Im Jahr 2019 war der Geschäftsbereich Bankenaufsicht erneut in viele unterschiedliche und herausfordernde Themenfelder involviert – und da war die Corona-Krise noch weit weg. Neben die reguläre Aufsichtstätigkeit traten die „Durchführung LSI-Stresstest 2019 mit Überprüfung der Auswirkungen auf die Ertragslage und die Zinsänderungsrisiken“ und die „Prüfung von IT-Systemen und der dazugehörigen IT-Prozesse“ als aufsichtliche Schwerpunkte 2019 sowie die Umsetzung der zweiten Zahlungsdiensterichtlinie (Payment Service Directive 2 – PSD2).

Vergangenes Jahr trat außerdem die Ausnahme der deutschen Förderbanken vom Anwendungsbereich der europäischen Eigenmittelrichtlinie (Capital Requirements Directive – CRD) in Kraft. Sie sind seither nicht mehr Teil des europäischen Einheitlichen Aufsichtsmechanismus (Single Supervisory Mechanism – SSM) und unterliegen damit wieder ausschließlich der nationalen Aufsicht durch BaFin und Bundesbank.

Aufsichtsschwerpunkte 2019

Das tägliche Aufsichtshandeln wird wesentlich durch die gemeinsam mit der Bundesbank jährlich festgelegten Schwerpunkte für die Aufsicht über die weniger bedeutenden Institute (Less Significant Institutions – LSIs) in Deutschland bestimmt. Für die Aufsichtsschwerpunkte 2019 orientierten sich BaFin und Bundesbank an einer Reihe von Risiken für den LSI-Sektor: Ertragsrisiken, Zinsrisiken, Digitalisierung/IT-Risiken, Kreditrisiken einschließlich Entwicklungen im Immobiliensektor, Länderrisiken sowie Rechts- und Reputationsrisiken.

Die Aufsicht überwachte die Institute daher laufend und untersuchte dabei auch, ob die Risikovorsorge sowie die Risikosteuerungs- und Controllingprozesse der Institute im Immobilienbereich angemessen waren. Darüber hinaus nahmen die Aufseher 2019 die Ertrags- und Zinsrisiken im aufsichtlichen Überprüfungs- und Bewertungsprozess (Supervisory Review and Evaluation Process – SREP) in den Blick.
Die Bankenaufsicht führte 2019 bei 161 LSIs Sonderprüfungen durch. Der Fokus lag bei einem Drittel der Sonderprüfungen auf Kreditrisiken, bei rund 10 Prozent auf Zinsrisiken und bei etwa 3 Prozent auf der Digitalisierung bzw. auf IT-Risiken. Die Bankenaufsicht führte außerdem 1.242 Aufsichtsgespräche, davon rund ein Drittel mit Beteiligung der BaFin.

Durchführung LSI-Stresstest 2019 mit Überprüfung der Auswirkungen auf die Ertragslage und die Zinsänderungsrisiken

Die Ertragsschwäche des deutschen Bankensystems – verbunden mit der Aussicht auf ein anhaltend niedriges Zinsniveau – beschäftigt die Bankenaufsicht schon länger. Im Jahr 2019 diente ihr der LSI-Stresstest – bestehend aus einem Umfrage- und einem Stresstestteil – als wesentliche Erkenntnisquelle, um besser bewerten zu können, wie sich das Niedrigzinsumfeld auf Erträge und Kapitalausstattung der deutschen Kreditinstitute auswirkt (siehe BaFinJournal Oktober 2019). Insgesamt nahmen rund 1.400 kleine und mittelgroße Kreditinstitute unter unmittelbarer nationaler Aufsicht daran teil. Der Teilnehmerkreis umfasste damit rund 89 Prozent aller Kreditinstitute in Deutschland sowie etwa 38 Prozent der aggregierten Bilanzsumme.

Der Umfrageteil umfasste zwei Bereiche: BaFin und Bundesbank fragten zum einen die institutseigenen Plan- und Prognosedaten zur Gewinn- und Verlustrechnung sowie zu ausgewählten Bilanzpositionen ab. Zum anderen mussten die Kreditinstitute für fünf von der Aufsicht vorgegebene Zinsszenarien Ergebnissimulationen für den Zeitraum von 2019 bis 2023 durchführen.

