MaRisk-Novelle ab Juli: BaFin verschärft Kontrollpflichten für Manager
03.07.2026 - 19:49:34 | boerse-global.de
Wer interne Kontrollsysteme nicht aktiv überwacht, riskiert die persönliche Haftung.
BaFin verschärft MaRisk-Regeln
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 30. Juni 2026 die finale Fassung der neunten MaRisk-Novelle veröffentlicht. Die neuen Regelungen fordern eine stärkere Kontrollorientierung der Compliance-Funktion. Ein wesentlicher Punkt: Die Interne Revision erhält ein jederzeitiges Zugriffsrecht.
Zudem erlaubt die Novelle eine Zusammenfassung der IKT-Strategie mit der allgemeinen Geschäftsstrategie. Das unterstreicht die enge Verzahnung von IT-Risiken und Unternehmensführung.
NIS-2 bringt persönliche Haftung
Parallel greifen ab diesem Jahr verschärfte Haftungsregeln im Rahmen der NIS-2-Umsetzung. Gemäß Artikel 20 der Richtlinie muss die Geschäftsleitung Maßnahmen zum Cyber-Risikomanagement genehmigen und deren Umsetzung überwachen. Verstöße können zur persönlichen Haftung von Geschäftsführern führen.
Fachleute verweisen auf die Durchsetzbarkeit über bestehende Gesetze wie das GmbH-Gesetz oder das Aktiengesetz. Die Anforderungen an die Sorgfaltspflicht sind damit deutlich gestiegen.
D&O-Versicherung: Arglist führt zur Nichtigkeit
Wie risikobehaftet mangelhafte interne Transparenz sein kann, zeigt ein Urteil des Oberlandesgerichts Köln vom 10. Februar 2026. Das Gericht entschied: Wer beim Abschluss einer D&O-Versicherung Risiken arglistig verschweigt, macht den gesamten Vertrag rückwirkend nichtig.
Im konkreten Fall hatte der Vorstand einer Bank ein Klumpenrisiko in Höhe von 2,6 Milliarden Euro verschwiegen. Die Folge: Die Verantwortlichen haften im Schadensfall mit ihrem Privatvermögen. Selbst Severability-Klauseln schützen bei nachgewiesener Arglist nicht.
Die neue MaRisk-Novelle und NIS-2 verschärfen die persönliche Haftung von Geschäftsführern. Wer Kontrollpflichten nicht aktiv überwacht, riskiert sein Privatvermögen. Der kostenlose Compliance-Check zeigt Ihnen in drei Minuten, wo Ihre größten Risiken liegen. Compliance-Check per E-Mail anfordern
Integritätsverfahren: Entlastung mit Auflagen
Dass interne Untersuchungen auch Führungspersonen entlasten können, zeigt ein Fall an der Universität Zürich. Am 2. Juli 2026 stellte die Hochschule das Integritätsverfahren gegen den Neuropathologen Adriano Aguzzi ein. Die Prüfung von 36 Publikationen aus fast drei Jahrzehnten ergab zwar in sieben Arbeiten wissenschaftlich relevante Fehler in Abbildungen.
Doch weder Vorsatz noch Fahrlässigkeit ließen sich nachweisen. Die Auflage: Das institutionelle Qualitätsmanagement muss grundlegend verbessert werden.
Salmonellen-Ausbruch erzwingt Krisenmanagement
Auch bei Produktsicherheitsvorfällen zeigt sich der Druck auf Führungskräfte. Nach einem Salmonellen-Ausbruch mit 106 bestätigten Fällen in Europa führte die Gesundheitsbehörde ECDC die Ursache auf Instant-Nudeln eines ukrainischen Herstellers zurück. Das Unternehmen leitete umgehend interne Untersuchungen und Chargenrückrufe ein.
ISMS-Aufbau kostet bis zu 250.000 Euro
Die Implementierung notwendiger Schutzsysteme stellt Unternehmen vor finanzielle Herausforderungen. Schätzungen zufolge kostet der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) über drei Jahre zwischen 150.000 und 250.000 Euro.
Doch die Alternative ist teurer: Ein Ransomware-Angriff auf ein mittelständisches Unternehmen mit rund 200 Mitarbeitern verursacht laut Branchenberichten Kosten von etwa 1,2 Millionen Euro.
Betrifft Sie das? Ein D&O-Urteil macht arglistig verschwiegene Risiken rückwirkend nichtig. Prüfen Sie mit der kostenlosen Checkliste, ob Ihre Compliance-Strukturen den neuen Anforderungen standhalten. Risiko-Checkliste anfordern
Datenschutz bleibt in der Fachbehörde
Zusätzlich zur IT-Sicherheit rückt die datenschutzrechtliche Verantwortlichkeit bei zentralen Plattformen in den Fokus. Ein Gutachten des IT-Planungsrats vom April 2026 stellte fest: Die Verantwortung für den Datenschutz muss oft verarbeitungsspezifisch geprüft werden und verbleibt häufig bei der Fachbehörde. Das erhöht die Anforderungen an die Überwachung durch die zuständigen Manager weiter.
