menumenu-button
News Events Gallery Publications Press
publications

Newsletter Kapitalmarkt- und Bankrecht, FinTechs Issue 7|2021
Aktualisierung des FMA-Organisationsrundschreibens WAG 2018 

01.10.2021
Am 7. Juli 2021 hat die FMA ihre Aktualisierung des FMA-Rundschreibens betreffend die organisatorischen Anforderungen des Wertpapieraufsichtsgesetzes und der DelVO (EU) 2017/565 („Organisationsrundschreiben WAG 2018“) veröffentlicht. Hintergrund der Aktualisierung war insbesondere die Veröffentlichung der ESMA-Leitlinien zu einigen Aspekten der MiFID II Anforderungen an die Compliance-Funktion am 06.04.2021 (ESMA35-36-1952). Die wesentlichen Aktualisierungen werden nachfolgend kurz dargestellt und betreffen die folgenden Themenbereiche:

  • Jährliche Überprüfung und Informationsaustausch: Die Geschäftsleitung sollte regelmäßig, mindestens aber einmal jährlich, überprüfen, ob die Compliance-Funktion über ausreichende Personalressourcen verfügt und die Qualifikation der Mitarbeiter noch ausreicht, um die Aufgaben der Compliance-Funktion zu erfüllen. Neu ist daran, dass ausdrücklich eine jährliche Überprüfung und auch eine solche hinsichtlich des Vorliegens der ausreichenden Qualifikation der Mitarbeiter vorgeschrieben werden. Der Rechtsträger hat außerdem Vorkehrungen zu treffen, die einen wirksamen Informationsaustausch zwischen der Compliance-Funktion und den anderen Kontrollfunktionen (zB interne Revision sowie Risikomanagementfunktion) sowie mit internen und externen Prüfern gewährleisten. (Rz 23 f)

  • Schlüsselfunktion und Stellung: Der Compliance-Beauftragte gilt nunmehr ausdrücklich als Inhaber einer Schlüsselfunktion, da dieser den Personen zuzurechnen ist, die aufgrund ihrer Position einen wesentlichen Einfluss auf die Geschäftstätigkeit des Unternehmens ausüben. Auch organisatorisch macht das Rundschreiben „neue“ Vorgaben: Unbeschadet der Gesamtverantwortung der Geschäftsleitung sollte der Compliance-Beauftragte nicht einer Person unterstellt sein, die die Verantwortung für die Durchführung der Tätigkeiten trägt, die der Compliance-Beauftragte überwacht und kontrolliert. (Rz 30 f)

  • Fitness & Propriety: Hier übernimmt die FMA die „Generalklausel-artigen“ Vorgaben aus Art 21 DelVO 2017/565: Die Compliance Mitarbeiter müssen über Fähigkeiten, Kenntnisse und Erfahrungen verfügen, die zur Erfüllung der ihnen zugewiesenen Aufgaben erforderlich sind. Wie bisher verlangt die FMA zumindest Kenntnis der MiFID II, der dazugehörigen delegierten Rechtsakte (wie zB die DelVO (EU) 2017/565) und der entsprechenden Rechtsvorschriften des WAG 2018, die hierzu erlassenen Verordnungen der FMA und alle dazugehörigen Standards und Leitlinien der ESMA sowie die einschlägigen FMA-Rundschreiben, sofern diese für die Erfüllung ihrer Aufgaben relevant sind. Zur Aktualisierung ihres Kenntnisstandes sind die Compliance Mitarbeiter regelmäßig zu schulen. Wie diese Schulungen durchzuführen sind, konkretisiert die FMA nunmehr: Schulungen können u.a. in Form von Präsenzschulungen, Nutzung digitaler Lerntechnologien „e-learning“ („web-based training“, „webinare“ ua), einer Kombination aus Präsenzveranstaltungen und Online-Bestandteilen („blended learning“) bzw durch Inanspruchnahme externer Anbieter wahrgenommen werden. Ausschließlich im Selbststudium erworbene Kenntnisse werden demgegenüber von der FMA ausdrücklich als nicht ausreichend erachtet. (Rz 40 ff)

