Insights &
Kurzanalysen

Die ZAG-MaRisk verlangt mehr als Dokumentation und Policies. Viele Zahlungsdienstleister unterschätzen die eigentliche Aufsichtserwartung: Wer entscheidet über Risiko — und ist diese Verantwortung eindeutig geregelt? Limitsteuerung ist ein Managementprozess, kein Reportingprozess. Eine funktionierende Governance braucht klare Rollen über alle drei Linien, einen definierten Eskalationspfad und prüfbereite Dokumentation ohne Bürokratie. Der Grundsatz „Kein Geschäft ohne Limit" ist keine Formalität — er macht Risiken sichtbar, bevor sie zum Problem werden.

Die CCD2 verändert den Regulierungsblick grundlegend: Nicht mehr nur der Kreditvertrag steht im Fokus, sondern der gesamte Entscheidungsprozess — von Datennutzung und Scoring-Logik bis zum Kundendialog. Das trifft nicht nur Banken, sondern alle, die Kreditfunktionen in ihre Geschäftsmodelle integriert haben: BNPL-Anbieter, Händler, Plattformen, Zahlungsdienstleister. CCD2 macht Nicht-Banken nicht zu Banken — aber es verlangt proportionale Governance. Die entscheidende Frage ist organisatorisch, nicht technisch: Wer verantwortet die Kreditentscheidung?

Teil 2 ordnet ein, wen die CCD2 konkret trifft und was ein funktionierendes Steuerungsmodell braucht. Entscheidend ist die Rolle im Prozess, nicht die Branche. Das regulatorische Zielbild fordert klare Ownership, versionierte Scoring-Logiken, dokumentierte Änderungsprozesse und definiertes Monitoring — kein Bankframework, aber Struktur. Kreditvergabe wird zur Chefsache: Die Anforderungen greifen an jedem Touchpoint — von Werbung über vorvertragliche Informationspflichten bis zum Checkout und zur laufenden Kundenkommunikation.

Während viele Diskussionen über CCD2 bei Governance verweilen, zeigt sich die Regulierung in der Praxis zuerst operativ: im Kreditprozess selbst. Der Checkout wird zum regulatorischen Kernprozess — mit verpflichtender Kreditwürdigkeitsprüfung auch bei Kleinstbeträgen, vorvertraglichen Informationspflichten, Widerrufsrechten und transparenter Kostendarstellung. Besonders folgenreich: Algorithmische Entscheidungen müssen erklärbar sein. Kunden haben das Recht auf eine nachvollziehbare Begründung — die Black Box ist regulatorisch nicht mehr haltbar.

Mit BRUBEG werden ESG-Risiken durch neue §§ 26c und 26d KWG verbindlich verankert — nicht als neue Einzelrisiken, sondern als querschnittliche Risikotreiber, die Kredit-, Markt-, Liquiditäts- und operationelle Risiken beeinflussen. Für Vorstände bedeutet das: ESG-Risiken sind integraler Bestandteil der Geschäfts- und Risikostrategie, keine isolierten Sonderthemen. Nichtstun ist keine Option — die BaFin wird ESG-Risiken im SREP systematisch bewerten und kann bei unzureichendem Management konkrete Maßnahmen anordnen.

Auf den rechtlichen Rahmen folgt die Frage der Umsetzung. Teil 2 liefert einen phasenorientierten Fahrplan für SNCIs: Phase 0 schafft Klarheit über Verantwortlichkeiten und Ambitionsniveau, Phase 1 setzt Mindestanforderungen um und erstellt den ersten ESG-Risikoplan, Phase 2 vertieft die Integration in ICAAP/ILAAP und Steuerungsprozesse, Phase 3 bereitet das Ende der Übergangsregelung ab 2030 vor. Der Schlüssel liegt nicht in Komplexität, sondern in der Verankerung: Der ESG-Risikoplan muss in reguläre Steuerungsprozesse eingebunden sein.

Proportionalität ist kein regulatorischer Rabatt — sie ist eine Begründungspflicht. Die Wahl vereinfachter Ansätze muss bewusst, risikoorientiert und von der Geschäftsleitung getragen sein: nicht pauschal, nicht delegiert. Was Prüfer tatsächlich bewerten, ist nicht Modellkomplexität, sondern Konsistenz und Verantwortungsübernahme — wurde das Ambitionsniveau bewusst festgelegt, ist die Wesentlichkeitsanalyse dokumentiert, fließt die Methodik in reale Steuerungsentscheidungen ein? Der Unterschied zwischen schwacher und starker Argumentation liegt nicht im Ergebnis, sondern in der Herleitung.

Der ESG-Risikoplan ist kein Pflichtdokument, das abgehakt wird — er zeigt, ob Governance mehr ist als ein Konzept. Wer ihn mit Formallogik erstellt, erzeugt Compliance ohne Steuerungswirkung. Wer ihn mit Steuerungslogik aufbaut, verankert ihn in Vorstandsentscheidungen, ICAAP und Strategie — und schafft damit die Grundlage für echte Managementwirksamkeit. Die entscheidende Frage ist nicht, ob der Plan formal vollständig ist, sondern ob er tatsächlich in Kapitalplanung, Limitierung und Portfolioentscheidungen einfließt.