BaFin warnt vor KI-Risiken: Abhängigkeit von Tech-Giganten bedroht Finanzstabilität

Deutschlands Finanzaufsicht schlägt Alarm: Die Konzentration auf wenige KI-Anbieter könnte zur Systemgefahr werden. Gleichzeitig bringt Brüssel mit dem „Digital Omnibus” Entlastung – und Berlin streicht rückwirkend die Lieferketten-Berichtspflicht.

Am Donnerstag dieser Woche legte die BaFin den Finger in die Wunde: Deutsche Banken und Finanzdienstleister verlassen sich zunehmend auf eine Handvoll KI-Modelle und Infrastrukturanbieter. Die Folge? Klumpenrisiken, die im Ernstfall das gesamte System lahmlegen könnten.

Nikolas Speer, Leiter der Bankenaufsicht bei der BaFin, macht deutlich, woran es hapert: „Wir beobachten derzeit die Entwicklung sowohl vertikaler als auch horizontaler Verbindungen, die von außen kaum einsehbar sind.” Die Krux liegt in der Intransparenz dieser Lieferketten. Was passiert, wenn ein dominanter KI-Infrastrukturanbieter ausfällt oder Opfer eines Cyberangriffs wird? Im schlimmsten Fall kollabieren mehrere Institute gleichzeitig.

Die Warnung kommt nicht von ungefähr: Generative KI hält rasant Einzug in Risikobewertung und Kundenservice deutscher Banken. Die BaFin fordert nun schonungslose Offenlegung – welche Abhängigkeiten bestehen zu Tech-Konzernen wie Microsoft, Google oder Amazon?

Passend zum Thema KI-Regulierung: Die EU-KI-Verordnung und neue Governance-Erwartungen zwingen Unternehmen zu klarer Risikodokumentation und Kennzeichnung. Der kostenlose Umsetzungsleitfaden erklärt Risikoklassen, notwendige Dokumentation und pragmatische Schritte, mit denen Compliance- und IT-Teams KI-Projekte rechtssicher aufsetzen und Bußgelder vermeiden können. Perfekt für Banken, Finanzdienstleister und Compliance-Verantwortliche. Kostenlosen KI‑Verordnungs‑Leitfaden herunterladen

Brüssel verspricht weniger Bürokratie

Während die Aufsicht beim Thema KI-Risiken nachschärft, bringt die EU-Kommission an anderer Stelle Erleichterung. Mit dem am 19. November vorgestellten „Digital Omnibus” will Brüssel die administrative Last für Unternehmen bis 2029 um mindestens 25 Prozent senken – für kleinere Betriebe sogar um 35 Prozent.

Das Paket nimmt sich bewusst die Überschneidungen zwischen DSGVO, KI-Verordnung und Cybersecurity-Gesetzen vor. Was bedeutet das konkret?

Aufschub für Hochrisiko-KI: Die strengen Compliance-Pflichten für als „hochriskant” eingestufte KI-Systeme greifen erst Ende 2027. Unternehmen gewinnen Zeit für die geforderten Konformitätsbewertungen.

Harmonisierte Datenschutz-Durchsetzung: Jahrelang klagten Verbände wie Bitkom über die fragmentierte Auslegung der DSGVO in verschiedenen Mitgliedstaaten. Der Omnibus soll grenzüberschreitende Verfahren vereinheitlichen.

Weniger Doppelungen: Definitionen und Anforderungen von KI-Gesetz, Datengesetz und Cyber-Recht werden aufeinander abgestimmt – Schluss mit der „Verkomplizierung” digitaler Compliance.

Doch Rechtsexperten von Kanzleien wie White & Case warnen: Die Übergangsphase schafft zunächst Unsicherheit. Bestehende Compliance-Fahrpläne müssen möglicherweise auf Eis gelegt werden, bis der finale Gesetzestext vorliegt.

