Pflichten der EU-KI-Verordnung für Banken, Kreditinstitute und Fintech-Unternehmen. KI-Kreditscoring, AML-Systeme, algorithmischer Handel, DORA-Überschneidungen und EBA-Leitlinien.
Warum der Bankensektor besonders stark von der EU-KI-Verordnung betroffen ist
Der Bank- und Finanzdienstleistungssektor steht an der Schnittstelle zwischen den strengsten Pflichten der EU-KI-Verordnung und dem komplexesten Regulierungsumfeld in der EU. Finanzinstitute gehören zu den größten KI-Anwendern in Europa — in der Kreditvergabe, Betrugserkennung, AML/CFT-Prüfung, Sorgfaltspflicht gegenüber Kunden, im algorithmischen Handel und in der Vermögensverwaltung. Die EU-KI-Verordnung zielt durch Anhang III direkt auf die folgenreichsten dieser Anwendungsfälle ab und klassifiziert mehrere finanzielle KI-Anwendungen per definitionem als Hochrisiko.
Das Bankwesen unterliegt zudem einem dichten, bereits bestehenden Regulierungsrahmen: DORA, MiFID II, CRD IV/CRR, AML-Richtlinien, DSGVO und BCBS 239. Die EU-KI-Verordnung ersetzt diese Rahmenwerke nicht — sie ergänzt sie. Für ein Kreditinstitut löst der Einsatz eines KI-basierten Kreditscoring-Modells gleichzeitig Pflichten aus dem KI-Gesetz (Anhang III, Art. 9–16), aus DORA (IKT-Risikomanagement) und aus den Modellrisikorichtlinien der EBA aus.
Hochrisiko-KI-Anwendungsfälle im Bankwesen gemäß Anhang III
Anhang III, Kategorie 5(b) listet ausdrücklich KI auf, die zur Bewertung der Kreditwürdigkeit oder zum Kreditscoring natürlicher Personen eingesetzt wird, sowie KI zur Beurteilung des Kreditrisikos juristischer Personen, bei der KI das Ergebnis bestimmt oder wesentlich beeinflusst. Dies erfasst eine breite Palette von KI-Anwendungen im Finanzbereich.
Kreditscoring- und Underwriting-Modelle — automatisierte Systeme, die die Kreditfähigkeit, Kreditlimiten oder Zinssätze für Privat- und KMU-Kunden bestimmen — sind Hochrisiko-KI gemäß Art. 6(2) in Verbindung mit Anhang III. Banken, die als Anbieter dieser Systeme auftreten, müssen Konformitätsbewertungen abschließen, technische Dokumentation gemäß Art. 11 erstellen, Risikomanagementsysteme gemäß Art. 9 implementieren, Mechanismen zur menschlichen Aufsicht gemäß Art. 14 sicherstellen und das System vor der Inbetriebnahme in der Datenbank der EU-KI-Verordnung (Art. 71) registrieren.
AML- und Betrugserkenungssysteme zeigen ein differenzierteres Bild. Systeme, die Sanktionsscreenings, Transaktionsüberwachung oder Verhaltensanalysen zur Kennzeichnung verdächtiger Aktivitäten anwenden, betreffen im Allgemeinen Finanzinstitute, anstatt direkt Ergebnisse für Einzelpersonen zu bestimmen. Wenn der KI-Output die primäre Grundlage für nachteilige Maßnahmen gegen einen Kunden bildet (Kontosperrung, Dienstverweigerung), kann die Hochrisikoeinstufung gemäß Anhang III Kat. 5(b) oder Kat. 6 (Strafverfolgung) ausgelöst werden, je nach der Rolle der nationalen Behörde. Banken müssen eine sorgfältige Klassifizierungsanalyse durchführen.
GPAI-basierte Werkzeuge — große Sprachmodelle für den Kundenservice, die Dokumentenverarbeitung oder die Investitionsanalyse — unterliegen den Transparenzanforderungen gemäß Art. 50 (Offenlegung, dass Nutzer mit KI interagieren) und, wenn der Modellanbieter ein systemisches Risiko aufweist, den Pflichten gemäß Art. 55.
Anbieter- vs. Betreiberpflichten für Banken
Banken können als Anbieter (die ihre eigenen KI-Modelle entwickeln), als Betreiber (die KI-Systeme von Dritten verwenden) oder als beides auftreten. Die Unterscheidung bestimmt das Pflichtenprofil:
| Rolle | Rechtsgrundlage | Wesentliche Anforderungen |
|---|---|---|
| Anbieter | Art. 9–17 | Konformitätsbewertung, technische Dokumentation, QMS, Registrierung |
| Betreiber | Art. 26 | System überwachen, menschliche Aufsicht sicherstellen, Protokolle führen, Nutzer informieren |
| Beides | Art. 9–17 + Art. 26 | Vollständige Anbieterpflichten + Betreiberüberwachungspflichten |
Banken, die Kreditscoring-KI von einem Fintech-Anbieter erwerben, handeln als Betreiber gemäß Art. 26. Sie müssen sicherstellen, dass der Anbieter die Konformitätsbewertung abgeschlossen hat, menschliche Überprüfung in nachteilige Entscheidungsprozesse integrieren, Nutzungsprotokolle 10 Jahre lang aufbewahren (Art. 26(6)) und gewährleisten, dass KI-Entscheidungen betroffenen Personen gemäß DSGVO Art. 22 und Art. 13 der EU-KI-Verordnung erläutert werden.
