9. MaRisk-Novelle 2026: Neue Anforderungen zu Künstlicher Intelligenz und ESG-Resilienz

8. April 2026

Was der Konsultationsentwurf für Modelle, automatisierte Kreditvergabe und Klimastresstests konkret bedeutet

| Am 1. April 2026 hat die BaFin den Konsultationsentwurf zur neunten MaRisk-Novelle veröffentlicht. Die Grundzüge der Novelle – Komplexitätsreduktion, neue Institutsklassifizierung und Proportionalitätserleichterungen – haben wir in unserem Übersichtsartikel zur MaRisk-Novelle 2026 dargestellt. Der vorliegende Beitrag widmet sich zwei Themen, die im Konsultationsentwurf erstmals explizit geregelt werden und für viele Institute unmittelbaren Handlungsbedarf auslösen:

  • die Anforderungen an den Einsatz von Modellen und Künstlicher Intelligenz (neues Modul AT 4.3.4) sowie
  • die verschärften Anforderungen an ESG-Risiken und Klimaresilienz (AT 2.2, AT 4.3.3).

Beide Themen gehen deutlich über die bisherige Prüfungspraxis hinaus.

Teil 1: Modelle und Künstliche Intelligenz – das neue Modul AT 4.3.4

Der Konsultationsentwurf enthält mit AT 4.3.4 ein vollständig neues Modul zum Thema Verwendung von Modellen. Es gilt ausdrücklich nicht nur für klassische quantitative Risikomodelle, sondern auch für automatisierte Modelle, technologiegestützte Innovation und Künstliche Intelligenz. Damit reagiert die Aufsicht auf die zunehmende Verbreitung von KI-gestützten Verfahren in der Kreditvergabe, im Risikomanagement und in der Betrugserkennung.

Was gilt als „Modell“ im Sinne des Entwurfs?

Der Entwurf definiert ein Modell als eine „quantitative Methode, ein System oder ein Ansatz, der statistische oder mathematische Theorien, Techniken und Annahmen anwendet, um Eingabedaten zu quantitativen Schätzungen zu verarbeiten“. Erfasst sind ausdrücklich bankinterne Modelle, auf die sich die Entscheidungsfindung im Institut stützt – unabhängig davon, ob sie selbst entwickelt oder von einem Dritten bezogen wurden.

Konkret umfasst das Modul unter anderem:

  • Kreditmodelle: Scoringverfahren, automatisierte Kreditvergabe, Risikoklassifizierungsverfahren
  • Risikomodelle: Verfahren zur Risikoquantifizierung im Rahmen der Risikotragfähigkeit und für Stresstests
  • Bewertungsmodelle: Bewertungs- und Preisbildungsmodelle, einschließlich fortgeschrittener statistischer Modelle zur Sicherheitenbewertung
  • KI-Systeme: Alle Systeme, die Charakteristika von technologiegestützter Innovation und Künstlicher Intelligenz aufweisen

Ausdrücklich nicht erfasst sind Modelle, die in den Anwendungsbereich der CRR fallen (z. B. interne Ratingmodelle nach dem IRB-Ansatz). Für diese gelten die spezialgesetzlichen Anforderungen fort.

Die sechs Kernanforderungen des neuen Moduls

1. Verantwortung und Begründungspflicht

Die Wahl des Modells liegt in der Verantwortung des Instituts. Die zugrundeliegenden Annahmen müssen nachvollziehbar begründet werden. Vor dem Einsatz und regelmäßig danach ist die Angemessenheit und Eignung des Modells zu bewerten. Dies setzt hinreichende Kenntnisse über die Modellkonzeption voraus – insbesondere zu wesentlichen Annahmen, Parametern und den verwendeten Daten. Institute, die Modelle von Drittanbietern einsetzen, können sich nicht allein auf deren Angaben stützen.

2. Datensicherung und Datenqualität

Das Institut hat geeignete Verfahren zu implementieren, die die Qualität der zugrundeliegenden Daten sicherstellen. Qualitätsschwächen in den zugrundeliegenden Daten sollen erkannt und bereinigt werden. Dies betrifft sowohl intern erhobene als auch extern bezogene Daten – etwa Marktdaten für Bewertungsmodelle oder Scorewerte aus externen Quellen.

