ESG-Datenqualität im CSRD-Zeitalter: Was Auditoren sehen wollen

KI für Marketing & Vertrieb: Der deutsche Leitfaden••By 3L3C

CSRD macht ESG-Daten prüfungspflichtig. Dieser Beitrag zeigt, wie Sie Datenqualität entlang der ESG-Wertschöpfungskette sichern – und was Auditoren wirklich sehen wollen.

ESG DatenCSRDAudit ReadinessNachhaltigkeitsberichterstattungFinanzbrancheISAE 3402EU Taxonomie
Share:

Featured image for ESG-Datenqualität im CSRD-Zeitalter: Was Auditoren sehen wollen

ESG-Datenqualität im CSRD-Zeitalter: Was Auditoren sehen wollen

Die erste CSRD-Berichtssaison 2025 bringt eine harte Wahrheit ans Licht: ESG-Kennzahlen scheitern selten an der Methodik – sondern fast immer an der Datenqualität. Genau hier setzen Prüfer, Aufsicht und auch Investoren inzwischen den Rotstift an.

Für Banken, Versicherer, Asset Manager und große Unternehmen bedeutet das: Wer seine ESG-Daten nicht prüfungssicher organisiert, riskiert nicht nur Beanstandungen im Audit, sondern auch Reputationsschäden und teure Nacharbeiten kurz vor Veröffentlichung des Nachhaltigkeitsberichts.

In diesem Beitrag geht es darum, wie ESG-Daten entlang der gesamten Wertschöpfungskette prüfbar, belastbar und effizient nutzbar werden – und was Auditoren konkret sehen wollen. Der Fokus liegt auf der Praxis: Welche Kontrollen funktionieren, wie dokumentiert man sie sauber und welche Rolle spielen externe Datenanbieter und Zertifizierungen wie ISAE 3402 oder SOC 1?

Warum ESG-Datenqualität plötzlich Chefsache ist

ESG-Daten sind längst kein „Nice-to-have“ mehr, sondern steuern Kapitalflüsse, Pricing und Risikosteuerung:

  • EU-Taxonomie-KPIs der Institute hängen an den Daten der Kredit- und Investmentportfolios.
  • Finanzierte Emissionen entscheiden mit über Strategie, Net-Zero-Ziele und Credibility in Klimaplänen.
  • Principal Adverse Impacts (PAI) prägen Produktklassifizierungen, Marketingaussagen und Offenlegungen.

Mit der CSRD werden diese Angaben prüfpflichtig – zunächst mit begrenzter, später mit hinreichender Sicherheit. Das verändert die Rolle von ESG-Daten radikal:

ESG-Daten sind nicht mehr nur Reporting-Rohstoff, sondern revisionspflichtige Grundlagen für testierte Kennzahlen.

Wer hier keine belastbaren Prozesse und Kontrollen nachweisen kann, hat im Audit ein Problem – egal, ob die Daten intern erhoben oder von einem etablierten Provider gekauft wurden.

Die ESG-Daten-Wertschöpfungskette: Wo es typischerweise knirscht

Die meisten Institute folgen einem ähnlichen Muster: Daten von Gegenparteien werden eingesammelt, angereichert, in IT-Systeme geladen und zu KPIs aggregiert. An jeder dieser Stellen können Fehler entstehen.

Typische Bruchstellen in der ESG-Datenkette

  1. Quellseite (Gegenpartei)

    • Unvollständige oder veraltete Berichte
    • Unterschiedliche Reporting-Standards (CSRD, TCFD, GRI, eigene Formate)
    • Schätzungen, die nicht klar gekennzeichnet sind

  2. Erhebung & Sourcing

    • Falsche Zuordnung von Unternehmen (z.B. Konzern vs. Tochter)
    • Verwechslung von Einheiten (t vs. kg COâ‚‚, MWh vs. kWh)
    • Vermischung von Scope 1, 2 und 3 ohne klare Kennzeichnung

  3. Schätzungen und Modellierungen
    Besonders kritisch ist Scope 3: Oft gibt es keine vollständigen Daten und Institute greifen auf Sektor- oder Länderbenchmarks zurück. Fehlerquellen:

    • Ungeeignete Modelle für bestimmte Geschäftsmodelle
    • Veraltete Benchmarks
    • Intransparente Annahmen ohne Dokumentation

  4. ESG-Indikatoren mit Ermessensspielraum
    Beispiel: PAI 10 – Verstöße gegen UNGC-Prinzipien und OECD-Leitsätze. Hier müssen oft zahlreiche Quellen (Presse, NGO-Berichte, Ratingagenturen) ausgewertet und Schwellen definiert werden. Probleme entstehen, wenn:

    • Kriterien für „Verstoß“ oder „schwerer Verstoß“ nicht klar definiert sind
    • Entscheidungen nicht nachvollziehbar dokumentiert werden

  5. Integration in das Datenhaus & KPI-Berechnung

    • Fehlerhafte Mappings
    • Falsche Aggregationslogik
    • Ãœberschreibung von Datenfeldern beim Import

Die Folge: Eine vermeintlich saubere Kennzahl kann auf brüchigen Annahmen, Tippfehlern und unklaren Definitionen beruhen. Und genau das legen Auditoren heute offen.

