Durch den Tag führen die Moderatoren Dirk Jargstorff (stellvertretender Vorsitzender der aba und Leiter der Fachvereinigung Pensionsfonds, Robert Bosch GmbH / Bosch Pensionsfonds) und Andreas Hilka (Leiter des aba-Fachausschusses Kapitalanlage und Regulatorik, Pensionskasse der Mitarbeiter der Hoechst-Gruppe).

Kapitalismus – Populismus – Demokratie

In dem Eröffnungsvortrag stellt Dr. Hans-Jörg Naumer (Allianz Global Investors) fest, dass der Anteil der Weltbevölkerung, der in Diktaturen und Autokratien lebt, in den vergangenen Jahren stark angestiegen ist. Aktuell lebt nur noch weniger als ein Drittel der Menschen in einer Demokratie. Gleichzeitig sind populistische Parteien und Regierungen auf dem Vormarsch, auch in etablierten Demokratien wie den USA und den EU-Mitgliedstaaten. Besorgniserregend ist in diesem Zusammenhang auch, dass die Mehrheit der EU-Bevölkerung mit dem Status der Demokratie in ihrem Heimatland (eher) unzufrieden ist. Charakteristisch für populistische Akteure ist, dass man sich als „das wahre Volk“ versteht, welche sich gegen „die Eliten“ auflehnt. Aus ökonomischer Sicht ist Populismus ein Verteilungskonflikt über einen Kuchen, dessen Größe konstant bleibt.

Allerdings ist zu beobachten, dass sich diese Sichtweise wirtschaftlich nicht auszahlt. Unter populistischen Regierungen entwickeln sich Volkswirtschaften im Durchschnitt schlechter als unter nicht populistischen. Dies trifft sowohl auf das reale Bruttoinlandsprodukt als auch auf die Performance der Aktienmärkte zu. Ferner bestehen positive Korrelationen zwischen wirtschaftlicher Freiheit und Wohlstand sowie zwischen Demokratie und Eigentumsrechten – eine offene Gesellschaft braucht demnach eine offene Wirtschaft. Stabile Institutionen und ein stabiler Rechtsrahmen sind wirtschaftsförderlich. Populistische Parteien werden vorwiegend von Menschen gewählt, die sich abgehängt fühlen. Entsprechend beendet Herr Dr. Naumer seinen Vortrag mit einem Appell an die Politik, ein stärkeres Augenmerk auf Vermögensbildung zu setzen – dazu gehört auch Altersvorsorgevermögen.

MetallRente Studie 2025 „Jugend, Vorsorge, Finanzen“

Hansjörg Müllerleile (MetallRente) stellt im Anschluss die aktuelle MetallRente Studie vor, im Rahmen derer das Versorgungswerk im dreijährigen Rhythmus 17- bis 27-Jährige zu ihrer Sicht auf die Themen Finanzen und Vorsorge befragt. Auffällig ist, dass im Lauf des vergangenen Jahrzehnts der Anteil der jungen Erwachsenen, die pessimistisch auf ihre finanzielle Zukunft blicken, deutlich angestiegen ist. Knapp über die Hälfte der Befragten haben Angst vor Altersarmut, gut ein Viertel fühlt sich mit dem Thema Altersvorsorge überfordert. 54 Prozent der jungen Erwachsenen sparen bereits für das Alter. Die beliebtesten Sparvehikel sind Aktien und Fonds (62 Prozent, starker Aufwärtstrend über die vergangenen 15 Jahre), gefolgt von festverzinslichen Anlageformen (55 Prozent, Abwärtstrend) und der betrieblichen Altersversorgung (40 Prozent, Aufwärtstrend).

Mit Blick auf die Anbieter von Altersvorsorgeprodukten genießen Angebote vom Arbeitgeber (z.B. betriebliche Pensionskassen) das höchste Vertrauen der Befragten. Gleichzeitig sind vier von fünf jungen Erwachsenen der Auffassung, dass Altersvorsorge über den Betrieb sich vor allem lohnt, wenn der Arbeitgeber sich ebenfalls an der Beitragszahlung beteiligt. Als wichtigste Kriterien für die ideale Altersvorsorge nennen die Befragten – und dies unabhängig von der Art der Vorsorge – mit lebenslangen Leistungen, sicheren Beiträgen – also Sicherheit, dass die gezahlten Beiträge später auch für das Alter zur Verfügung stehen – und einer guten Wertsteigerung am häufigsten Merkmale, die charakteristisch für die betriebliche Altersversorgung sind.

