AI Act für Finanzdienstleister – Was Banken und Versicherungen beachten müssen
Der AI Act stellt Finanzdienstleister vor neue Herausforderungen. Entdecken Sie, welche KI-Systeme reguliert werden und wie Sie konform bleiben.
Jedes zweite Kreditinstitut in Europa setzt bereits KI ein – für Kreditentscheidungen, Betrugserkennung, Anlageberatung. Doch mit dem AI Act steht der Finanzsektor vor einer neuen Realität: Viele dieser Systeme fallen direkt unter die strengsten Hochrisiko-Kategorie der Verordnung. Wer als Bank oder Versicherung jetzt nicht handelt, riskiert nicht nur Bußgelder von bis zu 30 Millionen Euro – sondern auch den Vertrauensverlust von Kunden, die zunehmend wissen wollen, wie Maschinen über ihr Geld entscheiden.
Warum Finanzdienstleister besonders betroffen sind
Der AI Act trifft keine Branche so direkt wie die Finanzwirtschaft. Der Grund liegt in der Natur des Geschäfts: KI-Systeme im Finanzsektor entscheiden über Kreditwürdigkeit, Versicherungsprämien und Anlageempfehlungen – also über Themen, die das Leben von Menschen unmittelbar beeinflussen.
Die EU-Kommission hat diesen Zusammenhang konsequent abgebildet. Annex III des AI Act listet jene KI-Anwendungen explizit als hochriskant auf, die Kreditwürdigkeitsprüfungen durchführen oder Credit Scores erstellen – mit einer einzigen Ausnahme: rein technische Betrugserkennungssysteme ohne Auswirkung auf individuelle Kreditentscheidungen.
Hinzu kommt: KI-Systeme zur Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen für natürliche Personen sind ebenfalls explizit als Hochrisiko-KI eingestuft. Das ist ein Paukenschlag für die gesamte Versicherungsbranche.
Der Finanzsektor steht also nicht vor einer vagen regulatorischen Bedrohung, sondern vor klar definierten Pflichten – mit harten Fristen und konkreten Konsequenzen.
Das Hochrisiko-Klassifikationsproblem: Welche Systeme sind betroffen?
Nicht jede KI im Finanzbereich ist automatisch hochriskant. Die entscheidende Frage lautet: Welchen Zweck erfüllt das System, und wer ist betroffen?
Eindeutig hochriskant nach Annex III
- Kredit-Scoring-Modelle: Systeme, die automatisiert oder teilautomatisiert Kreditwürdigkeiten bewerten – ob für Konsumkredite, Hypotheken oder Unternehmensfinanzierungen
- KI-basierte Kreditentscheidungen: Systeme, die Kreditanträge ablehnen oder Konditionen festlegen, auch wenn ein Mensch die finale Entscheidung trifft
- Versicherungs-Underwriting-Modelle: Systeme, die für Privatpersonen Prämien bei Lebens- oder Krankenversicherungen kalkulieren
- Risikostufeneinstufung für Versicherungsverträge: Modelle, die natürliche Personen in Risikokategorien einteilen
Eher keine Hochrisiko-Einstufung
- Interne Risikomodelle ohne direkten Kundenbezug (z. B. Marktrisiko-Aggregationen)
- Reine Betrugserkennung auf Transaktionsebene (technische Anomalieerkennung)
- Interne Prozessautomatisierung ohne Entscheidungsrelevanz für Kunden
Die Grauzone: Robo-Advisors und Anlageberatung
Robo-Advisor-Systeme, die Anlageempfehlungen generieren, sind nicht automatisch in Annex III gelistet. Allerdings: Wer hier als Anbieter oder Betreiber agiert, muss die allgemeinen Transparenz- und Rechenschaftspflichten des AI Act beachten – und je nach Ausgestaltung können MiFID-II-Anforderungen parallel greifen. Eine Einzelfallprüfung ist unumgänglich.
Für eine strukturierte Übersicht über alle Risikoklassen empfiehlt sich ein Blick auf KI-Risikoklassen im Vergleich.
