EU AI Act im Finanzsektor: Banken, Versicherer und Kreditinstitute

Banken, Versicherer, Asset Manager und Zahlungsinstitute stehen vor EU-AI-Act-Pflichten, die auf bestehende Finanzregulierung (DORA, MiFID II, DSGVO, CRR) aufgeschichtet werden. Diese Seite erklärt, welche KI-Anwendungsfälle hochriskant sind, wie Sektorregulatoren mit dem AI Act interagieren und was Finanzinstitute zur Konformität tun müssen.

Der AI Act kommt ins Finanzwesen

Finanzinstitute — Banken, Versicherer, Asset Manager, Zahlungsanbieter, Kreditbüros — sind unter den intensivsten KI-Nutzern in Europa. Kreditwürdigkeitsprüfung, Betrugserkennung, algorithmischer Handel, Kunden-Risikoprofilierung, Versicherungs-Underwriting, Automatisierung der Regulierungsberichterstattung und AML/KYC-Screening basieren alle auf KI-Systemen, die dem EU AI Act unterliegen können.

Für Finanzinstitute kommt der EU AI Act nicht isoliert. Er schichtet sich auf einen bereits dichten regulatorischen Stapel: DORA (digitale Resilienz), MiFID II (Wertpapierdienstleistungen), DSGVO (Datenschutz), CRR/CRD (Eigenkapitalanforderungen), Solvency II (Versicherung), PSD2/PSD3 (Zahlungsdienste) und sektorale EBA-, EIOPA- und ESMA-Leitlinien. Zu verstehen, wie der AI Act mit — und manchmal in Konflikt mit — bestehender Finanzregulierung integriert, ist für eine effiziente Konformität unerlässlich.

Welche KI-Anwendungsfälle sind im Finanzbereich hochriskant?

Anhang III des EU AI Act identifiziert Anwendungsfälle, die automatisch hochriskant sind. Im Finanzsektor sind die am direktesten relevanten:

Kategorie 5(b): Kreditwürdigkeitsbewertung

Hochriskant. KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Klassifizierung natürlicher Personen hinsichtlich des Kreditrisikos sind ausdrücklich aufgeführt. Dies umfasst:

Automatisierte Kreditwürdigkeitsprüfung für Verbraucherkredite, persönliche Überziehungskredite, Kreditkarten und Hypotheken
Modelle, die die Rückzahlungswahrscheinlichkeit, das Ausfallrisiko oder die Schuldenkapazität einzelner Verbraucher bewerten
KI-Systeme, die Kreditlimits oder Kreditbeträge auf Grundlage individueller Risikobewertung empfehlen

Nicht automatisch erfasst: Unternehmenskreditmodelle, die juristische Personen statt natürliche Personen bewerten, obwohl diese je nach Einsatz Art.-50-Transparenzpflichten auslösen können.

Kategorie 5(b): Versicherungsprämien- und Deckungsentscheidungen

Hochriskant, wenn natürliche Personen erheblich betroffen sind. KI-Systeme, die Entscheidungen treffen oder stark beeinflussen über:

Versicherungsdeckung (Annahme oder Ablehnung von Antragstellern)
Prämienniveaus (versicherungsmathematische Modelle, die individuelle Prämien festlegen)
Schadenbeurteilung und -regulierung (automatisierte Schadenbearbeitung)

Kfz-Versicherungspreismodelle, Krankenversicherungs-Underwriting und Sachversicherungsmodelle für Haushalte sind direkt im Anwendungsbereich. Der bestimmende Faktor ist, ob das KI-System eine Entscheidung trifft oder erheblich beeinflusst, die den Zugang einer natürlichen Person zu einem wesentlichen privaten Dienst wesentlich betrifft.

Kategorie 1: Biometrische Identifizierung

Hochriskant. KI-Systeme, die verwendet werden für:

Biometrische Fernidentifizierung von Kunden (KYC-Video-Verifikation, kontinuierliche Authentifizierung)
Biometrische Kategorisierung, wo sie die Risikoklassifizierung oder den Dienst-Zugang beeinflusst

Biometrische Echtzeit-Identifizierung in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken ist nach Art. 5 verboten. Kommerzielle Identitätsprüfungssysteme mit Gesichtserkennung für KYC unterliegen hochriskanten Anforderungen, sind aber nicht verboten.

