Am 26. Juni 2025 hat die BaFin ihre strategischen Ziele für den Zeitraum 2026 bis 2029 veröffentlicht. Zehn gleichrangige Ziele bilden den Rahmen für die Arbeit der Behörde in den kommenden vier Jahren. Was auf den ersten Blick nach einem routinemäßigen Strategiepapier klingt, markiert bei genauerer Betrachtung einen substanziellen Richtungswechsel: Die deutsche Finanzaufsicht will sich von kleinteiliger Regelprüfung lösen und stärker an Ergebnissen und Risiken orientieren. Für beaufsichtigte Unternehmen ändert sich damit nicht nur der Ton der Aufsicht, sondern deren Substanz.
Die Neuausrichtung kommt nicht im luftleeren Raum. Sie ist eingebettet in den politischen Willen der Bundesregierung, den Finanzplatz Deutschland wettbewerbsfähiger zu machen, ohne das Sicherheitsniveau zu senken. Das Bundesfinanzministerium (BMF) flankiert die BaFin-Strategie mit dem Standortfördergesetz und dem Bankenumsetzungs- und Bürokratieentlastungsgesetz (BRUBEG). Dr. Eva Wimmer, Leiterin der Abteilung Finanzmarktpolitik im BMF, brachte die Leitlinie auf den Punkt: „Vereinfachung ist nicht Deregulierung."
Was: Zehn gleichrangige strategische Ziele der BaFin für 2026–2029
Wann: Veröffentlicht am 26. Juni 2025, gültig ab 1. Januar 2026
Kontext: Flankiert durch Standortfördergesetz und BRUBEG des BMF
Kernbotschaft: Risikobasierte, proportionale und datengestützte Aufsicht – weniger Bürokratie, mehr Ergebnisorientierung
Betroffen: Alle beaufsichtigten Institute – Banken, Versicherer, Kapitalverwaltungsgesellschaften, Zahlungsdienstleister
Der strategische Rahmen: Warum gerade jetzt?
Die BaFin definiert ihre strategischen Ziele in vierjährigen Zyklen. Die vorherige Strategieperiode 2022–2025 hatte noch unter dem Eindruck der Corona-Krise, der Wirecard-Aufarbeitung und der ersten regulatorischen Welle aus Brüssel gestanden – vom Digital Operational Resilience Act (DORA) über die Markets in Crypto-Assets Regulation (MiCA) bis zum EU AI Act. Die neue Strategie reagiert auf eine veränderte Ausgangslage: Die großen europäischen Regulierungsvorhaben sind verabschiedet, die Implementierung läuft. Jetzt geht es um Wirksamkeit, nicht um neue Regeln.
Gleichzeitig hat sich das geopolitische Umfeld verschärft. Cyberrisiken, geopolitische Spannungen und die Zinswende stellen Finanzinstitute vor operative Herausforderungen, die sich nicht durch zusätzliche Reporting-Pflichten adressieren lassen. Die BaFin zieht daraus eine klare Konsequenz: weniger Aufwand für formale Compliance, mehr Fokus auf die tatsächliche Risikolage.
Die zehn strategischen Ziele im Überblick
Die zehn Ziele sind bewusst gleichrangig formuliert – es gibt keine Priorisierung. Für die Praxis ist allerdings erkennbar, dass drei Stoßrichtungen den Kern bilden: Stabilität und Resilienz sichern, den Aufsichtsansatz modernisieren und die BaFin selbst zukunftsfähig aufstellen.
1. Finanzielle Stabilität und Sicherheit fördern
Die BaFin will sicherstellen, dass beaufsichtigte Unternehmen ein effektives Risikomanagement betreiben. Der Blick richtet sich dabei nicht nur auf klassische Bilanzkennzahlen, sondern explizit auf die Zukunftsfähigkeit von Geschäftsmodellen und Risiken aus geopolitischen Entwicklungen. Makroprudenzielle Instrumente sollen eine größere Rolle spielen, Abwicklungspläne konsequenter operationalisiert werden. Schwächen will die Behörde „schnell und entschlossen" adressieren.
2. Operationelle Resilienz stärken
Hier wird die Brücke zum DORA geschlagen. Die BaFin intensiviert Prüfungen im Bereich der Informations- und Kommunikationstechnologie (IKT), baut Spezialwissen zu Cyberrisiken auf und analysiert Auslagerungen kritischer Dienstleistungen. Das Ziel ist es, systemische Auswirkungen von Cyber-Krisen zu begrenzen und Konzentrationsrisiken bei IT-Dienstleistern zu reduzieren. Angesichts der Erfahrungen mit groß angelegten Cyberangriffen auf den Finanzsektor in den vergangenen Monaten ist dieses Ziel operativ von hoher Dringlichkeit.
3. Problem-Unternehmen frühzeitig erkennen
Die BaFin will ihre Früherkennung durch datengestützte Analysen und externe Informationsquellen verbessern. Problematische Unternehmen sollen enger begleitet werden, Maßnahmen konsequenter durchgesetzt – einschließlich Geschäftsbeschränkungen bis zur Mängelbeseitigung. Für die beaufsichtigten Institute bedeutet das: Die Zeiten, in denen Defizite über Jahre informell besprochen wurden, gehen zu Ende.
4. Geldwäsche und Terrorismusfinanzierung bekämpfen
Die BaFin erhöht Prüfungshandlungen und Ressourcen in diesem Bereich, richtet den Fokus verstärkt auf den Zahlungsverkehr und Kryptomarkt und unterstützt den Aufbau der neuen europäischen Geldwäscheaufsichtsbehörde Anti-Money Laundering Authority (AMLA). Datengestützte Aufsicht und der systematische Austausch zwischen Akteuren stehen im Mittelpunkt – ein Signal, dass die Behörde die bisherige Aufsichtsintensität als unzureichend einschätzt.
5. Verbrauchertransparenz und -schutz sicherstellen
Marktanalysen sollen Risiken für Verbraucher identifizieren, bevor Schäden eintreten. Die BaFin geht entschlossener gegen unseriöse Anbieter und unerlaubte Geschäfte vor, prüft Finanzprodukte auf ihren tatsächlichen Kundennutzen und adressiert den wachsenden Einfluss sozialer Medien auf Anlageentscheidungen. Die Rolle digitaler Plattformen und Finfluencer rückt damit stärker in den Aufsichtsfokus.
6. Markttransparenz und Marktintegrität sichern
Die Behörde verstärkt die Überwachung von Erlaubnispflichtverletzungen und Marktmanipulation. Datenanalysen und Screening-Verfahren werden ausgebaut, die Zusammenarbeit mit Strafverfolgungsbehörden intensiviert. Ein besonderer Schwerpunkt liegt auf der Kontrolle der Nachhaltigkeitsberichterstattung – die BaFin will Greenwashing nicht nur regulatorisch adressieren, sondern aktiv aufdecken.
7. Nachhaltigkeitsaspekte in die Aufsicht integrieren
Environmental, Social and Governance (ESG) Risiken werden systematisch in die Aufsichtspraxis eingebettet. Die BaFin prüft Offenlegungspflichten und geht konsequent gegen die irreführende Vermarktung nachhaltiger Finanzprodukte vor. Der Ansatz ist dabei explizit risikoorientiert: Nachhaltigkeit soll kein Compliance-Add-on sein, sondern integraler Bestandteil des Risikomanagements.
8. Innovative Technologien konstruktiv begleiten
Die BaFin signalisiert Offenheit für neue Technologien und Geschäftsmodelle, sofern sie dem Verbrauchernutzen dienen. Der Dialog mit Marktteilnehmern soll intensiviert, Erlaubnisverfahren beschleunigt und die aufsichtliche Einschätzung transparenter kommuniziert werden. Für FinTechs und etablierte Institute gleichermaßen ist das eine relevante Verschiebung: Die Behörde will nicht mehr nur Gatekeeper sein, sondern konstruktiver Dialogpartner.