  • Unabhängigkeit der Compliance-Funktion: Es wird nunmehr ausdrücklich eine möglichst hohe hierarchische Ansiedelung der Compliance-Funktion gefordert. Die Stellung in der Hierarchie kann laut FMA ein wesentliches Indiz dafür sein, welche Bedeutung im Unternehmen dem Thema Compliance zugemessen wird. Es darf laut FMA auch zu keiner mittelbaren Beeinflussung der Compliance-Funktion kommen (FMA nennt als Beispiele Gewährung von Prämien bzw Genehmigung von Aus- und Fortbildungsmaßnahmen). Die Überprüfung der Angemessenheit bzw Festlegung von Budgets für die Compliance-Funktion sollte ausschließlich durch die Geschäftsleitung oder zumindest durch den für die Compliance-Funktion disziplinär zuständigen Geschäftsleiter erfolgen. Die Festlegung bzw Vereinbarung von Zielen der Compliance-Funktion (sowie die Überwachung der Zielerfüllung) hat ebenfalls durch die Geschäftsleitung oder zumindest durch den für die Compliance-Funktion disziplinär Zuständigen zu erfolgen. Dementsprechend ist bei der Nominierung und Bestellung des Compliance-Beauftragten sicherzustellen, dass diesem auch effektiv das erforderliche Entscheidungspouvoir sowie die Letztverantwortung im Hinblick auf die Compliance-Funktion zukommt. Zudem ist auch ein geeigneter Eskalationsprozess der Compliance-Funktion an die Geschäftsleitung vorzusehen. (Rz 57 ff)

  • Vereinbarkeiten und Kombinationen: Als Unterkapitel der Unabhängigkeit hat die FMA eine Zweiteilung in Vereinbarkeit und Kombination eingeführt. Unter dem Titel „Vereinbarkeit“ ist es, wie bisher, unter gewissen Voraussetzungen möglich, dass der Geschäftsleiter die Compliance-Funktion übernimmt und dass die Rechtsabteilung und die Compliance-Funktion zusammengelegt werden.

    Unter dem neuen Titel „Kombination“ wird die Funktionszusammenlegung von Compliance-Funktion und Mitarbeitern der Internen Revision nunmehr als „grundsätzlich unzulässig“ (bisher „grundsätzlich zu vermeiden“) erklärt. Ebenfalls wie bisher kann die Zusammenlegung der Compliance-Funktion mit anderen Kontrolleinheiten wie zB Geldwäscheprävention, Risikomangementfunktion zulässig sein, sofern dies keinen nachteiligen Einfluss auf die wirksame und vollumfängliche Aufgabenerfüllung und die Unabhängigkeit der Compliance-Funktion hat. Neu ist, dass die Zusammenlegung der WAG-Compliance-Funktion mit der BWG-Compliance-Funktion gemäß § 39 Abs 6 BWG – unter Berücksichtigung von ausreichenden Ressourcen, die für beide Funktionen zur Verfügung stehen sollen – ausdrücklich ebenfalls zulässig ist. Der Safeguarding-Officer kann weiterhin auch andere Kontrollfunktionen wahrnehmen (zB Compliance-Beauftragter). Konkretisierend geäußert hat sich die FMA auch zur Kombination von Compliance-Funktion und Beschwerdemanagementfunktion: Die Übernahme der Beschwerdemanagementfunktion durch die Compliance-Funktion ist, wie gehabt, grundsätzlich zulässig. Zur Vermeidung allfälliger Interessenkonflikte sollte der Rechtsträger jedoch unter Berücksichtigung des Verhältnismäßigkeitsgrundsatzes möglichst eine Organisationsstruktur wählen, die eine Trennung der Compliance-Funktion von der Beschwerdemanagementfunktion vorsieht. Bei einer Kombination ist auf allfällige Interessenkonflikte Bedacht zu nehmen und sind diese insbesondere im Rahmen der Berichtspflichten der Compliance-Funktion zu berücksichtigen. (Rz 76 ff)

