EZB-Leitfaden für interne Modelle: Strategische Orientierung für Banken in der neuen Regulierungslandschaft

Die Europäische Zentralbank (EZB) veröffentlichte am 28. Juli 2025 eine bedeutsame Überarbeitung ihres Leitfadens für interne Modelle. Diese Revision spiegelt nicht nur die regulatorischen Änderungen durch CRR3 wider, sondern etabliert neue Standards für den Einsatz künstlicher Intelligenz (KI) in der Risikomodellierung und verstärkt die Governance-Anforderungen erheblich.

Zentrale Neuerungen auf einen Blick

Zulassung von KI-Modellen: KI- und Machine-Learning-Verfahren sind offiziell erlaubt. Erklärbare Modelle (Explainable AI) sind jedoch verpflichtend.

Verstärkte Governance-Anforderungen: Das Top-Management trägt nun explizite Verantwortung für Qualität, Risikosteuerung und Compliance der Modelle.

CRR3 und Klimarisiken werden verpflichtend: Basel-III-Regeln und ESG-Risiken müssen proaktiv in Risikomodelle integriert werden.

Schnellere operative Umsetzung: Genehmigte Modelländerungen sind innerhalb von drei Monaten umzusetzen.

Kernveränderungen der Juli-2025-Revision

Offizielle Zulassung und Regulierung von Machine Learning

Die Revision enthält erstmals ein eigenes Kapitel zu Machine-Learning-Techniken. Darin definiert die EZB grundlegende Prinzipien für ML-basierte Modelle: Insbesondere muss die Erklärbarkeit solcher Modelle gewährleistet sein, und die Performance muss in angemessenem Verhältnis zur Komplexität stehen. Praktisch bedeutet das, dass Banken bei KI-Modellen robuste Validierungsmaßnahmen und transparente Modell-Dokumentationen vorhalten müssen. Die Interne Validierung und Interne Revision sind angehalten, ML-Modelle besonders strikt zu prüfen – der Leitfaden erwartet etwa, dass bei hochkomplexen oder dynamischen ML-Modellen zusätzlich zum regulären Prüfzyklus vertiefende Audits durchgeführt werden. Insgesamt schafft die EZB damit einen aufsichtsrechtlichen Rahmen, der den bisher oft experimentellen Einsatz von KI in geordnete Bahnen lenkt.

Konsequenz: Alle drei Verteidigungslinien (Risikokontrolle, Compliance, Interne Revision) müssen entsprechendes ML-Know-how aufbauen.

Verstärkte Governance-Verantwortlichkeiten

In Sektion 5 des Leitfadens wird klargestellt, dass Vorstand und Aufsichtsorgan direkt für die Antragsreife, Implementierung und laufende Überwachung interner Modelle verantwortlich sind. Konkret erwartet die EZB, dass ein Modell nur dann zur Genehmigung eingereicht wird, wenn die internen Kontrollfunktionen (Validierung und Revision) es zuvor umfassend geprüft haben und alle festgestellten Mängel behoben wurden. Damit wird der Druck auf das Management erhöht, eine starke interne Modellgovernance sicherzustellen. Die Leitlinien verlangen zudem, die Rollen und Zuständigkeiten rund um die Modellrisikosteuerung klar zu definieren und geeignete Ausschüsse einzurichten (z.B. ein Modellrisikokomitee auf Führungsebene), die über den Lebenszyklus der Modelle wachen.

Konsequenz: Die Verantwortung der Geschäftsleitung und des Leitungsorgans für interne Modelle fördert die Dringlichkeit einer klareren internen Modellgovernance.

CRR3-Integration und Basel-III-Finalisierung

Die Anpassungen an CRR3 und die Finalisierung der Basel-III-Standards erfordern von Banken nicht nur eine methodische Überarbeitung, sondern auch ein klar strukturiertes Umsetzungsprogramm. Die folgenden Punkte zeigen die wesentlichen To-dos für jede Risikokategorie:

Kreditrisiko (IRB-Ansätze)

Roll-out-Strategie überprüfen und anpassen: Bestehende Roll-out-Pläne müssen im Hinblick auf die neuen Anforderungen an Permanent Partial Use (PPU) überarbeitet werden. Banken müssen sicherstellen, dass nur die vom Regulator erlaubten Teile des Standardansatzes parallel genutzt werden.

