Deutscher Markt2026-02-099 min Lesezeit

KWG-Anforderungen für Banken: Wie das Kreditwesengesetz die Compliance prägt

Auch verfügbar auf:EnglishFrançaisEspañolNederlandsItaliano

Inhaltsverzeichnis

  1. 01Einleitung
  2. 02Was ist das KWG?
  3. 03Die wichtigsten Anforderungen
  4. 04Zusammenspiel mit MaRisk und DORA
  5. 05Compliance-Automatisierung mit Matproof
  6. 06Umsetzungsfahrplan
  7. 07Häufig gestellte Fragen

KWG-Anforderungen für Banken: Wie das Kreditwesengesetz die Compliance prägt

Einleitung

Das Kreditwesengesetz (KWG) ist das zentrale Aufsichtsgesetz für das deutsche Bankwesen. Seit seiner Einführung 1961 reguliert es die Geschäftstätigkeit von Kreditinstituten und Finanzdienstleistungsinstituten in Deutschland. Mit über 60 Änderungsgesetzen wurde das KWG fortlaufend an die Entwicklungen der Finanzmärkte und die europäischen Vorgaben angepasst -- zuletzt durch die Umsetzung der CRD VI (Richtlinie zur Eigenkapitalrichtlinie) und die Integration der DORA-Anforderungen.

Für Banken in Deutschland ist die KWG-Compliance keine abstrakte Anforderung, sondern eine operative Daueraufgabe. Die BaFin als zuständige Aufsichtsbehörde führt regelmäßig Prüfungen nach § 44 KWG durch und verfügt über weitreichende Eingriffsbefugnisse bis hin zum Entzug der Erlaubnis nach § 35 KWG. Die Anforderungen erstrecken sich von Eigenkapitalvorschriften über organisatorische Pflichten bis hin zu umfangreichen Melde- und Anzeigepflichten.

In diesem Beitrag analysieren wir die zentralen KWG-Anforderungen, ihr Zusammenspiel mit MaRisk und DORA und die Möglichkeiten, den Compliance-Aufwand durch Automatisierung mit Matproof zu reduzieren.

Was ist das KWG?

Das Kreditwesengesetz bildet den rechtlichen Rahmen für die Beaufsichtigung von Kreditinstituten und Finanzdienstleistungsinstituten in Deutschland. Es definiert, wer als Institut gilt (§ 1 KWG), welche Geschäfte erlaubnispflichtig sind (§ 32 KWG) und welche organisatorischen und finanziellen Anforderungen die Institute erfüllen müssen.

Das KWG setzt wesentliche europäische Rechtsakte in nationales Recht um, darunter die Capital Requirements Directive (CRD) und die Capital Requirements Regulation (CRR, Verordnung (EU) Nr. 575/2013). Während die CRR als EU-Verordnung unmittelbar gilt und detaillierte Anforderungen an Eigenkapital, Liquidität und Großkredite definiert, enthält das KWG die nationalen Umsetzungsvorschriften der CRD sowie spezifisch deutsche Aufsichtsregelungen.

Die Aufsichtsstruktur in Deutschland ist zweigeteilt: Die BaFin übt die Aufsicht über alle Institute aus, während die Bundesbank an der laufenden Überwachung beteiligt ist und insbesondere die Auswertung der Meldungen und die Durchführung von Prüfungen übernimmt. Für signifikante Institute im Sinne des Single Supervisory Mechanism (SSM) liegt die direkte Aufsicht bei der Europäischen Zentralbank (EZB).

Verstöße gegen das KWG können erhebliche Konsequenzen haben. § 56 KWG sieht Bußgelder bis zu 5 Millionen EUR oder bis zu 10 Prozent des Jahresumsatzes vor. In schweren Fällen kann die BaFin die Geschäftsleiter abberufen (§ 36 KWG) oder die Erlaubnis zum Geschäftsbetrieb aufheben (§ 35 KWG).

