Die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bundesanstalt für Finanzdienstleistungsaufsicht) (BaFin) legt Emittenten und regulierten Unternehmen im Rahmen der deutschen Umsetzung der Markets in Financial Instruments Directive (MiFID II) und des Wertpapierhandelsgesetzes (WpHG) strenge Pflichten auf, bestimmte Daten zu erfassen, aufzuzeichnen und aufzubewahren.
Dabei geht es BaFin nicht nur um die bloße Existenz von Aufzeichnungen. Entscheidend ist, ob Unternehmen in der Lage sind, regulierte Aktivitäten vollständig und nachvollziehbar zu rekonstruieren. Im Mittelpunkt steht die Frage: Wer wusste was – und wann – und welche Maßnahmen wurden daraus abgeleitet?
Das Record-Keeping-Rahmenwerk der BaFin ist darauf ausgelegt, die Rekonstruktion regulierter Aktivitäten zu ermöglichen – nicht nur zu bestätigen, dass Aufzeichnungen existieren.
Unternehmen müssen sicherstellen, dass ihre Aufzeichnungen:
vollständig sind— also eine einheitliche Sicht auf Handelsaktivitäten, Insider-Governance und Kommunikation liefern und nicht nur isolierte Datensätze.
unverzüglich abrufbar sind — bei Bedarf ohne Verzögerung und ohne manuelle Zusammenstellung zur Verfügung stehen.
rekonstruierbar sind — sodass Entscheidungsprozesse und Verantwortlichkeiten klar nachvollziehbar bleiben. Wer wusste was – und wann – und welche Maßnahmen wurden daraus abgeleitet.
Im Rahmen der MAR müssen Insiderlisten mindestens sechs Jahre aufbewahrt werden; die Zugriffshistorie ist über diesen gesamten Zeitraum zu dokumentieren. Regeln zur Aufzeichnung von Kommunikation – angelehnt an MiFID II und im WpHG umgesetzt – verpflichten Unternehmen, geschäftsbezogene Sprach- und elektronische Kommunikation zu erfassen, die auf eine Transaktion abzielt.
Aktuelle Durchsetzungsmaßnahmen zeigen deutlich, dass Verstöße gegen Record Keeping nicht toleriert werden. Verwaltungsstrafen aufgrund von Record-Keeping-Mängeln werden zudem häufig in Verfahren wegen weitergehender MiFID-II- oder organisatorischer Verstöße kombiniert.
Im Februar 2025 wurden 4,6 Mio. € Bußgelder gegen eine deutsche Retail-Banking-Gruppe verhängt, weil sie Kundentelefonate im Zusammenhang mit Anlageberatung nicht aufgezeichnet hatte: BaFin-Enforcement-Mitteilung
Im März 2025 wurde eine große deutsche Bankengruppe mit 23,05 Mio. € wegen organisatorischer und Verhaltensmängel belegt, darunter die fehlende Aufzeichnung von Kundentelefonaten: BaFin-Enforcement-Mitteilung
Im April 2025 wurde eine Frankfurter Bank mit 395.000 € wegen Governance- und AML-Mängeln belegt, einschließlich Defiziten bei Hinweisen zur Telefonaufzeichnung und Record-Keeping-Kontrollen. BaFin-Enforcement-Mitteilung
BaFin kann Geldbußen von bis zu 1 Mio. € je Verstoß verhängen, wenn erforderliche Aufzeichnungen nicht erstellt, geführt, verwaltet oder aufbewahrt werden.
Viele Unternehmen erfüllen formell ihre Aufbewahrungspflichten – scheitern jedoch daran, Daten im Prüfungsfall schnell, konsistent und verknüpft bereitzustellen.
Wenn Unternehmen kritische Compliance-Bereiche – etwa Insiderlisten, Handelsaufzeichnungen und Mitarbeiterkommunikation – über getrennte Systeme ohne einheitliche Abruflogik steuern, werden wiederkehrende Lücken sichtbar:
Beispielsweise kann BaFin bei der Prüfung eines potenziellen Insiderhandelsereignisses die Insiderliste, zugehörige Mitarbeitertrades und die passende Kommunikation anfordern. Arbeitet ein Unternehmen mit mehreren, voneinander getrennten Compliance-Plattformen oder manuellen Prozessen, müssen diese Nachweise über verschiedene Systeme hinweg zusammengestellt werden – oft mit unvollständigen Zeitlinien und widersprüchlichen Datenpunkten.
Das ist nicht nur ein Technologieproblem, sondern vor allem ein Governance-Design-Problem. Die Daten sind vorhanden – es fehlt jedoch die Struktur, um sie gemäß den BaFin-Anforderungen in einer prüfungssicheren Form bereitzustellen.
Unternehmen bestehen BaFin-Prüfungen dann, wenn Record Keeping eine vollständige, zeitnahe Rekonstruktion regulierter Aktivitäten unterstützt.
MCO (MyComplianceOffice) unterstützt dies mit einer integrierten Compliance-Plattform, die Aufzeichnungen über die zentralen Bereiche hinweg erfasst und verwaltet, die BaFin typischerweise prüft.
MCO ermöglicht die Steuerung zentraler Compliance-Bereiche wie Mitarbeiter-Personalhandel, Kommunikationsüberwachung, Trade Surveillance und das Management von Insiderinformationen innerhalb eines Systems - anstelle mehrerer getrennter Tools. Die Single Source of Data von ‘MyComplianceOffice’ erlaubt es Compliance-Teams, Handelsaktivitäten, Kommunikation und Insiderdaten in einem einheitlichen Prozess abzurufen, wenn sie auf aufsichtsrechtliche Anforderungen reagieren.
Durch die Zentralisierung von Erfassung, Verwaltung und Prüfung von Compliance-Daten hilft MCO Unternehmen, nachzuweisen, dass ihre Nachweise vollständig, abrufbar und audit-ready sind – und damit genau das Maß an Rekonstruierbarkeit liefern, das BaFin in Prüfungen erwartet.
Möchten Sie mehr erfahren? Kontaktieren Sie uns noch heute für eine Demo!