Rentenpolitische Agenda der Bundesregierung

Thomas Kaulisch (BMAS) geht auf das Gesamtpaket der aktuellen Rentenreform ein, welches zum Zeitpunkt der Tagung im Koalitionsausschuss diskutiert wird. Dieses besteht aus den Einzelgesetzen „Rentenpaket 2025“ (Verlängerung der Haltelinie beim Rentenniveau und Einführung der Mütterrente III), „Aktiv-Rente“, „Frühstart-Rente“ und „Zweites Betriebsrentenstärkungsgesetz (BRSG II)“, wobei das letztgenannte den Schwerpunkt des Vortrags darstellt. Die Rentenreform wird die Grundlage sein, auf die im nächsten Jahr die Rentenkommission aufsetzen wird, um Perspektiven für die Zeit nach 2031 zu entwickeln.

Das Ziel des BRSG II ist es, die Verbreitung der betrieblichen Altersversorgung zu erhöhen, deren Verbreitung seit 2020 relativ zu der Zahl der sozialversicherungspflichtig Beschäftigten leicht rückläufig ist und aktuell bei 51,9 Prozent liegt. Besonders in kleinen und mittleren Betrieben sowie unter Niedrigverdienern gibt es noch signifikante Potenziale für mehr Betriebsrenten. Um diese zu heben, setzt die Bundesregierung verstärkt auf das Sozialpartnermodell, welches mit dem BRSG II weiterentwickelt werden soll – etwa durch eine Vereinfachung des tarifvertraglichen „Andockens“ an bestehende Modelle sowie die Klarstellung, dass eine fehlerhafte Beteiligung der Sozialpartner bei der Durchführung und Steuerung keine Auswirkungen auf die Wirksamkeit der reinen Beitragszusage hat. Ferner macht Herr Kaulisch auf die Evaluationsklausel aufmerksam, nach der das BMAS bis 2030 untersucht, ob es durch die Maßnahmen des BRSG II zu einer signifikanten Erhöhung der Verbreitung der betrieblichen Altersversorgung gekommen ist. Sollte dem nicht so sein, könnte es zu einer Debatte über die Freiwilligkeit in der zweiten Säule kommen. 

Aufsichtsrechtliche Entwicklungen zu EbAV in Berlin und Brüssel

Dr. Susanne Ahrens (BMF) gibt zu Beginn ihres Vortrags einen Überblick zu aktuellen Entwicklungen im nationalen Aufsichtsrecht. Die überarbeitete Anlageverordnung ist bereits Ende Januar 2025 in Kraft getreten. Mit dem Ziel der Ermöglichung einer renditeorientierteren Kapitalanlage für Pensionskassen sieht der Entwurf des BRSG II die Möglichkeit einer temporären Unterdeckung (gebunden an konkrete Anforderungen) vor. Sozialpartnermodelle sollen eine zusätzliche Option bei der Pufferbildung erhalten, sodass größere Schwankungen bei den Auszahlungen vermieden werden können. In der dritten Säule soll die Riester-Rente in ein neues, von bürokratischen und regulatorischen Hemmnissen (wie z.B. verpflichtenden Garantien) befreites Vorsorgeprodukt überführt werden.

