BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht)

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist Deutschlands Finanzaufsichtsbehörde und einer der einflussreichsten Finanzregulierer in der Europäischen Union. Am 1. Mai 2002 gegründet durch die Zusammenlegung dreier Vorgängerbehörden -- dem Bundesaufsichtsamt für das Kreditwesen (BAKred), dem Bundesaufsichtsamt für das Versicherungswesen (BAV) und dem Bundesaufsichtsamt für den Wertpapierhandel (BAWe) -- wurde die BaFin geschaffen, um eine integrierte Aufsicht über alle Finanzsektoren unter einem Dach zu bieten. Mit Sitz in Bonn und Frankfurt am Main beaufsichtigt die BaFin derzeit etwa 2.700 Banken, 800 Finanzdienstleistungsinstitute, 700 Versicherungsunternehmen und über 30 Pensionsfonds.

Die Organisationsstruktur der BaFin basiert auf drei Hauptaufsichtsdirektionen: Bankenaufsicht, Versicherungs- und Pensionsfondsaufsicht sowie Wertpapieraufsicht und Asset Management. Darüber hinaus befassen sich mehrere sektorübergreifende Abteilungen mit Themen wie Geldwäscheprävention, Verbraucherschutz, IT-Aufsicht und Abwicklungsplanung. Die IT-Aufsichtseinheit ist besonders relevant für die DORA-Compliance, da sie die Anforderungen an die digitale operationelle Resilienz aller beaufsichtigten Unternehmen überwacht. Die BaFin-Präsidentin berichtet an das Bundesfinanzministerium, und die Behörde wird vollständig durch Umlagen und Gebühren der beaufsichtigten Institute finanziert.

Einer der bedeutendsten Beiträge der BaFin zur IT-Governance im Finanzwesen war die Entwicklung sektorspezifischer IT-Anforderungen durch ihre Rundschreiben. BAIT (Bankaufsichtliche Anforderungen an die IT) legt detaillierte Erwartungen für Banken hinsichtlich IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projektmanagement, IT-Betrieb und Auslagerung fest. VAIT (Versicherungsaufsichtliche Anforderungen an die IT) stellt analoge Anforderungen für Versicherungsunternehmen, während KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT) Kapitalverwaltungsgesellschaften adressiert.

Mit der Anwendung von DORA seit dem 17. Januar 2025 hat sich die Rolle der BaFin erheblich erweitert. Als designierte zuständige Behörde für deutsche Finanzunternehmen unter DORA empfängt die BaFin alle Meldungen schwerwiegender IKT-Vorfälle deutscher Institute, führt DORA-spezifische aufsichtliche Überprüfungen einschließlich Vor-Ort-Prüfungen durch, bewertet die IKT-Risikomanagement-Frameworks der Unternehmen, prüft das Informationsregister über IKT-Drittdienstleister und koordiniert sich mit den Europäischen Aufsichtsbehörden (ESAs) in grenzüberschreitenden Angelegenheiten.

Das Verhältnis zwischen den bestehenden nationalen Anforderungen der BaFin (BAIT, VAIT, KAIT) und DORA müssen Finanzinstitute sorgfältig navigieren. DORA als EU-Verordnung hat direkte Anwendbarkeit und Vorrang bei Konflikten. Die BaFin hat jedoch signalisiert, dass ihre nationalen Rundschreiben in Bereichen weiterhin gelten, die nicht von DORA abgedeckt werden oder in denen sie zusätzliche Anforderungen über das DORA-Minimum hinaus stellen. In der Praxis haben Institute, die bereits BAIT- oder VAIT-Compliance erreicht haben, eine starke Grundlage für die DORA-Compliance.

Der aufsichtliche Überprüfungsprozess der BaFin beginnt typischerweise mit einer Bewertung eingereichter Dokumentation, einschließlich jährlicher IKT-Risikomanagementberichte, Vorfallsmeldungen und des IKT-Drittanbieterregisters. Die BaFin kann dann Off-Site-Analysen durchführen, um Risikoindikatoren zu identifizieren. Bei Bedarf initiiert die BaFin Vor-Ort-Prüfungen, die angekündigt oder unangekündigt sein können. Während der Prüfungen untersucht die BaFin die praktische Umsetzung von Richtlinien und Verfahren, testet die Wirksamkeit von Kontrollen, führt Interviews mit Schlüsselpersonal und prüft technische Systeme.

Der Sanktionsrahmen der BaFin für DORA-Nicht-Compliance ist erheblich. Die BaFin kann Verwaltungsbußgelder verhängen, Unterlassungsanordnungen erlassen, spezifische Abhilfemaßnahmen innerhalb definierter Fristen verlangen, Durchsetzungsmaßnahmen veröffentlichen, Geschäftsaktivitäten einschränken und in schweren Fällen Betriebsgenehmigungen widerrufen. Obwohl die BaFin historisch einen aufsichtlichen Dialogansatz gegenüber Strafmaßnahmen bevorzugt hat, haben die expliziten Sanktionsbestimmungen in DORA und die zunehmende Schwere von Cyberbedrohungen die regulatorische Haltung zu strengerer Durchsetzung verschoben.

Die BaFin agiert innerhalb eines breiteren europäischen Aufsichtsökosystems und pflegt enge Kooperation mit der Europäischen Zentralbank (EZB) für bedeutende Banken im Einheitlichen Aufsichtsmechanismus (SSM), der Europäischen Bankenaufsichtsbehörde (EBA), der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) und der Europäischen Wertpapier- und Marktaufsichtsbehörde (ESMA). Für DORA spielen die ESAs eine koordinierende Rolle bei der Entwicklung technischer Standards und der Erleichterung des Informationsaustauschs.

Die aktuellen strategischen Schwerpunkte der BaFin erstrecken sich über die traditionelle Finanzaufsicht hinaus in aufkommende Technologiebereiche. Digitale Finanzen, einschließlich Krypto-Assets und dezentralisierte Finanzen (DeFi), sind nach der Implementierung der Markets-in-Crypto-Assets-Verordnung (MiCA) zu einer wichtigen aufsichtlichen Priorität geworden. Die BaFin fokussiert sich zunehmend auch auf den Einsatz von künstlicher Intelligenz und maschinellem Lernen im Finanzwesen.

Für Finanzinstitute, die sich auf BaFin-Aufsichtsbewertungen im Zusammenhang mit DORA vorbereiten, umfasst ein praktischer Ansatz mehrere Schlüsselschritte: Erstens eine gründliche Gap-Analyse zwischen dem aktuellen IKT-Risikomanagement-Framework und sowohl DORA-Anforderungen als auch dem anwendbaren BaFin-Rundschreiben. Zweitens sicherstellen, dass das IKT-Drittanbieterregister vollständig, akkurat und im von den ITS vorgegebenen Format gepflegt wird. Drittens verifizieren, dass die Vorfallsmeldeprozesse die 4-Stunden-Frist einhalten können, auch außerhalb der Geschäftszeiten. Viertens das digitale Resilienztestprogramm einschließlich Umfang, Methodik und Ergebnissen dokumentieren. Fünftens klare Nachweise der Einbindung der Leitungsorgane in IKT-Risikomanagemententscheidungen vorhalten.