Die Anwendung, die niemand in der Liste hat

Individuelle Datenverarbeitung ist in der Finanzwirtschaft allgegenwärtig. Von Power-Automate-Flows über Access-Datenbanken bis hin zu Python-Skripten im Risikomanagement. Diese Werkzeuge entstehen, weil sie ein echtes Problem lösen, das die offizielle IT nicht schnell genug bedient. Sie sind produktiv, hilfreich und meistens unsichtbar. Die BaFin hat wiederholt Verstöße im Umgang damit festgestellt.

Das Problem ist nicht die Existenz dieser Lösungen. Das Problem ist, dass sie regulatorische Anforderungen an Dokumentation, Kontrolle und Nachvollziehbarkeit nicht erfüllen, obwohl sie geschäftskritische Daten verarbeiten.

Verbot ist die schlechteste Antwort

Die naheliegende Reaktion ist ein Verbot. Sie ist auch die wirkungsloseste. Wer individuelle Datenverarbeitung untersagt, ohne eine bessere Alternative zu bieten, treibt sie tiefer in den Untergrund. Die Skripte verschwinden nicht. Sie verschwinden nur aus dem Blickfeld der Aufsicht und der eigenen Kontrolle.

Mit der nächsten Generation von KI-gestützten Werkzeugen verschärft sich das. Mitarbeiter bauen sich Automatisierungen, die noch leistungsfähiger und noch schwerer nachvollziehbar sind.

Inventarisieren, bewerten, kanalisieren

Der tragfähige Weg hat drei Schritte. Erstens: ein ehrliches Inventar dessen, was tatsächlich läuft, ohne Schuldzuweisung. Zweitens: eine Risikobewertung, die zwischen harmlosem Komfort und kritischer Verarbeitung unterscheidet. Drittens: kontrollierte Kanäle, in denen Mitarbeiter ihre Automatisierungen bauen dürfen, ohne die Nachweiskette zu reißen.

Das Ziel ist nicht weniger Eigeninitiative, sondern dokumentierte Eigeninitiative. Genau das verlangt die Aufsicht, und genau das schützt die Bank.

Wir bringen Schatten-IT und individuelle Datenverarbeitung in einen prüffesten Rahmen, ohne die Produktivität abzuwürgen. Eine Sprechstunde klärt den ersten Schritt.