Sechs Jahre nach Wirecard: Die BaFin in der Dauerkrise
Im Juni 2020 musste Wirecard eingestehen, dass 1,9 Milliarden Euro in der Bilanz nicht existierten. Die Bundesfinanzaufsicht BaFin hatte jahrelang nicht nur weggeschaut, sondern aktiv die Falschen verfolgt: Als die Financial Times seit 2019 über Bilanzunregelmäßigkeiten berichtete, erstattete die Behörde Strafanzeige wegen Marktmanipulation. Die Adressaten waren nicht Wirecard, sondern Shortseller und Journalisten. BaFin-Präsident Felix Hufeld räumte später ein: „Klassische Aufsicht reicht nicht aus.“
Sechs Jahre später präsentiert die BaFin neue Strategiepapiere, erweiterte Befugnisse und 525 gemeldete Cybervorfälle allein in den ersten neun Monaten des Jahres 2025. Dahinter verbirgt sich eine unbequeme Wahrheit: Das Grundproblem der deutschen Finanzaufsicht ist nicht gelöst. Es heißt Reaktivität statt Prävention und ist in jedem größeren Skandal der vergangenen sechs Jahre erkennbar geblieben.
Wie die BaFin Wirecard schützte statt die Anleger
Die ersten kritischen FT-Berichte über Wirecard erschienen im Januar 2019. Die Antwort der BaFin war keine Prüfung des Unternehmens, sondern eine Untersuchung derjenigen, die das Unternehmen kritisierten: Im April 2019 leitete die Behörde Ermittlungen wegen Marktmanipulation ein. Adressat waren Leerverkäufer und FT-Journalisten. Wirecard selbst stand nicht im Mittelpunkt. Die Ermittlungen gegen die Shortseller wurden erst nach dem Wirecard-Kollaps im September 2020 eingestellt.
Die EU-Wertpapieraufsicht ESMA analysierte das Geschehen und identifizierte in ihrem Peer-Review laut ESMA-Pressemitteilung „erhebliche Mängel, Ineffizienzen und Defizite“ in der deutschen Finanzaufsicht. Konkret bemängelte die ESMA, dass die BaFin keine ausreichenden Maßnahmen ergriffen hatte, um Hinweisen auf Bilanzmanipulationen nachzugehen, obwohl diese seit Jahren bekannt waren.
Felix Hufeld, BaFin-Präsident seit 2015, vereinbarte im Januar 2021 seinen Rücktritt; zum 1. April 2021 trat sein Abgang offiziell in Kraft. Der Bundestag verabschiedete im selben Jahr das Finanzmarktintegritätsstärkungsgesetz (FISG), das der BaFin neue Befugnisse zur Bilanzkontrolle gab: Die Behörde kann seither Sonderprüfungen direkter anordnen, hat Zugang zu mehr Unternehmensdaten und kann in bestimmten Fällen früher eingreifen. Das FISG war die größte Reform der deutschen Finanzaufsicht seit Jahren.
Was das Gesetz nicht änderte, war die Grundstruktur einer Behörde, die darauf ausgelegt ist zu reagieren, nicht vorausschauend zu agieren. Das zeigte sich bereits im selben Jahr, als die nächste Affäre die Öffentlichkeit erreichte.
Das Muster wiederholt sich: Greensill, N26, Geldwäsche
Die Greensill Bank war kein Wirecard, aber sie folgte demselben Aufsichtsmuster. Bereits ab April 2019 hatte die BaFin die Bremer Bank im Visier. Den Sonderaudit ordnete die Behörde erst im September 2020 an, nach dem Wirecard-Kollaps im Juni desselben Jahres. Es vergingen fast zwei Jahre, bis im März 2021 das Moratorium verhängt und die Bank geschlossen wurde. In dieser Zeit hatten Kommunen Millionenbeträge als Einlagen platziert, die nun gefährdet waren. Das Handelsblatt, das die Aufsichtschronologie nachrecherchierte, stellte fest: Die BaFin wusste früh von Problemen bei Greensill und handelte dennoch mit langer Verzögerung.
Bei N26 erstreckte sich das Muster auf vier Jahre. Die Berliner Neobank erhielt im Juni 2021 eine Geldbuße von 4,25 Millionen Euro wegen unzureichender Geldwäschekontrollen. Im November 2021 verhängte die BaFin einen Neukundenstopp: Die Bank durfte monatlich maximal 50.000 neue Kunden aufnehmen. 2022 folgte eine weitere Buße von 9,2 Millionen Euro. Im März 2025 ergriff die BaFin laut Business Insider erneut aufsichtliche Maßnahmen. Zwischen dem ersten identifizierten Problem und einer dauerhaften Lösung vergingen damit mindestens vier Jahre. Währenddessen wuchs N26 zu einer der größten Neobanken Europas.
