Neue Detailtiefe: BRUBEG schärft ESG-Pflichten

Was bisher nur über die MaRisk lief, ist nun direkt im Kreditwesengesetz verankert – durch das Bankenrichtlinienumsetzungs- und Bürokratieentlastungsgesetz (BRUBEG) wird der Umgang mit ESG‑Risiken für Banken verbindlicher und prüfungsrelevant. Neu ist vor allem die Detailtiefe, die durch das neue Gesetz hinzukommt. Zudem erhöhen EZB, BaFin und die Europäische Bankenaufsichtsbehörde (EBA) ihre Erwartungen an eine durchgängige Integration von ESG‑Risikotreibern in Risikoinventur, Kreditprozesse, Steuerung, Stresstests und Reporting. Was Finanzinstitute jetzt beachten müssen, um die neuen Anforderungen sauber und prüfungssicher umzusetzen, erläutern Nico Leidig, Director Consulting bei Forvis Mazars, und Matthias Hadinek, Senior Manager Consulting bei Forvis Mazars, im Interview.

Wo liegt der Unterschied zwischen den bisherigen Empfehlungen der MaRisk und der neuen Pflichten im BRUBEG?

Nico Leidig: Das ESG-Risikomanagement wird noch klarer geregelt und eindeutig zur Vorstands- und Governance-Pflicht. Besonders wichtig ist die neue Anforderung an Banken, einen ESG-Risikoplan zu erstellen: Sie müssen ihre Risikostrategien so weiterentwickeln, dass Nachhaltigkeitsrisiken systematisch erfasst, bewertet und gesteuert werden können. Neben der Formulierung von Zielen, Kennzahlen und Risikokriterien verlangt der Gesetzgeber zudem, geeignete Prozesse einzurichten, um diese Ziele zu erreichen, zu steuern und fortlaufend zu überwachen. Das ist anspruchsvoll – gerade weil es dafür in Deutschland bislang keinen rechtsverbindlichen Standard gibt.

Matthias Hadinek: EU-seitig gibt die Capital Requirements Directive VI (CRD VI) den Rahmen vor. Sie verlangt, dass Banken Nachhaltigkeitsrisiken stärker berücksichtigen müssen – z. B. über mehrere Betrachtungszeiträume hinweg und mit klaren internen Vorgaben und Tests, die zeigen, wie widerstandsfähig Institute gegenüber ESG-Risiken sind. Das BRUBEG setzt diese europäischen Vorgaben in Deutschland vollständig um.

In der Vergangenheit gab es bereits seitens der EBA detaillierte Leitlinien für Banken, wie diese ESG-Risiken ermitteln und überwachen sowie Übergangs- und Anpassungsprozesse planen sollten. Allerdings waren sie in Deutschland nicht verbindlich. Da setzt das BRUBEG an – mit einem rechtssicheren Standard.

Wie schätzen Sie den Reifegrad der Branche ein, gemessen an den Erwartungen von EZB und BaFin? Sehen Sie Fortschritte im Umgang mit ESG-Risiken?

Nico Leidig: Das Thema ESG hat Banken zu Beginn vor einige Herausforderungen gestellt. Fachwissen, Steuerungsinstrumente, Prozesse, Daten und Methoden mussten häufig grundlegend neu aufgebaut werden. Dass eine solche Umstellung nicht im ersten Anlauf in Perfektion gelingt, ist nur logisch. Die meisten Institute haben inzwischen ein System zur Steuerung von ESG‑Risiken eingeführt. Jetzt gilt es, diese Ansätze weiterzuentwickeln, zu schärfen und so auszurichten, dass sie wirklich gute Entscheidungen ermöglichen. Entsprechend unterschiedlich ist heute der Stand der Umsetzung – manche Banken sind bereits weit, andere stehen noch am Anfang.

Matthias Hadinek: Der methodische Reifegrad ist sicherlich gemischt. Es gibt Institute, die neben belastbaren Resilienz-Analysen auch Klimastresstests durchgeführt und ihre Kreditprozesse entsprechend angepasst haben. In solchen Fällen wird das ESG-Risikomanagement nicht nur bereits dokumentiert, sondern tatsächlich genutzt – es fließt in Entscheidungen ein und entfaltet damit echte Steuerungswirkung. Allerdings sehen wir in der Praxis auch häufig noch Insellösungen oder eher rudimentäre Messmethoden, zumeist aufgrund fehlender Daten.

ESG umfasst Umwelt-, aber auch Sozial- und Governance‑Themen. Sind für die Aufsicht und damit für Banken alle ESG-Aspekte gleich wichtig – oder stehen einzelne Themen besonders im Fokus?