Die Kreditinstitute ließen im Umfrageteil erkennen, dass die Gesamtkapitalrentabilität teilweise schwach ist. Nach den institutseigenen Planungen erwarteten sie jedoch im Durchschnitt über die kommenden fünf Jahre einen Anstieg um ca. 10 Prozent. Dabei ist jedoch anzumerken, dass etwa die Hälfte der Institute in ihrer Planung zu diesem Zeitpunkt noch von einer Zinserhöhung innerhalb des Planungszeitraums ausging. Die Aussicht auf ein anhaltend niedriges Zinsniveau lässt einen Rückgang der Rentabilität im deutschen Bankensektor allerdings wahrscheinlicher erscheinen.

Im Zinsszenario mit konstanten Zinsen des Stressteils sinkt die Gesamtkapitalrentabilität dementsprechend um über 10 Prozent. Im ungünstigsten Zinsszenario mit weiter sinkenden Zinsen kommt es gar zu einem deutlichen Einbruch der Gesamtkapitalrentabilität um über 50 Prozent. Doch auch in diesem ungünstigsten der fünf Zinsszenarien bleiben die deutschen Institute im Mittel noch in der Gewinnzone.

Aufsichtsprogramm 2019: Bankenaufsicht

BaFin

Die im Stresstestteil aufgedeckten Risiken zieht die BaFin heran, um die aufsichtliche Eigenmittelzielkennziffer der Institute zu bestimmen (siehe BaFinJournal Januar 2020). Ein Unterschreiten der Eigenmittelzielkennziffer ist eine wichtige Frühwarnschwelle für die Aufsicht. Außerdem nutzen Fachaufseher die Ergebnisse für ihre individuellen Aufsichtstätigkeiten, indem sie zum Beispiel schriftliche Stellungnahmen und Kapitalpläne anfordern und auswerten. Bei anfälligen Instituten intensivieren BaFin und Bundesbank ihre Aufsichtsgespräche, begleiten sie also besonders eng und tragen so zur Stabilität des deutschen Bankenmarktes bei.

Prüfung von IT-Systemen und der dazugehörigen IT-Prozesse

Durch die fortschreitende Digitalisierung werden IT-Systeme und IT-Dienstleistungen für die Geschäftstätigkeit der Banken bedeutender und die Anforderungen an ihre Sicherheit, Verfügbarkeit und Funktionsfähigkeit steigen kontinuierlich.

Die BaFin hat daher bereits 2017 in ihren Bankaufsichtlichen Anforderungen an die IT (BAIT) dargelegt, was sie unter ordnungsgemäßer Geschäftsorganisation, wirksamem IT Risikomanagement und angemessen technisch-organisatorischer Ausstattung von Banken versteht.

Im Jahr 2018 hat die BaFin eine neue Organisationseinheit eingerichtet, die sich mit IT-Aufsicht, Zahlungsverkehr und Cybersicherheit befasst. Zu dieser Organisationseinheit gehört auch ein Team von Prüfern, das sich insbesondere mit IT-Prüfungen bei Banken und Versicherungsunternehmen beschäftigt.

Um IT-Risiken aufzudecken, ordnete die Bankenaufsicht 2019 Schwerpunktprüfungen im IT-Bereich an. Geprüft wurden vor allem solche Online Banken und Institute, bei denen es in der Vergangenheit bereits zu IT Sicherheitsvorfällen oder anderweitigen IT-Problemen gekommen war. Das Prüfungsspektrum umfasste grundsätzlich alle Bereiche der BAIT, insbesondere jedoch das Informationsrisiko- und Informationssicherheitsmanagement. Hier schauten sich die Prüfer etwa an, ob die Banken angemessene Maßnahmen zur Informations- und Cybersicherheit wirksam umgesetzt sowie Schutzbedarfsfeststellungen und Risikoanalysen durchgeführt hatten, mit denen sich potenzielle Bedrohungen ermitteln lassen.

