Vergangenes Jahr erschien der Fortschrittsbericht zur Umsetzung von BCBS 239. Die Bilanz fiel nüchtern aus, zu träge verlaufe der Prozess. Darauf folgte kürzlich ein neuer Leitfaden, der die Erwartungshaltung der Europäischen Zentralbank konkretisiert – und zusätzlich Druck auf die Banken ausübt. Hat sie das Potenzial, die Wende einzuleiten?
Banken haben das Thema Datenmanagement bisher eher stiefmütterlich behandelt. Eine neue Leitlinie soll dies ändern.
2013 wurde BCBS 239 („Principles for effective risk data aggregation and risk reporting“) vom Basler Ausschuss für Bankenaufsicht ins Leben gerufen. Er entstand als Reaktion auf die Finanzkrise 2008, während strukturelle Mängel im Management von Risikodaten offenkundig wurden. Viele Banken konnten ihre Risikopositionen nicht schnell und genau genug erfassen und darüber berichten. Die Folge: verzögerte und teils falsche Entscheidungen, die die Krise noch verschärften.
Mit BCBS 239 sollte sich das ändern. Der Standard formuliert 14 Grundsätze zur Aggregation und Berichterstattung von Risikodaten. Er sollen gewährleisten, dass Banken über robuste Dateninfrastrukturen und -prozesse verfügen, um präzise und zeitnah über Risikodaten Auskunft geben zu können. Dabei geht es um Anforderungen an das Sammeln und das Reporting im engeren Sinne, aber auch um Governance- und IT-Strukturen. Letztere sind nötig, um in Krisensituationen agil und handlungsfähig zu sein. Im besten Falle sorgen sie dafür, dass es zu einer solchen Situation gar nicht erst kommt.
EZB will Fortschritte im Datenmanagement sehen
Nun sind mehr als zehn Jahre vergangen, seitdem BCBS 239 veröffentlicht wurde. Was sich seitdem getan hat? Zu wenig, wenn es nach dem Standardsetzer geht. In einem im November 2023 erschienenen Fortschrittsbericht attestiert der Basler Ausschuss dem Gros der Banken Trägheit in der Umsetzung und mahnt Defizite im Datenmanagement an. Im Bericht heißt es unter anderem, dass „bei allen Banken zusätzliche Arbeit“ erforderlich sei und dass es „keinen einzigen Grundsatz“ gebe, der von allen Banken vollständig umgesetzt worden sei.
Die Kritik des Basler Ausschusses ist durchaus verständlich. Bei der Erstveröffentlichung 2013 wurde die Umsetzungsfrist für global systemrelevante Institute auf drei Jahre festgesetzt. Zehn Jahre später können laut dem Bericht nur zwei von 31 betrachteten Banken volle Compliance mit den Grundsätzen sicherstellen. Dennoch gibt es auch Positivbeispiele: Gerade in Deutschland haben sich Tier-2-Banken schon früh auf den Weg gemacht, um bestehende Lücken zu schließen und ihr Datenmanagement zu optimieren.
Neue Leitlinie übt Druck aus
Um die Umsetzung von BCBS 239 weiter voranzutreiben, hat der Basler Ausschuss im Mai dieses Jahres eine neue Leitlinie veröffentlicht, mit der er den Druck auf die Banken noch erhöht. Mit dem Papier pocht die EZB auf eine umfassende Compliance im Risikomanagement. Die im BCBS 239 festgehaltenen Anforderungen werden darin spezifiziert – und das nicht unbedingt zur Freude der Banken. Denn die Aufwände für das Reporting sind dadurch eher gestiegen, als dass sie durch Ausschlussverfahren reduziert werden könnten.
