KI-Compliance im Finanzsektor – Risiko oder Chance?

Künstliche Intelligenz ist längst Teil des Finanzsektors. Banken nutzen sie für Kreditentscheidungen, Marktanalysen, Geldwäscheerkennung und Betrugserkennung. Versicherer setzen sie in der Schadenbearbeitung ein. Was nach Effizienz klingt, bringt neue Risiken. Entscheidungen werden undurchsichtig, Modelle übernehmen Fehler aus Daten, Verantwortlichkeiten verschwimmen. Compliance muss hier Schritt halten – mit klaren Regeln, Dokumentation und Kontrolle.

1. Regulatorischer Rahmen

Die EU schafft mit dem AI Act erstmals einen verbindlichen Rechtsrahmen für den Einsatz von KI. Finanzdienstleister sind besonders betroffen, da viele ihrer Anwendungen als Hochrisiko-Systeme gelten. Wer ein Scoring-Modell oder automatisierte Kreditprüfung betreibt, muss künftig Trainingsdaten, Entscheidungslogik und Tests dokumentieren. Verstöße können Bußgelder im zweistelligen Millionenbereich auslösen.

Der Digital Operational Resilience Act (DORA) ergänzt das Ganze. Auch wenn DORA nicht direkt auf KI zielt, betrifft er alle IKT-Systeme, die für den Geschäftsbetrieb kritisch sind. Fällt ein KI-gestütztes Betrugserkennungssystem aus, ist das ein operationelles Risiko und damit ein DORA-Thema.

Hinzu kommt die BaFin, die in BAIT und MaRisk Governance-Pflichten betont: Nachvollziehbarkeit, Unabhängigkeit der Validierung und Kontrolle von Drittanbietern. Dazu bleibt die DSGVO zentral. KI-Modelle dürfen keine unzulässigen Daten verarbeiten und müssen erklärbar sein, wenn sie personenbezogene Entscheidungen treffen.

2. Risiken durch KI-Systeme

KI im Finanzsektor ist nie neutral. Sie arbeitet auf Basis von Daten, die Menschen ausgewählt, strukturiert oder bewertet haben. Genau hier entstehen Risiken, die Compliance erfassen und kontrollieren muss.

Intransparenz (Black Box-Risiko): Viele Machine-Learning-Modelle sind komplexe neuronale Netze. Sie liefern Ergebnisse – aber keine nachvollziehbare Begründung. Das ist ein Problem, sobald Entscheidungen auf Menschen wirken: Kreditbewilligung, Scoring, Preisgestaltung.Die Aufsicht verlangt, dass Institute den Entscheidungsprozess erklären können („Explainable AI“). Wenn die Logik nicht dokumentiert oder reproduzierbar ist, fehlt die Grundlage für jede Compliance- oder Revisionsprüfung.

Bias und Diskriminierung: Fehlerhafte oder unausgewogene Trainingsdaten führen zu strukturellen Verzerrungen.Beispiel: Ein Modell, das Kreditwürdigkeit aus historischen Kundendaten ableitet, kann Frauen oder junge Selbstständige systematisch benachteiligen, wenn die Trainingsbasis diese Gruppen in der Vergangenheit unterrepräsentiert hat.BaFin und EU-Kommission sehen hier klare Pflichten zur Datenselektion, Anonymisierung und regelmäßigen Überprüfung der Modelle auf Diskriminierungseffekte.

Datenrisiken: KI ist datenhungrig. Viele Modelle werden mit Daten aus unterschiedlichen Quellen gespeist CRM-Systeme, Open-Data-Sets, gekaufte Datenpools. Ohne saubere Herkunftsnachweise („Data Lineage“) wird jede DSGVO- oder DORA-Prüfung zum Risiko.Fehlen Löschkonzepte, laufen Unternehmen Gefahr, personenbezogene Daten über den zulässigen Zweck hinaus zu speichern. Auch synthetische Daten sind nicht automatisch unproblematisch, wenn sie auf echten Personen basieren.

