Fachhochschule Koblenz, University of Applied Sciences
Fachbereich Betriebswirtschaft
Wintersemester 2006/2007, 7. Semester

(Corporate) Compliance in deutschen Kredit- und Finanzdienstleistungsinstituten -
Anforderungen und Auswirkungen gesetzlicher und
aufsichtsrechtlicher Organisationspflichten

von: Christian Buhr

Inhaltsverzeichnis

Darstellungsverzeichnis  IV
Abkürzungsverzeichnis  V

1. Einleitung  1

2. Begriffsbestimmungen und Zusammenhänge  2

2.1 Corporate Governance 2
2.2 Compliance 3
2.3 Zusammenführung der Begriffe  5

3. Compliance im Kontext von Bankenaufsicht und KWG 7

3.1 Organisatorische Anforderungen nach § 25a KWG 8
3.2 Basel II 10

3.2.1 Die Umsetzung in deutsches Recht  11
3.2.2 Das Drei-Säulen-Konzept 13

3.3 Mindestanforderungen an das Risikomanagement 15
3.4 Der Aufbau der MaRisk  16
3.5 Anforderungen an die Aufbau- und Ablauforganisation 18

3.5.1 Funktionstrennung 18
3.5.2 Allgemeine Anforderungen  19
3.5.3 Anforderungen im Besonderen Teil (BTO)  20

3.5.3.1 Kreditgeschäft (BTO 1)  22
3.5.3.2 Handelsgeschäft (BTO 2)  23

3.6 Zwischenergebnis  23

4. Compliance in Wertpapierdienstleistungsunternehmen  25

4.1 Wertpapieraufsicht und WpHG 27
4.2 Die "Compliance-Richtlinie"  28

4.2.1 Compliance-Organisation 29

4.2.1.1 Compliance-relevante Tatsachen und Merkmale 29
4.2.1.2 Basis-Compliance-Organisation 31
4.2.1.3 Erweiterte Compliance-Organisation  31

4.2.2 Maßnahmen und Instrumente  32

4.2.2.1 Vertraulichkeitsbereiche durch Chinese Walls 33
4.2.2.2 Beobachtungsliste (Watch-List)  36
4.2.2.3 Sperrliste (Restricted-List)  37

4.2.3 Compliance-Stelle  39

5. MiFID-Richtlinie  41

6. Organisatorische Auswirkungen 43

6.1 Organisationstheoretische Ansätze 43

6.1.1 Bürokratieansatz von Max Weber  44
6.1.2 Analytische Variante  45

6.2 Aufbauorganisatorische Effekte  46
6.3 Ablauforganisatorische Effekte  46

7. Fazit und Ausblick 48

Anhangverzeichnis  51

Literaturverzeichnis  58

1. Einleitung

Überregulierung oder notwendige Sicherheit? Vertrauen der Marktteilnehmer versus Agilität. Organisatorische Korsetts oder zwingend erforderliche Organisationsvorschriften? In deutschen Kredit- und Wertpapierdienstleistungsinstituten wird in vielen Bereichen die Frage nach der richtigen Aufbau- und Ablauforganisation nicht mehr von den betreffenden Mitarbeitern oder der Geschäftsführung beantwortet. Vielmehr geben Gesetzestexte und aufsichtsrechtliche Bestimmungen eine strikte und wenig Spielraum lassende Struktur vor. Die aktuelle und andauernde Diskussion um eine gute Corporate Governance und notwendige Compliance Vorschriften forcieren die geschilderte Entwicklung zusehends. In vorliegender Arbeit werden Umsetzungsempfehlungen bzw. Vorgaben an die Organisation der Institute¹ im Rahmen von Corporate Governance und Compliance Regelwerken behandelt. Dazu sind zunächst die Begrifflichkeiten zu klären und die nationalen wie branchenspezifischen Besonderheiten vorzustellen. Ferner wird auf spezielle gesetzliche und aufsichtsrechtliche Anforderungen sowie deren Auswirkungen auf die Aufbau- und Ablauforganisation in Kredit- und Wertpapierdienstleistungsinstituten eingegangen. Unumgänglich sind dabei die Selektion bestimmter Regelwerke sowie die Fokussierung auf die einschlägigen Paragraphen und Abschnitte innerhalb dieser Regelwerke, da eine umfassende Betrachtung aller Vorschriften im Rahmen dieser Arbeit nicht möglich ist.² Auch ist die einschränkende Betrachtung des deutschen Finanz- und Wertpapierdienstleistungsgewerbes erforderlich, da die erörterten Gesetzestexte und Regelwerke meist nur auf nationaler Ebene Gültigkeit besitzen. Der Autor hat sich aus Gründen der Aktualität und Bedeutsamkeit (hinsichtlich der Organisation) entschlossen, insbesondere auf die einschlägigen Paragraphen und Abschnitte folgender Gesetze und Verordnungen und die dazu erlassenen Richtlinien und Vorschriften näher einzugehen:

• Gesetz über das Kreditwesen (KWG)
• Wertpapierhandelsgesetz (WpHG)
• Internationale Konvergenz der Kapitalmessung und Eigenkapitalanforderungen ("Basel II")

Abschließend erfolgen ein Fazit und ein Ausblick in die nahe Zukunft.

