KI-Verordnung für Finanzdienstleister: Compliance für Banken, Versicherungen und Steuerberater
Kurz zusammengefasst: Der Finanzsektor gehört zu den am stärksten von der KI-Verordnung (VO (EU) 2024/1689) betroffenen Branchen. KI-Systeme zur Kreditwürdigkeitsprüfung sind explizit als Hochrisiko eingestuft [Anhang III Nr. 5 lit. b KI-VO]. Auch KI in der Betrugserkennung, bei Robo-Advisors und in der Versicherungstarifierung unterliegt besonderen Pflichten. Hinzu kommt die Überschneidung mit MiFID II, MaRisk und den BaFin-Erwartungen an KI. Dieser Leitfaden zeigt, was Banken, Versicherungen und Steuerberater konkret umsetzen müssen.
KI im Finanzsektor: Wo wird sie eingesetzt?
Kaum eine Branche hat KI so schnell adoptiert wie der Finanzsektor. Von der Kreditvergabe über die Schadensbewertung bis zur Steuerberatung -- KI verändert Prozesse fundamental. Die BaFin hat bereits 2024 in ihrem Rundschreiben zu „Big Data und KI" klargestellt, dass die Nutzung von KI-Systemen besondere Sorgfaltspflichten auslöst.
Typische KI-Anwendungen im Finanzbereich:
- Kreditwürdigkeitsprüfung (Scoring): KI bewertet die Bonität von Antragstellern anhand historischer Daten, Zahlungsverhalten, Kontobewegungen
- Betrugserkennung (Fraud Detection): KI erkennt in Echtzeit ungewöhnliche Transaktionsmuster bei Kreditkarten, Überweisungen, Versicherungsschäden
- Robo-Advisory: Automatisierte Anlageberatung basierend auf Risikoprofil und Marktdaten
- Versicherungstarifierung: KI berechnet individuelle Prämien basierend auf Risikofaktoren
- KI in der Buchhaltung: Automatische Belegerfassung, Kontierung, Steuererklärungsassistenz
- Kundenkommunikation: Chatbots, automatisierte Beratung, KI-generierte Korrespondenz
- AML/KYC: Anti-Geldwäsche-Prüfung und Know-Your-Customer-Verfahren mit KI-Unterstützung
Hochrisiko-Einstufung: Was der AI Act für Finanzdienstleister bedeutet
Die KI-Verordnung stuft mehrere finanzrelevante KI-Anwendungen explizit als Hochrisiko ein. Die zentrale Norm ist Anhang III Nr. 5 lit. b KI-VO:
„KI-Systeme, die dazu bestimmt sind, die Kreditwürdigkeit natürlicher Personen zu bewerten oder ein Kreditscoring vorzunehmen, mit Ausnahme von KI-Systemen, die zum Zweck der Aufdeckung von Finanzbetrug in Betrieb genommen werden." [Anhang III Nr. 5 lit. b, ErwGr. 58]
| KI-Anwendung | Risikoklasse | Rechtsgrundlage KI-VO |
|---|---|---|
| Kreditwürdigkeitsprüfung / Scoring | Hochrisiko | Anhang III Nr. 5 lit. b [ErwGr. 58] |
| Versicherungstarifierung (individuell) | Hochrisiko | Anhang III Nr. 5 lit. a (Zugang zu Dienstleistungen) [ErwGr. 54] |
| Robo-Advisory | Begrenztes bis Hochrisiko | Abhängig von Autonomiegrad; MiFID II greift parallel |
| Betrugserkennung (Fraud Detection) | Minimales Risiko* | *Explizit ausgenommen in Anhang III Nr. 5 lit. b |
| AML/KYC-Prüfung | Begrenztes Risiko | Gesetzliche Pflicht nach GwG; kein Hochrisiko per KI-VO |
| KI-Buchhaltung / Kontierung | Minimales Risiko | Interne Prozessautomatisierung |
| ChatGPT für Kundenkorrespondenz | Begrenztes Risiko | Transparenzpflicht [Art. 50 KI-VO] |
KMU-Tipp: Beachten Sie die wichtige Ausnahme: Fraud Detection ist explizit kein Hochrisiko-System nach der KI-VO [Anhang III Nr. 5 lit. b, letzter Halbsatz]. Der Gesetzgeber hat erkannt, dass die Aufdeckung von Finanzbetrug im öffentlichen Interesse liegt und nicht denselben Beschränkungen unterliegen sollte wie das Scoring von Verbrauchern. Dennoch gelten die allgemeinen Betreiberpflichten nach Art. 4 und die DSGVO.