Mit Blick auf die EU-Ebene steht die Weiterentwicklung der Kapitalmarktunion zu einer „Spar- und Investitionsunion“ (Savings and Investments Union bzw. SIU) im Mittelpunkt des Vortrags von Frau Dr. Ahrens. Im Zuge dieses Vorhabens hat die EU-Kommission ein umfangreiches Arbeitsprogramm verfasst. Die Bundesregierung unterstützt das Ziel der Stärkung der europäischen Kapitalmärkte und der Wettbewerbsfähigkeit der Mitgliedstaaten. Priorität haben für Berlin hierbei die Verbesserung der Finanzierungsbedingungen für Start-Ups und Scale-Ups, die Stärkung der Beteiligung privater Haushalte am Kapitalmarkt sowie der Bürokratieabbau – hier ermutigt das BMF explizit dazu, auf Vereinfachungspotenziale hinzuweisen. Seit der Veröffentlichung der Mitteilung „Spar und Investitionsunion“ der EU-Kommission ist das Thema „Kapitalanlage von EbAV“ in den Vordergrund gerückt. Für EbAV besonders relevant ist auch in diesem Zusammenhang die Überarbeitung der EbAV-II Richtlinie, zu der ein Vorschlag der EU-Kommission noch in Q4 2025 erwartet wird. Das BMF hält hier allenfalls punktuelle Anpassungen für notwendig. Unklar ist allerdings, inwieweit sich EIOPAs Technical Input auf den Kommissionsvorschlag auswirken wird – bei vielen der aufgeworfenen Punkte ist die Frage zu stellen, ob diese noch zum Grundsatz der Minimalharmonisierung passen. Aus deutscher Sicht ist zudem bedenklich, dass leistungsorientierte (DB) Systeme von EIOPA als „legacy“ betrachtet werden.

Ebenfalls in Q4 2025 ist mit einem Vorschlag zur Überarbeitung der Verordnung über ein Pan-Europäisches Privates Pensionsprodukt (PEPP) zu rechnen, ein (bislang mangels Angebot und Nachfrage gescheitertes) EU-Produkt der dritten Säule. Dabei macht Frau Dr. Ahrens darauf aufmerksam, dass in vielen EU-Mitgliedstaaten die Differenzierung zwischen der zweiten und der dritten Säule weniger trennscharf ist als in Deutschland – so wird beispielsweise über Arbeitgeberbeiträge in PEPPs diskutiert. Ferner ist in diesem Jahr noch mit Brüsseler Empfehlungen (nicht-gesetzliche Vorschläge) zu Renten-Trackingsystemen, Pension Dashboards und automatischer Einbeziehung zu rechnen. Zum Abschluss weist Frau Dr. Ahrens auf die zeitlichen und inhaltlichen Überscheidungen der Altersvorsorgediskussion zwischen nationaler und europäischer Ebene hin.

Europäische Rentenpolitik aus aba-Sicht

Christian Röhle (Pensionskasse der Mitarbeiter der Hoechst-Gruppe) stellt fest, dass angesichts des massiven Investitionsbedarfs in den Mittgliedstaaten die kapitalgedeckte zusätzliche Altersvorsorge derzeit stark im Fokus von verschiedenen EU-Akteuren steht. Entsprechend hat die EU-Kommission Mitte 2025 die umfangreiche „Targeted Consultation on Supplementary Pensions“ veröffentlicht. In ihrer Antwort auf die Konsultation, die Herr Röhle im Rahmen seines Vortrages vorstellt, betont die aba, dass es insbesondere in Mitgliedstaaten mit entwickelter zweiter Säule keinen Bedarf für das PEPP gibt. Es sollte daher nicht versucht werden, durch regulatorische Maßnahmen einen künstlichen Markt für dieses Produkt zu erzeugen. Um eine Beschädigung der betrieblichen Altersversorgung zu vermeiden, ist insbesondere davon abzusehen, das PEPP auf die zweite Säule auszuweiten bzw. dessen Vertrieb im „workplace context“ zu unterstützen. Die Entscheidung über die Nutzung eines solchen Ansatzes muss auf nationaler Ebene getroffen werden.

Hinsichtlich der Überarbeitung der EbAV-II Richtlinie ist aus Sicht der aba angesichts der Heterogenität von EbAV in der EU unbedingt am Grundsatz der Minimalharmonisierung festzuhalten. Die in der Konsultation an vielen Stellen vorgeschlagenen zusätzlichen Regulierungsmaßnahmen sind nicht geeignet, den Verbreitungsgrad der betrieblichen Altersversorgung weiter zu erhöhen. Zudem fehlen – vor allem angesichts der von der EU-Kommission insgesamt angestrebten Entbürokratisierung – Vorschläge zur Reduktion regulatorischer Vorgaben für EbAV. Auf die Frage der EU-Kommission, ob die vergleichsweise geringe Größe von EbAV ein Hindernis für eine diversifizierte Kapitalanlage darstellt, entgegnet die aba, dass die Größe nur einer von mehreren hierfür relevanten Faktoren ist. Durch Investments insbesondere über Spezialfonds (AIF) können auch kleinere Einrichtungen Skaleneffekte nutzen und kosteneffizient operieren. 

