Die BaFin hat mit der Konsultation 02/2026 den Entwurf zur 9. Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) vorgelegt. Es ist die umfassendste Überarbeitung seit Jahren – und sie betrifft vor allem diejenigen Institute, die in der regulatorischen Debatte oft zu kurz kommen: die weniger bedeutenden Institute (Less Significant Institutions, LSIs). Gutmark, Radtke & Company hat im Rahmen des Konsultationsverfahrens eine ausführliche Stellungnahme eingereicht. In diesem Beitrag fassen wir die zentralen Neuerungen zusammen und ordnen ein, wo aus Sicht der Praxis Nachbesserungsbedarf besteht.
Der Grundansatz der 9. Novelle verdient Anerkennung: Die BaFin schärft den prinzipienbasierten Charakter der MaRisk, konkretisiert die Proportionalitätsanforderungen und integriert acht EBA-Leitlinien direkt in den MaRisk-Text. Damit entsteht eine einheitliche Anwendungsgrundlage für national beaufsichtigte Institute. Die neue Institutsklassifizierung gemäß AT 1 Tz. 3 unterscheidet erstmals zwischen kleinen Instituten (SNCI gemäß Art. 4 Abs. 1 Nr. 145 CRR) und sehr kleinen Instituten (Bilanzsumme bis 1 Mrd. Euro). Letztere können Erleichterungen auch ohne SNCI-Status nutzen – ein sachgerechter Schritt.
Doch in der Praxis werfen diese Neuerungen Fragen auf. Was passiert, wenn ein Institut durch Portfolioabbau unter die Bilanzsummengrenze fällt? Ab wann greifen die Erleichterungen der niedrigeren Kategorie? Wir empfehlen Übergangsfristen von mindestens 12 Monaten bei Kategorieänderungen in beide Richtungen und eine Klarstellung, welche Bilanzsummengröße (HGB-Einzelabschluss oder konsolidiert) maßgeblich ist. Auch bei Spezialinstituten wie Bürgschaftsbanken, Förderbanken oder Bausparkassen, deren Bilanzsummen durch exogene Faktoren schwanken, wäre eine flexiblere Zuordnungslogik wünschenswert.
Die inhaltlich bedeutendste Neuerung ist das neue MaRisk-Modul AT 4.3.4 zur Verwendung von Modellen. Erstmals erfasst die MaRisk explizit auch KI-Systeme und automatisierte Verfahren – von Kreditrisikomodellen über Risikoklassifizierungsverfahren bis hin zu Stresstestmodellen und Bewertungsmodellen.
Für die Praxis sehen wir hier erheblichen Konkretisierungsbedarf. Bei Verbund- und Konzernmodellen, die extern entwickelt und zentral validiert werden, fordert der Entwurf zu Recht eine institutsindividuelle Angemessenheitsprüfung. Aber welchen Mindestinhalt muss diese Prüfung haben? Wir schlagen vor, klar zu differenzieren: Bei Modellen ohne lokale Parametrisierung sollte die Prüfung mindestens die Repräsentativität der Trainingsdaten, die Trennschärfe für das eigene Portfolio und die Modellgrenzen im institutsspezifischen Kontext umfassen. Bei lokaler Parametrisierung ist eine vollständige modellmethodische Überprüfung erforderlich.
Besonders relevant ist die Frage des Validierungszyklus. Der vorgesehene dreijährige Zyklus mag für statische, regelbasierte Modelle angemessen sein. Für KI- und Machine-Learning-Modelle, deren Performanz durch Datenshift und verändertes Kundenverhalten schnell erodieren kann, empfehlen wir eine risikodifferenzierte Regelung: Bei verhaltensbasierten Scoring-Modellen sollte ein kürzerer Zyklus von höchstens zwei Jahren gelten, bei stabilen parametrischen Modellen kann der Dreijahreszyklus beibehalten werden. Für die Gesamtumsetzung der AT-4.3.4-Anforderungen halten wir eine Übergangsfrist von mindestens 18 Monaten nach Veröffentlichung der Finalfassung für erforderlich.
Im Kreditgeschäft bringt die Novelle mehrere praxisrelevante Änderungen. Die Beibehaltung der Funktionstrennung zwischen Markt und Marktfolge (BTO 1.1 Tz. 1) bleibt als Kernelement der Risikobegrenzung bestehen. Die Erleichterung für sehr kleine Institute im nicht-risikorelevanten Kreditgeschäft ist zu begrüßen, muss aber durch klare Bagatellgrenzen konkretisiert werden.
Neu ist die erstmalige Verankerung einer Betrugsüberwachungspflicht im Kreditvergabeprozess (BTO 1.2 Tz. 1). In der Praxis nutzen gerade LSIs häufig dieselben Systeme und Indikatoren für Betrugsprävention und Geldwäscheprävention. Wir empfehlen daher klarzustellen, dass ein integriertes System, das beide Schutzziele adressiert, den MaRisk-Anforderungen genügt – sofern die unterschiedlichen Prüfungsmaßstäbe jeweils separat erfüllt werden.
Bei der Sicherheitenbewertung begrüßen wir die Ausdehnung der Überprüfungsintervalle auf mindestens zweijährlich für kleinere Institute (BTO 1.2 Tz. 2). Darüber hinaus regen wir an, dass für standardisierte Sicherheitenarten mit geringer Volatilität – etwa wohnwirtschaftliche Immobiliensicherheiten mit laufender Überwachung gemäß BTO 3.2.2 Tz. 2 – ein dreijähriger Überprüfungszyklus vertretbar sein sollte.
