AI Act: Jetzt informieren und bei Standards einbringen
13. Januar 2026
Im Sommer 2027 ist der AI Act vollständig anzuwenden. Bis dahin können Banken noch Einfluss nehmen, wie genau die Verordnung aussehen wird.
144 Seiten, darin 113 Artikel – Guidelines, Praxisleitfäden und begleitende Rechtsakte noch nicht mitgerechnet. Der AI Act, im August 2024 in Kraft getreten und ab August 2027 vollständig anzuwenden, hat es in sich. „Wir vernehmen eine große Unsicherheit in den Unternehmen, was genau die Regulierung für sie bedeutet“, berichtet Patrick Aurin von der Bundesnetzagentur. Um gleich zu ergänzen, dass der AI Act eine unbedingt begrüßenswerte Verordnung ist: „Sie will vertrauenswürdige, sichere KI gewährleisten. Und dem stimmen wir ja wahrscheinlich alle zu. Und zweitens will sie Innovation fördern. Auch das ist eine positive Motivation.“
Im Sommer 2027 ist der AI Act vollständig anzuwenden. Bis dahin können Banken noch Einfluss nehmen, wie genau die Verordnung aussehen wird.
144 Seiten, darin 113 Artikel – Guidelines, Praxisleitfäden und begleitende Rechtsakte noch nicht mitgerechnet. Der AI Act, im August 2024 in Kraft getreten und ab August 2027 vollständig anzuwenden, hat es in sich. „Wir vernehmen eine große Unsicherheit in den Unternehmen, was genau die Regulierung für sie bedeutet“, berichtet Patrick Aurin von der Bundesnetzagentur. Um gleich zu ergänzen, dass der AI Act eine unbedingt begrüßenswerte Verordnung ist: „Sie will vertrauenswürdige, sichere KI gewährleisten. Und dem stimmen wir ja wahrscheinlich alle zu. Und zweitens will sie Innovation fördern. Auch das ist eine positive Motivation.“
Das Problem: Noch ist einiges im Unklaren. Vor allem Standards, die über alle Branchen hinweg identisch sein werden, werden derzeit noch entwickelt. Man weiß, dass Banken mit einer Vielzahl ihrer KI-Anwendungen grundsätzlich unter den Hochrisiko-Annex III fallen. Damit ist klar, dass solche Anwendungen nur mit einer Konformitätsbewertung erlaubt werden. Wann genau eine Anwendung aber eine im Sinne des AI Acts ist, ist nicht immer eindeutig. Aurin: „Deshalb ist es wichtig, dass sich möglichst viele Banken in die Entwicklung der Standards mit einbringen. Ansonsten müssen sie mit Standards leben, die nach den Anforderungen von anderen Branchen wie Gesundheit oder Kommunikationsinfrastruktur entwickelt wurden.“
Risiken durch mangelhafte Trainingsdaten und verbotene KI-Praktiken
Wo die Reise grundsätzlich hingeht, ist hingegen klar. Der AI Act stellt Anforderungen an Hochrisiko-Systeme: Beispielsweise sollen so weit wie möglich einwandfreie und ausreichende Trainingsdaten eingesetzt werden, um einen schädlichen Bias, wie die Diskriminierung bestimmter Gruppen einer Hochrisiko-KI-Anwendung zu vermeiden. Denkbar wäre das etwa bei Kreditbewertungssystemen. Die so genannte Kindergeldaffäre in den Niederlanden gibt einen Eindruck von den möglichen Auswirkungen. Von 2013 an sorgte dort ein algorithmisches Entscheidungssystem dafür, dass Eltern bestimmter Nationen fälschlicherweise Sozialbetrug vorgeworfen wurde und man ausbezahlte Kinderbeihilfen zurückforderte. Viele von ihnen gerieten dadurch in höchste finanzielle Nöte. 2021 führte die Affäre zum Ende der Regierung von Mark Rütte.