Im Detail werden sieben Handlungsfelder, sogenannte Areas of Concern, identifiziert. Sie reichen von der Verantwortung des Vorstands und dem Anwendungsbereich über die Data-Governance, die Datenarchitektur, das Datenqualitätsmanagement und das Reporting bis hin zu den Umsetzungsprogrammen. Banken, die den Anforderungen nicht entsprechen, müssen mit empfindlichen Sanktionen rechnen. Diese umfassen unter anderem die Einschränkung bestimmter Geschäftsaktivitäten, Kapitalaufschläge und inzwischen sogar tägliche Strafzahlungen über 40.000 Euro. Selbst der Austausch von Vorstandspositionen ist möglich, bislang blieb es hier jedoch bei Androhungen.
Doch die verschiedenen Initiativen der EZB, die auf eine schnellere Umsetzung von BCBS 239 abzielen, üben nicht nur Druck auf die Banken aus. Sie geben ihnen auch Argumente an die Hand, um Investitionen gegenüber Mittelgebern zu rechtfertigen. Denn durch die Dringlichkeit, mit der die Zentralbank das Thema versieht, klettert das Thema Datenmanagement in der Priorisierung nach oben. Besonders gut lässt sich dies an der Funktion des CDO erkennen, die binnen kürzester Zeit enorm an Relevanz dazugewonnen hat.
Nicht nur wegen BCBS 239: Die Zeichen stehen auf Change
Eine enge Überwachung, die Androhung massiver Sanktionen, tägliche Strafzahlungen und die Konkretisierung der Erwartungshaltung – es spricht einiges dafür, dass die Umsetzung von BCBS 239 enorm an Fahrt gewinnen wird. Doch der regulatorische Druck verantwortet den derzeit stattfindenden Umschwung nicht allein, sondern es gibt weitere Treiber, die Banken dazu bewegen, in ein solides Datenmanagement und eine starke zentrale Governance um das Thema Daten zu investieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Da wäre zum einen die wachsende Bedeutung von ESG-Daten. Das spiegelt sich allen voran in der neuen EU-Richtlinie wider, die Anfang 2023 in Kraft getreten ist: Die „Corporate Sustainability Reporting Directive“ (CSRD) verpflichtet Unternehmen dazu, ihre Nachhaltigkeitsleistungen nach einem einheitlichen EU-Berichtsstandard transparent zu machen. Hier kommt ein völlig neues Universum an Daten in den Fokus von Banken. Vor diesem Hintergrund erweist es sich als doppelt sinnvoll, in ein effizientes Datenmanagement zu investieren, das den Reporting-Anforderungen im Bereich ESG wie auch im Risikomanagement gewachsen ist.
Auch die rasante Entwicklung im Thema Künstliche Intelligenz übt einen erheblichen Einfluss auf das Datenmanagement und die CDOs von Banken aus. Dabei ist die neue Technologie sowohl Treiber als auch Impulsgeber. So erfordert sie eine klare Governance, deren Einrichtung mit Aufwand für die Banken verbunden ist. Wer ist für die Daten und deren Qualität verantwortlich? Wer ist für die Use-Cases verantwortlich? Auf welche Daten darf KI zu welchem Zweck zugreifen? Für welche Anwendungsbereiche soll und darf KI genutzt werden? Was ist dabei die Aufgabe eines CDOs in meinem Haus? All das gilt es zu klären, bevor in einem nächsten Schritt die notwendigen strukturellen Anpassungen vorgenommen werden. Erst wenn die Rahmenbedingungen geschaffen sind, können Banken von KI wirklich profitieren und diese für das Risikomanagement und darüber hinaus nutzen. Aber auch im Bereich Datenmanagement selbst gibt es vielfältige Anwendungsmöglichkeiten, von der Qualitätsüberprüfung, über Automatisierung von Data Dictionaries und automatischen auslesen von Data Lineage.
Über Sinn und Zweck der Leitlinie
Viele Banken scheinen also von sich aus gewillt, die Mühe auf sich zu nehmen und in ein zukunftsfähiges Datenmanagement zu investieren. Vor diesem Hintergrund stellt sich die Frage: Braucht es überhaupt noch eine neue Leitlinie, die zusätzlich Druck auf die Banken ausübt? Stellen sich die von der EZB gewünschten Fortschritte nicht von ganz allein ein?
