Data Governance bezeichnet das systematische Management von Datenverfügbarkeit, -nutzbarkeit, -integrität und -sicherheit innerhalb einer Organisation – mit klar definierten Verantwortlichkeiten, Prozessen und einer konsistenten Aufsicht. Sie bildet das Fundament, auf dem ein tragfähiges IKT-Risikomanagement aufgebaut werden kann.

DORA zwingt Finanzunternehmen dazu, Risiken nicht mehr isoliert, sondern gemeinsam und ganzheitlich zu betrachten. Wer bisher nur auf technische IT-Sicherheit gesetzt hat, wird feststellen, dass die neue Regulierung einen deutlich weiteren Perimeter definiert – einen, in dem Daten, Systeme und Dritte gleichermaßen in den Blick genommen werden müssen.

1. IKT-Risikokontrollfunktion: Eine neue institutionelle Anforderung

DORA schreibt in Art. 6(4) explizit vor, dass Finanzunternehmen eine dedizierte Funktion zur Steuerung und Überwachung von IKT-Risiken einrichten müssen. Laut BaFin fokussiert diese Kontrollfunktion das gesamte Risikomanagement, während der bisherige Informationssicherheitsbeauftragte (ISB) primär auf die Informationssicherheit ausgerichtet war. Überschneidungen bestehen, Synergien können und sollten genutzt werden.

Diese neue Funktion ist eng mit der Data Governance verzahnt: Sie benötigt verlässliche Daten über Systemlandschaften, Abhängigkeiten und Risikoindikatoren, um effektiv operieren zu können. Ohne eine belastbare Datenbasis ist eine funktionierende IKT-Risikokontrolle schlicht nicht möglich. Dabei sieht DORA explizit keine Verbotsregelung für die Auslagerung dieser Funktion vor – was institutionellen Spielraum bietet, aber gleichzeitig neue Anforderungen an das Drittparteienmanagement stellt.

2. Datenqualität & Konsistenz: Die unsichtbare Risikoqelle

IKT-Risiken entstehen nicht nur durch Cyberangriffe oder technische Ausfälle – sie lauern auch in der Qualität der Daten selbst. Wenn Informationen über verschiedene Systeme hinweg unvollständig, ungenau oder inkonsistent sind, entstehen blinde Flecken im Risikomanagement. Falsche Datenbasis bedeutet: falsche Risikoeinschätzung.

Eine wirksame Data Governance etabliert klare Standards für die Datenerfassung, -pflege und -validierung. Sie stellt sicher, dass Risikodaten systemübergreifend konsistent sind – eine Grundvoraussetzung für regulatorisches Reporting, ICAAP/ILAAP-Prozesse und die interne Risikosteuerung gleichermaßen.

3. Risikomanagement-Rahmenwerk: Governance als strategischer Schutzschild

Ein modernes Risikomanagement-Rahmenwerk umfasst weit mehr als die klassische IT-Sicherheit. Data Governance identifiziert, bewertet und kontrolliert Risiken, die den Datenschutz, die Datensicherheit und die Compliance betreffen – und verknüpft diese mit den operationellen Prozessen der Bank.

IKT-Governance lässt sich dabei als das Rahmenwerk verstehen, das sicherstellt, dass IKT-Ressourcen, -prozesse und -systeme die strategischen Ziele der Organisation unterstützen und ermöglichen. Data Governance ist der datenseitige Ausdruck dieses Rahmens: Sie macht Risiken sichtbar, bevor sie zu Schäden werden – und schafft die Grundlage für nachweisbare Compliance gegenüber Aufsichtsbehörden wie BaFin und EBA.

4. Drittparteienrisiko: Wenn externe Dienstleister zur internen Herausforderung werden

Cloud-Dienste, spezialisierte Softwareanbieter, externe Rechenzentren – die moderne Bankinfrastruktur ist stark fragmentiert. DORA adressiert dieses Drittparteienrisiko in Art. 28 explizit: Finanzunternehmen müssen eine klare Strategie zum Management von IKT-Drittparteienrisiken vorhalten, die auch auf konsolidierter und teilkonsolidierter Basis greift.

Data Governance schafft hier die nötige Transparenz: Welche Daten liegen bei welchem Dienstleister? Welche Vertragsklauseln regeln Datenzugang und -sicherheit? Wie werden SLA-Verstöße erkannt und dokumentiert? Ohne diese Antworten ist das Drittparteienmanagement blind – und regulatorisch angreifbar.

5. Transformation durch DORA: Von IT-Risiko zu digitaler operationaler Resilienz

DORA markiert eine fundamentale Verschiebung: Der Fokus verlagert sich von reaktivem IT-Risikomanagement hin zu einer proaktiven digitalen operationalen Resilienz. Cyber-Risiken, Datensicherheit, Systemverfügbarkeit und Drittparteiensteuerung werden zu einer integrierten Managementaufgabe.

Für Banken bedeutet das: Data Governance ist kein nice-to-have mehr, sondern ein regulatorisch geforderter Bestandteil einer resilienten Unternehmensarchitektur. Die Einführung der IKT-Kontrollfunktion ist dabei nur ein Baustein – der Wandel betrifft Organisationsstruktur, Prozesse und Technologie gleichermaßen.

Innerhalb eines DORA-konformen IKT-Rahmens kristallisieren sich drei übergeordnete Schutzziele heraus:

Datensicherheit & Vertraulichkeit: Unzureichende Data Governance öffnet Tür und Tor für unbefugten Zugriff, Datenlecks und Cyberangriffe. Klare Zugriffsrechte, Verschlüsselungsstandards und Monitoring-Prozesse sind keine technischen Details, sondern strategische Notwendigkeiten.

Verfügbarkeit: IKT-Systeme und die darin gespeicherten Daten müssen jederzeit nutzbar sein – für den operativen Betrieb ebenso wie für regulatorische Meldepflichten. Ausfallkonzepte, Backup-Strategien und Recovery-Pläne sind integraler Bestandteil der Data Governance.

Integrität: Die Richtigkeit von Daten über alle IKT-Systeme hinweg ist eine Grundvoraussetzung für valide Risikomodelle, regelkonforme Berichterstattung und verlässliche Geschäftsentscheidungen. Fehler in der Datenintegrität können sich unbemerkt durch die gesamte Systemlandschaft ziehen – mit potenziell gravierenden Folgen.

Als Berater im Bereich Financial Services begleiten wir Banken und Finanzinstitute auf dem gesamten Weg zur DORA-Compliance – von der regulatorischen Standortbestimmung bis zur operativen Implementierung.

Unser Ansatz ist bewusst gesamtheitlich: Wir betrachten Regulatorik, Organisation und Technologie als eine Einheit. Das bedeutet konkret: Wir analysieren bestehende Data Governance-Strukturen im Licht der neuen IKT-Anforderungen, identifizieren Lücken und entwickeln maßgeschneiderte Zielbilder. Dabei binden wir alle relevanten Stakeholder ein – von der IT über Compliance und Risikomanagement bis hin zur Geschäftsführung.

Sprechen Sie uns an gerne an!