Operationelle Risiken: Ein fehlerhaft trainiertes Modell kann falsche Betrugsmuster erkennen oder Transaktionen blockieren.Wenn KI-Systeme in Kernprozesse eingebunden sind etwa in der Transaktionsüberwachung oder Marktpreisberechnung gilt ihr Ausfall oder Fehlverhalten als kritisches IKT-Ereignis im Sinne von DORA. Compliance muss hier mit BCM und IT-Risikomanagement abgestimmt arbeiten: Welche Systeme sind kritisch, welche Alternativen existieren, wie läuft die Wiederherstellung?

Drittanbieter- und Outsourcing-Risiken: Viele Finanzunternehmen beziehen KI-Lösungen von externen Anbietern oder nutzen Cloud-basierte APIs. Ohne klare vertragliche Regelungen zu Audit-Rechten, Modellzugriff und Incident-Meldung bleibt das Institut haftbar, wenn etwas schiefläuft.DORA und MaRisk fordern, dass Kontrollrechte vertraglich gesichert sind. Auch der Exit, also der Wechsel des Anbieters, muss technisch und organisatorisch möglich bleiben.

Reputationsrisiken: Fehlentscheidungen durch KI sind nicht nur technische, sondern kommunikative Krisen.Ein Beispiel: Ein Algorithmus lehnt automatisiert Kredite ab, weil ein fehlerhafter Datensatz Wohnviertel mit höherem Ausfallrisiko verknüpft. Wird das öffentlich, entsteht der Eindruck von Diskriminierung. Solche Fälle zerstören Vertrauen und führen zu regulatorischen Verfahren.

Compliance-Implikation:Jede dieser Risikoarten verlangt ein eigenes Kontroll-Setup – ähnlich wie bei klassischen operationellen Risiken. Nur reicht hier die technische Prüfung allein nicht.Compliance muss prüfen, ob Governance, Dokumentation, Datenqualität und Modellüberwachung den gesetzlichen Standards entsprechen.

3. Anforderungen an Compliance-Funktionen

KI verändert nicht nur Geschäftsprozesse, sondern auch die Verantwortungslage. Die Aufsicht erwartet, dass Compliance KI-Systeme genauso prüft wie jedes andere Kontrollobjekt. Das bedeutet: KI muss in die bestehende Governance-Struktur integriert werden mit klaren Zuständigkeiten, Prozessen und Nachweisen.

Governance und Verantwortlichkeiten: Jede KI-Anwendung braucht einen eindeutigen „Owner“ in der Regel der Fachbereich, der sie betreibt. Compliance sorgt dafür, dass Verantwortlichkeiten schriftlich festgehalten sind: wer genehmigt, wer überwacht, wer eingreift.BaFin und EBA fordern, dass KI-Systeme in die bestehende IT-Governance eingebettet werden. Das gilt auch für ausgelagerte Systeme. Wer sich auf externe Modelle stützt, bleibt trotzdem verantwortlich.

Dokumentation und Nachvollziehbarkeit: Dokumentation ist der zentrale Prüfstein.Ein vollständiges Modell-Dossier sollte enthalten:

• Zweck und Einsatzbereich der KI

• Beschreibung der verwendeten Daten (Quelle, Qualität, Löschkonzepte)

• Trainings- und Testmethodik

• Änderungen und Versionierung

• Ergebnisse unabhängiger Prüfungen

• Entscheidungslogik oder erklärende Modelle

Fehlt diese Dokumentation, kann weder Compliance noch interne Revision eine sachgerechte Prüfung durchführen.

Transparenz und Erklärbarkeit: Das „Explainable AI“-Prinzip (XAI) ist keine akademische Spielerei. Aufsicht und Gerichte müssen Entscheidungen nachvollziehen können, besonders wenn sie Auswirkungen auf Kunden haben.Die Compliance-Funktion sollte daher ein Mindestmaß an Transparenz definieren zum Beispiel Schwellenwerte, ab denen ein Modell eine manuelle Überprüfung erfordert.

