EU AI Act Finanzdienstleister: Compliance-Pflichten für Banken 2026

Welche KI-Pflichten gelten für Finanzdienstleister ab 2026?

Finanzdienstleister, die KI für Kreditscoring, Betrugserkennung oder automatisierte Beratung einsetzen, unterliegen dem EU AI Act. Hochrisiko-Systeme wie Kreditwürdigkeitsprüfung müssen spätestens ab August 2026 vollständig compliant sein – parallel zu bestehenden BaFin-Anforderungen.

• Kreditscoring und Versicherungs-Underwriting sind explizit hochriskante KI-Systeme nach Anhang III.
• Hochrisiko-Pflichten gelten vollständig ab August 2026, Legacy-Systeme ab Februar 2027.
• Betrugserkennung mit Kontozugangssperrung löst erhöhte Transparenzpflichten aus.
• BaFin-Aufsicht und AI-Act-Compliance müssen gemeinsam erfüllt werden, nicht alternativ.

Finanzdienstleister in Deutschland, die KI für Kreditscoring, Betrugserkennung oder automatisierte Anlageberatung einsetzen, unterliegen ab August 2026 den vollen Anforderungen des EU AI Act. Scoring-Systeme zur Kreditwürdigkeitsprüfung natürlicher Personen sind in Anhang III des AI Act explizit als hochriskant eingestuft – sie brauchen ein Risikomanagementsystem, Bias-Tests, technische Dokumentation und menschliche Aufsicht. Eine Einführung in das regulatorische Gesamtbild bietet unser EU AI Act Überblick.

Für deutsche Finanzinstitute bedeutet das, AI-Act-Anforderungen auf BaFin-Aufsicht und bestehende Finanzregulierung aufzuschichten – nicht alternativ, sondern kumulativ.

Zuletzt aktualisiert: April 2026

EU AI Act Fristen für Finanzdienstleister

Die Uhr läuft. Finanzinstitute müssen die folgenden Fristen einplanen:

Frist	Inhalt
Februar 2025	Verbotene KI-Praktiken (Art. 5) gelten ab sofort – keine Ausnahmen
August 2026	Hochrisiko-Pflichten für neue KI-Systeme treten in Kraft
Februar 2027	Übergangsregelung endet: Altsysteme müssen ebenfalls compliant sein

Für die meisten Kreditinstitute ist August 2026 die entscheidende Frist: Neue Scoring-Modelle, neue Betrugssysteme, neue Robo-Advisory-Plattformen müssen ab diesem Datum den vollen Hochrisiko-Anforderungen entsprechen. Systeme, die bereits vor August 2026 im Betrieb waren, erhalten eine Gnadenfrist bis Februar 2027.

Kreditscoring und Versicherungs-Underwriting: Hochriskant

Jede KI, die Kreditwürdigkeit bewertet oder Versicherungsprämien und -berechtigung für natürliche Personen bestimmt, ist nach dem EU AI Act hochriskant. Das ist keine Interpretationsfrage – Anhang III listet es explizit. Kreditscoring, Versicherungs-Underwriting, Schadenbewertung: alle brauchen volle Compliance-Behandlung.

Die Anforderungen sind erheblich:

• Risikomanagementsystem – kontinuierliche Überwachung während des gesamten Lebenszyklus
• Datengouvernanz – Qualität, Vollständigkeit und Repräsentativität der Trainingsdaten dokumentieren
• Bias-Tests – systematische Prüfung auf diskriminierende Ergebnisse
• Transparenz – Nutzer müssen über den KI-Einsatz informiert werden
• Menschliche Aufsicht – Mechanismen für Eingriffe durch natürliche Personen
• Genauigkeitsüberwachung – laufende Evaluation der Systemleistung
• Technische Dokumentation – vor Inbetriebnahme vollständig erstellt

Deutsche Institute haben bereits Compliance-Infrastruktur für BaFin-Anforderungen. Unser KI-Risikobewertungs-Framework hilft, AI-Act-Compliance damit zu integrieren. Spezifische Anforderungen für Kreditentscheidungen deckt der KI-Kreditscoring-Compliance-Leitfaden ab.

Betrugserkennung: Grauzone mit klarer Linie

KI zur Betrugserkennung fällt nicht automatisch unter die Hochrisiko-Kategorie. Die entscheidende Frage ist: Was passiert, wenn das System anschlägt?

• Flaggt das System eine Transaktion zur menschlichen Prüfung: niedrigere Pflichten
• Sperrt das System Kontozugang oder wesentliche Dienste: erhöhte Pflichten, möglicherweise Hochrisiko

Diese Unterscheidung ist für deutsche Banken und Zahlungsdienstleister kritisch. Wer Konten auf Basis von KI-Entscheidungen einfriert, muss Transparenz- und Widerspruchsrechte sicherstellen. Details dazu enthält unser KI-Betrugserkennungs-Compliance-Leitfaden.

