EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Alle Ratgeber
Banken & Versicherung

EU AI Act in Banken und Versicherungen: Was Finanzinstitute jetzt brauchen

Zuletzt aktualisiert: Mai 2026·12 min Lesezeit
TL;DR

Banken und Versicherungen sind doppelt reguliert: EU AI Act + DORA + nationale Aufsicht (BaFin/FINMA). Kreditscoring und Lebens-/Krankenversicherungs-Tarifierung sind Hochrisiko nach Annex III Nr. 5. Fraud Detection hat eine Ausnahme — reine Betrugsdetektion ist NICHT Hochrisiko.

Banken und Versicherungen leben von KI — Kreditscoring, Risikobewertung, Fraud Detection, Robo-Advisor. Der EU AI Act bringt zusätzliche Pflichten, die mit DORA und nationaler Aufsicht (BaFin, FINMA, FMA) verzahnt werden müssen.

Wann ist Banking-KI Hochrisiko?

Annex III Nr. 5 EU AI Act definiert vier Untergruppen:

(a) Kreditwürdigkeitsprüfung von natürlichen Personen (außer reine Fraud Detection) (b) Risikobewertung und Tarifierung von Lebens- und Krankenversicherung (c) Notrufannahme und Triage (d) Bewertung von Anspruch auf öffentliche Sozialleistungen

Für Banken und Versicherungen sind (a) und (b) zentral.

Was ist NICHT Hochrisiko?

Wichtige Carve-outs:

  • Reine Fraud Detection (Annex III Nr. 5(a) Ausnahme): Wenn der einzige Zweck ist, Betrug zu erkennen — kein Hochrisiko. Aber Vorsicht: sobald die Daten auch in Bonitätsentscheidungen einfließen, fällt der Carve-out weg.
  • Sachversicherung (Hausrat, Auto, Haftpflicht): Tarifierung ist NICHT Hochrisiko nach Annex III Nr. 5(b).
  • Reine Backoffice-KI: Document-Processing, OCR, interne Reporting-Tools.

CJEU-Rechtsprechung — was Banken wissen müssen

C-634/21 SCHUFA (Dezember 2023): Automatisiertes Kreditscoring fällt unter Art. 22 DSGVO — unabhängig davon, ob die Bank das Scoring nur als "Beitrag" zur Entscheidung nutzt. Die DSGVO-Pflichten (Erklärung, Widerspruch) gelten zusätzlich zum AI Act.

C-203/22 Dun & Bradstreet (Februar 2025): Datensubjekte haben ein Recht auf "meaningful information" zur Logik der Scoring-Entscheidung. Reine Aussage "es ist ein KI-Modell" reicht NICHT.

C-205/21 V.S.: Pauschale Auskunftsverweigerung wegen Geschäftsgeheimnis ist unzulässig.

Konsequenz: Wer ein Kredit-Scoring-Modell einsetzt, braucht eine Erklärbarkeitsstrategie — sonst drohen DSGVO-Sanktionen ZUSÄTZLICH zum AI Act.

Provider oder Deployer?

In der Praxis sind Banken meist Deployer — sie kaufen Scoring-Modelle von Anbietern wie SCHUFA, CRIF, Boniversum oder selbst-entwickelte Inhouse-Modelle. Aber:

  • Inhouse-entwickelte Modelle = Bank ist Provider mit allen Pflichten
  • White-Label-Models, vertrieben unter eigenem Markennamen = Bank wird Provider (Art. 25 Abs. 1 lit. c)

DORA-Synergie

Banken sind seit 17. Januar 2025 unter DORA (EU 2022/2554):

  • Risikomanagement der ICT-Drittanbieter
  • Incident-Reporting
  • Resilience-Testing
  • Cybersecurity

Synergiepunkte mit AI Act:

  • DORA Art. 6 (ICT-Risikomanagement) ↔ AI Act Art. 9 (Risikomanagementsystem)
  • DORA Art. 17-23 (Incident Management) ↔ AI Act Art. 26 Abs. 5 (Vorfallmeldung)
  • DORA Art. 24-27 (Resilience Testing) ↔ AI Act Art. 15 (Genauigkeit, Robustheit)

Praktisch: bestehendes DORA-Compliance-Framework um AI-Act-spezifische Anforderungen erweitern, nicht parallel aufbauen.

FINMA-Position (Schweiz)

Die FINMA hat im Juli 2024 ihren Aufsichtsbericht zu KI veröffentlicht. Kernpunkte:

  • KI-Governance-Anforderungen analog zum EU AI Act
  • Erklärbarkeit zwingend
  • Verantwortliche Stelle ("Senior Manager") für KI definiert
  • Kein eigenes Schweizer KI-Gesetz vor 2027 — aber FINMA-Praxis übernimmt EU-AI-Act-Standards de facto

Für Schweizer Banken mit EU-Geschäft: doppelte Compliance (EU AI Act + FINMA-Erwartungen).

