WpHG-Compliance automatisieren: Anforderungen des Wertpapierhandelsgesetzes 2026

Einleitung

Das Wertpapierhandelsgesetz (WpHG) bildet seit 1994 das regulatorische Fundament für den deutschen Kapitalmarkt. Mit der Umsetzung der europäischen Marktmissbrauchsverordnung (MAR, Verordnung (EU) Nr. 596/2014) wurden die Anforderungen nochmals verschärft und um europäische Dimensionen erweitert. Für Wertpapierdienstleistungsunternehmen, Emittenten und deren Compliance-Abteilungen bedeutet dies einen wachsenden Dokumentations- und Nachweisaufwand.

Die BaFin überwacht die Einhaltung der WpHG-Vorschriften mit zunehmender Intensität. Allein im Jahr 2025 wurden laut BaFin-Jahresbericht 847 Prüfungen im Bereich Wertpapieraufsicht durchgeführt -- ein Anstieg von 15 Prozent gegenüber dem Vorjahr. Die Sanktionen für Verstöße gegen das WpHG reichen von Bußgeldern bis zu 5 Millionen EUR für natürliche Personen (§ 120 Abs. 18 WpHG) bis hin zu strafrechtlichen Konsequenzen bei vorsätzlichem Insiderhandel (§ 119 WpHG).

Dieser Beitrag analysiert die zentralen WpHG-Anforderungen, erläutert die Pflichten der Compliance-Organisation und zeigt, wie Matproof bei der systematischen Erfüllung und Dokumentation dieser Pflichten unterstützt.

Was ist das WpHG?

Das Wertpapierhandelsgesetz regelt den Handel mit Wertpapieren in Deutschland und dient primär dem Anlegerschutz, der Marktintegrität und der Markttransparenz. Es bildet den nationalen Rechtsrahmen, der die europäischen Vorgaben -- insbesondere die Marktmissbrauchsverordnung (MAR), die MiFID II (Richtlinie 2014/65/EU) und die MiFIR (Verordnung (EU) Nr. 600/2014) -- in deutsches Recht überführt.

Die Struktur des WpHG gliedert sich in mehrere Abschnitte, die unterschiedliche Aspekte des Wertpapierhandels adressieren. Abschnitt 3 (§§ 63-96 WpHG) enthält die Verhaltensregeln für Wertpapierdienstleistungsunternehmen, Abschnitt 4 (§§ 97-101 WpHG) regelt die Haftung bei fehlerhafter Kapitalmarktinformation, und Abschnitt 6 (§§ 111-123 WpHG) definiert die Bußgeldvorschriften.

Für die Praxis besonders relevant sind die Pflichten, die sich aus dem Zusammenspiel von WpHG und MAR ergeben. Während die MAR als unmittelbar geltende EU-Verordnung die materiellen Verbote und Pflichten definiert -- etwa das Verbot des Insiderhandels (Art. 14 MAR) und die Ad-hoc-Publizitätspflicht (Art. 17 MAR) --, regelt das WpHG die organisatorischen Anforderungen und das Aufsichtsregime in Deutschland.

Die BaFin als zuständige Aufsichtsbehörde verfügt nach §§ 6-11 WpHG über weitreichende Befugnisse, einschließlich des Rechts auf Auskunftsverlangen, Durchsuchungen und die Anordnung von Maßnahmen zur Beseitigung von Missständen. Diese Befugnisse werden regelmäßig genutzt, was eine lückenlose Compliance-Dokumentation unabdingbar macht.

Die wichtigsten Anforderungen

Insiderhandel-Prävention

Die Prävention von Insiderhandel stellt eine der zentralen Compliance-Pflichten dar. Art. 14 MAR i.V.m. § 119 WpHG verbietet den Erwerb oder die Veräußerung von Finanzinstrumenten unter Nutzung von Insiderinformationen. Für Wertpapierdienstleistungsunternehmen ergeben sich daraus mehrere organisatorische Pflichten.

Insiderlisten nach Art. 18 MAR: Emittenten und in ihrem Auftrag handelnde Personen sind verpflichtet, Insiderlisten zu führen. Diese müssen den Namen der Person, den Grund für die Aufnahme, das Datum und die Uhrzeit des Zugangs zur Insiderinformation sowie das Datum der Aktualisierung enthalten. Die Aufbewahrungsfrist beträgt mindestens fünf Jahre nach Erstellung oder letzter Aktualisierung (Art. 18 Abs. 5 MAR).

Eigengeschäfte von Führungskräften (Art. 19 MAR): Führungskräfte und eng verbundene Personen müssen Eigengeschäfte mit Finanzinstrumenten des Emittenten innerhalb von drei Geschäftstagen melden. Die Meldung erfolgt sowohl an den Emittenten als auch an die BaFin. Bei Erreichen eines Schwellenwerts von 20.000 EUR innerhalb eines Kalenderjahres besteht zudem eine Veröffentlichungspflicht.