Rating-Systeme neu validieren: Die interne Validierung muss alle Rating-Systeme gemäß den verschärften EBA-Vorgaben prüfen und dokumentieren. Hierbei sind insbesondere die neuen Definitionen von Ausfallereignissen (Default Definition) und die angepassten Methoden zur Schätzung von PD- (Probability of Default) und LGD-Parametern (Loss Given Default) zu berücksichtigen.

Rollen klar definieren: Das Management und das Aufsichtsorgan müssen ihre Verantwortung bei der Einreichung von Modellanträgen explizit übernehmen. Dies erfordert klare Prozesse, Freigabe-Stufen und vollständige Dokumentationen vor jeder Submission.

Datenqualität sicherstellen: Da CRR3 höhere Anforderungen an die Datengrundlage stellt (z. B. granularere Ausfalldaten), sollten bestehende Datenbestände und -prozesse frühzeitig auf Lücken geprüft und bereinigt werden.

Marktrisiko (FRTB und CRR2-Modelle)

Doppelte Modellwelt organisieren: Banken müssen kurzfristig sicherstellen, dass sowohl die bestehenden Modelle (unter CRR2) als auch die zukünftigen FRTB-konformen Modelle gepflegt werden. Dies bedeutet parallele Reporting- und Backtesting-Prozesse.

Frühzeitige FRTB-Vorbereitung: Auch wenn die Einführung erst 2027 verpflichtend wird, sollten Institute jetzt mit Vorbereitungen beginnen: Klassifikation der Risikofaktoren in modellierbar/nicht-modellierbar, Aufbau der erforderlichen Expected-Shortfall-Metriken und Erweiterung der Datenhistorien.

Gap-Analyse durchführen: Eine strukturierte Lückenanalyse zeigt, wo die derzeitigen Modelle von den FRTB-Anforderungen abweichen. Daraus sollten priorisierte Roadmaps für Modelländerungen und Systemanpassungen abgeleitet werden.

Gegenparteirisiko (CCR)

Exposure-Änderungen dynamisch modellieren: Institute müssen ihre internen Modelle so anpassen, dass Veränderungen im Geschäftsumfang, Laufzeitänderungen und andere Strukturveränderungen zeitnah und korrekt abgebildet werden.

Margining- und Besicherungslogik erweitern: Die neuen CRR3-Vorgaben erfordern eine genauere Modellierung von Margin Calls und Besicherungswerten. Hier müssen die Parameter- und Simulationsmethoden auf ihre Eignung überprüft und ggf. nachgeschärft werden.

Prozesse für regelmäßige Re-Kalibrierungen einführen: Um die stärkere Volatilität in Exposure-Profiles abzufangen, sollten Re-Kalibrierungen in engeren Zyklen erfolgen, idealerweise mit automatisierten Kontrollroutinen.

Klimarisiko-Integration als regulatorische Pflicht

Ein wesentliches neues Element der 2025er-Revision ist die Verankerung von Klimarisiken im Leitfaden. Erstmals verlangt die EZB ausdrücklich, dass Institute Klima- und Umweltfaktoren in ihren Modellrahmen einbeziehen. Konkret sollen Banken zunächst alle relevanten Risiken – inklusive klimabezogener Risiken – auf ihre Materialität prüfen. Wenn ein Klimarisiko-Treiber als wesentlich eingestuft wird, muss er in das interne Modell integriert werden. Diese Vorgabe gilt über alle Pillar-1-Risikomodelle hinweg, d.h. im Kreditrisiko (z.B. Einfluss von Überschwemmungsrisiken auf Ausfallwahrscheinlichkeiten), im Gegenparteirisiko und im Marktrisikomodell. Damit erhebt die Aufsicht Klimarisiken faktisch in den gleichen Pflichtenkreis wie traditionelle finanzielle Risikotreiber. Für viele Institute bedeutet dies, dass sie erst noch die notwendigen Daten und Methoden entwickeln müssen, um Klimaeinflüsse quantitativ abzubilden. Die EZB gibt hier einen klaren Handlungsauftrag: ESG-Risiken sind nicht länger nur Teil von Säule-2-Überlegungen, sondern halten verbindlich Einzug in die Modelllandschaft der Banken.