Die wichtigsten Anforderungen

Eigenkapitalanforderungen

Die Eigenkapitalvorschriften gehören zu den Kernelementen des KWG. § 10 KWG i.V.m. der CRR verpflichtet Institute, jederzeit über angemessene Eigenmittel zu verfügen. Die konkreten Quoten ergeben sich aus der CRR: mindestens 4,5 Prozent hartes Kernkapital (Common Equity Tier 1, CET1), 6 Prozent Kernkapital (Tier 1) und 8 Prozent Gesamtkapital, jeweils bezogen auf die risikogewichteten Aktiva.

Zusätzlich zu den Mindestquoten müssen Institute Kapitalpuffer vorhalten. Der Kapitalerhaltungspuffer (2,5 Prozent), der antizyklische Kapitalpuffer (aktuell 0,75 Prozent in Deutschland) und gegebenenfalls der Systemrisikopuffer und der Puffer für global und anderweitig systemrelevante Institute kommen zu den Mindestquoten hinzu.

Die Berechnung der risikogewichteten Aktiva nach dem Standardansatz oder dem auf internen Ratings basierenden Ansatz (IRBA) erfordert umfangreiche Datengrundlagen und dokumentierte Prozesse, die regelmäßig von der Aufsicht überprüft werden.

Organisatorische Pflichten nach § 25a KWG

§ 25a KWG formuliert die Anforderungen an eine ordnungsgemäße Geschäftsorganisation. Diese umfasst insbesondere:

Angemessene Risikosteuerungs- und -controllingprozesse (§ 25a Abs. 1 S. 3 Nr. 1 KWG): Institute müssen über Verfahren verfügen, die sicherstellen, dass alle wesentlichen Risiken identifiziert, bewertet, gesteuert und überwacht werden. Die konkretisierenden Anforderungen finden sich in der MaRisk.

Angemessene technisch-organisatorische Ausstattung (§ 25a Abs. 1 S. 3 Nr. 4 KWG): Die IT-Systeme müssen den Geschäftsaktivitäten angemessen sein und die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten gewährleisten. Dieser Aspekt wird durch die BAIT (Bankaufsichtliche Anforderungen an die IT) und ab 2025 verstärkt durch DORA konkretisiert.

Angemessene Personalausstattung (§ 25a Abs. 1 S. 3 Nr. 6 KWG): Institute müssen über qualifiziertes Personal in ausreichender Zahl verfügen. Dies umfasst auch die Anforderungen an die Compliance-Funktion und die Interne Revision.

Notfallkonzept (§ 25a Abs. 1 S. 3 Nr. 5 KWG): Institute sind verpflichtet, für den Fall der Beeinträchtigung der IT-Systeme angemessene Notfallkonzepte vorzuhalten. DORA Art. 11 und 12 konkretisieren diese Anforderung im Bereich der IKT.

Auslagerungsanforderungen nach § 25b KWG

Die Auslagerung von Tätigkeiten und Prozessen wird durch § 25b KWG reguliert. Institute dürfen wesentliche Aktivitäten und Prozesse nur auslagern, wenn die ordnungsgemäße Geschäftsorganisation gewährleistet bleibt. Die Anforderungen umfassen eine Risikoanalyse vor der Auslagerung, eine angemessene vertragliche Gestaltung, die Sicherstellung der Steuerungs- und Kontrollmöglichkeiten sowie die Gewährleistung der Prüfungsrechte der BaFin und der Bundesbank.

Mit DORA Art. 28-30 kommen zusätzliche Anforderungen an die Nutzung von IKT-Drittdienstleistern hinzu, die über die bisherigen Auslagerungsregelungen des KWG hinausgehen -- insbesondere hinsichtlich der Vertragsgestaltung, der Überwachung und der Exit-Strategien.

Melde- und Anzeigepflichten

Das KWG sieht umfangreiche Meldepflichten vor, die in der Praxis einen erheblichen Aufwand verursachen. Dazu gehören:

  • Finanzinformationen (FINREP) und aufsichtliche Meldungen (COREP): Regelmäßige Meldungen zu Eigenkapital, Liquidität und Großkrediten gemäß CRR i.V.m. der EBA-Durchführungsverordnung.
  • Millionenkreditmeldungen (§ 14 KWG): Vierteljährliche Meldung aller Kreditnehmer mit einem Gesamtkredit von 1 Million EUR oder mehr.
  • Anzeigepflichten (§§ 24-25 KWG): Unverzügliche Anzeige wesentlicher Änderungen, etwa bei Geschäftsleitern, bedeutenden Beteiligungen oder organisatorischen Veränderungen.
  • Jahresabschluss und Prüfungsberichte (§ 26 KWG): Einreichung des geprüften Jahresabschlusses und des Prüfungsberichts nach § 29 KWG bei der BaFin und der Bundesbank.

