Skip to content
Home

31. März 2026 | 5 min

Was GRC aus dem „Santorini“-Fall lernen kann – und warum interne Aufarbeitung selbst zum Risiko wird

Komplexe Finanztransaktionen sind nichts Neues. Ebenso wenig, dass Entscheidungen aus der Vergangenheit Organisationen Jahre später wieder einholen. Der sogenannte „Santorini“-Fall rund um die Deutsche Bank und die italienische Bank Monte dei Paschi zeigt jedoch ein besonders relevantes Muster: Nicht nur der ursprüngliche Deal ist problematisch – sondern auch die Art und Weise, wie er intern aufgearbeitet wurde.

Genau hier beginnt die eigentliche GRC-Story.

Denn der Fall zeigt eindrücklich, dass Governance, Risk und Compliance nicht nur bei Entscheidungen greifen müssen, sondern auch dann, wenn Organisationen versuchen, diese Entscheidungen im Nachhinein zu verstehen, zu dokumentieren und zu bewerten.

Das wichtigste in Kürze

  • Komplexe Finanzkonstrukte können Risiken verschieben, aber selten eliminieren
  • Risiken haben oft eine lange Halbwertszeit und tauchen Jahre später wieder auf
  • Interne Untersuchungen sind selbst ein GRC-Risikofaktor
  • Unklare Verantwortlichkeiten führen zu Konflikten zwischen Individuum und Organisation
  • Dokumentation kann rechtliche und reputative Konsequenzen auslösen
  • Eine starke GRC-Kultur verhindert nicht nur Fehlverhalten, sondern auch falsche Aufarbeitung

Der Fall in vereinfachter Form

Während der Finanzkrise entwickelte die Deutsche Bank gemeinsam mit der italienischen Bank Monte dei Paschi eine komplexe Derivatstruktur. Ziel war es, Verluste zu strecken beziehungsweise bilanziell anders darzustellen.

Solche Konstrukte bewegen sich oft in einem Graubereich: Sie sind nicht zwingend illegal, können aber den wirtschaftlichen Zustand eines Unternehmens verzerrt darstellen.

Als sich die Lage später zuspitzte, wurden die Transaktionen Teil von Ermittlungen. Es kam zu Anklagen, Verurteilungen und später auch zu Freisprüchen.

Damit hätte der Fall eigentlich abgeschlossen sein können.

Ist er aber nicht.

Denn Jahre später klagen ehemalige Banker gegen die Deutsche Bank und werfen ihr vor, sie durch interne Berichte belastet zu haben. Diese Berichte sollen mit dazu beigetragen haben, dass Ermittlungen ausgelöst wurden.

Und genau hier beginnt der eigentliche GRC-Kern des Falls.

Die eigentliche GRC-Problematik: Aufarbeitung als Risiko

Die meisten Organisationen gehen davon aus, dass interne Untersuchungen per se etwas Positives sind. Sie dienen der Transparenz, der Aufklärung und der Verbesserung.

Der Fall zeigt jedoch eine unbequeme Wahrheit:

Interne Aufarbeitung ist selbst ein Risiko.

Warum?

Weil sie:

  • Narrative schafft
  • Verantwortlichkeiten definiert
  • Dokumente erzeugt, die später extern verwendet werden können

Ein interner Bericht ist nie nur intern. Er kann:

  • an Aufsichtsbehörden gelangen
  • in Gerichtsverfahren auftauchen
  • zur Grundlage von Klagen werden

Das bedeutet: Jede interne Analyse ist gleichzeitig auch eine potenzielle externe Wahrheit.

Governance: Wer trägt eigentlich Verantwortung?

Ein zentrales Problem im Fall ist die Frage nach Verantwortung.

War es:

  • die Organisation als Ganzes?
  • das Management?
  • einzelne Banker?

Oder eine Mischung aus allem?

Genau diese Unklarheit ist ein klassisches Governance-Problem.

Wenn Verantwortlichkeiten nicht klar definiert sind:

  • entstehen später Konflikte
  • fühlen sich Individuen als Sündenböcke
  • entstehen juristische Auseinandersetzungen

GRC muss hier eine klare Linie schaffen:

Verantwortung darf weder komplett individualisiert noch komplett verteilt werden.

Risk Management: Die Illusion der Risikoverschiebung

Der ursprüngliche Deal zielte darauf ab, Risiken nicht verschwinden zu lassen, sondern zu verschieben.

Das ist ein bekanntes Muster:

  • Risiken werden zeitlich gestreckt
  • Verluste werden anders dargestellt
  • kurzfristige Stabilität wird erkauft

Das Problem dabei:

Risiken verschwinden nicht. Sie werden nur komplexer.

Und je komplexer ein Risiko ist, desto schwerer ist es:

  • zu verstehen
  • zu kontrollieren
  • zu erklären

Für GRC bedeutet das:

Komplexität ist selbst ein Risikoindikator.

Compliance: Graubereiche sind die gefährlichsten Bereiche

Der Fall zeigt auch, dass die größten Probleme nicht dort entstehen, wo Regeln klar verletzt werden.

Sondern dort, wo:

  • Regeln interpretiert werden müssen
  • Strukturen formal korrekt, aber wirtschaftlich fragwürdig sind

In solchen Graubereichen fehlt oft:

  • klare Guidance
  • klare Verantwortlichkeit
  • klares Risikobewusstsein

Das macht sie besonders gefährlich.

Eine reife Compliance-Funktion erkennt solche Grauzonen frühzeitig und adressiert sie aktiv.

Die unterschätzte Dimension: Reputations- und Second-Order-Risiken

Ein besonders wichtiger GRC-Aspekt ist die Zeitverzögerung.

