Wissen · Risikomanagement
BCBS 239:
Risikodaten-Aggregation als Infrastruktur-Aufgabe
Die 14 Grundsätze, der EZB-Leitfaden von 2024 und der Grund, warum BCBS 239 mehr als ein Jahrzehnt nach Veröffentlichung immer noch Aufsichtspriorität ist.
BCBS 239 („Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung", Basler Ausschuss für Bankenaufsicht, Januar 2013) definiert 14 Grundsätze – 11 für Banken, 3 für Aufseher – in vier Themenblöcken: Governance & Infrastruktur, Risikodaten-Aggregation, Risikoberichterstattung und aufsichtliche Überprüfung. Ziel: Banken müssen ihre Risiken jederzeit, auch in Stressphasen, schnell und verlässlich auf Basis belastbarer Daten beziffern können. Der EZB-Leitfaden vom Mai 2024 hat die Aufsichtserwartungen nochmals verschärft.
Stand: Juni 2026 · Quellen: BCBS 239 (BIS, PDF) · EZB-RDARR-Leitfaden (PDF)
Warum es BCBS 239 gibt
Die Finanzkrise 2007/2008 offenbarte ein strukturelles Problem: Viele Banken konnten ihre Risikopositionen und Risikokonzentrationen – etwa gegenüber einer strauchelnden Gegenpartei – nicht schnell und präzise auf Konzernebene aggregieren, über Geschäftsfelder und rechtliche Einheiten hinweg, weil die Daten über Silos, Tabellenkalkulationen und manuelle Prozesse verstreut waren. Der Basler Ausschuss reagierte 2013 mit BCBS 239: kein neues Risikomodell, sondern Mindestanforderungen an die Daten- und Berichtsinfrastruktur selbst.
Mehr als ein Jahrzehnt später ist das Thema aktueller denn je: Die EZB zählt Defizite bei der Risikodaten-Aggregation seit Jahren zu ihren Aufsichtsprioritäten und hat mit dem Leitfaden vom Mai 2024 ihre Erwartungen präzisiert – inklusive der klaren Botschaft, dass langjährig bekannte Schwächen nicht länger toleriert werden. Die sieben Schwerpunktbereiche des Leitfadens analysieren wir im Detail im Artikel Der EZB-RDARR-Leitfaden im Detail.
Die 14 Grundsätze im Überblick
Grundsätze 1–2
I. Übergreifende Governance & Infrastruktur
Das Leitungsorgan verantwortet die Risikodaten-Aggregation; die Datenarchitektur und IT-Infrastruktur müssen die Anforderungen auch in Stressphasen tragen.
Grundsätze 3–6
II. Risikodaten-Aggregation
Risikodaten müssen genau, vollständig, aktuell und anpassungsfähig aggregierbar sein – weitgehend automatisiert und auch für Ad-hoc-Anfragen in Krisensituationen.
Grundsätze 7–11
III. Risikoberichterstattung
Risikoberichte müssen genau, umfassend, klar, adressatengerecht, ausreichend häufig und richtig verteilt sein – vom Tagesbericht bis zum Vorstandsreport.
Grundsätze 12–14
IV. Aufsichtliche Überprüfung
Aufseher überprüfen die Einhaltung, nutzen geeignete Instrumente und kooperieren grenzüberschreitend mit anderen Behörden.
Wer BCBS 239 umsetzen muss
Verbindlich gilt BCBS 239 zunächst für global systemrelevante Banken (G-SIBs); für national systemrelevante Institute (D-SIBs) wird die Anwendung aufsichtlich nahegelegt. In Deutschland fließen die Anforderungen über die MaRisk ein: Das Modul AT 4.3.4 zur Aggregation von Risikodaten richtet sich an bedeutende Institute im Sinne der SSM-Verordnung – auf Gruppenebene und auf Ebene der wesentlichen gruppenangehörigen Einzelinstitute.
Für kleinere Institute (LSIs) ist BCBS 239 formal nicht verbindlich – in der Prüfungspraxis dient es jedoch zunehmend als faktischer Orientierungsmaßstab dafür, was die Aufsicht unter einer angemessenen Risikodaten-Infrastruktur versteht. Wer seine Datenarchitektur ohnehin modernisiert, tut gut daran, die Grundsätze als Zielbild mitzudenken.
