Legal Inventory nach MaRisk – Das musst Du als Compliance Officer wissen

🧭Die Mindestanforderungen an das Risikomanagement (MaRisk) verlangen von Instituten ein systematisches und nachvollziehbares Risikomanagement. Ein zentrales Element, das in der Praxis zunehmend an Bedeutung gewinnt, ist das sogenannte Legal Inventory – eine strukturierte Übersicht über die für ein Unternehmen geltenden rechtlichen und regulatorischen Verpflichtungen.

Als Compliance Officer bist Du für die Pflege und Aktualität dieses Legal Inventory verantwortlich. Doch was steckt genau dahinter? Warum ist es so wichtig? Und wie kannst Du es in der Praxis effizient und revisionssicher umsetzen?

Legal Inventory nach MaRisk

1️⃣ Was bedeutet Legal Inventory überhaupt?

Das Legal Inventory ist eine systematische Sammlung und Dokumentation aller rechtlichen Anforderungen, die für Dein Institut relevant sind. Es umfasst:

  • Gesetze, z. B. KWG, WpHG, GwG, MaRisk, InstitutsVergV

  • Verordnungen, z. B. PRIIP-VO, EMIR, MiFIR

  • Rundschreiben und Leitlinien von BaFin, Bundesbank, EBA oder ESMA

  • Vertragliche Pflichten mit Dritten (z. B. in Auslagerungsvereinbarungen)

  • Interne Richtlinien, soweit sie regulatorische Anforderungen umsetzen

Ziel ist es, jederzeit belegen zu können, welche regulatorischen Pflichten für das Unternehmen gelten, wer sie umsetzt, und wie deren Einhaltung überwacht wird.

2️⃣ Warum ist das Legal Inventory für Dich als Compliance Officer wichtig?

Die MaRisk fordern unter AT 4.4.2 und AT 5.2 explizit, dass Rechtsrisiken erfasst und gesteuert werden müssen. Die Verantwortung für die Compliance-Funktion liegt bei Dir. Ein fehlendes oder lückenhaftes Legal Inventory kann bei einer Prüfung durch die BaFin oder interne Revision zu erheblichen Feststellungen führen.

Mit einem vollständigen Legal Inventory kannst Du:

  • Nachvollziehbar darlegen, welche regulatorischen Anforderungen berücksichtigt werden

  • Verantwortlichkeiten eindeutig zuweisen

  • Kontrollhandlungen und Überwachungsprozesse verankern

  • Änderungen im Aufsichtsrecht frühzeitig identifizieren und umsetzen

  • Reputations- und Haftungsrisiken vermeiden

3️⃣ Was sagt die BaFin dazu? – Legal Inventory als aufsichtsrechtliche Pflicht

Die BaFin hat bereits mehrfach betont, dass Transparenz über die regulatorischen Pflichten eine zwingende Voraussetzung für ein wirksames Compliance Management ist.

In verschiedenen Prüfungsberichten und Anhörungen wird moniert, dass Institute:

  • keine aktuelle Übersicht ihrer Pflichten führen

  • keine systematische Zuordnung zu Geschäftsprozessen oder Organisationseinheiten vornehmen

  • gesetzliche Änderungen nicht zeitnah einarbeiten

  • kein dokumentiertes Review-Verfahren etabliert haben

Mit einem Legal Inventory beweist Du, dass Deine Compliance-Funktion strukturiert, effektiv und prüfungssicher arbeitet – im Sinne der aufsichtlichen Erwartungshaltung.

4️⃣ Was gehört konkret ins Legal Inventory?

Dein Legal Inventory sollte folgende Informationen enthalten:

Element Beschreibung
Rechtsquelle Gesetz, Verordnung, Richtlinie, Rundschreiben
Anforderung / Normbezug § oder Artikelnummer, Beschreibung der Pflicht
Relevanz Gilt sie für das Institut? Wenn ja: ganz oder teilweise?
Umsetzungsverantwortung Wer ist intern zuständig? (Risikocontrolling, Compliance, IT etc.)
Implementierung / Maßnahmen Wie ist die Regel umgesetzt? (z. B. interne Richtlinie, Kontrollprozess)
Kontrolle / Überwachung Welche Überprüfung findet statt? Durch wen? In welchem Turnus?
Letzte Prüfung / Review Wann wurde die Vorschrift zuletzt überprüft und ggf. angepasst?

Optional kannst Du auch Kritikalität, Prüffrequenz und externe Berichtswege ergänzen.

5️⃣ Toolgestützt oder manuell? – So kannst Du das Legal Inventory führen

Es gibt mehrere Wege, wie Du Dein Legal Inventory umsetzen kannst:

1. Excel-Lösung

Die einfachste Variante – übersichtlich, flexibel, aber wartungsintensiv. Vorteil: niedrige Einstiegshürde. Nachteil: kein automatischer Update-Service.