Zusammenspiel mit MaRisk und DORA

Das KWG bildet die gesetzliche Grundlage, auf der die BaFin ihre Verwaltungsvorschriften aufbaut. Die MaRisk (Mindestanforderungen an das Risikomanagement) konkretisiert die Anforderungen des § 25a KWG an die Geschäftsorganisation. Jede Anforderung der MaRisk lässt sich auf eine oder mehrere Normen des KWG zurückführen.

Mit DORA verändert sich diese Architektur teilweise. Die DORA als EU-Verordnung gilt unmittelbar und ersetzt in ihrem Anwendungsbereich -- der IKT-Sicherheit und der digitalen operativen Resilienz -- die bisherigen nationalen Regelungen. Die BaFin hat angekündigt, die BAIT (und perspektivisch auch Teile der MaRisk, die IKT betreffen) an die DORA-Anforderungen anzupassen.

Für Banken bedeutet dies, dass sie künftig drei Regulierungsebenen parallel beachten müssen: das KWG als nationales Aufsichtsgesetz, die MaRisk als Verwaltungsvorschrift der BaFin und die DORA als unmittelbar geltende EU-Verordnung. Die Überschneidungen und Wechselwirkungen zwischen diesen Ebenen machen ein integriertes Compliance-Management unerlässlich.

Die CRR ergänzt dieses Gefüge um die detaillierten Anforderungen an Eigenkapital, Liquidität und Risikomanagement. Zusammen bilden KWG, CRR, MaRisk und DORA ein regulatorisches Gesamtsystem, das Banken umfassend steuern und dokumentieren müssen.

Compliance-Automatisierung mit Matproof

Die Komplexität und der Umfang der KWG-Anforderungen machen eine manuelle Compliance-Steuerung zunehmend unwirtschaftlich. Matproof bietet als EU-First-Plattform mit deutschen Rechenzentren eine geeignete Grundlage für die Automatisierung.

Regulatorisches Register: Matproof bildet die KWG-Anforderungen einschließlich der Verweise auf CRR, MaRisk und DORA in einem integrierten Register ab. Jede Anforderung wird mit den erforderlichen Nachweisen, Verantwortlichkeiten und Prüfungszyklen verknüpft. Änderungen der regulatorischen Anforderungen werden zeitnah eingepflegt.

Automatisierte Kontrollen für § 25a KWG: Für die organisatorischen Pflichten nach § 25a KWG automatisiert Matproof die Nachweissammlung in den Bereichen IT-Sicherheit (Zugriffskontrollen, Protokollierung, Verschlüsselung), Notfallmanagement (Verfügbarkeit von Notfallplänen, Testergebnisse) und Auslagerungsmanagement (vertragliche Dokumentation, Überwachungsnachweise).

Meldewesen-Unterstützung: Matproof unterstützt bei der Vorbereitung der aufsichtlichen Meldungen, indem es die erforderlichen Daten aus den angebundenen Systemen konsolidiert und auf Konsistenz prüft. Die Plattform ersetzt nicht die spezialisierten Meldewesen-Systeme, sondern ergänzt diese um die Compliance-Nachweisdokumentation.

Cross-Framework-Effizienz: Ein Nachweis, der für § 25a KWG gesammelt wird, wird automatisch den entsprechenden Anforderungen in MaRisk, DORA und BAIT zugeordnet. Dies vermeidet redundante Dokumentation und stellt sicher, dass alle regulatorischen Anforderungen konsistent erfüllt werden.