Die Pflichtenliste: Was Hochrisiko-Betreiber konkret tun müssen
Wenn ein System als Hochrisiko-KI eingestuft ist, entstehen umfangreiche Compliance-Pflichten. Für Finanzdienstleister als Deployer (Betreiber) – also Unternehmen, die KI-Systeme von Drittanbietern einsetzen – gelten insbesondere:
1. Risikomanagementsystem
Der AI Act verlangt ein kontinuierliches Risikomanagementsystem für jedes Hochrisiko-KI-System. Das bedeutet: Risikoidentifikation vor dem Einsatz, laufende Überwachung im Betrieb, und dokumentierte Maßnahmen zur Risikominimierung.
Für Banken und Versicherungen, die bereits nach Basel III/IV oder Solvency II robuste Risikomanagement-Frameworks betreiben, klingt das vertraut. Doch Vorsicht: Die Anforderungen überlappen sich, sind aber nicht deckungsgleich. Ein bestehendes Modell-Risikoframework erfüllt die AI-Act-Anforderungen nur teilweise.
2. Technische Dokumentation und Protokollierung
Hochrisiko-KI-Systeme müssen umfassend dokumentiert sein – von der Trainingsphase über die Evaluation bis hin zum laufenden Betrieb. Für zugekaufte Systeme bedeutet das: Lieferanten müssen die erforderliche Dokumentation bereitstellen, und der Betreiber muss prüfen, ob diese vollständig ist.
Hinzu kommt die automatische Protokollierung (Logging) aller relevanten Ereignisse. Wann wurde das System genutzt? Welche Inputs führten zu welchen Outputs? Diese Logs müssen für Prüfzwecke verfügbar sein.
3. Menschliche Aufsicht
Das AI Act-Prinzip der Human Oversight ist für Finanzdienstleister besonders relevant. Es genügt nicht, ein KI-System mit einem formalen “Vier-Augen-Prinzip” abzusichern, wenn die menschlichen Entscheider de facto keine reale Kontrolle ausüben können.
Konkret: Wer Kreditentscheidungen durch KI unterstützen lässt, muss sicherstellen, dass die zuständige Person die Empfehlung tatsächlich inhaltlich prüfen kann – und das entsprechend geschult ist.
Hier greift unmittelbar die KI-Kompetenz nach AI Act. Mitarbeitende, die mit Hochrisiko-KI-Systemen arbeiten, müssen über ausreichende KI-Kompetenz verfügen.
4. Transparenz gegenüber Betroffenen
Wenn eine natürliche Person durch ein Hochrisiko-KI-System in ihren Interessen wesentlich betroffen ist – etwa durch eine Kreditablehnung oder eine erhöhte Versicherungsprämie – greifen Informationspflichten. Die betroffene Person hat ein Recht darauf zu erfahren, dass KI eingesetzt wurde, und auf eine sinnvolle Erklärung der Entscheidung.
Das überschneidet sich mit den Rechten aus der DSGVO (Art. 22), geht aber in Teilen darüber hinaus. Eine Auseinandersetzung mit den Unterschieden lohnt sich: AI Act und DSGVO Unterschiede.
5. Konformitätsbewertung und CE-Kennzeichnung
Für Hochrisiko-KI-Systeme ist vor dem Inverkehrbringen eine Konformitätsbewertung durchzuführen. Betreiber (Deployer) tragen hier eine Mitverantwortung: Sie müssen prüfen, ob das zugekaufte System die Konformitätsbewertung durchlaufen hat und ob eine EU-Konformitätserklärung vorliegt.
Regulatorische Überlagerung: AI Act trifft bestehende Finanzregulierung
Finanzdienstleister kämpfen nicht auf einem unbeschriebenen Blatt. Sie operieren bereits unter einem dichten Regulierungsnetz – und der AI Act fügt eine neue Schicht hinzu, ohne die bestehenden Anforderungen zu ersetzen.