3. Regelungen zu Überschreibungen (Overrides)

Das Institut muss angemessene Regelungen zur Verwendung der Modellergebnisse treffen. Soweit relevant, müssen diese auch Ausführungen zu Überschreibungen beinhalten: Fälle also, in denen vom Modell abweichende Werte mittels direkten Eingriffs in den Modell-Input oder ein Zwischen- bzw. Endergebnis angesetzt werden. Die Anforderung zielt darauf ab, willkürliche oder undokumentierte Abweichungen vom Modellergebnis zu verhindern.

Für die Praxis bedeutet das: Institute, die heute Kreditentscheidungen durch Sachbearbeitervoten „überschreiben“, brauchen eine klare Policy, wann und unter welchen Voraussetzungen das zulässig ist – und müssen dies dokumentieren.

4. Validierung und kritische Auseinandersetzung

Das Institut muss sich mit den Grenzen und Beschränkungen der eingesetzten Modelle kritisch auseinandersetzen und eine regelmäßige Validierung vornehmen. Geprüft wird dabei:

  • die sachgerechte Handhabung der Modellergebnisse
  • die Genauigkeit des Modells in Bezug auf seinen Verwendungszweck
  • Genauigkeit, Stabilität und Konsistenz der Verfahren
  • bei Rekalibrierungen: Auswirkungen auf Annahmen und Gewichtungen sowie auf die Ergebnisqualität

Besonders relevant: Basiert die Risikoermittlung auf Berechnungen Dritter (z. B. bei Fondsgesellschaften), muss sich das Institut aussagekräftige Informationen zu wesentlichen Annahmen und Parametern vorlegen lassen.

5. Erklärbarkeit – besondere Anforderung für KI-Modelle

Neben der Genauigkeit verlangt der Entwurf ausdrücklich eine hinreichende Erklärbarkeit der Modelle. Modelle gelten nach der Definition des Entwurfs als erklärbar, wenn „Wirkungszusammenhänge zwischen Eingangs- und Ausgangsgrößen aufgezeigt werden können“. Die Anforderung gilt für alle Modelle, ist aber besonders relevant für Modelle mit Charakteristika von Künstlicher Intelligenz – also etwa für neuronale Netze, Gradient-Boosting-Verfahren oder Large-Language-Models im Risikomanagement.

Das ist aufsichtlich bedeutsam: Viele KI-Modelle sind ihrer Natur nach „Black Boxes“. Institute, die solche Modelle für risikorelevante Entscheidungen einsetzen, müssen künftig nachweisen können, dass sie die Wirkungsweise verstehen – oder geeignete Erklärbarkeitsverfahren (z. B. SHAP-Werte, LIME) einsetzen.

6. Verhältnismäßigkeit

Wie bei den übrigen Anforderungen der MaRisk gilt das Proportionalitätsprinzip. Der Umfang der Anforderungen richtet sich nach der Komplexität des Modells, seiner Bedeutung im Risikomanagement und den mit der Anwendung verbundenen Risiken. Ein einfaches, intern entwickeltes Ratingverfahren für das nicht-risikorelevante Kreditgeschäft eines kleinen Instituts unterliegt damit deutlich geringeren Anforderungen als ein KI-gestütztes Kreditentscheidungssystem eines mittleren LSI.

Handlungsbedarf für die Praxis

Institute sollten jetzt prüfen:

  • Modell-Inventar erstellen: Welche Modelle im Sinne von AT 4.3.4 werden eingesetzt? Eigenentwicklungen und Drittanbietermodelle sind gleichermaßen zu erfassen.
  • Governance-Rahmen überprüfen: Bestehen Regelungen zu Modellverantwortung, Override-Prozessen und Dokumentation? Sind diese schriftlich fixiert?
  • Validierungsturnus etablieren: Gibt es einen strukturierten Validierungsprozess? Sind Häufigkeit und Methodik festgelegt?
  • KI-Erklärbarkeit sicherstellen: Können für eingesetzte KI-Systeme Wirkungszusammenhänge nachvollziehbar dargestellt werden?
  • Drittanbieter-Modelle prüfen: Liefern externe Dienstleister ausreichend Transparenz über Annahmen, Parameter und Änderungen?

Teil 2: ESG-Risiken und Klimaresilienz – konkrete Methodik- und Zeithorizontvorgaben

ESG-Risiken sind in der MaRisk nicht neu – die achte Novelle hat das Thema bereits verankert. Der Konsultationsentwurf zur neunten Novelle setzt jedoch deutlich konkretere Maßstäbe: sowohl hinsichtlich der einzusetzenden Methoden als auch hinsichtlich des geforderten Zeithorizonts. Gleichzeitig werden mit den EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) erstmals explizite Vorgaben für Klimastresstests in die MaRisk überführt.

