Source: Bundesanstalt für Finanzdienstleistungsaufsicht
Wenn es eine Konstante bei Entscheidungen gibt, dann ist es die: Unsicherheit. Die Unsicherheit darüber, ob das, was wir heute entscheiden, morgen noch zählt. Mich hat der bewusste Umgang mit Unsicherheit schon immer fasziniert. Und damit die Frage nach den Chancen, aber auch den Risiken, die sich daraus ergeben. Risiken erkennen, einschätzen und eingrenzen. Neuland betreten, vorbereitet sein und handlungsfähig bleiben.
Als beaufsichtigter Banker gehörte das in den vergangenen Jahrzehnten zu meinem Tagesgeschäft. Ich habe die BaFin, die Bundesbank und die EZB schon einige Jahre „live erlebt“.
Sie wissen aus eigener Erfahrung, wovon ich rede. Das ist auch Ihr Alltag im Risikomanagement.
Heute bin ich als Leiter der Bankenaufsicht auf der anderen Seite. Und letztlich mache ich wieder Risikomanagement. Nur eben nicht mehr für ein Institut, sondern für alle zusammen und somit für das ganze System.
Ich bin also bei Ihrer Fachtagung für Risikomanagement genau am richtigen Ort. Über Ihre Einladung, Frau Schriever, habe ich mich sehr gefreut!
Meine Damen und Herren,
zum Kerngeschäft von Banken und Sparkassen gehört es, in einigen Bereichen Risiken kalkuliert einzugehen, um daraus Erträge zu erwirtschaften. In anderen gilt es, Risiken ganz klar zu minimieren – das ist manchmal noch schwieriger, aber darauf komme ich noch zurück. Das Kreditwesengesetz – Paragraph 25 a – fordert es klar und deutlich auch von den Sparkassen: ein angemessenes und wirksames Risikomanagement.
Und das ist auch gut so. Denn nahezu jede Entscheidung im Bankgeschäft ist mit Risiken verbunden. Egal ob bei der Kreditvergabe, bei der Steuerung von Liquidität, der Art und Weise, wie Sie Firewalls aufsetzen oder wie Sie Ihre Auslagerungsrisiken systematisch kategorisieren. Wer seine Risiken nicht kennt, trifft Entscheidungen im Blindflug!
Ich bin davon überzeugt: Mit einem guten Risikomanagement machen Sie, machen wir, den entscheidenden Unterschied. Für die Institute, für die Stabilität des Finanzsystems und für das Vertrauen in die Finanzmärkte.
Was ist nun unsere Aufgabe bei der Bankenaufsicht?
Wir setzen uns für ein widerstandsfähiges und integres Finanzsystem ein, dem Unternehmen und Menschen vertrauen können. Darüber hinaus entwickeln wir die Regulierung und Aufsicht weiter. Wir wollen sie den Zeiten anpassen und aktuell halten. Wir wollen sie proportionaler, risikoorientierter und einfacher machen.
Unser Finanzsystem in Deutschland ist – im europäischen Vergleich – vor allem durch eine Vielzahl kleiner und mittelgroßer Banken geprägt. Rein zahlenmäßig sind rund zwei Drittel der Banken der SSM-Länder in Deutschland. Die Dinge sind also in Deutschland ziemlich anders als in den meisten anderen Ländern der Eurozone. Diese zahlreichen kleineren Institute, darunter auch die Sparkassen, sind wichtige Partner für den international angesehenen deutschen Mittelstand. Mit ihrer regionalen Struktur sind sie nah dran an ihren Kundinnen und Kunden. Sie vergeben Kredite für Investitionen und prüfen, ob Geschäftsmodelle auch morgen noch tragfähig sind.
Im vergangenen Jahr haben allein die Sparkassen Kreditzusagen mit einem Volumen von 143 Milliarden Euro gemacht. Das ist ein ordentliches Plus gegenüber dem Vorjahr.
Mit fast 500 Unternehmen, davon 348 Sparkassen, fast 15.000 Geschäftsstellen, rund 290.000 Beschäftigte und mit einem Geschäftsvolumen von 3.420 Milliarden Euro – ist die Sparkassen-Finanzgruppe einer der größten Finanzdienstleister in Europa.
