Erschienen am
Schatten-IT
Governance & Sicherheit 9 Min. Lesezeit

Schatten-IT im Stadtwerk: Wenn Excel und Power Automate zum regulatorischen Risiko werden

Warum kommunale Versorger im Basisjahr 2026 eine strikte Governance für ihre operativen Insellösungen benötigen

⚖️
Regina Recht Rechtsexpertin

In der Welt der Energieversorgung gibt es ein geflügeltes Wort: „Das Netz wird mit Kupfer gebaut, aber mit Daten gesteuert.“ Doch während wir im Jahr 2026 über KI-gestützte Lastprognosen und automatisierte Netzanschlüsse nach § 14a EnWG sprechen, sieht die Realität in vielen Stadtwerken anders aus. In den Fachabteilungen blühen „Schatten-IT“-Landschaften: komplexe Excel-Kaskaden zur Effizienzberechnung, SharePoint-Listen als Ersatz für fehlende Stammdatenbanken und Power-Automate-Strecken, die geschäftskritische Prozesse ohne IT-Aufsicht verknüpfen.

Was oft als „agile Selbsthilfe“ beginnt, entwickelt sich unter dem Druck der aktuellen Regulierungsperiode zu einem massiven Compliance-Risiko. Als Regulatorik-Expertin sehe ich hier nicht nur ein IT-Problem, sondern eine handfeste Führungsaufgabe. Denn die Bundesnetzagentur (BNetzA) fragt im Zweifelsfall nicht nach der Kreativität Ihrer Fachabteilung, sondern nach der Revisionssicherheit Ihrer Daten.

Das Basisjahr 2026: Kein Raum für „Excel-Schätzungen“

Warum ist das Thema gerade jetzt so brisant? Wir befinden uns im Basisjahr 2026 für die kommende 5. Regulierungsperiode im Stromsektor. Gemäß § 6 StromNEV (bzw. § 6 GasNEV) bilden die Kosten dieses Jahres die Grundlage für die Erlösobergrenzen der nächsten fünf Jahre.

Die Rechercheergebnisse [7] zeigen ein kritisches Fehlerbild: Falsche Kostenzuordnungen zwischen Netz und Vertrieb oder ineffiziente Fremdvergaben können den Effizienzwert massiv drücken. Wenn nun „Schatten-Tools“ zur Vorab-Simulation des Effizienzwerts genutzt werden – wie der im Marktumfeld bekannte Simulator für Sensitivitätsanalysen [6] – ist das strategisch klug, operativ aber gefährlich. Wenn die Datenbasis in diesen Tools von der offiziellen Buchhaltung oder dem Asset-Management abweicht, steuern Sie blind. Eine falsche Datenabgabe an die BNetzA aufgrund einer fehlerhaften Formel in einer „privaten“ Excel-Tabelle einer Fachabteilung kann Millionen an Netzentgelten kosten.

§ 14d EnWG und der Reifegrad des Datenmanagements

Ein weiterer regulatorischer Treiber ist die Veröffentlichungspflicht der Regionalszenarien gemäß § 14d EnWG [10]. Netzbetreiber müssen hierfür valide Daten über den Ausbau von Erneuerbaren Energien und Wärmepumpen liefern. Die BNetzA fordert hier eine hohe Transparenz und Konsistenz.

In internen Assessments wird vermehrt der „Datenmanagement-Reifegrad“ (Kennzahl 2.3) erhoben [2, 3]. Wer hier auf einer Skala von 1 bis 5 bei einer „2“ verharrt, weil Datenflüsse manuell in SharePoint-Listen „gepflegt“ werden, riskiert nicht nur Ineffizienz, sondern auch den Verlust der Kontrolle über die eigene Netzplanung. Der Netzautomatisierungsgrad (Kennzahl 2.2) lässt sich nur dann sinnvoll steigern, wenn die Datenquelle – ob SCADA oder GIS – eindeutig definiert und der Erfassungsprozess verantwortlich festgelegt ist [2]. Schatten-IT untergräbt diese „Single Source of Truth“.

Die Low-Code-Falle: Wenn Power Automate die Marktkommunikation „optimiert“

Besonders kritisch wird es bei der Marktkommunikation (MaKo). Die Komplexität von GPKE, GeLi Gas und MaBiS nimmt stetig zu. Ein aktuelles Whitepaper der STROMDAO GmbH (September 2025) warnt eindringlich vor „naiven KI-Ansätzen“ und bloßer Vektorisierung von Dokumenten [4, 5].