Kategorie 6: AML/KYC und Strafverfolgungsnahe

KI-Systeme, die von Finanzinstituten zur Unterstützung von AML/KYC-Screening, Sanktionsfilterung oder Transaktionsüberwachung verwendet werden, wo das Ergebnis an die Strafverfolgung gemeldet oder von ihr verwendet wird, können in Anhang-III-Kategorie 6 (Strafverfolgung) fallen. Dazu gehören:

KI-generierte Verdachtsmeldungen (SARs), die an FIUs übermittelt werden
Automatisierte PEP-Screening-Systeme (politisch exponierte Personen)

Systeme, die ausschließlich für das interne Risikomanagement ohne Strafverfolgungsoutput verwendet werden, sind weniger wahrscheinlich als hochriskant nach Kategorie 6 einzustufen, obwohl andere Kategorien gelten können.

Was hochriskante KI-Pflichten für Finanzinstitute bedeuten

Wenn ein von einem Finanzinstitut verwendetes KI-System nach Anhang III hochriskant ist, unterscheiden sich die Pflichten je nachdem, ob die Institution Anbieter (hat das System gebaut) oder Betreiber (hat es gekauft oder lizenziert) ist.

Wenn Sie der Anbieter sind (haben das System gebaut)

Risikomanagementsystem (Art. 9): Einen dokumentierten Risikomanagementprozess einrichten und aufrechterhalten, der iterativ über den Systemlebenszyklus verläuft
Daten-Governance (Art. 10): Trainings-, Validierungs- und Testdaten müssen Governance-Praktiken unterliegen, die Relevanz, Repräsentativität und Bias-Bewertung abdecken
Technische Dokumentation (Anhang IV): Vollständige technische Akte einschließlich Systembeschreibung, Architektur, Trainingsansatz, Leistungsmetriken und Marktüberwachungsplan
Transparenz (Art. 13): Gebrauchsanweisungen, die Betreibern ermöglichen, Fähigkeiten, Einschränkungen und Aufsichtsanforderungen zu verstehen
Menschliche Aufsicht (Art. 14): Designmaßnahmen, die menschliche Aufsicht und Eingriff ermöglichen
Genauigkeit, Robustheit, Cybersicherheit (Art. 15): Nachgewiesene Leistungsniveaus und Widerstandsfähigkeit
Konformitätsbewertung: Selbstbewertung (Anhang VI) für die meisten Anhang-III-Systeme oder benannte Stellenbewertung für biometrische Systeme
CE-Kennzeichnung und EU-Konformitätserklärung
Registrierung in der EU-KI-Datenbank
Marktüberwachung (Art. 72): Aktives System zur Erfassung von Echtzeit-Leistungsdaten und Vorfallmeldung

Wenn Sie der Betreiber sind (haben das System gekauft/lizenziert)

Einhaltung der Anweisungen: Das System strikt gemäß den Anweisungen des Anbieters verwenden
Menschliche Aufsicht: Qualifiziertes Personal benennen, um Aufsicht mit angemessener Autorität und Ressourcen durchzuführen
Eingabedatenqualität: Sicherstellen, dass Eingabedaten für den spezifischen Einsatzkontext relevant und repräsentativ sind
Protokollaufbewahrung: Automatische Protokolle für den erforderlichen Zeitraum aktivieren und aufbewahren
Vorfallmeldung: Schwerwiegende Vorfälle dem Anbieter und in einigen Fällen direkt den Behörden melden
Grundrechte-Folgenabschätzung (Art. 27): Für öffentliche Stellen erforderlich; für private Betreiber in sensiblen Kontexten empfohlen

Interaktion mit DORA

Der Digital Operational Resilience Act (DORA) trat im Januar 2025 in Anwendung und legt Finanzinstituten umfassende IKT-Risikomanagementanforderungen auf — einschließlich KI-Systeme als IKT-Komponenten.

Wichtige Interaktionspunkte:

IKT-Risikomanagement-Rahmen

DORA verpflichtet Finanzinstitute, einen IKT-Risikomanagementrahmen zu unterhalten, der Identifizierung, Schutz, Erkennung, Reaktion und Wiederherstellung abdeckt. KI-Systeme sind IKT-Tools, die diesem Rahmen unterliegen. Der EU AI Act fügt KI-spezifische Anforderungen hinzu: Bias-Tests, Transparenzdokumentation, Design der menschlichen Aufsicht und Lebenszyklusmanagement.