2. CMS oder GRC-Systeme

Tools wie z. B. S+P Tool Box, Alyne, LexisNexis, EQS oder Compliance bieten vorgefertigte Module für Legal Inventories. Vorteil: automatisches Monitoring von Gesetzesänderungen, Rechteeinstellungen, Verknüpfungen zu Risikobewertungen.

3. Verknüpfung mit dem internen Kontrollsystem (IKS)

Gerade in kleineren Unternehmen sinnvoll: Die Compliance-Funktion ergänzt das Legal Inventory mit prüfbaren Kontrollhandlungen im IKS und führt das Ganze in einem Risiko- und Maßnahmenregister zusammen.

6️⃣ Update und Review – Deine Aufgaben als Compliance Officer

Ein Legal Inventory ist kein statisches Verzeichnis. Es muss regelmäßig aktualisiert und überprüft werden. Die MaRisk verlangen ein systematisches Verfahren zur Identifikation und Bewertung von Änderungen im rechtlichen Umfeld (Stichwort: Regulatory Change Management).

Das bedeutet für Dich konkret:

  • Regelmäßige Updates: z. B. quartalsweise oder anlassbezogen bei neuen Gesetzen

  • Monitoring von Änderungen durch BaFin, EBA, ESMA, Gesetzgeber

  • Bewertung der Relevanz für Dein Institut

  • Anpassung der internen Richtlinien und Kontrollprozesse

  • Dokumentation der Änderungen, inkl. Verantwortlichkeit und Reviewdatum

Tipp: Führe ein Änderungslogbuch, in dem alle Aktualisierungen nachvollziehbar dokumentiert werden – inkl. Quelle, Bewertung, Umsetzung und Review.

🧾 Best Practice: Integration in die MaRisk-Compliance-Strategie

Das Legal Inventory sollte Teil Deiner strategischen Complianceplanung sein. Es ist nicht nur eine Übersicht, sondern ein zentrales Steuerungsinstrument.

Verknüpfe es mit:

  • Deinem Risikoinventar: Welche regulatorischen Anforderungen sind besonders risikobehaftet?

  • Deinem Kontrollplan: Welche Pflichten werden regelmäßig überprüft, und wie?

  • Deiner Schulungsplanung: Wo besteht erhöhter Schulungsbedarf aufgrund neuer regulatorischer Vorgaben?

  • Deinem Compliance-Reporting: Berichte regelmäßig über Änderungen im Legal Inventory, neue Risiken und Maßnahmen.

Häufige Fehler – und wie Du sie vermeidest

  1. „Wir brauchen das nicht – unsere Kanzlei sagt uns schon, wenn was Neues kommt.“
    → Reaktiv statt proaktiv: Die Verantwortung liegt bei Dir als Compliance Officer.

  2. „Wir haben da was in Excel – aber das ist nicht ganz aktuell.“
    → Eine veraltete Liste ist im Zweifel wertlos bei einer Prüfung.

  3. „Das macht bei uns der Datenschutzbeauftragte / Legal / Vorstand …“
    → Unklare Verantwortlichkeiten führen zu Lücken und Risiken.

  4. „Wir haben keine Zeit, das so ausführlich zu führen.“
    → Mit der richtigen Strukturierung ist der Aufwand beherrschbar und lohnt sich mehrfach: Prüfungsfestigkeit, Haftungsreduzierung, Überblick.

Fazit: Legal Inventory – Dein Herzstück für Compliance-Sicherheit

Ein strukturiertes Legal Inventory ist kein nice-to-have, sondern aufsichtsrechtlich geboten. Es verschafft Dir als Compliance Officer die Kontrolle über die regulatorische Komplexität, schützt vor Sanktionen und macht Deine Arbeit prüfbar, nachvollziehbar und effizient.

Wenn Du noch keines hast: Jetzt ist der richtige Zeitpunkt zu starten.
Wenn Du eines hast: Überprüfe, ob es vollständig, aktuell und mit Deinen Kontrollprozessen verknüpft ist.

Dein nächster Schritt mit S+P

📘 Compliance Officer Lehrgang – Kompakt & Praxisnah

Deine Grundlage für wirksames Compliance Management im Unternehmen.

📘 MaRisk & WpHG-Compliance Lehrgang

Spezialwissen für Compliance-Beauftragte in Finanzunternehmen und Wertpapierinstituten.

📘 Compliance Online Schulungen & Seminare

Flexibel weiterbilden mit E-Learnings und Live-Webinaren.

S&P Unternehmerforum GmbH 808 Bewertungen auf ProvenExpert.com