektor – ein engerer Compliance-Begriff im Sinne der Wertpa- pier-Compliance bzw. der kapitalmarktrechtlichen Compliance gegenüber. So hat sich in deutschen Finanzinstituten, insbesondere in Wertpapierdienstleistungsunternehmen, seit den frühen 90er Jahren ein punktueller Compliance-Begriff entwickelt. Nach dieser ur- sprünglichen und engeren Auffassung geht es um die Einrichtung einer Compliance- Organisation um die Einhaltung kapitalmarktrechtlicher Verhaltensregeln sicherzustellen, die Marktintegrität zu wahren und Interessenskonflikte im Wertpapiergeschäft zu vermei- den. 12 Einer noch engeren Definition zufolge ist Compliance die "vertrauliche Behandlung von sensiblen Kunden- und Geschäftsdaten sowie Interessenkonfliktmanagement." 13 In Kapitel 0 wird ausführlich auf diesen engeren Compliance-Begriff, also Compliance einge- schränkt auf die Regeln des Wertpapier- und Kapitalmarktgeschäfts, eingegangen. Sowohl nach dem allgemeinen als auch dem engeren Compliance-Verständnis las- sen sich fünf Compliance-Funktionen unterscheiden:

10 Der Baseler Ausschuss für Bankenaufsicht (im Folgenden auch als "der Ausschuss" bezeichnet) ist ein Gremium der Bankenaufsichtsbehörden, welches von den Zentralbankgouverneuren der G-10-Länder 1995 gegründet wurde. Er setzt sich aus Vertretern der Zentralbanken sowie der Bankenaufsichtsbehör- den der G-10-Staaten und Luxemburgs zusammen und tritt in der Regel bei der Bank für internationalen Zahlungsausgleich (BIZ) in Basel zusammen, wo sich auch sein ständiges Sekretariat befindet. 11 BCBS, Compliance and the compliance function in banks, 2005, S.7.

12 Vgl. zu diesem Absatz: Eisele, in: Bankrechts-Handbuch, 2001, § 109 Rn 2.

13 Handbuch der Compliance-Organisation, 2002, S.24.

5

1. Schutzfunktion: Schutz des Unternehmens und seiner Mitarbeiter durch die Vermei-

dung bewusster und unbewusster Regelübertretungen und damit die Abwehr von Schadensersatzansprüchen, Straf- oder Bußgeldern sowie Reputationsschäden

2. Beratungs- und Informationsfunktion: Vor dem Hintergrund, dass Regeln nur beach-

tet werden können, wenn sie dem, der sie zu beachten hat, auch bekannt sind, verste- hen sich Compliance-Abteilungen als Ratgeber und Aufklärer der operativen Berei- che des Unternehmens

3. Qualitätssicherungs- und Innovationsfunktion: Anlage- und anlegergerechte Bera-

tung der Kunden ("Know your Customer"-Grundsatz) und die Vermeidung des be- wussten oder unbewussten Missbrauchs von Daten oder Informationen

4. Monitoring-Funktion: Zeitnahe Kontrolle über die Einhaltung der einschlägigen Ge-

setze sowie interner und externer Regelwerke

5. Marketing-Funktion: Erhaltung des Ansehens des Unternehmens durch die Vermei-

dung von Regelverstößen und damit verbundene Reputationsverluste 14

2.3 Zusammenführung der Begriffe

Nach obigen Definitionen ist Compliance als wesentliches Element und selbstverständli- cher Bestandteil einer guten Corporate Governance zu sehen. 15 Es ist evident, dass Geset- ze, Regelwerke und Maßnahmen nicht immer eindeutig einem der beiden Begriffe zuge- ordnet werden können. Vorschriften, die dem Themengebiet Compliance (weiter Compli- ance-Begriff) zugeschrieben werden, können ebenso dem Bereich Corporate Governance zugeordnet werden, sofern sie auch zu einer guten Unternehmensführung bzw. zu einer Verbesserung der Beziehungen zwischen den Unternehmensorganen selbst oder zwischen den Unternehmensorganen zu den Stakeholdern beitragen. Umgekehrt ist diese Wechsel- beziehung ebenfalls, wenn auch nicht in letzter Konsequenz, gegeben. Governance Fra- meworks enthalten immer auch Aspekte von Compliance. Diese Zusammenhänge sind nicht nur logisch, sondern notwendig. Denn würde eine Maßnahme im Sinne des Compli- ance-Gedankens nicht zu einer Verbesserung der internen oder externen Corporate Gover- nance beitragen, so müsste diese Maßnahme zumindest in Frage gestellt werden. Im Fi- nanzdienstleistungssektor wird dies umso deutlicher, wenn man die Aufsichtsbehörden in

14 Vgl. zu diesem Absatz: Loesler, Modernes Verständnis von Compliance, 2006, S. 25-27.

15 Vgl. Menzies, Corporate Compliance, 2006, S.2; vgl. dazu auch: Strasser, Compliance als Teil von Cor-

porate Governance, 2004, S.552; vgl. vertiefend: Loesler, Compliance, 2003, S. 139f.

6

den Kreis der Stakeholder mit einschließt. Im Folgenden wird daher nicht strikt zwischen Corporate Governance und Compliance unterschieden, sondern vielmehr von einer ganz- heitlichen Sichtweise und einer unumgänglichen Verknüpfung dieser Begrifflichkeiten ausgegangen.

