… kein Mädchenname ist, dürfte auf diesem Parkett bekannt sein. Aber wussten Sie auch, dass KI-MIG kein russisches Kampfflugzeug ist? Im zweiten Teil des Beitrages von Cornelia Schmid und Xaver Ketterl zu der Tagung geht es ausschließlich um IT-Fragen rund um die Anforderungen, die hier an EbAV gestellt werden: Was Sie dokumentieren sollten, wer selber noch keinen Überblick hat, wo es bis Jahresende eine Erleichterung gibt, was nicht beschränkt werden darf und viel, viel mehr.
Bonn, 30. September, jährliche aba-Tagung „Aufsichtsrecht für EbAV“. Nach Teil I der zweiteiligen Berichterstattung zu der Tagung heute der zweite Teil. Im Folgenden wie meist aufPENSIONS●INDUSTRIES alle Aussagen im Indikativ der Referenten:
SOKA-Bau: KI-Verordnung – Relevanz und Umsetzung in einer EbAV
Thomas Müller erläutert, dass die europäische KI-Verordnung im August 2024 in Kraft getreten ist. Seitdem erwachsen aus dieser immer mehr Anforderungen für Unternehmen, so der Chef der Rechtsabteilung der SOKA-Bau:
Die Verordnung, die einen risikobasierten Ansatz verfolgt, enthält u.a. harmonisierte Transparenzpflichten und Vorschriften für die Verwendung von KI-Systemen und definiert Verbote bestimmter Praktiken im KI-Bereich und besondere Anforderungen an Hochrisiko-KI-Systeme.
Grundsätzlich rät Müller dazu, dass Einrichtungen zunächst anhand des von ihm vorgestellten Fragenkatalogs prüfen, ob die KI-Verordnung überhaupt Anwendung findet. Wird dies bejaht, gilt es, konkrete Pflichten anhand des Risikos, das von dem jeweiligen KI-System ausgeht, zu identifizieren.
Grundlegend gilt: Je größer die Risiken für die Gesellschaft und die Grundrechte betroffener Personen durch ein KI-System sind, desto umfangreicher reguliert die KI-Verordnung dieses System oder verbietet dessen Einsatz sogar.
„Für EbAV bleibt die BaFin zuständig.“
Am 11. September 2025 hat das Bundesministerium für Digitales und Staatsmodernisierung den Referentenentwurf für ein „KI-Marktüberwachungs- und Innovationsförderungsgesetz“ (KI-MIG) vorgelegt, welches die KI-Verordnung mit weiteren Vorgaben flankiert. Kerninhalte des Entwurfs sind u.a. Marktüberwachungsstrukturen, Melde-, Transparenz- und Dokumentationspflichten sowie ein Sanktionsregime. Konkret sieht der Entwurf u.a. vor, dass die Bundesnetzagentur die zentrale Rolle für Hochrisiko-KI übernimmt. Da die Verantwortlichkeit von Fachaufsichten sektorspezifisch geregelt wird, bleibt für EbAV die BaFin zuständig.
„Nutzer müssen klar erkennbar informiert werden, wenn sie mit KI-Systemen interagieren.“
Hochrisiko-KI-Systeme müssen gemeldet und registriert werden. EbAV müssen umfassende technische Dokumentationen, Risikobewertungen und Nachweise bereithalten – vergleichbar mit Vorgaben des Produktsicherheits- oder Datenschutzrechts. Ferner müssen Nutzer klar erkennbar informiert werden, wenn sie mit KI-Systemen interagieren. Das betrifft bspw. Chatbots im Kundenservice oder automatisierte Bewerbungsverfahren. Verstöße können neben Bußgeldern auch Reputationsschäden zur Folge haben.
Müller spricht sich dafür aus, für die Sanktionierung von Verstößen nach Art. 99 Abs. 3 bis 5 KI-VO anstelle eines Verweises auf die Vorschriften des Gesetzes über Ordnungswidrigkeiten einen eigenen Tatbestand in § 332 VAG zu schaffen.
