Die Delegierte Verordnung (EU) 2021/923, die am 14.6.2021 in Kraft getreten ist, enthält überarbeitete technische Regulierungsstandards zur Identifizierung von Mitarbeitern, deren berufliche Tätigkeit sich wesentlich auf das Risikoprofil eines Institutes auswirkt.
Bereits Ende des Jahres 2020 hatte der deutsche Gesetzgeber § 25a Abs. 5b des Kreditwesengesetzes (KWG) neugefasst, welcher zur Durchführung einer Risk-Taker-Analyse nunmehr qualitative und quantitativ-qualitative Kriterien enthält. Mit der Neufassung hat der deutsche Gesetzgeber die Vorgaben der Europäischen Kommission nach Art. 94 Abs. 2 CRD V umgesetzt, welche zusammen mit der RTS-MRT-2.0 nunmehr den gesetzlichen Rahmen für die Durchführung der Risk-Taker-Analyse bilden.
Systematik des § 25a Abs. 5b KWG
Nach der Neufassung müssen alle CRR-Institute und alle bedeutenden Institute eine Analyse der Risikoträger nach den dort aufgeführten Kriterien durchführen. Ein Institut ist nach § 1 Abs. 3c KWG insbesondere dann bedeutend, wenn seine Bilanzsumme im Durchschnitt zu den jeweiligen Stichtagen der letzten vier abgeschlossenen Geschäftsjahre 15 Mrd. EUR überschritten hat. Das KWG enthält insbesondere qualitative Kriterien, anhand derer Mitarbeiter ermittelt werden können, die Auswirkungen auf das Risikoprofil eines Unternehmens haben können. Zunächst wird dabei insbesondere auf die konkrete Stellung der Mitarbeiter eines CRR-Instituts oder bedeutenden Instituts abgestellt. Risikoträger sind demnach:
- nach § 1 Abs. 21 KWG Mitarbeiter, deren berufliche Tätigkeit sich wesentlich auf das Risikoprofil eines Unternehmens auswirkt, insbesondere die Geschäftsleiter sowie Mitglieder des Verwaltungs- und Aufsichtsorgans.
- nach § 25a Abs. 5b Nr. 1 KWG Mitarbeiter der unmittelbar der Geschäftsführung nachgelagerten Führungsebene.
- nach § 25a Abs. 5 Nr. 2 KWG Mitarbeiter, welche über Managementverantwortung für die Kontrollfunktionen oder die wesentlichen Geschäftsbereiche des Instituts verfügen.
Darüber hinaus enthält das KWG in § 25a Abs. 5b Nr. 3 noch quantitativ-qualitative Kriterien, nach denen Mitarbeiter als Risikoträger eingestuft werden können. Das ist der Fall, wenn Mitarbeiter im oder für das vorhergehende Geschäftsjahr einen Anspruch auf eine Vergütung in Höhe von mindestens 500.000 EUR haben, sofern folgende Voraussetzungen zusätzlich erfüllt sind:
- Die Vergütung muss mindestens der durchschnittlichen Vergütung einer Person nach § 1 Abs. 21 KWG oder § 25a Abs. 5b Nr. 1 KWG entsprechen, z.B. der Geschäftsleiter oder Mitglieder des Verwaltungs- oder Aufsichtsorgans
und
- der betroffene Mitarbeiter muss seine berufliche Tätigkeit in einem wesentlichen Geschäftsbereich ausüben, welche sich erheblich auf das Risikoprofil des betreffenden Geschäftsbereichs auswirkt.
Für Unternehmen, die als besonderes Institut eingeordnet werden können, besteht neben den oben genannten Kriterien eine zusätzliche Pflicht zur Ermittlung von Risikoträgern. Sie sind verpflichtet, auf Grundlage einer Risikoanalyse eigenverantwortlich alle weiteren Risikoträger zu ermitteln. In Art. 5 VO (EU) 2021/923 wurde der Personenkreis der Risikoträger dahingehend um die Leiter der Buchhaltung, Geldwäsche, Informationssicherheit und Outsourcingmanagement erweitert.
Managementverantwortung im Sinne der Delegierte Verordnung (EU) 2021/923
In der RTS-MRT 2.0 sind wichtige Begriffsbestimmungen enthalten, durch die auch die qualitativen Kriterien des § 25a Abs. 5b KWG näher konkretisiert werden können. In Art. 1 VO (EU) 2021/923 werden zunächst die Anforderungen an „Managementverantwortung“ näher bestimmt. Managementverantwortung gilt für eine Situation, in der ein Mitarbeiter einen Geschäftsbereich leitet oder in leitender Funktion eine Kontrollaufgabe wahrnimmt. Dabei ist der Mitarbeiter gegenüber dem Leitungsorgan, einem Mitglied des Leitungsorgans oder der Geschäftsleitung unmittelbar rechenschaftspflichtig. Managementverantwortung kann für einen Mitarbeiter auch dann bestehen, wenn eine leitende Funktion wahrgenommen wird, in der beispielsweise rechtliche Angelegenheiten oder Finanzen verwaltet werden. Schließlich kann auch dann Managementverantwortung bestehen, wenn ein Mitarbeiter in einem großen Institut gemäß der Verordnung (EU) Nr. 575/2013 einen untergeordneten Geschäftsbereich leitet oder in leitender Funktion eine untergeordnete Kontrollaufgabe wahrnimmt und dabei z.B. der Geschäftsleitung untersteht. Als großes Institut wird beispielsweise ein Unternehmen eingeordnet, bei welchem es sich um ein G-SRI handelt. Bei Kontrollaufgaben handelt es sich um Aufgaben, die unabhängig von den kontrollierten Geschäftsbereichen wahrgenommen werden und in deren Rahmen eine objektive Bewertung oder eine Überprüfung der Risiken des Instituts vorzunehmen ist. Dazu gehört z.B. das Compliance-Risikomanagement.
Quantitative Kriterien der Delegierten Verordnung (EU) 2021/923 zur Ermittlung von Risikoträgern
Die Verordnung enthält nunmehr in Art. 6 quantitative Kriterien, anhand derer Risikoträger eines Unternehmens ermittelt werden können. Als Kriterium gilt beispielsweise die Gesamtvergütung im vorhergehenden oder für das vorhergehende Geschäftsjahr des Mitarbeiters, wenn dieses 750.000 EUR oder mehr überschreitet. Dieses Kriterium gilt jedoch nicht, wenn das betroffene Institut feststellt, dass die berufliche Tätigkeit des Mitarbeiters keine wesentlichen Auswirkungen auf das Risikoprofil des Unternehmens hat. Voraussetzung dafür ist, dass der Mitarbeiter zusätzlich eine der folgenden Bedingungen erfüllt:
- Der Mitarbeiter übt seine berufliche Tätigkeit ausschließlich in einem Geschäftsbereich aus, bei dem es sich nicht um einen wesentlichen Geschäftsbereich handelt.
- Die berufliche Tätigkeit des Mitarbeiters hat keine erheblichen Auswirkungen auf das Risikoprofil eines wesentlichen Geschäftsbereichs.