Operative Herausforderungen und Implementierungsanforderungen

Verschärfte Implementierungsfristen

Aus operativer Sicht stellt die neue 3-Monats-Regel eine erhebliche Straffung dar. Genehmigte Modelländerungen müssen grundsätzlich binnen drei Monaten implementiert werden. Früher dauerten Modellanpassungen vom Approval bis zur Umsetzung oft deutlich länger, was nun nicht mehr toleriert wird. Nur in Ausnahmefällen – etwa bei gestaffelten Roll-outs oder gemeinsam koordinierten Änderungen – darf von der Drei-Monats-Frist abgewichen werden, und auch dies nur mit vorheriger Absprache der Aufsicht. Für Banken bedeutet das, dass Entwicklungs-, Test- und Freigabeprozesse erheblich beschleunigt und parallelisiert werden müssen. Agile Methoden in der Modell-IT und flexible Dateninfrastrukturen werden essentiell, um Änderungen fristgerecht produktiv zu stellen. Institute, die hier bereits DevOps-ähnliche Ansätze nutzen, haben einen Vorteil. Andere müssen ihre Release-Prozesse und Governance anpassen, damit kein Flaschenhals zwischen Modell-Genehmigung und Implementierung entsteht.

ML-spezifische Governance-Anforderungen

Der Einsatz von Machine Learning bringt dynamische Modelle hervor, die ständiger Anpassung unterliegen können (z.B. durch regelmäßiges Re-Training). Der Leitfaden reagiert darauf mit verschärften Überwachungs- und Validierungsauflagen für ML-Modelle. Hochkomplexe oder dynamische ML-Modelle sollen häufiger und intensiver geprüft werden als herkömmliche Modelle. Insbesondere erwartet die EZB, dass die Interne Revision die Prüffrequenz entsprechend des erhöhten Modellrisikos anpasst. So wird für sehr komplexe/dynamische ML-Modelle typischerweise ein Deep Dive im jährlichen Prüfplan gefordert, und bei unerwarteten Ereignissen oder neu auftretenden Schwächen empfiehlt die EZB sogar außerplanmäßige Zusatzprüfungen.

Auch die Modellvalidierung muss neue Werkzeuge beherrschen: KI-Modelle erfordern den Einsatz von Explainability-Techniken, um Ergebnisse plausibilisieren zu können. Der Leitfaden verlangt, dass Institute ein Set solcher Erklärbarkeits-Tools einsetzen und diese regelmäßig evaluieren. Mindestens einmal jährlich sollen die eingesetzten XAI-Methoden und -Tools auf ihre Eignung und Wirksamkeit geprüft werden. Dieses jährliche „Audit" der Erklärbarkeit ist neu und unterstreicht den hohen Stellenwert, den die Aufsicht der Transparenz von KI-Modellen beimisst. Banken müssen daher sicherstellen, dass sie personell und technisch in der Lage sind, die Black-Box-Problematik von ML-Modellen zu managen – sei es durch verstärkte Schulungen, den Einsatz geeigneter Software oder die Einbindung von Experten, die diese Explainability-Reports interpretieren können.

