Power-Automate, Access, Python-Skripte: Die Schatten-IT, die jede BaFin-Prüfung sprengt

Power-Automate, Access, Python-Skripte: Die Schatten-IT, die jede BaFin-Prüfung sprengt

Individuelle Datenverarbeitung ist in jeder Bank allgegenwärtig. Die BaFin hat wiederholt Verstöße festgestellt. Verbieten löst es nicht. Ignorieren auch nicht.

Mai 18, 2026

Recht

Die Anwendung, die niemand in der Liste hatte

Individuelle Datenverarbeitung ist in der Finanzwirtschaft allgegenwärtig, von Power-Automate-Abläufen über Access-Datenbanken bis hin zu Skripten im Risikomanagement. Diese Werkzeuge entstehen, weil sie ein echtes Problem lösen, das die offizielle IT nicht schnell genug bedient. Sie sind produktiv, hilfreich und meistens unsichtbar. Genau diese Unsichtbarkeit wird zum Problem, wenn die Prüfung kommt.

Die aufsichtlichen Anforderungen an die individuelle Datenverarbeitung, in den bankaufsichtlichen Regelwerken verankert, sind eindeutig: Solche Anwendungen müssen erfasst, nach Risiko klassifiziert, dokumentiert und kontrolliert werden. In der Praxis ist die Liste der erfassten Anwendungen jedoch fast immer unvollständig, weil die wirklich genutzten Werkzeuge in den Fachbereichen entstehen und dort betrieben werden, ohne dass die zentrale Stelle davon weiß.

Warum individuelle Datenverarbeitung überhaupt entsteht

Es lohnt, die Ursache ernst zu nehmen, statt nur das Symptom zu bekämpfen. Individuelle Datenverarbeitung entsteht nicht aus Böswilligkeit oder Nachlässigkeit, sondern aus einem echten Bedarf. Ein Fachbereich braucht eine Auswertung, eine Verknüpfung, eine Automatisierung, und die offizielle IT kann sie nicht schnell genug liefern. Also baut sich der Bereich die Lösung selbst, mit den Mitteln, die ihm zur Verfügung stehen.

Diese Werkzeuge sind oft erstaunlich leistungsfähig und tief in die täglichen Abläufe eingewachsen. Eine Access-Datenbank, die seit Jahren eine kritische Auswertung liefert, ein Skript, das im Risikomanagement eine Berechnung übernimmt, ein automatisierter Ablauf, der eine wiederkehrende Aufgabe erledigt. Sie sind so nützlich, dass niemand sie hinterfragt, und so selbstverständlich, dass niemand sie meldet. Genau deshalb tauchen sie in keiner offiziellen Liste auf.

Das Ergebnis ist eine Schatten-IT, die aus lauter guten Gründen entstanden ist und trotzdem ein erhebliches Risiko darstellt. Wenn eine kritische Auswertung an einer undokumentierten Access-Datenbank hängt, deren Logik nur eine Person versteht, dann ist das Institut verwundbar. Fällt die Person aus, fällt die Anwendung aus, und niemand weiß, wie sie zu reparieren ist. Enthält die Logik einen Fehler, pflanzt er sich fort, ohne dass jemand ihn bemerkt.

Warum Verbieten nicht funktioniert

Die reflexhafte Reaktion mancher Häuser ist das Verbot. Individuelle Datenverarbeitung wird untersagt, die Werkzeuge sollen verschwinden, alles soll über die offizielle IT laufen. Diese Reaktion ist verständlich, aber sie funktioniert nicht. Sie ignoriert den Bedarf, der die individuelle Datenverarbeitung hervorgebracht hat, und dieser Bedarf verschwindet nicht durch ein Verbot.

Was tatsächlich passiert, ist, dass die Werkzeuge in den Untergrund gehen. Die Fachbereiche bauen sie weiter, aber sie melden sie erst recht nicht mehr, weil sie verboten sind. Aus einer sichtbaren Schatten-IT wird eine unsichtbare, und das Risiko steigt, statt zu sinken. Das Verbot bekämpft die Meldung, nicht die Sache, und macht das Problem dadurch schlimmer.