Umsetzungsfahrplan

Phase 1 -- Regulatorisches Mapping (3-4 Wochen): Erstellen Sie eine vollständige Zuordnung Ihrer KWG-Pflichten zu den entsprechenden MaRisk-, DORA- und CRR-Anforderungen. Identifizieren Sie die Verantwortlichkeiten und bestehenden Nachweisprozesse. Matproof bietet hierzu vorkonfigurierte Mapping-Templates für Kreditinstitute.

Phase 2 -- Gap-Analyse (4-6 Wochen): Bewerten Sie den aktuellen Erfüllungsgrad jeder Anforderung. Identifizieren Sie Bereiche, in denen Nachweise fehlen, veraltet sind oder nur manuell erstellt werden. Priorisieren Sie die Lücken nach Risiko und regulatorischer Dringlichkeit.

Phase 3 -- Automatisierung der Nachweissammlung (6-8 Wochen): Verbinden Sie Ihre IT-Systeme, Cloud-Dienste und Compliance-Tools mit Matproof. Richten Sie automatisierte Nachweissammlungen für die priorisierten Anforderungsbereiche ein. Validieren Sie die Ergebnisse gegen die bestehenden manuellen Nachweise.

Phase 4 -- Integration in den Prüfungszyklus (laufend): Nutzen Sie Matproof für die Vorbereitung auf Prüfungen nach § 44 KWG und § 29 KWG. Generieren Sie prüfungsfertige Nachweispakete, die den Anforderungen der BaFin und der Bundesbank entsprechen.

Häufig gestellte Fragen

Wie unterscheiden sich KWG und CRR in ihren Anforderungen?
Das KWG ist ein deutsches Gesetz, das den Rahmen für die Bankenaufsicht setzt und die europäische CRD in nationales Recht umsetzt. Die CRR ist eine EU-Verordnung, die unmittelbar in allen Mitgliedstaaten gilt und die detaillierten quantitativen Anforderungen an Eigenkapital, Liquidität und Großkredite definiert. In der Praxis müssen Banken beide Regelwerke parallel beachten: das KWG für organisatorische Pflichten und Aufsichtsverfahren, die CRR für die konkreten Kapitalanforderungen.

Wie wirkt sich DORA auf die KWG-Compliance aus?
DORA ergänzt die KWG-Anforderungen im Bereich der IKT-Sicherheit und der digitalen operativen Resilienz. Während § 25a KWG i.V.m. MaRisk AT 7.2 und BAIT bisher die IT-Anforderungen für Banken definiert haben, setzt DORA als EU-Verordnung einen einheitlichen europäischen Standard. In der Praxis bedeutet dies, dass Banken ihre bestehenden IT-Sicherheitsmaßnahmen gegen die DORA-Anforderungen prüfen und gegebenenfalls anpassen müssen. Die BAIT wird voraussichtlich aufgehoben oder in die DORA-Umsetzung integriert.

Welche Prüfungen führt die BaFin auf Basis des KWG durch?
Die BaFin kann nach § 44 KWG jederzeit Prüfungen bei Instituten durchführen oder die Bundesbank damit beauftragen. Die Prüfungen umfassen alle Aspekte der Geschäftsorganisation, einschließlich Risikomanagement, IT-Sicherheit, Compliance und Auslagerungsmanagement. Darüber hinaus werden die nach § 29 KWG eingereichten Prüfungsberichte der Wirtschaftsprüfer systematisch ausgewertet. Matproof unterstützt bei der Vorbereitung auf beide Prüfungsarten durch strukturierte Nachweispakete.

Wie hoch ist der typische Compliance-Aufwand für KWG-Anforderungen?
Der Aufwand variiert erheblich je nach Größe und Komplexität des Instituts. Kleine und mittlere Institute investieren typischerweise 5 bis 10 Vollzeitäquivalente in die regulatorische Compliance. Durch die Automatisierung wiederkehrender Dokumentations- und Nachweispflichten mit Matproof lässt sich dieser Aufwand erfahrungsgemäß um 40 bis 60 Prozent reduzieren, wobei der größte Effizienzgewinn im Bereich der Nachweissammlung und Prüfungsvorbereitung liegt.

KWG AnforderungenKreditwesengesetz BankenBaFin MeldepflichtenKWG Compliance Automatisierung

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern