Richtlinien-Diff

Richtlinien-Diff

Zweck

Dieser Skill vergleicht eine neue oder geänderte Aufsichtsnorm / Verlautbarung mit einer bestehenden internen Richtlinie. Das Ergebnis ist ein strukturierter Diff: Welche Anforderungen der neuen Norm sind in der Richtlinie abgedeckt? Wo weicht die Richtlinie ab? Wo hat die Norm Neues hinzugefügt oder Altes gestrichen?

Typische Einsatzfelder:

• Neue MaRisk-Novelle gegen bestehende Risikomanagement-Richtlinie
• Geändertes BaFin-Rundschreiben BAIT/VAIT gegen IT-Sicherheitsrichtlinie
• Neue EBA-Leitlinien gegen interne Compliance-Policies
• Geändertes BMF-Schreiben gegen steuerliche Richtlinien / AO-Verfahrenshandbuch

Eingaben

• Neue Norm / Verlautbarung: Text oder Link (BaFin-Rundschreiben, MaRisk-Modul, EBA-Leitlinie, Gesetzestext)
• Bestehende Richtlinie: Bestandsdokument (hochgeladen oder aus Bibliothek)
• Scope: Optional – nur bestimmte Abschnitte vergleichen
• Optional: Vorheriger Diff-Lauf zum Vergleich

Ablauf

1. Neue Norm strukturieren

Neue Norm / Verlautbarung lesen und in nummerierte Anforderungen zerlegen:

Verbindlichkeitskennzeichnung:

• Verbindlich: "hat sicherzustellen", "muss", "sind zu"
• Empfehlung/Best Practice: "sollte", "kann", "wird empfohlen"

2. Bestehende Richtlinie strukturieren

Bestehende Richtlinie lesen und relevante Abschnitte den neuen Anforderungen zuordnen.

3. Diff-Tabelle erstellen

Status-Legende:

• 🔴 Abweichung: Richtlinie weicht von verbindlicher Anforderung ab
• 🟡 Lücke: Anforderung fehlt in Richtlinie (verbindlich: 🔴 potentiell; Best Practice: 🟡)
• 🟢 Gedeckt: Anforderung vollständig und korrekt abgebildet
• ⚪ Überschuss: Richtlinie enthält Regelung, die die Norm nicht fordert (kein Problem, aber zur Kenntnis)

4. Zusammenfassung

Diff-Zusammenfassung: [Normtitel] vs. [Richtlinientitel]
Analysiert: N Normabschnitte | N Richtlinienabschnitte

Handlungsbedarf:
🔴 N Abweichungen (verbindliche Anforderungen, Richtlinie weicht ab)
🟡 N Lücken (neue Anforderungen ohne Entsprechung)
🟢 N gedeckt
⚪ N Überschüsse (Richtlinie enthält Mehr als die Norm fordert)

5. Empfehlung

Für jede 🔴-Abweichung und jede wesentliche 🟡-Lücke:

• Konkrete Formulierungsänderung vorschlagen (Ausgangspunkt für /richtlinien-neufassung)
• Frist aus der Verlautbarung angeben
• Eskalationsbedarf markieren ([prüfen] bei Unklarheit)

Quellen und Zitierweise

Zitierweise: ../../../references/zitierweise.md

Einschlägige Normen und Verlautbarungen:

• BaFin-Rundschreiben 09/2017 (BA) – MaRisk, alle Novellen [Modellwissen – prüfen auf aktuelle Fassung]
• BaFin-Rundschreiben 10/2018 (BA) – BAIT [Modellwissen – prüfen]
• BaFin-Rundschreiben 10/2017 (VA) – VAIT [Modellwissen – prüfen]
• BaFin-Rundschreiben 05/2021 (IO) – ZAIT (Zahlungsdienstleister IT) [Modellwissen – prüfen]
• EBA-Leitlinien EBA/GL/2019/04 – IKT-Risikomanagement [Modellwissen – prüfen]
• DORA Art. 5 ff. (EU) 2022/2554 (ICT Risk Management)
• § 25a KWG (Ordnungsgemäße Geschäftsorganisation)

Quellenregel: Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen; Literatur nur mit Nutzerquelle oder lizenziertem Live-Zugriff.

• Quellenregel: Keine Kommentar-, Handbuch-, Aufsatz- oder Tabellenfundstellen aus Modellwissen; nur Nutzerquelle, amtliche/freie Quelle oder lizenzierte Live-Verifikation verwenden.

Ausgabeformat

• Diff-Tabelle: Alle Anforderungen mit Deckungsgrad
• Zusammenfassung: Kennzahlen
• Empfehlungen: Konkrete Formulierungsänderungen als Ausgangspunkt für Neufassung
• Reviewer-Header und Prüfernotiz wie in CLAUDE.md definiert

Beispiel

Eingabe: /regulatorisches-recht:richtlinien-vergleich MaRisk-AT-4.3.2-Novelle-2023

Ausgabe (Auszug):

⚠️ Prüfernotiz

• Quellen: MaRisk RS 09/2017 Novelle 2023 [Modellwissen – prüfen gegen bafin.de], IKS-Richtlinie v. 01.03.2023 [Nutzer-Input]
• Gelesen: AT 4.3.2 vollständig; IKS-Richtlinie §§ 1–12
• Zu Ihrer Einschätzung: 2 Positionen mit 🔴 markiert [prüfen]

Diff: MaRisk AT 4.3.2 (Novelle 2023) vs. IKS-Richtlinie (Stand: 01.03.2023)

Empfohlene Änderung für 🔴:

§ 4 Abs. 2 IKS-Richtlinie: "Aufbewahrungsfrist von 7 Jahren" → "mindestens 10 Jahren" (Anpassung an MaRisk AT 4.3.2 Novelle 2023).

Nächster Schritt: /regulatorisches-recht:richtlinien-neufassung für den vollständigen Neufassungsentwurf.

Risiken / typische Fehler

• Nur Wortlaut-Vergleich: Eine Richtlinie kann die Norm wörtlich übernehmen, sie aber organisatorisch nicht umsetzen. Hinweis, dass der Diff nur den Dokumenteninhalt vergleicht, nicht die gelebte Praxis.
• Verlautbarungsversion: MaRisk und BAIT werden novelliert; stets Version und Datum der verwendeten Norm angeben und prüfen, ob aktuell.
• Best-Practice vs. verbindlich: EBA-Leitlinien sind nach Art. 16 EBA-VO "comply or explain" – nicht 1:1 verbindlich. Status klar kennzeichnen.
• Proportionalitätsgrundsatz: Nicht jede Norm gilt für jede Institutsgröße gleich (§ 25a Abs. 1 S. 3 KWG). Adressatenkreis prüfen und im Diff ausweisen.

Aktuelle Rechtsprechung & Leitsätze

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Kernnormen: Art. 288 AEUV — §§ 133, 157 BGB — § 47 GGO (Ressortabstimmung Richtlinien-Vergleich)

• Keine Kommentar-, Handbuch- oder Aufsatzfundstellen aus Modellwissen zitieren. Literatur nur nutzen, wenn der Nutzer die Quelle bereitstellt oder ein lizenzierter Live-Zugriff sie verifiziert.