BaFin (II): DORA und EbAV – die Perspektive der Aufsicht …
Jochen Zengler, BaFin-Referat VA 54, betont, dass sich die Aufsicht der mit der DORA-Verordnung verbundenen Herausforderungen für EbAV (z.B. aufgrund derer häufig begrenzten personellen Ressourcen und hoher Abhängigkeit von IT-Dienstleistern) bewusst ist. Jede EbAV sollte sich zum jetzigen Zeitpunkt gleichwohl dokumentiert mit allen Anforderungen befasst haben und entweder fertige Lösungen oder zumindest Lösungsansätze mit belastbaren Zeitplänen bei nicht erreichten Zielen haben. Von den Einrichtungen erwartet die BaFin bspw. die Entwicklung eines DORA-Compliance Projekts, die Dokumentation von Prozessen, Risiken und Kontrollen sowie eine Stärkung des Drittanbieter-Managements.
„Die Bewertungen sollten begründet sein.“
Zur Kontrolle der Einhaltung der DORA-Bestimmungen führt Zengler aus: Für die BaFin selbst ist ein vollständiger Überblick bezüglich der Umsetzung der DORA-Vorgaben im deutschen Finanzmarkt aktuell noch nicht möglich. Aufgrund des Umfangs von DORA prüft die Aufsichtsbehörde (anders als bei den VAIT-Prüfungen) im Rahmen örtlicher Prüfungen in der Regel nur einzelne Bereiche der Verordnung.
Auch die Prüfung der DORA-Anforderung durch die Interne Revision ist anspruchsvoller geworden. Mehr Expertise im Revisionsteam ist erforderlich, wobei viele Anforderungen (Governance, Prozesse) auch durch erfahrene Auditoren ohne IT-Hintergrund geprüft werden können. Es muss sichergestellt sein, dass die gesamte DORA-Organisation innerhalb eines angemessenen Zeitraums abgedeckt wird. Die Abgrenzung in Prüffelder eröffnet jedoch Gestaltungsspielräume:
Durch eine risikoorientierte Priorisierung lässt sich die Platzierung der Prüffelder nach Relevanz, Proportionalität und Prüfintervall steuern. Entsprechende Bewertungen sollten aber begründet sein.
„Zwischen BaFin und IDW hat es einen intensiven Austausch gegeben.“
Die von beaufsichtigten Altersvorsorgeeinrichtungen kritisch gesehene Prüfung der DORA-Anforderungen durch den Jahresabschlussprüfer hält Zengler für erforderlich, die BaFin hat die Erweiterung im VAG unterstützt. In ihrer Folge müssen ab dem GJ 2025 im Rahmen der Jahresabschlussprüfung auch die Einhaltung der DORA-Vorgaben zum IKT-Risikomanagement, dem IKT-Vorfallmeldewesen, der operationellen Resilienztestung, den IKT-Drittparteienrisiken sowie dem Informationsaustausch geprüft werden. Unter Berücksichtigung des Grundsatzes der Proportionalität wurde die PrüfV entsprechend erweitert und zur Konsultation gestellt. Derzeit läuft die Auswertung der Rückmeldungen.
Parallel hat das IDW seinen Prüfungsstandard erarbeitet, die entsprechende Konsultation läuft noch bis Ende Oktober 2025. Zwischen BaFin und IDW hat es einen intensiven Austausch gegeben, u.a. zum Thema Proportionalität.
Hinsichtlich möglicher Synergien gilt, dass Ergebnisse der Internen Revision für die Jahresabschlussprüfung nur dann verwertet werden können, wenn der WP vorher gewürdigt hat, ob die Arbeit für Zwecke der Abschlussprüfung angemessen ist. Bei aufsichtlichen Prüfungen werden Prüfungen und Zertifizierungen der WP nicht automatisch übernommen, aber als Indikator herangezogen. Auch die Interne Revision kann bereits vorliegende Prüfungsergebnisse nutzen, allerdings nur nach sorgfältiger Bewertung von Qualität und Eignung.
