eu-konform.ai
← Alle Artikel | Praxis

AI Act für Finanzdienstleister – Was Banken und Versicherungen beachten müssen

Der AI Act stellt Finanzdienstleister vor neue Herausforderungen. Entdecken Sie, welche KI-Systeme reguliert werden und wie Sie konform bleiben.

eu-konform.ai Redaktion · · 8 Min. Lesezeit

Jedes zweite Kreditinstitut in Europa setzt bereits KI ein – für Kreditentscheidungen, Betrugserkennung, Anlageberatung. Doch mit dem AI Act steht der Finanzsektor vor einer neuen Realität: Viele dieser Systeme fallen direkt unter die strengsten Hochrisiko-Kategorie der Verordnung. Wer als Bank oder Versicherung jetzt nicht handelt, riskiert nicht nur Bußgelder von bis zu 30 Millionen Euro – sondern auch den Vertrauensverlust von Kunden, die zunehmend wissen wollen, wie Maschinen über ihr Geld entscheiden.


Warum Finanzdienstleister besonders betroffen sind

Der AI Act trifft keine Branche so direkt wie die Finanzwirtschaft. Der Grund liegt in der Natur des Geschäfts: KI-Systeme im Finanzsektor entscheiden über Kreditwürdigkeit, Versicherungsprämien und Anlageempfehlungen – also über Themen, die das Leben von Menschen unmittelbar beeinflussen.

Die EU-Kommission hat diesen Zusammenhang konsequent abgebildet. Annex III des AI Act listet jene KI-Anwendungen explizit als hochriskant auf, die Kreditwürdigkeitsprüfungen durchführen oder Credit Scores erstellen – mit einer einzigen Ausnahme: rein technische Betrugserkennungssysteme ohne Auswirkung auf individuelle Kreditentscheidungen.

Hinzu kommt: KI-Systeme zur Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen für natürliche Personen sind ebenfalls explizit als Hochrisiko-KI eingestuft. Das ist ein Paukenschlag für die gesamte Versicherungsbranche.

Der Finanzsektor steht also nicht vor einer vagen regulatorischen Bedrohung, sondern vor klar definierten Pflichten – mit harten Fristen und konkreten Konsequenzen.


Das Hochrisiko-Klassifikationsproblem: Welche Systeme sind betroffen?

Nicht jede KI im Finanzbereich ist automatisch hochriskant. Die entscheidende Frage lautet: Welchen Zweck erfüllt das System, und wer ist betroffen?

Eindeutig hochriskant nach Annex III

  • Kredit-Scoring-Modelle: Systeme, die automatisiert oder teilautomatisiert Kreditwürdigkeiten bewerten – ob für Konsumkredite, Hypotheken oder Unternehmensfinanzierungen
  • KI-basierte Kreditentscheidungen: Systeme, die Kreditanträge ablehnen oder Konditionen festlegen, auch wenn ein Mensch die finale Entscheidung trifft
  • Versicherungs-Underwriting-Modelle: Systeme, die für Privatpersonen Prämien bei Lebens- oder Krankenversicherungen kalkulieren
  • Risikostufeneinstufung für Versicherungsverträge: Modelle, die natürliche Personen in Risikokategorien einteilen

Eher keine Hochrisiko-Einstufung

  • Interne Risikomodelle ohne direkten Kundenbezug (z. B. Marktrisiko-Aggregationen)
  • Reine Betrugserkennung auf Transaktionsebene (technische Anomalieerkennung)
  • Interne Prozessautomatisierung ohne Entscheidungsrelevanz für Kunden

Die Grauzone: Robo-Advisors und Anlageberatung

Robo-Advisor-Systeme, die Anlageempfehlungen generieren, sind nicht automatisch in Annex III gelistet. Allerdings: Wer hier als Anbieter oder Betreiber agiert, muss die allgemeinen Transparenz- und Rechenschaftspflichten des AI Act beachten – und je nach Ausgestaltung können MiFID-II-Anforderungen parallel greifen. Eine Einzelfallprüfung ist unumgänglich.