AI Act + MiFID II
Wer Anlageberatung oder Portfoliomanagement mit KI-Unterstützung erbringt, muss sowohl die Geeignetheitsprüfung nach MiFID II als auch die Transparenzanforderungen des AI Act erfüllen. Konkret bedeutet das: Doppelte Dokumentationspflichten, die sorgfältig aufeinander abgestimmt werden müssen, um Lücken und Widersprüche zu vermeiden.
AI Act + Solvency II / VAG
Versicherungsunternehmen, die KI im Underwriting einsetzen, müssen die Hochrisiko-Anforderungen des AI Act in ihr bestehendes ORSA-Framework (Own Risk and Solvency Assessment) integrieren. BaFin hat signalisiert, dass sie AI-Act-Compliance zunehmend als Teil der aufsichtsrechtlichen Prüfung betrachten wird.
AI Act + DSGVO / KI-Entscheidungen
Kreditentscheidungen basieren oft auf personenbezogenen Daten. Wer hier KI einsetzt, muss nicht nur die AI-Act-Pflichten erfüllen, sondern auch eine Datenschutz-Folgenabschätzung (DSFA) durchführen – denn automatisierte Kreditentscheidungen sind klassische DSFA-Trigger.
Praxisbeispiel: Kreditvergabe in der Sparkasse
Nehmen wir ein konkretes Beispiel: Eine mittelgroße Sparkasse setzt seit 2022 ein KI-System eines deutschen FinTech-Anbieters ein, das Kreditanträge von Privatpersonen vorbewertet und eine Empfehlung (Annehmen/Ablehnen/Nachfrage) generiert. Die finale Entscheidung trifft ein Sachbearbeiter.
Was bedeutet der AI Act konkret?
| Pflicht | Status ohne AI-Act-Vorbereitung | Maßnahme |
|---|---|---|
| Risikomanagement-System für KI | Nicht dokumentiert | Separates KI-Risikoregister anlegen |
| Technische Dokumentation | Nur Anbieter-Doku | Vollständigkeit prüfen, Lücken schließen |
| Human-Oversight-Nachweis | Prozessual vorhanden, aber nicht KI-spezifisch | Schulung der Sachbearbeiter, Nachweis dokumentieren |
| Protokollierung | Systemseitig vorhanden | AI-Act-konforme Aufbewahrungsfristen prüfen |
| Transparenz gegenüber Antragstellern | Nur DSGVO-Hinweis | KI-Einsatz explizit kommunizieren |
| Lieferanten-Konformität | Unklar | CE-Konformitätserklärung des Anbieters einholen |
Allein für diesen einen Use-Case entsteht ein Compliance-Aufwand, der – je nach Vorbereitung – zwischen drei und acht Personenmonaten liegen kann. Bei Instituten mit fünf bis zehn solcher KI-Systeme summiert sich das schnell.
Die Zeitachse: Wann müssen Finanzdienstleister handeln?
Der AI Act folgt einem gestaffelten Zeitplan, der für Finanzdienstleister konkrete Fristen setzt:
- Seit August 2024: Verbote für nicht akzeptable KI-Praktiken gelten bereits. Social Scoring durch private Unternehmen ist untersagt – relevant für Versicherer mit verhaltensbasierten Scoring-Modellen.
- August 2025: KI-Kompetenz nach Art. 4 ist seit dem Digital Omnibus eine Empfehlung statt Pflicht. Schulungen bleiben Best Practice.
- Dezember 2027: Vollständige Pflichten für Hochrisiko-KI-Systeme nach Annex III treten in Kraft (verschoben durch Digital Omnibus).
- August 2028: Erweiterte Übergangsfristen für Annex-I-Systeme laufen aus (verschoben durch Digital Omnibus).
Eine detaillierte Übersicht aller relevanten Fristen bietet AI Act Zeitplan und Fristen 2025-2028. Wichtig: Der Dezember 2027 klingt weit weg, aber die Vorbereitung braucht Zeit. Wer mit der Dokumentation, den Lieferantenverträgen und den Schulungen bis dahin warten will, unterschätzt den Umsetzungsaufwand erheblich.
