Wissen · Risikomanagement
Der EZB-RDARR-Leitfaden:
Sieben Schwerpunkte, eine klare Botschaft
Mit dem Leitfaden vom Mai 2024 hat die EZB ihre Geduld bei der Risikodatenaggregation aufgekündigt. Was in den sieben Schwerpunktbereichen steht – und wie die Aufsicht sie durchsetzt.
Der EZB-Leitfaden zur effektiven Aggregation von Risikodaten und Risikoberichterstattung („Guide on effective risk data aggregation and risk reporting", final veröffentlicht am 3. Mai 2024) formuliert die Mindesterwartungen der Aufsicht an bedeutende Institute in sieben Schwerpunktbereichen: Verantwortlichkeiten des Leitungsorgans, Anwendungsbereich, Data-Governance-Rahmen, integrierte Datenarchitektur, gruppenweites Datenqualitätsmanagement, Aktualität der internen Risikoberichterstattung und Umsetzungsprogramme. Benchmark bleibt BCBS 239; neu ist die Konsequenz der Durchsetzung.
Stand: Juni 2026 · Quelle: EZB-Leitfaden (PDF, Mai 2024)
Warum die EZB nachgelegt hat
Mehr als ein Jahrzehnt nach BCBS 239 fiel die Bilanz der Aufsicht ernüchternd aus: Schon die Thematic Review von 2016 ergab, dass kein einziges der untersuchten bedeutenden Institute die Grundsätze vollständig erfüllte – und die EZB bewertete die Fortschritte seither als „generell unzureichend". Im SREP-Zyklus 2023 war RDARR die am schlechtesten bewertete Subkategorie der internen Governance.
Der Leitfaden ist die Antwort darauf: keine neuen Rechtspflichten, sondern eine präzise Beschreibung dessen, was die EZB auf Basis des geltenden Rechts ohnehin erwartet – nach öffentlicher Konsultation (Juli bis Oktober 2023, 308 Kommentare) und ausdrücklich verbunden mit der Ankündigung, Defizite künftig konsequent zu eskalieren: bis hin zu Durchsetzungsmaßnahmen, Kapitalaufschlägen und der Neubewertung der Eignung verantwortlicher Geschäftsleiter.
Die sieben Schwerpunktbereiche
Abschnitt 3.1
Verantwortlichkeiten des Leitungsorgans
Das Leitungsorgan trägt die volle Verantwortung für Risikodatenqualität und Data Governance – sie ist Teil des Risikomanagement-Rahmens, nicht delegierbare IT-Aufgabe. Ein bis zwei Mitglieder der Geschäftsleitung sollen die Umsetzung verantworten (pragmatisch: CRO, ggf. mit CFO); RDARR braucht Priorität und ausreichende personelle wie finanzielle Ressourcen.
Abschnitt 3.2
Ausreichender Anwendungsbereich
Der Data-Governance-Rahmen muss alle wesentlichen Legal Entities, Risikoarten und Geschäftsfelder abdecken – über den gesamten Datenlebenszyklus von der Entstehung bis zum Bericht. Eingeschlossen sind neben internen Risikoberichten auch externe Finanzberichte, das aufsichtliche Meldewesen (FinRep/CoRep inkl. Short Term Exercise), Stresstests und Pillar-3-Offenlegung.
Abschnitt 3.3
Wirksamer Data-Governance-Rahmen
Klar definierte Rollen und Verantwortlichkeiten für Datenqualität – Data Ownership in den Fachbereichen, unabhängige Validierung und eine Governance, die Datenqualitätsfragen tatsächlich entscheiden kann, statt sie zwischen IT und Fachbereich zu verschieben.
Abschnitt 3.4
Integrierte Datenarchitektur
Eine gruppenweit integrierte Daten- und IT-Architektur mit harmonisierten Datentaxonomien, definierten Golden Sources und dokumentierter Data Lineage für die wesentlichen Risikokennzahlen und deren kritische Datenelemente – statt fragmentierter Systeme und manueller Überleitungen.
Abschnitt 3.5
Gruppenweites Datenqualitätsmanagement
Datenqualitätskontrollen mindestens für Genauigkeit/Integrität, Vollständigkeit und Aktualität – durchgängig vom Front-Office-System bis zur Berichtsebene, automatisiert wo angemessen. Dazu ein Register der Datenqualitätsprobleme mit Ursachenanalyse, Fristen und Eskalationsprozessen.
Abschnitt 3.6
Aktualität der internen Risikoberichterstattung
Die vielzitierte Faustregel des Leitfadens: Wer für Monats- oder Quartalsberichte mehr als 20 Arbeitstage braucht, kann auf Veränderungen nicht rechtzeitig reagieren. In Stressphasen müssen Ad-hoc-Datenanfragen in ausreichender Granularität auf Einzelinstituts- und Gruppenebene beantwortbar sein. Zum Vergleich: Die EZB beobachtete bei Monatsberichten in vielen Fällen Produktionszeiten von 40 und mehr Arbeitstagen.
Abschnitt 3.7
Wirksame Umsetzungsprogramme
Identifizierte Schwächen – auch aus On-Site-Inspections und Off-Site-Reviews – gehören in ein Umsetzungsprogramm mit klaren Maßnahmen, Meilensteinen und Verantwortlichkeiten. Die Erwartung der EZB: „ambitioniert, aber machbar" – und kein Dauerprovisorium.