Handelsverbote (Art. 19 Abs. 11 MAR): Während sogenannter Closed Periods -- 30 Kalendertage vor Veröffentlichung eines Zwischen- oder Jahresfinanzberichts -- dürfen Führungskräfte keine Eigengeschäfte tätigen.

Ad-hoc-Publizität

Art. 17 MAR verpflichtet Emittenten, Insiderinformationen unverzüglich zu veröffentlichen. Diese Pflicht dient der Herstellung von Markttransparenz und ist mit erheblichen Haftungsrisiken verbunden. § 97 WpHG normiert die Schadensersatzpflicht bei unterlassener oder verspäteter Veröffentlichung.

Die Entscheidung, ob eine Information als Insiderinformation einzustufen ist, erfordert eine sorgfältige Prüfung anhand der Kriterien des Art. 7 MAR: Die Information muss präzise, nicht öffentlich bekannt und geeignet sein, den Kurs des Finanzinstruments erheblich zu beeinflussen. Diese Prüfung muss dokumentiert werden, unabhängig davon, ob die Information letztlich veröffentlicht wird oder ein Aufschub nach Art. 17 Abs. 4 MAR in Anspruch genommen wird.

Compliance-Organisation

§ 80 WpHG i.V.m. Art. 22 der Delegierten Verordnung (EU) 2017/565 verpflichtet Wertpapierdienstleistungsunternehmen zur Einrichtung einer dauerhaften und wirksamen Compliance-Funktion. Diese muss unabhängig agieren können und über ausreichende Befugnisse, Ressourcen und Sachkenntnis verfügen.

Die Compliance-Funktion hat nach § 80 Abs. 1 S. 3 WpHG insbesondere folgende Aufgaben: Überwachung der Einhaltung der Vorschriften, Beratung der Geschäftsleitung, Schulung der Mitarbeiter und Berichterstattung an die Geschäftsleitung. Der jährliche Compliance-Bericht an die Geschäftsleitung muss eine Bewertung der Angemessenheit und Wirksamkeit der Compliance-Maßnahmen enthalten.

BaFin-Meldepflichten

Das WpHG sieht eine Vielzahl von Meldepflichten gegenüber der BaFin vor. Dazu zählen Stimmrechtsmitteilungen nach §§ 33-47 WpHG, die Meldung von Verdachtsfällen nach Art. 16 MAR und die Anzeige wesentlicher organisatorischer Änderungen. Die Einhaltung dieser Meldepflichten erfordert funktionierende interne Prozesse und eine lückenlose Dokumentation.

Zusammenspiel mit anderen Rahmenwerken

Das WpHG steht nicht isoliert, sondern ist eng mit anderen regulatorischen Anforderungen verwoben. Die MaRisk-Anforderungen an die Compliance-Funktion (AT 4.4.2) ergänzen die WpHG-Pflichten um risikomanagementbezogene Aspekte. Das Geldwäschegesetz (GwG) fordert von Wertpapierdienstleistungsunternehmen zusätzliche Sorgfaltspflichten bei Transaktionen, die auf Marktmissbrauch oder Geldwäsche hindeuten können.

Mit DORA kommen ab 2025 weitere Pflichten hinzu. Die IKT-Sicherheit der Systeme, die für die WpHG-Compliance genutzt werden -- etwa für die Führung von Insiderlisten oder die Überwachung von Eigengeschäften --, muss den Anforderungen der DORA Art. 5-15 genügen. Ebenso müssen Unternehmen sicherstellen, dass Cloud-Dienste, die für Compliance-Zwecke eingesetzt werden, den Anforderungen an IKT-Drittdienstleister nach DORA Art. 28-30 entsprechen.

Das KWG ergänzt die WpHG-Anforderungen um organisatorische Pflichten nach § 25a KWG, insbesondere in Bezug auf die ordnungsgemäße Geschäftsorganisation und angemessene Risikosteuerung. Die BaFin prüft die Einhaltung dieser Anforderungen häufig in integrierten Prüfungen, die sowohl WpHG- als auch KWG-Aspekte umfassen.

Compliance-Automatisierung mit Matproof

Die WpHG-Compliance erfordert eine Vielzahl wiederkehrender Dokumentations- und Überwachungspflichten, die sich für eine Automatisierung eignen. Matproof unterstützt Wertpapierdienstleistungsunternehmen dabei an mehreren Stellen.

Pflichten-Register: Matproof bildet die WpHG-Anforderungen in einem strukturierten Register ab und ordnet jeder Pflicht die erforderlichen Nachweise, Verantwortlichkeiten und Fristen zu. Dies umfasst die Dokumentation von Insiderlisten, Meldepflichten und Compliance-Berichten.

Automatisierte Nachweissammlung: Für technische Controls -- etwa die Zugriffskontrollen auf Insiderlisten, die Protokollierung von Systemzugriffen oder die Verschlüsselung von Compliance-Daten -- sammelt Matproof Nachweise automatisiert aus den angebundenen IT-Systemen. Dies reduziert den manuellen Aufwand und stellt sicher, dass Nachweise lückenlos und aktuell vorliegen.