Für eine strukturierte Übersicht über alle Risikoklassen empfiehlt sich ein Blick auf KI-Risikoklassen im Vergleich.


Die Pflichtenliste: Was Hochrisiko-Betreiber konkret tun müssen

Wenn ein System als Hochrisiko-KI eingestuft ist, entstehen umfangreiche Compliance-Pflichten. Für Finanzdienstleister als Deployer (Betreiber) – also Unternehmen, die KI-Systeme von Drittanbietern einsetzen – gelten insbesondere:

1. Risikomanagementsystem

Der AI Act verlangt ein kontinuierliches Risikomanagementsystem für jedes Hochrisiko-KI-System. Das bedeutet: Risikoidentifikation vor dem Einsatz, laufende Überwachung im Betrieb, und dokumentierte Maßnahmen zur Risikominimierung.

Für Banken und Versicherungen, die bereits nach Basel III/IV oder Solvency II robuste Risikomanagement-Frameworks betreiben, klingt das vertraut. Doch Vorsicht: Die Anforderungen überlappen sich, sind aber nicht deckungsgleich. Ein bestehendes Modell-Risikoframework erfüllt die AI-Act-Anforderungen nur teilweise.

2. Technische Dokumentation und Protokollierung

Hochrisiko-KI-Systeme müssen umfassend dokumentiert sein – von der Trainingsphase über die Evaluation bis hin zum laufenden Betrieb. Für zugekaufte Systeme bedeutet das: Lieferanten müssen die erforderliche Dokumentation bereitstellen, und der Betreiber muss prüfen, ob diese vollständig ist.

Hinzu kommt die automatische Protokollierung (Logging) aller relevanten Ereignisse. Wann wurde das System genutzt? Welche Inputs führten zu welchen Outputs? Diese Logs müssen für Prüfzwecke verfügbar sein.

3. Menschliche Aufsicht

Das AI Act-Prinzip der Human Oversight ist für Finanzdienstleister besonders relevant. Es genügt nicht, ein KI-System mit einem formalen “Vier-Augen-Prinzip” abzusichern, wenn die menschlichen Entscheider de facto keine reale Kontrolle ausüben können.

Konkret: Wer Kreditentscheidungen durch KI unterstützen lässt, muss sicherstellen, dass die zuständige Person die Empfehlung tatsächlich inhaltlich prüfen kann – und das entsprechend geschult ist.

Hier greift unmittelbar die KI-Kompetenz nach AI Act. Mitarbeitende, die mit Hochrisiko-KI-Systemen arbeiten, müssen über ausreichende KI-Kompetenz verfügen.

4. Transparenz gegenüber Betroffenen

Wenn eine natürliche Person durch ein Hochrisiko-KI-System in ihren Interessen wesentlich betroffen ist – etwa durch eine Kreditablehnung oder eine erhöhte Versicherungsprämie – greifen Informationspflichten. Die betroffene Person hat ein Recht darauf zu erfahren, dass KI eingesetzt wurde, und auf eine sinnvolle Erklärung der Entscheidung.

Das überschneidet sich mit den Rechten aus der DSGVO (Art. 22), geht aber in Teilen darüber hinaus. Eine Auseinandersetzung mit den Unterschieden lohnt sich: AI Act und DSGVO Unterschiede.

5. Konformitätsbewertung und CE-Kennzeichnung

Für Hochrisiko-KI-Systeme ist vor dem Inverkehrbringen eine Konformitätsbewertung durchzuführen. Betreiber (Deployer) tragen hier eine Mitverantwortung: Sie müssen prüfen, ob das zugekaufte System die Konformitätsbewertung durchlaufen hat und ob eine EU-Konformitätserklärung vorliegt.


Regulatorische Überlagerung: AI Act trifft bestehende Finanzregulierung

Finanzdienstleister kämpfen nicht auf einem unbeschriebenen Blatt. Sie operieren bereits unter einem dichten Regulierungsnetz – und der AI Act fügt eine neue Schicht hinzu, ohne die bestehenden Anforderungen zu ersetzen.

