Eine im Jahr 2024 abgeschlossene Sonderprüfung hatte ergeben, dass das Institut die Vorgaben des Zahlungsdiensteaufsichtsgesetzes an eine ordnungsgemäße Geschäftsorganisation nicht in allen geprüften Bereichen vollumfänglich erfüllte. Betroffen waren etwa die Vorgaben an das Informationsrisikomanagement, Identitäts- und Rechtemanagement, IT-Projektmanagement, die individuelle Datenverarbeitung und das Auslagerungsmanagement, die anhand der Anforderungen des Rundschreibens Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) beurteilt wurden.

Das Institut muss erhöhte Eigenmittelanforderungen einhalten, bis es die organisatorischen Mängel vollständig beseitigt hat.

Der Bescheid der BaFin ist seit dem 13. Januar 2025 bestandskräftig.

Ordnungsgemäße Geschäftsorganisation und Anforderungen an die IT-Prozesse

Eine ordnungsgemäße Geschäftsorganisation soll gewährleisten, dass Zahlungsinstitute die gesetzlichen Bestimmungen einhalten und tun, was betriebswirtschaftlich notwendig ist. Wie dies zu geschehen hat, regelt § 27 Absatz 1 Zahlungsdiensteaufsichtsgesetz (ZAG). Wesentliche Teile der ordnungsgemäßen Geschäftsorganisation sind angemessene Maßnahmen der Unternehmenssteuerung, Kontrollmechanismen und Verfahren, die gewährleisten, dass das Institut seine Verpflichtungen erfüllt.

Ebenfalls muss ein Institut über eine angemessene IT-Ausstattung und IT-Prozesslandschaft verfügen um die Ordnungsmäßigkeit der Geschäfte und die Geschäftsorganisation zu gewährleisten. Die Anforderungen sind abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit und Dienstleistungen des Institutes. Sie sind im Rundschreiben 11/2021 (BA) – Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT) – definiert.

Kommt die BaFin zu dem Schluss, dass die Geschäftsorganisation eines Instituts Mängel aufweist, kann sie tätig werden. Sie kann zum Beispiel verlangen, dass das Institut zusätzlich zu den gesetzlichen Anforderungen weitere Eigenmittel vorhält. Dies hat die BaFin bei der WEAT Electronic Datenservice GmbH getan. Grundlage hierfür ist § 15 Absatz 2 Satz 3 ZAG.

Seit dem 17. Januar 2025 findet die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) Anwendung. Sie führt europaweit harmonisierte Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie ein. Die neuen aufsichtlichen Anforderungen schließen diejenigen aus den ZAIT im Wesentlichen mit ein. Die ZAIT sind daher zeitgleich aufgehoben worden.

Auch die Veröffentlichung solcher Maßnahmen erfolgt nach festen Regeln. Sie finden sich in § 27 Abs. 2 Satz 1 ZAG in Verbindung mit 60b Absatz 1 Kreditwesengesetz.