Herr Blazek, die BaFin hat angeordnet, dass die Deutsche Sparkassen Leasing GmbH & Co. KG ihre Geschäftsorganisation verbessern muss. Was steckt hinter dieser Maßnahme?
Daniel Blazek:
Die Anordnung der BaFin basiert auf § 25a Absatz 2 Satz 2 KWG und ist das Ergebnis einer Sonderprüfung aus dem Jahr 2024. Dabei wurde festgestellt, dass insbesondere im Bereich der IT – konkret beim Schwachstellenmanagement und dem Identitäts- und Rechtemanagement – erhebliche Defizite bestehen. Das stellt einen Verstoß gegen die bankaufsichtsrechtlichen Anforderungen an eine ordnungsgemäße Geschäftsorganisation dar.
Warum ist die Geschäftsorganisation eines Instituts so zentral für die Finanzaufsicht?
Blazek:
Eine ordnungsgemäße Geschäftsorganisation ist das Rückgrat jeder risikoadäquaten Unternehmensführung im Finanzsektor. Das Kreditwesengesetz verlangt, dass Institute geeignete Maßnahmen zur Einhaltung rechtlicher Vorgaben, zur Risikosteuerung und insbesondere zur IT-Sicherheit treffen. Das gilt nicht nur für Banken, sondern auch für Leasing- und Finanzdienstleistungsinstitute. Die Anforderungen sind konkretisiert in den sogenannten BAIT – den Bankaufsichtlichen Anforderungen an die IT.
Welche konkreten Pflichten ergeben sich daraus für Institute wie die Deutsche Sparkassen Leasing GmbH & Co. KG?
Blazek:
Institute sind verpflichtet, über ein funktionierendes Schwachstellenmanagement zu verfügen – also Sicherheitslücken in ihrer IT-Infrastruktur zeitnah zu erkennen, zu analysieren und zu beheben. Ebenso müssen sie sicherstellen, dass nur berechtigte Personen Zugriff auf Systeme und Daten haben. Fehler oder Nachlässigkeiten in diesen Bereichen können zu Datenschutzverstößen, Angriffen von außen oder anderen gravierenden Risiken führen – mit möglicherweise systemischen Auswirkungen.
Die Maßnahme wurde öffentlich gemacht. Ist das üblich?
Blazek:
Ja, das ist gesetzlich vorgesehen. Gemäß § 60b KWG ist die BaFin verpflichtet, bestimmte Maßnahmen öffentlich bekannt zu machen, sobald sie bestandskräftig sind – in diesem Fall seit dem 23. September 2025. Die Veröffentlichung dient der Markttransparenz und hat eine Warn- und Präventivfunktion für andere Marktteilnehmer.
Welche Konsequenzen drohen Instituten, die solche Mängel nicht beheben?
Blazek:
Die BaFin kann bei fortbestehenden Verstößen weitere Maßnahmen ergreifen – bis hin zur Abberufung von Geschäftsleitern, zu Bußgeldern oder im Extremfall zum Entzug der Erlaubnis. In der Praxis ist das Ziel jedoch stets, mit den Instituten gemeinsam Lösungen zu erarbeiten, bevor es zu so drastischen Schritten kommt.
Was sollten andere Finanzdienstleister aus diesem Fall lernen?
Blazek:
Sie sollten ihn als klare Erinnerung verstehen, dass IT-Governance und Risikomanagement keine Nebenschauplätze sind. Schwächen in der IT sind heute aufsichtsrechtlich genauso bedeutsam wie Bilanzierungsfehler oder unzureichende Eigenmittel. Wer hier nicht sauber aufgestellt ist, riskiert regulatorisches Einschreiten und Reputationsschäden.
Herr Blazek, vielen Dank für Ihre Einschätzung.
Kommentar hinterlassen