… die der Wirtschaftsprüfer …
Rüdiger Giebichenstein von PwC stellt in seinem Vortrag den aktuellen Entwurf des IDW-Prüfungsstandards zu DORA vor und gibt grundsätzliche Hinweise zu Umfang und Abläufen von Prüfungen durch den Abschlussprüfer. Grundsätzlich gilt, dass eine umfassende Prüfpflicht der DORA durch den Jahresabschlussprüfer besteht und eine gesonderte DORA-Prüfung durch einen anderen Prüfer nicht möglich ist.
In der PrüfV wird der Grundsatz der Verhältnismäßigkeit (Proportionalität) zwar explizit genannt (z.B. hinsichtlich Prüfungstiefe und Intensität), der Umfang der Prüfung darf jedoch nicht beschränkt werden, etwa in Form eines „Weglassens“ bestimmter Kapitel. Eine Verwendung der aus IT-Prüfungen der BaFin bekannten F-Klassen für festgestellte Verstöße (F1 bis F4) sieht der aktuelle Entwurf nicht vor.
Als bedeutsam hebt Giebichenstein die Erleichterungen bei der erstmaligen Prüfung der DORA-Anforderungen hervor (konkretisiert in einem vom IDW veröffentlichten Brief der BaFin an das IDW vom 13. August 2025): z.B. keine Berichterstattung von vollständig beseitigten Mängeln, sondern lediglich Aufnahme eines Hinweises auf Vorliegen entsprechender Mängel. Hinsichtlich des Prüfungsvorgehens verifiziert der Wirtschaftsprüfer zunächst Verfahren, Regelungen und Prozesse, die der Umsetzung von DORA dienen. Hierbei stützt er sich z.B. auf Beschlüsse, Leitlinien oder die Anwendungsdokumentation. Anschließend wird beurteilt, ob das Unternehmen die aus DORA abgeleiteten Verfahren angemessen umgesetzt hat. Abschließend werden geeignete Prüfungshandlungen durchgeführt, um Nachweise zur Wirksamkeit der Verfahren, Regelungen und Prozesse zu gewinnen.
Giebichenstein betont im Rahmen der Prüfungsplanung und für eine Gewährleistung der Angemessenheit die Bedeutung einer direkten und frühzeitigen Kommunikation mit dem Abschlussprüfer. Zwar darf dieser nichts weglassen, möglich sind aber Hinweise auf die Maßstäbe, etwa an den jeweils angemessenen Umfang von Dokumentationen.
In Bezug auf den Prüfbericht hebt Giebichenstein hervor, dass die Ausführungen zu den regulatorischen Anforderungen im Bereich DORA nicht für das HGB-Testat relevant sind.
„Bestehende Lücken sollten nach Wichtigkeit priorisiert geschlossen werden.“
Zu dem als Anlage zum IDW-Prüfungsstandard konzipierten Indikatorenkatalog „Proportionalität“ stellt er klar, dass dieser zwar keine Anforderungen aufheben, aber dazu beitragen kann, dass bei einer nachweisbar geringeren Komplexität Prüfungen aufwandsschonender stattfinden.
Durch die Aufsicht sind bereits erste DORA-Prüfungen vorgenommen worden. Aktuell bewegt sich die Zahl der Prüfungsfeststellungen auf hohem Niveau. Dies ist zu erwarten, da der Markt noch mitten in der Umsetzung steckt. Bestehende Lücken sollten daher nach Wichtigkeit priorisiert geschlossen werden, etwa bei den Themenfeldern Identifikation der kritischen und wichtigen Funktionen, IKT-Geschäftsführungsmanagement, Incident- und Schwachstellenmanagement und Management von IKT-Drittparteien.
… und die einer EbAV
Marco Herrmann stellt einen praktikablen Planungsansatz für die Vorbereitung auf eine DORA-Prüfung vor: Als ersten Schritt empfiehlt es sich, die Prüfung frühzeitig zu organisieren, also insb. Ansprechpartner zu benennen und Abläufe zu definieren, so der Vorstandsvorsitzende des BVV. Anschließend sichten und evaluieren die Prüfer die Vorgabedokumente und überprüfen die Effizienz der eingesehenen Dokumente. Abschließend werden die Prüfergebnisse präsentiert. Von zentraler Wichtigkeit ist neben der Frühzeitigkeit auch eine fortlaufende Kommunikation zwischen EbAV und Prüfer über den gesamten Prozess hinweg.
