Diese werden durch die von der BaFin zu § 25a KWG erlassenen Verlautbarungen Rundschreiben oder Schreiben interpretiert
§ 25a KWG und die Rundschreiben der BaFin:
(1) § 25a KWG Normativer Ausgangspunkt ist § 25a KWG. Der durch die Sechste KWG-Novelle929 eingeführte § 25a KWG schrieb erstmals ausdrücklich gesetzlich bestimmte organisatorische Pflichten der Kreditinstitute fest. Gemäß § 25a Absatz 1 Satz 1 KWG muss ein Kreditinstitut über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. In Satz 3 der Vorschrift heißt es weiter, dass eine ordnungsgemäße Organisation insbesondere ein angemessenes und wirksames Risikomanagement umfasst, das auf der Grundlage von Verfahren zur Ermittlung und Sicherstellung der Risikotragfähigkeit die Festlegung von Strategien enthält. Die im Einzelnen aufgeführten Anforderungen sind unbestimmte Rechtsbegriffe und nicht eindeutig definiert.
Diese werden durch die von der BaFin zu § 25a KWG erlassenen Verlautbarungen, Rundschreiben oder Schreiben interpretiert und konkretisiert.
Allerdings geben diese norminterpretierenden Schreiben, insbesondere die Mindestanforderungen an das Kreditgeschäft der Kreditinstitute (MaK), die Mindestanforderungen an das Betreiben von Handelsgeschäften (MaH), die Mindestanforderungen an die Ausgestaltung der Internen Revision (MaIR) und die Mindestanforderungen an das Risikomanagement (MaRisk) nur die Verwaltungsauffassung hinsichtlich der gesetzlichen Anforderungen wieder und entfalten keine Gesetzeskraft.
Die BaFin dokumentiert mit ihnen aber ihr Verständnis des § 25a KWG und stellt damit zugleich Leitlinien für die Ausübung ihres Ermessens bei der Anwendung des Gesetzes auf die ihrer Aufsicht unterworfenen Institute auf.
(2) Rundschreiben der BaFin
Für die hier in Rede stehende Risikostrategie sind die Rundschreiben MaK und MaRisk der BaFin von Relevanz. Die MaRisk haben im Jahre 2005 die MaK abgelöst (siehe unten).
[a] MaK
Bei der MaK handelt es sich um das Rundschreiben 24/2002 (BA) vom 20.12. der BaFin. In der MaK hat die BaFin die konkreten Anforderungen an die Formulierung und Ausgestaltung der Kreditrisikostrategie wie folgt niedergelegt: „Die Geschäftsleitung hat unter Berücksichtigung der Risikotragfähigkeit des Kreditinstituts auf der Grundlage einer Analyse der geschäftspolitischen Ausgangssituation sowie der Einschätzung der mit dem Kreditgeschäft verbundenen Risiken eine Strategie für das Kreditgeschäft (Kreditrisikostrategie) festzulegen. Darin sind die geplanten Aktivitäten im Kreditgeschäft für einen angemessenen Planungszeitraum zu definieren. Die Verantwortung ist nicht delegierbar. Die Geschäftsleitung muss für die Umsetzung der Kreditrisikostrategie Sorge tragen."
(b) MaRisk
Mit den MaRisk löste die BaFin die geltenden, gesonderten Mindestanforderungen für die einzelnen Geschäftsbereiche damit auch die MaK ab.
Sie wurden von der Sechstes KWG-Änderungsgesetz vom 22.10.1997.
Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 21.
Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 35.
Boos/Fischer/Schulte-Mattler, KWG, § 25a Rn. 35; Romeike, Rechtliche Grundlagen des Risikomanagements, S. 136 137. Der Sachverständige hat dies, wie folgt konkretisiert: (...) die Konkretisierung des Paragrafen 25a durch die von der BaFin veröffentlichen Mindestanforderungen an das Risikomanagement, die sogenannten MaRisk, nicht den Charakter von Rechtsnormen haben und keine rechtliche Bindungswirkung gegenüber den Kreditinstituten entfalten. Anders ausgedrückt sind MaRisk-Verstöße als solche nicht ipso jure Gesetzesverstöße. Der MaRisk-Verstoß erlangt nur dann die Qualität eines Gesetzesverstoßes, wenn die fragliche MaRisk-Vorschrift sich als Konkretisierung des Paragrafen 25a KWG erweist, siehe Ausschussprotokoll vom 05.03.2010, S. 8.
Romeike, Rechtliche Grundlagen des Risikomanagements, S. 136 137.
MaK Tz. 9.