9. Komplexität reduzieren, Proportionalität stärken
Dieses Ziel ist das eigentliche Herzstück des Paradigmenwechsels. Die BaFin setzt sich national und auf europäischer Ebene für eine weniger komplexe, proportionalere und risikobasiertere Regulierung und Aufsicht ein – ausdrücklich „ohne das Sicherheitsniveau zu senken". Ermessensspielräume sollen zugunsten kleinerer Unternehmen genutzt, interne Aufsichtsprozesse beschleunigt werden. Für die rund 950 weniger signifikanten Institute in Deutschland ist das eine direkte Entlastung.
10. Zukunftsfähigkeit und attraktive Arbeitgeberin
Die BaFin richtet den Blick auch nach innen: Interdisziplinäre Teams, kontinuierliche Personalentwicklung und ein offenes Arbeitsumfeld sollen die Behörde für Fachkräfte attraktiver machen. Die IT-Infrastruktur wird modernisiert, die datengestützte Aufsicht ausgebaut und Papierprozesse systematisch abgeschafft. Letzteres ist kein Nebenschauplatz – die Digitalisierung der Behörde selbst ist Voraussetzung für eine wirksame datengetriebene Aufsicht.
Was sich für beaufsichtigte Institute ändert
Risikobasierung statt Checkliste
Der Wechsel von regelbasierter zu risikobasierter Aufsicht klingt abstrakt, hat aber handfeste Konsequenzen. Institute, die bisher ihre Compliance-Arbeit auf das Abhaken regulatorischer Anforderungen ausgerichtet haben, müssen umdenken. Die BaFin wird stärker prüfen, ob Risikomanagementsysteme tatsächlich wirksam sind – nicht nur, ob sie formal existieren. Die Frage lautet nicht mehr „Haben Sie die Richtlinie?", sondern „Funktioniert Ihr System im Ernstfall?"
Das erfordert einen kulturellen Wandel in vielen Compliance-Abteilungen. Dokumentationslast sinkt möglicherweise, aber die Anforderung an die Substanz der Systeme steigt. Die BaFin will Ergebnisse sehen, nicht Papier.
Proportionalität als Entlastung für kleinere Institute
Das Proportionalitätsprinzip war bisher eher ein Lippenbekenntnis. Die neue Strategie verankert es als eigenständiges Ziel. Kleinere Institute sollen von Ermessensspielräumen profitieren, die die BaFin aktiv nutzen will. Im Zusammenspiel mit dem BRUBEG, das die Umsetzung der Capital Requirements Directive VI (CRD VI) in deutsches Recht ohne nationales Gold-Plating vorsieht, entsteht ein konsistentes Signal: Regulierung soll proportional zur tatsächlichen Risikolage erfolgen.
Datengetriebene Aufsicht wird Realität
Die BaFin kündigt an, neue Technologien für die Aufsicht einzusetzen und ihre zentrale Datenerhebungsplattform substanziell zu verbessern. Für Institute bedeutet das: Die Datenqualität der eigenen Meldungen wird zum kritischen Erfolgsfaktor. Wer fehlerhafte oder inkonsistente Daten liefert, fällt schneller auf als bisher. Gleichzeitig eröffnet die Digitalisierung der Aufsicht die Möglichkeit, den Dialog zwischen Behörde und Institut zu beschleunigen und zu entbürokratisieren.
Verschärfter Fokus auf Cyber und IKT
Das Zusammenspiel von Ziel 2 (operationelle Resilienz) mit der laufenden DORA-Umsetzung signalisiert eine spürbare Intensivierung der IKT-Prüfungen. Institute sollten damit rechnen, dass die BaFin insbesondere Auslagerungen an Cloud-Dienstleister, Konzentrationsrisiken bei kritischen Drittanbietern und die Wirksamkeit von Incident-Response-Prozessen intensiver prüfen wird als in der vorherigen Strategieperiode.
Einordnung: Substanz oder Strategieprosa?
Strategiepapiere von Aufsichtsbehörden laufen Gefahr, in Allgemeinplätzen zu verharren. Die BaFin-Ziele 2026–2029 heben sich in drei Punkten von ihren Vorgängern ab.
Erstens: Die explizite Verankerung von Komplexitätsabbau und Proportionalität als eigenständiges Ziel ist ein Novum. In der Strategieperiode 2022–2025 war Proportionalität ein Nebenaspekt – jetzt steht sie gleichrangig neben Finanzstabilität und Verbraucherschutz.
