Duitse markt2026-02-0911 min leestijd

KWG Vereisten voor Banken: Hoe de Duitse Bankenwet Compliance Vormgeeft

Ook beschikbaar in:EnglishDeutschFrançaisEspañolItaliano

Inhoudsopgave

  1. 01Inleiding
  2. 02Wat Is de KWG?
  3. 03Belangrijkste Vereisten
  4. 04Relatie tot MaRisk, DORA en Andere Kaders
  5. 05Compliance Automatisering met Matproof
  6. 06Implementatieroadmap
  7. 07FAQ

KWG Vereisten voor Banken: Hoe de Duitse Bankenwet Compliance Vormgeeft

Inleiding

De Kreditwesengesetz (KWG) -- de Duitse Bankenwet -- is de fundamentele wet die de vergunningverlening, toezicht en organisatorische vereisten voor kredietinstellingen en financiële dienstverleners die in Duitsland opereren, regelt. Ingevoerd in 1961 en sindsdien meer dan 60 keer gewijzigd, definieert de KWG wie bankactiviteiten in Duitsland mag uitvoeren, welke kapitaal- en organisatorische normen zij moeten voldoen, en hoe BaFin zijn toezichthoudende autoriteit over hen uitoefent. Elke bank die in Duitsland opereert, van de grootste universele banken tot gespecialiseerde fintech kredietinstellingen, moet voldoen aan de KWG.

In 2026 blijft de KWG zich ontwikkelen naast Europese regelgevende ontwikkelingen. De Verordening Kapitaalvereisten (CRR III) en de Richtlijn Kapitaalvereisten (CRD VI), die de laatste Basel III hervormingen in EU-wetgeving omzetten, hebben nieuwe kapitaal- en rapportagevereisten geïntroduceerd die direct in interactie staan met de KWG-bepalingen. Tegelijkertijd heeft DORA digitale veerkrachtvereisten bovenop het bestaande KWG-organisatorische kader gelegd. Voor compliance-teams is de uitdaging niet alleen het begrijpen van de KWG in isolatie, maar ook het begrijpen van hoe deze zich verhoudt tot MaRisk, DORA en de bredere Europese regelgevende architectuur. Dit artikel biedt dat uitgebreide overzicht.

Wat Is de KWG?

De Kreditwesengesetz is de primaire wet voor banktoezicht in Duitsland. Het stelt het juridische kader vast waarbinnen BaFin en de Deutsche Bundesbank toezicht uitoefenen op kredietinstellingen (Kreditinstitute) en financiële dienstverleners (Finanzdienstleistungsinstitute). De wet definieert bankactiviteiten (Bankgeschafte) in Sectie 1(1) en financiële diensten (Finanzdienstleistungen) in Sectie 1(1a), waardoor de reikwijdte van entiteiten die onder haar vereisten vallen, wordt gecreëerd.

Volgens Sectie 32 KWG heeft elke entiteit die bankactiviteiten uitvoert of financiële diensten verleent in Duitsland een vergunning van BaFin nodig. Het vergunningproces omvat het aantonen van voldoende startkapitaal, geschikt en passend management, een solide bedrijfsplan en geschikte organisatorische regelingen. BaFin kan voorwaarden aan de vergunning stellen en heeft de autoriteit om deze in te trekken als de instelling niet langer aan de vereisten voldoet.

De KWG verleent BaFin uitgebreide toezichthoudende bevoegdheden onder Secties 6-6c. Deze omvatten de autoriteit om informatie en documenten op te vragen, ter plaatse inspecties uit te voeren, het verwijderen van managers die niet geschikt en passend zijn te bevelen, bedrijfsactiviteiten te beperken en administratieve boetes op te leggen. In de context van het Single Supervisory Mechanism (SSM) worden significante instellingen rechtstreeks gecontroleerd door de Europese Centrale Bank (ECB), maar BaFin behoudt de toezichthoudende verantwoordelijkheid voor minder significante instellingen en fungeert als het nationale contactpunt voor ECB-toezicht.