Was Auditoren konkret prüfen – und welche Nachweise sie erwarten

Auditoren interessiert weniger, ob Daten von einem bekannten Provider kommen, sondern wie deren Qualität sichergestellt wurde. Die Verantwortung bleibt immer bei der berichtenden Einheit.

Zwei Kontrolltypen, ohne die kein Audit sauber durchläuft

1. Stichprobenprüfungen (Sample Checks)
Ziel: Richtigkeit einzelner Datenpunkte nachweisen.

Typischer Aufbau:

  • (Semi-)zufällige Stichprobe relevanter Gegenparteien
  • Abgleich der genutzten ESG-Daten mit Originalquellen (z.B. Nachhaltigkeitsbericht, Geschäftsbericht)
  • Dokumentation von Abweichungen und deren Korrektur

Auditoren fragen hier:

  • Wie wurde die Stichprobe gezogen?
  • Welche Quellen wurden herangezogen?
  • Wie wurden Fehler behoben und nachverfolgt?

2. Massenprüfungen (Bulk Validations)
Ziel: Auffällige Muster und Ausreißer in großen Datenmengen finden.

Typische Regeln:

  • Konsistenzregeln, z.B. Scope-1-Emissionen ≤ Gesamtemissionen
  • Plausibilitätschecks, z.B. Umsatz > 0 bei aktiven Gegenparteien
  • Schwellwerte für Ausreißer, z.B. Emissionsintensität im Vergleich zur Peer Group

Diese Checks lassen sich gut automatisieren – etwa mit spezialisierten Datenqualitätslösungen. Auditoren wollen hier sehen:

  • Welche Regeln existieren – und seit wann?
  • Wie werden Auffälligkeiten nachbearbeitet?
  • Gibt es Protokolle der letzten Läufe?

Vier-Augen-Prinzip – Pflicht bei Manipulation & Aggregation

Sobald Daten transformiert, gemappt oder aggregiert werden, erwarten Prüfer:

  • Dokumentierte Berechnungslogik (z.B. Taxonomie-Quoten, finanzierte Emissionen, PAI)
  • Unabhängige Zweitprüfung der Implementierung (Vier-Augen-Prinzip)
  • Plausibilisierung der Ergebnisse (z.B. Vergleich mit Vorjahr, mit Marktbenchmarks)

Kurz gesagt: „Excel-Glauben“ reicht nicht. Wer Formeln baut, darf sie nicht allein freigeben.

Vier Schritte zur Audit-Readiness bei ESG-Daten

Wer 2025 und 2026 stressfrei durch das CSRD-Audit kommen will, braucht einen klaren Plan. Eine praxistaugliche Struktur sind vier Schritte zur Audit-Readiness.

1. ESG-Datenanbieter gezielt auswählen – Qualität vor Bequemlichkeit

Der Reflex „Wir kaufen ESG-Daten, dann sind wir sicher“ ist trügerisch. Prüfer akzeptieren einen renommierten Provider als Baustein, aber nicht als Ersatz für Kontrollen.

Worauf Sie bei der Auswahl achten sollten:

  • Transparente Methodik: Wie werden Schätzungen und Modelle aufgebaut?
  • Abdeckung relevanter KPIs: Taxonomie, PAI, Emissionen (inklusive Scope 3), naturbezogene Risiken
  • Datenaktualität und -frequenz: Wie oft werden Daten geupdatet?
  • Dokumentierte interne Kontrollen: Gibt es Beschreibungen, wie der Anbieter Daten prüft?
  • Externe Prüfberichte: Liegen ISAE-3402- oder SOC-1-Berichte vor?

In der Praxis hat sich bewährt, Datenqualität als explizites Entscheidungskriterium in Ausschreibungen und Bewertungsmatrizen zu verankern – nicht nur Preis und Coverage.

2. Robusten Inhouse-Datenerhebungsprozess aufsetzen

Viele Institute kombinieren gekaufte Daten mit eigener Erhebung (z.B. Fragebögen an Kreditkunden, Vendor ESG Questionnaires, Lieferantenportale). Damit das auditfest wird, braucht es:

  • Standardisierte Templates für Abfragen (klar definierte Begriffe und Einheiten)
  • Vorgaben für mitzuliefernde Nachweise (z.B. Auszüge aus Berichten, Zertifikate)
  • Definierte Regeln für fehlende oder widersprüchliche Angaben
  • Peer-Review-Prozesse in den Fachbereichen
  • IT-gestützte Regelchecks bereits beim Import (z.B. Pflichtfelder, Wertebereiche, Einheitentests)

Wer diesen Prozess dokumentiert – inklusive Rollen, Verantwortlichkeiten und Eskalationswegen –, nimmt Auditoren schon früh viele Fragen ab.

3. Datenvalidierungen & Kontrollen sauber dokumentieren

Die meisten Häuser haben bereits zahlreiche Kontrollen – aber sie sind nicht zentral dokumentiert. Für das Audit zählt jedoch: Was nicht dokumentiert ist, existiert praktisch nicht.

