EU AI Act: Banken müssen ab 2. August Compliance-Regeln erfüllen
24.06.2026 - 20:15:47 | boerse-global.de
Während Institute wie Santander Milliarden erwarten, warnen Aufseher vor Compliance-Lücken und neuen Abhängigkeiten.
Transformation des Betriebsmodells
KI ist in der Branche kein Pilotprojekt mehr, sondern wird zum zentralen Betriebsmodell. Auf dem aktuellen Bankentag hieß es: Banken müssen ihre KI-Investitionen konsequent nach dem Beitrag zum Unternehmensergebnis priorisieren. Eine belastbare Architektur sei die Voraussetzung für erfolgreiche Skalierung.
Santander verhandelt derzeit über Vorruhestandsregelungen für 2.000 bis 3.000 Beschäftigte in Spanien. Gleichzeitig plant das Institut, durch KI zwischen 2026 und 2028 einen Wert von über einer Milliarde Euro zu schaffen. Bereits im ersten Quartal 2025 erzielte die Bank einen KI-bezogenen Wert von 35 Millionen Euro – das Jahresziel liegt bei 200 Millionen Euro.
Auch in der Finanzberatung übernimmt KI zunehmend Routineaufgaben. Anträge und Dokumentationen werden automatisiert, um Kapazitäten für die Kundenbetreuung freizusetzen.
Verschärfte Regeln durch EU AI Act
Die regulatorische Landschaft wird komplexer. Ab dem 2. August greifen erste Compliance-Anforderungen für Hochrisiko-KI-Systeme. Wer die Auflagen nicht erfüllt, riskiert Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Zudem gilt dann eine Kennzeichnungspflicht für Chatbots und Deepfakes – inklusive maschinenlesbarer Wasserzeichen.
Für Bestandssysteme läuft die Frist bis zum 2. Dezember. Eine weitere wichtige Marke ist der 2. Dezember 2027 für bestimmte Hochrisiko-Anforderungen.
Die neuen EU-Regularien stellen Finanzinstitute vor enorme Herausforderungen bei der Risikoklassifizierung ihrer Systeme. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Fristen und Pflichten des EU AI Act. EU AI Act in 5 Schritten verstehen: Jetzt Gratis-E-Book sichern
Doch die Lücke zwischen Anspruch und Wirklichkeit ist groß. Analysen zeigen: Den DORA-Stichtag im Januar 2025 konnte keine Bank vollständig einhalten. Auch bei der KI-Governance besteht Nachholbedarf – viele Institute setzen KI-Agenten ein, aber nur ein Bruchteil ist darauf vorbereitet.
Cyberrisiken und geopolitische Abhängigkeiten
Die Bundesbank warnt vor einer drastisch veränderten Bedrohungslage. Die Zeitspanne zwischen Bekanntwerden einer Sicherheitslücke und deren Ausnutzung ist massiv geschrumpft: Waren es 2019 noch etwa zwei Jahre, sind es Mitte 2026 nur noch 18 Stunden. 51 Prozent der IKT-Vorfälle gehen auf Systemversagen zurück, zehn Prozent auf gezielte Cyberangriffe.
Ein weiteres Risiko: die Abhängigkeit von außereuropäischen Anbietern. KI-Modelle wie Claude Mythos 5 oder Claude Fable 5 entwickeln sich zu geopolitischen Machtinstrumenten. Die US-Regierung untersagte unlängst Nicht-US-Bürgern den Zugriff auf bestimmte fortgeschrittene Modelle aus nationalen Sicherheitsbedenken. Die Forderung nach eigenständigen europäischen Lösungen wird lauter.
Angesichts schrumpfender Reaktionszeiten bei Sicherheitslücken müssen Unternehmen ihre IT-Infrastruktur proaktiv gegen moderne Angriffsmethoden wappnen. Wie Sie aktuelle Cyberrisiken erkennen und gesetzliche Anforderungen ohne hohe Investitionen erfüllen, erfahren Sie in diesem kostenlosen Report. Gratis-E-Book: Cyber Security Strategien für Unternehmen herunterladen
Strukturelle Defizite in der Daten-Governance
Trotz aller Ambitionen hemmen strukturelle Probleme die Umsetzung. Legacy-IT-Systeme und heterogene Datenlandschaften erschweren die Integration moderner KI-Lösungen. Eine aktuelle Studie zeigt: 82 Prozent der deutschen Führungskräfte räumen der KI-Entwicklung Vorrang vor umfassenden Datenkontrollen ein. Etwa 40 Prozent bezeichnen die für KI genutzten Daten als ihren größten blinden Fleck in der Sicherheitsstrategie.
Häufig fehlen vollständige IKT-Asset-Inventare und ein konsequentes Patch-Management. Neue Beratungsangebote wie die von Dominik Winkel gegründete Sotica zielen genau darauf ab – spezialisiert auf die KI-Transformation in Sparkassen und Genossenschaftsbanken. Technologische Ansätze wie Zero-Trust-Architekturen für KI-Agenten sollen künftig helfen, KI-Aktionen vor ihrer Ausführung anhand von Rollen und Richtlinien zu prüfen.
