Jede Bank in Liechtenstein braucht einen Compliance Officer. Das Bankengesetz (BankG) und die europäischen Aufsichtsstandards verlangen eine unabhängige Compliance-Funktion, die Regelverstösse erkennt, Risiken bewertet und die Geschäftsleitung berät. Doch die Besetzung dieser Schlüsselfunktion ist für viele Institute eine Herausforderung: Erfahrene Compliance-Spezialisten sind rar, die regulatorischen Anforderungen steigen, und das Gehaltsniveau für qualifizierte Kandidaten liegt häufig über dem, was kleinere und mittlere Banken budgetieren können.
Hier kommt der externe Compliance-Spezialist ins Spiel: als Sparringpartner für bestehende Compliance-Abteilungen, als punktuelle Verstärkung bei regulatorischen Veränderungen oder als Interimslösung bei Vakanzen. Dieser Artikel zeigt, unter welchen Voraussetzungen externe Compliance-Unterstützung in Liechtenstein zulässig ist, welche regulatorischen Anforderungen gelten und wann das Modell operativ sinnvoll ist.
Rechtliche Grundlagen der Auslagerung
Die Auslagerung von Bankfunktionen an externe Dienstleister ist in Art. 76 BankG geregelt. Banken und Wertpapierfirmen dürfen Prozesse, Dienstleistungen oder Tätigkeiten an Dritte auslagern, sofern bestimmte Voraussetzungen erfüllt sind. Die Vorschrift verweist auf die Bankenverordnung (BankV, Art. 14 ff.) und die EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02), die in Liechtenstein über den EWR direkt anwendbar sind.
Für die Compliance-Funktion bedeutet das: Die Auslagerung ist grundsätzlich möglich, unterliegt aber strengen Bedingungen. Die Compliance-Funktion gilt als "kritische oder wichtige Funktion" im Sinne der EBA-Leitlinien. Ihre Auslagerung erfordert eine vorherige Notifikation an die FMA. Die Bank muss nachweisen, dass die Qualität der Funktion durch die Auslagerung aufrechterhalten oder verbessert wird.
Nicht auslagerbar sind die Gesamtleitung und Oberaufsicht durch den Verwaltungsrat sowie die Kernaufgaben der Geschäftsleitung. Die Verantwortung für die Compliance bleibt auch bei Auslagerung bei der Bank. Der externe Dienstleister führt die Funktion aus, aber die Geschäftsleitung kann die Verantwortung nicht delegieren. Das ist der zentrale regulatorische Grundsatz, den die FMA bei jeder Auslagerung prüft.
FMA-Anforderungen im Detail
Die FMA prüft bei der Auslagerung der Compliance-Funktion mehrere Aspekte:
Fachliche Qualifikation: Der externe Compliance Officer muss über die gleiche fachliche Eignung verfügen wie ein interner Stelleninhaber. Die FMA erwartet nachgewiesene Erfahrung im regulierten Finanzsektor, Kenntnisse des liechtensteinischen und europäischen Aufsichtsrechts sowie branchenspezifisches Know-how. Personen, die Schlüsselfunktionen bei Banken ausüben, müssen gemäss BankG einen guten Ruf und ausreichende Erfahrung sowie berufliche Qualifikationen vorweisen. Die FMA kann die Eignung prüfen und bei Zweifeln ablehnen.
Unabhängigkeit: Die Compliance-Funktion muss unabhängig vom operativen Geschäft arbeiten. Bei einem externen Dienstleister ist die organisatorische Trennung in der Regel gegeben. Die FMA achtet aber darauf, dass keine Interessenkonflikte bestehen: Der externe CCO darf nicht gleichzeitig Geschäfte für die Bank abwickeln oder Beratungsleistungen erbringen, die Gegenstand seiner eigenen Compliance-Überwachung wären.
Zugang und Präsenz: Der externe Compliance Officer muss ausreichend Zugang zu den internen Systemen, Daten und Mitarbeitenden der Bank haben. Die FMA erwartet regelmässige Präsenz vor Ort, die Teilnahme an relevanten Gremien und einen dokumentierten Berichtsweg zur Geschäftsleitung und zum Verwaltungsrat. Ein rein ferngesteuertes Modell ohne physische Präsenz wird die FMA in der Regel nicht akzeptieren.
Vertragliche Absicherung: Der Dienstleistungsvertrag muss die EBA-Anforderungen an Outsourcing-Verträge erfüllen: klare Leistungsbeschreibung, Audit-Rechte für die Bank und die FMA, Regelungen zur Vertraulichkeit, Vorfallmeldepflichten, definierte Service Levels, Kündigungsfristen und eine Exit-Strategie, die den geordneten Übergang der Funktion sicherstellt.
Abgrenzung: Compliance Officer vs. SPG-Beauftragter
In Liechtenstein existieren zwei verwandte, aber rechtlich getrennte Funktionen, die in der Praxis häufig verwechselt werden:
Der Compliance Officer nach BankG/MiFID ist verantwortlich für die Einhaltung aller aufsichtsrechtlichen Vorgaben: Bankengesetz, MiFID-Wohlverhaltensregeln, Marktmissbrauchsverordnung, DORA, interne Richtlinien und Governance-Anforderungen. Sein Mandat ist breit und umfasst die gesamte regulatorische Landschaft.