Zweites: Die politische Flankierung durch BMF, Standortfördergesetz und BRUBEG gibt den Zielen eine Verbindlichkeit, die frühere Strategiepapiere nicht hatten. Die BaFin agiert nicht isoliert, sondern im Gleichschritt mit der Bundesregierung.
Drittens: Der Fokus auf datengetriebene Aufsicht und die Abschaffung von Papierprozessen adressiert eine Schwachstelle, die die Branche seit Jahren kritisiert. Wenn die BaFin dieses Versprechen einlöst, wäre das ein echter Effizienzgewinn für beide Seiten.
Die Risiken liegen im Vollzug. Proportionalität im Strategiepapier ist das eine – Proportionalität in der täglichen Aufsichtspraxis das andere. Ob sich die Kultur in den Aufsichtsteams tatsächlich von regelbasiertem Prüfen zu ergebnisorientiertem Aufsicht wandelt, wird sich in den nächsten zwei Jahren zeigen. Die europäische Dimension – insbesondere die zunehmende Rolle der Europäischen Zentralbank (EZB) und der European Supervisory Authorities (ESAs) – begrenzt zudem den nationalen Spielraum. Nicht alles, was die BaFin vereinfachen will, liegt allein in ihrer Hand.
Handlungsempfehlungen
Die BaFin-Strategie 2026–2029 erfordert von beaufsichtigten Instituten eine Neukalibrierung ihrer Compliance- und Risikomanagement-Ansätze. Vier Maßnahmen sind prioritär:
Die Verlagerung von formaler Compliance zu Outcome-Orientierung erfordert eine ehrliche Bestandsaufnahme: Funktionieren die bestehenden Risikomanagementsysteme im Ernstfall – oder existieren sie nur auf dem Papier? Institute sollten ihre Systeme einem Stresstest unterziehen und Lücken zwischen Dokumentation und operativer Realität schließen. Die BaFin wird künftig weniger nach Richtlinien fragen und mehr nach Ergebnissen.
Die datengetriebene Aufsicht der BaFin setzt konsistente, vollständige und zeitnahe Daten voraus. Institute sollten ihre Meldewesen-Infrastruktur auf den Prüfstand stellen: Sind die Datenflüsse automatisiert? Gibt es Qualitätssicherungsprozesse? Wer heute in Datenqualität investiert, vermeidet morgen aufsichtliche Rückfragen und beschleunigt den Dialog mit der Behörde.
Die Kombination aus DORA-Pflichten und dem BaFin-Ziel zur operationellen Resilienz macht IKT-Prüfungen zum Schwerpunktthema der nächsten Jahre. Cloud-Auslagerungen, Konzentrationsrisiken bei IT-Dienstleistern und Incident-Response-Fähigkeiten sollten jetzt überprüft und gegebenenfalls nachgeschärft werden – bevor die BaFin prüft.
Insbesondere kleinere und mittlere Institute sollten die angekündigten Erleichterungen nicht abwarten, sondern aktiv einfordern. Die BaFin hat signalisiert, Ermessensspielräume zu nutzen – aber Institute müssen auch begründen können, warum ein vereinfachter Ansatz in ihrem Fall risikoadäquat ist. Das erfordert eine fundierte Eigeneinschätzung der Risikolage und den proaktiven Dialog mit den zuständigen Aufsichtsteams.
Christian Schablitzki
Strategy & Management Consultant · Agentic-AI-Experte für Finanzinstitute
Über 20 Jahre in Investmentbanking und Derivatehandel, anschließend mehr als 10 Jahre als Berater für Finanzinstitute. Aktuell Partner bei Infosys Consulting in Deutschland. Zertifiziert in Google AI, Generative AI Leader (Google Cloud) und IBM RAG and Agentic AI.
LinkedIn-Profil →Lesen Sie weiter – alle 14 Tage in Ihrem Postfach.
Kapitalmarkt-Insights, Regulierungs-Updates und AI-Trends. Kompakt, fundiert, kostenlos.
DSGVO-konform. Jederzeit abbestellbar.