De wet is aanzienlijk gevormd door Europese wetgeving. De CRR (Verordening (EU) nr. 575/2013) en CRD (Richtlijn 2013/36/EU), samen met hun opvolgers CRR III en CRD VI, zijn in de Duitse wetgeving omgezet door middel van wijzigingen in de KWG en bijbehorende regelgeving. Dit betekent dat KWG-compliance voor Duitse banken onlosmakelijk verbonden is met compliance met het bredere Europese prudentiële kader.

Belangrijkste Vereisten

Kapitaalvereisten (Secties 10-10i KWG / CRR)

KWG Sectie 10 stelt vast dat kredietinstellingen over voldoende eigen middelen (Eigenmittel) moeten beschikken. De specifieke kapitaalvereisten worden voornamelijk gedefinieerd door de CRR, die minimumverhoudingen voorschrijft voor Common Equity Tier 1 (CET1) kapitaal, Tier 1 kapitaal en totaal kapitaal in verhouding tot risogewogen activa. Onder de CRR III hervormingen die vanaf 2025 van kracht zijn, is de minimale CET1-ratio 4,5%, de Tier 1-ratio 6% en de totale kapitaalratio 8%, voordat de kapitaalbuffers worden toegevoegd.

KWG Secties 10c-10i implementeren het kapitaalbufferkader: de kapitaalconserveringsbuffer (Sectie 10c), de instelling-specifieke contracyclische kapitaalbuffer (Sectie 10d), de systeemrisicobuffer (Sectie 10e) en buffers voor wereldwijde en andere systeemrelevante instellingen (Secties 10f-10g). BaFin stelt het tarief voor de contracyclische buffer vast, dat begin 2026 op 0,75% staat voor Duitse blootstellingen.

Het regime voor grote blootstellingen onder Sectie 13 KWG (implementatie van CRR Artikelen 387-403) beperkt de blootstelling die een kredietinstelling aan een enkele klant of groep verbonden klanten mag hebben tot 25% van het in aanmerking komende kapitaal. Rapportageverplichtingen voor grote blootstellingen aan BaFin en de Bundesbank zijn verplicht.

Organisatorische Vereisten (Secties 25a-25e KWG)

Sectie 25a KWG is een van de meest ingrijpende bepalingen voor de dagelijkse compliance. Het vereist dat kredietinstellingen een juiste bedrijfsorganisatie (ordnungsgemaessse Geschaftsorganisation) hebben, die adequate risicobeheer, interne controlesystemen, passende beveiligingsmaatregelen voor IT-systemen en adequate documentatie moet omvatten. Deze sectie vormt de juridische basis voor BaFin's MaRisk-circulaire, die de minimumvereisten voor risicobeheer in detail specificeert.

Sectie 25b KWG regelt uitbesteding. Kredietinstellingen die activiteiten en processen uitbesteden, moeten ervoor zorgen dat de uitbesteding de ordelijke uitvoering van de bedrijfsvoering, de mogelijkheid van BaFin om toezicht te houden, of de risicobeheercapaciteiten van de instelling niet in gevaar brengt. Materiële uitbestedingsregelingen moeten aan BaFin worden gemeld en zijn onderhevig aan specifieke contractuele vereisten.

Sectie 25c KWG definieert de taken van de raad van bestuur (Geschaftsleiter), inclusief de vereiste dat alle leden geschikt en passend moeten zijn (fachlich geeignet und zuverlassig), dat de raad gezamenlijk over voldoende kennis en ervaring moet beschikken, en dat de instelling duidelijke governance-regelingen moet hebben.

