In der aktuellen Aufsichtspraxis der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat sich ein Paradigmenwechsel vollzogen. Während in der Vergangenheit oft die Existenz von Compliance-Richtlinien ausreichte, steht heute die operative Wirksamkeit (Effectiveness) im Zentrum jeder Sonderprüfung nach § 44 KWG. Für Geschäftsleiter von regulierten Instituten bedeutet dies eine massive Verschärfung des Haftungsrisikos. Das „Organisationsverschulden“ ist nicht mehr nur eine theoretische Gefahr des Zivilrechts, sondern ein unmittelbarer Hebel der Aufsicht, um persönliche Konsequenzen gegen das Management einzuleiten.
Die regulatorische Architektur des Organisationsverschuldens
Das Fundament der Haftung für Geschäftsleiter findet sich zwar in den allgemeinen Sorgfaltspflichten des § 43 GmbHG bzw. § 93 AktG, doch für BaFin-regulierte Unternehmen werden diese durch spezialgesetzliche Normen konkretisiert. Insbesondere § 25a des Kreditwesengesetzes (KWG) sowie die Mindestanforderungen an das Risikomanagement (MaRisk) und die Mindestanforderungen an die Governance von Versicherungsunternehmen (MaGo) definieren präzise, was unter einer „ordnungsgemäßen Geschäftsorganisation“ zu verstehen ist.
Ein Organisationsverschulden liegt bereits dann vor, wenn die Geschäftsleitung es versäumt hat, angemessene und wirksame Risikokontrollmechanismen zu etablieren. Die Rechtsprechung macht deutlich: Die Verantwortung für die Organisation ist eine nicht delegierbare Gesamtverantwortung. Ein Geschäftsführer kann zwar operative Aufgaben übertragen, niemals jedoch die Verantwortung für die Überwachung und die Sicherstellung der Compliance. Im Jahr 2026, in dem hybride Arbeitsmodelle, komplexe IT-Infrastrukturen und verschärfte ESG-Berichtspflichten den Alltag prägen, stößt ein rein „formales“ Compliance-Management-System (CMS) schnell an seine Grenzen.
Die Eskalationsstufen der BaFin: Von Feststellungen zu Kapitalaufschlägen
Die Folgen eines nachgewiesenen Organisationsmangels sind für Institute gravierend. Die BaFin nutzt heute ein breites Instrumentarium, das weit über einfache Rügen hinausgeht:
- Kapitalaufschläge (SREP): Mängel in der Organisation führen regelmäßig zu höheren Eigenmittelanforderungen, was die wirtschaftliche Handlungsfähigkeit des Instituts direkt einschränkt.
- Abberufung von Geschäftsleitern: Bei schwerwiegenden oder wiederholten Mängeln in der Governance stellt die Aufsicht die persönliche Eignung („Fit & Proper“) infrage.
- Geldbußen und Gewinnabschöpfung: Die persönlichen Haftungsrisiken für das Management steigen, da Regressansprüche der Gesellschaft gegen die Geschäftsführung bei Organisationsfehlern kaum noch abwendbar sind.
AT 9 MaRisk: Das Outsourcing-Dilemma als Haftungsfalle
Ein besonders kritischer Bereich für das Organisationsverschulden ist das Auslagerungsmanagement gemäß AT 9 der MaRisk. Viele Institute nutzen Outsourcing, um spezialisiertes Know-how einzukaufen oder Kosten zu senken. Doch die Aufsicht hat die Zügel angezogen: Eine Auslagerung darf niemals zu einer „Aushöhlung“ der Verantwortlichkeit führen.
Ein Geschäftsführer handelt bereits dann schuldhaft, wenn er bei der Auswahl eines Dienstleisters nicht die erforderliche Sorgfalt walten lässt oder wenn das laufende Monitoring der Auslagerung lückenhaft ist. Hier entsteht eine paradoxe Situation: Die Auslagerung soll entlasten, erhöht aber zunächst die Anforderungen an die Steuerungskompetenz. In diesem Spannungsfeld bietet die Einbindung professioneller, modularer Systeme einen Ausweg. Eine fundierte Haftungsvermeidung durch Compliance lässt sich heute nur noch durch den Einsatz von Experten realisieren, die die Sprache der Aufsicht sprechen und die notwendigen Kontrollberichte (z.B. nach ISAE 3402) rechtssicher liefern können.
Die Dokumentation als Beweislast-Umkehr
In einem Haftungsprozess oder einer BaFin-Prüfung findet faktisch eine Umkehr der Argumentationslast statt. Nicht die Aufsicht muss beweisen, dass der Geschäftsführer ungenau gearbeitet hat, sondern die Geschäftsleitung muss nachweisen können, dass sie alle zumutbaren Maßnahmen zur Vermeidung von Verstößen getroffen hat.
Diese Exkulpationsmöglichkeit steht und fällt mit der Dokumentation. Ein modernes Compliance-System für regulierte Unternehmen muss 2026 folgende Fragen auf Knopfdruck beantworten können:
- Wurden die Risikoanalysen (z.B. Geldwäsche, IT-Risiken, Compliance) unter Berücksichtigung der neuesten RTS/ITS-Standards der EBA oder ESMA aktualisiert?
- Sind die Kontrollhandlungen im Bereich der Drittparteienrisiken (Third-Party Risk Management) lückenlos dokumentiert?
- Wurde die Wirksamkeit der eingerichteten Prozesse durch eine unabhängige Stelle (Interne Revision oder externe Prüfung) bestätigt?
Fehlen diese Nachweise, wird das Organisationsverschulden unwiderlegbar vermutet. Der Einsatz externer Compliance-Packages, die speziell für die „Audit Readiness“ in regulierten Umfeldern entwickelt wurden, wirkt hier als regulatorisches Schutzschild.
Strategische Resilienz durch Professionalisierung
Die Professionalisierung der Compliance-Funktion ist somit kein Kostenfaktor, sondern eine Investition in die persönliche Sicherheit des Managements und die Beständigkeit des Instituts. Ein wirksames CMS muss skalierbar sein. Gerade für kleinere und mittlere Finanzinstitute, die unter demselben regulatorischen Druck stehen wie Großbanken, ist das Outsourcing von Compliance-Teilbereichen oft der einzige Weg, um die fachliche Tiefe (z.B. im Bereich Krypto-Regulierung oder DORA) sicherzustellen.
Wer hier auf standardisierte, erprobte Lösungen setzt, minimiert das Auswahlverschulden. Durch die Nutzung externer Expertise dokumentiert die Geschäftsführung proaktiv gegenüber der BaFin, dass sie sich nicht auf internem Halbwissen ausruht, sondern den „Goldstandard“ der Marktüblichkeit anstrebt.
Compliance als Kernaufgabe der Geschäftsführung
Das Jahr 2026 markiert einen Wendepunkt in der regulatorischen Überwachung. Die BaFin wird ihre Prüfungsintensität weiter steigern, insbesondere im Hinblick auf operative Resilienz und Governance. Das Organisationsverschulden ist das schärfste Schwert der Aufsicht. Geschäftsleiter regulierter Unternehmen sind daher gut beraten, ihre bestehenden Strukturen kritisch zu hinterfragen: Sind die Prozesse wirklich prüfungsfest? Ist die Überwachung der Auslagerungen lückenlos dokumentiert?
Die Haftungsvermeidung beginnt dort, wo Komplexität durch Struktur ersetzt wird. Externe Compliance-Packages bieten hierfür die notwendige Sicherheit, um im Fokus der Aufsicht bestehen zu können und die persönliche Haftung effektiv auszuschließen.
