BaFin macht KI-Risiken zur Chefsache für Banken und Versicherer

Die Finanzaufsicht BaFin stellt künstliche Intelligenz unter scharfe Beobachtung und verlangt von Instituten lückenlose Kontrolle über algorithmische Systeme. Ihre neue Orientierungshilfe definiert KI als zentrales IKT-Risiko.

Frankfurt – Mit dem Start ins Geschäftsjahr 2026 setzt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein klares Signal: Der Umgang mit Künstlicher Intelligenz wird zum Prüfstein für die Stabilität des Finanzsektors. Kurz vor Weihnachten veröffentlichte die Behörde eine umfassende „Orientierungshilfe zu IKT-Risiken bei KI-Nutzung“. Das Dokument gibt Banken und Versicherern den Fahrplan vor, wie sie KI-Systeme in das regulatorische Rahmenwerk der europäischen Digital Operational Resilience Act (DORA) integrieren müssen.

Für Compliance-Verantwortliche und IT-Leiter bedeutet dies konkrete Arbeit. Die neuen Standards müssen unverzüglich in die Risikomanagement-Strategien für 2026 einfließen. Die Botschaft der Aufseher ist eindeutig: Die Phase des Experimentierens ist vorbei, jetzt geht es um verantwortungsvolle Implementierung.

Seit August 2024 gelten in der EU umfassende Regeln für KI‑Systeme – und die BaFin macht klar, dass Finanzinstitute diese Vorgaben jetzt praktisch umsetzen müssen. Unser kostenloser Umsetzungsleitfaden zur EU‑KI‑Verordnung erklärt praxisnah, welche Kennzeichnungspflichten, Risikoklassen und Dokumentationspflichten auf Entwickler und Anwender zukommen, liefert konkrete Checklisten für Ihre Gap‑Analyse und hilft Compliance‑Teams, Prüfanforderungen zu erfüllen. Jetzt kostenlosen KI‑Umsetzungsleitfaden herunterladen

KI wird zum Kernbestandteil der IKT-Risikolandschaft

Der entscheidende Schritt der BaFin ist die Einstufung von KI-Systemen als Informationstechnologie (IKT)-Vermögenswerte. Damit bindet die Aufsicht KI explizit an die bestehenden DORA-Vorgaben. Die spezifischen Risiken algorithmischer Modelle – wie undurchsichtige Entscheidungswege, Datenabhängigkeiten und Automatisierungsfehler – werden damit zu integralen Bestandteilen der IKT-Risikostrategie.

Finanzinstitute müssen für ihre KI-Modelle dieselben strengen Resilienzstandards nachweisen wie für ihre kritische Banken-IT. Dazu gehören die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit der Daten über den gesamten KI-Lebenszyklus. Die BaFin verlangt zudem ein vollständiges Inventar aller eingesetzten KI-Systeme, klassifiziert nach ihrer Bedeutung für den Geschäftsbetrieb.

Lebenszyklus-Kontrolle von der Entwicklung bis zur Abschaltung

Die Orientierungshilfe führt einen lebenszyklusorientierten Ansatz ein. Kontrollen sind in vier zentralen Phasen vorgeschrieben:

1. Datenbeschaffung und -aufbereitung: Institute müssen Qualität und Herkunft der Trainingsdaten sicherstellen. Dokumentierte Validierungsprozesse sollen „Data Poisoning“ und Verzerrungen verhindern.
2. Modellentwicklung: In dieser Phase sind strenge Tests gegen Angriffe und Leistungsabfall Pflicht. Modelle müssen auch unter Stressmarkt-Bedingungen robust funktionieren.
3. Betrieb und Überwachung: Der Dauerbetrieb erfordert durchgängiges „Human-in-the-Loop“-Monitoring. Automatisierte Systeme dürfen nicht ohne effektive Aufsichtsmechanismen laufen, die in Echtzeit eingreifen können.
4. Außerbetriebnahme: Ein neuer Fokus liegt auf der sicheren Abschaltung. Deaktivierte Systeme dürfen keine Sicherheitslücken hinterlassen oder sensible Daten unrechtmäßig speichern.

Strategische Verantwortung steigt in die Vorstandsetage

Die BaFin macht die Governance zur Chefsache. Die gesamte Verantwortung für die KI-Strategie trägt demnach die Geschäftsleitung. Dies soll verhindern, dass KI-Risiken in IT-Abteilungen „verschwinden“ und hebt das Thema auf Vorstandsebene.

Finanzinstitute müssen eine klare KI-Strategie definieren, die mit ihren Geschäftszielen und ihrer Risikobereitschaft im Einklang steht. Diese Strategie ist regelmäßig zu überprüfen. Zudem betont die Aufsicht die Notwendigkeit interdisziplinärer Kompetenz: Risikomanagement-Teams müssen über spezifisches KI-Fachwissen verfügen, um automatisierte Systeme wirksam hinterfragen zu können.

Brücke zwischen DORA und dem kommenden KI-Gesetz der EU

Die Veröffentlichung kommt zu einem kritischen Zeitpunkt. Während DORA seit Januar 2025 in Kraft ist, hatten viele Institute Schwierigkeiten, die Prinzipien auf sich schnell entwickelnde KI-Technologien anzuwenden.

Experten sehen in der BaFin-Hilfe eine notwendige Brücke zwischen DORA und dem bevorstehenden EU-KI-Gesetz. Während der EU-Entwurf grundlegende Rechte und Sicherheit in den Vordergrund stellt, fokussiert die BaFin auf operative Stabilität und Marktintegrität. „Dieses Dokument beendet effektiv die Phase der Unklarheit, wie DORA auf KI anzuwenden ist“, kommentiert eine regulatorische Analyse. „Es macht klar: Es gibt keine ‚KI-Ausnahme‘.“

Ausblick: Vom „Soft Law“ zur harten Prüfungsrealität

Die Orientierungshilfe ist derzeit nicht bindend, signalisiert aber eindeutige Erwartungen der Aufsicht. Marktbeobachter rechnen damit, dass diese „Soft Law“-Standards verpflichtend werden, sobald die Hochrisiko-Vorgaben des EU-KI-Gesetzes 2026/27 voll wirksam werden.

BaFin wird die Leitlinien voraussichtlich in ihre regulären Aufsichtsprüfungen integrieren. Institute müssen damit rechnen, dass künftige IT-Inspektionen gezielt ihre KI-Inventare und Validierungsprotokolle unter die Lupe nehmen.

Die unmittelbare Aufgabe für deutsche Finanzunternehmen lautet nun: eine Gap-Analyse ihrer aktuellen KI-Nutzung am neuen Lebenszyklus-Rahmen der BaFin ausrichten. Die Schonfrist ist abgelaufen – 2026 wird zum Jahr der operationalen KI-Resilienz.

PS: Sie wollen Haftungsrisiken und Prüfungsfragen bei KI schnell bereinigen? Der Gratis‑Umsetzungsleitfaden zur EU‑KI‑Verordnung zeigt Compliance‑Teams und Geschäftsleitungen Schritt für Schritt, wie KI‑Modelle korrekt zu klassifizieren sind, welche Dokumentation erforderlich ist und wie Übergangsfristen eingehalten werden. Mit Mustervorlagen für Gap‑Analysen und konkreten Praxisbeispielen. Gratis KI‑Umsetzungsleitfaden jetzt sichern