Strategische Implikationen für Banken

Technologie-Transformation erforderlich

Die Integration von KI und beschleunigten Prozessen macht eine Modernisierung der Technologielandschaft unumgänglich. Banken sollten insbesondere:

• Aufbau von Explainable-AI-Kompetenzzentren
• Definition klarer Kriterien für KI-Einsatz und Modellkomplexität
• Einführung automatisierter, kontinuierlicher Validierungsprozesse

ESG-Daten-Infrastrukturen

Neben der technischen Infrastruktur rückt die Dateninfrastruktur für ESG-Risiken in den Vordergrund. Insgesamt müssen Banken ihre Datenhaushalte erheblich ausbauen, um Klima- und Umweltrisiken adäquat quantifizieren zu können. Insbesondere im Kreditrisikobereich gilt es, entlang des gesamten Modellierungsprozesses (von der Datenaufbereitung über die Entwicklung bis zur Kalibrierung und Validierung) relevante Klimadaten einzuspeisen. So sollten beispielsweise Klimarisiko-Indikatoren wie Flutrisiko-Scores, geografische Standortdaten, Treibhausgas-Emissionen, Energieeffizienz (etwa bei Immobilienfinanzierungen), Wahrscheinlichkeit von stranded assets (für Branchen mit hohem Transition Risk), ESG-Ratings oder Branchentypen systematisch in einer internen Datenbank erfasst werden.

Darauf aufbauend sind folgende Schritte zentral:

• Entwicklung umfassender ESG-Datenbanken
• Durchführung Szenarioanalysen und Klimastresstests
• Integration klimabezogener Risikotreiber in Kredit- und Marktrisikomodelle

Governance-Professionalisierung

Die steigenden Anforderungen machen eine Aufrüstung der Modell-Governance unvermeidlich. Organisationale und personelle Maßnahmen sind gefragt, um den Leitfaden effizient umzusetzen:

• Einrichtung eines Modell-Governance-Gremiums auf Führungsebene
• Regelmäßige Top-Management-Schulungen zu Risikoeinschätzung und Modellvalidierung
• Förderung interdisziplinärer Teams, die regulatorische Änderungen schnell operationalisieren

Internationale Koordination und Wettbewerbsaspekte

Level-Playing-Field-Herausforderungen und Harmonisierung

Die ungleichzeitige Umsetzung von Basel III, insbesondere des FRTB-Standards, wirft globale Wettbewerbsfragen auf. Während einige asiatische Länder die neuen Marktrisiko-Regeln bereits eingeführt haben, hat die EU deren verpflichtende Umsetzung auf 2027 verschoben, um Wettbewerbsnachteile gegenüber den USA und UK zu vermeiden. Dies kann europäischen Banken kurzfristig Erleichterung verschaffen, birgt aber auch das Risiko, im Vergleich zu Jurisdiktionen mit frühzeitiger Umsetzung zurückzufallen. Die gewonnene Zeit sollte daher genutzt werden, um Handelsbuchmodelle und FRTB-Anforderungen vorzubereiten.

Parallel dazu setzen die strengen KI-Standards der EZB (z.B. Explainability-Pflicht und jährliche ML-Tool-Validierungen) neue Maßstäbe. Zwar investieren europäische Institute derzeit mehr Ressourcen als Wettbewerber in weniger regulierten Regionen, langfristig könnte dies jedoch einen Vorteil darstellen: Banken, die früh Transparenz und Zuverlässigkeit schaffen, werden ein höheres Vertrauen von Investoren und Kunden genießen. Es ist denkbar, dass internationale Aufsichtsbehörden Teile dieser Standards – ebenso wie ESG-Vorgaben – übernehmen.

Innerhalb Europas sorgt der überarbeitete EZB-Leitfaden für eine stärkere Harmonisierung im Single Supervisory Mechanism (SSM). Einheitliche und detaillierte Vorgaben reduzieren Interpretationsspielräume, verhindern regulatorische Arbitrage und sorgen für mehr Berechenbarkeit. Auch weniger bedeutende Institute (LSIs) dürften zunehmend den EZB-Standards folgen, da nationale Aufsichtsbehörden deren Vorgaben als Referenz nutzen. Einheitliche Standards stärken damit die Stabilität des Systems und verhindern „Ausreißer nach unten".

Praktische Umsetzungsschritte

Kurz- bis mittelfristige Prioritäten

Pilotprojekte zu Explainable AI starten: Banken sollten kurzfristig erste Projekte aufsetzen, in denen KI-Modelle mit erklärbaren Methoden (XAI) eingesetzt werden. Ziel ist es, neben der technischen Machbarkeit auch die Anforderungen der Aufsicht an Nachvollziehbarkeit und Dokumentation zu erfüllen. Dabei empfiehlt sich eine enge Einbindung von Modellvalidierung und Compliance, um frühzeitig Schwachstellen und regulatorische Lücken zu erkennen.

