TABLE OF CONTENTS
     
     

    Die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bundesanstalt für Finanzdienstleistungsaufsicht) (BaFin) legt Emittenten und regulierten Unternehmen im Rahmen der deutschen Umsetzung der Markets in Financial Instruments Directive (MiFID II) und des Wertpapierhandelsgesetzes (WpHG) strenge Pflichten auf, bestimmte Daten zu erfassen, aufzuzeichnen und aufzubewahren.

     

    Dabei geht es BaFin nicht nur um die bloße Existenz von Aufzeichnungen. Entscheidend ist, ob Unternehmen in der Lage sind, regulierte Aktivitäten vollständig und nachvollziehbar zu rekonstruieren. Im Mittelpunkt steht die Frage: Wer wusste was – und wann – und welche Maßnahmen wurden daraus abgeleitet?

    Key Highlights

    • BaFin bewertet, ob Unternehmen Ereignisse rekonstruieren können – nicht, ob sie Aufzeichnungen lediglich speichern.
    • Fragmentierte Systeme führen unter Prüfungsbedingungen zu Beweislücken.
    • Schwächen im Record Keeping sind häufig strukturell bedingt – nicht datenbezogen.
    • Verknüpfte Audit-Trails über Insiderdaten, Trades und Kommunikation sind entscheidend für DACH-weite Compliance.

    Was sind die zentralen Record-Keeping-Erwartungen unter BaFin?

    Das Record-Keeping-Rahmenwerk der BaFin ist darauf ausgelegt, die Rekonstruktion regulierter Aktivitäten zu ermöglichen – nicht nur zu bestätigen, dass Aufzeichnungen existieren.

    Unternehmen müssen sicherstellen, dass ihre Aufzeichnungen:

    • vollständig sind— also eine einheitliche Sicht auf Handelsaktivitäten, Insider-Governance und Kommunikation liefern und nicht nur isolierte Datensätze.

    • unverzüglich abrufbar sind — bei Bedarf ohne Verzögerung und ohne manuelle Zusammenstellung zur Verfügung stehen.

    • rekonstruierbar sind — sodass Entscheidungsprozesse und Verantwortlichkeiten klar nachvollziehbar bleiben. Wer wusste was – und wann – und welche Maßnahmen wurden daraus abgeleitet.

    Im Rahmen der MAR müssen Insiderlisten mindestens sechs Jahre aufbewahrt werden; die Zugriffshistorie ist über diesen gesamten Zeitraum zu dokumentieren. Regeln zur Aufzeichnung von Kommunikation – angelehnt an MiFID II und im WpHG umgesetzt – verpflichten Unternehmen, geschäftsbezogene Sprach- und elektronische Kommunikation zu erfassen, die auf eine Transaktion abzielt.

       

    Aktuelle Beispiele - Durchsetzung unter BaFin-Record-Keeping-Anforderungen

    Aktuelle Durchsetzungsmaßnahmen zeigen deutlich, dass Verstöße gegen Record Keeping nicht toleriert werden. Verwaltungsstrafen aufgrund von Record-Keeping-Mängeln werden zudem häufig in Verfahren wegen weitergehender MiFID-II- oder organisatorischer Verstöße kombiniert.

    • Im Februar 2025 wurden 4,6 Mio. € Bußgelder gegen eine deutsche Retail-Banking-Gruppe verhängt, weil sie Kundentelefonate im Zusammenhang mit Anlageberatung nicht aufgezeichnet hatte: BaFin-Enforcement-Mitteilung

    • Im März 2025 wurde eine große deutsche Bankengruppe mit 23,05 Mio. € wegen organisatorischer und Verhaltensmängel belegt, darunter die fehlende Aufzeichnung von Kundentelefonaten: BaFin-Enforcement-Mitteilung

    • Im April 2025 wurde eine Frankfurter Bank mit 395.000 € wegen Governance- und AML-Mängeln belegt, einschließlich Defiziten bei Hinweisen zur Telefonaufzeichnung und Record-Keeping-Kontrollen. BaFin-Enforcement-Mitteilung

    BaFin kann Geldbußen von bis zu 1 Mio. € je Verstoß verhängen, wenn erforderliche Aufzeichnungen nicht erstellt, geführt, verwaltet oder aufbewahrt werden.

