EZB verschärft Anforderungen für BCBS 239 & Stresstests

Mit BCBS 239 wurden vom Basler Ausschuss eine Reihe von Prinzipien für die Risikodatenaggregation und das Risikoreporting aufgestellt. Das Papier wurde als Reaktion auf die im Rahmen der Finanzkrise 2008 festgestellten Mängel in den Reporting- und Management-Informationssystemen (MIS) von Banken veröffentlicht. Das primäre Ziel besteht darin, die Reporting-Infrastruktur von Banken zu verbessern, damit das Top-Management Risiken früher und effektiver identifizieren, überwachen und steuern kann.

Weiters soll damit die Qualität von Entscheidungen verbessert und die Wahrscheinlichkeit sowie die Auswirkungen von Verlusten reduziert werden. Laut Veröffentlichungen der EZB konnten bis 2023 lediglich zwei von 13 systemrelevanten Banken eine volle Übereinstimmung mit den BCBS-239-Vorgaben nachweisen.

BCBS 239 bildet auch die Governance-Grundlage für die Einhaltung des EU Data Acts. Die Verordnung (EU) 2023/2854 (EU Data Act) ist zentraler Bestandteil der europäischen Datenstrategie und legt erstmals einheitliche Vorschriften für den fairen Zugang zu Daten und deren Nutzung fest. Die Verordnung gilt seit September 2025 und soll die verantwortungsvolle Nutzung von KI sowie resiliente und vertrauenswürdige Daten in Finanzinstituten gewährleisten. Beide Regelwerke fordern klare Verantwortlichkeiten, Transparenz sowie technologische Unterstützung durch Metadatenmanagement, automatisierte Datenqualitätsprüfungen und Governance-Workflows.

In ihrem im Mai 2024 veröffentlichten Leitfaden zur Risikodatenaggregation und Risk Reporting (RDARR) stellt die EZB fest, dass viele Institute zentrale Anforderungen von BCBS 239 nach wie vor nicht erfüllen. Handlungsbedarf besteht insbesondere in folgenden Bereichen:

Die Geschäftsleitung sollte die volle Verantwortung für die Datenqualität und Data Governance übernehmen. RDARR muss Priorität eingeräumt werden. Zudem sollten Rollen und Verantwortlichkeiten klar definiert werden (Data Owners, Data Stewards, zentrale Data-Governance-Funktion, unabhängige Validierung und Prüfung durch die interne Revision). RDARR sollte alle relevanten Konzerneinheiten, Risikoarten, Geschäftsfelder, KPIs, Modelle und kritischen Datenfelder abdecken und sollte in bestehende Governance- und Reporting-Prozesse integriert werden. Die EZB weist in ihrem Guide explizit darauf hin, dass Mängel in den Governance-Maßnahmen u. a. auch zu einer Neubewertung der Eignung der verantwortlichen Mitglieder des Leitungsorgans und in schwerwiegenden Fällen sogar zu deren Abberufung führen können.

Es sind einheitliche Definitionen, Taxonomien und Metadaten festzulegen, um die Konsistenz der Berichterstattung zu gewährleisten. Zudem ist auf ein konsistentes und dokumentiertes Datenmodell über alle Systeme hinweg zu achten. Die Nutzung von Cloud-Technologien und zentralen Datenplattformen soll gewährleisten, dass sämtliche Einheiten Zugang zu denselben qualitativ hochwertigen Daten haben. Für alle kritischen Datenpunkte ist auf eine vollständige end-to-end Rückverfolgbarkeit von Daten (Data Lineage) zu achten. Zudem sollte ein zentrales Metadaten-Repositorium aufgebaut werden.