BaFin Rapportageverplichtingen (Diverse KWG Secties)

Duitse banken hebben uitgebreide rapportageverplichtingen onder de KWG. Deze omvatten:

  • Financiële rapportage (Sectie 25 KWG): Maandelijkse en kwartaalbalansstatistieken ingediend bij de Bundesbank.
  • Kapitaaladequaat rapportage (Sectie 10 KWG / CRR): Kwartaal COREP-rapporten over eigen middelen en kapitaalverhoudingen.
  • Grote blootstellingen (Sectie 13 KWG): Rapportage van blootstellingen die 10% van het in aanmerking komende kapitaal overschrijden.
  • Liquiditeitsrapportage (CRR Artikelen 411-428): LCR en NSFR rapporten.
  • Meldingen (Secties 24-24c KWG): Verplichte meldingen voor wijzigingen in het management, significante wijzigingen in aandeelhouderschap, uitbestedingsregelingen en andere materiële gebeurtenissen.
  • Jaarlijkse audit (Sectie 26 KWG): Jaarlijkse audit door een externe auditor, die een rapport (Prufungsbericht) voor BaFin moet opstellen waarin de compliance van de instelling met de KWG-vereisten wordt behandeld.

Het volume en de frequentie van de rapportagevereisten zijn de afgelopen jaren aanzienlijk toegenomen. BaFin en de Bundesbank verzamelen gegevens via het BaFin-rapportageportaal (Meldeplattform) en het XBRL-gebaseerde rapportagekader voor prudentiële gegevens.

Geschiktheids- en Betrouwbaarheidsvereisten (Secties 25c-25d KWG)

Leden van de raad van bestuur moeten betrouwbaarheid (Zuverlassigkeit) en professionele kwalificatie (fachliche Eignung) aantonen onder Sectie 25c KWG. BaFin beoordeelt de geschiktheid en betrouwbaarheid op het moment van aanstelling en kan deze op elk moment tijdens de ambtstermijn van de manager opnieuw beoordelen. De raad van toezicht (Verwaltungs- of Aufsichtsorgan) is onderworpen aan vergelijkbare vereisten onder Sectie 25d KWG, inclusief collectieve geschiktheid, de oprichting van risicocommissies, auditcommissies en benoemingscommissies, en onafhankelijkheidseisen.

Relatie tot MaRisk, DORA en Andere Kaders

KWG Sectie 25a biedt de wettelijke basis voor MaRisk, dat de meest gedetailleerde toezichthoudende circulaire van BaFin voor risicobeheer in banken is. MaRisk specificeert de vereisten van Sectie 25a in granulaire detail in zijn AT (Allgemeiner Teil -- algemene deel) en BT (Besonderer Teil -- specifieke deel) modules. Elke bank die voldoet aan MaRisk voldoet aan haar KWG Sectie 25a verplichtingen.

De relatie tussen KWG en DORA is bijzonder belangrijk in 2026. DORA Artikel 1(2) stelt dat het van toepassing is op de entiteiten die in Artikel 2 worden vermeld, waaronder kredietinstellingen zoals gedefinieerd in CRR Artikel 4(1)(1) -- dezelfde entiteiten die onder KWG worden gereguleerd. DORA's ICT-risicobeheervereisten (Artikelen 5-16) creëren verplichtingen die overlappen met en in sommige gevallen de IT-gerelateerde vereisten die eerder via BAIT (Bankaufsichtliche Anforderungen an die IT) en MaRisk AT 7.2 (technische en organisatorische middelen) zijn behandeld. BaFin heeft aangegeven dat BAIT zal worden ingetrokken zodra de uitvoerende technische normen van DORA volledig van kracht zijn, maar MaRisk blijft van kracht voor niet-ICT risicobeheervereisten.

De uitbestedingsvereisten van KWG onder Sectie 25b sluiten aan bij DORA Artikel 28 over ICT-risico's van derden. DORA introduceert echter aanvullende vereisten zoals het register van ICT-derdenleveranciers (Artikel 28(3)) en het toezichtkader voor kritieke ICT-derdenleveranciers (Artikelen 31-44) die verder gaan dan wat KWG Sectie 25b vereist. Banken moeten voldoen aan beide sets van vereisten.