Diesem Zusammenhang wird aktuell durch die begriffliche Verschmelzung zu dem Ausdruck "Corporate Compliance" Rechnung getragen. Dabei wird der weite Complian- ce-Begriff um einen unternehmensweiten, integrativen Ansatz zur effektiven und effizien- ten Erfüllung der wesentlichen Stakeholder-Anforderungen erweitert. Somit wird Corpora- te Compliance zu einer Voraussetzung für eine nachhaltige, risiko- und wertorientierte, e- thische und regelkonforme Unternehmensführung. 16

16 Vgl. Menzies, Corporate Compliance, 2006, S.2.

7

3. Compliance im Kontext von Bankenaufsicht und KWG

Banken nehmen durch ihre gesamtwirtschaftlichen Funktionen in einer Volkswirtschaft ei- ne besondere Stellung ein. Über die Aufgabe als Finanzintermediäre hinaus haben Banken auch die Aufgabe, den Zahlungsverkehr aufrecht zu erhalten. Kreditinstitute und Wertpa- pierdienstleistungsunternehmen stehen aufgrund der Tatsache, dass sie mit eigenem aber vor allem auch mit fremdem Kapital arbeiten, im Blickpunkt der Aufsichtsbehörden. Durch ihre Sonderstellung sind sie in außerordentlichem Maße vor Insolvenz zu schützen. Diese Aufgabe nimmt in Deutschland die Bundesanstalt für Finanzdienstleistungs- aufsicht (BaFin) 17 in Zusammenarbeit mit der Deutschen Bundesbank wahr. Die BaFin un- terscheidet zwischen Bankenaufsicht, Versicherungsaufsicht und Wertapapieraufsicht 18 .

Durch diese besondere Beobachtung von Seiten der Aufsichtbehörden, zu denen auf inter- nationaler Ebene auch der in Kapitel 2.2 genannte Baseler Ausschuss gehört, haben Fi- nanzinstitute wesentlich mehr Gesetzestexte, Richtlinien, Regelungen und Vorschriften zu beachten, als dies bei anderen Unternehmen der Fall ist, wobei der überwiegende Teil der bank- und kapitalmarktrechtlichen Gesetze auf Vorgaben des europäischen Rechts beru- hen. 19 Der Begriff der Überregulierung ist in diesem Zusammenhang nicht selten anzutref- fen. Es folgt eine nicht abschließende Aufzählung von wesentlichen Gesetzesbereichen,

17 Die BaFin vereinigt seit ihrer Gründung im Mai 2002 die Aufsicht über Banken und Finanzdienstleister, Versicherer und Wertpapierhandel unter einem Dach.

18 Siehe dazu auch Kapitel 4.

19 Vgl. Häuser, Bankrecht, 2005, S.XI.

8

auf die Compliance-Regelungen Anwendung finden: KWG, WpHG, GwG, HGB, BSpKG, Börsengesetze, Datenschutzgesetze, Verbraucherkreditgesetze u.ä. 20 Als eigenständige Compliance-Anforderungen kommen beispielsweise Basel II, MIFID, Sabanes-Oxley-Act, IAS/IFRS, KonTraG, DCGK, usw. hinzu.

Die rechtliche Grundlage für die Beaufsichtigung von Finanzdienstleistungen und Bankgeschäften ist das Gesetz über das Kreditwesen (KWG) und die dazu erlassenen Rechtsvorschriften. Innerhalb des KWG sind vor allem die folgenden gesetzlichen Anfor- derungen für die Compliance-Regelungen relevant, wobei kein Anspruch auf Vollständig- keit erhoben wird:

• Angemessenheit der Eigenmittel nach § 10 sowie Beachtung der Grenzen nach Grundsatz I (Grundsatz I wird am 01. Januar 2007 durch die Solvabilitätsverordnung abgelöst; siehe Kapitel 3.2.1)

• Einhaltung der Großkreditgrenzen

• Einhaltung des Liquiditätsgrundsatzes

• Einhaltung der Grenzen für qualifizierte Beteiligungen und Beteiligungsgrenzen für E-Geld-Institute

• Regelungen für Organkredite

• Offenlegung der wirtschaftlichen Verhältnisse nach § 18

• Beachtung der Anzeige und Meldevorschriften (Großkreditmeldungen, Grundsatz I- Meldungen, Grundsatz II-Meldungen, Millionenkreditmeldungen, Anzeigen nach § 24ff., Monatsausweise, usw.)

• Beachtung besonderer organisatorischer Pflichten nach § 25a 21

3.1 Organisatorische Anforderungen nach § 25a KWG

§ 25a des Gesetzes über das Kreditwesen weist auf besondere organisatorische Pflichten von Instituten hin. Es gilt die These, dass § 25a Abs.1 KWG die Rechtsgrundlage für Compliance-Pflichten in Finanzdienstleistungskonzernen ist. 22 Da § 25a Abs.1 S.1 von den Instituten "eine ordnungsgemäße Geschäftsorganisation" verlangt, welche die "Einhaltung

20 Vgl. Braun, Kommentar zu § 25a KWG, 2004, S.811.

21 Vgl. zu diesem Absatz: Braun, Kommentar zu § 25a KWG, 2004, S.811.

22 Vgl. Loesler, Modernes Verständnis von Compliance, 2006, S.31.