Was ist Horizon Scanning — und welche Vorteile hat es?

Horizon Scanning ist die systematische Erfassung emergierender Trends, schwacher Signale und noch nicht bindender Regulierung — mit dem Ziel, potenzielle Risiken und Chancen zu identifizieren, bevor sie zu operativen Realitäten werden ^[1]. In der Public-Policy- und Foresight-Literatur ist es eine Komponente eines breiteren Foresight-Werkzeugkastens — neben Szenarioanalyse, Delphi-Studien und Backcasting ^[2]. Im Finanzdienstleistungs­kontext ist der Scope enger: regulatorische Texte, Konsultations­entwürfe, Aufsichts­reden und Enforcement-Trends jener Aufsichtsbehörden, die das Institut beaufsichtigen.

Das UK Cabinet Office Futures Toolkit fasst die Praxis als drei Bewegungen zusammen — vorausschauen, über Peers blicken und die Signale neben den Texten selbst lesen ^[1].

Die intellektuelle Linie führt durch das strategische Foresight. Die OECD betreibt eines der ältesten Foresight-Programme im multilateralen System; ihr Regulatory Policy Outlook 2025 stellt Horizon Scanning und strategisches Foresight in den Mittelpunkt einer vorausschauenden, lernenden Regulierung ^[4]. Die Europäische Kommission setzte ein paralleles Signal in ihrem „2025 Strategic Foresight Report ‚Resilience 2.0‘“, der Foresight als die Grundlage positioniert, auf der sich die EU an systemische Schocks anpasst — Klima, Sicherheit, Demografie, digitale Transformation ^[3].

Was historisch eine Public-Sector-Kompetenz war, ist inzwischen bei den Beaufsichtigten angekommen: Die EU-Aufsichtsbehörden selbst erwarten von ihren Counterparties, dass diese vor der Verbindlichkeit scannen, klassifizieren und handeln.

Drei Kräfte trafen aufeinander. Erstens regulatorisches Volumen: Die European Banking Authority dokumentierte 2021, dass die schiere Frequenz regulatorischer Outputs — RTS, ITS, Q&A, Opinions, Peer-Review-Berichte — die manuelle Beobachtungs­kapazität der meisten Banken überholt hatte; „regulatory horizon screening“ war der Use-Case mit den am besten messbaren RegTech-Effekten ^[5]. Zweitens aufsichts­rechtliche Erwartung: EIOPAs „Supervisory Convergence Plan 2024“ macht deutlich, dass Versicherer DORA-Umsetzung, KI-Nutzung und Solvency-II-Review proaktiv tracken müssen, nicht retrospektiv ^[6]. Drittens interne Ökonomie: McKinsey beobachtet, dass die Compliance-Funktion ein Jahrzehnt der FTE-Vergrößerung hinter sich hat — und dass dieses Wachstum nun seinen Peak erreicht hat. Künftige Skalierungs­gewinne stammen aus Technologie, nicht aus mehr Personal ^[8].

Liest man die EBA-, EIOPA-, OECD- und McKinsey-Literatur parallel, treten vier Wirkungen mit bemerkenswerter Konsistenz hervor.

Effizienz statt Personal­wachstum. McKinseys Compliance-Funktion-Forschung datiert den FTE-Peak und schließt, dass weitere Produktivitäts­gewinne aus der Automatisierung von Horizon Scanning, Klassifizierung, Routing und Audit-Trail-Erfassung kommen müssen ^[8]. Der EBA-Bericht formuliert dieselbe Wirkung von der Technologie-Seite: RegTech „erhöht die Effizienz, dämpft die Wirkung anhaltender regulatorischer Änderungen und verbessert die Wirksamkeit“ ^[5].

Frühwarnung statt Reaktion. Die EBA listet „regulatory horizon screening“ explizit als RegTech-Use-Case mit dokumentiertem „verbesserten Risiko­management, besserer Überwachung und Sampling-Fähigkeit sowie reduzierten menschlichen Fehlern“ ^[5]. Der Vorteil ist strukturell: Signale, die klassifiziert werden, bevor sie zu Enforcement-Ereignissen werden, brauchen keine Krisen-Bearbeitung.

Auditfähigkeit als Standard. BaFins aufsichts­rechtliche Erwartungen 2024/2025 für Versicherungs­unternehmen fordern ausdrücklich „leistungs­starkes Risiko­management, angemessene Governance sowie moderne IT“ — und der praktische Test in einer Inspektion ist, ob das Institut nachweisen kann, wann es Kenntnis von einer Anforderung erlangt hat ^[7]. Ein unveränderbares, zeit­gestempeltes Audit-Log ist der neue Maßstab.

Tempo gegen die Inspektions­uhr. Die OECD 2025 rückt Horizon Scanning und strategisches Foresight in den Kern einer agilen, lernenden Regulierungs-Governance — Echtzeit-Monitoring statt Quartals-Rhythmus ^[4]. EIOPAs eigener Konvergenz-Plan läuft auf einem fortlaufenden Review-Zyklus ^[6].

Die Straf­rahmen haben sich 2025 wesentlich verschoben. Vier konkrete Zahlen sind als Anker hilfreich.