2. Begriffsbestimmungen und Zusammenhänge

Eine funktionsübergreifende, eindeutige und klare Abgrenzung oder auch Verknüpfung der Begriffe Corporate Governance und Compliance ist weder in der Literatur noch in der Praxis vorhanden. Als Gründe dafür sind die Aktualität und die ebenso rasante wie kontinuierliche Weiterentwicklung beider Themengebiete zu nennen. Eine immer schnellere Sequenz von Gesetzesänderungen, Richtlinienentwürfen und -verabschiedungen auf nationaler wie internationaler Ebene sind Hauptursache dieser Entwicklung. Für das Verständnis der vorliegenden Arbeit sind jedoch eindeutige Begriffsbestimmungen und eine Verdeutlichung des Zusammenhangs von Corporate Governance und Compliance unabdingbar.

2.1 Corporate Governance

Der Deutsche Corporate Governance Kodex (DCGK) beinhaltet gesetzliche Vorschriften zur Leitung und Überwachung von deutschen börsennotierten Gesellschaften und enthält damit Standards guter und verantwortungsvoller Unternehmensführung. Durch eine gute Corporate Governance soll das Vertrauen der Anleger, der Kunden, der Mitarbeiter und der Öffentlichkeit in die Leitung und Überwachung der Gesellschaften gefördert werden.³ Corporate Governance diskutiert also die Frage guter, sorgfältiger und getreuer Leitung und Überwachung von Unternehmen.⁴

Es wird zwischen einer internen und einer externen Perspektive von Corporate Governance unterschieden. Die interne Sicht beschäftigt sich ausschließlich mit den Unternehmensorganen. Im Fokus stehen dabei hauptsächlich deren Rollen, Kompetenzen, Funktionsweisen und ihr Zusammenwirken. Dabei ist in Deutschland die Besonderheit der dualistischen Unternehmensführung, bestehend aus Vorstand und Aufsichtsrat, zu beachten. Einschlägige Vorschriften beinhaltet bereits das Aktiengesetz (AktG).⁵ Die externe Sicht hingegen setzt sich mit dem Verhältnis der Unternehmensführung zu den wesentlichen Bezugsgruppen des Unternehmens (Stakeholder) auseinander. Eine hervorgehobene Rolle spielen im Kreis der Stakeholder die Anteilseigener (Shareholder). Zu den wichtigsten Stakeholdern gehören ebenso die Mitarbeiter, die Kunden, die Banken (höhere Relevanz für Unternehmen als für die Banken selbst), der Kapitalmarkt sowie interne und externe Prüfungs- und Aufsichtsorgane.⁶

2.2 Compliance

Der Begriff Compliance leitet sich vom englischen "to comply with" (= einhalten), oder auch "in compliance with" (= gemäß) ab und bedeutet im weiteren Sinne die Einhaltung von Gesetzen, Richtlinien, Verhaltenspflichten, Regeln und Usancen.⁷ Compliance ist somit eine Managementfunktion, welche insbesondere die Steuerung des Geschäfts- und Reputationsrisikos zur Aufgabe hat. Durch Compliance (= "Handeln im Einklang mit dem Gesetz, oder – etwas allgemeiner formuliert – mit den jeweils anwendbaren Regeln"⁸) sollen verwaltungsrechtliche Sanktionen und straf- und zivilrechtliche Folgen vermieden werden.9 Die sprachliche Offenheit des Begriffs lässt diese weite Compliance-Definition zu. Die neueren Entwicklungen im Bereich der Bankenaufsicht gehen ebenfalls von einem allgemeinen Compliance-Begriff aus und sehen Compliance als umfassende und weitreichende Aufgabe aller Mitarbeiter eines Instituts an. So definiert der Baseler Ausschuss für Bankenaufsicht¹⁰ in seinem Diskussionspapier "Compliance and the compliance function in banks" folgendes:

