Die BaFin verpflichtet die Deutsche Sparkassen Leasing GmbH & Co. KG, ihre Geschäftsorganisation zu ordnen. Nach einer Sonderprüfung monierte die Aufsicht IT-Defizite, insbesondere im Schwachstellen- sowie Identitäts- und Rechtemanagement. Die Anordnung ist seit dem 23. September 2025 bestandskräftig.
Bildnachweis:
Deutsche Leasing
Die Bundesanstalt für Finanzdienstleistungsaufsicht hat der Deutschen Sparkassen Leasing GmbH & Co. KG aufgegeben, die ordnungsgemäße Geschäftsorganisation sicherzustellen.
Auslöser ist eine Sonderprüfung zum Jahresende 2024, in der die Aufsicht Mängel im IT-Bereich feststellte. Beanstandet wurden vor allem das Schwachstellenmanagement sowie das Identitäts- und Rechtemanagement. Damit sah die BaFin zentrale Vorgaben des Kreditwesengesetzes verletzt; die Maßnahme ist seit dem 23. September 2025 bestandskräftig.
Die ordnungsgemäße Geschäftsorganisation ist im § 25a Absatz 1 KWG verankert und wird für den IT-Bereich durch die Bankaufsichtlichen Anforderungen an die IT (BAIT, Rundschreiben 10/2017) konkretisiert. Nachsicht gibt es dort nicht:
Ein wirksames Schwachstellenmanagement verlangt klare Prozesse von der Erkennung über die Bewertung bis zur zeitnahen Behebung. Gleiches gilt für Identitäts- und Rechtemanagement, das Rollen, Berechtigungen und Zugriffspflichten sauber trennt und revisionssicher dokumentiert. Wo diese Pfeiler wackeln, entsteht operatives Risiko – im Zweifel mit unmittelbaren Auswirkungen auf Datenschutz, Verfügbarkeit und Integrität der Systeme.
Die Anordnung ist mehr als eine formale Rüge. Sie setzt den Rahmen, um IT-Risiken strukturiert abzubauen und Prozesse auf ein dauerhaft tragfähiges Niveau zu heben. Für ein Leasinghaus im Sparkassenverbund ist robuste IT-Resilienz längst ein Wettbewerbsfaktor: Digitale Strecken, Schnittstellen zu Partnern und die sichere Verarbeitung großer Datenvolumina verlangen reife Governance, messbare Servicequalität und klare Verantwortlichkeiten. Erfahrungsgemäß verschafft ein verbindlicher Maßnahmenplan Tempo und Priorität – von Patch-Zyklen über Berechtigungskonzepte bis zu regelmäßigen Wirksamkeitskontrollen. Gelingt die Umsetzung konsequent, stärkt das nicht nur die Compliance-Position, sondern auch die operative Verlässlichkeit gegenüber Kunden, Verbundpartnern und Aufsicht.
.gif)