  • Überwachung und Beschwerden: Die FMA weist nunmehr darauf hin, dass die Kontrollen durch die Geschäftsbereiche oder andere interne Kontrolleinheiten nicht die Vornahme eigenständiger Überwachungsmaßnahmen der Compliance-Funktion ersetzen können. Die FMA fordert aber ausdrücklich von der Compliance-Funktion ex-post eine gesamthafte Analyse der Beschwerden und deren Abwicklung vorzunehmen, um sicherzustellen, dass alle Risiken und Probleme ermittelt und behoben wurden. Die Compliance-Funktion hat im Rahmen ihrer jährlichen Berichterstattung die Informationen über die Abwicklung von Beschwerden sowie die diesbezüglich ergriffenen oder zu ergreifenden Abhilfemaßnahmen aufzunehmen. (Rz 111 ff)

  • Berichterstattung: Die FMA macht nunmehr sehr umfangreiche inhaltliche Vorgaben für den jährlichen schriftlichen Bericht der Compliance Funktion. So ist konkret aufgelistet, welche Punkte, soweit relevant, die schriftlichen Compliance-Berichte jedenfalls enthalten sollten. Es wird auch aufgelistet, welche Mindestangaben der Abschnitt des Tätigkeitsberichts zu den Produktüberwachungsanforderungen aufweisen sollte. Sofern die Beschwerdemanagementfunktion durch die Compliance-Funktion übernommen wurde, hat der Tätigkeitsbericht der Compliance-Funktion weitere Ausführungen zu enthalten. (Rz 117 ff)

  • Auslagerung: Neu ist die Vorgabe, dass bei vollständiger Auslagerung der Compliance-Funktion eine natürliche Person als Compliance-Beauftragter beim Dienstleister zu benennen ist, der für die ausgelagerten Tätigkeiten der Compliance-Funktion sowie für die Compliance-Berichterstattung im auslagernden Unternehmen verantwortlich zeichnet. Anzumerken ist auch noch, dass soweit die Compliance-Funktion vollständig bzw die Aufgaben der Compliance-Funktion teilweise an Dienstleister außerhalb der EU ausgelagert werden, es einer gesteigerten Due-Diligence-Prüfung sowie einer laufenden Kontrolle bedarf, um die Aufsicht und Überwachung des Auslagerungsvorhabens sicherzustellen. (Rz 143 ff)

  • Beschwerdemanagement: Die Aktualisierung macht interne Vorkehrungen notwendig, die Vorgaben zur Abwicklung der Beschwerdebearbeitung wie zB Fristsetzung und Abarbeitung sowie die Kontrolle der Einhaltung von festgelegten Fristen bei der Bearbeitung von Beschwerden enthalten. Die Einhaltung dieser Vorgaben ist durch ein angemessenes internes Kontrollsystem zu überprüfen. (Rz 157)

  • Safeguarding-Officer: Sofern auf den Compliance-Beauftragten nicht zugleich die Verantwortung des Safeguarding-Officer übertragen wurde, handeln beide Funktionen unabhängig voneinander. Eine Überwachungspflicht durch die Compliance-Funktion besteht gegenüber der Funktion des Safeguarding-Officer bei Einrichtung von zwei getrennten Funktionen durch den Rechtsträger nicht. Ebenfalls besteht gegenüber dem Safeguarding-Officer keine Weisungsbefugnis des Compliance-Beauftragten. (Rz 150 f)

Vor dem Hintergrund dieser Aktualisierungen raten wir dazu, sich eingehend mit dem aktualisierten Organisationsrundschreiben WAG 2018 zu beschäftigen. Dies einerseits vor dem Hintergrund des Setups Ihrer Organisation, da die Aktualisierungen eine neue Aufsichtspraxis der FMA darstellen. Andererseits raten wir auch dazu, ihre Mitarbeiter hinsichtlich der Neuerungen zu schulen. Laut altem wie aktualisierten Rundschreiben müssen nämlich die Compliance Mitarbeiter die einschlägigen FMA-Rundschreiben kennen.

Dr. Sebastian Sieder