Aufsichtsrat 2.0: Haftungsrisiken bei Digital-Governance nach MaRisk 2024

Die Rolle des Aufsichtsrats hat sich in den letzten fünf Jahren fundamental verändert. War der Aufsichtsrat traditionell ein strategisches Kontrollorgan, das auf Berichte des Vorstands reagierte, wird er heute zunehmend in die laufende Überwachung technischer Risiken und digitaler Geschäftsprozesse eingebunden. Die MaRisk-Novelle 2024 – das zentrale Rundschreiben der BaFin zum Risikomanagement von Banken – schreibt Aufsichtsräten von Genossenschaftsbanken und größeren Instituten detailliertere Pflichten zur Überwachung von IT-Risiken, Auslagerungen und Zweiter-Verteidigungslinie zu. Die 9. Novelle 2026 liegt seit April 2026 in der Konsultation und verschärft die Anforderungen weiter. Für Aufsichtsräte bedeutet das: Neue Dokumentationspflichten, neue Qualifikationsanforderungen, neue Haftungsrisiken bei Untätigkeit.

Das Wichtigste in Kürze

• Die MaRisk-Novelle 2024 erweitert die Pflichten von Aufsichtsräten bei Banken um IT-Governance, Auslagerungs­controlling und ICT-Risiken – betroffen sind auch Genossenschaftsbanken und genossenschaftliche Wertpapier­institute.

• Aufsichtsräte haften nach § 34 GenG (bzw. § 116 AktG analog) für Untätigkeit: Wer sich nicht mit dokumentierten IT-Risikoberichten auseinandersetzt, riskiert persönliche Haftung – die BaFin prüft das aktiv.

• Drei praktische Sofortmaßnahmen: eigener Ausschuss für IT-/Digital-Governance, geschulte Aufsichtsratsmitglieder mit IT-Expertise, regelmäßige Protokollierung von IT-Risikoberichten mit Follow-Up-Dokumentation.

MaRisk 2024 und neue Pflichten

MaRisk steht für Mindestanforderungen an das Risikomanagement und ist das zentrale BaFin-Rundschreiben für die bankaufsichtsrechtliche Risiko-Governance. Es enthält qualitative Vorgaben, die für alle Banken, Wertpapierinstitute und einen Teil der Zahlungsdienstleister gelten – von der Risikostrategie über interne Kontrollsysteme bis zu Auslagerungen. Die 8. Novelle wurde 2024 veröffentlicht und brachte zwei zentrale Neuerungen: Sie übertrug Teile der EU-Leitlinien zur IT-Governance in die deutsche Aufsichtspraxis, und sie erweiterte die Befassungspflichten des Aufsichtsrats bei wesentlichen Risikoentscheidungen. Die 9. Novelle 2026 greift insbesondere ICT-Risiken und die Schnittstellen zur DORA-Verordnung auf.

Für Genossenschaftsbanken ist MaRisk keine neue Materie – die Institute werden seit Jahren durch BaFin und Bundesbank geprüft. Neu ist aber der Grad, in dem der Aufsichtsrat persönlich in die Pflicht genommen wird. Die BaFin erwartet, dass der Aufsichtsrat regelmäßig schriftliche IT-Risikoberichte des Vorstands erhält, diese bewertet und Follow-Up-Aktionen beschließt. Werden erkannte Schwächen nicht nachverfolgt, kann das zu aufsichtsrechtlichen Maßnahmen und im Einzelfall zu persönlicher Haftung führen. Die rechtliche Basis liefern § 25a KWG, § 34 GenG und – analog – die Rechtsprechung des Bundesgerichtshofs zu § 116 AktG.