Für die gesamte Datenstrecke sind automatisierte Kontrollen und Validierungsschritte zur Gewährleistung einer angemessenen Datenqualität vorzusehen (Plausibilitätsprüfungen, Identifizierung von Anomalien und Validierung von Daten). Es sollte ein Register für Datenqualitätsprobleme (Issue Log) erstellt werden, in welchem der Schweregrad, eine Root-Cause-Analyse sowie konkrete Maßnahmen und Deadlines zur Beseitigung der identifizierten Problembereiche festgehalten werden. Zudem sind spezifische Qualitätsziele für die verschiedenen Datenkategorien zu definieren und Eskalationsprozesse vorzusehen, falls die Datenqualität unter einen vorab definierten Schwellenwert fällt. 

Die Häufigkeit der Berichterstattung sollte sich an der institutsindividuellen Risikovolatilität orientieren. Der Zeitraum für die Erstellung von Risikoberichten (Monats- und Quartalsberichte) sollte maximal 20 Arbeitstage in Anspruch nehmen. Eine schnelle und granulare Datenanlieferung und -auswertung muss insbesondere in Krisensituationen gewährleistet sein. 

Institute sind aufgefordert, effektive und messbare Umsetzungsprogramme zu entwickeln. Darin sollen alle zentralen Schwachstellen inkl. Auswirkungen auf Modelle und IT-Systeme adressiert werden. Über den Fortschritt der Maßnahmen ist regelmäßig an das Leitungsorgan zu berichten.

Seitens der EZB werden damit sieben kritische Bereiche mit Handlungsbedarf aufgezeigt, die sich in der Praxis als besonders hartnäckig erweisen.

1. Mangelndes Top‑Management‑Engagement: Unzureichende Priorisierung und fehlende Verantwortung auf Vorstandsebene gefährden den Umsetzungserfolg.
2. Fragmentierte IT‑Landschaften: Heterogene Quellsysteme, veraltete Batch‑Prozesse, manuelle Workarounds und fehlende Integration von Risiko und Finance.
3. Unzureichende Data Lineage: Keine durchgängige, datenpunktbezogene Nachvollziehbarkeit von Risikodaten und KPIs bis zur Quelle.
4. Schwaches Datenqualitätsmanagement: Fehlende Qualitätskontrollen, Abstimmungen und klare Data‑Ownership‑Regelungen führen zu unzuverlässigen Risikodaten.
5. Defizitäre Data Governance: Keine klaren Verantwortlichkeiten, keine zentrale Governance‑Funktion und fehlende verbindliche Richtlinien.
6. Zu lange Reporting‑Durchlaufzeiten: Erstellungszeiten von 30–40 Arbeitstagen verhindern zeitgerechte Risikoberichterstattung, insbesondere in Stresssituationen.
7. Unzureichende Umsetzung als Transformation: RDARR wird als reines IT‑Projekt behandelt statt als ganzheitlicher organisatorischer und fachlicher Transformationsprozess.

Mehr als zehn Jahre nach Veröffentlichung der BCBS‑239‑Grundsätze nimmt das Thema Risikodatenqualität erneut Fahrt auf. Während EZB‑überwachte Banken längst sicherstellen, dass ihre vierteljährlichen Risikoreports den Anforderungen entsprechen, galten für Stresstests bislang häufig weniger strenge Maßstäbe.

Das soll sich nun ändern. In ihrem aktuellen Leitfaden zur Risikodatenaggregation und ‑berichterstattung fordert die EZB ausdrücklich, dass die BCBS‑239‑Prinzipien auf sämtliche aufsichtsrechtliche Meldungen angewendet werden – einschließlich Stresstests. Zudem war die Datenqualität im Stresstestzyklus 2025 ein besonderer Prüfpunkt.

Für viele Institute bedeutet das Handlungsbedarf. Denn die Erhebung und Aufbereitung der umfangreichen Schätzwerte und Datensätze, die ein Stresstest erfordert, sind in der Regel nicht vollständig in bestehenden quartalsweisen Reporting‑Frameworks abgedeckt. Entsprechend werden zahlreiche Banken ihre Prozesse und Datenlandschaften kurzfristig weiterentwickeln müssen.