MaRisk-Novelle, BaFin

MaRisk-Novelle ab Juli: BaFin verschärft Kontrollpflichten für Manager

03.07.2026 - 19:49:34 | boerse-global.de

BaFin, NIS-2 und ein D&O-Urteil verschärfen die Pflichten von Führungskräften. Wer Kontrollsysteme vernachlässigt, haftet privat.

Managerhaftung: Neue Regeln und Urteile erhöhen das Risiko
MaRisk-Novelle - Abstrakte Darstellung eines digitalen Netzwerks mit einem leuchtenden Richthammer und einer Lupe, symbolisiert die Überwachung der Unternehmensführung. 03.07.2026 - Bild: über boerse-global.de

Wer interne Kontrollsysteme nicht aktiv überwacht, riskiert die persönliche Haftung.

BaFin verschärft MaRisk-Regeln

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 30. Juni 2026 die finale Fassung der neunten MaRisk-Novelle veröffentlicht. Die neuen Regelungen fordern eine stärkere Kontrollorientierung der Compliance-Funktion. Ein wesentlicher Punkt: Die Interne Revision erhält ein jederzeitiges Zugriffsrecht.

Zudem erlaubt die Novelle eine Zusammenfassung der IKT-Strategie mit der allgemeinen Geschäftsstrategie. Das unterstreicht die enge Verzahnung von IT-Risiken und Unternehmensführung.

NIS-2 bringt persönliche Haftung

Parallel greifen ab diesem Jahr verschärfte Haftungsregeln im Rahmen der NIS-2-Umsetzung. Gemäß Artikel 20 der Richtlinie muss die Geschäftsleitung Maßnahmen zum Cyber-Risikomanagement genehmigen und deren Umsetzung überwachen. Verstöße können zur persönlichen Haftung von Geschäftsführern führen.

Fachleute verweisen auf die Durchsetzbarkeit über bestehende Gesetze wie das GmbH-Gesetz oder das Aktiengesetz. Die Anforderungen an die Sorgfaltspflicht sind damit deutlich gestiegen.

D&O-Versicherung: Arglist führt zur Nichtigkeit

Wie risikobehaftet mangelhafte interne Transparenz sein kann, zeigt ein Urteil des Oberlandesgerichts Köln vom 10. Februar 2026. Das Gericht entschied: Wer beim Abschluss einer D&O-Versicherung Risiken arglistig verschweigt, macht den gesamten Vertrag rückwirkend nichtig.

Im konkreten Fall hatte der Vorstand einer Bank ein Klumpenrisiko in Höhe von 2,6 Milliarden Euro verschwiegen. Die Folge: Die Verantwortlichen haften im Schadensfall mit ihrem Privatvermögen. Selbst Severability-Klauseln schützen bei nachgewiesener Arglist nicht.

Anzeige

Die neue MaRisk-Novelle und NIS-2 verschärfen die persönliche Haftung von Geschäftsführern. Wer Kontrollpflichten nicht aktiv überwacht, riskiert sein Privatvermögen. Der kostenlose Compliance-Check zeigt Ihnen in drei Minuten, wo Ihre größten Risiken liegen. Compliance-Check per E-Mail anfordern

Integritätsverfahren: Entlastung mit Auflagen

Dass interne Untersuchungen auch Führungspersonen entlasten können, zeigt ein Fall an der Universität Zürich. Am 2. Juli 2026 stellte die Hochschule das Integritätsverfahren gegen den Neuropathologen Adriano Aguzzi ein. Die Prüfung von 36 Publikationen aus fast drei Jahrzehnten ergab zwar in sieben Arbeiten wissenschaftlich relevante Fehler in Abbildungen.

Doch weder Vorsatz noch Fahrlässigkeit ließen sich nachweisen. Die Auflage: Das institutionelle Qualitätsmanagement muss grundlegend verbessert werden.

Salmonellen-Ausbruch erzwingt Krisenmanagement

Auch bei Produktsicherheitsvorfällen zeigt sich der Druck auf Führungskräfte. Nach einem Salmonellen-Ausbruch mit 106 bestätigten Fällen in Europa führte die Gesundheitsbehörde ECDC die Ursache auf Instant-Nudeln eines ukrainischen Herstellers zurück. Das Unternehmen leitete umgehend interne Untersuchungen und Chargenrückrufe ein.

ISMS-Aufbau kostet bis zu 250.000 Euro

Die Implementierung notwendiger Schutzsysteme stellt Unternehmen vor finanzielle Herausforderungen. Schätzungen zufolge kostet der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) über drei Jahre zwischen 150.000 und 250.000 Euro.

Doch die Alternative ist teurer: Ein Ransomware-Angriff auf ein mittelständisches Unternehmen mit rund 200 Mitarbeitern verursacht laut Branchenberichten Kosten von etwa 1,2 Millionen Euro.

Anzeige

Betrifft Sie das? Ein D&O-Urteil macht arglistig verschwiegene Risiken rückwirkend nichtig. Prüfen Sie mit der kostenlosen Checkliste, ob Ihre Compliance-Strukturen den neuen Anforderungen standhalten. Risiko-Checkliste anfordern

Datenschutz bleibt in der Fachbehörde

Zusätzlich zur IT-Sicherheit rückt die datenschutzrechtliche Verantwortlichkeit bei zentralen Plattformen in den Fokus. Ein Gutachten des IT-Planungsrats vom April 2026 stellte fest: Die Verantwortung für den Datenschutz muss oft verarbeitungsspezifisch geprüft werden und verbleibt häufig bei der Fachbehörde. Das erhöht die Anforderungen an die Überwachung durch die zuständigen Manager weiter.

de | wirtschaft | 69682099 |