BaFin-Position (Deutschland)

Die BaFin folgt der EU-Auslegung. Wichtige Veröffentlichungen:

  • BaFin-Mitteilung Mai 2024 zu KI in der Bankenpraxis
  • MaRisk (Mindestanforderungen Risikomanagement) — wurde 2024 um KI-Bezug erweitert
  • BaFin koordiniert mit der Bundesnetzagentur als zentrale KI-Marktaufsicht (KI-MIG, Februar 2026)

Praktische Schritte für Banken/Versicherungen

Schritt 1 — Inventar: Alle KI-Systeme erfassen, inkl. Inhouse-Modelle, eingekaufte SaaS, Embedded-AI in Banking-Software.

Schritt 2 — Klassifikation: Pro System: Hochrisiko (Annex III Nr. 5(a)/(b)), Begrenzt (Chatbot, Robo-Advisor mit Disclosure), oder Minimal (Backoffice).

Schritt 3 — DORA-AI-Act-Mapping: Bestehende DORA-Dokumentation um AI-Act-spezifische Pflichten erweitern.

Schritt 4 — Erklärbarkeit: Für Hochrisiko-Modelle (insb. Scoring): Erklärbarkeits-Strategie umsetzen. Konkret: SHAP-Werte, LIME, oder einfache Reason-Codes pro Entscheidung.

Schritt 5 — Provider-Vertrag: Wenn KI-System eingekauft (z.B. SCHUFA), in Verträgen die Konformitätsbewertung und Bedienungsanleitung einfordern. Standard EU AI Act-Klauseln aufnehmen.

Schritt 6 — Mitarbeiter-Schulung: Nicht nur "KI-Literacy" generisch, sondern Banken-spezifisch: Was bedeutet Modell-Output, wann eingreifen, wie Customer Complaints zur KI-Entscheidung handhaben.

Häufig gestellte Fragen

Ist jedes Kreditscoring-System Hochrisiko?+

Bonitätsprüfung von natürlichen Personen ist Hochrisiko nach Annex III Nr. 5(a) — mit einer Ausnahme: reine Fraud Detection (z.B. Anomalie-Erkennung in Transaktionen). Sobald das Modell aber auch in Kreditentscheidungen einfließt, ist es Hochrisiko. Bei B2B-Scoring (juristische Personen) gilt der AI Act nicht direkt, aber DSGVO bei Inhabern.

Wie verhalten sich DORA und EU AI Act?+

DORA (EU 2022/2554) gilt seit Januar 2025 für ICT-Risiken in Finanzinstituten. AI Act ergänzt für KI-spezifische Pflichten. Synergiepunkte: DORA Art. 6 ↔ AI Act Art. 9 (Risikomanagement); DORA Incident-Reporting ↔ AI Act Art. 26 Abs. 5. Praktisch: bestehende DORA-Dokumentation um AI-Act-Spezifika erweitern.

Was bedeutet die SCHUFA-Entscheidung des EuGH?+

C-634/21 (Dezember 2023): Auch wenn das Scoring "nur als Beitrag" zur Entscheidung dient, fällt es unter Art. 22 DSGVO (automatisierte Einzelentscheidung). Konsequenz: Banken müssen Erklärung, Widerspruch und manuelle Überprüfung anbieten — zusätzlich zu AI-Act-Pflichten.

Was sagt die FINMA zu KI?+

Die FINMA hat im Juli 2024 ihre Erwartungen veröffentlicht: KI-Governance, Erklärbarkeit, Senior-Manager-Verantwortung. Die FINMA folgt de facto EU-AI-Act-Standards, auch ohne nationales Schweizer Gesetz. Für Schweizer Banken mit EU-Geschäft: doppelte Compliance.

Direkt prüfen — kostenlos

Prüfe in 5 Minuten ob deine KI-Systeme unter den EU AI Act fallen — mit sofortigem Ergebnis.

Kostenloser EU AI Act Check →
Weiterlesen
Innopulse Consulting GmbH — EU AI Act Compliance

Dieser Artikel basiert auf der Verordnung (EU) 2024/1689 (EUR-Lex Originaltext) und EU-AI-Office-Guidelines. Wird monatlich aktualisiert. Hinweis: Technische Orientierung — kein Ersatz für Rechtsberatung.

Zuletzt aktualisiert: Mai 2026

Alle RatgeberWissenshub
EU AI Act Banken Versicherungen — Compliance 2026 | ai-risk-check.com