ISO 27001-certificering ondersteunt de IT-beveiligingsvereisten die zijn ingebed in KWG Sectie 25a en gedetailleerd zijn in MaRisk AT 7.2. Hoewel ISO 27001 niet wettelijk verplicht is, streven veel Duitse banken certificering na om compliance met de "stand van de techniek" (Stand der Technik) standaard die in deze bepalingen wordt genoemd, aan te tonen.

Compliance Automatisering met Matproof

KWG-compliance genereert continue documentatievereisten op het gebied van kapitaalbeheer, organisatorisch bestuur, uitbesteding en rapportage. De jaarlijkse audit onder Sectie 26 KWG alleen vereist dat de instelling uitgebreid bewijs van compliance over alle KWG-vereisten presenteert, en auditors verwachten steeds vaker dat dit bewijs systematisch en traceerbaar is in plaats van ad hoc verzameld.

Matproof automatiseert de processen voor het verzamelen van bewijs en monitoring die ten grondslag liggen aan de KWG-organisatorische compliance. Het platform koppelt de vereisten van KWG Sectie 25a -- zoals gespecificeerd via MaRisk -- aan specifieke controles en bewijsitems. Het monitort continu of de vereiste controles aanwezig zijn: Zijn de toegangscontroles en IT-beveiligingsmaatregelen correct geconfigureerd? Zijn de uitbestedingsregelingen gedocumenteerd en gemonitord? Worden de governance-structuren onderhouden zoals vereist?

De cross-framework mapping van het platform is bijzonder waardevol voor KWG-compliance vanwege de uitgebreide overlap met DORA, MaRisk en ISO 27001. Bewijs verzameld voor DORA's ICT-risicobeheervereisten voldoet tegelijkertijd aan de technologiegerelateerde aspecten van KWG Sectie 25a. Documentatie van het risicobeheerframework voor MaRisk-compliance dient ook als bewijs voor de jaarlijkse audit van KWG Sectie 26. Dit elimineert de fragmentatie die typisch optreedt wanneer banken elke regelgevende vereiste via afzonderlijke processen beheren.

Matproof slaat alle compliance-gegevens op in Duitse datacenters met volledige EU-gegevensresidentie, waarmee wordt voldaan aan de gegevenssoevereiniteitseisen die BaFin toepast op gecontroleerde instellingen. Voor banken die onderhevig zijn aan de uitbestedingsvereisten van Sectie 25b, vermijdt de EU-gehoste architectuur van het platform de regelgevende complexiteit die ontstaat wanneer compliance-tools toezichthoudende gegevens buiten de EU verwerken.

Implementatieroadmap

Fase 1 (Weeks 1-3): Regelgevende Mapping. Creëer een uitgebreide kaart van alle toepasselijke KWG-vereisten, georganiseerd per sectie. Identificeer welke vereisten worden behandeld via MaRisk, welke via DORA, en welke zelfstandige KWG-verplichtingen blijven. Deze mapping vormt de basis voor alle daaropvolgende compliance-activiteiten.

Fase 2 (Weeks 4-6): Controlebeoordeling. Evalueer bestaande controles aan de hand van de regelgevende kaart. Bepaal voor elke KWG-vereiste of er een adequate controle bestaat, of deze is gedocumenteerd, en of bewijs van de effectiviteit ervan wordt verzameld. Focus vooral op Sectie 25a organisatorische vereisten en Sectie 25b uitbestedingsregelingen, aangezien dit de gebieden zijn die het vaakst worden geciteerd in BaFin bevindingen.

Fase 3 (Weeks 7-10): Automatisering en Integratie. Implementeer geautomatiseerde bewijsverzameling voor controles die elektronisch kunnen worden gemonitord. Verbind het compliance-platform met IT-infrastructuur, HR-systemen en governance-documentatierepositories. Configureer automatische waarschuwingen voor controlefouten of documentatiehiaten.

Fase 4 (Weeks 11-14): Auditvoorbereiding. Bereid je voor op de jaarlijkse audit van Sectie 26 door een gestructureerd bewijs pakket uit het compliance-platform te genereren. Voer een interne beoordeling uit om eventuele resterende hiaten te identificeren. Informeer de externe auditor over de bewijsstructuur en de geautomatiseerde monitoringbenadering.