Nico Leidig: Formal gilt zwar, dass ESG als Ganzes betrachtet werden muss. In der Praxis schauen Institute – wie bei allen Risiken – zuerst darauf, welche Faktoren tatsächlich wesentlich sind und wie stark sie sich auf die klassischen Risikoarten auswirken. Und hier zeigt sich deutlich: Der Umweltbereich, also das „E“, spielt meist die größte Rolle. Er beeinflusst Kredite, Geschäftsmodelle und Vermögenswerte am stärksten und steht deshalb für viele Banken im Mittelpunkt der Analyse.

Matthias Hadinek: Die Punkte „S“ und „G“ sind in den meisten Häusern zunächst in klassischen Compliance- und Governance‑Prozessen angesiedelt, also dort, wo es um Themen wie Sanktionslisten, Geldwäsche oder steuerliche Vorgaben geht. Wenn diese Faktoren jedoch ein spürbares Risiko für das Institut darstellen, müssen Banken ihre Risikosteuerung entsprechend ausbauen und diese Aspekte auch im eigentlichen Risikomanagement verankern.

Welche Phase stellt Institute aktuell beim Umgang mit ESG-Risiken am meisten vor Probleme: Identifikation, Messung, Steuerung oder Überwachung?

Nico Leidig: Die Identifikation ist häufig der Einstieg und gelingt mittlerweile strukturierter, z. B. durch Heatmaps, Portfolio‑Screenings oder Risikoinventur-Erweiterungen. Die eigentliche Herausforderung entsteht, wenn aus der Identifikation eine prüfungsfeste Wesentlichkeitslogik und eine konsistente Verankerung in Prozessen abgeleitet werden müssen – das ist der Punkt, an dem Aufsicht und Prüfer genau nach Dokumentation, Nachvollziehbarkeit und Proportionalität fragen.

Matthias Hadinek: Datenverfügbarkeit, Modellierungsprobleme, Zeithorizonte von mehr als zehn Jahren und die Frage, wie ESG-Treiber in die bestehenden Kredit- und Risikosteuerungszyklen eingebettet werden können, sind noch immer Fragestellungen, mit denen gerade kleinere und mittlere Institute ringen. Viele Häuser müssen daher jetzt pragmatische Lösungen entwickeln, die sowohl den aufsichtsrechtlichen Erwartungen entsprechen als auch im Alltag handhabbar bleiben.

Welche Rolle spielen Szenarioanalysen und Stresstests für Banken im ESG-Kontext?

Nico Leidig: Szenarioanalysen sind der methodische „Brückenkopf“, um abzuschätzen, wie sich ESG‑Risiken langfristig auf die Zukunftsfähigkeit eines Finanzinstituts auswirken können. Daher sind Banken künftig verpflichtet, ihre Klima‑ und Umweltrisiken über einen ausreichend langen Zeitraum von mindestens zehn Jahren zu messen. Denn die Auswirkungen werden oft erst langsam und über viele Jahre hinweg sichtbar. Ohne diese Methoden können Institute ihre langfristigen ESG-Risiken nicht zuverlässig bewerten

Matthias Hadinek: In der Praxis sehen wir eine sinnvolle Zweiteilung:
Zum einen gibt es Resilienz‑Analysen über lange Zeithorizonte. Sie dienen dazu, zu verstehen, wie sich unterschiedliche Klima‑ und Umweltentwicklungen auf Dauer auf das Geschäftsmodell auswirken können.

Zum anderen stehen Klimastresstests im Fokus. Sie betrachten kürzere Zeiträume und simulieren konkrete Schocks, zum Beispiel einen plötzlich stark steigenden CO₂‑Preis oder Extremwetterereignisse. Solche Tests helfen dabei, die direkten finanziellen Auswirkungen zu verstehen und sie im laufenden Risikomanagement zu berücksichtigen.

Mit Blick in die Praxis: Was sind für Finanzinstitute derzeit die größten „Pain Points“ in der Umsetzung?

Nico Leidig: Datenverfügbarkeit ist der zentrale Engpass. Viele Informationen, die für ein verlässliches ESG‑Risikomanagement nötig sind, liegen Banken schlicht nicht in ausreichender Qualität oder Tiefe vor. Für physische Risiken – also z. B. Überschwemmungen oder andauernde Hitzeperioden – benötigen die Institute u. a. genaue Standortinformationen sowie die hiermit verbundenen Gefahren. Für transitorische Risiken, die durch den Wandel hin zu einer klimafreundlichen Wirtschaft entstehen, brauchen Sie wiederum belastbare Daten zu Branchen, Geschäftsmodellen und Emissionen ihrer Kunden. Sowohl EZB als auch BaFin fordern, die bestehenden Datenlücken zu schließen.