„Was nicht dokumentiert ist, existiert für den Prüfer nicht.“
Im Rahmen der Aufbauprüfung („Test of Designs“) hat sich die Wichtigkeit einer guten Dokumentation erwiesen. Die angeforderten Dokumente werden umfassend gesichtet. Was nicht dokumentiert ist, existiert für den Prüfer nicht und kann dann auch keiner Funktionsprüfung unterzogen werden. Als wichtige Erfahrung im derzeitigen Umsetzungsprozess hebt Herrmann hervor, dass die Anpassung von Verträgen mit IT-Dienstleistungen an die DORA-Anforderungen einen hohen Aufwand (argumentativ, zeitlich) und auch Kosten nach sich ziehen.
„Die Ergebnisse der DORA-Prüfung liefern wertvolle Erkenntnisse zur Wirksamkeit des IKT-Risikomanagements.“
Die DORA-Prüfungsergebnisse fließen in den Prüfungsbericht an die BaFin ein. Werden erhebliche Mängel festgestellt, kann dies aufsichtsrechtliche Maßnahmen nach sich ziehen. Stellt der Prüfer einen Verstoß fest, führt dies eventuell zu zusätzlichen Anforderungen der BaFin.
Auch wenn Defizite bei der Umsetzung von DORA nicht zur Versagung über das Prüfungsurteil des Finanzteils des Jahresabschlusses führen, müssen die Geschäftsfortführung gefährdende gravierende IKT-Risiken im Bericht der Wirtschaftsprüfer erwähnt werden.
Eine Erleichterung für das laufende Geschäftsjahr betont Herrmann: Feststellungen, die von der EbAV bis zum 31. Dezember 2025 abgearbeitet sind, werden nicht in den WP-Bericht aufgenommen.
Insgesamt liefern die Ergebnisse der DORA-Prüfung den EbAV wertvolle Erkenntnisse zur Wirksamkeit ihres IKT-Risikomanagements. Durch die Prüfung erhält jede Einrichtung ein objektives Bild ihres digitalen operationalen Resilienzreifegrads. Positiv lässt sich also festhalten, dass die Aktivitäten für die Vorbereitung und Umsetzung der DORA-Prüfung – auch wenn dies mit einem hohen Aufwand verbunden ist – dazu führen, dass Vorstände und Aufsichtsgremien sich noch intensiver mit IT-Themen befassen.
Cornelia Schmid ist stellv. Geschäftsführerin der Arbeitsgemeinschaft für betriebliche Altersversorgung aba in Berlin und betreut dort die Fachvereinigungen Pensionskasse und Pensionsfonds, den Fachausschuss Kapitalanlage und Regulatorik sowie die Europaarbeit.
Xaver Ketterl ist bei der der Arbeitsgemeinschaft für betriebliche Altersversorgung abaebenfalls für die Europaarbeit zuständig.
Von Autorinnen und Autoren der aba sind zwischenzeitlich auf PENSIONS●INDUSTRIES erschienen:
aba-Aufsichtsrechtstagung 2025 in Bonn (II): aba-Aufsichtsrechtstagung 2025 in Bonn (I): aba-Aufsichtsrechtstagung 2024 (II): Cornelia Schmid und Andreas Zimmermann im Gespräch: aba-Aufsichtsrechtstagung (III): aba-Aufsichtsrechtstagung (II): Reform der EbAV-II-Richtlinie (II): aba-Aufsichtsrechtstagung (III): aba-Aufsichtsrechtstagung (II): aba-Aufsichtsrechtstagung (I): Sustainable Finance – Überblick über den aktuellen EU-Stand: EbAV-Aufsichtsrechttagung der aba in Bonn: Anforderungen der Offenlegungsverordnung für EbAV (II): Anforderungen der Offenlegungsverordnung für EbAV (I): aba-Fachtagung „Aufsichtsrecht: EZB-Meldewesen für Altersvorsorgeeinrichtungen: Umfangreiches EU-Meldewesen für EbAV: Trilog ante portas: Interview: „Skandal europäischer Regulationsbestrebungen“ Georg Thurnes im Interview (II): Georg Thurnes im Interview: Heribert Karch im Interview:
Dass Dora ...