Kapitalanlage von EbAV – Status quo und künftige Möglichkeiten aus Sicht der BaFin

Dr. Andreas Zapp (BaFin) erläutert, dass Pensionskassen noch mehr als der Gesamtmarkt aufgrund der Niedrigzinsphase der vergangenen Jahre verstärkt in alternative Anlageklassen wie Immobilien, Private Debt und Private Equity investiert haben. Die Kapitalanlage in diese Assetklassen erfolgt überwiegend indirekt. Entsprechend hat die Aufsicht verstärkt entsprechende Risiken im Blick und prüft im Jahr 2025 unter anderem Pensionskassen näher hinsichtlich ihres Risikomanagements bei alternativen Kapitalanlagen, der Herleitung ihrer Strategic Asset Allocation und der Ausgestaltung ihres Kapitalanlage-Limitsystems. Die Erkenntnisse dieser Prüfung werden auf der BaFin-Konferenz am 29. Oktober 2025 vorgestellt. Grundsätzlich beeinträchtigen die aktuellen geopolitischen Umbrüche die Finanzmärkte und besonders auch die exportlastige deutsche Wirtschaft. Es ist davon auszugehen, dass sich dies auf das Kapitalanlageverhalten von EbAV auswirken wird.

Der nächste BaFin-Stresstest für Pensionskassen, der voraussichtlich im Januar konsultiert und Ende Februar 2026 veröffentlicht wird, wird voraussichtlich die Struktur des bisherigen Stresstests haben, aber „entschlackt“ sein. Die Szenarien werden überarbeitet, u.a. im Hinblick auf Infrastruktur. Die Definition von Infrastruktur soll dabei so abstrakt wie möglich belassen werden. Hinsichtlich des Merkblatts der BaFin Wertpapieraufsicht zur Einflussnahme auf Investmentvermögen soll ein weiterer Entwurf veröffentlicht werden. Es liegt hierzu allerdings noch keine Zeitschiene vor, und es bleibt offen, inwieweit Altersversorgungseinrichtungen in den Prozess eingebunden werden. Die bisher geäußerte Kritik wurde jedenfalls ernst genommen. Ist der letztgenannte Arbeitsprozess abgeschlossen und sind die technischen Änderungen im Standortfördergesetz erfolgt, wird die Arbeit an der Überarbeitung des BaFin-Kapitalanlage-Rundschreibens wieder aufgenommen. Es ist nicht davon auszugehen, dass die Aufsichtsbehörde hierzu vor Januar 2026 konsultieren wird. Zu erwarten ist ferner eine Überarbeitung des Treuhänder-Rundschreibens, und zwar mit dem Ziel der Entbürokratisierung.

KI-Verordnung – Relevanz und Umsetzung in einer EbAV

Dr. Thomas Müller (SOKA-BAU) erläutert, dass die europäische KI-Verordnung im August 2024 in Kraft getreten ist. Seitdem erwachsen aus dieser immer mehr Anforderungen für Unternehmen. Die Verordnung, die einen risikobasierten Ansatz verfolgt, enthält unter anderem harmonisierte Transparenzpflichten und Vorschriften für die Verwendung von KI-Systemen und definiert Verbote bestimmter Praktiken im KI-Bereich und besondere Anforderungen an Hochrisiko-KI-Systeme. Grundsätzlich rät Herr Dr. Müller dazu, dass Einrichtungen zunächst anhand des von ihm vorgestellten Fragenkatalogs prüfen, ob die KI-Verordnung überhaupt Anwendung findet. Wird dies bejaht, gilt es, konkrete Pflichten anhand des Risikos, das von dem jeweiligen KI-System ausgeht, zu identifizieren. Grundsätzlich gilt: Je größer die Risiken für die Gesellschaft und die Grundrechte betroffener Personen durch ein KI-System sind, desto umfangreicher reguliert die KI-Verordnung dieses System oder verbietet dessen Einsatz sogar. 