Marco Lenhardt, Partner im Bereich Financial Services bei KPMG.
(Bild: KPMG)
Nicht unbedingt. Lange Zeit wurde das Thema Datenmanagement eher stiefmütterlich behandelt. Das hat verschiedene Gründe. Zum einen ist der unmittelbare Nutzen nur schwer abzuleiten. Es muss erst einige Zeit verstreichen, bevor sich echte Effekte einstellen. Zugleich ist es so, wie bei grundsätzlich jedem Investment: Ressourcen wie Zeit, Energie und Geld stehen nur begrenzt zur Verfügung. Es gilt also zu priorisieren. Die Leitlinie nimmt den Banken diese Entscheidung mehr oder weniger ab, indem sie den sachgemäßen Umgang mit Risikodaten ganz oben auf die Agenda setzt.
* Der Autor: Marco Lenhardt ist Partner im Bereich Financial Services bei KPMG und ist verantwortlich für das Thema Datenmanagement & Reporting. Darunter fallen Themen wie die Umsetzung der Anforderungen aus BCBS 239 (Principles for Risk Data Aggregation & Reporting), genauso wie die Daten- und Reportinganforderungen im Kontext ESG.
Aktuelles eBook
Alle Daten im Griff – der Weg zum passenden Data-Management
eBook „Data-Management“
(Bild: Storage-Insider)
Daten nur zum Selbstzweck zu speichern, kann sich heute praktisch kein Unternehmen mehr leisten. Um den Überblick zu behalten und Nutzen aus den gespeicherten Daten zu ziehen, wird ein entsprechendes Datenmanagement benötigt. Unser neues eBook erläutert detailliert, worauf es dabei ankommt, welche Ansätze es gibt und wo Potenziale zur Verbesserung liegen.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/c5/fb/c5fb41728b220dab9df1ec9ac9b5c831/0129260583v1.jpeg "Clonezilla sichert belegte Blöcke auf Dateisystemebene. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c3/22/c32200a1b5fedc6991e9c57ec9d99883/0128183844v1.jpeg "Die lizenzfreie Datensicherungslösung NetBak PC Agent erfasst Dateien, Ordner und komplette Rechnerabbilder. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2e/66/2e663ffafe56d3cf9aec665b141d23b9/0128869154v1.jpeg "ADN stärkt das Angebot für Backup-Resilienz mit der Ransomeware-Schutzlösung Blocky for Veeam von Grau Data. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/15/a2/15a2d1c7424af9a2988c7e2af97642f2/0129329362v1.jpeg "Vast Data nennt Kunden, die bereits heute von Vast Amplify profitierten. (Bild: Vast Data)")
:quality(80)/p7i.vogel.de/wcms/e1/cf/e1cfb804d2e69ba56d3780834feab1e1/0129321697v1.jpeg "Durch Rechenzentren, Cloud und KI wird die technologische Weiterentwicklung traditioneller drehender Festplatten vorangetrieben. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c4/c1/c4c1fe42662a6551e2ebc3c99ebd0051/0129198055v1.jpeg "Kernspeicher kamen von Mitte der 1950er- bis Mitte der 1970er-Jahre in Rechenmaschinen und Computern zum Einsatz. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/48/bd/48bda3299c454bc897283aefcb12f756/0129198080v1.jpeg "GFM ermöglicht eine globale, einheitliche Datenplattform, die die Metadaten zentralisiert, Standorte logisch verbindet und Dateien intelligent verwaltet. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/f7/08f7723af211aef162162c94c3fcd128/0129309312v1.jpeg "Puls8 richtet sich an Plattform- und DevOps-Teams, die Speicher ähnlich automatisiert verwalten wollen wie Kubernetes-Anwendungen selbst. (Bild: DataCore)")