Die 9. MaRisk-Novelle schärft auch die Anforderungen an die Compliance-Funktion und die Geldwäscheprävention. Die Klarstellung in AT 4.4.2 Tz. 2, dass ein risikobasierter Ansatz zulässig ist, begrüßen wir nachdrücklich. Allerdings sehen wir aus der täglichen Beratungspraxis ein drängendes Problem: Die MaRisk-Compliance-Funktion und die Pflichten des Geldwäschebeauftragten nach § 7 GwG überschneiden sich erheblich, und der Entwurf sollte das Zusammenspiel beider Funktionen klarer adressieren.
Besonders zukunftsrelevant ist die Vorbereitung auf das EU-AML-Paket. Mit Inkrafttreten der AMLA-Verordnung (EU) 2024/1624 ab dem 10. Juli 2027 werden zentrale Pflichten der Geldwäscheprävention unmittelbar EU-rechtlich geregelt. Die 9. MaRisk-Novelle sollte dies antizipieren, indem Verweise auf GwG-Pflichten technologieneutral und dynamisch formuliert werden. Konkret empfehlen wir, dass sämtliche GwG-Verweisungen in der MaRisk eine Öffnungsklausel enthalten, die auf das jeweils geltende Geldwäscherecht abstellt.
Für sehr kleine Institute ist zudem die Möglichkeit der Funktionsbündelung gemäß AT 4.4.2 Tz. 3 – also die Zusammenfassung von Compliance, Geldwäschebeauftragtem und IKT-Risikokontrollfunktion – essentiell. Hier braucht es klare Kriterien, unter welchen Voraussetzungen eine solche Bündelung zulässig ist, ohne dass Mindestanforderungen an die fachliche Ressourcenausstattung für die Geldwäscheprävention unterschritten werden.
Die explizite Einbeziehung von IKT-Risiken in die Risikoinventur (AT 2.2 Tz. 1) und die Anforderung einer IKT-Strategie als Bindeglied zwischen Geschäftsstrategie und DORA-Strategie sind sachgerecht. Für LSIs ist aber eine klare Abgrenzung der MaRisk-Anforderungen von den DORA-Anforderungen zwingend erforderlich, um Doppelregulierung zu vermeiden. Für sehr kleine Institute sollte die Möglichkeit bestehen, IKT-Risiken als Teilmenge der operationellen Risiken zu behandeln.
Ein konkreter Problembereich betrifft die Auslagerung von AML-Systemen. Für AML-nahe IT-Systeme wie KI-gestütztes Transaktionsmonitoring oder Sanktionslistenscreening als SaaS ist die Klassifizierung als IKT-Auslagerung unter DORA versus sonstige Auslagerung unter MaRisk AT 9 der entscheidende Weichenstellungspunkt. Hier fehlt eine Auslegungshilfe mit konkreten Beispielen.
Die Anforderung an ESG-Resilienzanalysen über einen Zeithorizont von mindestens 10 Jahren trifft alle LSIs – auch sehr kleine Institute. Für Institute mit reinen Inlandskreditportfolios stellt ein methodisch fundierter 10-Jahres-Horizont jedoch eine erhebliche Herausforderung dar. Wir empfehlen eine proportionale Abstufung: Für sehr kleine Institute sollte ein quantitativer Horizont von 5 Jahren mit einer anschließenden qualitativen Einschätzung für den Zeitraum 5 bis 10 Jahre als angemessen gelten können.
Positiv hervorzuheben ist die Integration von ESG als Risikotreiber in AT 2.2 Tz. 3 und AT 4.3.2. Für die Kreditwürdigkeitsprüfung kleinerer Institute wäre allerdings eine Konkretisierung hilfreich, welche ESG-Risikotreiber bei typischen LSI-Portfolios als wesentlich gelten.
Die 9. MaRisk-Novelle ist ein wichtiger Schritt zur Modernisierung des deutschen Aufsichtsrahmens. Die Integration der EBA-Leitlinien, die stärkere Proportionalität und das neue Modell-Modul sind richtige Maßnahmen, die bei sorgfältiger Umsetzung die Regulierungsqualität erhöhen können, ohne das Risikosteuerungsniveau abzusenken.
Aus unserer Sicht sind drei Punkte besonders dringend: Erstens muss der Validierungszyklus für KI- und ML-Modelle risikodifferenziert verkürzt werden, verbunden mit realistischen Übergangsfristen. Zweitens braucht es dynamische Verweise auf das Geldwäscherecht, um die MaRisk zukunftssicher für das EU-AML-Paket zu machen. Drittens muss die Prüfungspraxis vorhersehbar bleiben: Der prinzipienbasierte Ansatz kann nur funktionieren, wenn Institute ex ante wissen, welche Begründungstiefe erwartet wird.
Gutmark, Radtke & Company unterstützt Finanzinstitute bei der Umsetzung der neuen MaRisk-Anforderungen – von der GAP-Analyse über die Anpassung interner Prozesse und Modelle bis hin zur Vorbereitung auf aufsichtliche Prüfungen. Sprechen Sie uns an.