Am 11. September 2025 hat das Bundesministerium für Digitales und Staatsmodernisierung einen Referentenentwurf für ein „KI-Marktüberwachungs- und Innovationsförderungsgesetz“ (KI-MIG) vorgelegt, welches die KI-Verordnung mit weiteren Vorgaben flankiert. Kerninhalte des Entwurfs sind unter anderem Marktüberwachungsstrukturen, Melde-, Transparenz- und Dokumentationspflichten sowie ein Sanktionsregime. Konkret sieht der Entwurf unter anderem vor, dass die Bundesnetzagentur die zentrale Rolle für Hochrisiko-KI übernimmt. Da die Verantwortlichkeit von Fachaufsichten sektorspezifisch geregelt wird, bleibt für EbAV die BaFin zuständig. Hochrisiko-KI-Systeme müssen gemeldet und registriert werden. EbAV müssen umfassende technische Dokumentationen, Risikobewertungen und Nachweise bereithalten – vergleichbar mit Vorgaben des Produktsicherheits- oder Datenschutzrechts. Ferner müssen Nutzer klar erkennbar informiert werden, wenn sie mit KI-Systemen interagieren. Das betrifft beispielsweise Chatbots im Kundenservice oder automatisierte Bewerbungsverfahren. Verstöße können neben Bußgeldern auch Reputationsschäden zur Folge haben. Herr Dr. Müller spricht sich dafür aus, für die Sanktionierung von Verstößen nach Art. 99 Abs. 3 bis 5 KI-VO anstelle eines Verweises auf die Vorschriften des Gesetzes über Ordnungswidrigkeiten einen eigenen Tatbestand in § 332 VAG zu schaffen.

Digital Operational Resilience Act (DORA) und EbAV – Perspektive der BaFin

Jochen Zengler (BaFin) betont, dass sich die Aufsicht der mit der DORA-Verordnung verbundenen Herausforderungen für EbAV (z.B. aufgrund derer häufig begrenzten personellen Ressourcen und hoher Abhängigkeit von IT-Dienstleistern) bewusst ist. Jede EbAV sollte sich zum jetzigen Zeitpunkt gleichwohl dokumentiert mit allen Anforderungen befasst haben und entweder fertige Lösungen oder zumindest Lösungsansätze mit belastbaren Zeitplänen bei nicht erreichten Zielen haben. Von den Einrichtungen erwartet die BaFin beispielsweise die Entwicklung eines DORA-Compliance Projekts, die Dokumentation von Prozessen, Risiken und Kontrollen sowie eine Stärkung des Drittanbieter-Managements.

Zur Kontrolle der Einhaltung der DORA-Bestimmungen führt Herr Zengler wie folgt aus: Für die BaFin selbst ist ein vollständiger Überblick bezüglich der Umsetzung der DORA-Vorgaben im deutschen Finanzmarkt aktuell noch nicht möglich. Aufgrund des Umfangs von DORA prüft die Aufsichtsbehörde, anders als bei den VAIT-Prüfungen, im Rahmen örtlicher Prüfungen in der Regel nur einzelne Bereiche der Verordnung. Auch die Prüfung der DORA-Anforderung durch die Interne Revision sei anspruchsvoller geworden. Mehr Expertise im Revisionsteam sei erforderlich, wobei viele Anforderungen (Governance, Prozesse) auch durch erfahrene Auditoren ohne IT-Hintergrund geprüft werden können. Es muss sichergestellt sein, dass die gesamte DORA-Organisation innerhalb eines angemessenen Zeitraums abgedeckt wird. Die Abgrenzung in Prüffelder eröffnet jedoch Gestaltungsspielräume: Durch eine risikoorientierte Priorisierung lässt sich die Platzierung der Prüffelder nach Relevanz, Proportionalität und Prüfintervall steuern. Entsprechende Bewertungen sollten aber begründet sein.