Die Lieferantenfrage: Was Banken von ihren KI-Anbietern verlangen müssen
Ein strukturelles Problem im Finanzsektor: Viele der kritischsten KI-Systeme stammen von Drittanbietern – FinTechs, großen Technologiekonzernen oder spezialisierten Ratingagenturen. Als Deployer bleiben Banken und Versicherungen jedoch mitverantwortlich.
Konkret bedeutet das: Finanzdienstleister müssen ihren KI-Lieferanten folgende Nachweise abverlangen:
- EU-Konformitätserklärung für das Hochrisiko-KI-System
- Technische Dokumentation (vollständig, nicht nur als Marketingunterlagen)
- Vertragsklauseln, die dem Betreiber ausreichende Informationen für seine eigene Compliance sichern
- Schulungsunterlagen für die menschliche Aufsicht
- Logging-Funktionalitäten, die den AI-Act-Anforderungen entsprechen
Wer diese Nachweise nicht einholt, trägt im Zweifelsfall das volle Compliance-Risiko – auch wenn der Fehler beim Anbieter liegt. Gerade kleinere Institute, die über wenig Verhandlungsmacht gegenüber großen Technologiekonzernen verfügen, sollten dieses Risiko aktiv ansprechen und gegebenenfalls auf standardisierte Vertragsklauseln pochen.
Besonderheit Versicherungen: Verhaltensbasiertes Pricing unter Druck
Versicherungsunternehmen, die mit Telematik-Tarifen, Fitness-Trackern oder verhaltensbasierten Daten arbeiten, befinden sich in einer besonders sensiblen Situation.
Das AI Act-Verbot des “Social Scoring” durch private Unternehmen greift dann, wenn Systeme über einen längeren Zeitraum Verhaltensdaten auswerten, um eine umfassende Bewertung natürlicher Personen vorzunehmen. Ob ein verhaltensbasiertes Versicherungsmodell darunter fällt, hängt von der konkreten Ausgestaltung ab – die Grenze ist noch nicht durch Aufsichtsbehörden oder Gerichte konkretisiert worden.
Empfehlung: Wer heute Telematikmethoden einsetzt oder plant, sollte die rechtliche Qualifikation durch spezialisierte Berater prüfen lassen – und zwar bevor das System in Betrieb geht.
Fazit: Der Finanzsektor muss jetzt strukturiert vorgehen
Der AI Act ist für Banken und Versicherungen kein abstraktes Zukunftsproblem. Die Hochrisiko-Klassifikation von Kredit-Scoring und Versicherungs-Underwriting-Modellen ist eindeutig. Die Fristen laufen. Und die Compliance-Pflichten – Risikomanagement, Dokumentation, Human Oversight, Lieferantenmanagement, Schulungen – erfordern strukturierte Vorbereitung, keine Ad-hoc-Reaktionen.
Die gute Nachricht: Finanzdienstleister sind Regulierung gewohnt. Wer ein funktionierendes Compliance-Framework für MiFID II, DSGVO oder Solvency II aufgebaut hat, steht nicht bei null. Aber die KI-spezifischen Anforderungen des AI Act verlangen eine eigenständige Betrachtung – und die Integration in bestehende Governance-Strukturen ist anspruchsvoll.
Wer heute den ersten Schritt macht, schafft Vorsprung. Wer wartet, riskiert nicht nur regulatorische Sanktionen, sondern auch operative Hektik kurz vor der Frist.
Nächster Schritt: Ihr kostenloser Risiko-Check
Sie wissen noch nicht, welche Ihrer KI-Systeme unter den AI Act fallen – und welche Pflichten konkret auf Sie zukommen?
eu-konform.ai bietet einen strukturierten Risiko-Check speziell für Finanzdienstleister: Welche Systeme sind betroffen? Wo stehen Sie heute? Was sind die drei wichtigsten nächsten Schritte?
Ist Ihr KI-Einsatz konform?
Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.
Jetzt prüfen