Freshfields-Gutachten, S. 31, Fußnote 40, PUA0257, Bl. 25. BaFin erstmals mit Rundschreiben 18/2005 vom 20.12.2005 veröffentlicht und zuletzt am 14.08.2009 durch das Rundschreiben 15/2009 (BA) geändert. Die MaRisk verlangt die Festlegung der Risikostrategie im Lichte der Risikotragfähigkeit des jeweiligen Instituts (AT 4.2). Hierbei bleibt es dem Institut überlassen, welche Methoden es zur Beurteilung der Risikotragfähigkeit anwendet (AT 4.1. Tz. 4). Die Geschäftsleitung hat eine die gesamte Tätigkeit der Bank umfassende Geschäftsstrategie und eine dazu konsistente Risikostrategie festzulegen (AT 4.2. Tz. 1). Die Geschäftsstrategie und die darauf aufbauende Risikostrategie müssen schriftlich dokumentiert werden. Mindestinhalte der Geschäftsstrategie sind die Definition der geschäftspolitischen Ziele und Absichten, grundsätzliche Maßnahmen zur Zielerreichung und die weitere geplante Entwicklung des Instituts.
Bei der Ausarbeitung der Risikostrategie sind die in der Geschäftsstrategie niederzulegenden Ziele und Planungen der wesentlichen Geschäftsaktivitäten sowie die Risiken wesentlicher Auslagerung von Aktivitäten und Prozessen zu berücksichtigen (AT 4.2. Tz. 2). Die Verantwortung für die Festlegung der Strategie ist nicht delegierbar.
Es bleibt dem Institut überlassen, die Risikostrategie in die Geschäftsstrategie zu integrieren (Erläuterungen zu AT 4.2. Tz. 1). Die Risikostrategie hat unter Berücksichtigung der in der Geschäftsstrategie niedergelegten Planungen die Ziele der Risikosteuerung der wesentlichen Geschäftsaktivitäten zu umfassen (AT 4.2. Tz. 2). Bestandteile der Risikostrategie sollten unter anderem die Steuerungsgrößen für das Risiko, die grundlegenden Verfahren beziehungsweise Ansätze zur Ermittlung der Risikotragfähigkeit und der Risiken, die grundlegenden Risikostrategien, Konzentrations- und Klumpenrisiken, Maßnahmen zur Minderung identifizierter potenzieller Verluste, Verlustobergrenzen, Limitsystem und deren Ableitung aus der Risikotragfähigkeit, Risikoberichterstattung und Eskalationsmechanismen sein.
Die Geschäftsleitung hat die Strategien mindestens jährlich zu überprüfen und gegebenenfalls anzupassen. Die Geschäfts- und Risikostrategie ist dem Aufsichtsorgan des Instituts zur Kenntnis zu geben und mit diesem zu erörtern (AT 4.2.
Tz. 3). Eine reine Kenntnisnahme durch die Aufsichtsorgane ist nicht ausreichend.
bb. Vernehmung der Sachverständigen Krall und Madsen (KPMG)
Die vom Untersuchungsausschuss durchgeführte Anhörung der Sachverständigen Krall und Madsen zum normativen Rahmen der (risiko)strategischen Planung hat hinsichtlich der Dokumentationspflichten im Hinblick auf die Risikostrategie und der Befassung des Aufsichtsrates mit der Risikostrategie zu folgenden Feststellungen geführt:
Zu der Frage, ob es eine konkrete Verpflichtung des Vorstandes und des Aufsichtsrates im Zusammenhang mit der MaRisk gibt, sich mit einer Gesamtstrategie des Risikomanagements zu befassen und wie weit diese Befassung dokumentiert werden muss, führte der Sachverständige Madsen aus: „Es ist so, dass es die Anforderung gibt, sich mit einer Geschäftsstrategie und daraus abgeleiteten Risikostrategie auseinanderzusetzen, und letztendlich muss diese Strategie auch so operationalisierbar sein, dass Leute wie zum Beispiel wir oder die interne Revision oder sonstige dritte Sachverständige, die sich damit auseinandersetzen, aber natürlich auch irgendwie die Fachbereiche, die auf der Basis arbeiten müssen, hinreichend genau verstehen können, was gemeint ist und wie die Strategie gedacht ist. Es ist auch Aufgabe und auch in den MaRisk geregelt. Es ist auch Aufgabe des Aufsichtsrats, sich mit der Strategie der Bank, der Geschäftsstrategie und Risikostrategie auseinanderzusetzen (...)."
Dazu, ob sich aus der fehlenden beziehungsweise nicht substantiierten Dokumentation einer solchen Befassung ein Verstoß gegen die MaRisk ergebe, erklärte der Sachverständige Madsen:
Boos/Fischer/Schulte-Mattler, § 25a Rn. 102.
Boos/Fischer/Schulte-Mattler, § 25a Rn. 104.
Boos/Fischer/Schulte-Mattler, § 25a Rn. 109.