Sie macht mehr als ein Viertel der Institute aus, die wir in Deutschland bei der BaFin beaufsichtigen; und erstaunliche 17 Prozent aller Institute in der Eurozone. Die Sparkassen sind wichtig für unser Finanzsystem. Und damit selbstverständlich auch wichtig für uns bei der BaFin.
Meine Damen und Herren,
empirisch gesehen, können wir klar sagen, dass die Komplexität der Regulierung in den vergangenen Jahren stark gewachsen ist. Sie wissen, wovon ich rede. Ein Blick auf die europäischen Vorgaben reicht: von der CRR über die CRD bis hin zu zahlreichen technischen Regulierungsstandards und EBA-Leitlinien. In Gesprächen höre ich es oft auch ganz direkt. Einige von Ihnen sagen mir, dass sie viel zu viel Zeit damit verbringen, regulatorische Anforderungen zu erfüllen. Zeit, die Sie vom „echten“ Risikomanagement abhält. Uns bei der Aufsicht ist klar, dass bei kleinen Instituten ganz erheblich Kapazität für die Erfüllung regulatorischer Anforderungen gebunden ist. Sie haben im Verhältnis zu ihrer Größe höhere regulatorische Kosten als global aufgestellte Banken.
Was hier immer noch fehlt, ist Verhältnismäßigkeit!
Wir wollen dazu beitragen, das zu ändern!
Wir arbeiten schon seit längerem an einer einfacheren, proportionaleren und risikoorientierteren Regulierung und Aufsicht. Das haben wir dieses Jahr auch in unseren zehn strategischen Zielen festgehalten. Und zwar als eigenes strategisches Ziel. Das bildet einen Schwerpunkt unserer Arbeit in den nächsten Jahren. Das Ziel lautet: Wir setzen uns für Komplexitätsreduktion sowie Proportionalität ein und agieren risikoorientierter. Wir machen das auf nationaler, aber auch auf europäischer und globaler Ebene. Und zwar aktiv!
Wir bringen uns mit unserer Erfahrung in Gremien ein. Wir machen dem Gesetzgeber Vorschläge, um Bürokratie abzubauen. Wichtig dabei ist uns: Eine proportionale und einfachere Regulierung ist keine laxe Regulierung. Sie bleibt risikoorientiert. Wir wollen vereinfachen. Das machen wir aber nicht zu Lasten unserer Ansprüche an Sicherheit und Stabilität.
Wie setzen wir uns nun für mehr Proportionalität und weniger Komplexität ein?
Ich gebe Ihnen drei Beispiele, wie wir das tun. Das erste ist das Kleinbankenregime.
Sie haben wahrscheinlich die Diskussion in den vergangenen Wochen dazu verfolgt. Lassen Sie mich unsere Position heute noch einmal zusammenfassen.
Wir sind der Meinung: Eine komplexe EU-Regulierung darf kleine Institute nicht in die Knie zwingen.
Deshalb haben wir gemeinsam mit der Deutschen Bundesbank einen Vorschlag für ein Kleinbankenregime gemacht. Für eine proportionalere Regulierung und Aufsicht. Und zwar EU-weit.
Unser Ansatz zielt darauf ab, die komplexen risikobasierten Kapitalanforderungen durch die einfachere Verschuldungsquote, die Leverage Ratio, zu ersetzen. Entscheidend ist: Als alleinige Kapitalanforderung läge die Leverage Ratio deutlich über dem Basel-III-Mindestwert von drei Prozent. So stellen wir sicher, dass trotz Vereinfachung genügend Kapital vorhanden bleibt, um mögliche Verluste aufzufangen.
Und: Die meisten Liquiditätsanforderungen würden weiterhin gelten.
Unser Ansatz zielt auf kleine Institute. Mit einem regionalen Fokus, einem einfachen Geschäftsmodell und keiner Systemrelevanz. Eine Teilnahme wäre freiwillig. Wir als Aufsicht behielten uns jedoch das letzte Wort vor, wer mitmachen dürfte. Wir schätzen, dass etwa 1.000 Banken grundsätzlich in Frage kämen. Viele von ihnen sind heute schon stärker kapitalisiert, als es die Regulierung verlangt.