Regulatorische Überschneidungen: KI-VO, MiFID II, MaRisk und BaFin
Der Finanzsektor ist bereits stark reguliert. Die KI-Verordnung tritt nicht an die Stelle bestehender Regelwerke, sondern ergänzt sie [Art. 2 Abs. 6 KI-VO, ErwGr. 9].
KI-VO und MiFID II
Robo-Advisors und KI-gestützte Anlageberatung unterliegen den MiFID-II-Wohlverhaltensregeln (Eignungsprüfung, Best Execution, Informationspflichten). Die KI-VO verlangt zusätzlich:
- Transparenz über die KI-Nutzung gegenüber dem Anleger [Art. 50 KI-VO]
- Menschliche Aufsicht bei automatisierten Anlageentscheidungen [Art. 14 KI-VO]
- Dokumentation des KI-Systems im Rahmen der MiFID-II-Aufzeichnungspflichten
KI-VO und MaRisk / BaFin
Die BaFin hat in ihrer Orientierungshilfe zu Big Data und KI (aktualisiert 2025) klare Erwartungen formuliert:
- Modellrisikomanagement: KI-Modelle müssen validiert, überwacht und regelmäßig überprüft werden
- Erklärbarkeit: Black-Box-Modelle sind bei kundenwirksamen Entscheidungen problematisch -- die BaFin erwartet zumindest partielle Erklärbarkeit
- Auslagerungsmanagement: Wenn KI von Drittanbietern bezogen wird, gelten die MaRisk-Anforderungen an Auslagerungen [AT 9 MaRisk]
- Nicht-Diskriminierung: KI-Scoring darf nicht zu unzulässiger Diskriminierung führen -- die BaFin prüft das aktiv
KMU-Tipp: Für Steuerberater ist die Lage entspannter: Die meisten KI-Tools in der Steuerberatung (DATEV-KI-Module, automatische Belegerfassung, KI-gestützte Steuerrecherche) fallen in die Kategorie minimales Risiko. Die Kernpflicht bleibt Art. 4 KI-VO: Schulung der Mitarbeiter und Dokumentation der eingesetzten Systeme. Aber: Wenn Sie KI für die Bewertung der Kreditwürdigkeit von Mandanten einsetzen (z. B. bei Finanzierungsberatung), betreten Sie Hochrisiko-Terrain.
Pflichten bei Hochrisiko-Systemen im Detail
Wenn Ihr Unternehmen ein Hochrisiko-KI-System betreibt (insbesondere Kreditscoring), gelten ab August 2026 umfassende Pflichten [Art. 26 KI-VO] (der Digital Omnibus zur Verschiebung auf Dez. 2027 ist vorerst gescheitert):
1. Grundrechts-Folgenabschätzung (Art. 27 KI-VO)
Vor dem Einsatz eines Hochrisiko-Systems müssen Finanzdienstleister eine Folgenabschätzung durchführen. Diese muss bewerten, welche Auswirkungen das System auf die Grundrechte betroffener Personen hat [Art. 27 Abs. 1 KI-VO, ErwGr. 96] -- insbesondere auf Nicht-Diskriminierung, Datenschutz und Verbraucherschutz.
2. Menschliche Aufsicht (Art. 14 KI-VO)
Kreditentscheidungen dürfen nicht vollautomatisch erfolgen. Es muss eine qualifizierte Person benannt werden, die KI-Entscheidungen überprüfen, übersteuern und aussetzen kann [Art. 14 Abs. 3-4 KI-VO]. Dies deckt sich mit den Anforderungen des Art. 22 DSGVO (Recht auf nicht-automatisierte Entscheidung).
3. Transparenz und Erklärbarkeit (Art. 13, Art. 50 KI-VO)
Verbraucher müssen informiert werden, dass ein KI-System an der Kreditentscheidung beteiligt ist [Art. 50 KI-VO]. Zudem muss das System so gestaltet sein, dass seine Ergebnisse für den Betreiber ausreichend interpretierbar sind [Art. 13 KI-VO, ErwGr. 72].
4. Datenqualität und Bias-Vermeidung (Art. 10 KI-VO)
Trainingsdaten für Scoring-Modelle müssen repräsentativ, fehlerfrei und frei von diskriminierenden Verzerrungen sein [Art. 10 Abs. 2-5 KI-VO, ErwGr. 67]. Das ist eine Anforderung an den Anbieter, aber Betreiber müssen prüfen, ob der Anbieter dies nachweislich erfüllt.