Überschneidungen mit Sektorregulierung: DORA, MiFID II und Solvency II
DORA (Verordnung 2022/2554) gilt für Banken, Wertpapierfirmen, Versicherungsunternehmen und IKT-Drittanbieter. Für KI im Besonderen verlangt DORA:
- KI-Systeme werden als IKT-Systeme behandelt, die Risikomanagementrahmen unterliegen (Art. 6 DORA)
- Klassifizierung und Meldung IKT-bezogener Vorfälle — KI-Ausfälle können wesentliche IKT-Vorfälle darstellen
- Resilienztests kritischer IKT-Systeme — KI-Modelle eingeschlossen, sofern sie für den Betrieb wesentlich sind
- Drittanbieter-Risikomanagement, das KI-Lieferantenverträge, Ausstiegsstrategien und Prüfrechte abdeckt
MiFID II (Richtlinie über Märkte für Finanzinstrumente) gilt für den algorithmischen Handel und die Anlageberatung. KI-generierte Anlageempfehlungen lösen Anforderungen zur Eignungsprüfung aus; algorithmische Handelssysteme erfordern Vorhandelskontrolle, Kill-Switches und behördliche Meldung.
EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement (EBA/GL/2019/04, aktualisiert 2022) schreiben eine Technologierisiko-Governance vor, die KI-Modelle, Anforderungen an die betriebliche Kontinuität und die Unabhängigkeit der Modellvalidierung umfasst. Diese stimmen weitgehend mit den Risikomanagementanforderungen gemäß Art. 9 der EU-KI-Verordnung überein.
Durchsetzungsbehörden
Die Durchsetzung der EU-KI-Verordnung für Bank-KI erfolgt über eine zweistufige Behördenstruktur:
Nationale zuständige Behörden (NCA), die von jedem Mitgliedstaat gemäß Art. 70 benannt werden, sind die primären Durchsetzungsstellen des KI-Gesetzes. Sie können Marktüberwachung durchführen, technische Dokumentation anfordern und Bußgelder verhängen (bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes gemäß Art. 99).
Die Europäische Bankenaufsichtsbehörde (EBA) koordiniert die sektorspezifische KI-Aufsicht im gesamten Bankenunion, stellt technische Standards zum IKT-Risiko bereit und gibt Leitlinien heraus, die die nationalen Aufsichtserwartungen prägen. Die EBA nimmt auch an dem gemäß Art. 65 eingerichteten Europäischen KI-Ausschuss teil.
EZB und nationale Aufsichtsbehörden können im Rahmen von SREP-Beurteilungen (Supervisory Review and Evaluation Process) gemäß CRD IV KI-Modelldokumentation anfordern, wenn KI wesentliche Kredit- oder operationelle Risikoentscheidungen trifft.
Compliance-Fahrplan für Banken
Sofortmaßnahmen (jetzt → August 2026): Compliance-Prüfung für Verbote abschließen — alle KI-Systeme auf nach Art. 5 verbotene Praktiken überprüfen, einschließlich Social Scoring und biometrischer Echtzeit-Identifikation in öffentlichen Räumen. Diese Verbote gelten für neue Verträge sofort.
Q3 2026 — Hochrisiko-Klassifizierungsaudit: Alle eingesetzten und in Entwicklung befindlichen KI-Systeme gegen Anhang III abgleichen, insbesondere die Kategorien 5(b) und 5(c). Klassifizierungsbegründung dokumentieren. Rechts- und Compliance-Abteilung zur Beurteilung der DORA-Überschneidung einbeziehen.
Q4 2026 — Anbieterpflichten für interne KI: Für intern entwickelte Kreditscoring- und Underwriting-Modelle Konformitätsbewertungsverfahren einleiten, technische Dokumentation gemäß Anhang IV erstellen und QMS gemäß Art. 17 implementieren.
2027 — Betreiberpflichten für Drittanbieter-KI: Alle KI-Lieferantenverträge auf Konformität mit der EU-KI-Verordnung prüfen. Anbieter zur Vorlage von Konformitätserklärungen und Registrierungsnummern verpflichten. Datenverarbeitungsvereinbarungen aktualisieren, um die Protokollierungspflichten gemäß Art. 26 widerzuspiegeln.
August 2027 — GPAI-Pflichten in Kraft: Sicherstellen, dass alle von Drittanbietern stammenden LLMs und Basismodelle, die in Bankanwendungen eingesetzt werden, Art. 51–55 entsprechen. Überprüfen, ob Anbieter Transparenzdokumentation gemäß Art. 53 veröffentlicht haben.