In vielen Stadtwerken versuchen motivierte Mitarbeiter, die trägen Release-Zyklen ihrer ERP-Hersteller durch eigene Low-Code-Lösungen zu umgehen. Da wird ein Power-Automate-Flow gebaut, der UTILMD-Nachrichten aus Outlook extrahiert und in eine Excel-Liste schiebt. Regulatorisch ist das ein Albtraum:

  1. MessEG & MessEV: Die Integrität der Messwerte muss über die gesamte Kette gewährleistet sein. Manuelle Eingriffe in Schatten-Systemen sind hier kaum rechtssicher zu dokumentieren.
  2. BDEW-Prüfkataloge: Die Prozesse der Marktkommunikation sind strikt standardisiert. Eigenbau-Lösungen erfüllen oft nicht die Anforderungen an die Fehlermeldungen oder Fristenüberwachung.

Governance ist kein Selbstzweck, sondern Risikomanagement

Warum sollten Sie sich als Führungskraft also mit diesem Thema beschäftigen? Weil Schatten-IT die regulatorische Resilienz Ihres Stadtwerks untergräbt. Wir brauchen einen „ingenieurgetriebenen Ansatz im Wissensmanagement“ [4], statt ungesteuerter Tool-Wildwuchs.

Was bedeutet das konkret für Ihre Governance-Struktur?

  1. Klare Ownership: Jede Kennzahl (z. B. EE-Anschluss-Dauer [8]) braucht einen definierten Owner und eine autorisierte Datenquelle (z. B. das CRM oder ein spezifisches Portal für Netzanschlüsse [9]).
  2. Zertifizierte Prototypen: Low-Code ist nicht per se schlecht. Aber ein Power-BI-Dashboard oder ein Power-Automate-Flow muss einen Freigabeprozess durchlaufen, der dem eines Software-Releases ähnelt, sobald er regulatorisch relevante Daten verarbeitet.
  3. Transparente Datenflüsse: Dokumentieren Sie, wie Daten vom Netzanschlussbegehren (§ 19 EnWG) bis in die Kostenerhebung fließen. „Manuelle Brücken“ müssen als operative Risiken im Risikomanagement auftauchen.

Fazit: Vom Tool-Nutzer zum Prozess-Owner

Die Digitalisierung im Stadtwerk 2026 darf nicht bedeuten, dass jeder Mitarbeiter sein eigener IT-Leiter wird. Die regulatorischen Anforderungen der BNetzA, insbesondere im Kontext des Basisjahres 2026 und der Flexibilisierung nach § 14a EnWG, verlangen nach validen, revisionssicheren und integrierten Daten.

Schatten-IT ist oft ein Symptom für zu langsame offizielle Prozesse. Die Lösung ist jedoch nicht das Wegsehen, sondern die Überführung dieser Lösungen in eine kontrollierte Governance. Nur so stellen Sie sicher, dass Ihr Effizienzwert auf Fakten basiert und nicht auf einer fehlerhaften Formel in der Excel-Tabelle eines – wenn auch sehr engagierten – Kollegen.

Praxis-Fragen für Ihr Stadtwerk

Experten-Antworten von Regina Recht

Das Risiko ist massiv, da Abweichungen zwischen Schatten-IT und offizieller Buchhaltung zu fehlerhaften Datenabgaben an die BNetzA führen können, was Verluste in Millionenhöhe bei den Netzentgelten zur Folge haben kann. Zwingend erforderlich ist die Etablierung einer 'Single Source of Truth', bei der alle simulationsrelevanten Daten aus autorisierten Quellen (ERP/Asset-Management) stammen. Zudem müssen 'manuelle Brücken' als operative Risiken im Risikomanagement dokumentiert und Excel-Tools einem Freigabeprozess unterzogen werden, der ihre Formelintegrität bestätigt.

Um den Reifegrad zu erhöhen und die Konsistenz der Regionalszenarien zu gewährleisten, muss das Stadtwerk von dezentralen SharePoint-Listen auf ein zentrales System (z. B. CRM oder ein spezifisches Portal nach § 19 EnWG) umstellen. Es muss für jede Kennzahl eine klare 'Ownership' definiert werden, die den Datenfluss vom Netzanschlussbegehren bis zur Meldung an die BNetzA verantwortet. Manuelle Erfassungsprozesse sollten durch automatisierte Schnittstellen zwischen GIS und Asset-Management ersetzt werden, um den von der BNetzA geforderten Transparenzgrad zu erreichen.

Es muss ein Prozess für 'zertifizierte Prototypen' eingeführt werden: Low-Code-Lösungen, die regulatorisch relevante Daten (wie UTILMD-Nachrichten) verarbeiten, dürfen nicht ohne IT-Aufsicht betrieben werden. Die Integrität der Messwerte muss über die gesamte Kette nach MessEV gewahrt bleiben, was manuelle Eingriffe oder intransparente Flows ausschließt. Konkret müssen solche Flows dokumentiert, auf Fristenüberwachung geprüft und in die allgemeine IT-Governance überführt werden, um die Revisionssicherheit der Marktkommunikationsprozesse nicht zu gefährden.