Entscheidend ist, dass für kleinen Institute Erleichterungen kommen – und dass das System dabei stabil bleibt.
Offen gesagt, unsere Ideen sind nicht neu. Wenn Sie über die Grenzen der EU hinausschauen, sind solche Kleinbankenregime bereits etabliert. Es gibt sie beispielsweise bereits in der Schweiz, im Vereinigten Königreich und auch in den USA. Aber für die EU – und gerade für Deutschland mit seinem besonderen Bankenmarkt – käme unser Vorschlag einem Befreiungsschlag gleich!
Wie geht es mit unserem Vorschlag jetzt weiter?
Wir haben mit unserem Non-paper einen Diskussionsvorschlag eingebracht. Und für den machen wir uns in den nationalen und europäischen Gremien stark. Uns ist klar, dass wir damit dicke Bretter bohren müssen. Denn ein Kleinbankenregime macht Anpassungen in der europäischen Eigenmittelverordnung CRR erforderlich, also der Capital Requirements Regulation.
Unsere Anstrengung allein reicht also nicht. Es braucht die Unterstützung der EU-Kommission und damit der anderen Länder – und natürlich auch der Institutionen wie der EZB und der EBA.
Positiv ist: Wir hören aus Brüssel, dass der Vorschlag dort Aufmerksamkeit erzeugt hat. Anscheinend haben wir einen Nerv getroffen – in der inzwischen sehr breiten Diskussion über Bürokratieabbau und Wettbewerbsfähigkeit. Zur Wahrheit gehört aber auch: In keinem anderen Land in Europa gibt es so viele kleine und mittelgroße Banken wie in Deutschland. Viele europäische Länder sehen daher bislang eher wenig Anlass, hier besonders viel zu ändern. Deshalb bleiben wir dran. Denn: wir haben in Deutschland den größten Bankenmarkt in Europa. Und damit auch ein Gewicht und eine starke Stimme.
Meine Damen und Herren,
ich kann wirklich nicht sagen, ob das Kleinbankenregime am Ende kommt. Aber eines kann man meiner Ansicht nach schon jetzt erkennen: Wir haben mitgeholfen, die Diskussion voranzubringen.
Lassen Sie uns nun auf zwei Beispiele blicken, bei denen wir konkret an einer proportionalen und risikoorientierten Aufsicht arbeiten. Und zwar im Rahmen der bisherigen Regulierung.
Wir sind gerade mittendrin, die MaRisk, also die Mindestanforderungen an das Risikomanagement, zu überarbeiten. Unser Leitgedanke dabei ist: Wir wollen die Komplexität rausnehmen und die Proportionalität stärken.
Für weniger Komplexität nehmen wir beispielsweise Dopplungen raus. Dopplungen, die durch die teilweise Übernahme von EBA-Leitlinien in der MaRisk entstanden sind. Außerdem vermeiden wir eine übermäßige Detailtiefe. Wir wollen die Anforderungen weniger granular formulieren und stärker in Form von Prinzipien. Wir verzichten auch auf Vorgaben, die selbstverständlich und in der Praxis ohnehin gelebter Standard sind.
Mit unserer Aufsichtsmitteilung vom November 2024 haben wir bereits zahlreiche Öffnungsklauseln mit Erleichterungen für kleine Institute eingefügt. Die behalten wir bei. Diese Öffnungsklauseln sollen den Aufwand abfedern, den Sie bei der Umsetzung der detaillierten Anforderungen in den EBA-Leitlinien haben. Sie ermöglichen kleinen und mittleren Instituten Freiräume.
Wann können Sie nun mit der neunten Novelle der MaRisk rechnen?
Wir planen, sie nach der Konsultation im kommenden Frühjahr bis Mitte des Jahres zu veröffentlichen.