Die von beaufsichtigten Altersvorsorgeeinrichtungen kritisch gesehene Prüfung der DORA-Anforderungen durch den Jahresabschlussprüfer hält Herr Zengler für erforderlich, die BaFin habe die Erweiterung im VAG unterstützt. In ihrer Folge müssen ab dem Geschäftsjahr 2025 im Rahmen der Jahresabschlussprüfung auch die Einhaltung der DORA-Vorgaben zum IKT-Risikomanagement, dem IKT-Vorfallmeldewesen, der operationellen Resilienztestung, dem IKT-Drittparteienrisiken sowie dem Informationsaustausch geprüft werden. Unter Berücksichtigung des Grundsatzes der Proportionalität wurde die PrüfV entsprechend erweitert und zur Konsultation gestellt. Derzeit läuft die Auswertung der Rückmeldungen. Parallel erarbeitete das Institut der Wirtschaftsprüfer (IDW) seinen Prüfungsstandard, die entsprechende Konsultation läuft noch bis Ende Oktober 2025. Zwischen BaFin und IDW gab es einen intensiven Austausch, u.a. zum Thema Proportionalität. Hinsichtlich möglicher Synergien gilt, dass Ergebnisse der Internen Revision für die Jahresabschlussprüfung nur dann verwertet werden können, wenn der Wirtschaftsprüfer vorher gewürdigt hat, ob die Arbeit für Zwecke der Abschlussprüfung angemessen ist. Bei aufsichtlichen Prüfungen werden Prüfungen und Zertifizierungen der Wirtschaftsprüfer nicht automatisch übernommen, aber als Indikator herangezogen. Auch die Interne Revision kann bereits vorliegende Prüfungsergebnisse nutzen, allerdings nur nach sorgfältiger Bewertung der Qualität und Eignung.

… Perspektive der Wirtschaftsprüfer

Rüdiger Giebichenstein (PwC) stellt in seinem Vortrag den aktuellen Entwurf des IDW-Prüfungsstandards zu DORA vor und gibt grundsätzliche Hinweise zu Umfang und Abläufen von Prüfungen durch den Abschlussprüfer. Grundsätzlich gilt, dass eine umfassende Prüfpflicht der DORA durch den Jahresabschlussprüfer besteht, und eine gesonderte DORA-Prüfung durch einen anderen Prüfer nicht möglich sei. In der PrüfV werde der Grundsatz der Verhältnismäßigkeit (Proportionalität) zwar explizit genannt (z.B. hinsichtlich Prüfungstiefe und Intensität), der Umfang der Prüfung darf jedoch nicht beschränkt werden, etwa in Form eines „Weglassens“ bestimmter Kapitel. Eine Verwendung der aus IT-Prüfungen der BaFin bekannten F-Klassen für festgestellte Verstöße (F1 bis F4) sieht der aktuelle Entwurf nicht vor.

Als bedeutsam hebt Herr Giebichenstein die Erleichterungen bei der erstmaligen Prüfung der DORA-Anforderungen hervor (konkretisiert in einem vom IDW veröffentlichten Brief der BaFin an das IDW vom 13. August 2025): z.B. keine Berichterstattung von vollständig beseitigten Mängeln, sondern lediglich Aufnahme eines Hinweises auf Vorliegen entsprechender Mängel. Hinsichtlich des Prüfungsvorgehens verifiziert der Wirtschaftsprüfer zunächst Verfahren, Regelungen und Prozesse, die der Umsetzung von DORA dienen. Hierbei stützt er sich z.B. auf Beschlüsse, Leitlinien oder die Anwendungsdokumentation. Anschließend wird beurteilt, ob das Unternehmen die aus DORA abgeleiteten Verfahren angemessen umgesetzt hat. Abschließend werden geeignete Prüfungshandlungen durchgeführt, um Nachweise zur Wirksamkeit der Verfahren, Regelungen und Prozesse zu gewinnen.