Matthias Hadinek: Auf der transitorischen Seite kommen Unsicherheiten durch gesamtwirtschaftliche und politische Entwicklungen hinzu. Das macht es für Banken schwierig, konkrete Schlussfolgerungen abzuleiten – etwa, wie sie ihr Portfolio ausrichten, Preise kalkulieren oder Risikolimits setzen sollen.

Prüferisch relevant wird vor allem, ob Institute die Unsicherheit methodisch sauber behandeln. Wichtig ist, dass sie klar dokumentieren, auf welchen Annahmen ihre Bewertungen beruhen, wie empfindlich die Ergebnisse auf Änderungen dieser Annahmen reagieren und welche Ersatzgrößen sie verwenden, wenn Daten fehlen – inklusive eines Plans, wie diese Lücken nach und nach geschlossen werden sollen. Außerdem müssen die gewonnenen Erkenntnisse konsequent in die internen Steuerungs‑ und Reportingprozesse einfließen. Nur dann gelten die Ansätze als belastbar und praxisgerecht.

Besteht die Gefahr aufsichtsrechtlicher Konsequenzen bei Lücken in der ESG-Risikosteuerung?

Nico Leidig: Ja – und zwar zunehmend. Die EZB hat Klima- und Umweltrisiken seit Jahren als wesentlichen Risikofaktor im Aufsichtsverständnis verankert und koppelt ihre Erwartungen an Governance, Risikomanagement und Offenlegung an den aufsichtlichen Dialog. Wenn wesentliche Lücken bestehen, kann das in der aufsichtlichen Bewertung und über Strafzahlungen adressiert werden – und das beobachten wir in letzter Zeit zunehmend. Die Höhe der Strafe bemisst sich nach der Dauer des Verstoßes und der Größe des Instituts. Auch hierzu hat das BRUBEG einen neuen Gesetzesrahmen geschaffen, indem die Befugnisse der Aufsicht gestärkt werden.

Blick in die Zukunft: Welche Entwicklungen erwarten Sie bis 2027 in der ESG-Risikobewertung – regulatorisch und methodisch? Welche Prioritäten sollten Institute jetzt setzen, um bei künftigen Prüfungen nicht in Zeitdruck zu geraten?

Nico Leidig: Regulatorisch ist der Pfad klar umrissen: Die CRD VI-Anforderungen mussten bereits bis Januar 2026 auf nationaler Ebene umgesetzt werden. Für kleine und nicht-komplexe Institute gilt eine längere Übergangsfrist – sie müssen die neuen Anforderungen spätestens ab 11. Januar 2027 vollständig erfüllen. Der Zeitrahmen ist also eng – und das Thema ESG ist heute kein Novum mehr. Die Aufsichtsbehörden gehen davon aus, dass die Institute ihre grundlegenden Strukturen bereits geschaffen haben.

Die kommenden Monate werden daher entscheidend sein: Jetzt geht es nicht mehr um den Aufbau erster Konzepte, sondern um die vollständige Integration in alle relevanten Prozesse – von der Strategie bis zur Steuerung. Für viele Häuser bedeutet das klare Prioritäten, schnelle Entscheidungen und einen Fokus darauf, bestehende Ansätze zügig auf einen prüfungssicheren Stand zu bringen.

Matthias Hadinek: Inhaltlich steht vor allem eines im Mittelpunkt: Banken müssen einen eigenen ESG‑Risikoplan entwickeln, strukturiert festhalten, wie sie Nachhaltigkeitsrisiken erkennen, bewerten, überwachen und steuern wollen – und wie diese Schritte in ihre Gesamtstrategie eingebettet sind. Für die bereits etablierten Bereiche des ESG-Risikomanagements geht es nun weniger um komplett neue Konzepte, sondern um eine Steigerung der Informationsqualität. Finanzinstitute sind verpflichtet, verlässliche Daten, nachvollziehbare Annahmen und klare Methoden vorzuweisen. Wesentlich ist außerdem ein integriertes Steuerungssystem, das im Alltag wirkt.

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.

Übrigens: Warum das BRUBEG für Institute ein Wendepunkt ist und welche Kritik hierzu aus der Praxis kommt, haben wir in unserem letzten Artikel auf dem Wirtschaftsprüfungs-Blog bereits für Sie eingeordnet.