In Abgrenzung zu Hochrisiko-KI-Systemen sind bestimmte KI-Praktiken bereits seit gut einem Jahr verboten. Eine verbotene KI-Praktik könnte zum Beispiel dann vorliegen, wenn ein Algorithmus gezielt Werbung für schädliche Finanzprodukte wie sehr teure Kredite oder betrügerische Angebote an Menschen in einkommensschwachen Gegenden ausspielt. Nicht verboten sind dagegen KI-Systeme in Banken, die Alter oder finanzielle Situation berücksichtigen, um Menschen zu schützen. Wenn eine KI zum Beispiel älteren Personen oder Menschen mit geringem Einkommen Kredite mit fairen und gut tragbaren Konditionen anbietet, dient sie der Unterstützung und nicht der Ausbeutung. Richtig eingesetzt kann KI so zu mehr Fairness und nachhaltigen Finanzdienstleistungen beitragen.
KI-Service Desk schafft Abhilfe
Der Digital Operational Resilience Act (DORA) dürfte dafür gesorgt haben, dass die meisten Banken bereits auf dem richtigen Weg sind. Bei etwaigen Unsicherheiten hilft derzeit die Bundesnetzagentur mit ihrem KI-Service Desk. Hier sind alle derzeit verfügbaren Informationen rund um den AI Act übersichtlich erklärt. Ein KI-Compliance Kompass unterstützt zudem bei der Feststellung, ob geplante Anwendungen KI-Systeme im Sinne des AI Acts sind und – falls sie das sind – in welche Risikoklasse sie fallen und wie weiter zu verfahren ist. „Die Betreiber des KI-Systems müssen sicherstellen und erklären, dass ihr System AI Act-konform ist“, klärt Aurin auf. Vorbehaltlich des Durchführungsgesetzes liegt die Marktüberwachung von Finanzdienstleistungen dann bei der BaFin, die zum Beispiel beschwerdebasiert eingreifen wird. Abgesehen von immensen Reputationsschäden klärt Artikel 99 darüber auf, was ein Verstoß zur Folge hat: Im schlimmsten Fall sind dann bis zu sieben Prozent des weltweiten Jahresumsatzes als Strafe fällig.
Das Problem: Noch ist einiges im Unklaren. Vor allem Standards, die über alle Branchen hinweg identisch sein werden, werden derzeit noch entwickelt. Man weiß, dass Banken mit einer Vielzahl ihrer KI-Anwendungen grundsätzlich unter den Hochrisiko-Annex III fallen. Damit ist klar, dass solche Anwendungen nur mit einer Konformitätsbewertung erlaubt werden. Wann genau eine Anwendung aber eine im Sinne des AI Acts ist, ist nicht immer eindeutig. Aurin: „Deshalb ist es wichtig, dass sich möglichst viele Banken in die Entwicklung der Standards mit einbringen. Ansonsten müssen sie mit Standards leben, die nach den Anforderungen von anderen Branchen wie Gesundheit oder Kommunikationsinfrastruktur entwickelt wurden.“
Risiken durch mangelhafte Trainingsdaten und verbotene KI-Praktiken
Wo die Reise grundsätzlich hingeht, ist hingegen klar. Der AI Act stellt Anforderungen an Hochrisiko-Systeme: Beispielsweise sollen so weit wie möglich einwandfreie und ausreichende Trainingsdaten eingesetzt werden, um einen schädlichen Bias, wie die Diskriminierung bestimmter Gruppen einer Hochrisiko-KI-Anwendung zu vermeiden. Denkbar wäre das etwa bei Kreditbewertungssystemen. Die so genannte Kindergeldaffäre in den Niederlanden gibt einen Eindruck von den möglichen Auswirkungen. Von 2013 an sorgte dort ein algorithmisches Entscheidungssystem dafür, dass Eltern bestimmter Nationen fälschlicherweise Sozialbetrug vorgeworfen wurde und man ausbezahlte Kinderbeihilfen zurückforderte. Viele von ihnen gerieten dadurch in höchste finanzielle Nöte. 2021 führte die Affäre zum Ende der Regierung von Mark Rütte.
