Die KI-Verordnung im Finanzsektor

Für Finanzentscheider ergibt sich zwangsläufig die Frage, welche Bedeutung die wichtigste Regulatorik im Zusammenhang mit Künstlicher Intelligenz (KI) – die europäische KI-Verordnung (KI-VO) – für ihre Geschäftsaktivitäten hat. Die KI-VO unterscheidet risikobasiert zwischen verbotenen und hoch-, begrenzt und minimal-riskanten KI-Anwendungen. Je nach Intensität des Risikos der Anwendung gelten strengere oder mildere Anforderungen unter der KI-VO.

Die KI-VO ist zum 1. August 2024 in Kraft getreten und findet abgestuft bis August 2026 Anwendung. Seit Februar 2025 gelten Verbote für KI-Systeme mit inakzeptablem Risiko sowie Pflichten für das KI-Training von Mitarbeitenden, seit August 2025 greifen Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck und ab August 2026 werden die meisten restlichen Bestimmungen, insbesondere für Hochrisiko-KI-Systeme, wirksam. Trotzdem empfiehlt es sich, bereits jetzt Vorkehrungen zu treffen, um mit Geltungsbeginn der einzelnen Pflichten die erforderliche Compliance zu gewährleisten.

Hochrisiko-System bei Krediten

Für den Finanzsektor relevant ist besonders die Einstufung von Systemen als Hochrisiko-KI, die zur Erstellung von Kredit-Scores für natürliche Personen eingesetzt werden (mit Ausnahme von Anwendungen zur Betrugsprävention). Wenn ein KI-System für diese Zwecke verwendet werden soll, muss eine Reihe von Vorgaben erfüllt werden. Zu den wichtigsten Pflichten beim Einsatz von Hochrisiko-Systemen zählen unter anderem die Einführung menschlicher Aufsicht über das KI-System (ein „human-in-the-loop“) sowie die Einführung und Aufrechterhaltung eines Risikomanagementsystems.

Die KI-VO will dabei Doppelbelastungen vermeiden: Pflichten, etwa zur Dokumentation und zum Risikomanagement, die bereits unter bestehenden bankaufsichtsrechtlichen Prozessen zum Beispiel aus dem Wertpapierhandelsgesetz (WpHG) oder dem Wertpapierinstitutsgesetz (WpIG) bestehen, können mit den Prozessen unter der KI-VO kombiniert werden.

Transparenz ist Pflicht

Neben den Anwendungsfällen im Hochrisiko-Bereich wird im Finanzsektor auch verbreitet generative KI – oft in Form von Chatbots – für Zwecke wie etwa Textzusammenfassungen oder die Erstellung von Entwürfen genutzt. Bei diesen „KI-Systemen mit allgemeinem Verwendungszweck“ (GPAI) bestehen Transparenzpflichten. Sollten zum Beispiel Pressemitteilungen zu Angelegenheiten von öffentlichem Interesse durch KI generiert werden, muss auf den KI-Ursprung hingewiesen werden. Training, Fine-Tuning und Risikokontrollen sind zudem zu dokumentieren und Lieferanten vertragsrechtlich einzubinden.

Andere für den Finanzsektor relevante Systeme fallen hingegen trotz an sich KI-typischer Lern- und Prognosefähigkeiten nicht unter den Begriff der „KI“ im Sinne der KI-VO. Nach den im Februar 2025 veröffentlichten Leitlinien der EU-Kommission zur KI-Definition handelt es sich beispielsweise bei Systemen, die für Finanzprognosen (einfaches Benchmarking) genutzt werden, nicht um KI im Sinne der Verordnung, da ihre Leistungen auch durch einfache statistische Lernregeln erbracht werden könnten und es solchen Systemen somit an Komplexität fehle.

Die KI-VO ist kein reines IT-Projekt. Wer 2025 Klarheit über Use Cases, Datenströme und Aufsichtsprozesse schafft, minimiert Risiken, wenn das Regelwerk scharfgeschaltet wird.