Konsultation der 9. MaRisk-Novelle: Die Neuerungen für die Compliance

Für weniger bedeutende Institute sieht der Entwurf Erleichterungen vor.

veröffentlicht am 20.05.2026 | Lesezeit: ca. 5 Minuten
Stefanie Feldhoff
Stefanie Feldhoff
Kathrin Hellmich
Kathrin Hellmich

Keyfacts:

  • Die 9. Novelle der MaRisk präzisiert Anforderungen an die Compliance-Funktion und strafft bestehende Vorgaben.
  • Für Institute unter direkter Aufsicht der EZB sind die MaRisk künftig nachrangig. Entscheidend für diese bedeutenden Institute ist der europäische Governance-Rahmen.
  • Für weniger bedeutende Institute bleiben die MaRisk der zentrale Maßstab und bringen an einigen Stellen sogar spürbare Erleichterungen.

Die Mindestanforderungen an das Risikomanagement (MaRisk) begleiten Finanzinstitute in Deutschland seit vielen Jahren – die Geschichte der MaRisk reicht bis in das Jahr 2005 zurück. Die jeweiligen Vorgaben der BaFin haben weitreichende Auswirkungen auf die Risikosteuerung und die Ausgestaltung der Compliance-Funktion.
Mit der vorliegenden Konsultationsfassung zur 9. Novelle der MaRisk zeichnen sich abermals wesentliche Neuerungen für die Branche ab, darunter auch Erleichterungen für weniger bedeutende Institute (Less Significant Institutions, LSIs). Wir zeigen auf, was sich für Banken und andere Finanzdienstleister konkret ändert.

Die 9. Novelle bringt Klarstellungen zur Verantwortung der Leitungsorgane

Die erste Botschaft aus der Konsultationsfassung der 9. Novelle der MaRisk lautet: Weniger bedeutende Institute (LSIs), kleine und nicht-komplexe Institute (Non Complex Institutions, SNCIs) sowie sehr kleine Institute werden weiter durch die BaFin beaufsichtigt. Die MaRisk bleiben der verbindliche regulatorische Rahmen für sie und die Geschäftsleitung für ihre Einhaltung in der Pflicht.

Zwar wird die ausdrückliche Nennung der Verantwortung der Geschäftsleiter für die Einhaltung rechtlicher Regelungen im Allgemeinen Teil (AT 4.4.2) gestrichen. Das ist aber lediglich eine formale Anpassung. Die Gesamtverantwortung der Geschäftsleitung für eine ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung bleibt an anderer Stelle in der MaRisk unverändert verankert.
Entsprechendes gilt für die Berichterstattung der Compliance Funktion an das Aufsichtsorgan: Sie ist weiter vorgesehen, wurde jedoch in einen neu eingefügten Abschnitt zur Verantwortung des Aufsichtsorgans und seiner Ausschüsse (AT 3.2.) verlagert.

Neue Möglichkeit zur Anbindung der Compliance-Funktion an andere Kontrolleinheiten

Eine wesentliche Erleichterung betrifft die organisatorische Zuordnung der Compliance-Funktion. Während nach der geltenden MaRisk-Fassung bislang lediglich eine Anbindung an andere Kontrolleinheiten vorgesehen ist, eröffnet die Konsultationsfassung ausdrücklich die Möglichkeit, die Compliance-Funktion an andere geeignete Funktionen anzubinden.

Erstmals werden in diesem Kontext konkret die IKT-Risikocontrolling-Funktion sowie der Datenschutzbeauftragte genannt. Eine erweiterte Kombinationsmöglichkeit mit anderen Einheiten wurde bereits in den aufsichtlichen Mitteilungen der BaFin vom November 2024 dargestellt.

Die Konsultationsfassung konkretisiert zudem, dass nur bei sehr kleinen Instituten mit einer Bilanzsumme von bis zu einer Milliarde Euro die Funktion des Compliance-Beauftragten von einem Geschäftsleiter wahrgenommen werden kann. Das dürfte für einzelne Institute ein konkretes Handlungs- und Anpassungserfordernis nach sich ziehen.