Dezember 2027 — Frist für Hochrisiko-KI: Vollständige Compliance für alle Hochrisiko-KI-Systeme gemäß Anhang III erforderlich. Registrierung in der Datenbank der EU-KI-Verordnung, funktionsfähige Mechanismen zur menschlichen Aufsicht und Pläne zur Marktbeobachtung nach dem Inverkehrbringen gemäß Art. 72 sicherstellen.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Banken unterliegen den Pflichten der EU-KI-Verordnung vor allem durch die Kategorien 5(b) und 5(c) des Anhangs III: KI zur Bewertung der Kreditwürdigkeit und zum Kreditscoring sowie KI zur Risikoübernahme in der Lebens- und Krankenversicherung. Diese werden als Hochrisiko-KI-Systeme eingestuft und erfordern Konformitätsbewertungen, technische Dokumentation, Mechanismen zur menschlichen Aufsicht und eine Registrierung in der Datenbank der EU-KI-Verordnung. Darüber hinaus können Banken, die KI zur Geldwäscheprävention (AML), zur Betrugserkennung oder zur Sorgfaltspflicht gegenüber Kunden einsetzen, je nach Funktion des Systems und den davon beeinflussten Entscheidungen unter Anhang III fallen.
DORA (Digital Operational Resilience Act, Verordnung 2022/2554) und die EU-KI-Verordnung schaffen überlappende, aber unterschiedliche Pflichten. DORA verpflichtet Finanzunternehmen zum IKT-Risikomanagement, zur Durchführung von Resilienztests und zur Aufrechterhaltung der Fähigkeit zur Meldung von Vorfällen — dies gilt für KI-Systeme als IKT-Werkzeuge. Die EU-KI-Verordnung ergänzt dies um Anforderungen zur Risikoklassifizierung, Konformitätsbewertung, Transparenz und menschlichen Aufsicht speziell für KI-Systeme. Ein Kreditinstitut, das ein KI-gestütztes Kreditscoring-System betreibt, muss sowohl den IKT-Risikomanagementrahmen von DORA als auch die Hochrisiko-KI-Anforderungen der EU-KI-Verordnung erfüllen. Die IKT- und Sicherheitsrisikomanagement-Leitlinien der EBA gelten parallel dazu.
Algorithmische Handelssysteme sind in Anhang III nicht ausdrücklich aufgeführt und gelten daher nicht automatisch als Hochrisiko-KI im Sinne der EU-KI-Verordnung. Wenn ein Handelsalgorithmus jedoch als Bestandteil einer Kreditwürdigkeitsprüfung eingesetzt wird oder den Zugang zu Finanzdienstleistungen in einer Weise beeinflusst, die Einzelpersonen betrifft, kann er in den Anwendungsbereich von Anhang III fallen. Die MiFID-II-Anforderungen für den algorithmischen Handel — einschließlich Kill-Switches, Systemtests und Prüfpfaden — bleiben vollständig anwendbar. Die Transparenzanforderungen gemäß Art. 50 der EU-KI-Verordnung gelten für KI, die mit natürlichen Personen interagiert, und die GPAI-Modellpflichten gemäß Art. 51 gelten für große Sprachmodelle, die in Handels- oder Analyseplattformen eingesetzt werden.
Die Europäische Bankenaufsichtsbehörde (EBA) hat Leitlinien zur internen Governance (EBA/GL/2021/05) und zum IKT-Risikomanagement veröffentlicht, die die KI-Governance-Erwartungen an Banken unmittelbar prägen. Zu den wesentlichen Anforderungen gehören die Verantwortlichkeit auf Vorstandsebene für die KI-Strategie, die unabhängige Validierung von KI-Modellen im Kreditrisikomanagement, Rahmenwerke für operationelle Risiken, die KI-Ausfälle abdecken, sowie Anforderungen an die Erklärbarkeit von KI-Systemen, die Kreditentscheidungen beeinflussen. Die EBA-Konsultationen zu maschinellem Lernen für IRB-Modelle legen quantitative Standards für Modellvalidierung, Datenqualität und Leistungsüberwachung fest, die eng mit den Risikomanagementanforderungen gemäß Art. 9 der EU-KI-Verordnung übereinstimmen.
Ja, grundsätzlich — die EU-KI-Verordnung gilt unabhängig von der Unternehmensgröße. Art. 9(5) schreibt jedoch vor, dass Risikomanagementsysteme verhältnismäßig zur Größe und Art des Anbieters oder Betreibers sein müssen. Die KMU- und Startup-Regelungen gemäß Art. 55 und Art. 57 bis Art. 63 ermöglichen den Zugang zu regulatorischen Sandboxes, die von nationalen zuständigen Behörden betrieben werden, und verringern so die Hürden für Compliance-Tests. Der EBA Innovation Hub und das European Forum for Innovation Facilitators (EFIF) bieten Fintech-Unternehmen zusätzliche Unterstützung bei der Navigation durch die KI-Regulierung.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.