Investment-KI und Robo-Advisory

Algorithmischer Handel und Robo-Advisory haben ihr eigenes Regulierungs-Framework unter MiFID II. Der AI Act überschreibt das nicht – er ergänzt es. KI-spezifische Risiken brauchen Aufmerksamkeit, auch wenn MiFID-II-Compliance solide ist:

• Model Drift: Wenn sich Marktdaten verändern, kann ein Modell systematisch falsch liegen – ohne dass jemand es merkt
• Trainingsdaten-Bias: Historische Ungleichgewichte in Finanzdaten übertragen sich auf Modellentscheidungen
• Algorithmischer Bias: Benachteiligung bestimmter Kundengruppen bei Produktempfehlungen

Für Handelssysteme braucht die Interaktion zwischen AI-Act-Transparenz und Marktintegritätsregeln sorgfältige Navigation. Praxisnahe Hinweise liefern unser KI-Handelsalgorithmen-Compliance- und KI-Portfoliomanagement-Compliance-Leitfaden.

Compliance-Checkliste für Finanzinstitute

Nutzen Sie diese Checkliste als Ausgangspunkt für Ihre AI-Act-Compliance-Vorbereitung:

Schritt 1 – KI-Inventar erstellen

• Alle KI-Systeme im Unternehmen erfassen
• Einsatzzweck und beteiligte Daten dokumentieren
• Systeme nach AI-Act-Risikokategorien klassifizieren

Schritt 2 – Hochrisiko-Systeme identifizieren

• Kreditscoring-Modelle als hochriskant einstufen
• Versicherungs-Underwriting-KI als hochriskant einstufen
• Betrugserkennung auf Auswirkungen auf Kontozugang prüfen

Schritt 3 – Hochrisiko-Anforderungen umsetzen

• Risikomanagementsystem aufbauen
• Datengouvernanz-Dokumentation erstellen
• Bias-Testprotokolle einführen
• Menschliche Aufsichtsmechanismen etablieren
• Technische Dokumentation vollständig erstellen
• EU-Konformitätserklärung vorbereiten

Schritt 4 – BaFin-Integration

• AI-Act-Compliance mit bestehenden BaFin-Anforderungen abgleichen
• MiFID-II-Pflichten mit AI-Act-Anforderungen harmonisieren
• Interne Zuständigkeiten und Eskalationswege definieren

Bei der Auswahl von KI-Infrastruktur – etwa Azure OpenAI oder der OpenAI API – ist die regulatorische Einbettung des Anbieters sorgfältig zu prüfen.

So hilft Compound Law

• KI-Systeminventar und Risikoklassifizierung
• Kredit- und Versicherungs-Scoring-Compliance
• BaFin- und AI-Act-Integration
• Trading-KI-Regulierungsabstimmung
• Bias-Test- und Dokumentations-Frameworks
• Compliance-Checklisten und interne Schulungen

Häufig gestellte Fragen

Wann müssen Finanzinstitute AI-Act-Anforderungen erfüllen?

Neue hochriskante KI-Systeme müssen ab August 2026 compliant sein. Für bereits im Betrieb befindliche Altsysteme (in Verkehr vor August 2026) gilt eine Übergangsfrist bis Februar 2027.

Deckt MiFID-II-Compliance die AI-Act-Anforderungen ab?

Nein. MiFID II deckt Marktverhalten und Anlageberatungspflichten ab. Der AI Act deckt KI-spezifische Risiken ab – Model Drift, Bias, Transparenz und menschliche Aufsicht. Beides ist parallel zu erfüllen.

Ist Kreditscoring-KI immer hochriskant?

Ja, wenn sie Kreditwürdigkeit natürlicher Personen bewertet. Das gilt unabhängig davon, ob das System selbst entscheidet oder einen menschlichen Entscheider unterstützt. Anhang III des AI Act lässt dazu keinen Interpretationsspielraum.

Ist Betrugserkennung hochriskant?

Nicht automatisch. Wenn sie Transaktionen zur menschlichen Prüfung markiert: niedrigere Pflichten. Wenn sie Kontozugang sperrt oder wesentliche Dienste verweigert: erheblich höhere Pflichten, möglicherweise Hochrisiko-Einstufung.

Was ist mit B2B-Finanzdienstleistungen?

Die Hochrisiko-Klassifizierung nach Anhang III fokussiert auf KI-Systeme, die Entscheidungen über natürliche Personen treffen. B2B-Dienste ohne Personenbezug haben niedrigere Pflichten, benötigen aber trotzdem Basis-Compliance wie Transparenzpflichten und interne Risikoprüfung.

Wir nutzen ein Scoring-Modell eines Drittanbieters. Wer ist verantwortlich?

Der Einsatz eines Drittanbieter-Modells entbindet Sie nicht von der Compliance-Pflicht. Als Betreiber (Deployer) tragen Sie Verantwortung für den ordnungsgemässen Einsatz. Prüfen Sie, ob der Anbieter die Anforderungen an Hochrisiko-KI-Systeme als Hersteller (Provider) erfüllt und stellen Sie vertraglich sicher, dass Sie die notwendigen Unterlagen erhalten.