Denn die bisherige Regelung knüpft primär an die Art, den Umfang, die Komplexität und den Risikogehalt der Geschäftsaktivitäten sowie die Größe des Instituts an – und nicht ausschließlich an eine feste Bilanzsumme. Außerdem muss sichergestellt sein, dass Maßnahmen zur Vermeidung von Interessenkonflikten umgesetzt sind.

Konsultationsfassung sieht engere Abstimmung von Compliance und Risikocontrolling vor

Der aufsichtsrechtliche Fokus richtet sich stärker darauf, wie Compliance‑Risiken identifiziert, eingeordnet und in die Gesamt‑Risikosteuerung eingebunden werden. Maßgeblich ist weiterhin, dass die Compliance‑Funktion rechtliche Risiken mit potenziell wesentlichen Auswirkungen risikoorientiert identifiziert, priorisiert und nachvollziehbar bewertet. Sie soll sich dabei aber künftig eng mit der Risikocontrolling‑Funktion abstimmen.

Erwartet wird somit keine isolierte Betrachtung rechtlicher Risiken, sondern ein konsistenter Informations‑ und Austauschprozess, der sicherstellt, dass Compliance‑Risiken im Kontext des Geschäftsmodells und des institutsspezifischen Risikoprofils berücksichtigt werden. Das begründet keine neuen formalen Nachweispflichten. Aber es erhöht die Erwartung an die inhaltliche Verzahnung von Compliance und Risikocontrolling.

In der Berichterstattung der Compliance-Funktion rücken identifizierte Defizite sowie die daraus abgeleiteten Maßnahmen stärker in den Fokus. Eine explizite Darstellung der Angemessenheit und Wirksamkeit je wesentlicher rechtlicher Regelung ist demgegenüber nicht mehr erforderlich.

Mögliche Handlungsfelder für weniger bedeutende Institute umfassen:

  • Anpassung der organisatorischen Anbindung der Compliance‑Funktion: Institute sollten gegebenenfalls prüfen, ob eine Anbindung an geeignete Funktionen (zum Beispiel das IKT‑Risikocontrolling oder den Datenschutz) Synergien ermöglicht, sachgerechter ist und zur Effizienz sowie besseren Verzahnung beiträgt.
  • Klärung der Rolle des Compliance‑Beauftragten bei sehr kleinen Instituten: Gegebenenfalls ist die Anbindung der Compliance‑Funktion an einen Geschäftsleiter sinnvoll, sofern die Bilanzsumme weniger als eine Milliarde Euro beträgt und Interessenkonflikte ausreichend vermieden werden. Bei Überschreiten des Schwellenwerts kann eine organisatorische Neuzuordnung erforderlich sein, sofern die Funktion des Compliance-Beauftragten aktuell durch einen Geschäftsleiter ausgeübt wird.
  • Stärkere Verzahnung von Compliance und Risikocontrolling: Prüfen und gegebenenfalls Etablieren eines konsistenten Abstimmungs‑ und Austauschprozesses zur Integration von Compliance‑Risiken in die Gesamt‑Risikosteuerung und das institutsspezifische Risikoprofil
  • Prüfung und Weiterentwicklung der Compliance‑Berichterstattung: Gegebenenfalls stärkere Ausrichtung der mindestens jährlichen oder anlassbezogenen Berichterstattung auf identifizierte Defizite, wesentliche Risiken sowie konkrete Maßnahmen

Bedeutende Institute fallen aus dem Anwendungsbereich heraus

Für bedeutende Institute (Significant Institutions, SIs) markiert die Konsultationsfassung der 9. MaRisk‑Novelle keinen operativen Umbruch, wohl aber einen klaren Wechsel des aufsichtsrechtlichen Bezugsrahmens. Mit der Herausnahme von SIs aus dem MaRisk‑Anwendungsbereich wird deutlich, dass die Bewertung der Compliance‑Funktion künftig in erster Linie am europäischen Maßstab ausgerichtet ist, geprägt durch die Aufsichtspraxis der EZB und die in Konsultation befindlichen EBA-Leitlinien zur internen Governance.

Da die EBA‑Leitlinien zur internen Governance von bedeutenden Instituten bereits heute anzuwenden sind, sollten die entsprechenden Anforderungen grundsätzlich bereits implementiert sein. Gleichwohl empfiehlt es sich, die bestehenden Governance‑ und Compliance‑Strukturen anhand der aktuellen Erwartungen noch einmal zu überprüfen und gegebenenfalls anzupassen, nicht zuletzt vor dem Hintergrund der Konsultationsfassung von August 2025.