"Compliance starts at the top. ... It concerns everyone within the bank and should be viewed as an integral part of the bank′s business activities. ... Failure to consider the impact of its actions on its shareholders, customers, employees and the markets may result in significant adverse publicity and reputational damage, even if no law has been broken. The expression ′compliance risk′ is defined in this paper as the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related selfregulatory organisation standards, and codes of conduct applicable to its banking activities ... "¹¹

Compliance scheint damit endgültig als Stichwort auch in den Blick der Bankenaufsicht (und nicht nur der Wertpapieraufsicht) gerückt zu sein. Denn diesem allgemeinen und modernen Verständnis von Compliance steht – gerade im Finanzdienstleistungssektor – ein engerer Compliance-Begriff im Sinne der Wertpapier- Compliance bzw. der kapitalmarktrechtlichen Compliance gegenüber. So hat sich in deutschen Finanzinstituten, insbesondere in Wertpapierdienstleistungsunternehmen, seit den frühen 90er Jahren ein punktueller Compliance-Begriff entwickelt. Nach dieser ursprünglichen und engeren Auffassung geht es um die Einrichtung einer Compliance- Organisation um die Einhaltung kapitalmarktrechtlicher Verhaltensregeln sicherzustellen, die Marktintegrität zu wahren und Interessenskonflikte im Wertpapiergeschäft zu vermeiden. ¹² Einer noch engeren Definition zufolge ist Compliance die "vertrauliche Behandlung von sensiblen Kunden- und Geschäftsdaten sowie Interessenkonfliktmanagement."¹³ In Kapitel 0 wird ausführlich auf diesen engeren Compliance-Begriff, also Compliance eingeschränkt auf die Regeln des Wertpapier- und Kapitalmarktgeschäfts, eingegangen. Sowohl nach dem allgemeinen als auch dem engeren Compliance-Verständnis lassen sich fünf Compliance-Funktionen unterscheiden:

[...]

1 Im Folgenden werden die Begriffe Institut, Kreditinstitut, Geldinstitut Finanzdienstleistungsinstitut und - unternehmen sowie Bank synonym verwendet. Jeder dieser Begriffe steht damit für die Gesamtheit dieser Einrichtungen. Abgegrenzt und somit nicht synonym verwendet wird der Begriff Wertpapierdienstleistungsunternehmen. Dabei ist zu beachten, dass Wertpapierdienstleistungsunternehmen gemäß Definition immer auch Kreditinstitute oder Finanzdienstleistungsinstitute sind. Zur genauen Definition siehe § 1 Abs.1, 1a und 1b KWG, § 2 Abs.4 WpHG; vgl. auch: Anhang 2.

2 Vgl. hierzu unterstützend und vertiefend: Braun, Kommentar zu § 25a KWG, 2004, S.811-812.

3 Vgl. Kodex, 2006, S.1, s. www.corporate-governance-code.de, s. genau: http://www.corporategovernance- code.de/ger/kodex/in-dex.html.

4 Vgl. Lutter, DCGK, 2003, S.738.

5 Vgl. hierzu vertiefend: Aktiengesetz, § 76 - § 116.

6 Vgl. zu diesem Absatz: v. Werder, Grundfragen, 2003, S.4.

7 Vgl. Buff, Compliance, 2000, S.10-11; Buff erweitert den Compliance-Begriff um ethische Aspekte wie Ehrlichkeit, Fairness und Anstand.

8 Loesler, Modernes Verständnis von Compliance, 2006, S. 24.

9 Vgl. Eisele, in: Bankrechts-Handbuch, 2001, § 109, Rn.1 – die Ausführungen von Eisele können nach Meinung des Verfassers auf das moderne Verständnis von Compliance übertragen werden; vgl. unterstützend: Loesler, Modernes Verständnis von Compliance, 2006.

10 Der Baseler Ausschuss für Bankenaufsicht (im Folgenden auch als "der Ausschuss" bezeichnet) ist ein Gremium der Bankenaufsichtsbehörden, welches von den Zentralbankgouverneuren der G-10-Länder 1995 gegründet wurde. Er setzt sich aus Vertretern der Zentralbanken sowie der Bankenaufsichtsbehörden der G-10-Staaten und Luxemburgs zusammen und tritt in der Regel bei der Bank für internationalen Zahlungsausgleich (BIZ) in Basel zusammen, wo sich auch sein ständiges Sekretariat befindet.

11 BCBS, Compliance and the compliance function in banks, 2005, S.7.

12 Vgl. zu diesem Absatz: Eisele, in: Bankrechts-Handbuch, 2001, § 109 Rn 2.

13 Handbuch der Compliance-Organisation, 2002, S.24.