conformis
EU AI Act für Banken: Kreditscoring, Betrugserkennung und KI-Modelle unter neuem Regulierungsdruck

EU AI Act für Banken: Kreditscoring, Betrugserkennung und KI-Modelle unter neuem Regulierungsdruck

conformis

conformis

@conformis

KI in Banken war bisher weitgehend unreguliert – das ändert sich fundamental

Banken setzen seit Jahren auf KI: Kreditentscheidungen, Betrugserkennung, Geldwäscheprävention, Kundenscoring – nahezu jede kritische Funktion im modernen Finanzinstitut wird heute durch algorithmische Systeme unterstützt. Die regulatorische Aufsicht auf diese Systeme war bisher fragmentiert und lückenhaft.

Der EU AI Act beendet diesen Zustand. Ab August 2026 gelten für eine breite Kategorie von KI-Systemen im Finanzbereich verbindliche Anforderungen – mit Bußgeldern bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes bei Verstößen.

Dieser Artikel erklärt, welche KI-Systeme in Banken als hochriskant eingestuft werden, was das konkret bedeutet – und was Compliance-Teams jetzt tun müssen.

Die Risikoklassifizierung: Welche KI-Systeme sind betroffen?

Der EU AI Act unterscheidet vier Risikokategorien:

Verbotene KI-Praktiken (seit Februar 2025 wirksam): Soziales Scoring durch öffentliche Stellen, manipulative KI, biometrische Echtzeit-Überwachung in der Öffentlichkeit. Für Banken im klassischen Sinne wenig relevant – aber: KI-gestützte Kundensegmentierung, die auf persönlichkeitspsychologischen Profilen basiert, kann in diesen Bereich fallen.

Hochrisiko-KI-Systeme (Hauptkategorie für Banken, voll wirksam ab August 2026): Hier wird es für Finanzinstitute konkret. Der EU AI Act listet explizit auf:

  • Systeme zur Bonitätsbewertung und Kreditvergabeentscheidung
  • KI-gestützte Risikoeinschätzung bei Versicherungen
  • Systeme, die den Zugang zu Finanzdienstleistungen beeinflussen

Hinzu kommen, durch breite Auslegung, auch: AML-Risikoscoring-Systeme, Betrugserkennung, automatisierte Handelsüberwachung und verhaltensbasierte Risikomodelle.

Begrenzte Risiko-KI: Chatbots, KI-gestützte Dokumentenverarbeitung. Hier gelten Transparenzpflichten.

Minimales Risiko: Spam-Filter, einfache Datenanalyse. Keine spezifischen Pflichten.

Was Hochrisiko-KI konkret verlangt

Für alle KI-Systeme der Hochrisiko-Kategorie gelten ab August 2026 folgende Kernpflichten:

Risikomanagementsystem

Hochrisiko-KI-Systeme müssen über den gesamten Lebenszyklus von einem dokumentierten Risikomanagementsystem begleitet werden. Das bedeutet:

  • Risikoidentifikation und -bewertung vor Einsatz des Systems
  • Kontinuierliche Überwachung des Systems im Betrieb
  • Dokumentation aller identifizierten Risiken und ergriffener Maßnahmen
  • Regelmäßige Überprüfung bei Systemupdates oder veränderten Einsatzbedingungen

Technische Dokumentation und Aufzeichnungspflicht

Für jedes Hochrisiko-System muss eine vollständige technische Dokumentation erstellt und aktuell gehalten werden – einschließlich:

  • Zweck und Anwendungsbereich des Systems
  • Beschreibung der verwendeten Trainingsdaten und ihrer Herkunft
  • Metriken zur Systemleistung und Genauigkeit
  • Maßnahmen zur Sicherung von Cybersicherheit und Robustheit

Explainability und Transparenz

Jede KI-gestützte Entscheidung, die einen Menschen erheblich beeinflusst (z. B. Kreditablehnung), muss erklärbar sein – in einer für den Betroffenen verständlichen Weise. Das stellt Banken vor eine erhebliche technische Herausforderung: Viele eingesetzte Machine-Learning-Modelle (insbesondere Deep-Learning-Modelle) sind inhärent schwer interpretierbar (Black Box).

Mögliche Lösungsansätze: SHAP-Werte, LIME, regelbasierte Erklärungsschichten über komplexen Modellen. In jedem Fall muss die Erklärbarkeit systemseitig verankert und dokumentiert sein.