Der SPG-Beauftragte (Sorgfaltspflichtbeauftragter) nach dem Sorgfaltspflichtgesetz ist zuständig für die Einhaltung der Geldwäschereibekämpfung: KYC, AML/CFT, Sanctions Screening, Verdachtsmeldungen an die FIU. Sein Mandat ist enger, aber die Tiefe ist grösser: Er muss jeden einzelnen Kunden und jede Transaktion im Blick haben.
In kleineren Banken werden beide Funktionen häufig von derselben Person ausgeübt. Das ist zulässig, sofern keine Interessenkonflikte bestehen. Bei einer Auslagerung kann ein externer Dienstleister beide Rollen übernehmen, was für kleinere Institute eine effiziente Lösung sein kann. Die FMA erwartet dann aber, dass die Aufgabentrennung dokumentiert ist und beide Funktionen mit der jeweils erforderlichen Tiefe ausgeübt werden.
Wann externe Compliance-Unterstützung sinnvoll ist
Externe Compliance-Expertise ist kein Ersatz für die interne Compliance-Abteilung. Sie ergänzt das bestehende Team dort, wo zusätzliche Kapazität oder Spezialwissen gefragt ist. In der Praxis sind es vor allem vier Konstellationen:
Spezialisierungsbedarf bei regulatorischen Veränderungen: AMLR, DORA, MiCAR und die laufenden EBA-Leitlinien verändern die Anforderungen schneller, als interne Teams sie parallel zum Tagesgeschäft aufarbeiten können. Ein externer Spezialist, der diese Themen über mehrere Institute hinweg begleitet, bringt Umsetzungserfahrung und Best Practices mit, die den internen Compliance Officer gezielt entlasten.
Entlastung bei Prüfungen und regulatorischen Projekten: FMA-Prüfungen, externe Revisionen und regulatorische Anfragen binden erhebliche Kapazität. Gerade in Phasen mit hoher Prüfungsdichte profitiert die interne Compliance davon, wenn ein erfahrener Kollege die Vorbereitung, Dokumentation und Kommunikation mit der Aufsicht mitträgt.
Übergangs- und Aufbausituationen: Wenn der bisherige Compliance Officer ausscheidet und die Nachfolge nicht sofort intern besetzt werden kann, braucht das Institut eine qualifizierte Überbrückung. Auch bei Neugründungen kann ein externer Spezialist die Compliance-Funktion aufsetzen, bis die interne Stelle besetzt ist.
Strategische Zweitmeinung: Banken, die ihre Compliance-Prozesse auf den Prüfstand stellen wollen, holen sich einen externen Blick: Gap-Analyse, Benchmark gegenüber der aktuellen Aufsichtspraxis, Empfehlungen zur Weiterentwicklung. Das ist keine Auslagerung, sondern ein befristetes Beratungsmandat.
Worauf die FMA bei der Aufsicht achtet
Die FMA hat in ihrer Aufsichtspraxis klare Erwartungen an ausgelagerte Compliance-Funktionen entwickelt. Aus den veröffentlichten Tätigkeitsberichten und der Prüfungspraxis lassen sich folgende Schwerpunkte ableiten:
Effektive Überwachung: Die Auslagerung darf die Fähigkeit der FMA zur effektiven Aufsicht nicht beeinträchtigen. Das bedeutet: Der externe CCO muss für die FMA erreichbar sein, auf Anfragen zeitnah reagieren und bei Vor-Ort-Prüfungen zur Verfügung stehen. Die FMA muss jederzeit Zugang zu den relevanten Unterlagen haben.
Laufende Qualitätskontrolle: Die Bank muss die Leistung des externen Compliance Officers laufend überwachen. Die FMA erwartet eine regelmässige Bewertung der Dienstleistungsqualität, dokumentierte Review-Gespräche zwischen Bank und Dienstleister sowie die Bereitschaft, bei Qualitätsmängeln Konsequenzen zu ziehen.
Kein Kontrollverlust: Die Bank muss jederzeit in der Lage sein, die ausgelagerte Funktion intern zu übernehmen (Insourcing-Fähigkeit). Die Exit-Strategie im Vertrag muss realistisch sein: Übergangsfristen, Datenmigration, Wissenstransfer. Eine vollständige Abhängigkeit von einem einzigen Dienstleister ohne Alternativplan ist aus Sicht der FMA inakzeptabel.
Haftungsfragen
Die Haftungsverteilung bei einem externen Compliance Officer ist ein Thema, das vertraglich sauber geregelt werden muss. Die Grundregel ist klar: Die aufsichtsrechtliche Verantwortung verbleibt bei der Bank. Die FMA wendet sich bei Mängeln an die Bank, nicht an den externen Dienstleister. Das heisst: Wenn der externe CCO einen Regelverstoss nicht erkennt, ist es die Bank, die gegenüber der FMA dafür einsteht.