AI Act + MiFID II

Wer Anlageberatung oder Portfoliomanagement mit KI-Unterstützung erbringt, muss sowohl die Geeignetheitsprüfung nach MiFID II als auch die Transparenzanforderungen des AI Act erfüllen. Konkret bedeutet das: Doppelte Dokumentationspflichten, die sorgfältig aufeinander abgestimmt werden müssen, um Lücken und Widersprüche zu vermeiden.

AI Act + Solvency II / VAG

Versicherungsunternehmen, die KI im Underwriting einsetzen, müssen die Hochrisiko-Anforderungen des AI Act in ihr bestehendes ORSA-Framework (Own Risk and Solvency Assessment) integrieren. BaFin hat signalisiert, dass sie AI-Act-Compliance zunehmend als Teil der aufsichtsrechtlichen Prüfung betrachten wird.

AI Act + DSGVO / KI-Entscheidungen

Kreditentscheidungen basieren oft auf personenbezogenen Daten. Wer hier KI einsetzt, muss nicht nur die AI-Act-Pflichten erfüllen, sondern auch eine Datenschutz-Folgenabschätzung (DSFA) durchführen – denn automatisierte Kreditentscheidungen sind klassische DSFA-Trigger.


Praxisbeispiel: Kreditvergabe in der Sparkasse

Nehmen wir ein konkretes Beispiel: Eine mittelgroße Sparkasse setzt seit 2022 ein KI-System eines deutschen FinTech-Anbieters ein, das Kreditanträge von Privatpersonen vorbewertet und eine Empfehlung (Annehmen/Ablehnen/Nachfrage) generiert. Die finale Entscheidung trifft ein Sachbearbeiter.

Was bedeutet der AI Act konkret?

PflichtStatus ohne AI-Act-VorbereitungMaßnahme
Risikomanagement-System für KINicht dokumentiertSeparates KI-Risikoregister anlegen
Technische DokumentationNur Anbieter-DokuVollständigkeit prüfen, Lücken schließen
Human-Oversight-NachweisProzessual vorhanden, aber nicht KI-spezifischSchulung der Sachbearbeiter, Nachweis dokumentieren
ProtokollierungSystemseitig vorhandenAI-Act-konforme Aufbewahrungsfristen prüfen
Transparenz gegenüber AntragstellernNur DSGVO-HinweisKI-Einsatz explizit kommunizieren
Lieferanten-KonformitätUnklarCE-Konformitätserklärung des Anbieters einholen

Allein für diesen einen Use-Case entsteht ein Compliance-Aufwand, der – je nach Vorbereitung – zwischen drei und acht Personenmonaten liegen kann. Bei Instituten mit fünf bis zehn solcher KI-Systeme summiert sich das schnell.


Die Zeitachse: Wann müssen Finanzdienstleister handeln?

Der AI Act folgt einem gestaffelten Zeitplan, der für Finanzdienstleister konkrete Fristen setzt:

  • Seit August 2024: Verbote für nicht akzeptable KI-Praktiken gelten bereits. Social Scoring durch private Unternehmen ist untersagt – relevant für Versicherer mit verhaltensbasierten Scoring-Modellen.
  • August 2025: KI-Kompetenz nach Art. 4 ist seit dem Digital Omnibus eine Empfehlung statt Pflicht. Schulungen bleiben Best Practice.
  • Dezember 2027: Vollständige Pflichten für Hochrisiko-KI-Systeme nach Annex III treten in Kraft (verschoben durch Digital Omnibus).
  • August 2028: Erweiterte Übergangsfristen für Annex-I-Systeme laufen aus (verschoben durch Digital Omnibus).

Eine detaillierte Übersicht aller relevanten Fristen bietet AI Act Zeitplan und Fristen 2025-2028. Wichtig: Der Dezember 2027 klingt weit weg, aber die Vorbereitung braucht Zeit. Wer mit der Dokumentation, den Lieferantenverträgen und den Schulungen bis dahin warten will, unterschätzt den Umsetzungsaufwand erheblich.