Human Oversight

Hochrisiko-KI-Systeme müssen so gestaltet sein, dass Menschen effektiv eingreifen, überwachen und wenn nötig übersteuern können. Das schließt ein:

  • Klare Eskalationswege bei ungewöhnlichen Systemausgaben
  • Schulung der Mitarbeitenden im Umgang mit KI-Empfehlungen
  • Dokumentierte Prozesse zur manuellen Überprüfung von KI-Entscheidungen

Audit-Trail und Protokollierung

Alle relevanten Entscheidungen und Ereignisse müssen protokolliert werden – automatisch und manipulationssicher. Wann hat das System welche Ausgabe produziert? Welche Datenbasis lag zugrunde? Welche menschliche Überprüfung hat stattgefunden?

Die besondere Herausforderung: KI von Drittanbietern

Viele Banken setzen nicht selbst entwickelte KI-Systeme ein, sondern Lösungen von Drittanbietern – Kreditscoring-Modelle, AML-Plattformen, automatisierte Überwachungssysteme. Der EU AI Act unterscheidet hier zwischen dem KI-Anbieter (Hersteller) und dem Anwender (Deployer).

Als Deployer haben Banken eigenständige Pflichten:

  • Sicherstellen, dass das System zweckgemäß eingesetzt wird
  • Eigenes Monitoring und Human Oversight implementieren
  • Sicherstellen, dass die Systemausgaben überprüfbar dokumentiert werden
  • Meldung schwerwiegender Vorfälle an die zuständige Behörde

Das bedeutet: Auch wer eine fertige KI-Lösung kauft, ist regulatorisch nicht aus der Pflicht.

Was Compliance-Teams jetzt tun müssen

Die gute Nachricht: Es bleibt Zeit bis August 2026 – aber die Vorbereitungsarbeiten sind substanziell.

Schritt 1: KI-Inventar erstellen Erfassen Sie alle KI-Systeme, die im Institut eingesetzt werden – intern entwickelte ebenso wie Drittanbieterlösungen. Für jedes System: Zweck, Hersteller, Einsatzbereich, Datengrundlage.

Schritt 2: Risikoklassifizierung vornehmen Bewerten Sie für jedes System, in welche Risikokategorie es fällt. Besonderes Augenmerk auf: Systeme, die Kreditentscheidungen beeinflussen, Systeme mit Auswirkung auf den Marktzugang von Kunden, Systeme im AML-Bereich.

Schritt 3: Gap-Analyse gegen Hochrisiko-Anforderungen Für alle als hochriskant eingestuften Systeme: Welche der gesetzlichen Anforderungen sind bereits erfüllt? Wo bestehen Lücken bei Dokumentation, Explainability, Human Oversight, Audit-Trail?

Schritt 4: Technische Dokumentation erstellen/vervollständigen Erstellen Sie für jedes Hochrisiko-System die gesetzlich geforderte technische Dokumentation. Diese muss vor Einsatz vollständig vorliegen.

Schritt 5: Governance-Strukturen aufbauen Definieren Sie klare Verantwortlichkeiten für die KI-Compliance im Institut. Wer ist verantwortlich für das laufende Monitoring? Wer entscheidet über den Einsatz neuer KI-Systeme?

Der Blickwinkel der BaFin

Die BaFin ist als zuständige Aufsichtsbehörde für die Überwachung des EU AI Act im deutschen Finanzsektor positioniert. Sie hat bereits signalisiert, dass KI-Governance in die reguläre Prüfungspraxis integriert wird – ähnlich wie IKT-Anforderungen durch DORA.

Besonderes Augenmerk der BaFin liegt auf dem Zusammenspiel von EU AI Act und bestehenden Anforderungen wie DORA (technische Robustheit), MaRisk (Governance) und der BaFin-eigenen Explainable AI-Guidance. Diese Regelwerke überlappen sich – und Banken müssen sicherstellen, dass ihre Systeme alle Anforderungen gleichzeitig erfüllen.

Fazit

Der EU AI Act ist kein abstraktes KI-Ethikgesetz. Er ist eine konkrete, prüfungsrelevante Regulierung mit direkter Relevanz für den Kernbetrieb jeder Bank. Kreditscoring, Betrugserkennung und AML-Systeme werden ab August 2026 nach strengen Maßstäben bewertet.

Institute, die jetzt beginnen – mit einem vollständigen KI-Inventar, einer klaren Risikoklassifizierung und dokumentierten Governance-Prozessen –, werden die Anforderungen rechtzeitig erfüllen. Institute, die warten, riskieren nicht nur Bußgelder, sondern auch den operativen Einsatz ihrer wichtigsten Systeme.

conformis unterstützt beim strukturierten Mapping der EU AI Act-Anforderungen auf bestehende Systeme und Prozesse – mit vollständiger Quellenangabe und lückenlosem Audit-Trail für jede Compliance-Aussage.

Hören Sie auf, in Regulatorik zu ertrinken.

Sehen Sie in 15 Minuten live, welche BaFin-Anforderungen Sie erfüllen – und welche nicht. Ohne Verpflichtung.

Demo buchenKostenlose Gap-Analyse starten →