Warum Finanzinstitute jetzt Datenarchitektur, Auditierbarkeit und KI-Governance zusammendenken sollten.
Regulatorisches Reporting wird häufig noch als nachgelagerte Pflicht verstanden: Daten werden gesammelt, aufbereitet, validiert und an die zuständigen Behörden gemeldet. Der aktuelle ESMA-Report zur Qualität und Nutzung von Daten (vom 29. Mai 2026) zeigt jedoch deutlich, dass diese Sichtweise nicht mehr ausreicht.
Der ESMA-Report setzt den Fokus auf Nutzung und Qualität von Daten
Aufsichtsdaten sind heute kein statisches Meldeergebnis mehr. Sie werden aktiv genutzt – für Marktüberwachung, Risikoanalysen, Transparenzberechnungen, Krisenbeobachtung, Datenqualitätsprüfungen und zunehmend auch für automatisierte und KI-gestützte Auswertungen. Damit verändert sich die Bedeutung regulatorischer Daten grundlegend.
Datenqualität ist nicht länger nur eine operative Anforderung im Meldewesen. Sie wird zu einem wesentlichen Bestandteil von Governance, Kontrollfähigkeit und digitaler Resilienz.
Der ESMA-Report macht deutlich, dass Datenqualität und Datennutzung unmittelbar zusammenhängen. Je stärker Aufsichtsbehörden Daten für Analysen, Marktbeobachtung und regulatorische Entscheidungen einsetzen, desto wichtiger werden Vollständigkeit, Konsistenz, Aktualität und Nachvollziehbarkeit der gemeldeten Informationen.
Dies betrifft zahlreiche regulatorische Datenbereiche, unter anderem EMIR, MiFIR, SFTR, AIFMD, MMFR, Prospektdaten, MiFIR-Referenzdaten, ESMA-Register sowie erstmals auch DORA-bezogene Meldungen zu schwerwiegenden IKT-Vorfällen.
Für Finanzinstitute bedeutet das: Die Qualität regulatorischer Daten wird nicht erst bei der Meldung sichtbar. Sie entsteht deutlich früher – in Stammdaten, Referenzdaten, Schnittstellen, fachlichen Regeln, Kontrollprozessen und Systemarchitekturen.
Fehlerhafte oder uneinheitliche Daten sind daher nicht nur ein Meldeproblem. Sie können Auswirkungen auf Aufsichtskommunikation, Risikosteuerung, interne Kontrollen und regulatorische Nachweisfähigkeit haben.
Vereinfachung setzt Standardisierung voraus
Ein zentrales Thema des ESMA-Reports ist die Vereinfachung regulatorischer Berichtspflichten. Initiativen wie „report once“, integrierte Datenmodelle und die Reduzierung unnötiger Meldekomplexität zeigen eine klare Richtung: Aufsichtliche Datenflüsse sollen effizienter, konsistenter und besser wiederverwendbar werden.
Diese Entwicklung ist aus Sicht der Marktteilnehmer zu begrüßen. Sie führt jedoch nicht automatisch zu weniger Anforderungen an die Datenhaushalte der Institute. Im Gegenteil: Je stärker Daten mehrfach genutzt und behördenübergreifend geteilt werden, desto wichtiger werden eindeutige Definitionen, harmonisierte Datenmodelle und belastbare Datenherkunft.
Vereinfachung gelingt nur dann, wenn Datenstrukturen ausreichend robust sind. Ein „report once“-Ansatz setzt voraus, dass die einmal gemeldeten Daten fachlich korrekt, technisch eindeutig und über verschiedene Verwendungszwecke hinweg nachvollziehbar bleiben. Damit rückt die Datenarchitektur in den Mittelpunkt regulatorischer Effizienz.
Generative KI erhöht die Anforderungen an Nachvollziehbarkeit
Besonders relevant ist die zunehmende Nutzung generativer KI und anderer SupTech-Ansätze. ESMA beschreibt, dass KI-Anwendungen nicht mehr nur experimentell betrachtet werden, sondern zunehmend operative Prozesse unterstützen – beispielsweise interne Analysen, aufsichtliche Auswertungen oder die Erkennung möglicher Marktmissbrauchsmuster.
Für Finanzinstitute ergibt sich daraus eine wichtige Konsequenz: Wenn KI in regulatorisch relevanten Prozessen eingesetzt wird, muss ihr Einsatz kontrollierbar bleiben. Es reicht nicht aus, dass ein KI-System plausible Ergebnisse liefert. Entscheidend ist, ob nachvollzogen werden kann, welche Daten verwendet wurden, welcher Prozess betroffen war, welche fachliche Prüfung stattgefunden hat und ob das Ergebnis in eine regulatorisch relevante Entscheidung, Analyse oder Meldung eingeflossen ist.
Gerade im Kontext von DORA wird diese Frage besonders wichtig. DORA stärkt die Anforderungen an das IKT-Risikomanagement, an Governance, Kontrollmechanismen, Drittparteiensteuerung und digitale operationelle Resilienz. Auch wenn DORA generative KI nicht isoliert als eigenes Thema behandelt, ist ihr Einsatz in IKT-gestützten Prozessen aus Risikosicht einzuordnen und angemessen zu kontrollieren.