In Abgrenzung zu Hochrisiko-KI-Systemen sind bestimmte KI-Praktiken bereits seit gut einem Jahr verboten. Eine verbotene KI-Praktik könnte zum Beispiel dann vorliegen, wenn ein Algorithmus gezielt Werbung für schädliche Finanzprodukte wie sehr teure Kredite oder betrügerische Angebote an Menschen in einkommensschwachen Gegenden ausspielt. Nicht verboten sind dagegen KI-Systeme in Banken, die Alter oder finanzielle Situation berücksichtigen, um Menschen zu schützen. Wenn eine KI zum Beispiel älteren Personen oder Menschen mit geringem Einkommen Kredite mit fairen und gut tragbaren Konditionen anbietet, dient sie der Unterstützung und nicht der Ausbeutung. Richtig eingesetzt kann KI so zu mehr Fairness und nachhaltigen Finanzdienstleistungen beitragen.
KI-Service Desk schafft Abhilfe
Der Digital Operational Resilience Act (DORA) dürfte dafür gesorgt haben, dass die meisten Banken bereits auf dem richtigen Weg sind. Bei etwaigen Unsicherheiten hilft derzeit die Bundesnetzagentur mit ihrem KI-Service Desk. Hier sind alle derzeit verfügbaren Informationen rund um den AI Act übersichtlich erklärt. Ein KI-Compliance Kompass unterstützt zudem bei der Feststellung, ob geplante Anwendungen KI-Systeme im Sinne des AI Acts sind und – falls sie das sind – in welche Risikoklasse sie fallen und wie weiter zu verfahren ist. „Die Betreiber des KI-Systems müssen sicherstellen und erklären, dass ihr System AI Act-konform ist“, klärt Aurin auf. Vorbehaltlich des Durchführungsgesetzes liegt die Marktüberwachung von Finanzdienstleistungen dann bei der BaFin, die zum Beispiel beschwerdebasiert eingreifen wird. Abgesehen von immensen Reputationsschäden klärt Artikel 99 darüber auf, was ein Verstoß zur Folge hat: Im schlimmsten Fall sind dann bis zu sieben Prozent des weltweiten Jahresumsatzes als Strafe fällig.
Zu den Personen
Patrick Aurin
Referatsleiter Bundesnetzagentur
ist auch Co-Leiter der Projektgruppe, die sich mit der nationalen Umsetzung des AI Acts befasst – also mit der zukunftsweisenden Frage, wie wir Künstliche Intelligenz sicher, vertrauenswürdig und zugleich innovationsfördernd in den europäischen Rechtsrahmen einbetten, um technologische Entwicklung und gesellschaftlichen Fortschritt in Einklang zu bringen.
Das könnte Sie auch interessieren
InfoSec26 – Informationssicherheit im Finanzsektor
Ob DORA, EBA-Guidelines oder Cyber Resilience Act: Die regulatorische Landschaft verändert sich rasant. Die InfoSec26 ist Ihr jährliches Update im Bereich Informationssicherheit und wird unterstützt von PwC Deutschland.
Podcast: FiDA ist mehr als nur Compliance
Schon jetzt ist klar, dass FiDA noch nicht der letzte regulatorische Akt beim Thema Datenöffnung sein wird, erläutert Stephan Mietke vom Bankenverband im Gespräch mit Ute Kolck.
Magazin: Sorgen PSR und PSD3 für weniger Betrug?
Die Regeln werden immer detaillierter und Banken sollen bei Zahlungsverkehrsbetrug verstärkt in Haftung genommen werden. Schützt das alles vor Betrug oder locken die Regelungen Betrüger:innen sogar an?
Mehr erfahren
Entdecken Sie weitere Facetten des Bank-Verlags
Unser Magazin & Newsletter BV connect
Sie wollen erfahren, was gerade in der Finanzbranche diskutiert wird? In unserem Magazin finden Sie Hintergründe, Interviews, Podcasts und aktuelle Fachveranstaltungen.
Unser Podcast: BV durch die bank
Der Podcast zur Digitalisierung der Finanzbranche. Wir gehen hinter die Buzzwords und bitten Experten zum Gespräch. Entdecken Sie unsere Podcastfolgen.
Akademie
Die aktuellen Herausforderungen der Finanzbranche sind spannend und chancenreich. Erhalten Sie wertvolle Wissens-Upgrades und inspirierende Angebote, die Sie professionell weiterbringen.