     

    Wo deutsche Unternehmen bei BaFin-Prüfungen typischerweise scheitern 

    Viele Unternehmen erfüllen formell ihre Aufbewahrungspflichten – scheitern jedoch daran, Daten im Prüfungsfall schnell, konsistent und verknüpft bereitzustellen.

    Wenn Unternehmen kritische Compliance-Bereiche – etwa Insiderlisten, Handelsaufzeichnungen und Mitarbeiterkommunikation – über getrennte Systeme ohne einheitliche Abruflogik steuern, werden wiederkehrende Lücken sichtbar:

    • Audit-Antworten, die auf manueller Abstimmung über Plattformen hinweg beruhen, führen zu Inkonsistenzen und übersehenen Daten.
    • Unterschiedliche Aufbewahrungseinstellungen über Systeme hinweg bedeuten, dass dasselbe Ereignis in einem System vorhanden, in einem anderen aber nicht auffindbar ist.
    • Ohne einen durchgängigen, verknüpften Audit-Trail können Unternehmen die Kette aus Zugriff, Entscheidung und Kommunikation nicht schnell und eindeutig nachweisen.

    Beispielsweise kann BaFin bei der Prüfung eines potenziellen Insiderhandelsereignisses die Insiderliste, zugehörige Mitarbeitertrades und die passende Kommunikation anfordern. Arbeitet ein Unternehmen mit mehreren, voneinander getrennten Compliance-Plattformen oder manuellen Prozessen, müssen diese Nachweise über verschiedene Systeme hinweg zusammengestellt werden – oft mit unvollständigen Zeitlinien und widersprüchlichen Datenpunkten.

    Das ist nicht nur ein Technologieproblem, sondern vor allem ein Governance-Design-Problem. Die Daten sind vorhanden – es fehlt jedoch die Struktur, um sie gemäß den BaFin-Anforderungen in einer prüfungssicheren Form bereitzustellen.

     

    Wie MCO bei der BaFin-Compliance unterstützt

    Unternehmen bestehen BaFin-Prüfungen dann, wenn Record Keeping eine vollständige, zeitnahe Rekonstruktion regulierter Aktivitäten unterstützt.

    MCO (MyComplianceOffice) unterstützt dies mit einer integrierten Compliance-Plattform, die Aufzeichnungen über die zentralen Bereiche hinweg erfasst und verwaltet, die BaFin typischerweise prüft.

    MCO ermöglicht die Steuerung zentraler Compliance-Bereiche wie Mitarbeiter-Personalhandel, Kommunikationsüberwachung, Trade Surveillance und das Management von Insiderinformationen innerhalb eines Systems - anstelle mehrerer getrennter Tools. Die Single Source of Data von ‘MyComplianceOffice’ erlaubt es Compliance-Teams, Handelsaktivitäten, Kommunikation und Insiderdaten in einem einheitlichen Prozess abzurufen, wenn sie auf aufsichtsrechtliche Anforderungen reagieren.

    Durch die Zentralisierung von Erfassung, Verwaltung und Prüfung von Compliance-Daten hilft MCO Unternehmen, nachzuweisen, dass ihre Nachweise vollständig, abrufbar und audit-ready sind – und damit genau das Maß an Rekonstruierbarkeit liefern, das BaFin in Prüfungen erwartet.

    Möchten Sie mehr erfahren? Kontaktieren Sie uns noch heute für eine Demo!

     

    Related Resources

     

     

    Frequently Asked Questions

    BaFin requires firms to demonstrate the ability to reconstruct regulated activity, including what occurred, who had access to information, and what actions were taken.
    Reconstructing compliance means being able to recreate events after the fact using complete, retrievable records rather than isolated or disconnected data.
    No. BaFin distinguishes between retaining records and being able to retrieve and present them in a coherent, auditable timeline during supervisory reviews.
    BaFin commonly reviews insider information, trading activity, and related communications together to assess compliance with market abuse and supervision requirements.
    Fragmented systems make it difficult to retrieve related records together, increasing the risk that firms cannot reconstruct events clearly or consistently during an audit.
    No. BaFin’s supervisory approach often influences record‑keeping expectations across the DACH region, particularly for firms operating shared compliance architectures.
    Audit readiness depends on whether records can be retrieved, reviewed, and reconstructed efficiently under supervisory pressure—not on whether individual systems are compliant in isolation.
    BaFin evaluates whether firms can provide timely, coherent records that show access, decisions, and actions related to specific events or investigations.

    Recent Posts