Bei der Deutschen Bank zeigt die Bußgeldchronologie einen beunruhigenden Verlauf. Im Oktober 2023 verhängte die BaFin eine Geldbuße von 170.000 Euro gegen die Deutsche Bank wegen verspäteter Verdachtsmeldungen, im März 2024 eine weitere von 50.000 Euro. Im März 2025 folgte eine Strafe von 23,05 Millionen Euro, die BaFin gegen die Deutsche Bank AG festsetzte. Die wachsenden Summen legen nahe, dass kleinere Bußgelder keine ausreichende Abschreckung waren. Zum Vergleich: Die britische Financial Conduct Authority (FCA) kann bei einzelnen Verstoßen bis zu 76 Millionen Pfund verhängen. Insgesamt meldete die Financial Intelligence Unit (FIU) für 2023 322.590 Geldwäsche-Verdachtsmeldungen aus Deutschland. Wie viele davon zu tatsächlichen Strafverfolgungen führten, bleibt öffentlich intransparent.
| Vorfall | Erster Hinweis | BaFin-Eingriff | Verzögerung |
|---|---|---|---|
| Wirecard FT-Berichte | Januar 2019 | Erst Shortseller-Untersuchung, Kollaps Juni 2020 | 17 Monate |
| Greensill Bank Sonderaudit | April 2019 | Schließung März 2021 | ca. 23 Monate |
| N26 Geldwäscheprobleme | 2019/2020 | Bußgeld Juni 2021, Stopp Nov. 2021 | 2+ Jahre |
Die nächste Bedrohung: Private Credit und Cyberangriffe
Während die BaFin Geldwäschefälle und Neobank-Kontrollen nachholt, wächst im Schatten des regulierten Bankensystems ein kaum beaufsichtigter Markt: der sogenannte Private-Credit-Sektor. Bankfremde Finanzintermediäre (NBFIs), also Fonds, Versicherungen und andere Finanzakteure außerhalb des klassischen Bankensystems, verwalten laut Europäischer Zentralbank Vermögenswerte von rund 54 Billionen Euro in der Eurozone und haben sich damit seit 2008 um 135 Prozent ausgeweitet. Sie stellen heute rund 30 Prozent aller Unternehmenskredite in der Eurozone bereit.
Die Deutsche Bank hat nach eigenen Jahresberichtsangaben ein Private-Credit-Exposure von 26 bis 30 Milliarden Euro aufgebaut. Ein substanzieller Teil dieser Positionen muss bis Ende 2026 refinanziert werden. Die BaFin selbst bezeichnete in ihrem Bericht zu den Fokusrisiken 2026 die Verflechtungen zwischen Banken und dem Schattenbankensektor als systemisches Risiko. Auch das Financial Stability Board (FSB) warnte explizit vor einer Private-Credit-Refinanzierungswelle gegen Ende 2026. Gleichzeitig fehlen der BaFin die gesetzlichen Instrumente für eine umfassende Aufsicht: NBFIs unterliegen nur eingeschränkter Regulierung und wenn sich Risiken in diesem Segment aufbauen, kann die Behörde nicht direkt eingreifen.
Parallel dazu sind Cyberangriffe auf Finanzinstitute stark angestiegen. Seit dem 17. Januar 2025 gilt die EU-Verordnung DORA (Digital Operational Resilience Act), die Finanzinstitute verpflichtet, erhebliche IKT-Vorfälle an die BaFin zu melden. In den ersten neun Monaten des Jahres 2025 registrierte die Behörde laut eigenem Jahresbericht 525 solcher Vorfälle, ein Anstieg von 140 Prozent gegenüber dem Vorjahr. Zu beachten ist dabei: Ein Teil des Anstiegs erklärt sich durch die neuen DORA-Meldepflichten selbst. Beides zusammen zeigt dennoch: Die digitale Angriffsfläche des deutschen Finanzsektors wächst schneller als die Abwehrkapazitäten. Die Bundesbank stufte Cyberrisiken in ihrem Finanzstabilitätsbericht 2025 als eines der drei wichtigsten Systemrisiken für das laufende Jahr ein.