Ein weiteres Beispiel aus unserer Verwaltungspraxis: Der LSI-Stresstest. Den vereinfachen wir. Die BaFin und die Deutsche Bundesbank sind dazu bereits im Austausch mit der Kreditwirtschaft. In der Aufsichtsmitteilung vom November haben wir dazu bereits Erleichterungen für kleine Institute aufgeführt. Zum Beispiel die Möglichkeit, auf inverse Stresstests zu verzichten, eine rollierende Aktualisierung nur einmal pro Quartal und die Nutzung von Standardszenarien der Verbunddienstleister – normativ wie ökonomisch. Für sehr kleine Institute haben wir festgelegt, dass sie nur einen risikoarten-übergreifenden Stresstest machen müssen. Auch für wesentliche Risiken ist jeweils nur ein Stresstest nötig.
Meine Damen und Herren,
lassen Sie mich unsere Aktivitäten noch einmal zusammenfassen: das Konzept eines Kleinbankenregimes sowie verschiedene Maßnahmen zur Proportionalität – dazu gehört übrigens auch das Weglassen von Dopplungen im Datenhaushalt über die Abschaffung des Millionen-Kreditwesens. Sie sehen: Wir werden auch künftig viel Energie darin investieren, Vereinfachung und Proportionalität voranzubringen.
Damit hätten Sie dann in Ihren Instituten mehr Ressourcen für Ihr Kerngeschäft und die damit verbundenen Risiken.
Ich werde im Folgenden auf einige dieser Risiken eingehen. Beginnen möchte ich mit der IT– und Cybersicherheit. Wir analysieren laufend die Risiken für die Stabilität des Finanzsystems. Fast alle Umfragen bestätigen es: die Bedrohung durch Cyberrisiken steigt. Fast ein Fünftel aller globalen Cyber-Vorfälle der vergangenen zwanzig Jahre betraf Unternehmen des Finanzsektors. Der Schaden beläuft sich laut Internationalem Währungsfonds (IWF) seit 2004 auf fast 12 Milliarden US-Dollar. Dabei stieg die Zahl der Vorfälle stetig – vor allem die von Cyber-Attacken.
Kriminelle Akteure gehen immer professioneller und schneller vor. Diesem Wettlauf müssen wir uns entschlossen stellen. Wir beschäftigen uns bei der Aufsicht intensiv damit.
Es gibt Risiken, die können wir messen und mit Kapital unterlegen. Mit den Methoden sind wir alle bestens vertraut.
Aber beim Thema Cyber haben wir eine dynamische Situation. Kapitalregeln bringen uns nur begrenzt weiter. „Risk-Return“ Überlegungen wie im Kreditrisiko sind hier kaum seriös anzustellen.
Schwerwiegende Vorfälle können nicht nur für einzelne Institute gravierende Auswirkungen haben, sondern können schnell systemischen Charakter bekommen und enorme volkswirtschaftliche Schäden anrichten.
Alles steht und fällt hier mit einem guten Risikomanagement.
Sie in den Instituten müssen antizipieren, wie und wo Gefahren entstehen können. Seien Sie gründlich! Nehmen Sie diese Risiken nicht auf die leichte Schulter! Und nehmen sie das Thema Auslagerungen ebenfalls wirklich ernst: Durch die hohe Konzentration entstehen hier riskante Abhängigkeiten und Verflechtungen, die zurzeit eher noch zunehmen. Fast alle Sparkassen greifen auf die Dienstleister des Sparkassen-Finanzverbunds zurück und sind stark von ihnen abhängig. Mängel bei den Dienstleistern, bei bereitgestellter IT oder auch bei Risikomodellen schlagen direkt auf alle Sparkassen durch.
Wir erwarten von Ihnen, dass Sie auch diese immer höheren Konzentrationsrisiken einschätzen und managen. Und für den Ernstfall vorbereitet sind. Viele von Ihnen zeigen bereits, wie das geht – mit angepassten Sicherheitskonzepten.
Die BaFin bereitet sich ebenfalls darauf vor. Wir analysieren die Bedrohungslage durch Cybervorfälle für alle Marktteilnehmer fortlaufend. Und wir reagieren darauf. Wir erhalten Meldungen zu IKT-Vorfällen von den deutschen Finanzunternehmen. Aus diesen Informationen erstellen wir ein Cyber-Lagebild des Finanzsektors. Das hilft uns allen, Risiken besser zu verstehen, sie einzuschätzen und gezielt gegenzusteuern.
