Hochrisiko

EU AI Act für Banken: Hochrisiko-KI in der Kreditvergabe

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Banken nutzen KI für Kreditscoring, Fraud-Detection, Robo-Advisor und KYC. Kreditwürdigkeitsprüfung ist Annex-III-Hochrisiko (Art. 6 Abs. 2). Bis 2. August 2026 müssen Provider und Deployer ihre Systeme klassifizieren, dokumentieren und FINMA/BaFin/FMA-konform betreiben.

Der EU AI Act trifft Banken doppelt: Als Hochrisiko-Sektor in Annex III Nr. 5 lit. b (Kreditwürdigkeit) und durch das DORA-Overlay (digitale operative Resilienz). Schweizer Banken sind über Marktzugang ebenfalls betroffen — wenn ihre KI-Output EU-Kunden erreicht, gilt der AI Act extraterritorial. FINMA hat 2024 bereits Erwartungen an "verantwortungsvollen KI-Einsatz" formuliert. Dieser Leitfaden zeigt die fünf Compliance-Pflichten für Banken.

Welche Bank-KI-Systeme sind Hochrisiko?

Annex III Nr. 5 lit. b stuft jede KI ein, die die Kreditwürdigkeit natürlicher Personen bewertet oder ihren Credit-Score ermittelt. Ausgenommen sind nur reine Fraud-Detection-Systeme, die nicht direkt über Kreditvergabe entscheiden.

Konkret hochrisiko sind: - Automatisierte Kreditentscheidungen (Privatkredite, KMU-Kredite) - Bonitätsprüfungs-Modelle in Hypotheken - Risk-Scoring für Konsumkredite - KI-gestützte Konto-Eröffnungs-Workflows mit Kreditrahmen

Nicht hochrisiko (aber Art. 50 Transparenz): - Reine Fraud-Detection ohne Kredit-Entscheidung - Chatbots im Online-Banking - KI-gestützte Marktanalyse fürs Trading

FINMA, BaFin und FMA — wer ist zuständig?

Die Marktaufsicht für den AI Act wird in jedem Land separat festgelegt:

Deutschland: Bundesnetzagentur als zentrale Marktaufsichtsbehörde (Stand: nationaler Umsetzungsentwurf). Daneben bleiben BaFin und Bundesbank für die finanzaufsichtsrechtliche Dimension zuständig.
Österreich: RTR (Rundfunk- und Telekom-Regulierungs-GmbH) wird voraussichtlich AI-Act-Aufsicht; FMA bleibt für Finanzregulierung.
Schweiz: Kein direkter AI Act, aber FINMA hat 2024 das Rundschreiben zu KI-Risiken konsultiert. Banken mit EU-Kunden fallen durch Art. 2(1) lit. c trotzdem unter den AI Act.

Pflichten für Banken als Provider und Deployer

Die meisten Banken sind Deployer (sie nutzen KI von Drittanbietern wie SAS, FICO, Experian, oder eigene Inhouse-Systeme). Pflichten nach Art. 26:

Systeme nach Hersteller-Anweisungen einsetzen
Inputdaten überwachen und repräsentativ halten
Logs mindestens 6 Monate aufbewahren
Betroffene Personen informieren bei automatisierten Kreditentscheidungen
Mitarbeitende mit KI-Literacy schulen (Art. 4)
Bei eigenen Modellen: voll Provider-Pflichten (Art. 16ff.)
FRIA (Grundrechte-Folgenabschätzung) für Hochrisiko-Systeme nach Art. 27

DORA-Overlay: was zusätzlich gilt

Banken sind seit Januar 2025 unter DORA (EU 2022/2554). Der AI Act läuft parallel und erweitert die Pflichten:

AI Act Art. 15 Cybersecurity ↔ DORA Art. 6-15 ICT-Risk-Management: Sync-Punkt — eine kombinierte Risikoanalyse statt zweier separater Prozesse
AI Act Art. 12 Logging ↔ DORA Art. 17 Incident-Reporting: KI-Incidents zählen als ICT-Incidents
AI Act Art. 25 Vertrags-Pflichten ↔ DORA Art. 28 Third-Party-Risk: KI-Anbieter sind ICT-Dienstleister

Wer DORA-konform ist, hat 60% des AI-Act-Compliance-Pfads bereits abgedeckt.

Bussgelder für Banken

Höchststrafen nach Art. 99 EU AI Act: - Verbotene Praktiken (Art. 5): bis 35 Mio. EUR oder 7% globaler Jahresumsatz - Hochrisiko-Verstösse (Art. 16-26): bis 15 Mio. EUR oder 3% globaler Jahresumsatz - Falsche Angaben gegenüber Behörden: bis 7,5 Mio. EUR oder 1%

Zum Vergleich: DSGVO-Höchstbussen lagen 2024 bei 4% globalem Umsatz. Der AI Act verschärft auf 7%. Für eine DACH-Grossbank kann das pro Verstoss bis zu 1,5 Mrd. EUR bedeuten.

Häufige Fragen

Gilt der EU AI Act für Schweizer Banken?

Ja, indirekt. Schweizer Banken, deren KI-Systeme oder -Output EU-Kunden erreicht (z.B. grenzüberschreitende Kreditvergabe oder Vermögensverwaltung), fallen über Art. 2(1) lit. c unter den extraterritorialen Anwendungsbereich. FINMA hat zudem eigene KI-Erwartungen formuliert.

Ist Fraud-Detection Hochrisiko?

Reine Fraud-Detection-Systeme sind nach Annex III Nr. 5 lit. b ausdrücklich vom Hochrisiko-Status ausgenommen — solange sie keine Kreditentscheidung beeinflussen. Sobald das Fraud-Signal in einen Score einfliesst, der über Kreditvergabe entscheidet, kippt die Klassifizierung.

Brauchen Banken eine FRIA?

Ja, für jedes Hochrisiko-System nach Art. 27. Die FRIA muss vor dem produktiven Einsatz erstellt werden und beleuchtet die Auswirkungen auf Grundrechte, insbesondere Diskriminierungsrisiken bei automatisierter Kreditvergabe. FINMA und BaFin haben angekündigt, FRIA-Dokumente in Aufsichtsprüfungen anzufordern.

Wie verhält sich der AI Act zur Kreditwürdigkeitsprüfung nach Art. 22 DSGVO?

Beide Regime gelten parallel. Art. 22 DSGVO regelt das Recht auf menschliche Überprüfung automatisierter Entscheidungen; der AI Act regelt den Lebenszyklus des KI-Systems selbst. CJEU C-634/21 SCHUFA hat klargestellt, dass auch Vorbereitungs-Scores unter Art. 22 fallen. Banken müssen beide Pflichten erfüllen.

Was passiert bei einem Verstoss?

Bussgelder bis 35 Mio. EUR oder 7% globaler Jahresumsatz (Art. 99). Daneben drohen aufsichtsrechtliche Massnahmen durch BaFin/FINMA/FMA, mögliche Schadensersatzklagen geschädigter Kreditantragsteller und Reputationsschäden. Konzern-Compliance-Programme sollten EU AI Act ab 2026 als Top-3-Risiko adressieren.

Relevante Rechtsgrundlagen

Art. 6 EU AI ActAnnex III Nr. 5 lit. bArt. 26 EU AI ActArt. 27 EU AI ActDORA Art. 6-28Art. 22 DSGVO

Klassifiziert Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jede Banken-KI.

Kostenloser EU AI Act Quick-Check →

Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle Branchen Quick-Check