Was ändert sich konkret in AT 2.2?

AT 2.2 Tz. 3 des Entwurfs verlangt, dass ESG-Risiken bei der Risikoinventur, im internen Kontrollsystem, in der Strategie und im Berichtswesen angemessen berücksichtigt werden. Das ist nicht neu. Neu ist die ausdrückliche Vorgabe zur Methodik:

Institute müssen bei der Beurteilung von ESG-Risiken eine Kombination unterschiedlicher Methoden verwenden:

  • Risikopositionsbezogene Methoden: Analyse auf Ebene einzelner Engagements oder Kreditnehmer
  • Sektorbezogene Methoden: Betrachtung ganzer Branchen und deren ESG-Risikoexposition
  • Portfoliobezogene Methoden: Aggregierte Sicht auf das Gesamtportfolio
  • Szenariobasierte Methoden: Zukunftsgerichtete Szenarien, die über historische Daten hinausgehen
  • Methoden für den Portfolioabgleich: Abgleich des Portfolios mit Klimazielen oder regulatorischen Pfaden

Ausdrücklich festgehalten ist: Ein Abstellen allein auf Datenhistorien ist nicht ausreichend. Dies ist eine direkte Reaktion auf eine verbreitete Praxis, bei der Institute ESG-Risiken vor allem über historische Ausfall- und Verlustdaten erfassen. Die Aufsicht macht damit klar, dass klimabezogene Risiken strukturell anderer Natur sind und einer prospektiven Analyse bedürfen.

Der Beurteilungszeitraum muss dabei sowohl kurz- und mittelfristig als auch über mindestens zehn Jahre betragen. Dies stellt viele Institute vor erhebliche methodische Herausforderungen, da stabile quantitative Modelle über solche Horizonte kaum verfügbar sind.

Klimastresstests und Resilienzanalysen – AT 4.3.3 Tz. 7

Der Konsultationsentwurf verpflichtet Institute in AT 4.3.3 Tz. 7 dazu, bei der Ausgestaltung von Stresstests wesentliche Umweltrisiken angemessen zu berücksichtigen. Darüber hinaus sind so genannte Resilienzanalysen über einen Zeithorizont von mindestens zehn Jahren durchzuführen.

Was sind Resilienzanalysen?

Der Entwurf gibt vor, dass bei Resilienzanalysen verschiedene Szenarien gegenübergestellt werden. Mindestens erforderlich ist die Gegenüberstellung von:

  • Referenzszenario: Das nach Einschätzung des Instituts wahrscheinlichste Szenario für die Entwicklung der Umweltbedingungen
  • Adverses Alternativszenario: Mindestens ein plausibles Szenario, das ungünstigere Umweltbedingungen unterstellt

Die Szenarien müssen im Einklang mit wissenschaftlichen Erkenntnissen stehen – ein Verweis, der auf die Klimapfade des IPCC oder vergleichbare Referenzrahmen hindeutet. Rein intern konstruierte Szenarien ohne Anbindung an wissenschaftliche Grundlagen werden nicht ausreichen.

Verhältnismäßigkeit bei Resilienzanalysen

Die Anforderungen sind proportional ausgestaltet:

  • Große Institute müssen quantitative Ansätze verwenden
  • Kleine Institute dürfen sich auf qualitative Ansätze stützen
  • Für die langfristige Resilienz können sich alle Institute auf qualitative Ansätze stützen
  • Kleine Institute können für die Berücksichtigung von Umweltrisiken im Stresstestprogramm Sensitivitätsanalysen verwenden

Ausdrücklich gilt: Komplexität und Häufigkeit der Szenarioanalysen haben sich an der Wesentlichkeit von ESG-Risiken, dem aktuellen Entwicklungsstand verfügbarer Methoden und den internen Kapazitäten des Instituts zu orientieren. Die Aufsicht räumt damit explizit ein, dass die Methodik noch nicht ausgereift ist – sie erwartet aber eine dokumentierte Auseinandersetzung.