Was sich konkret für Aufsichtsräte ändert

Die MaRisk-Novelle 2024 verankert vier erweiterte Pflichten für Aufsichtsräte. Erstens eine Befassungspflicht mit wesentlichen IT-Risiken: Der Aufsichtsrat muss regelmäßig IT-Risikoberichte erhalten und mindestens einmal im Jahr deren Angemessenheit bewerten. Zweitens eine Überwachungspflicht für Auslagerungen, insbesondere Cloud-Dienstleister: Wer mit externen Rechenzentren, Software-as-a-Service-Anbietern oder IT-Dienstleistern arbeitet, muss das über den Aufsichtsrat transparent machen und regelmäßig nachhalten. Drittens eine Kenntnispflicht zur Second Line of Defense – also der internen Revision und dem Compliance-Bereich. Viertens eine Dokumentationspflicht: Sitzungsprotokolle müssen zeigen, dass IT-Themen tatsächlich diskutiert wurden.

Diese Pflichten gelten für alle CRR-Institute. Für Genossenschaftsbanken mit Bilanzsumme unter einer Milliarde Euro sind einzelne Anforderungen vereinfacht – das Proportionalitätsprinzip greift – aber die Grundpflicht zur Befassung bleibt. Die BaFin hat 2025 mehrere Veröffentlichungen publiziert, in denen sie explizit darauf hinweist, dass „Befassung“ nicht „Kenntnisnahme“ meint: Der Aufsichtsrat muss Fragen stellen, Antworten dokumentieren und bei erkennbaren Schwächen Beschlüsse fassen. Passives Abnicken reicht nicht.

Anwendbarkeit: Banken, Wertpapierinstitute, sonstige Genossenschaften

Direkt adressiert werden durch MaRisk die CRR-Institute: Genossenschaftsbanken aller Größenklassen, die großen Zentralinstitute und die Wertpapierinstitute im genossenschaftlichen Sektor. Für sonstige Genossenschaften – Wohnen, Energie, Agrar, Handwerk, Konsum – gilt MaRisk nicht unmittelbar. Aber die Grundgedanken strahlen aus. Die persönliche Haftung des Aufsichtsrats nach § 34 GenG verlangt auch bei nicht-regulierten Genossenschaften, dass der Aufsichtsrat die laufende Geschäftsführung mit einer geeigneten Sorgfalt überwacht. Bei großen Wohnungsgenossenschaften mit komplexen Immobilienportfolios, bei Energiegenossenschaften mit Handelsgeschäften oder bei Agrargenossenschaften mit hohen IT-Investitionen in Smart Farming gilt: Wer die technische Grundausstattung des Betriebs nicht versteht, kann nicht überwachen – und verletzt damit seine Pflicht.

Die Gerichte haben diese Parallele mehrfach gezogen. Der Bundesgerichtshof hat in der ARAG-Entscheidung (1997) und in den Folgeentscheidungen festgelegt, dass Aufsichtsratsmitglieder sich die erforderliche Sachkenntnis aneignen müssen, um die Tätigkeit des Vorstands überprüfen zu können. Für die moderne Praxis heißt das: Wer in den Aufsichtsrat einer IT-affinen Genossenschaft gewählt ist, muss grundlegende IT-Governance-Begriffe beherrschen – und wenn nicht, sich schulen lassen oder das Mandat ablehnen.

Abgrenzung und Schwachstellen

§ 38 GenG schreibt die laufende Überwachung der Geschäftsführung durch den Aufsichtsrat seit der Urfassung des Gesetzes fest. Die Norm ist weit gefasst und bewusst technikneutral. Neu ist nicht die Pflicht, sondern ihr Zuschnitt auf digitale Geschäftsprozesse. In einer Genossenschaftsbank der 1990er Jahre war IT eine Hilfsfunktion – Kontoführung, Überweisungen, Kreditakten auf Papier, Buchhaltung am Rande. Heute ist IT die Geschäftsgrundlage: Alle Vertragsabschlüsse laufen digital, die Risikomodellierung ist algorithmisch, Kundenkommunikation läuft über Apps, und externe Cloud-Dienstleister halten mehrere Funktionen im Maschinenraum bereit. Wer diese Geschäftsgrundlage nicht überwacht, überwacht das Geschäft nicht.