Kontrolle und Monitoring: Modelle müssen wie Prozesse behandelt werden: mit regelmäßigen Kontrollen, definierten Prüfintervallen und Nachweisen.Prüfungspunkte sind etwa:

• Qualität und Relevanz der Daten

• Modellabweichungen („Drift Detection“)

• Validierungsergebnisse

• Fehler- und Incident-BerichteDas Monitoring sollte automatisiert ablaufen, aber von einer unabhängigen Stelle bewertet werden etwa einer Modellvalidierungseinheit oder internen Revision.

Drittparteien-Management: Viele Institute unterschätzen das Risiko ausgelagerter KI-Dienste.Jeder Anbieter, der Modelle bereitstellt oder trainiert, muss denselben Kontrollanforderungen genügen wie ein interner Prozess.Das bedeutet:

• Due Diligence vor Vertragsabschluss

• vertragliche Festlegung von Prüf- und Audit-Rechten

• technische Zugriffsmöglichkeiten auf Modelle und Daten

• Exit-Strategie, falls der Anbieter ausfällt oder gegen Auflagen verstößt

Hier überschneiden sich DORA, MaRisk und EBA Outsourcing Guidelines – Compliance muss diese Anforderungen bündeln, statt sie getrennt zu prüfen.

Schulung und Bewusstsein: KI-Compliance steht und fällt mit dem Verständnis der Beteiligten. Fachabteilungen müssen wissen, welche regulatorischen Pflichten gelten von DSGVO über DORA bis AI Act.Schulungen sollten auf Rollen zugeschnitten sein: Entwickler, Datenanalysten, Produktverantwortliche und Compliance. Ziel ist kein technisches Wissen, sondern Risikobewusstsein.

Verknüpfung mit bestehenden Kontrollsystemen: KI sollte nicht als neues Kontrollfeld behandelt werden, sondern als Erweiterung bestehender Strukturen:

• Integration in das interne Kontrollsystem (IKS)

• Verknüpfung mit IT-Risikomanagement nach DORA

• Abbildung im Compliance-Monitoringplan

• Reporting in den jährlichen Compliance-Bericht

So wird KI Teil der regulären Überwachung, statt als Sonderthema nebenherzulaufen.

4. Umsetzung in der Praxis

KI-Governance entsteht nicht durch Richtlinien, sondern durch Einbindung. Compliance sollte von Anfang an Teil jedes KI-Projekts sein. Vor dem Einsatz braucht jede Anwendung eine Risiko- und Compliance-Prüfung. Wesentliche Systeme etwa solche, die Kundenentscheidungen beeinflussen unterliegen einer formalen Freigabe.

Dokumentation schafft Nachvollziehbarkeit: Zweck, Datenquellen, Trainingsverfahren und Änderungen müssen jederzeit belegt werden können. Im Betrieb gilt: Modelle verändern sich. Regelmäßiges Monitoring auf Datenqualität, Fehlverhalten und Bias ist Pflicht.

Wesentlich ist die Zusammenarbeit. Compliance, Datenschutz, IT und Fachbereiche müssen eng abstimmen, um Risiken früh zu erkennen. KI wird so zu einem normalen Teil der Kontrolllandschaft mit denselben Prinzipien wie jedes andere Risiko: Verantwortung, Transparenz, Dokumentation.

5. Fazit

Künstliche Intelligenz verändert den Finanzsektor – und damit auch Compliance. Der Einsatz ist erlaubt, aber nur unter klaren Bedingungen: erklärbare Entscheidungen, saubere Daten, überprüfbare Modelle.Wer KI ohne Governance nutzt, riskiert Aufsichtsbeschwerden und Reputationsschäden. Wer sie kontrolliert einsetzt, gewinnt an Effizienz und Glaubwürdigkeit.

KI-Compliance ist kein Zusatzaufwand. Sie ist Teil einer stabilen, widerstandsfähigen Organisation. Entscheidend ist, Verantwortung nicht an Technik auszulagern, sondern sie darin zu verankern.

Praxis-Tipp:

Erstelle eine interne KI-Compliance-Checkliste, die technische, rechtliche und organisatorische Anforderungen bündelt von Governance bis Datenmanagement. Damit lässt sich jedes KI-Projekt frühzeitig einordnen und revisionssicher begleiten.