Die Lieferantenfrage: Was Banken von ihren KI-Anbietern verlangen müssen

Ein strukturelles Problem im Finanzsektor: Viele der kritischsten KI-Systeme stammen von Drittanbietern – FinTechs, großen Technologiekonzernen oder spezialisierten Ratingagenturen. Als Deployer bleiben Banken und Versicherungen jedoch mitverantwortlich.

Konkret bedeutet das: Finanzdienstleister müssen ihren KI-Lieferanten folgende Nachweise abverlangen:

  1. EU-Konformitätserklärung für das Hochrisiko-KI-System
  2. Technische Dokumentation (vollständig, nicht nur als Marketingunterlagen)
  3. Vertragsklauseln, die dem Betreiber ausreichende Informationen für seine eigene Compliance sichern
  4. Schulungsunterlagen für die menschliche Aufsicht
  5. Logging-Funktionalitäten, die den AI-Act-Anforderungen entsprechen

Wer diese Nachweise nicht einholt, trägt im Zweifelsfall das volle Compliance-Risiko – auch wenn der Fehler beim Anbieter liegt. Gerade kleinere Institute, die über wenig Verhandlungsmacht gegenüber großen Technologiekonzernen verfügen, sollten dieses Risiko aktiv ansprechen und gegebenenfalls auf standardisierte Vertragsklauseln pochen.


Besonderheit Versicherungen: Verhaltensbasiertes Pricing unter Druck

Versicherungsunternehmen, die mit Telematik-Tarifen, Fitness-Trackern oder verhaltensbasierten Daten arbeiten, befinden sich in einer besonders sensiblen Situation.

Das AI Act-Verbot des “Social Scoring” durch private Unternehmen greift dann, wenn Systeme über einen längeren Zeitraum Verhaltensdaten auswerten, um eine umfassende Bewertung natürlicher Personen vorzunehmen. Ob ein verhaltensbasiertes Versicherungsmodell darunter fällt, hängt von der konkreten Ausgestaltung ab – die Grenze ist noch nicht durch Aufsichtsbehörden oder Gerichte konkretisiert worden.

Empfehlung: Wer heute Telematikmethoden einsetzt oder plant, sollte die rechtliche Qualifikation durch spezialisierte Berater prüfen lassen – und zwar bevor das System in Betrieb geht.


Fazit: Der Finanzsektor muss jetzt strukturiert vorgehen

Der AI Act ist für Banken und Versicherungen kein abstraktes Zukunftsproblem. Die Hochrisiko-Klassifikation von Kredit-Scoring und Versicherungs-Underwriting-Modellen ist eindeutig. Die Fristen laufen. Und die Compliance-Pflichten – Risikomanagement, Dokumentation, Human Oversight, Lieferantenmanagement, Schulungen – erfordern strukturierte Vorbereitung, keine Ad-hoc-Reaktionen.

Die gute Nachricht: Finanzdienstleister sind Regulierung gewohnt. Wer ein funktionierendes Compliance-Framework für MiFID II, DSGVO oder Solvency II aufgebaut hat, steht nicht bei null. Aber die KI-spezifischen Anforderungen des AI Act verlangen eine eigenständige Betrachtung – und die Integration in bestehende Governance-Strukturen ist anspruchsvoll.

Wer heute den ersten Schritt macht, schafft Vorsprung. Wer wartet, riskiert nicht nur regulatorische Sanktionen, sondern auch operative Hektik kurz vor der Frist.


Nächster Schritt: Ihr kostenloser Risiko-Check

Sie wissen noch nicht, welche Ihrer KI-Systeme unter den AI Act fallen – und welche Pflichten konkret auf Sie zukommen?

eu-konform.ai bietet einen strukturierten Risiko-Check speziell für Finanzdienstleister: Welche Systeme sind betroffen? Wo stehen Sie heute? Was sind die drei wichtigsten nächsten Schritte?

→ Jetzt kostenlos Risiko-Check starten auf eu-konform.ai

Ist Ihr KI-Einsatz konform?

Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.

Jetzt prüfen