KI bei Banken: Welche Anwendungen unter den EU AI Act fallen

Banken: KI über die gesamte Risikopyramide

Kaum eine Branche nutzt KI so breit wie der Finanzsektor — und kaum eine verteilt sich so vollständig über alle Risikoklassen des AI Act. Für Banken ist deshalb die saubere Zuordnung jeder einzelnen Anwendung entscheidend, zumal parallel ein dichtes Aufsichtsrecht gilt.

Hochrisiko: Kreditscoring (Annex III Nr. 5b)

KI zur Bewertung der Kreditwürdigkeit natürlicher Personen ist hochriskant. Das volle Pflichtenprogramm greift, und Banken als Deployer gehören zum Kreis, der zusätzlich eine FRIA (Art. 27) durchführen muss. Diskriminierungsfreiheit ist hier nicht nur ethisch, sondern rechtlich zwingend — fehlerhafte oder verzerrte Scoring-Modelle berühren unmittelbar den Zugang zu Finanzdienstleistungen.

Die Ausnahme: reine Betrugserkennung

Eine zentrale Entlastung: KI, die ausschließlich der Aufdeckung von Finanzbetrug dient, ist von der Hochrisiko-Einstufung ausgenommen. Eine Transaktions-Betrugserkennung, die verdächtige Muster markiert, ist also kein Hochrisiko-System. Die Grenze ist scharf: Sobald dieselbe oder eine verbundene KI in die Bonitätsbewertung einfließt, kippt die Einordnung. Banken sollten Betrugserkennung und Scoring sauber und dokumentiert trennen.

Begrenztes Risiko: Robo-Advisory und Chatbots

Robo-Advisory (automatisierte Anlageberatung) und Kundenservice-Chatbots sind meist begrenztes Risiko: Sie unterliegen der Transparenzpflicht nach Art. 50 (Offenlegung der KI-Interaktion), aber nicht dem Hochrisiko-Programm. Vorsicht jedoch, wenn ein Chatbot bindende Entscheidungen über den Zugang zu Finanzdienstleistungen trifft — dann kann er in Annex III Nr. 5 kippen.

Minimales Risiko: interne Optimierung

KI zur internen Prozessoptimierung — Liquiditätsprognosen, Dokumentenklassifikation, Backoffice-Automatisierung ohne Entscheidungswirkung gegenüber Kunden — ist in der Regel minimales Risiko. Es bleibt die Querschnittspflicht zur KI-Kompetenz (Art. 4).

Die Aufsichts-Überlagerung: DORA, BaFin, FINMA

Bank-KI steht nie nur unter dem AI Act. Parallel greifen die DORA-Verordnung (digitale operationale Resilienz, inkl. Drittparteienrisiko bei KI-Dienstleistern), die Aufsicht durch BaFin (DE), FINMA (CH) oder FMA (AT) sowie die DSGVO/DSG. Eine Hochrisiko-Kreditscoring-KI muss gleichzeitig AI-Act-konform, aufsichtsrechtlich tragfähig, datenschutzkonform und operational resilient sein. Diese Regime sollten in einer gemeinsamen Governance zusammengeführt werden.

Praxis-Zuordnung auf einen Blick

Kreditscoring (Privatkunden) → hochrisiko + FRIA. Betrugserkennung (rein) → ausgenommen. Versicherungs-/Lebensversicherungs-Risikobewertung → hochrisiko (Nr. 5c). Robo-Advisory → begrenzt. Kundenservice-Chatbot → begrenzt. AML/Geldwäsche-Monitoring → meist ausgenommen/begrenzt, je nach Funktion. Interne Forecasts → minimal.

Was Banken jetzt tun sollten

Inventarisieren Sie alle KI-Anwendungen, trennen Sie Betrugserkennung und Bonitätsbewertung dokumentiert, planen Sie die FRIA für Scoring-Systeme und führen Sie AI-Act-Compliance mit DORA-, Aufsichts- und Datenschutz-Governance zusammen. Planungshorizont Hochrisiko: 2. Dezember 2027 (Digital Omnibus).