von Dr. Cornelia Schmid und Xaver Ketterl, 5. November 2025
Von Demokratie und Debatten über...
von Dr. Cornelia Schmid und Xaver Ketterl, 4. November 2025
Zwischen Goldstandard und geringem Potential ...
von Cornelia Schmid und Xaver Ketterl, 5. November 2024
Ist es FIDA, die da am Eingang steht?
Interview am 26. Januar 2024
Von FIDA, VAIT und DORA …
von Cornelia Schmid und Xaver Ketterl, 31. Oktober 2023
Berliner, Brüsseler und Bonner ...
von Cornelia Schmid und Xaver Ketterl, 30. Oktober 2023
Der Wahnsinn hat Methode?
Interview mit Cornelia Schmid und Hansjörg Müllerleile, 4. September 2023
aba-Aufsichtsrechtstagung (III):
Gleicher Grundinhalt, komplett andere Aufschlüsselung …
Dr. Cornelia Schmid und Xaver Ketterl, 16. Dezember 2022
Gleicher Grundinhalt, komplett andere Aufschlüsselung …
von Dr. Cornelia Schmid und Xaver Ketterl, 15. Dezember 2022
Kommende EU-Regulierung:
Wie jetzt Wald?
Interview mit Cornelia Schmid, 13. September 2022
aba-Tagung Aufsichtsrecht (III):
Whishing well Überarbeitung
Verena Menne und Dr. Cornelia Schmid, 21. November 2021
aba-Tagung Aufsichtsrecht (II):
Come together am Rhein…
von Verena Menne und Dr. Cornelia Schmid, 16. November 2021
ESG Offenlegung – proportional, wesentlich, rechtssicher und mit verfügbaren Daten:
Mehr Zeit für Wesentliches
von Verena Menne Dr. Cornelia Schmid und Dr. Roberto Cruccolini, Berlin; München, 15. Dezember 2020
Eine To-Do-Liste nicht nur für EbAV …
von Verena Menne und Dr. Cornelia Schmid, Berlin, 11. Dezember 2020
Vom Sechsklang der Hoffnung …
von Dr. Cornelia Schmid und Verena Menne, Berlin, 9. Dezember 2020
Löwenanteil geschafft?
von Verena Menne und Dr. Cornelia Schmid, Berlin, 14. Januar 2020
Nachhaltigkeit, Informationsanforderungen, aktuelle anderthalb Stunden und mehr…
von Verena Menne und Dr. Cornelia Schmid, Bonn; Berlin, 23. Oktober 2019
„Some more Q and A“
von Verena Menne und Dr. Cornelia Schmid, Berlin, 13. August 2019
„Q and some A“
von Verena Menne und Dr. Cornelia Schmid, Berlin, 12. August 2019
Was 2019 wichtig wird…
von Verena Menne und Dr. Cornelia Schmid, Berlin, 30. Oktober 2018
Verordnung veröffentlicht, Meldebeginn verschoben
von Dr. Roberto Cruccolini und Dr. Cornelia Schmid, München; Berlin, 6. März 2018
Zu viel für die EIOPA-Verordnung!
von Dr. Cornelia Schmid und Dr. Roberto Cruccolini, Berlin; München, 24. Oktober 2017
Von Kröten und Gutem
Interview mit Cornelia Schmid, 2. März 2016
Der Ochse von Frankfurt
Interview mit Heribert Karch, 12. Mai 2015
„Viel Aufwand für wenig Erkenntnis"
Interview mit Georg Thurnes, 5. Mai 2015
„Nicht die Katze im Sack kaufen“
Interview mit Georg Thurnes, 16. Dezember 2014
„Lieber auf Reset drücken.“
Interview mit Heribert Karch, 17. November 2014