Mögliche Handlungsfelder für bedeutende Institute umfassen:

  • Stärkung der strategischen Rolle der Compliance‑Funktion: Sicherstellen, dass rechtliche Risiken aus Non‑Compliance‑Ereignissen explizit in der Risikostrategie, in wesentlichen Managemententscheidungen und im Governance‑Rahmen berücksichtigt werden
  • Gegebenenfalls Weiterentwicklung der erforderlichen Compliance-Maßnahmen: Erweiterung der Beratungsaktivitäten an die Geschäftsleitung um die Analyse von Auswirkungen regulatorischer Änderungen auf das Geschäftsmodell
  • Intensivierung der Zusammenarbeit mit dem Risikomanagement: Sicherstellen, dass Compliance‑Feststellungen systematisch in Entscheidungsprozesse des Risikomanagements einfließen und nicht isoliert betrachtet werden
  • Überprüfung der Berichtswege an die Geschäftsleitung und das Aufsichtsorgan: Bewertung, ob Umfang, Tiefe und Frequenz der Compliance‑Berichte den Erwartungen der EZB entsprechen und strategisch relevante Informationen adressieren

MaRisk bleibt für weniger bedeutende Institute maßgeblich – für bedeutende Institute verschiebt sich der Fokus nach Europa

Für LSIs bleibt die MaRisk das vertraute und maßgebliche Regelwerk – es wird nur in Teilen flexibler und stärker auf das tatsächliche Risikoprofil ausgerichtet. Entscheidend ist die wirksame Einbindung von Compliance‑Risiken in die Gesamtsteuerung des Instituts.

Für SIs verschiebt sich der Fokus endgültig nach Europa: Maßstab für Aufsicht, Prüfung und Dialog ist der europäische Governance‑Rahmen. Die MaRisk können aber weiter als eine interne Strukturhilfe dienen.

Grundsätzlich lässt sich schlussfolgern: Die Aufsicht wird verstärkt darauf achten, wie gut die Compliance-Funktion zum Institut passt und wirkt und in den Governance- und Risikomanagerment-Strukturen eingebettet ist. Zudem rücken die Beschäftigung mit neuen Normen und die Einbindung insbesondere in den Themenfeldern Nachhaltigkeit, künstliche Intelligenz, Digitalisierung und Geldwäscheprävention in den Mittelpunkt.

Wie die 9. MaRisk-Novelle die Auslagerung zum Teil neu gestaltet, beschreiben wir hier.

Das könnte Sie auch interessieren

Cloud und Cyber Security

Weniger Details, mehr Freiheit: Auslagerungen nach der neuen MaRisk-Novelle

19.05.2026 | ca. 6 Minuten Lesezeit

BaFin zieht klare Grenze zu DORA und erwartet neue Einordnung und Steuerungshebel

Daniel Wagenknecht
Daniel Wagenknecht
Olaf Rösener
Olaf Rösener
Caroline Sieveritz
Caroline Sieveritz
Mann mit Tablet und Stift, Symbolbild für Mit der 8. MaRisk-Novelle kommen Neuerungen zu CSRBB und IRRBB
Finance und Risk

Mit der 8. MaRisk-Novelle kommen Neuerungen zu CSRBB und IRRBB

11.06.2024 | ca. 5 Minuten Lesezeit

Die Umsetzung von Credit-Spread - und Zinsänderungsrisiken im Fokus der deutschen Aufsicht

Tim Breitenstein
Tim Breitenstein
David Gramke
David Gramke
Student notiert etwas auf Papier, Viele Querverweise, enges Zeitfenster: Das bringt die 7. Novelle der MaRisk
Finance und Risk

Viele Querverweise, enges Zeitfenster: Das bringt die 7. Novelle der MaRisk

14.07.2023 | ca. 3 Minuten Lesezeit

Die Anforderungen an das Risikomanagement sind für alle Banken eine Pflichtlektüre.

Thilo Kasprowicz
Thilo Kasprowicz
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.