MaRisk

Was ändert sich bei MaRisk AT 4.3.4 ab 2026?

Gute Frage – aber ich muss hier transparent sein: Die verfügbaren Dokumente enthalten keine modulspezifischen Details zu AT 4.3.4. Der Fachartikel zur 9. MaRisk-Novelle wurde auf Basis der Fachgremiumssitzung vom September 2025 und BaFin-Aufsichtsmitteilungen geschrieben, der Konsultationsentwurf selbst (publiziert Anfang April 2026) liegt in den vorliegenden Quellen nicht in seiner finalen Modultextstruktur vor. Was ich sagen kann:

Was zu AT 4.3.4 aus den verfügbaren Quellen ableitbar ist

Hintergrund: Was ist AT 4.3.4?

AT 4.3.4 regelt seit der 6. MaRisk-Novelle (2017) die Anforderungen an Datenaggregationskapazitäten und die interne Risikoberichterstattung – de facto die nationale Umsetzung von BCBS 239 (Principles for Effective Risk Data Aggregation and Risk Reporting). Das Modul verpflichtet Institute dazu, Risikodaten vollständig, präzise, aktuell und nachvollziehbar zu aggregieren und darüber zu berichten.

Was die 9. MaRisk-Novelle für Module wie AT 4.3.4 strukturell bedeutet

Aus dem Artikel zur 9. MaRisk-Novelle ergeben sich mehrere Punkte, die direkt auf Datenaggregations- und Berichtsanforderungen wirken:

1. Paradigmenwechsel zur Begründungslogik
Das zentrale Strukturprinzip der Novelle ist der Wechsel von imperativen Detailvorgaben zur prinzipienbasierten Begründungskette. Das betrifft AT 4.3.4 direkt: Statt fixer Reporting-Kataloge müssen Institute künftig begründen können, warum ihre Datenaggregationsprozesse und Berichtsstrukturen angemessen sind. Die Prüfbarkeit dieser Begründung – nicht die formale Regelkonformität – wird zum Maßstab.

2. Doppelte Proportionalität
Die neue dreistufige Institutsklassifizierung skaliert auch die Anforderungen an Dateninfrastruktur und Risikoberichterstattung:

Kategorie Bilanzsumme Konsequenz für AT 4.3.4
Sehr kleine Institute bis 1 Mrd. EUR Deutlich reduzierte Datenanforderungen; vereinfachte Berichtsstrukturen zulässig
Kleine Institute (SNCI) 1–5 Mrd. EUR Proportionale Anforderungen; rund 75 % aller deutschen Institute profitieren
Übrige LSI ab 5 Mrd. EUR Vollumfängliche Anforderungen – ggf. verschärft durch ESG-Datenpflichten

3. ESG-Daten als neues Aggregationsproblem
Die gesetzliche Pflicht zur Berücksichtigung von ESG-Risiken in allen Phasen des Risikomanagements (§§ 26c, 26d KWG durch BRUBEG vom 29. Januar 2026) und die jährliche Materialitätsanalyse erzeugen unmittelbar neue Datenanforderungen – ESG-Risikoindikatoren müssen aggregierbar und berichtsfähig sein. Das ist eine faktische Erweiterung des AT 4.3.4-Anwendungsbereichs, auch wenn das Modul formal nicht umbenannt wird.

4. DORA-Abgrenzung berührt die Dateninfrastruktur
Die neue Zuständigkeitsmatrix (DORA für IKT, MaRisk für operative und ESG-Risiken) hat Konsequenzen für die Datenbasis: IKT-bezogene Risikomeldungen und Resilienz-Reporting laufen künftig unter DORA. Was unter AT 4.3.4 verbleibt, ist das Risk-Data-Aggregation-Regime für Kredit-, Markt-, Liquiditäts- und operationelle Nicht-IKT-Risiken sowie – neu – ESG-Risiken.

Was ich zur modulspezifischen Änderung nicht sagen kann

Der Konsultationsentwurf (BaFin Konsultation 02/2026, Frist 8. Mai 2026) enthält die Detailformulierungen zu AT 4.3.4. Ob das Modul umbenannt, gestrichen, neu nummeriert oder inhaltlich überarbeitet wird, lässt sich auf Basis der vorliegenden Dokumente nicht mit Sicherheit bestätigen. Der Artikel hält explizit fest:

„Konkrete Modulnummerierungen und finale Formulierungen können sich im Konsultationsverfahren noch ändern."

Für eine modulspezifische Antwort empfehle ich, direkt den Konsultationsentwurf von der BaFin-Website herunterzuladen – er ist öffentlich zugänglich und enthält den Track-Change-Vergleich zur aktuellen Fassung.

Fazit

Kurzfassung: AT 4.3.4 wird durch die 9. MaRisk-Novelle in seinen Grundprinzipien fortgeschrieben, aber unter dem Dach einer neuen Begründungslogik neu kontextualisiert. Die größte praktische Änderung dürfte die ESG-Daten-Integration als neue Pflichtkomponente sein, kombiniert mit einer deutlichen Erleichterung für Institute unter 5 Mrd. EUR Bilanzsumme. Die finalen Modulformulierungen sind dem Konsultationsentwurf vom April 2026 zu entnehmen.

Quellen