In der Praxis: Ein KI-Kreditwürdigkeitsmodell einer Bank muss sowohl DORA-IKT-Risikomanagement (Vorfallerkennung, Kontinuitätsplanung, Änderungsmanagement) als auch EU-AI-Act-Hochrisikoanforderungen (Risikomanagementsystem, technische Dokumentation, Marktüberwachung) einhalten.

Drittparteienrisiko (IKT-Drittanbieter)

DORA legt detaillierte Anforderungen für das Management von IKT-Drittanbietern fest — einschließlich vertraglicher Anforderungen, Prüfungsrechte und Aufsicht über kritische Anbieter. Wenn ein Finanzinstitut ein Drittanbieter-KI-System verwendet (z. B. ein Anbieter-Kreditwürdigkeitsmodell), gelten DORA's Drittparteienrisikomanagementanforderungen für diesen Anbieter.

Die Betreiberpflichten des EU AI Act gelten ebenfalls — verpflichten den Anbieter, Anweisungen, Konformitätsdokumentation und Protokollierungsfähigkeit bereitzustellen. Finanzinstitute sollten sicherstellen, dass ihre Drittanbieter-KI-Anbieterverträge sowohl DORA-IKT-Anbieteranforderungen als auch EU-AI-Act-Betreiber-Informationsrechte erfüllen.

Vorfallmeldung

DORA hat sein eigenes Vorfallmelderahmenwerk für bedeutende IKT-bezogene Vorfälle, die sektoralen Aufsichtsbehörden (EBA, EIOPA, ESMA) gemeldet werden. Der EU AI Act verpflichtet zur Meldung schwerwiegender Vorfälle bei hochriskanten KI-Systemen an nationale Marktüberwachungsbehörden.

Dies sind separate Meldepflichten an unterschiedliche Behörden. Ein schwerwiegender Vorfall mit einem KI-Kreditwürdigkeitssystem könnte sowohl einen DORA-Vorfallbericht (an EBA/nationale Finanzaufsichtsbehörde) als auch einen EU-AI-Act-Vorfallbericht (an die Marktüberwachungsbehörde) auslösen.

Sektorale Aufsichtsbehörden und AI-Act-Durchsetzung

Für Finanzinstitute haben die sektoralen Finanzaufsichtsbehörden — EBA (Banken), EIOPA (Versicherungen), ESMA (Wertpapiere und Märkte) — eine spezifische Rolle bei der AI-Act-Umsetzung, obwohl sie nicht die primäre AI-Act-Durchsetzungsbehörde sind.

Nach dem AI Act müssen Finanzinstitute, die Anbieter hochriskanter KI-Systeme sind, in der EU-KI-Datenbank registrieren. Im Finanzsektor kann die zuständige Finanzaufsichtsbehörde als oder in Zusammenarbeit mit der nationalen Marktüberwachungsbehörde, die für die AI-Act-Aufsicht dieses Sektors zuständig ist, designiert werden.

Die Europäischen Aufsichtsbehörden (ESAs) waren aktiv bei:

Veröffentlichung von Leitlinien zur KI-Governance in Finanzdienstleistungen (EBA-Leitlinien zur internen Governance, ML/KI im Kreditrisiko)
Beiträgen zu EU-AI-Act-Umsetzungsleitlinien für den Finanzsektor
Koordinierung mit dem EU-KI-Büro zur GPAI-Modell-Aufsicht, wie sie Finanzdienstleistungen betrifft