Umsetzung in der Praxis: vier Bausteine
- 1. Data Lineage durchgängig dokumentieren: Jede Kennzahl im Risikobericht muss bis zum Quellsystem rückverfolgbar sein – automatisiert statt in gepflegten Excel-Inventaren.
- 2. Golden Sources definieren: Pro Datendomäne (Kunde, Geschäft, Sicherheit, Marktdaten) eine führende Quelle festlegen und Abweichungen messbar machen.
- 3. Manuelle Workarounds eliminieren: Individuelle Datenverarbeitung (IDV) in den kritischen Strecken identifizieren und durch kontrollierte, automatisierte Datenflüsse ersetzen – das ist der Kern dessen, was die Aufsicht prüft.
- 4. Ad-hoc-Fähigkeit testen: Regelmäßig proben, ob sich aufsichtliche Ad-hoc-Anfragen (z.B. Exposure gegenüber einer Gegenpartei oder einem Sektor) innerhalb von Stunden belastbar beantworten lassen.
Wie wir Risk Data Marts, Data Lineage und die technische Infrastruktur dafür aufbauen, zeigt unsere Risikomanagement-Beratung. Und weil granulare, qualitätsgesicherte Daten auch das Fundament des künftigen Meldewesens sind, lohnt der Blick auf IReF & BIRD – beide Anforderungswelten teilen dieselbe Dateninfrastruktur.
Häufige Fragen zu BCBS 239
Für welche Banken gilt BCBS 239?
Verbindlich zunächst für global systemrelevante Banken (G-SIBs); national systemrelevanten Instituten (D-SIBs) wird die Anwendung von den Aufsehern nahegelegt. In Deutschland greifen die Anforderungen über die MaRisk: Das Modul AT 4.3.4 zur Aggregation von Risikodaten richtet sich an bedeutende Institute im Sinne der SSM-Verordnung, also direkt von der EZB beaufsichtigte Institute. Für kleinere Institute (LSIs) ist BCBS 239 formal nicht verbindlich, dient der Aufsicht aber zunehmend als faktischer Orientierungsmaßstab – etwa bei Prüfungen der Risikodaten-Infrastruktur.
Was verlangt der EZB-Leitfaden von 2024 zusätzlich?
Der EZB-Leitfaden zur effektiven Aggregation von Risikodaten und Risikoberichterstattung (Mai 2024) konkretisiert die Aufsichtserwartungen: klare Verantwortung des Leitungsorgans, ein vollständig identifizierter Geltungsbereich (Gruppenweite Abdeckung wesentlicher Risiken und Berichte), wirksame Data-Governance mit Datenqualitätskontrollen sowie der Abbau langjähriger Schwächen, die die EZB seit Jahren beanstandet. Risikodaten-Aggregation ist eine erklärte Aufsichtspriorität des SSM – auch in den aktuellen Aufsichtsprioritäten 2026–2028.
Warum scheitern BCBS-239-Projekte so oft?
Weil BCBS 239 als Compliance-Projekt behandelt wird, obwohl es ein Infrastrukturthema ist. Manuelle Workarounds, historisch gewachsene Schatten-IT und fehlende Data Lineage lassen sich nicht mit Richtlinien beheben, sondern nur mit einer belastbaren Datenarchitektur: automatisierte Datenflüsse, dokumentierte Herkunft jeder Kennzahl und definierte Golden Sources je Datendomäne.
Wie hängen BCBS 239 und IReF/BIRD zusammen?
Beide verlangen dasselbe Fundament: granulare, qualitätsgesicherte Daten mit nachvollziehbarer Herkunft. Wer für IReF einen BIRD-orientierten Datenhaushalt mit sauberer Data Lineage aufbaut, schafft zugleich die Infrastruktur, die BCBS 239 für die Risikoseite fordert. Es lohnt sich, beide Anforderungswelten in einer gemeinsamen Datenstrategie zu denken statt in getrennten Projekten.
Hält Ihre Risikodaten-Infrastruktur einer Prüfung stand?
Wir analysieren Ihre Datenflüsse, identifizieren manuelle Workarounds und bauen die Data Lineage auf, die Aufsicht und Management gleichermaßen verlangen.