Lieferketten-Berichtspflicht Geschichte

Die wohl unmittelbarste Entlastung für deutsche Unternehmen kommt aus Berlin: Die jährliche Berichtspflicht nach dem Lieferkettensorgfaltspflichtengesetz (LkSG) ist vom Tisch – rückwirkend zum 1. Januar 2023.

Das Bundeskabinett hatte die Änderungen bereits im September im Rahmen des „Bürokratieentlastungsgesetzes” beschlossen. Seit Dezember 2025 setzt das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) die Meldefrist für das Geschäftsjahr 2024 nicht mehr durch. Was bedeutet das für die Praxis?

Kein Grund zur Entwarnung: Die materiellen Pflichten – Risikoanalyse, Präventionsmaßnahmen, Abhilfemaßnahmen – bleiben vollumfänglich bestehen. Der Wegfall der Berichtspflicht ist lediglich eine Überbrückung, bis die EU-Richtlinie zur unternehmerischen Nachhaltigkeitspflicht (CSDDD) voraussichtlich 2027 in deutsches Recht gegossen wird.

Frank Werneke, Vorsitzender der Gewerkschaft Verdi, hatte bereits bei der Ankündigung der Änderungen Ende 2025 gewarnt: „Die Risikoanalyse ist die Grundlage für die Aufdeckung von Menschenrechtsverletzungen.” Ohne Berichtspflicht drohe ein Verlust an öffentlicher Rechenschaftspflicht.

Dennoch: Für Dezember 2025 ist die Botschaft eindeutig. Ressourcen, die bisher in bürokratische Meldungen flossen, können nun in tatsächliche Risikominimierung und die Vorbereitung auf EU-weite Standards umgelenkt werden.

Was jetzt auf Compliance-Abteilungen zukommt

Zum Jahresende 2025 präsentiert sich die Regulierungslandschaft paradox: Während administrative Lasten sinken, wachsen die technischen Anforderungen. Die vollständige Anwendung des Digital Operational Resilience Act (DORA) seit Januar 2025 und die verschärften KI-Governance-Erwartungen der BaFin füllen die Lücke, die das LkSG hinterlässt.

Drei Prioritäten sollten auf keiner To-do-Liste fehlen:

KI-Lieferketten kartieren: Nach der BaFin-Warnung vom 4. Dezember müssen Finanzunternehmen ihre „vertikalen und horizontalen” Abhängigkeiten zu KI-Anbietern lückenlos dokumentieren. Welche Dienstleister stecken hinter den genutzten Modellen? Wo liegen Single Points of Failure?

Omnibus-Verhandlungen verfolgen: Der Kommissionsvorschlag vom November ist nur der Startschuss. Parlament und Rat werden den Text Anfang 2026 erheblich verändern – Compliance-Roadmaps müssen flexibel bleiben.

CSDDD-Vorbereitung nutzen: Die „Atempause” bei der LkSG-Berichterstattung bietet die Chance, interne Datenerfassung bereits jetzt auf den breiteren Anwendungsbereich der kommenden EU-Richtlinie auszurichten.

Die Botschaft der Regulierer ist unmissverständlich: Die Ära des „Abhaken-Compliance” ist vorbei. Gefragt sind operative Resilienz und echtes Systemrisiko-Management. Wer jetzt die Weichen richtig stellt, ist gewappnet für die kommenden Anforderungen – und vermeidet böse Überraschungen, wenn die nächste Welle an Vorschriften anrollt.

PS: Vermeiden Sie teure Umsetzungsfehler beim KI-Einsatz und in den Lieferketten. Das kostenlose E‑Book zur KI‑Verordnung bietet eine kompakte Checkliste für Kennzeichnungspflichten, Konformitätsbewertungen und Übergangsfristen – plus konkrete Tipps, wie Sie Ihre Dokumentation an DORA- und BaFin‑Erwartungen anpassen. Schnell gelesen, sofort umsetzbar. KI-Compliance-Guide jetzt gratis anfordern