Der EU AI Act – Was Finanzunternehmen jetzt wissen und tun sollten

Mit dem EU AI Act etabliert die Europäische Union den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz. Für Banken, Versicherungen und Finanzdienstleister hat diese Regulierung tiefgreifende Auswirkungen – sowohl auf bestehende KI-Systeme als auch auf Innovationsstrategien.

Anwendungsbereich: Welche KI ist betroffen?

Der AI Act gilt für alle Anbieter, Betreiber und Nutzer von KI-Systemen, die in der EU tätig sind – auch wenn sie ihren Sitz außerhalb der EU haben. Besonders relevant ist die Risikoeinstufung, die über die regulatorischen Pflichten entscheidet:

Hochrelevante KI-Risikoklassen für Finanzdienstleister:

Hochrisiko-KI
Systeme, die wesentliche Auswirkungen auf das Leben von Menschen haben – darunter:

Kreditwürdigkeitsprüfung und Scoring
Versicherungsrisikoanalyse
Kundenbonitätsbewertung und Risikobewertung
Automatisierte Personalentscheidungen (z. B. bei Recruiting)
Transaktionsüberwachung zur Geldwäscheprävention
KI-gestützte Entscheidungsunterstützung bei Kreditvergabe oder Underwriting

Begrenztes Risiko
Systeme mit Transparenzpflicht, z. B.:

Chatbots im Kundenservice
Generative KI in Marketing oder Beratung

Systemische GPAI-Modelle (General-Purpose AI)
Große Sprachmodelle (z. B. GPT, Claude), wenn sie in geschäftskritischen Anwendungen zum Einsatz kommen, unterliegen eigenen Pflichten, insbesondere wenn sie hoch skalierbar oder verbreitet sind.

Ausnahmen & Spielräume

Branchennahe Ausnahmen gelten nur begrenzt. Der AI Act unterscheidet z. B. nicht nach öffentlich vs. privat – wohl aber zwischen Anbietern, Importeuren und Nutzern. Dennoch gibt es wichtige Spielräume für Finanzunternehmen:

Regulatorische Sandboxes: Erlauben Innovation unter Aufsicht, besonders für neue KI-Produkte in der Entwicklung.
KMU-Privilegien: Für FinTechs oder InsurTechs mit begrenzter Größe gelten reduzierte Anforderungen.
Open-Source-Nutzung: Wer Open-Source-Modelle nutzt, profitiert teilweise von erleichterter Dokumentationspflicht – sofern keine Hochrisiko-Anwendung daraus entsteht.

Anforderungen in der Praxis

Banken, Versicherer und Finanzdienstleister, die Hochrisiko-KI nutzen, müssen künftig:

Risikomanagementsysteme implementieren, die auch Bias und Diskriminierung adressieren
Datenqualität sichern (z. B. Diversität, Repräsentativität, Fairness in Trainingsdaten)
Technische Dokumentation führen, inklusive Wirklogik, Entscheidungswege, Tests
Transparenz gegenüber Kund:innen gewährleisten
Menschliche Aufsicht sicherstellen
Konformitätsbewertung (intern oder durch Dritte) vor Markteintritt durchführen
CE-Kennzeichnung für bestimmte KI-Produkte dokumentieren

Für GPAI-Modelle gelten zusätzlich:

Offenlegung von Trainingsdaten
Risikobewertungen bei Einsatz im großen Maßstab
Regelmäßige Audits und Überwachungspflichten

Auswirkungen für Finanzunternehmen

Compliance & Governance: Die Verordnung zwingt Finanzinstitute dazu, KI-Prozesse systematisch zu dokumentieren und überwachen. Es entstehen neue Schnittstellen zwischen Legal, IT, Data Science und Compliance.
Technologische Anpassung: Bereits existierende KI-Anwendungen (z. B. Scoring, Fraud Detection, Robo-Advisors) müssen retrospektiv geprüft werden. Auch zukünftige Projekte müssen die AI-Act-Vorgaben von Anfang an berücksichtigen.
Haftung & Risiko: Bei Verstößen drohen empfindliche Bußgelder (bis zu 35 Mio. € oder 7 % des Jahresumsatzes). Ein Regelverstoß kann zusätzlich reputationsschädigend wirken – gerade in einem vertrauensbasierten Markt.

Wen betrifft der AI Act konkret?

Data Scientists & KI-Teams: Müssen nachvollziehbare Modelle liefern
Produktverantwortliche: Müssen AI-Compliance im Design berücksichtigen („compliance by design“)
Legal & Compliance: Müssen Risikobewertungen und Governance-Strukturen steuern
IT-Architektur & Ops: Müssen Logging, Monitoring und technische Dokumentation sicherstellen
Vorstand & Aufsichtsrat: Tragen Verantwortung für Governance, Strategie und Aufsicht

Zeitplan – was ist bis wann zu tun?

Call to Action: Was sollten Finanzdienstleister jetzt tun?

Systeminventur: Welche KI-Systeme sind im Einsatz? Welche fallen unter Hochrisiko?
Gap-Analyse starten: Wie weit sind bestehende Anwendungen von den AI-Act-Anforderungen entfernt?
Verantwortlichkeiten klären: Wer übernimmt AI Governance? Braucht es neue Rollen oder Teams?
Sandbox nutzen: Bei neuen KI-Produkten: Teilnahme an regulatorischer Sandbox erwägen – z. B. über nationale Aufsichtsbehörden (BaFin, EZB, etc.).
Kommunikation vorbereiten: Wie wird Kund:innen transparent gemacht, dass KI zum Einsatz kommt?

Fazit

Bereiten Sie sich jetzt auf den EU AI Act vor – mit einem starken IKT-Risikomanagement.
Der neue Rechtsrahmen für Künstliche Intelligenz bringt nicht nur Pflichten, sondern auch Chancen. Ob Hochrisiko-KI, Governance-Strukturen oder Datenqualität – wer frühzeitig handelt, minimiert nicht nur regulatorische Risiken, sondern stärkt auch das Vertrauen von Kund:innen und Aufsichtsbehörden.

Mit unserem ganzheitlichen IKT-Risikomanagement-Ansatz unterstützen wir Sie bei der systematischen Inventur Ihrer KI-Systeme, der Erfüllung von Dokumentationspflichten und der Integration von Compliance-by-Design in Ihre Prozesse. So setzen Sie den EU AI Act nicht nur um, sondern machen ihn zu einem Wettbewerbsvorteil.

Jetzt mehr erfahren

Über den Autor

Daniel Settgast

Daniel Settgast ist Senior Manager bei der movisco AG im Ressort Finance, Risk & Compliance. Als Experte für Digitalisierung baut er bei movisco den Beratungsbereich Information and Communication Technology (IKT) & Kreditprozesse auf und aus. Seit seines Studienabschlusses als Master of Arts in Rechnungs- Prüfungs- und Finanzwesen ist Daniel Settgast als Berater tätig und berät schwerpunktmäßig im Umfeld Banksteuerung und Regulatorik in Verbindung mit Digitalisierung.