Warum Ignorieren auch nicht funktioniert

Das andere Extrem ist das Ignorieren. Man weiß, dass es individuelle Datenverarbeitung gibt, aber man lässt sie gewähren, weil sie ja funktioniert und weil das Aufräumen mühsam wäre. Auch das ist keine Lösung, denn die Risiken bleiben bestehen und werden in der nächsten Prüfung sichtbar. Eine unvollständige Liste der individuellen Datenverarbeitung ist ein klassischer Prüfungsbefund, und ein solcher Befund kann erhebliche Folgen haben.

Hinzu kommt, dass die Risiken real sind, unabhängig von der Prüfung. Eine undokumentierte, unkontrollierte Anwendung, die kritische Daten verarbeitet, ist eine Gefahr für die Datenqualität, die Betriebsstabilität und die Sicherheit. Wer sie ignoriert, lebt mit einer Verwundbarkeit, die sich irgendwann materialisiert, sei es durch einen Fehler, einen Ausfall oder einen Prüfungsbefund.

Der dritte Weg: kontrolliert ermöglichen

Der einzige tragfähige Weg liegt zwischen Verbot und Ignorieren: die individuelle Datenverarbeitung kontrolliert zu ermöglichen. Das bedeutet, den Bedarf anzuerkennen, die Werkzeuge sichtbar zu machen und sie in einen kontrollierten Rahmen zu überführen, statt sie zu verbieten oder gewähren zu lassen. Der Fachbereich darf seine Lösung bauen, aber sie wird erfasst, klassifiziert, dokumentiert und nach ihrem Risiko angemessen kontrolliert.

Der erste Schritt ist eine ehrliche Bestandsaufnahme, die ohne Drohung auskommt. Solange die Fachbereiche fürchten, dass die Meldung ihrer Werkzeuge zum Verbot führt, werden sie nichts melden. Erst wenn klar ist, dass das Ziel die Kontrolle und nicht die Abschaffung ist, kommen die Anwendungen ans Licht. Die Bestandsaufnahme braucht deshalb eine Kultur des Ermöglichens, nicht des Bestrafens.

Der zweite Schritt ist die Risikoklassifizierung. Nicht jede individuelle Datenverarbeitung ist gleich kritisch. Eine kleine Auswertung ohne Einfluss auf wichtige Entscheidungen braucht weniger Kontrolle als ein Skript, das in eine regulatorisch relevante Berechnung eingeht. Die Klassifizierung lenkt die begrenzten Kontrollressourcen dorthin, wo das Risiko am größten ist, statt jede Tabelle gleich aufwendig zu behandeln.

Der dritte Schritt ist, für die kritischen Anwendungen die nötige Kontrolle herzustellen: Dokumentation der Logik, Regelung der Zugriffe, Sicherung gegen Ausfall, gegebenenfalls Überführung in die offizielle IT. So wird aus einer riskanten Schatten-IT eine kontrollierte, prüfungsfeste Anwendungslandschaft, ohne dass der Bedarf der Fachbereiche unterdrückt wird.

Die neue Dimension durch KI-Werkzeuge

Die individuelle Datenverarbeitung war schon immer ein Thema, aber sie gewinnt durch die neuen KI-Werkzeuge eine zusätzliche Dimension. Wo früher eine Access-Datenbank oder ein Skript entstand, entstehen heute KI-gestützte Abläufe, die Daten verarbeiten, Texte erzeugen oder Entscheidungen vorbereiten. Diese Werkzeuge sind noch leichter zu bauen und noch schwerer zu überblicken, weil sie oft über Dienste laufen, die der Mitarbeitende einfach nutzt, ohne dass das Haus davon weiß.

Damit verschärft sich das Problem. Eine undokumentierte KI-Anwendung, die in den Fachbereichen entsteht, ist nicht nur eine Frage der Datenqualität, sondern auch des Datenschutzes und der Sicherheit. Wenn ein Mitarbeitender vertrauliche Daten in ein KI-Werkzeug eingibt, das nicht kontrolliert ist, entsteht ein Risiko, das weit über die klassische Schatten-IT hinausgeht. Die individuelle Datenverarbeitung und die Schatten-KI verschmelzen, und beide gehören in denselben kontrollierten Rahmen.