Wir entwickeln auch die Instrumente weiter, mit denen wir schnell und wirksam auf Cyber-Krisen reagieren können. Auf nationaler Ebene haben wir den German Financial Cybercrisis Roundtable etabliert. Auf europäischer Ebene koordinieren wir uns über das Systemic Cyber Incident Coordination Framework. Im Krisenfall erleichtert es uns die Zusammenarbeit mit anderen europäischen Aufsichtsbehörden. Wir organisieren auch regelmäßig Krisen-Übungen gemeinsam mit der Industrie.
Und seit knapp einem Jahr ist DORA am Start. Auf Grundlage von DORA führen BaFin und Bundesbank seit dem 17. Januar 2025 IT-Prüfungen bei Finanzunternehmen aus sämtlichen Bereichen durch. Außerdem auch bei IT-Mehrmandantendienstleistern. Nach einem Jahr DORA können wir noch keine allgemeingültigen Aussagen treffen. Was wir jedoch schon sagen können, ist, dass es Verbesserungsbedarfe bei den Prüfungen gibt. Häufig bei diesen Themen: bei dem IKT-Risikomanagementrahmen, bei dem Umgang mit IKT-bezogenen Vorfällen und bei Cyberbedrohungen sowie im IKT Business Continuity Management. Unsere Prüfungsaktivitäten in diesem Bereich werden wir in den nächsten Jahren deutlich verstärken.
Meine Damen und Herren,
ich habe Ihnen dargelegt, wie wir die Aufsicht weiterentwickeln – wie wir sie einfacher, proportionaler und risikoorientierter machen wollen. Und wie wir mit der Bedrohung durch Cyberrisiken umgehen. Ich könnte jetzt noch eine Menge über andere wichtige Risiken sprechen, zuvorderst Kreditrisiken in den Unternehmens- und Immobiliensektoren. Das für ein anderes Mal.
Wie ist nun die Situation bei den Sparkassen?
Bei Ihnen – wie auch dem Gesamtmarkt – haben wir in der Aufsicht in den vergangenen Jahren gesehen, dass ein Szenario schnell steigender Zinsen keine Fiktion ist und enorme Effekte auf die Bilanz haben kann.
Unsere Beobachtung zeigt: Den Sparkassen ist es im Durchschnitt gelungen, die Auswirkungen des Zinsanstiegs vergleichsweise moderat zu halten. Aber: Wir alle haben gesehen, wie wichtig es ist, sich auch auf kritischere Szenarien, die in ruhigen Zeiten undenkbar scheinen, vorzubereiten. Bleiben Sie hier stets aufmerksam und modellieren Sie auch scheinbar undenkbare Szenarien!
Auch beim Kreditrisiko sieht es im Durchschnitt – noch – ganz gut aus. Die NPL-Quote ist noch vergleichsweise moderat. Ich wäre allerdings kein guter Aufseher, wenn ich Ihnen nicht mitgeben würde, dass die NPL-Quote bei der aktuellen wirtschaftlichen Lage jederzeit schnell steigen kann.
Darauf sollten Sie vorbereitet sein! Sie sollten in Ihren Kundenportfolien stets im Voraus überlegen, welche Auswirkungen wirtschaftliche Probleme – von Unternehmen oder Personen – haben könnten.
Wir wissen natürlich, dass es auch im Sparkassenlager einzelne Ausnahmen und Ausreißer bei den Sparkassen gab. Fälle, in denen Schwachstellen beim Managen von Kreditrisiken offensichtlich wurden. Fälle, in denen Ihre internen Kontrollen nicht effektiv wirkten.