:quality(80)/p7i.vogel.de/wcms/95/cf/95cf2fb34d586d217dc5e3b25a3e95a9/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere gute Gründe für das Motto des CloudFestes 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/0f/2e/0f2e2807b08d4605fec1c98ff47e2c47/0129205874v1.jpeg "Die Partnerschaft zwischen Pure Storage und Rubrik zielt auf Unternehmen ab, die ihre Cyber-Resilienz-Strategie um automatisierte Erkennungs- und Wiederherstellungsmechanismen erweitern möchten. (Bild: Pure Storage / Rubrik)")
:quality(80)/p7i.vogel.de/wcms/e8/46/e8465c3f75ae00e67d3af2b0a9c84783/0129259282v1.jpeg "Cloud Unified Data Vault soll die Ausfallsicherheit von S3-Daten sicherstellen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9e/c3/9ec334dbf3696ef4bf61184f8404df74/0128976654v1.jpeg "Acronis Archival Storage ermöglicht MSPs die langfristige Speicherung und Verwaltung selten abgerufener Daten. (Bild: Acronis)")
:quality(80)/p7i.vogel.de/wcms/7a/9f/7a9f3b18cdb823c15080ca2c26512328/0129097007v1.jpeg "MailStore 26.1 ist ab sofort für MailStore Server, MailStore SPE, MailStore Home und MailStore Cloud verfügbar. (Bild: MailStore)")
:quality(80)/p7i.vogel.de/wcms/c5/35/c5358a2cf971e90b1d98ce0e98310fac/0127947160v1.jpeg "Mit der Einführung des TL-R6020Sep-RP will QNAP sein Engagement unterstreichen, Unternehmen in Europa mit skalierbaren und energieeffizienten Speicherlösungen auszustatten. (Bild: © Nicholas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8d/ba/8dbad9d01cad30bc520a8d96ba8d9206/0129126406v1.jpeg "Thomas-Krenn veröffentlicht drei neue Server. Im Bild der Open-E RI1436 mit dem vorinstallierten Storage-OS Open-E JovianDSS. (Bild: Thomas-Krenn AG)")
:quality(80)/p7i.vogel.de/wcms/49/dc/49dc894dc0cf366e1dbe311581e93532/0129090635v2.jpeg "Für die Umsetzung der NIS-2-Richtlinie brauchen Unternehmen ein klares Bild ihrer Sicherheitsorganisation. Ein Selbst-Audit kann dabei helfen. (Bild: nis2-conform.eu)")
:quality(80)/p7i.vogel.de/wcms/44/b1/44b155fc9c503acb6023e981d75b8060/0129264503v1.jpeg "Machen Sie mit bei unserer Initiative „KI gegen Krebs“! Melden Sie sich gerne bei: sylvia.loesel@vogel.de (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8a/c4/8ac47e7daa31e2f997946be4ad3a55fb/0129194277v1.jpeg "Memristoren harmonisieren die mathematischen Zusammenhänge zwischen Strom, Spannung und Ladung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/60/a8/60a868f9defd2dfc1073ca9ab1aab657/0128019671v1.jpeg "Mit Hilfe von Access-Transparency lassen sich Zugriffe auf Daten nachvollziehen. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/24/80/248067fc76a2f18753f65b660f5b0364/0119826741v2.jpeg "Chefredakteur Dr. Jürgen Ehneß befragt in der neuen „Speicherhungrig“-Folge Thomas Sandner von Veeam Software. Dabei geht es nicht zuletzt auch um die private Seite des bekannten Backup-Experten. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/c3/e9/c3e946f818addd67881ab2dba858e286/0127653538v1.jpeg "Daten sind weit mehr als das neue Öl. Ein Paradebeispiel dafür, wie sich die Datenstrategie in Unternehmen wandeln muss, findet man im Finanz- und Versicherungswesen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/94/53/9453ea784407ed69f0c99d9fca87f634/0125281978v1.jpeg "Die Deregulierung in den USA stellt EU-Unternehmen vor neue Herausforderungen, indem sie Balanceakte zwischen flexibleren US-Vorschriften und strengen EU-Standards erfordert und zugleich Chancen zur Optimierung von Compliance-Strategien bietet. (Bild: © Lamina - stock.adobe.com)")