Der Fall zeigt:

  • Entscheidungen von 2008 führen viele Jahre später zu neuen Konflikten
  • interne Dokumente werden erst lange danach relevant
  • reputative Schäden entstehen oft verzögert

Das sind sogenannte Second-Order-Risiken:

Risiken, die nicht direkt aus der Handlung entstehen, sondern aus deren späterer Bewertung.

Für GRC bedeutet das:

Risikobetrachtung muss langfristig sein.

Was Unternehmen konkret daraus lernen können

Der Fall liefert mehrere konkrete Learnings:

1. Interne Untersuchungen brauchen Governance

  • klare Zielsetzung
  • definierte Sprache
  • kontrollierte Weitergabe

2. Dokumentation ist nie neutral

  • jedes Wort kann später juristisch interpretiert werden
  • Berichte sollten mit Blick auf externe Nutzung erstellt werden

3. Verantwortung muss strukturiert sein

  • klare Rollen
  • klare Entscheidungswege
  • nachvollziehbare Dokumentation

4. Komplexität reduzieren statt nur managen

  • einfache Strukturen sind kontrollierbarer
  • komplexe Deals brauchen erhöhten GRC-Fokus

5. Langfristige Risiken aktiv managen

  • Szenarioanalysen über mehrere Jahre
  • Bewertung von reputativen Auswirkungen

Fazit

Der „Santorini“-Fall ist kein klassischer Skandal, sondern ein Lehrstück.

Nicht über Fehlverhalten allein, sondern über:

  • unklare Verantwortung
  • komplexe Risikostrukturen
  • und die Risiken interner Aufarbeitung

Er zeigt, dass GRC nicht nur dafür da ist, Fehler zu verhindern.

Sondern auch dafür, sie richtig zu verstehen, ohne neue Risiken zu erzeugen.

Organisationen, die das erkennen, sind nicht nur regelkonform.

Sie sind resilient.

FAQ

Was ist der „Santorini“-Fall in einfachen Worten?
Ein komplexer Finanzdeal aus der Finanzkrise, der dazu diente, Verluste anders darzustellen, und Jahre später zu rechtlichen und organisatorischen Konflikten führte.

Warum ist der Fall für GRC relevant?
Weil er zeigt, dass nicht nur Entscheidungen, sondern auch deren interne Aufarbeitung erhebliche Risiken erzeugen kann.

Was ist das wichtigste GRC-Learning aus dem Fall?
Dass interne Untersuchungen und Dokumentation genauso strukturiert und gesteuert werden müssen wie operative Entscheidungen.

Was sind Second-Order-Risiken?
Risiken, die erst später entstehen, zum Beispiel durch rechtliche Aufarbeitung oder Reputationsverlust.

Wie kann man solche Fälle vermeiden?
Durch klare Governance-Strukturen, reduzierte Komplexität, bewussten Umgang mit Graubereichen und eine langfristige Risikoperspektive.

Share

Related posts

Projekt Helvetia: Die Zukunft der digitalen Zentralbankwährung
05 November 2024 | 3 min

Projekt Helvetia: Die Zukunft der digitalen Zentralbankwährung

 Projekt Helvetia ist ein Vorhaben der Schweizerischen Nationalbank (SNB) in Zusammenarbeit mit der Bank für Internationalen Zahlungsausgleich (BIZ) und dem Finanzinfrastrukturbetreiber SIX. Ziel ist es, die Einführung einer digitalen Zentralbankwährung (Central Bank Digital Currency, CBDC) für den Grosshandelsbereich zu untersuchen. Im Fokus steht dabei die Nutzung von Distributed-Ledger-Technologie (DLT) für die Abwicklung von Zahlungen und<a href="https://zazoon.com/de/projekt-helvetia-die-zukunft-der-digitalen-zentralbankwaehrung/">Continue reading <span class="sr-only">"Projekt Helvetia: Die Zukunft der digitalen Zentralbankwährung"</span></a>
Read more
Cybersicherheit bei Remote-Arbeit
25 Juni 2024 | 4 min

Cybersicherheit bei Remote-Arbeit

 Während auch im Jahr 2024 die Debatte über die Produktivität von Mitarbeitern, die von zu Hause aus arbeiten, weiterhin diskutiert wird, ist ein weiterer Faktor, der in einem hybriden oder vollständig Remote-Unternehmen besondere Aufmerksamkeit erfordert, die Cybersicherheit am Arbeitsplatz. Von Unternehmen wird erwartet, dass sie eine robuste Cybersicherheitslage aufbauen und aufrechterhalten, um die Informationen ihrer<a href="https://zazoon.com/de/cybersicherheit-bei-remote-arbeit/">Continue reading <span class="sr-only">"Cybersicherheit bei Remote-Arbeit"</span></a>
Read more
Die Bayer-Aktie: Ursachen, Auswirkungen und Lehren für das GRC
18 November 2024 | 4 min

Die Bayer-Aktie: Ursachen, Auswirkungen und Lehren für das GRC

 Die Bayer AG, einst ein Flaggschiff der deutschen Industrie, hat in den letzten Jahren einen beispiellosen Kursverfall erlebt. Dieser Artikel beleuchtet, wie weit die Aktie von ihrem Höchststand entfernt ist, welche Faktoren zu diesem Absturz führten, ob dieser gerechtfertigt ist und wie ein verbessertes Governance-, Risiko- und Compliance-Management (GRC) solche Entwicklungen hätte verhindern können.  Entfernung<a href="https://zazoon.com/de/die-bayer-aktie-ursachen-auswirkungen-und-lehren-fuer-das-grc/">Continue reading <span class="sr-only">"Die Bayer-Aktie: Ursachen, Auswirkungen und Lehren für das GRC"</span></a>
Read more