---
name: bk-aufsicht-zag-dora-inhkontrolle-crr-arbeitskern
description: "Fachanwalts-Fachmodul für Bankaufsicht: ZAG-Erlaubnis, DORA-IKT-Risiko, KWG-Anzeigen nach AnzV, Inhaberkontrolle und CRR-Folgen in Mandatsvermerken, Behördenantworten und Prozessstrategie verknüpfen: Fachanwalts-Fachmodul für Bankaufsicht: ZAG-Erlaubnis, D..."
---

# Fachanwalts-Fachmodul für Bankaufsicht: ZAG-Erlaubnis, DORA-IKT-Risiko, KWG-Anzeigen nach AnzV, Inhaberkontrolle und CRR-Folgen in Mandatsvermerken, Behördenantworten und Prozessstrategie verknüpfen.


## Arbeitsweg

- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: nur die Fristen des konkreten Rechtsgebiets und der Akte verwenden; Widerspruch, Klage, Einspruch, Rechtsmittel, Verjährung, Verwirkung, Rüge-, Anzeige-, Anmelde- und Ausschlussfristen strikt trennen und nie aus einem anderen Fachgebiet übernehmen.
- Tragende Normen verifizieren: WpHG; WpIG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.

**Fokus:** Fachanwalts-Fachmodul für Bankaufsicht: ZAG-Erlaubnis, DORA-IKT-Risiko, KWG-Anzeigen nach AnzV, Inhaberkontrolle und CRR-Folgen in Mandatsvermerken, Behördenantworten und Prozessstrategie verknüpfen.

### Bankaufsicht: ZAG, DORA, Inhaberkontrolle und CRR – Arbeitskern

## Worum es geht

Liefert den Arbeitskern für Fachanwalts-Mandate in der Bankaufsicht: Verknüpfung von ZAG-Erlaubnisfragen, DORA-IKT-Governance, KWG-Inhaberkontrollverfahren und CRR-Eigenmittelfolgen in einem einzigen Prüfraster. Ziel ist der verwertbare Mandatsvermerk, die BaFin-Erwiderung oder die Prozessstrategie – nicht die abstrakte Normdarstellung.

## Kernnormen

- **§ 13 ZAG** – Inhaberkontrolle bei Zahlungsinstituten analog § 2c KWG: Schwellen 10/20/30/50 %, Vorab-Anzeige bei BaFin, Untersagungsrecht; Fristen identisch mit KWG-Inhaberkontrolle
- **§ 10 ZAG** – Erlaubnisantrag Zahlungsinstitut; Versagungsgründe § 11 ZAG; Anfangskapital § 17 ZAG; verknüpft mit CRR-Eigenmittel-Anforderungen bei gruppenweiter Aufsicht
- **DORA Art. 5–10** (VO 2022/2554) – IKT-Risikomanagement-Rahmenwerk: Art. 5 Governance (Leitungsorgan-Verantwortung), Art. 6 IKT-Risikomanagement-Rahmen, Art. 8 Identifizierung, Art. 9 Schutz, Art. 10 Erkennung; gilt für ZAG-Institute und KWG-Institute als Finanzunternehmen
- **DORA Art. 17–23** – IKT-bezogene Vorfallmeldung: Art. 17 Klassifizierung, Art. 19 Meldung schwerwiegender Vorfälle an BaFin (erste Meldung 4 Stunden, Zwischenmeldung 72 Stunden, Abschlussmeldung 1 Monat); ITS zu Vorfallmeldung EBA/ITS/2023/04
- **DORA Art. 24–27** – Digital Operational Resilience Testing: Art. 24 allgemeines Testprogramm, Art. 26 TLPT (Threat-Led Penetration Testing) für bedeutende Finanzunternehmen; DORA-RTS zu TLPT EBA/RTS/2024/03
- **DORA Art. 28–30** – IKT-Drittparteienmanagement: Art. 28 Grundprinzipien, Art. 29 Vorvertragliche Risikoanalyse, Art. 30 Vertragliche Mindestklauseln (Ausstieg, Prüfungsrecht, Datenlokalisierung, Untervergabe-Kontrolle)
- **CRR Art. 92** (VO 2013/575) – Eigenmittelanforderungen: Kernkapital (CET1) mind. 4,5 %, Tier 1 mind. 6 %, Gesamtkapitalquote mind. 8 %; SREP-Aufschläge nach CRD V Art. 104a
- **CRR Art. 412** – Liquidity Coverage Ratio (LCR): 100 % hochliquider Aktiva gegenüber Nettoabflüssen in 30-Tage-Stressszenario; Meldung nach EBA-ITS
- **CRD V Art. 91** (Richtlinie 2013/36/EU) – Fit-and-Proper Leitungsorgan: kollektiver Sachverstand, Unabhängigkeit, Zeitbudget; nationale Umsetzung in § 25c/d KWG

## Prüfschritte

1. **Inhaberkontrolle ZAG/KWG** (§ 13 ZAG, § 2c KWG): Schwelle berechnen, Vorab-Anzeige-Frist (60 Werktage), Untersagungsrisiko-Analyse; BaFin-Dialogstrategie.
2. **ZAG-Erlaubnisfrage** (§§ 10, 11, 17 ZAG): Dienst-Klassifikation, Anfangskapital, Versagungsrisiko; Verbindung zur Inhaberkontrolle wenn M&A-Kontext.
3. **DORA-Compliance** (Art. 5–10 VO 2022/2554): IKT-Governance-Gap-Analyse; Leitungsorgan-Verantwortung dokumentieren; Risikomanagement-Rahmen aufsetzen.
4. **Vorfallmeldung** (DORA Art. 17–19): Vorfalls-Klassifizierungs-Matrix aufstellen; Meldeketten definieren (4h/72h/1 Monat); ITS-Formular EBA/ITS/2023/04.
5. **ICT-Drittparteienverträge** (DORA Art. 30): Bestandsverträge auf Art. 30-Klauseln prüfen; Nachrüstungs-Fristen beachten (DORA gilt ab 17.01.2025).
6. **CRR-Eigenmittel** (Art. 92 CRR): Kapitalquoten-Check bei M&A; SREP-Aufschläge berücksichtigen; LCR Art. 412 bei Liquiditätsthemen.
7. **Prozessstrategie**: Behördliche Maßnahmen (§ 44 KWG Sonderprüfung, § 36 KWG Abberufung) anfechten; aufschiebende Wirkung nach § 80 VwGO; Klage VG Frankfurt.

## Typische Fallkonstellationen

- Private-Equity-Fonds erwirbt 25 % an ZAG-Institut: § 13 ZAG Inhaberkontrolle, § 2c KWG analog, DORA-Governance-Anforderungen für neuen Anteilseigner
- BaFin verhängt DORA-Maßnahme nach IT-Vorfall: DORA Art. 17–19 Meldepflicht, § 44 KWG Sonderprüfung, Prozessstrategie VG Frankfurt
- M&A-Transaktion: Ziel-Institut unterschreitet CRR-Kapitalquote: CRR Art. 92 Kapitalplan, CRD V Art. 104a SREP-Aufschlag, BaFin-Dialog
- Neuer Drittanbieter-Vertrag ohne DORA-Klauseln: DORA Art. 30 Nachrüstung, Vertragsnachverhandlung, Übergangsfrist
- Fit-and-Proper-Beanstandung CRD V Art. 91: § 25c KWG, § 36 KWG Abberufungsdrohung, EBA/GL/2021/06, Gegendarstellung-Strategie