5. Protokollierung (Art. 26 Abs. 5 KI-VO)
Automatisch generierte Protokolle müssen mindestens sechs Monate aufbewahrt werden. Bei Kreditentscheidungen empfiehlt sich eine längere Aufbewahrung analog zu den handels- und steuerrechtlichen Fristen (10 Jahre).
Checkliste: KI-Compliance für Finanzdienstleister
- KI-Inventar erstellen: Alle KI-Systeme erfassen -- von Scoring-Modellen über Chatbots bis zu Buchhaltungs-KI. Kategorisierung nach Zweck, Anbieter, Datenarten.
- Risikoklassifizierung durchführen: Jedes System gegen Anhang III prüfen. Kreditscoring = Hochrisiko. Fraud Detection = ausgenommen. Buchhaltungs-KI = minimal.
- Anbieter-Compliance fordern: Für Hochrisiko-Systeme schriftliche Bestätigung des Anbieters einholen, dass die Anforderungen der Art. 9-15 KI-VO erfüllt sind.
- Grundrechts-Folgenabschätzung durchführen: Für jedes Hochrisiko-System vor dem Einsatz [Art. 27 KI-VO]. Kann mit der DSFA nach DSGVO kombiniert werden.
- Menschliche Aufsicht formalisieren: Rollen und Eskalationsprozesse definieren: Wer prüft KI-Kreditentscheidungen? Wer kann übersteuern? Wie wird dokumentiert?
- KI-Kompetenz schulen: Alle relevanten Mitarbeiter zu KI-Funktionsweise, Grenzen, Bias-Risiken und Compliance-Anforderungen schulen [Art. 4 KI-VO].
- BaFin-Anforderungen integrieren: KI-VO-Compliance in bestehendes MaRisk-Rahmenwerk, Modellrisikomanagement und Auslagerungscontrolling einbetten.
- Kunden informieren: Transparenzhinweise bei KI-gestützten Entscheidungen bereitstellen [Art. 50 KI-VO; Art. 13-14 DSGVO].
KI-Compliance für den Finanzsektor umsetzen
Das KI-Compliance-Kit liefert alle Vorlagen: Risikoanalyse, Folgenabschätzung, Schulungsnachweise, interne Richtlinien und Prüfprotokolle -- optimiert für deutsche Unternehmen und die Anforderungen des AI Act.
Zum Compliance Kit (ab 149 €)Fazit: Finanzdienstleister müssen jetzt handeln
Der Finanzsektor steht unter verschärfter Beobachtung -- durch die BaFin, durch die KI-VO und durch die öffentliche Debatte um algorithmische Diskriminierung. Wer KI für Kreditscoring oder Versicherungstarifierung einsetzt, betreibt per Definition ein Hochrisiko-System und muss die strengsten Anforderungen der KI-Verordnung erfüllen.
Ihre Timeline:
- Jetzt (April 2026): KI-Inventar erstellen, Risikoklassen bestimmen, Anbieter kontaktieren
- Seit Februar 2025: Art. 4 KI-Kompetenz gilt bereits -- KI-Kompetenz-Schulungen sollten abgeschlossen sein
- August 2026: Hochrisiko-Pflichten gelten ebenfalls — Grundrechts-Folgenabschätzungen, vollständige Compliance für Scoring und Tarifierung (Digital Omnibus zur Verschiebung auf Dez. 2027 vorerst gescheitert)
Für Steuerberater und kleinere Finanzdienstleister ist der Aufwand überschaubar -- die Basispflichten (Inventar, Schulung, Dokumentation) sind in wenigen Tagen umsetzbar. Für Banken und Versicherungen mit Kreditscoring-KI ist der Aufwand größer, aber durch Integration in bestehende MaRisk-Prozesse beherrschbar.
Das Wichtigste: Fangen Sie mit dem KI-Inventar an. Wer nicht weiß, welche KI im Unternehmen läuft, kann auch keine Compliance sicherstellen.
Weiterlesen
Stand: April 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Für verbindliche Auskünfte zu Ihrer konkreten Situation konsultieren Sie einen auf KI-Regulierung spezialisierten Rechtsanwalt, Ihre zuständige Aufsichtsbehörde oder die BaFin.