Cross-Framework-Zuordnung: Nachweise, die für die WpHG-Compliance gesammelt werden, werden automatisch den entsprechenden Anforderungen in MaRisk, DORA und KWG zugeordnet. Ein Nachweis für die Zugriffssteuerung auf Compliance-Systeme kann beispielsweise gleichzeitig für WpHG § 80, MaRisk AT 7.2 und DORA Art. 9 verwendet werden.

BaFin-Prüfungsvorbereitung: Matproof generiert strukturierte Nachweispakete, die auf die typischen Prüfungsschwerpunkte der BaFin im Bereich Wertpapieraufsicht abgestimmt sind. Dies verkürzt die Prüfungsdauer und reduziert den Aufwand für die beteiligten Fachabteilungen.

EU-Datenresidenz: Sämtliche Compliance-Daten -- einschließlich sensibler Informationen wie Insiderlisten -- werden ausschließlich in deutschen Rechenzentren verarbeitet und gespeichert. Dies stellt die Einhaltung der DSGVO und etwaiger nationaler Anforderungen an die Datenverarbeitung sicher.

Umsetzungsfahrplan

Schritt 1 -- Bestandsaufnahme (2-4 Wochen): Erfassen Sie alle WpHG-relevanten Prozesse, Systeme und Verantwortlichkeiten. Identifizieren Sie die aktuell genutzten Werkzeuge für Insiderlisten, Meldewesen und Compliance-Dokumentation. Bewerten Sie den Automatisierungsgrad bestehender Prozesse.

Schritt 2 -- Pflichten-Mapping (2-3 Wochen): Ordnen Sie jeder WpHG-Pflicht konkrete Nachweise, Verantwortliche und Fristen zu. Berücksichtigen Sie dabei die Überschneidungen mit MAR, MaRisk und DORA. Erstellen Sie einen Compliance-Kalender mit allen wiederkehrenden Pflichten.

Schritt 3 -- Systemanbindung (3-4 Wochen): Verbinden Sie Ihre Compliance-relevanten IT-Systeme mit Matproof. Richten Sie die automatisierte Nachweissammlung ein und validieren Sie die Zuordnung zu den WpHG-Anforderungen.

Schritt 4 -- Pilotphase (4-6 Wochen): Betreiben Sie die automatisierte Nachweissammlung parallel zu Ihren bestehenden manuellen Prozessen. Validieren Sie die Vollständigkeit und Richtigkeit der automatisiert gesammelten Nachweise.

Schritt 5 -- Produktivbetrieb und kontinuierliche Verbesserung: Überführen Sie die Automatisierung in den Regelbetrieb. Nutzen Sie die Dashboards und Berichte von Matproof für die laufende Überwachung und die jährliche Compliance-Berichterstattung.

Häufig gestellte Fragen

Welche Unternehmen fallen unter das WpHG?
Das WpHG richtet sich primär an Wertpapierdienstleistungsunternehmen im Sinne des § 2 Abs. 10 WpHG -- also Kreditinstitute und Finanzdienstleistungsinstitute, die Wertpapierdienstleistungen erbringen. Darüber hinaus gelten bestimmte Pflichten (insbesondere aus der MAR) für alle Emittenten, deren Finanzinstrumente an einem organisierten Markt oder einem multilateralen Handelssystem gehandelt werden.

Wie hoch sind die Bußgelder bei WpHG-Verstößen?
Die Bußgelder variieren je nach Art des Verstoßes erheblich. Für Verstöße gegen das Verbot des Insiderhandels drohen natürlichen Personen Bußgelder bis zu 5 Millionen EUR, juristischen Personen bis zu 15 Millionen EUR oder 15 Prozent des Gesamtumsatzes (§ 120 Abs. 18 WpHG). Bei vorsätzlichem Insiderhandel sind strafrechtliche Sanktionen nach § 119 WpHG möglich, einschließlich Freiheitsstrafen bis zu fünf Jahren.

Kann die WpHG-Compliance vollständig automatisiert werden?
Eine vollständige Automatisierung ist nicht möglich und auch nicht sinnvoll. Entscheidungen wie die Einstufung einer Information als Insiderinformation oder die Beurteilung, ob ein Aufschub der Ad-hoc-Veröffentlichung gerechtfertigt ist, erfordern menschliche Expertise und Urteilskraft. Die Automatisierung sollte sich auf die Nachweissammlung, Dokumentation und Überwachung konzentrieren -- Bereiche, in denen Matproof den Aufwand um bis zu 65 Prozent reduzieren kann.

Welche Schnittstellen bietet Matproof für die WpHG-Compliance?
Matproof bietet Integrationen mit gängigen Compliance-Management-Systemen, Handelsüberwachungssystemen und IT-Infrastrukturkomponenten. Die Anbindung erfolgt über standardisierte APIs und kann an die spezifischen Anforderungen des jeweiligen Unternehmens angepasst werden. Alle Integrationen sind DSGVO-konform und nutzen ausschließlich EU-basierte Datenverarbeitung.