Was FINMA und FCA besser machen
Der Credit-Suisse-Zusammenbruch im März 2023 hat die Schweizer Finanzmarktaufsicht FINMA schwer erschüttert. Die parlamentarische Untersuchungskommission (PUK) stellte in ihrem Bericht fest, dass die FINMA seit 2012 insgesamt 43 Vorabklärungen durchgeführt, 9 Rügen ausgesprochen und 14 Enforcement-Verfahren gegen die Credit Suisse eingeleitet hatte. Trotzdem konnte sie den Kollaps nicht verhindern. Die politische Schlussfolgerung in Bern war entschieden: Die FINMA soll erweiterte Bußgeld-Befugnisse und direkte Frühinterventions-Instrumente erhalten. Werkzeuge dieser Art besitzt die BaFin strukturell nicht.
Die britische FCA, 2013 nach einer bewussten Trennung von der damaligen Financial Services Authority neu gegründet, operiert institutionell unabhängiger. Sie kann ohne Ministeriumsgenehmigung hohe Bußgelder verhängen, hat eigene Enforcement-Abteilungen mit Ermittlungskompetenz und reguliert Fintechs konsistent nach denselben Standards wie traditionelle Banken. Während N26 in Deutschland über Jahre unter unzureichender Aufsicht operierte, wurden britische Neobanken deutlich früher in ein konsistentes Kontrollrahmenwerk eingebunden.
Wie schlecht es um die institutionelle Unabhängigkeit der deutschen Finanzregulierung bestellt ist, zeigt der GRECO-Bericht 2025 des Europarats. Die Antikorruptionsbehörde überprüfte Deutschland auf die Umsetzung von 14 Empfehlungen zur Transparenz bei Lobbyismus und Interessenkonflikten. Das Ergebnis: Lediglich eine Empfehlung wurde vollständig umgesetzt. Fünf weitere wurden teilweise angegangen. Acht blieben ohne erkennbare Fortschritte. Speziell die Anforderungen an Regulatoren zur Offenlegung von Kontakten mit der Finanzlobby werden nach GRECO-Einschätzung nicht erfüllt.
Die NGO Finanzwende, die in ihrer Analyse „Die Akte BaFin“ die Behördenstruktur detailliert untersuchte, benennt den strukturellen Kern des Problems: Die BaFin finanziert sich teilweise durch Umlagen der beaufsichtigten Unternehmen, operiert nach dem Prinzip „Comply or Explain“ und besitzt keine Handhabe für proaktive Interventionen ohne konkreten Verdachtsfall. Lobbyorganisationen wie der Bundesverband Öffentlicher Banken Deutschlands (VÖB) können regulatorische Prozesse aktiv mitgestalten.
Bis zur Refinanzierungswelle Ende 2026
Die BaFin hat strategische Ziele bis 2029 formuliert: Digitalisierung der Aufsicht, frühzeitigere Risikoidentifikation und stärkere internationale Vernetzung. Finanzwende hält diese Agenda für unzureichend. Kernkritik: Die BaFin setze Reformrhetorik als Kommunikationsinstrument ein, ohne die strukturellen Enforcement-Defizite zu beheben. Finanzwende fordert eine verbindliche Leverage-Ratio von zehn Prozent für systemrelevante Banken, eine Forderung, die Bundesbank mit ihrer Warnung vor zu niedrig angesetzten Risikogewichten implizit unterstützt.
Bis Ende 2026 steht eine konkrete Bewährungsprobe bevor. Die Private-Credit-Refinanzierungswelle, vor der sowohl das FSB als auch die BaFin öffentlich gewarnt haben, trifft auf einen Sektor, der weitgehend außerhalb des BaFin-Kontrollperimeters liegt. Wenn Schuldner in diesem Segment ihre Positionen nicht verlängern können und deutsche Banken als Intermediäre in Schieflage geraten, wäre die BaFin strukturell in einer vertrauten Lage: von einem Systemereignis überrascht, das sie seit Jahren kommen sah.
Parallel laufen die DORA-Umsetzungspflichten noch nicht vollständig. Das BaFin-Rundschreiben 11/2025 zu den verschärften Fit-and-Proper-Anforderungen für Bankvorstände wurde zum 1. Januar 2026 verbindlich. Die Implementierung führt laut Branchenberichten zu erheblichen Unsicherheiten über konkrete Anforderungen. Das Muster der deutschen Finanzregulierung wiederholt sich: Neue Regeln kommen spät, werden hektisch nachgezogen und erzeugen zunächst Chaos statt Kontrolle.
Was eine strukturelle Reform bedeuten würde, hat die FCA vorgezeigt: institutionelle Unabhängigkeit, eigene Enforcement-Befugnisse und konsistente Aufsicht über alle Finanzakteure hinweg. Ob die nächste Bundesregierung diesen Weg einschlägt, hängt nicht zuletzt davon ab, ob der Druck groß genug wird. Er wird es erfahrungsgemäß erst dann, wenn die nächste Krise eingetreten ist.
Kommentare