Auch im Auslagerungsmanagement und sonstigen Fremdbezug von IT-Dienstleistungen waren bei einzelnen Instituten zum Teil erhebliche Mängel zu erkennen. Die Prüfer kontrollierten beispielsweise, ob die Banken jene Risiken, die mit dem Einkauf von IT-Dienstleistungen einhergehen, identifiziert und bewertet haben und ob sie diese Risiken angemessen überwachen und steuern (siehe BaFinJournal Juli 2019).

Die Prüfungen führten BaFin und Deutsche Bundesbank gemeinsam durch. Sie forderten die Banken auf, geeignete Maßnahmen zu ergreifen, um die Mängel schnellstmöglich zu beheben.

PSD 2–Umsetzung

Seit Inkrafttreten der PSD2-Umsetzung am 13. Januar 2018 benötigen Unternehmen, die Zahlungsauslöse- und Kontoinformationsdienste erbringen, eine Erlaubnis als Zahlungsinstitut. Sofern sie nur den Kontoinformationsdienst anbieten, greift ein erleichtertes Verfahren. Dann reicht eine Registrierung aus, um Zahlungsinstitut zu werden. Zudem können CRR-Kreditinstitute und E-Geld-Institute diese Dienstleistungen bereits im Rahmen ihrer vorhandenen Erlaubnis erbringen. Für Unternehmen, die diese Dienste bereits erbrachten, bevor eine Erlaubnispflicht bestand, gilt eine Übergangsregelung.

Im Jahr 2019 erteilte die BaFin zehn Unternehmen eine Erlaubnis zum Erbringen von Zahlungsauslöse- und Kontoinformationsdiensten. Zudem registrierte sie zwölf Unternehmen als reine Kontoinformationsdienste. Es ist zu beobachten, dass weiterhin ein reges Interesse an etablierten Zahlungsdiensten wie etwa dem Finanztransfergeschäft besteht. Im Ergebnis hat sich deshalb die Zahl der Zahlungs- und E-Geld-Institute in Deutschland zwischen dem 13. Januar 2018 und dem 31. Dezember 2019 auf insgesamt 76 verdoppelt.

Seit 14. September 2019 müssen Banken den Zahlungsauslöse- und Kontoinformationsdienstleistern eine technische Schnittstelle bereitstellen und ihnen als Notfallmechanismus auch den Konto-Zugriff über die Kundenschnittstelle ermöglichen. Die BaFin kann eine Bank aber auf Antrag davon freistellen. Allerdings hat sie 2019 keine solche Ausnahme erteilt, da keines der antragstellenden Institute die dafür notwendigen Anforderungen an die Funktionalität und die Stabilität der Schnittstelle erfüllen konnte.

Ebenfalls seit dem 14. September 2019 gilt die Pflicht zur Starken Kundenauthentifizierung (SKA), insbesondere bei der Auslösung elektronischer Zahlungen (siehe BaFinJournal September 2019). Die größten Auswirkungen hat dies auf Kartenzahlungen im Internet, da eine solche Authentifizierung dafür in der Vergangenheit unüblich war. Allerdings stellte sich im Laufe des Jahres 2019 heraus, dass europaweit viele Online-Händler ihre Prozesse noch nicht so angepasst hatten, dass der Kunde während des Bezahlvorgangs eine SKA vornehmen kann. Dies verursachte einige Unsicherheiten. Deshalb entschied sich die BaFin – in Abstimmung mit der Europäischen Bankenaufsichtsbehörde EBA und den anderen nationalen Aufsichtsbehörden – eine fehlende SKA bei Kartenzahlungen im Internet bis zum 31. Dezember 2020 aufsichtlich nicht zu beanstanden. Sie beobachtet aber die Marktentwicklung in diesem Zeitraum genau und wird auf eine zügige Umstellung innerhalb dieser Nachfrist hinwirken.

Schwerpunkte 2020

Die Bankenaufsicht der BaFin hat auch für 2020 in Zusammenarbeit mit der Bundesbank ihre Schwerpunkte definiert – abrufbar im Internet. Als Herausforderung noch hinzugetreten ist das Corona-Virus. Hierüber hält die BaFin die Marktteilnehmer stets auf dem Laufenden.