KI-Regulierung: Finanzbranche vor entscheidender Phase

Die EU-Finanzaufsicht verschärft ihre Vorgaben für Hochrisiko-KI-Systeme. Banken und Versicherer müssen bis August ihre Algorithmen anpassen.

FRANKFURT – Die europäische Finanzbranche steht vor einer entscheidenden Bewährungsprobe. Ab dem 2. August 2026 gelten die strengen Vorgaben des EU-KI-Gesetzes für Hochrisiko-KI-Systeme. Mit weniger als sieben Monaten Vorlaufzeit intensivieren Aufseher wie die deutsche BaFin ihre Leitlinien. Der Fokus liegt auf Kredit-Scoring, Risikobewertung und Betrugserkennung. Diese Systeme müssen nun mit den hohen Transparenz- und Sicherheitsstandards der EU in Einklang gebracht werden.

Die wichtigste Neuigkeit dieser Woche ist eine klare Positionierung der Bundesanstalt für Finanzdienstleistungsaufsicht. In einer aktuellen Orientierungshilfe pocht die BaFin auf einen umfassenden Lebenszyklus-Ansatz für KI-Modelle. Das bedeutet: Finanzinstitute müssen die Risiken nicht nur während des Betriebs, sondern während der gesamten Existenz eines Algorithmus managen – von der Datengewinnung über die Entwicklung bis zur Stilllegung.

Passend zum Thema EU‑KI‑Gesetz: Ein kostenloser Umsetzungsleitfaden erklärt konkret, welche Pflichten Betreiber und Entwickler von Hochrisiko‑KI jetzt beachten müssen – von der Risikoklassifizierung über Kennzeichnungs- und Dokumentationspflichten bis zu den Übergangsfristen. Gerade Kredit‑Scoring‑Systeme und Betrugserkennungs‑Modelle brauchen praxisnahe Checklisten und Handlungsempfehlungen, um Konformitätsbewertungen vorzubereiten und Aufsichtsprüfungen zu bestehen. Der Leitfaden richtet sich an Unternehmen, Entwickler und Compliance‑Verantwortliche in der EU und ist sofort anwendbar. KI-Verordnung-Leitfaden jetzt gratis herunterladen

Besonders bedeutsam ist die explizite Verknüpfung mit der Digital Operational Resilience Act (DORA). KI-Risiken dürfen demnach nicht isoliert betrachtet werden. Sie müssen in die umfassenden IT-Risikomanagement-Systeme integriert werden, die DORA für die Finanzbranche vorschreibt. Unterstützt eine KI eine „kritische oder wichtige Funktion“ eines Instituts, greifen die Widerstandsfähigkeits-Regeln von DORA und die Transparenzvorgaben des KI-Gesetzes gleichermaßen. Ziel ist es, regulatorische Silobildung zu verhindern und die Stabilität der Institute auch bei undurchsichtigen „Blackbox“-Modellen zu gewährleisten.

Klassifizierung von Hochrisiko-KI bleibt zentrale Herausforderung

Eine der größten Unsicherheiten für die Branche bleibt die genaue Einstufung von Hochrisiko-Systemen. Das KI-Gesetz stuft KI zur Bonitätsbewertung natürlicher Personen automatisch in diese Kategorie ein. Für sie gelten dann rigorose Pflichten: hochwertige Daten-Governance, detaillierte technische Dokumentation und menschliche Aufsicht.

Die Industrie wartet nun gespannt auf finale Klarheit aus Brüssel. Die Europäische Kommission muss bis zum 2. Februar 2026 offizielle Leitlinien zur Klassifizierung vorlegen. Diese werden praktische Beispiele und definitive Kriterien liefern. Die Einstufung ist finanziell entscheidend: Hochrisiko-Systeme erfordern Konformitätsbewertungen und eine Eintragung in eine EU-Datenbank. Eine Fehleinstufung kann zu unnötigen Compliance-Kosten oder aber hohen Bußgeldern führen – bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Umsatzes.

EBA sieht keine Widersprüche, mahnt aber koordinierte Umsetzung an

Die Europäische Bankenaufsichtsbehörde (EBA) hat ihre Prüfung abgeschlossen. Sie sieht keine grundlegenden Widersprüche zwischen dem KI-Gesetz und bestehenden EU-Banken- und Zahlungsvorschriften. Dennoch warnt die Behörde vor einer übermäßigen Belastung des Sektors und fordert eine „verhältnismäßige Umsetzung“.

Die Aufsichtslandschaft wird jedoch komplexer. Traditionelle Bankenaufsichtsbehörden – wie die EZB oder nationale Stellen – werden künftig auch als Marktüberwachungsbehörden für das KI-Gesetz fungieren. Diese Doppelrolle erfordert eine engere Koordination. Die EBA kündigte an, 2026 und 2027 auf einen einheitlichen Aufsichtsansatz in allen Mitgliedstaaten hinzuwirken. Für grenzüberschreitend tätige Banken ist diese Harmonisierung überlebenswichtig.

Neue Risiken: „AI Washing“ und Reputationsschäden

Jenseits der technischen Details rückt ein neues Risiko in den Fokus: „AI Washing“. Dabei übertreiben Unternehmen ihre KI-Fähigkeiten oder verschleiern den Einsatz von KI, um regulatorische Prüfungen zu umgehen. Mit dem nahenden Stichtag im August muss aus Innovations-Hype nachweisbare Governance werden. Beobachter sagen voraus, dass „KI-Governance“ 2026 eine ähnlich zentrale Rolle spielen wird wie „Datenschutz“ im Jahr 2018.

Die nächsten Wochen sind entscheidend für Compliance-Verantwortliche. Die Leitlinien der EU-Kommission im Februar werden eine finale Überprüfung aller KI-Inventare in Banken und Versicherungen auslösen. Bis zum 2. August müssen die Konformitätsbewertungen abgeschlossen und die Risikomanagementsysteme integriert sein. Experten rechnen in der zweiten Jahreshälfte 2026 mit den ersten Aufsichtsprüfungen, die die neuen KI-Rahmenwerke auf den Prüfstand stellen.