Wesentliche Elemente einer belastbaren Dokumentation:

  • Ãœbersicht aller Kontrollen entlang der ESG-Datenkette (Kontrollregister)
  • Beschreibung je Kontrolle: Zweck, Frequenz, Verantwortliche Rolle, System, Prüfregeln
  • Nachweise: Exportdateien, Screenshots, Audit-Trails, Freigabe-E-Mails, Tickets
  • Prozess, wie mit Auffälligkeiten umgegangen wird (inkl. Fristen und Verantwortlichen)

Technische Checks (z.B. korrekter Lauf von ETL-Jobs, Vollständigkeit von Imports, Dublettenprüfung) gehören explizit dazu – Auditoren schauen zunehmend auch auf Schnittstellenrisiken.

4. Externe Verifizierung gezielt einsetzen

Spätestens wenn Ihre ESG-KPIs von Dritten weiterverwendet werden – etwa wenn eine Kapitalverwaltungsgesellschaft Taxonomie-Quoten oder PAI-Werte an Anleger und Institutionen liefert – lohnt sich eine separate externe Assurance der Kontrollen.

Das bringt drei Vorteile:

  1. Vertrauensbonus bei Kunden und Partnern
    Sie belegen, dass Ihre Prozesse und Kontrollen unabhängig geprüft wurden.

  2. Entlastung im eigenen CSRD-Audit
    Auditoren können sich auf bestehende Prüfberichte stützen, anstatt alles neu aufzusetzen.

  3. Interner Reifegradschub
    Die Vorbereitung auf eine externe Kontrolle zwingt zu Klarheit in Prozessen, Rollen und Dokumentation.

Gerade in der Asset- & Wealth-Management-Branche wird ein ISAE-3402- oder SOC-1-Bericht über ESG-Datenprozesse zunehmend zu einem entscheidenden Wettbewerbsfaktor.

Wie ESG-Datenanbieter ihre Attraktivität für Kunden massiv steigern

Für ESG-Datenprovider eröffnet die neue Prüflogik eine klare Chance: Wer Datenqualität und Kontrollen transparent macht, wird zur ersten Wahl für regulierte Kunden.

Was Kunden von Datenanbietern künftig erwarten

  • Detailreiche Prozessdokumentation zur Datenerhebung, -validierung und -aktualisierung
  • Beschriebene Kontrollsysteme (z.B. Massenprüfungen, manuelle Qualitätschecks, Eskalationswege)
  • Klare Kennzeichnung von Schätzungen und Modellen inklusive Annahmen
  • Regelmäßige, unabhängige Prüfberichte (z.B. ISAE 3402, SOC 1)

Solche Nachweise reduzieren bei Banken, Versicherern und Asset Managern die eigene Prüfungs- und Dokumentationslast deutlich. In Ausschreibungen werden Anbieter mit nachgewiesenen Kontrollen deshalb immer häufiger bevorzugt.

Warum ISAE 3402 & Co. mehr als „Nice-to-have“ sind

Ein ISAE-3402- oder SOC-1-Bericht bestätigt, dass:

  • interne Kontrollen existieren,
  • sie angemessen designt sind,
  • und über einen Prüfzeitraum tatsächlich wirksam waren.

Nutzer dieser Berichte können sie direkt im eigenen Audit einsetzen und so zeigen: Wir haben nicht blind vertraut, sondern bewusst einen kontrollierten Anbieter gewählt. Für Datenprovider wird das zum echten Differenzierungsmerkmal im Wettbewerb.

Blick nach vorn: ESG-Datenqualität nähert sich Finanzdaten an

2025 ist erst der Anfang. Die Kombination aus CSRD, EU-Taxonomie, neuen Regeln für ESG-Rating-Anbieter und wachsendem Druck von Investoren führt dazu, dass die Messlatte für ESG-Daten von Jahr zu Jahr höher hängt.

Was in den nächsten Jahren absehbar ist:

  • Mehr Verfügbarkeit von Primärdaten: Durch breitere CSRD-Pflichten und weitere ESG-Reportingvorgaben weltweit.
  • Weniger Toleranz für grobe Schätzungen: Schätzmodelle müssen begründet, dokumentiert und schrittweise durch echte Daten ersetzt werden.
  • Annäherung an Finanzdatenprozesse: ESG-Kennzahlen werden ähnlich behandelt wie Risikokennzahlen oder Finanz-DRs – mit IKS, ITGCs und regelmäßiger externer Prüfung.

Wer heute beginnt, strukturiert an ESG-Datenqualität zu arbeiten, erspart sich nicht nur Stress in den kommenden Auditzyklen, sondern sichert sich auch strategische Vorteile: verlässlichere Steuerung, glaubwürdigere Kommunikation und eine deutlich stärkere Position gegenüber Aufsicht und Investoren.

Die Frage ist weniger, ob ESG-Daten künftig auf dem Niveau von Finanzdaten geprüft werden – sondern wie schnell Ihr Haus bereit ist, diesen Standard zu erfüllen.