Praktische Compliance-Prioritäten für Finanzinstitute

Alle verwendeten KI-Systeme inventarisieren — jedes gegen Anhang-III-Kriterien klassifizieren. Kreditwürdigkeits-, Versicherungspreisgestaltungs- und biometrische/KYC-Systeme priorisieren.
Anbieter- vs. Betreiberstatus für jedes System bestimmen — verwenden Sie Anbieter-Modelle oder bauen Sie inhouse?
KI-Governance mit dem DORA-IKT-Risikorahmen abstimmen — AI-Act-Pflichten in die bestehende DORA-Governance-Struktur integrieren, um doppelte Prozesse zu vermeiden.
Drittanbieter-KI-Anbieterverträge überprüfen — sicherstellen, dass Verträge Folgendes bieten: Konformitätsdokumentation, Gebrauchsanweisungen, Protokollierungszugang, Vorfallmeldungsverpflichtungen, Aktualisierungspflichten und Prüfungsrechte.
Menschliche Aufsichtsmechanismen etablieren — für hochriskante KI-Anwendungsfälle sicherstellen, dass qualifiziertes Personal die Autorität, Tools und Zeit hat, KI-Ausgaben sinnvoll zu überprüfen, bevor folgenreiche Entscheidungen getroffen werden.
Mit der Marktüberwachung verbinden — bestehende Modell-Risikomanagement-Prozesse (Basel Modell-Validierung, DORA Änderungsmanagement) auf die Art.-72-Marktüberwachungsanforderungen ausweiten.
Für die EU-KI-Datenbank vorbereiten — wenn Sie Anbieter hochriskanter KI-Systeme sind, ist die Registrierung obligatorisch. Wenn Sie eine öffentliche Stelle als Betreiber sind, kann die Registrierung ebenfalls erforderlich sein.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Unterliegen Kreditwürdigkeitsmodelle den hochriskanten Anforderungen des EU AI Act?

Ja. KI-Systeme zur Kreditwürdigkeitsbewertung — zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Bewertung von Kreditrisiken — sind in Anhang III, Kategorie 5(b) ausdrücklich als hochriskant aufgeführt. Dies umfasst die automatisierte Kreditwürdigkeitsprüfung für Verbraucherkredite, Hypotheken, Kreditkarten und Überziehungskredite. Systeme, die ausschließlich für die Unternehmenskreditbewertung verwendet werden, sind möglicherweise nicht im Anwendungsbereich, aber Systeme, die die Bewertung einzelner natürlicher Personen beinhalten, sind eindeutig erfasst.

Wie interagiert DORA mit dem EU AI Act für Finanzinstitute?

DORA (Digital Operational Resilience Act) und der EU AI Act haben überlappende, aber unterschiedliche Anwendungsbereiche. DORA deckt das IKT-Risikomanagement umfassend ab — einschließlich KI-Systeme als IKT-Tools — mit Anforderungen an Vorfallmeldung, Resilienztests und Drittparteienrisikomanagement. Der EU AI Act fügt spezifische KI-Pflichten (Bias-Tests, Transparenz, menschliche Aufsicht, Marktüberwachung) für hochriskante KI-Anwendungsfälle hinzu. Für Finanzinstitute erfordert die Konformität die Erfüllung beider Rahmen — DORA befreit Institutionen nicht von AI-Act-Pflichten, und der AI Act ersetzt DORA-IKT-Risikoanforderungen nicht.

Fallen KI-Systeme zur Betrugserkennung unter die hochriskanten Anforderungen des EU AI Act?

Es hängt vom Anwendungsfall ab. KI-Systeme zur Echtzeit-Transaktions-Betrugserkennung — bei denen die KI verdächtige Transaktionen zur menschlichen Überprüfung markiert oder automatisch blockiert — sind nicht automatisch hochriskant nach Anhang III. Wenn das System jedoch Entscheidungen trifft oder stark beeinflusst, die Einzelpersonen erheblich betreffen (z. B. Kontosperrung, Kreditlimitreduzierung, Versicherungsschadenablehnung), kann der Anwendungsfall in Anhang-III-Kategorie 5 (Zugang zu wesentlichen Diensten) fallen. Rechtssicherheit hängt von regulatorischen Leitlinien und dem spezifischen Einsatz ab.

Sind KI-Systeme für Versicherungspreisgestaltung und Underwriting hochriskant?

Versicherungspreisgestaltungs- und Underwriting-KI-Systeme, die Entscheidungen über Deckung, Prämienniveaus oder Schadenregulierung für natürliche Personen treffen oder stark beeinflussen, fallen wahrscheinlich in Anhang-III-Kategorie 5 (Zugang zu wesentlichen privaten Diensten). Dies umfasst Kfz-, Kranken- und Sachversicherungspreismodelle für Haushalte. Jeder Anwendungsfall muss individuell gegen die Anhang-III-Kriterien bewertet werden.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.