Eine Sonderprüfung hatte ergeben, dass das Institut im Bereich der Informationstechnologie die Vorgaben des Kreditwesengesetzes (KWG) nicht erfüllt. Betroffen waren die Systeme und Prozesse sowie das Auslagerungsmanagement. Die Systeme und Prozesse waren zudem teilweise nicht vorhanden.

Der Bescheid ist seit dem 21. August 2023 bestandskräftig.

Ordnungsgemäße Geschäftsorganisation

Eine ordnungsgemäße Geschäftsorganisation soll gewährleisten, dass Kreditinstitute die gesetzlichen Bestimmungen einhalten und tun, was betriebswirtschaftlich notwendig ist. Wie dies zu geschehen hat, regelt § 25a Absatz 1 KWG. Ein wesentlicher Teil der ordnungsgemäßen Geschäftsorganisation ist ein angemessenes und wirksames Risikomanagement. Dies umfasst auch eine angemessene personelle und technisch-organisatorische Ausstattung.

Das heißt unter anderem: Kreditinstitute müssen ihre IT-Systeme und die zugehörigen IT-Prozesse so ausgestalten, dass sie die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sichern. Sie haben zu gewährleisten, dass ihre IT-Systeme und die zugehörigen IT-Prozesse grundsätzlich so ausgestaltet sind, dass sie gängige Standards erfüllen. Die Eignung der Systeme und Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeiterinnen und Mitarbeitern zu überprüfen.

Kommt die BaFin zu dem Schluss, dass die Geschäftsorganisation eines Instituts Mängel aufweist, kann sie tätig werden. Grundlage hierfür ist § 25a Absatz 2 Satz 2 KWG. Die BaFin kann zum Beispiel anordnen, dass das betroffene Institut die Mängel beseitigt. Sie kann auch verlangen, dass es zusätzlich zu den gesetzlichen Anforderungen weitere Eigenmittel vorhält. Beides hat die BaFin bei der ebase getan.