In den vergangenen Jahren waren außerdem Liquiditätsrisiken bei den Sparkassen kaum ein Sorgentreiber. Das liegt einerseits an der Liquiditätsausgleichfunktion im Verbund, andererseits an der Treue der Privatkundinnen und -kunden. Ihre Einlagen blieben trotz geringer Verzinsung weitgehend stabil. Sie können sich glücklich schätzen, dass es noch so ist. Wir beobachten allerdings auch ein zunehmend geändertes Kundenverhalten – gerade der jüngeren Bank-Kundinnen und Kunden. Und wir rechnen damit, dass das noch sehr stark zunehmen wird. Sich vor diesem Hintergrund mit Ihrem Kundenangebot und Ihren Geschäftsmodellen im Hinblick auf die Zukunftsfähigkeit zu beschäftigen, ist essenziell – nicht zuletzt im Sinne eines längerfristigen Risikomanagements. Wir beobachten, dass Sie und der DSGV dies auch schon verstärkt tun.
Einen kleinen Exkurs aus aktuellem Anlass kann ich Ihnen nicht ersparen: Und zwar zu Ihrem Umgang mit der Datenerhebung zu Wohnimmobilienfinanzierungen, kurz WIFSta.
Sie ermöglicht es der Aufsicht seit drei Jahren, Gefahren für die Finanzstabilität zu analysieren und zu überwachen. Gefahren, die aus der Kreditvergabe in diesem Bereich resultieren können.
Es liegt auf der Hand, dass wir dafür auf akkurate Daten angewiesen sind. Leider mussten wir bei erheblich vielen Instituten – auch bei sehr vielen Sparkassen – feststellen, dass sie die WIFSta-Richtlinien der Bundesbank seit drei Jahren nicht korrekt umgesetzt haben. In einem Gespräch mit allen Verbandsspitzen haben wir hier kürzlich deutlich gemacht, dass dies nicht akzeptabel ist und schnell geändert werden muss.
Wir hoffen, dass Sie hier schnell nachlegen. Ansonsten stehen kreditvergabe-begrenzende Maßnahmen im Raum.
Meine Damen und Herren,
wir bei der BaFin wollen die Aufsicht weiterentwickeln. Wir wollen Vereinfachung und Proportionalität. Diese beiden Pfeiler sind Ausdruck einer risikoorientierten Regulierung und Aufsicht.
Ich bin davon überzeugt, dass eine einfache, klare, weniger komplexe Regulierung letztlich wirksamer ist. Unbestritten ist: Wir werden das nicht über Nacht erreichen!
Und lassen Sie mich einen wichtigen Aspekt zum Schluss noch erwähnen: Vereinfachung heißt auch, dass wir künftig stärker als bisher prinzipienorientiert beaufsichtigen werden.
Eine prinzipienbasierte Aufsicht bedeutet letztlich weniger detaillierte Gesetze und Verordnungen. Das bedeutet weniger Checklisten. Für Sie im Risikomanagement, für die Sparkassenprüfer und für die Wirtschaftsprüfer. Das wird für uns alle in den nächsten Jahren eine große Umstellung im Denken und Handeln erfordern. Mehr Beschäftigung mit echten Risiken. Weniger Beschäftigung mit der Erfüllung von ungeliebten Anforderungen. Es wird nicht mehr alles bis ins kleinste Detail geregelt sein. Umso wichtiger ist es, dass Sie durch gute Governance und eine vorsichtige und angemessene Risikopolitik das von uns entgegengebrachte Vertrauen untermauern.
Wir zählen dabei auf Sie!
Gerade den Sparkassen und der Sparkassengruppe ist es gelungen, dass sich Risiken bisher nicht in großem Maße materialisieren. Aber genau hier sehe ich eine Gefahr: Die Annahme, dass man alles im Griff hat, weil in der Vergangenheit alles gut geklappt hat und sich schon nichts ändern wird, ist fahrlässig. Gerade vor dem Hintergrund der großen geopolitischen Umwälzungen, die auch Deutschland stark betreffen werden.
Begehen Sie nicht diesen Fehler! Bleiben Sie aufmerksam!
Seien Sie als Risikomanager unvoreingenommen und bringen Sie Ihre Fachkompetenz ein!
Trauen Sie sich, Probleme zu benennen!
Sagen Sie auch mal nein, wenn es nötig ist!
Und handeln Sie mit Weitsicht!
Denn Ihre Weitsicht und Ihr Umgang mit Unsicherheiten – also Ihr Risikomanagement – entscheiden letztlich über den Erfolg Ihrer Institute und der gesamten Sparkassen-Finanzgruppe.