KI im Finanzsektor – EBA vs. BaFin

Auswirkungen des EU-AI-Act und DORA auf die Institut

Mit dem Inkrafttreten des EU-AI-Act (Verordnung (EU) 2024/1689) und der Umsetzung des Digital Operational Resilience Act (DORA) hat sich der regulatorische Rahmen für den Einsatz von Künstlicher Intelligenz (KI) im Finanzsektor spürbar verdichtet. Zwei jüngste Veröffentlichungen der EBA und der BaFin sollen den Instituten dabei helfen dieses regulatorische Fahrwasser zu meistern.

Die EBA ordnet z.B. den Einsatz von KI-Systemen für die Bonitätsprüfung und das Credit Scoring natürlicher Personen als "hochrisikobehaftet" ein. Für diese Systeme sieht der AI-Act erhebliche Schutzmechanismen vor. Die EBA betont, dass der AI-Act mit dem bestehenden Finanzaufsichtsrecht (u.a. CRD/CRR, PSD, CCD/MCD sowie EBA-Guidelines) grundsätzlich "komplementär" ist – d.h. beide Regelwerke müssen beachtet werden. Die Institute sind gefordert, beide Rahmenwerke effektiv zu verzahnen und dabei einen Ausgleich zwischen Grundrechtsschutz und Sicherheit sowie sektoralen Zielen herzustellen.

Wichtig ist die Aufsichtskonstellation: Neben den bereits bestehenden Aufsichtsbehörden treten Marktüberwachungsbehörden für AI-Act-Konformität hinzu. Die EBA unterstreicht die Bedeutung einer abgestimmten Aufsichtspraxis und kündigt für 2026/2027 Maßnahmen zur Unterstützung der Umsetzung an – u.a. Beiträge an das AI Office und die Mitarbeit im AI-Board (Subgroup Financial Services). Darüber hinaus erwartet die Branche Leitlinien der EU-Kommission zur Klassifikation hochriskanter Anwendungsfälle bis spätestens 2. Februar 2026 sowie europäisch harmonisierte Standards.

Für Institute folgt hieraus, dass sie in der Praxis je nach Rolle AI-Act-Pflichten wie technische Dokumentation, Risikomanagement, Transparenz, Daten- und Modelldokumentation sowie menschliche Aufsicht erfüllen müssen – und diese Pflichten mit bestehenden EBA-Regelwerken zur Kreditvergabe, internen Governance und Modellvalidierung konsistent zusammenführen müssen.

KI-Systeme ermöglichen effizientere Prozesse, präzisere Risikobewertungen und innovative Services. Institute nutzen KI zur Prognose von Kundenabwanderungen, zur Analyse von Jahresabschlüssen und im Fondsmanagement. Versicherungsunternehmen setzen KI für dynamisches Pricing, Schadenmanagement und Betrugserkennung ein. Doch mit den Vorteilen steigen die Risiken: Fehlerhafte oder manipulierte Daten, Schwachstellen in Open-Source-Bibliotheken, Angriffe auf Modelle und unsichere Cloud-Integrationen. Diese Risiken können die Stabilität und Sicherheit von Finanzunternehmen erheblich beeinträchtigen.

DORA verpflichtet Finanzunternehmen, einen umfassenden IKT-Risikomanagementrahmen zu etablieren. Dieser umfasst die Identifikation, den Schutz, die Erkennung sowie die Reaktion auf IKT-Risiken. Für KI-Systeme bedeutet dies, dass sie in die bestehenden Governance- und Kontrollstrukturen integriert werden müssen. Regelmäßige Überprüfungen und Dokumentationen sind verpflichtend. Der risikobasierte Ansatz und der Grundsatz der Verhältnismäßigkeit spielen eine zentrale Rolle: Kritische KI-Anwendungen erfordern umfangreichere Sicherheitsmaßnahmen als einfache Self-Service-Assistenten.

Eine klare Governance-Struktur ist laut BaFin essenziell. Institute sollen eine KI-Strategie entwickeln, die mit der Gesamtstrategie und der Risikopolitik abgestimmt ist. Schulungen und Weiterbildungen seien notwendig, um Mitarbeitende für den sicheren Umgang mit KI-Systemen zu befähigen. Das Leitungsorgan trägt die Gesamtverantwortung für die digitale Resilienz und muss über ausreichende Kenntnisse verfügen. Darüber hinaus sind Verantwortlichkeiten klar zu definieren, insbesondere für die Nutzung von KI-generierten Ergebnissen in Entscheidungsprozessen. Interdisziplinäre Zusammenarbeit zwischen IT und Fachbereichen ist entscheidend.

Technische Maßnahmen sollen sichere Softwareentwicklung, strenges Änderungsmanagement, Versionskontrolle und Notfallprozesse umfassen. Tests wie adversarial Testing und Penetrationstests seien erforderlich, um Schwachstellen frühzeitig zu erkennen. Bei der Nutzung von Open-Source-Bibliotheken sei besondere Vorsicht geboten, um Schadcode und Sicherheitslücken zu vermeiden. Die Dokumentation aller Änderungen und die Implementierung von Backup- und Wiederherstellungsplänen seien unverzichtbar.

Da viele KI-Systeme in der Cloud betrieben werden, müssen Institute lauf BaFin auch das IKT-Drittparteienrisiko managen. Dazu gehören umfassende Risikobewertungen, klare Service Level Agreements (SLAs) und Exit-Strategien. Die Gefahr des Vendor-Lock-In sowie die Sicherstellung der Datenportabilität sind zentrale Aspekte. Verträge müssen Regelungen zur Unterauftragsvergabe enthalten, und Audit-Rechte seien sicherzustellen.

KI-Systeme seien leider auch attraktive Ziele für Cyberangriffe. Daher seien Maßnahmen wie Verschlüsselung, Zugriffskontrollen, Netzwerksegmentierung und kontinuierliche Überwachung unverzichtbar. Die Klassifizierung sensibler Daten und deren Schutz vor unbefugtem Zugriff sei ebenso wichtig wie die Implementierung eines Zero-Trust-Modells. Darüber hinaus müssten Unternehmen Prozesse zur Meldung schwerwiegender IKT-Vorfälle implementieren, um schnell reagieren zu können.

Die regulatorische Zielrichtung ist klar: KI-Systeme dürfen im Finanzsektor nur sicher, nachvollziehbar und grundrechtskonform eingesetzt werden. Der AI-Act setzt hierbei die Produkt- und Systemeebene, DORA die operative Resilienz. Für Institute entsteht kein "Entweder-oder", sondern ein "Sowohl-als-auch": Wer KI-Systeme einsetzt, muss die Konformität sicherstellen und deren Robustheit beweisen.

Es bleibt also spannend.

Ich wünsche einen guten Start in das Jahr 2026.

Mit den besten Grüßen

Ihr
Dr. Christian Waigel
Rechtsanwalt