Herr Giebichenstein betont im Rahmen der Prüfungsplanung und für eine Gewährleistung der Angemessenheit die Bedeutung einer direkten und frühzeitigen Kommunikation mit dem Abschlussprüfer. Zwar dürfe dieser nichts weglassen, möglich seien aber Hinweise auf die Maßstäbe, etwa an den jeweils angemessenen Umfang von Dokumentationen. In Bezug auf den Prüfbericht hebt Herr Giebichenstein hervor, dass die Ausführungen zu den regulatorischen Anforderungen im Bereich DORA nicht für das HGB-Testat relevant seien. Zu dem als Anlage zum IDW-Prüfungsstandard konzipierten Indikatorenkatalog „Proportionalität“ stellt er klar, dass dieser zwar keine Anforderungen aufheben könne. Aber er könne dazu beitragen, dass bei einer nachweisbar geringeren Komplexität Prüfungen aufwandsschonender stattfinden. Durch die Aufsicht sind bereits erste DORA-Prüfungen vorgenommen worden. Aktuell bewegt sich die Zahl der Prüfungsfeststellungen auf hohem Niveau. Dies sei zu erwarten, da der Markt noch mitten in der Umsetzung steckt. Bestehende Lücken sollten daher nach Wichtigkeit priorisiert geschlossen werden, etwa bei den Themenfeldern Identifikation der kritischen und wichtigen Funktionen, IKT-Geschäftsführungsmanagement, Incident- und Schwachstellenmanagement und Management von IKT-Drittparteien betreffen.

… Perspektive einer EbAV

Marco Herrmann (BVV) stellt einen praktikablen Planungsansatz für die Vorbereitung auf eine DORA-Prüfung vor. Als ersten Schritt empfiehlt es sich, die Prüfung frühzeitig zu organisieren, also insbesondere Ansprechpartner zu benennen und Abläufe zu definieren. Anschließend sichten und evaluieren die Prüfer die Vorgabedokumente und überprüfen die Effizienz der eingesehenen Dokumente. Abschließend werden die Prüfergebnisse präsentiert. Von zentraler Wichtigkeit ist neben der Frühzeitigkeit auch eine fortlaufende Kommunikation zwischen EbAV und Prüfer über den gesamten Prozess hinweg.

Im Rahmen der Aufbauprüfung („Test of Designs“) habe sich die Wichtigkeit einer guten Dokumentation erwiesen. Die angeforderten Dokumente werden umfassend gesichtet. Was nicht dokumentiert sei, existiere für den Prüfer nicht und könne dann auch keiner Funktionsprüfung unerzogen werden. Als wichtige Erfahrung im derzeitigen Umsetzungsprozess hebt Herr Herrmann hervor, dass die Anpassung von Verträgen mit IT-Dienstleistungen an die DORA-Anforderungen einen hohen Aufwand (argumentativ, zeitlich) und auch Kosten nach sich ziehen.

Die DORA-Prüfungsergebnisse fließen in den Prüfungsbericht an die BaFin ein. Werden erhebliche Mängel festgestellt, kann dies aufsichtsrechtliche Maßnahmen nach sich ziehen. Stellt der Prüfer einen Verstoß fest, führt dies eventuell zu zusätzlichen Anforderungen der BaFin. Auch wenn Defizite bei der Umsetzung von DORA nicht zur Versagung über das Prüfungsurteil des Finanzteils des Jahresabschlusses führen, müssen die Geschäftsfortführung gefährdende gravierende IKT-Risiken im Bericht der Wirtschaftsprüfer erwähnt werden. Eine Erleichterung für das laufende Geschäftsjahr betont Herr Herrmann: Feststellungen, die von der EbAV bis zum 31.12.2025 abgearbeitet sind, werden nicht in den WP-Bericht aufgenommen. Insgesamt liefern die Ergebnisse der DORA-Prüfung den EbAV wertvolle Erkenntnisse zur Wirksamkeit ihres IKT-Risikomanagements. Durch die Prüfung erhält jede Einrichtung ein objektives Bild ihres digitalen operationalen Resilienzreifegrads. Positiv lässt sich also festhalten, dass die Aktivitäten für die Vorbereitung und Umsetzung der DORA-Prüfung – auch wenn dies mit einem hohen Aufwand verbunden ist – dazu führen, dass Vorstände und Aufsichtsgremien sich noch intensiver mit IT-Themen befassen.

 

(Dieser Artikel ist in ähnlicher Form am 4. und 5. November 2025 auf Pensions.Industries erschienen.)