Von der Erwartung zur Eskalation: die Aufsichtspraxis seit 2024
Der Leitfaden steht nicht allein. Seit 2022 prüfte eine On-Site-Inspection-Kampagne die RDARR-Fähigkeiten von rund einem Drittel der direkt beaufsichtigten Institute; 2024 kamen Targeted Reviews mit dem Befund erheblicher Lücken hinzu. An der Runde 2024 des Management Report on Data Governance and Data Quality – 2023 als Pilot gestartet – nahmen 105 Banken teil; unterschrieben wird er von mindestens einem Mitglied des Leitungsorgans, das damit persönlich Stellung bezieht.
Im Dezember 2024 beschloss das Supervisory Board eine systemweite Strategie, um die Einhaltung der Erwartungen und die Abarbeitung der Feststellungen nachzuhalten – beginnend bei der Verantwortung der Leitungsorgane. Die Aufsichtsprioritäten 2026–2028 führen RDARR-Defizite unverändert als priorisierte Schwachstelle und kündigen gezielte On-Site-Inspections für gravierende offene Feststellungen an. Die Botschaft an die Institute ist eindeutig: Aussitzen ist keine Option mehr.
Was Institute jetzt konkret tun sollten
- 1. Verantwortung formal verankern: Ein bis zwei Mitglieder der Geschäftsleitung benennen, die die Umsetzung des Data-Governance-Rahmens verantworten – und das Thema mit Ressourcen und KPIs hinterlegen, nicht nur mit einer Richtlinie.
- 2. Scope ehrlich abgrenzen: Wesentliche Risiken, Legal Entities und Berichte (inklusive Meldewesen und Stresstests) identifizieren und die kritischen Datenelemente je Risikokennzahl festlegen – der Leitfaden erlaubt Materialitätsfokus, verlangt ihn aber begründet.
- 3. Berichtsproduktion messen: Die 20-Arbeitstage-Faustregel als internen Benchmark nutzen und die tatsächlichen Produktionszeiten je Bericht transparent machen – inklusive der manuellen Schritte, die sie treiben.
- 4. Architektur statt Workarounds: Golden Sources, automatisierte Datenqualitätskontrollen und Data Lineage entstehen nicht im Projektendspurt – sie sind Architekturarbeit, wie sie auch granulare Meldungen verlangen. Eine gemeinsame Datenbasis für Risiko und Meldewesen zahlt auf beide Anforderungswelten ein.
Wie wir SIs und LSIs beim Aufbau prüfungsfester Risikodaten-Infrastruktur unterstützen, zeigt unsere Risikomanagement-Beratung.
Häufige Fragen zum RDARR-Leitfaden
Ist der RDARR-Leitfaden rechtlich bindend?
Nein. Der Leitfaden schafft ausdrücklich keine neuen Anforderungen, sondern beschreibt die Mindesterwartungen der Aufsicht ("minimum supervisory expectations") auf Basis des geltenden Rechts. Die EZB kündigt aber an, die Erwartungen einzelfallbezogen und proportional in ihrer Aufsichtstätigkeit nachzuhalten – und nutzt bei ausbleibender Abhilfe das volle Eskalationsinstrumentarium bis hin zu Durchsetzungsmaßnahmen, Kapitalaufschlägen und der Neubewertung der Eignung von Geschäftsleitern.
Gilt der Leitfaden auch für LSIs?
Formal nicht – der Leitfaden adressiert die bedeutenden Institute (SIs) unter direkter EZB-Aufsicht; die Aufsicht über LSIs liegt bei den nationalen Behörden. Faktisch entfaltet er aber Orientierungswirkung: Er beschreibt, was die Aufsicht unter angemessener Risikodaten-Infrastruktur versteht, und die EZB betont im Feedback Statement ausdrücklich den Nutzen der BCBS-239-Orientierung auch für kleinere Institute.
Was ist der Unterschied zwischen BCBS 239 und dem RDARR-Leitfaden?
BCBS 239 ist der globale Standard von 2013 mit 14 Grundsätzen; die EZB nutzt ihn als Benchmark. Der RDARR-Leitfaden übersetzt diese Grundsätze in konkrete, prüfbare Aufsichtserwartungen für den SSM – mit deutlich operativeren Vorgaben: etwa der Benennung von ein bis zwei verantwortlichen Mitgliedern der Geschäftsleitung, einem Register für Datenqualitätsprobleme mit Ursachenanalyse oder der Faustregel, dass Monats- und Quartalsberichte nicht länger als 20 Arbeitstage in der Erstellung brauchen sollten.
Wie ernst meint es die EZB mit der Durchsetzung?
Sehr ernst. Seit 2022 lief eine On-Site-Inspection-Kampagne zu RDARR über rund ein Drittel der direkt beaufsichtigten Institute; an der Runde 2024 des bereits 2023 pilotierten Management Report on Data Governance and Data Quality nahmen 105 Banken teil – unterschrieben von mindestens einem Mitglied des Leitungsorgans. Im Dezember 2024 hat das Supervisory Board eine systemweite Strategie zum Nachhalten der Erwartungen beschlossen, und die Aufsichtsprioritäten 2026–2028 führen RDARR-Defizite weiterhin als priorisierte Schwachstelle – mit dem Befund, dass sich der SREP-Teilscore zuletzt nicht verbessert hat.
Wie lange braucht Ihr Risikobericht wirklich?
Wir messen Ihre Berichtsproduktion gegen die EZB-Erwartungen, identifizieren die manuellen Engpässe und bauen die Datenflüsse, die aus 40 Arbeitstagen 20 machen.
