In der Vergangenheit konntest du dich auf gewachsene Strukturen, erprobte Prozesse und punktuelle Updates verlassen. Das hat sich geändert. Die neuen Regulierungen greifen tief in die Organisationsverantwortung ein – sie verlangen Transparenz, digitale Resilienz und aktives Mitwirken bei Themen, die früher der IT oder Rechtsabteilung vorbehalten waren.
Deine Rolle verändert sich – vom Kontrollorgan zum aktiven Risikosteuerer, vom Strategen zum Regulierungsmanager.
2. DORA: Die Stunde der digitalen Resilienz
Der Digital Operational Resilience Act (DORA) tritt 2025 voll in Kraft. Ziel ist es, die Widerstandsfähigkeit digitaler Systeme in der Finanzwirtschaft zu stärken – und das unter direkter Einbeziehung der obersten Leitung.
Was bedeutet das für dich konkret?
-
Du musst sicherstellen, dass IKT-Risiken aktiv überwacht, dokumentiert und gemeldet werden.
-
Der Aufsichtsrat trägt Mitverantwortung für die Angemessenheit der IT-Governance.
-
Drittanbieter, insbesondere Cloud-Dienste, müssen einer strukturierten Due-Diligence-Prüfung unterzogen werden.
DORA verschiebt digitale Resilienz von der IT-Ebene in den Boardroom. Es reicht nicht, Risiken zu kennen – du musst auch zeigen können, wie du darauf reagierst.
3. ESG: Nachhaltigkeit als Aufsichtspflicht
ESG ist nicht mehr freiwillig – sondern Teil deiner Prüf- und Steuerungspflichten.
Umwelt-, Sozial- und Governance-Kriterien sind längst fester Bestandteil der Risikoberichterstattung, Produktentwicklung und Strategieprüfung. Für dich als Führungskraft oder Aufsichtsrat bedeutet das:
-
Du musst beurteilen, ob ESG-Risiken im Risikomanagement angemessen berücksichtigt werden.
-
ESG-Faktoren beeinflussen direkt die Kapitalallokation und Produktstrategie – und damit deinen Entscheidungsspielraum.
-
Greenwashing wird zum Haftungsrisiko, wenn ESG-Aussagen nicht belegt und dokumentiert sind.
Nachhaltigkeit ist keine Imagefrage mehr, sondern Teil deiner regulatorischen DNA.
4. EU AI Act: KI-Governance im Aufsichtsrat angekommen
Mit dem EU AI Act – insbesondere Kapitel V zu General Purpose AI (GPAI) – kommt ein ganz neues Spielfeld auf dich zu. Du musst dich mit Fragen auseinandersetzen wie:
-
Wird in deinem Unternehmen ein generatives KI-Modell eingesetzt (z. B. ChatGPT, Gemini, Claude)?
-
Gibt es eine dokumentierte Entscheidung darüber, ob das Modell systemisch relevant ist?
-
Sind Transparenz-, Urheberrechts- und Meldepflichten erfüllt?
Der Code of Practice wird zur neuen Benchmark.
Er ist zwar formal freiwillig – wird aber de facto zur Prüfungserwartung der Aufsicht, insbesondere für Institute, die KI in Eignungsprüfungen, Produktsteuerung oder Risikoanalysen nutzen.
KI-Governance ist Aufsichtsratssache – nicht nur Technologiethema.
5. Business Judgement Rule reloaded
Mit steigenden Pflichten wächst auch deine potenzielle Haftung – insbesondere bei Unterlassungen, falscher Überwachung oder unzureichender Reaktion. Die Business Judgement Rule schützt dich nur, wenn:
-
Deine Entscheidungen auf ausreichender Informationsbasis getroffen wurden,
-
keine Interessenkonflikte bestanden und
-
du zum Wohl des Unternehmens gehandelt hast.
2025 wird die Beweispflicht schärfer – deine Entscheidungsprozesse müssen dokumentiert, begründet und nachvollziehbar sein.
6. Proaktive Aufsichtsratstätigkeit – wann du eingreifen musst
Ein moderner Aufsichtsrat wartet nicht auf Berichte, sondern agiert proaktiv. Du bist gefordert, wenn:
-
die Risikotoleranz regelmäßig überschritten wird,
-
Auslagerungen unzureichend gesteuert werden,
-
die Geschäftsleitung bei ESG oder DORA nur reaktiv handelt.
Deine Aufsichtspflicht bedeutet, Entwicklungen zu bewerten, kritisch zu hinterfragen und notfalls zu eskalieren – und zwar bevor externe Stellen (z. B. BaFin oder Prüfer) es tun.
7. Die 5 wichtigsten Fragen, die du 2025 beantworten können musst
-
Wie kontrollieren wir die Einhaltung von DORA-Pflichten im IKT-Risikomanagement?
-
Wie wurde der Einsatz generativer KI bewertet und dokumentiert?
-
Welche ESG-Risiken bestehen in unserem Geschäftsmodell – und wie reagieren wir darauf?
-
Wann und wie greift der Aufsichtsrat aktiv in Strategie- oder Kontrollprozesse ein?
-
Wie wird die Business Judgement Rule praktisch angewendet und dokumentiert?
Wenn du keine klaren Antworten auf diese Fragen geben kannst, ist dein Gremium nicht ausreichend vorbereitet – weder organisatorisch noch haftungstechnisch.
8. Was du jetzt tun solltest
Wissen allein reicht nicht – du brauchst ein praxistaugliches Governance-Toolkit.
✅ GAP-Analyse durchführen: Wo stehen wir bei DORA, ESG, AI-Governance?
✅ Kompetenzmatrix im Aufsichtsrat überprüfen: Verfügen alle Mitglieder über das nötige Fachwissen?
✅ Sitzungsstruktur überarbeiten: ESG, IT, KI müssen regelmäßige Tagesordnungspunkte werden.
✅ Melde- und Prüfpflichten klar zuordnen: Wer berichtet was, wann, an wen?
✅ Haftungsrelevante Entscheidungen dokumentieren: Entscheidungen immer im Protokoll mit Begründung festhalten.
9. Executive Education statt Risikoverwaltung
Deine Weiterbildung ist keine Kür – sondern Teil deiner persönlichen Governance-Sorgfaltspflicht.
Ob du als CEO strategisch führst oder im Aufsichtsrat überwachst: Du brauchst ein Update, das über Checklisten hinausgeht.
Das bedeutet:
Fazit: Die neue Führungskultur beginnt im Aufsichtsrat
Die Regulierungswelle 2025 ist kein Bürokratiemonster – sondern eine Chance, Verantwortung, Transparenz und Resilienz neu zu definieren.
Wenn du es richtig machst, wird dein Aufsichtsgremium nicht zum Risikofaktor – sondern zum strategischen Anker deines Unternehmens.
Sei bereit. Sei informiert. Sei voraus.