Doorlopend: Continue Compliance. Onderhoud geautomatiseerde monitoring en bewijsverzameling het hele jaar door. Werk de regelgevende kaart bij naarmate KWG-wijzigingen, MaRisk-updates en DORA-uitvoeringsnormen worden gepubliceerd. Voer kwartaal interne beoordelingen uit en rapporteer de compliance-status aan de raad van bestuur zoals vereist door MaRisk AT 4.4.2.

FAQ

Hoe interageert de KWG met de EU Kapitaalvereistenverordening (CRR)?

KWG en CRR werken samen als complementaire delen van het Duitse bankregelgevingskader. CRR, als een rechtstreeks toepasselijke EU-verordening, schrijft de gedetailleerde kapitaalvereisten, liquiditeitsratio's en limieten voor grote blootstellingen voor. KWG biedt het nationale juridische kader voor vergunningverlening, toezicht, handhaving en organisatorische vereisten die CRR aanvullen. Waar CRR nationale opties of discreties verleent, worden deze uitgeoefend via KWG-bepalingen. Bijvoorbeeld, CRR definieert de berekeningen van de kapitaalratio's, terwijl KWG Sectie 10c-10i het nationale kapitaalbufferkader implementeert.

Wat gebeurt er als een bank de KWG-vereisten overtreedt?

BaFin heeft een scala aan handhavingsinstrumenten beschikbaar. Onder Sectie 46 KWG kan BaFin instructies aan de instelling geven om de compliance te herstellen, bedrijfsactiviteiten beperken of uitkeringen aan aandeelhouders verbieden. Onder Sectie 49 KWG kan BaFin administratieve boetes opleggen van maximaal EUR 5 miljoen per overtreding. In ernstige gevallen kan BaFin de bankvergunning intrekken onder Sectie 35 KWG. BaFin kan ook de verwijdering van managers eisen die niet geschikt en passend worden bevonden onder Sectie 36 KWG. In de praktijk geeft BaFin doorgaans bevindingen uit en stelt hersteltermijnen vast voordat het overgaat tot formele handhavingsmaatregelen.

Is MaRisk wettelijk bindend?

MaRisk is een BaFin-circulaire (Rundschreiben), geen wet of regeling. Technisch gezien vertegenwoordigt het de administratieve praktijk en interpretatie van BaFin van KWG Sectie 25a. Het wordt echter in de praktijk als effectief bindend behandeld. BaFin-auditors en externe auditors van Sectie 26 beoordelen de compliance aan de hand van MaRisk-vereisten, en het niet voldoen aan deze vereisten resulteert in toezichthoudende bevindingen. Rechtbanken hebben consistent de autoriteit van BaFin om MaRisk-vereisten te handhaven als een specificatie van de wettelijke verplichtingen onder KWG Sectie 25a bevestigd.

Hoe overlappen DORA en KWG voor IT-vereisten?

DORA Artikelen 5-16 stellen ICT-risicobeheervereisten vast die aanzienlijk overlappen met de IT-vereisten die eerder via BAIT en MaRisk AT 7.2 zijn behandeld. BaFin heeft aangegeven dat BAIT zal worden ingetrokken, waarbij DORA voorrang krijgt voor ICT-gerelateerde vereisten. Echter, de algemene organisatorische vereiste van KWG Sectie 25a blijft van kracht, en de niet-ICT risicobeheervereisten van MaRisk blijven van toepassing. In de praktijk moeten banken DORA als de primaire referentie voor ICT-risicobeheer gebruiken en MaRisk voor breder operationeel risicobeheer, met KWG Sectie 25a als de overkoepelende wettelijke basis.

KWG vereistenKreditwesengesetzDuitse BankenwetBaFin bankregulering

Klaar om compliance te vereenvoudigen?

Wees audit-ready in weken, niet maanden. Bekijk Matproof in actie.

Demo aanvragen