Boos/Fischer/Schulte-Mattler, § 25a Rn. 110.
Ausschussprotokoll vom 13.11.2009, S. 17. „Also, die wesentlichen Dinge, die letztendlich durch die MaRisk geregelt werden sollen, müssen so dokumentiert werden und auch aufbewahrt werden, dass man die zu späteren Zeitpunkten nachvollziehen kann. Wenn es kritische Diskussionen gegeben haben sollte oder Auseinandersetzungen, dann entzieht sich das eben der Nachprüfbarkeit. Es muss aber tatsächlich eben nachprüfbar sein und dafür ist es ja allgemein üblich, dass eben Sitzungen, in denen Vorstandsentscheidungen und Aufsichtsratsentscheidungen und Diskussionen stattfinden, protokolliert werden. So, das ist ein allgemeiner Grundsatz in der Betriebsführung einer Bank. Und zu der Zuständigkeit sind wir sicherlich bei dem Thema Bringschuld oder Holschuld. Ich glaube, wenn man die Aufgabe hat, eben Aufsichtsratstätigkeit zu organisieren oder Vorstandstätigkeit, dann gibt es da die ureigene Verantwortung eines jeweiligen Gremiums, eben dafür zu sorgen, dass die Entscheidungen und die Diskussionen eben dokumentiert werden."
Auf die Frage, ob sich Aufsichtsratsmitglieder bei strategischen Entscheidungen ausschließlich auf Informationen und Voten des Vorstands verlassen dürften oder ob es weitere darüber hinausgehende Verpflichtungen eines Aufsichtsratsmitglieds gebe, erläuterte der Sachverständige Krall: „Also, ich versuche das auch noch mal abzuleiten aus dem Aktiengesetz. Der Aufsichtsrat ist ja verpflichtet, den Vorstand zu überwachen. Und dafür hat sich das ganze Thema ja auch sehr weiterentwickelt in der Deutschen Corporate Governance.
Dazu ist ja immer mehr das Wort der Sachkundigkeit bemüht worden. Also würde ich gerne Ihre Frage so beantworten: Ein Aufsichtsrat, der entweder als Gremium oder zumindest in Ausschüssen die notwendige Sachkunde hat, dem allein könnte es, wenn er diese Sachkunde hat, allein genügen, wenn der Vorstand ihm diese Dinge vorträgt, er diese Dinge für plausibel hält, er, sage ich mal, aus der eigenen Erfahrung damit auch was anfangen kann, was ihm erzählt wird, und aus dieser Diskussion, die sicherlich stattfinden muss, heraus dann sagt: Das habe ich verstanden, das können wir so machen. Natürlich ist dabei immer dieser kleine Vorbehalt: Wenn dann tatsächlich Zweifel bestehen, müsste auch ein Aufsichtsrat entweder vertiefend oder eben ergänzend um Informationen bitten oder die eben auch beschaffen lassen. In aller Regel ist es aber so, dass der Aufsichtsrat dadurch in einem, ja, Normalfall, in einem Regelbetrieb, in einem Vertrauensverhältnis, den Vorstand nutzt. Dass er dann sagt: Also, dann musst du mir noch mehr an Informationen oder Dingen vorlegen. Es kommt schon vor, dass ein Aufsichtsrat sich eines anderen bedient, aber das ist relativ selten."
Der Sachverständige Madsen ergänzte: „Die Begrifflichkeit, die da die MaRisk verwenden, sind ja geregelt in der „AT 4.2 Strategien". Und da, ich zitiere mal: Punkt, Punkt, Punkt „..., sie sind dem Aufsichtsorgan des Kreditinstituts zur Kenntnis zu geben..."
also, der Vorstand hat zur Kenntnis zu geben „...und mit diesem zu erörtern." Also ist sich hier die Begrifflichkeit, die in dieser Regelung hier verwendet wird, der Begriff, die Erörterung."
c. Risikotragfähigkeit
Das Eingehen von Risiken erfolgte in der HSH Nordbank unter Berücksichtigung der Risikotragfähigkeit.
Zur Unterlegung der Risiken wird das Risikodeckungspotenzial (RDP) der Bank ermittelt, womit potenzielle Verluste abgesichert werden.
Das RDP wird aus dem Blickwinkel einer Liquidation berechnet. Die nicht „nachrangigen Kapi941
Ausschussprotokoll vom 13.11.2009, S. 41.
Ausschussprotokoll vom 30.11.2009, S. 15.
Kreditrisikostrategie der HSH Nordbank vom 30.06.2004, S. 17, PUA0502, Bl. 233.
KPMG-Bericht, Bd. 7, S. 13, PUA0050, Bl. 20.
Kreditrisikostrategie der HSH Nordbank vom 30.06.2004, S. 17, PUA0502, Bl. 230.