Damit wird Digital-Governance zur Pflichtmaterie des Aufsichtsrats. Das ist keine Erfindung der MaRisk, sondern eine Konkretisierung dessen, was § 38 GenG schon immer verlangte. Der Unterschied: Die Aufsicht macht die Pflicht nun explizit und prüft sie aktiv. Wer als Aufsichtsratsmitglied sagt „Ich kenne mich mit IT nicht aus, das macht der Vorstand“, setzt sich einem wachsenden Haftungsrisiko aus.

Typische Schwachstellen in der Praxis

Aufsichtsratspraxis zeigt regelmäßig drei Schwachstellen. Die erste ist der Qualifikationslücken-Aufsichtsrat: Mitglieder sind langjährig verdient, bringen Branchen- und Mitgliederexpertise mit, aber keine IT-Kenntnis. Die zweite ist die Protokoll-Schwäche: Sitzungen berühren IT-Themen, aber die Protokolle halten nur ein „zur Kenntnis genommen“ fest, nicht aber Fragen, Diskussion und Follow-Up. Die dritte ist die fehlende Zweite Verteidigungslinie: Interne Revision und Compliance berichten an den Vorstand, nicht direkt an den Aufsichtsrat – was die unabhängige Bewertung erschwert.

Die 9. MaRisk-Novelle 2026 adressiert alle drei Punkte. Sie verlangt, dass mindestens ein Aufsichtsratsmitglied nachweisbare IT-Governance-Kenntnisse hat – entweder aus dem Berufsprofil oder aus dokumentierter Fortbildung. Sie schreibt strukturierte Protokollpflichten vor. Und sie erweitert die Berichtswege: Interne Revision und Compliance berichten künftig mindestens einmal jährlich direkt an den Aufsichtsrat, zusätzlich zum regulären Vorstandskanal. Für kleine Genossenschaftsbanken wird das eine spürbare Umstellung – lässt sich aber durch strukturierte Ausschüsse lösen.

Empfehlungen und Haftungslage

Sechs praktische Schritte helfen, die neuen Anforderungen beherrschbar zu machen. Erstens: Bildung eines IT- oder Prüfungsausschusses, der sich speziell mit IT-Governance, Auslagerungen und Zweiter Verteidigungslinie befasst. Zweitens: Prüfung der eigenen Qualifikationsstruktur – mindestens ein Mitglied sollte belastbare IT-Expertise haben oder sie sich aneignen. Drittens: Anforderung eines standardisierten IT-Risikoberichts vom Vorstand, mindestens vierteljährlich, mit einheitlichem Format. Viertens: Strukturiertes Sitzungsprotokoll, das Fragen, Diskussion und Beschlüsse dokumentiert, nicht nur Kenntnisnahmen.

Fünftens: Jahresgespräche mit der Internen Revision und der Compliance-Funktion, unabhängig vom Vorstand. Die Vorbereitung durch Aktenstudium sollte protokolliert werden. Sechstens: Dokumentation der eigenen Fortbildung – Seminare, Webinare, Fachliteratur. Im Haftungsfall ist der Nachweis der Sorgfaltsbemühung oft ausschlaggebend. Eine jährliche Selbstevaluation des Aufsichtsrats, wie sie der Deutsche Corporate Governance Kodex empfiehlt und der Reformentwurf 2025 nahelegt, schließt den Kreis.

Haftung in der Praxis: Was passieren kann, wenn nichts passiert

Die persönliche Haftung des Aufsichtsrats ist in § 34 GenG und in ständiger Rechtsprechung des Bundesgerichtshofs verankert. Sie greift, wenn Aufsichtsratsmitglieder ihre Pflichten verletzen und dadurch ein Schaden entsteht – unabhängig davon, ob sie den Schaden selbst verursacht haben. Die klassische Konstellation: Ein IT-Sicherheitsvorfall, ein Datenabfluss, ein erfolgreicher Cyberangriff. Die BaFin prüft im Nachgang, ob die Institutsleitung und der Aufsichtsrat ihre Pflichten erfüllt haben. Zeigen Protokolle, dass der Aufsichtsrat über Warnzeichen informiert war und nicht reagiert hat, wird die Haftung aktuell.