Für Institute bedeutet das: Generative KI darf in regulierten Prozessen nicht unsichtbar werden. Ihr Einsatz muss identifizierbar, steuerbar und prüfbar bleiben – insbesondere dann, wenn sensible Daten, regulatorische Auswertungen oder meldepflichtige Prozesse betroffen sind.
Exkurs: Generative KI aus den USA – erlaubt, aber nicht voraussetzungslos
Die aktuelle Diskussion um den Einsatz generativer KI-Dienste außereuropäischer Anbieter, insbesondere aus den USA, zeigt eine weitere Dimension regulatorischer Datenverarbeitung. Für europäische Finanzinstitute ist der Einsatz solcher Dienste nicht nur eine technische oder wirtschaftliche Entscheidung, sondern Teil einer umfassenden Risikobewertung.
Entscheidend ist dabei nicht allein, wo ein Anbieter seinen Sitz hat. Maßgeblich ist vielmehr, welche Daten verarbeitet werden, wo diese Daten gespeichert oder analysiert werden, welche Unterauftragnehmer beteiligt sind, welche Zugriffsrechte bestehen und ob vertragliche, technische und organisatorische Kontrollen eine prüfbare Nutzung ermöglichen.
Damit wird die Auswahl generativer KI-Dienste zu einem Bestandteil des IKT-Risikomanagements und der Drittparteiensteuerung. Institute müssen beurteilen können, ob Datenschutzanforderungen, DORA-relevante Kontrollpflichten, Informationssicherheit, Exit-Fähigkeit und Auditierbarkeit ausreichend abgedeckt sind.
Die Nutzung generativer KI aus den USA ist damit nicht pauschal ausgeschlossen. Sie muss jedoch bewusst gestaltet, dokumentiert und kontrolliert werden – insbesondere dann, wenn sensible Daten, regulatorische Auswertungen oder wesentliche beziehungsweise regulierte Prozesse betroffen sind.
Auditierbarkeit beginnt nicht im Audit
Die Fähigkeit, regulatorische Prozesse zu prüfen, entsteht nicht erst durch eine nachträgliche Dokumentation. Sie entsteht durch Systeme und Prozesse, die von Beginn an nachvollziehbar aufgebaut sind. Dazu gehören klare Verantwortlichkeiten, Berechtigungskonzepte, Protokollierung, Versionierung, fachliche Validierungsregeln, dokumentierte Datenflüsse und eine belastbare Trennung zwischen Datenerzeugung, Datenverarbeitung und Datenfreigabe.
Diese Anforderungen sind nicht neu. Neu ist jedoch ihre Bedeutung in einer Umgebung, in der Daten zunehmend automatisiert verarbeitet, mehrfach genutzt und perspektivisch durch KI-gestützte Verfahren ergänzt werden.
Wer regulatorische Datenprozesse künftig effizient und belastbar gestalten will, muss daher drei Fragen beantworten können:
- Woher kommen die Daten?
- Welche fachlichen und technischen Prüfungen wurden durchgeführt?
- Und wie lässt sich der Prozess im Nachhinein nachvollziehen?
Diese Fragen sind einfach formuliert – in komplexen Systemlandschaften aber anspruchsvoll umzusetzen.
Was Finanzinstitute jetzt daraus ableiten sollten
Der ESMA-Report zeigt eine klare Entwicklung: Regulatorische Daten werden intensiver genutzt, stärker qualitätsgesichert und zunehmend in automatisierte Aufsichts- und Analyseprozesse eingebunden.
Für Finanzinstitute ergeben sich daraus mehrere Handlungsfelder. Stammdaten und Referenzdaten müssen konsistent gepflegt werden. Datenqualitätsprüfungen sollten nicht erst am Ende eines Meldeprozesses stattfinden. Schnittstellen und Datenflüsse müssen transparent dokumentiert sein. Und der Einsatz neuer Technologien wie generativer KI muss in bestehende Governance- und Kontrollrahmen integriert werden.
Das Ziel ist nicht nur regulatorische Konformität. Es geht um die Fähigkeit, Daten verlässlich zu nutzen, Risiken frühzeitig zu erkennen und gegenüber Aufsicht, Revision und Management auskunftsfähig zu bleiben.
Fazit
Der ESMA Data Quality Report bestätigt eine Entwicklung, die in der Praxis längst spürbar ist: Datenqualität wird zu einem zentralen Faktor für regulatorische Effizienz, digitale Resilienz und vertrauenswürdige Automatisierung.
Institute, die regulatorische Datenprozesse weiterhin isoliert als Meldeaufgabe betrachten, werden den steigenden Anforderungen nur schwer gerecht. Erforderlich sind integrierte Datenarchitekturen, belastbare Referenzdaten, klare Kontrollmechanismen und auditierbare Prozessketten.
Damit wird Datenqualität zu mehr als einer technischen Disziplin. Sie ist eine Voraussetzung für wirksame Aufsicht, resiliente IT-Prozesse und den verantwortungsvollen Einsatz von KI im Finanzsektor.
Quellen
- ESMA, 2025 Report on quality and use of data, vom 29. Mai 2026
- Verordnung (EU) 2022/2554, Digital Operational Resilience Act (DORA)
- BaFin, DORA – Digital Operational Resilience Act, Überblick