DORA (Verordnung (EU) 2022/2554) ist seit dem 17. Januar 2025 vollständig anwendbar. Die verwaltungsrechtlichen Sanktionen gegen Finanzunternehmen überlässt DORA den Mitgliedstaaten (Art. 50 — wirksam, verhältnismäßig, abschreckend; keine harmonisierte EU-Obergrenze); die einzige EU-weit vereinheitlichte umsatzbezogene Sanktion ist das Zwangsgeld gegen designierte kritische ICT-Drittanbieter von bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, täglich für bis zu sechs Monate (Art. 35) ^[12]. Der eigentliche Hebel ist die Nachweisbarkeit, nicht eine EU-weite Bußgeld-Obergrenze.

Der EU AI Act sieht Bußen bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes bei verbotenen Praktiken vor, und bis zu 15 Mio. EUR oder 3 % bei Hochrisiko-Verstößen — die Hochrisiko-Verpflichtungen treten am 2. August 2026 in Kraft. Kredit-Scoring, Lebens- und Krankenversicherungs­tarifierungs­modelle fallen direkt in die Hochrisiko-Kategorie ^[10].

MiCA (Verordnung (EU) 2023/1114) beendet ihre Transitional Period am 1. Juli 2026; CASPs, die nach diesem Datum ohne Lizenz in der EU operieren, verstoßen gegen EU-Recht und müssen ihre Tätigkeit einstellen ^[11].

Auf der AML-Seite verlagert sich der Enforcement-Schwerpunkt regional. Fenergos Global-Penalties-Report 2025 verzeichnet einen globalen Rückgang der Strafen um 18 % (3,8 Mrd. USD) — bei gleichzeitigem Anstieg der EMEA-Gesamtstrafen (AML, KYC, Sanktionen, CDD) um 767 % im Jahresvergleich ^[9]. Einzelfälle bleiben groß: UBS schloss im September 2025 ein langjähriges französisches Verfahren wegen unrechtmäßiger Kundenakquise und schwerer Geldwäsche mit 835 Mio. EUR (~985 Mio. USD) ab — eine strafrechtliche Resolution, keine aufsichtsrechtliche AML-Programmstrafe ^[9]. Das US-Pendant: die TD-Bank-Resolution von 3,09 Mrd. USD (Oktober 2024) bleibt die höchste je verhängte Strafe unter dem US Bank Secrecy Act ^[13].

Ein nützliches Signal für die Ernsthaftigkeit der Disziplin: Die EU-Aufsichtsbehörden betreiben selbst sichtbar Horizon Scanning. Der „2025 Strategic Foresight Report ‚Resilience 2.0‘“ der Europäischen Kommission ist als institutionelles Produkt mit eigenem Jahres-Rhythmus und einem Kapitel im Arbeits­programm der Kommission veröffentlicht ^[3]. Die OECD betreibt ein dauerhaftes Strategic-Foresight-Programm und publiziert ihren „Regulatory Policy Outlook“ in mehrjähriger Frequenz ^[4]. EIOPA verankert die Praxis in ihrem „Supervisory Convergence Plan“ und behandelt digitale Transformation, KI-Nutzung und Solvency-II-Entwicklung als kontinuierlich beobachtete Themen, nicht als periodische Reviews ^[6].

Der methodische Standard außerhalb der Finanzwelt ist gut dokumentiert. Das UK Cabinet Office Futures Toolkit verlangt eine strukturierte PESTLE-Klassifikation — Political, Economic, Social, Technological, Legal/Regulatory, Environmental — kombiniert mit einer Likelihood/Impact-Matrix; es empfiehlt eine Scanner-Gruppe von mindestens zehn diversen Personen und explizite Quellen­diversität ^[1]. Innerhalb der Finanzdienstleister wird dieselbe Logik typischerweise auf eine regulatorische Taxonomie angewandt: Framework × Jurisdiktion × Risiko­dimension.

Zwei KPI-Muster wiederholen sich in der Branchenpraxis (weniger akademisch belegt, als Beobachtung markiert): die Time-to-Implementation eines regulatorischen Updates und der Anteil eingehender regulatorischer Items, die im ersten Pass korrekt geroutet werden. Beide sind auditierbar; beide zeigen direkt, ob die Scanning-Funktion operativ ist — oder nur aspiratorisch.

Drei Muster treten wiederholt auf, wenn Horizon-Scanning-Programme unterperformen — beobachtet in Anbieter- und Beratungs­praxis, qualitativ und nicht peer-reviewed.

Erstens breit-aber-flach gewählte Quellen­abdeckung: 200 Quellen bei niedriger Auflösung zu beobachten liefert typischerweise weniger handlungs­relevanten Output als 40 Quellen bei hoher Auflösung. Zweitens Klassifikation nach Team statt nach Inhalt: Wenn DORA-Findings beim Legal-Team statt bei IT-Sicherheit landen, wächst die Time-to-Action substanziell. Drittens Audit-Trails, die „auf Anfrage verfügbar“ statt fortlaufend geschrieben sind: Das versagt im aufsichts­rechtlichen Test, wann das Institut Kenntnis einer Anforderung erlangt hat.

Horizon Scanner überwacht 45 EU/EWR-Aufsichtsbehörden — von EUR-Lex und den drei ESAs bis BaFin, AMF, CSSF, MFSA, IVASS, FMA und anderen — wendet auf jedes Finding eine drei-dimensionale 1–4-Klassifikation an (regulatorische Wirkung, Ressourcen­intensität, Frist­kritikalität), routet High-Impact-Items per Default an das verantwortliche Team und schreibt einen unveränderbaren Audit-Trail mit fünf Jahren Standard-Aufbewahrung. Es ist speziell für die vier oben dokumentierten Wirkungen gebaut — Effizienz, Frühwarnung, Auditfähigkeit, Tempo gegen die Inspektions­uhr.