In der Praxis dominiert zwar die Sanktion der Aufsichtsbehörde (Bußgelder, Abberufung, besondere Auflagen). Zivilrechtliche Haftung ist seltener, aber nicht unrealistisch: Wenn ein Schaden bei der Genossenschaft entstanden ist, kann diese ihren eigenen Aufsichtsrat auf Schadensersatz in Anspruch nehmen. Die Versicherung solcher Ansprüche erfolgt typischerweise über eine D&O-Police, die aber nicht grob fahrlässiges Handeln abdeckt – und das „Nichtbefassen mit IT-Risiken trotz Warnhinweisen“ wird von Gerichten regelmäßig als grob fahrlässig eingeordnet. Der Eigenbeitrag im Schadensfall kann substantiell sein.

Häufige Fragen

Gilt MaRisk auch für kleine Genossenschaftsbanken?

Ja. MaRisk gilt für alle CRR-Institute. Für kleinere Banken gelten Erleichterungen nach dem Proportionalitätsprinzip, aber die Grundpflicht zur Befassung des Aufsichtsrats mit IT-Risiken, Auslagerungen und Zweiter Verteidigungslinie bleibt. BaFin und Bundesbank prüfen das bei Vor-Ort-Prüfungen aktiv.

Muss jedes Aufsichtsratsmitglied IT-Expertise haben?

Nein, aber mindestens eines sollte belastbare Kenntnisse in IT-Governance haben – aus Berufserfahrung oder dokumentierter Fortbildung. Die 9. MaRisk-Novelle 2026 formuliert diese Anforderung explizit. Alle anderen Mitglieder müssen jedoch die Grundbegriffe verstehen, um die Berichte bewerten zu können.

Ab welcher Größe braucht die Genossenschaftsbank einen eigenen IT-Ausschuss?

Die BaFin formuliert dazu keine harte Grenze. In der Praxis richten Genossenschaftsbanken ab etwa 500 Millionen Euro Bilanzsumme einen Prüfungs- oder Risikoausschuss ein, der IT-Themen behandelt. Bei kleineren Banken übernimmt der Gesamtaufsichtsrat die Aufgabe, oft mit einem benannten Verantwortlichen.

Wie oft muss der Aufsichtsrat sich mit IT-Risiken befassen?

Die BaFin erwartet eine jährliche Gesamtbewertung und eine laufende Befassung mit aktuellen Risikoberichten – in der Praxis vierteljährlich. Nach wesentlichen Vorfällen ist eine ad-hoc-Befassung geboten.

Deckt eine D&O-Police das Haftungsrisiko ab?

Nur teilweise. Einfache Fahrlässigkeit und Vermögensschäden sind typischerweise abgedeckt, grob fahrlässiges Handeln oder vorsätzliche Pflichtverletzungen nicht. Gerichte ordnen das „Nichtbefassen“ mit IT-Risiken trotz Warnhinweisen regelmäßig als grob fahrlässig ein. Der Eigenbeitrag kann substantiell sein.

Was unterscheidet MaRisk von DORA?

DORA ist die EU-Verordnung zu digitaler Betriebsstabilität, in Kraft seit Januar 2025. Sie überschneidet sich mit MaRisk in der IT-Governance, setzt aber stärker auf technische Resilienz, Incident-Reporting und Drittparteien-Management. Die 9. MaRisk-Novelle 2026 stellt die Überlappung her; für Aufsichtsräte gilt: Beide Rechtsakte verlangen ähnliche Dokumentations- und Befassungspflichten.

Für eine individuelle Einschätzung oder Unterstützung steht Ihnen der Genossenschaftsverband der Länder e.V. (GVdL) gern zur Verfügung. Kontakt: Kathrin Becher, info@gvdl.de, www.gvdlverband.de.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle steuerliche oder rechtliche Beratung.

Quellen

• Genossenschaftsgesetz (GenG) – aktuelle Fassung

• Kreditwesengesetz (KWG) – Inhaltsverzeichnis

• Aktiengesetz (AktG) – analog für Aufsichtsratshaftung

• BaFin – Konsultation 02/2026 (9. MaRisk-Novelle)

• BaFin – Startseite (Rundschreiben und Veröffentlichungen)