Zivilrechtlich kann die Bank den Dienstleister im Innenverhältnis in Regress nehmen, sofern der Vertrag entsprechende Klauseln enthält. In der Praxis werden Haftungsobergrenzen und Versicherungspflichten vereinbart. Die EBA-Leitlinien empfehlen, die Haftungsverteilung im Outsourcing-Vertrag ausdrücklich zu regeln und sicherzustellen, dass der Dienstleister über eine angemessene Berufshaftpflichtversicherung verfügt.
Für den Verwaltungsrat und die Geschäftsleitung bleibt die Organverantwortung bestehen: Sie müssen sicherstellen, dass die Compliance-Funktion wirksam arbeitet, unabhängig davon, ob sie intern oder extern besetzt ist. Die Auslagerung entbindet das Leitungsorgan nicht von seiner Überwachungspflicht.
Was ein externer CCO konkret abdeckt
Der Leistungsumfang eines externen Compliance Officers richtet sich nach dem Bedarf des Instituts und den regulatorischen Anforderungen. Typischerweise umfasst das Mandat:
Laufende Überwachung der Einhaltung aufsichtsrechtlicher Vorgaben (BankG, MiFID, DORA, AML/SPG). Berichterstattung an Geschäftsleitung und Verwaltungsrat. Beratung bei regulatorischen Änderungen und deren Umsetzung. Prüfung und Aktualisierung interner Weisungen und Richtlinien. Vorbereitung und Begleitung von FMA-Prüfungen und externen Revisionen. Durchführung oder Koordination des Regulatory Monitorings. Schulung der Mitarbeitenden zu Compliance-Themen. Koordination mit dem SPG-Beauftragten, der internen Revision und dem Risikomanagement.
Bei Instituten, die auch den SPG-Beauftragten extern besetzen, kommen die KYC/AML-spezifischen Aufgaben hinzu: Überwachung der Sorgfaltspflichtprozesse, Qualitätskontrolle der Kundenakten, Screening-Oversight, Verdachtsmeldungen an die FIU und Koordination der periodischen Reviews.
Das richtige Modell wählen
In der Praxis haben sich drei Modelle etabliert:
Modell 1: Punktuelle Unterstützung. Die Bank hat eine eigene Compliance-Abteilung. Der externe Spezialist übernimmt abgegrenzte Aufgaben: Regulatory Monitoring, Prüfungsbegleitung, Umsetzung neuer regulatorischer Anforderungen oder die strategische Beratung der Geschäftsleitung. Das häufigste Modell in der Praxis, weil es die interne Funktion stärkt, ohne sie zu ersetzen.
Modell 2: Interimslösung. Der externe CCO überbrückt eine Vakanz oder begleitet den Aufbau einer internen Funktion. Zeitlich begrenzt, mit dem Ziel, die Funktion intern zu besetzen. Der Wissenstransfer an den internen Nachfolger ist fester Bestandteil des Mandats.
Modell 3: Vollauslagerung. Bei Instituten, die dauerhaft keine eigene Compliance-Stelle besetzen können oder wollen, übernimmt der externe Dienstleister die gesamte Compliance-Funktion. Dieses Modell eignet sich vor allem für kleinere Institute und erfordert eine vorherige Notifikation an die FMA sowie ausreichende Präsenz vor Ort.
Die Wahl des Modells hängt von der Grösse des Instituts, der Komplexität der Geschäftstätigkeit und der vorhandenen internen Kapazität ab. Die FMA hat keine Präferenz für ein bestimmtes Modell, erwartet aber, dass die Compliance-Funktion wirksam arbeitet und die Bank die Steuerungshoheit behält.
Compliance-Unterstützung für Ihr Institut?
SilverSeed GmbH berät Banken und Finanzintermediäre in Liechtenstein bei der Stärkung ihrer Compliance-Funktion. Ob Regulatory Monitoring, Prüfungsbegleitung, Interimsbesetzung oder strategische Zweitmeinung: Wir bringen regulatorische Tiefe und operative Erfahrung aus über 25 Jahren im Finanzsektor mit. In einem Erstgespräch klären wir, wie wir Ihr Team gezielt unterstützen können.
Fazit
Ein externer Compliance Officer ist für Banken in Liechtenstein eine regulatorisch zulässige und in vielen Fällen sinnvolle Lösung. Die rechtlichen Grundlagen sind klar: Art. 76 BankG, die EBA-Outsourcing-Guidelines und die FMA-Praxis definieren den Rahmen. Die Verantwortung bleibt bei der Bank, die Ausführung kann an einen qualifizierten Dienstleister übergeben werden. Für kleinere und mittlere Institute, die Compliance auf professionellem Niveau brauchen, bietet das Modell Zugang zu Expertise, die intern schwer aufzubauen wäre, zu planbaren Kosten und mit der Flexibilität, das Engagement je nach Bedarf zu skalieren.