Eine im Jahr 2024 abgeschlossene IT-Sonderprüfung hatte ergeben, dass die Bank die geltenden aufsichtlichen Vorgaben nicht erfüllte. In den geprüften Bereichen war die Ordnungsmäßigkeit der Geschäftsorganisation nur eingeschränkt gegeben. Zudem erfüllte das Institut die aufsichtlichen Anforderungen an die Auslagerung wesentlicher Tätigkeiten nur unzureichend. Es verstieß damit gegen die Vorgaben des Kreditwesengesetzes (KWG). Neben dem Ergebnis der Sonderprüfung hat die BaFin mehrere Großkreditverstöße des Instituts zum Anlass genommen, die Anordnung zur Sicherstellung der ordnungsgemäßen Geschäftsorganisation zu erlassen.

Ordnungsgemäße Geschäftsorganisation und Anforderungen an die IT

Eine ordnungsgemäße Geschäftsorganisation soll gewährleisten, dass Kreditinstitute die gesetzlichen Bestimmungen einhalten und tun, was betriebswirtschaftlich notwendig ist. Wie dies zu geschehen hat, regelt § 25a Absatz 1 KWG. Ebenfalls muss ein Kreditinstitut Anforderungen an das Management der IT-Ressourcen und das IT-Risikomanagement erfüllen, um die Ordnungsmäßigkeit der Geschäftsorganisation zu gewährleisten. Die Anforderungen sind im Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT (BAIT) – definiert. Das Rundschreiben präzisiert ferner die Anforderungen an die Auslagerung von Aktivitäten und Prozessen (§ 25b KWG).

Kommt die BaFin zu dem Schluss, dass die Geschäftsorganisation eines Instituts Mängel aufweist, kann sie tätig werden. Grundlage hierfür ist § 25a Absatz 2 Satz 2 KWG. Die BaFin kann zum Beispiel anordnen, dass das betroffene Institut die Mängel beseitigt. Dies hat sie bei der State Bank of India (Indische Staatsbank) Zweigniederlassung Frankfurt am Main, getan.

Seit dem 17. Januar 2025 findet die Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, DORA) Anwendung. Sie führt europaweit harmonisierte Regeln für das Management von Risiken der Informations- und Kommunikationstechnologie ein. Die neuen aufsichtlichen Anforderungen schließen diejenigen aus den BAIT im Wesentlichen mit ein. Die BAIT werden deshalb schrittweise zum 31. Dezember 2026 aufgehoben

Großkredite

Das Großkreditregime dient dazu, Konzentrationsrisiken gegenüber einzelnen Kreditnehmern oder Gruppen von Kreditnehmern, die als ein einheitliches Risko zu betrachten sind, zu begrenzen. Als Großkredit gilt ein Kredit, der 10 Prozent des Kernkapitals des Instituts überschreitet. Kein Großkredit darf grundsätzlich mehr als 25 Prozent des Kernkapitals des Instituts übersteigen. Institute müssen ihre Großkredite regelmäßig überwachen. Für die Vergabe eines Großkredites ist ein Beschluss sämtlicher Geschäftsleiter erforderlich.

Die Maßnahme ist seit dem 4. August 2025 bestandskräftig.

 Auch die Veröffentlichung solcher Maßnahmen erfolgt nach festen Regeln. Sie finden sich in § 60b Absatz 1 KWG.