Parallelrechnungen mit KI- und traditionellen Modellen für Performance-Vergleiche durchführen: Für ausgewählte Portfolios sollten Banken einen Parallelbetrieb einführen, bei dem KI-basierte Modelle neben den bestehenden Verfahren laufen. So lassen sich Unterschiede bei Risikoeinschätzung, Stabilität und Kapitalanforderungen quantifizieren. Dies schafft Transparenz gegenüber der Aufsicht und liefert fundierte Argumente für den späteren produktiven Einsatz.

Sofortiger Ausbau von ESG-Daten-Kapazitäten und Szenarioanalysen: Da die Integration von Klimarisiken eine aufsichtsrechtliche Pflicht ist, müssen Banken kurzfristig ihre ESG-Datenhaushalte erweitern. Dazu gehört die Schließung von Datenlücken (z.B. fehlende Umweltdaten von Kunden) sowie der Aufbau leistungsfähiger Dateninfrastrukturen. Parallel sollten Klimarisiko-Szenarioanalysen durchgeführt werden, um die potenziellen Auswirkungen auf Kredit-, Markt- und Kontrahentenrisiken zu verstehen und die Ergebnisse in die Modellentwicklung einfließen zu lassen.

Langfristige strategische Anpassungen

Modulare, cloud-native IT-Architekturen mit CI/CD-Pipelines etablieren: Um den verschärften Fristen und steigenden Modellkomplexitäten gerecht zu werden, müssen Banken ihre IT-Landschaft zukunftsfähig machen. Cloud-native Plattformen mit Continuous-Integration- und Continuous-Delivery-Prozessen ermöglichen eine schnellere Entwicklung, automatisierte Validierung und ein effizienteres Deployment von Modellen. Dies reduziert Implementierungszeiten drastisch und erhöht die Flexibilität bei Änderungen.

Human-Capital-Investitionen in Technologie-, Risiko- und Regulatorik-Expertise steigern: Das Zusammenspiel aus Data Science, Risiko- und Compliance-Know-how wird zu einem entscheidenden Erfolgsfaktor. Banken sollten gezielt in Weiterbildungsprogramme investieren und Fachkräfte aufbauen, die die regulatorischen Anforderungen ebenso verstehen wie moderne Modellierungs- und IT-Methoden. Besonders wichtig sind rotationsbasierte Trainingsprogramme zwischen den Abteilungen sowie die gezielte Rekrutierung von Experten für ESG, KI-Governance und IT-Architektur.

Ausblick und Entwicklungstrends

Die Revision des EZB-Leitfadens vom Juli 2025 markiert einen klaren Paradigmenwechsel hin zu einer technologieorientierten Bankenaufsicht. Zukünftige Updates dürften diesen Weg fortsetzen und Themen wie Generative AI, Large Language Models und die weitergehende Integration von Klimarisiken noch stärker adressieren. Für Banken bedeutet das: Modellentwicklung ist ein kontinuierlicher Prozess – Stillstand ist keine Option. Institute, die KI bereits jetzt gezielt und beherrschbar einsetzen, ESG-Risiken messbar integrieren und Governance-Strukturen stärken, sichern sich langfristig einen Wettbewerbsvorteil.

Die EZB betont, dass die Leitfaden-Überarbeitung andere Initiativen wie die Vereinfachung von Modellen unterstützt. Compliance kann so zu einem strategischen Treiber werden: Wer die neuen Standards nicht nur erfüllt, sondern übertrifft – etwa durch erklärbare KI und vorbildliches Klimamanagement – sendet ein starkes Signal an Markt und Aufsicht. Die Revision ist damit mehr als eine regulatorische Anpassung: Sie bietet Banken die Chance, interne Modelle, Technologie und Governance nachhaltig zu professionalisieren und daraus echte Resilienz und Wettbewerbsstärke zu gewinnen.