Warum die Prüfung gnadenlos ist

Die aufsichtliche Prüfung kennt keine Nachsicht mit gut gemeinten Werkzeugen. Sie fragt nicht, ob eine Anwendung nützlich ist, sondern ob sie erfasst, klassifiziert, dokumentiert und kontrolliert ist. Eine produktive, hilfreiche Access-Datenbank, die in keiner Liste steht, ist aus Sicht der Prüfung ein Befund, ganz gleich, wie wertvoll sie für den Fachbereich ist. Die Logik der Prüfung ist die der Beherrschbarkeit, nicht die des Nutzens.

Das ist für die Fachbereiche oft schwer nachvollziehbar. Aus ihrer Sicht haben sie ein Problem gelöst und einen Beitrag geleistet, und nun wird ihnen das als Mangel ausgelegt. Genau diese Diskrepanz zwischen der Sicht des Fachbereichs und der Sicht der Prüfung ist der Grund, warum das Thema so hartnäckig ist. Es lässt sich nur auflösen, wenn das Haus die Brücke schlägt: den Nutzen anerkennen und zugleich die Kontrolle herstellen.

Ein lebendiger Prozess, kein einmaliges Projekt

Der häufigste Fehler bei der Bewältigung ist, die individuelle Datenverarbeitung als einmaliges Aufräumprojekt zu behandeln. Man erfasst einmal alle Anwendungen, klassifiziert sie, dokumentiert sie und hält das Thema für erledigt. Doch die individuelle Datenverarbeitung wächst ständig nach, weil ständig neue Bedarfe entstehen. Eine Liste, die heute vollständig ist, ist in einem Jahr wieder lückenhaft, wenn der Prozess nicht lebendig gehalten wird.

Was es braucht, ist ein dauerhafter Prozess, der neue Anwendungen erfasst, sobald sie entstehen, und der den Bestand regelmäßig überprüft. Das verlangt weniger einen großen Kraftakt als eine kontinuierliche Routine, in die die Fachbereiche eingebunden sind. Erst dieser lebendige Prozess hält die individuelle Datenverarbeitung dauerhaft unter Kontrolle, statt das Aufräumen alle paar Jahre unter Prüfungsdruck zu wiederholen.

Die Verbindung zur offiziellen IT

Langfristig ist die beste Antwort auf die individuelle Datenverarbeitung, ihren Anlass zu verringern. Wenn die offizielle IT die Bedarfe der Fachbereiche schneller und flexibler bedient, entsteht weniger Druck, sich selbst zu behelfen. Die individuelle Datenverarbeitung ist insofern auch ein Spiegel der Leistungsfähigkeit der IT: Je besser die offizielle IT die Fachbereiche bedient, desto weniger Schatten-IT entsteht.

Das bedeutet nicht, dass die individuelle Datenverarbeitung je ganz verschwindet, und das muss sie auch nicht. Ein gewisses Maß an fachnaher Selbsthilfe ist gesund und produktiv. Entscheidend ist, dass sie kontrolliert geschieht und dass die kritischen Anwendungen den Weg in die offizielle IT finden, wo sie hingehören. Die Verbindung von kontrollierter Selbsthilfe und leistungsfähiger offizieller IT ist das Ziel, nicht die Abschaffung des einen zugunsten des anderen.

Vom Risiko zur kontrollierten Stärke

Richtig gehandhabt, ist individuelle Datenverarbeitung kein reines Risiko, sondern eine Stärke. Sie zeigt, dass die Fachbereiche ihre Probleme aktiv lösen, und sie liefert oft die besten Hinweise darauf, wo die offizielle IT nachziehen sollte. Ein Haus, das die individuelle Datenverarbeitung sichtbar macht und kontrolliert, gewinnt nicht nur Prüfungssicherheit, sondern auch ein klares Bild davon, wo seine Prozesse haken.

Mehr zum Thema: MaRisk-Novelle 2026: Wer kein Modellinventar hat, kommt durch keine BaFin-Prüfung mehr und BaFin-Risikobericht 2026: KI ist nicht das Risiko – fehlende Governance ist es.

Wir helfen Ihnen, Ihre individuelle Datenverarbeitung sichtbar zu machen, nach Risiko zu klassifizieren und in einen kontrollierten, prüfungsfesten Rahmen zu überführen, ohne den Bedarf Ihrer Fachbereiche zu unterdrücken. Beginnen Sie mit einer Sprechstunde.

Kurz ins Gespräch kommen

Kurz ins Gespräch kommen

Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.