Zusammenspiel mit dem Strategieprozess

Die Ergebnisse der Resilienzanalysen sind angemessen in der Analyse des Geschäftsmodells und bei der Festlegung der Strategie zu berücksichtigen (AT 4.3.3 Tz. 7). Das ist mehr als ein formaler Verweis: Die Aufsicht erwartet, dass Klimaszenarien tatsächlich Eingang in strategische Entscheidungen finden – also etwa in die Ausrichtung des Kreditportfolios, die Risikoappetit-Festlegung oder die Kapitalplanung. Eine isolierte Erstellung von ESG-Stresstests ohne Rückwirkung auf die Strategie genügt nicht.

Umsetzung der EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04)

Mit der neunten Novelle werden erstmals die EBA-Leitlinien zur Umwelt-Szenarioanalyse (EBA/GL/2025/04) in die MaRisk überführt. Wie bei anderen EBA-Leitlinien gilt: LSIs müssen diese nur insoweit beachten, als die MaRisk ausdrücklich auf sie verweisen. Abschnitte, auf die kein Verweis besteht, gelten als durch die MaRisk vollständig umgesetzt.

Die Leitlinien stellen einen europäisch abgestimmten Mindestrahmen für Klimastresstests dar und sind für Institute, die sich auf die Konsultation vorbereiten, als Interpretationshilfe empfehlenswert.

Handlungsbedarf für die Praxis

Institute sollten folgende Fragen jetzt beantworten:

  • ESG-Methodik dokumentieren: Welche Methoden werden heute zur Beurteilung von ESG-Risiken eingesetzt? Decken diese die fünf im Entwurf genannten Methodenkategorien ab?
  • Zeithorizont prüfen: Wird die geforderte Perspektive von mindestens zehn Jahren bereits abgebildet? Qualitativ oder quantitativ?
  • Szenariobasis definieren: Auf welche wissenschaftlichen Klimapfade oder Referenzszenarien stützt sich das Institut? Sind diese dokumentiert und aktuell?
  • Resilienzanalyse aufsetzen: Besteht ein strukturierter Prozess für Resilienzanalysen mit Referenz- und adversem Szenario? Ist die Verhältnismäßigkeit (qualitativ/quantitativ) explizit begründet?
  • Strategieanbindung sicherstellen: Fließen die Ergebnisse von ESG-Stresstests und Resilienzanalysen nachweislich in den Strategieprozess ein?
  • Datenbasis bewerten: Reichen die vorhandenen Daten für die geforderte Kombination von Methoden aus? Welche Datenlücken bestehen?

Fazit: Frühzeitige Vorbereitung lohnt sich

Beide Themenbereiche – Modelle/KI und ESG-Resilienz – sind keine fernen Anforderungen, die erst mit der Finalisierung der Novelle relevant werden. Institute, die heute Scoring-Modelle oder KI-Systeme einsetzen, sollten die Governance-Anforderungen des neuen Moduls AT 4.3.4 bereits in ihrer aktuellen Betriebspraxis verankern. Und wer ESG-Risiken bislang primär über historische Daten beurteilt, muss seine Methodik grundlegend erweitern.

Die Konsultationsphase bis zum 8. Mai 2026 bietet zugleich die Möglichkeit, auf die Ausgestaltung der Anforderungen Einfluss zu nehmen – insbesondere dort, wo der Entwurf noch Interpretationsspielräume lässt, etwa bei der konkreten Ausgestaltung der Erklärbarkeitsanforderungen für KI oder der Mindestanforderungen an die Szenariobasis bei Resilienzanalysen.

Als Wirtschaftsprüfungsgesellschaft mit Spezialisierung auf Banken und Finanzdienstleister unterstützen wir Sie bei der Analyse des Handlungsbedarfs, der Entwicklung einer Umsetzungsstrategie und – soweit gewünscht – bei der Vorbereitung einer Stellungnahme zur Konsultation. Sprechen Sie uns gerne an.

Quellen

  • BaFin, Meldung vom 1. April 2026: „BaFin konsultiert 9. MaRisk-Novelle“
  • BaFin, Konsultation 02/2026, Konsultationsfassung MaRisk-Novelle vom 1. April 2026 (AT 2.2, AT 4.3.3, AT 4.3.4, BTO 1.2)
  • EBA/GL/2025/04 – EBA-Leitlinien zur Umwelt-Szenarioanalyse
  • EBA/GL/2025/01 – EBA-Leitlinien zum Management der ESG-Risiken
  • BaFin, Rundschreiben 06/2024 (BA) – MaRisk vom 29. Mai 2024
Veröffentlicht in Aktuelle Themen