Executive Summary
Der EU AI Act markiert einen Paradigmenwechsel in der Regulierung von Künstlicher Intelligenz: von Compliance by Policy zu Compliance by Evidence. Banken und Finanzdienstleister müssen künftig nicht nur Richtlinien definieren, sondern die Wirksamkeit ihrer Governance-, Risiko- und Kontrollstrukturen nachweisbar dokumentieren.
Ab 2025 greifen die ersten Pflichten für Betreiber („Deployers“), weitere folgen 2026 und 2027. Ziel ist die institutionalisierte Verantwortung über den gesamten Lebenszyklus von KI-Systemen – einschließlich Governance, Kompetenz, Transparenz und Kontrolle.
Frühzeitig aufgesetzte Governance-Strukturen verschaffen nicht nur regulatorische Sicherheit, sondern auch einen Vertrauensvorsprung bei Kunden, Aufsicht und Marktpartnern.
1. Kontext: Von Richtlinien zu Nachweisen
Mit dem Inkrafttreten des EU AI Act im August 2024 entsteht ein neues regulatorisches Fundament für den Einsatz von KI-Systemen in der Europäischen Union. Die Aufsicht erwartet künftig nicht mehr die Existenz von Richtlinien, sondern evidenzbasierte Nachweise über deren Anwendung und Wirksamkeit.
Für Banken bedeutet das:
- Governance und Dokumentation werden Teil der aufsichtsrechtlichen Resilienzprüfung – analog zu DORA und BAIT.
- Lieferantenmanagement wird strategisch: AI-Compliance muss integraler Bestandteil von Procurement- und Vendor-Risk-Frameworks sein.
- Frühzeitige Operationalisierung schafft Wettbewerbsvorteile durch Vertrauensbildung gegenüber Regulatoren und Stakeholdern.
2. Vier Handlungsfelder für 2025
1️⃣ Institutionalisierung von KI-Governance und Inventarisierung
Die Grundlage für AI Compliance ist ein vollständiges KI-Inventar, das alle eingesetzten Modelle nach Risikokategorie (minimal, begrenzt, hoch) klassifiziert. Ein Abgleich mit der EU-Vorlage C (2025) 5235 final wird zum Standardinstrument, um Transparenz über Trainingsdaten, Copyright-Absicherung und Sicherheitsmechanismen herzustellen.
Empfohlene Schritte:
- Aufbau eines zentralen KI-Inventars mit Risikobewertung und Zuständigkeiten.
- Integration der EU-Vorlage C (2025) 5235 als Due-Diligence-Anlage für GPAI-Modelle.
- Ergänzung externer Verträge um Best-Practice-Klauseln zu Transparenz, Copyright und Auditrechten.
- Definition interner Rollen und Verantwortlichkeiten (z. B. AI Compliance Officer, Model Owner, Data Ethics Lead).
2️⃣ Kompetenzaufbau und Schulungspflichten
Regulatoren verlangen, dass alle relevanten Mitarbeitenden über angemessene AI Literacy verfügen – insbesondere im Umgang mit Hochrisiko-Systemen (Art. 26 EU AI Act).
Zentrale Anforderungen:
- Inhalte: Funktionsweise von KI, Bias-Risiken, Transparenz- und Dokumentationspflichten.
- Zielgruppenorientierte Schulungen, nachweisbar und auditfähig dokumentiert.
- Integration in bestehende Lern- und Compliance-Management-Systeme (LMS).
AI Literacy wird damit zu einem formalen Bestandteil des organisationalen Reifegrads – vergleichbar mit Compliance- und Datenschutztrainings.
3️⃣ Technische und organisatorische Maßnahmen (TOM)
Der AI Act fordert ein wirksames Kontrollumfeld über den gesamten Lebenszyklus eines KI-Systems.
Kernpunkte:
- Etablierung von Human Oversight-Prozessen und klaren Eingriffsrechten bei Fehlentscheidungen.
- Sicherstellung von Datenqualität, Monitoring und Protokollierung mit definierter Aufbewahrungsfrist.
- Integration in bestehende Sicherheits-, Datenschutz- und Risikomanagementprozesse (MaRisk, BAIT, EBA, DORA).
- Verknüpfung mit Incident-Meldeprozessen und KPI-basiertem Monitoring.
Technische Maßnahmen werden damit Teil der Governance – nicht nur der IT-Architektur.
4️⃣ Vertragliche und beschaffungsseitige Due Diligence
Die Anforderungen des AI Act müssen in Lieferanten- und Beschaffungsverträgen abgebildet werden.
Empfehlungen:
- Nutzung der EU-Vorlage „Public Summary of Training Content“ (C (2025) 5235) als Standardanhang für Due-Diligence-Prozesse.
- Ergänzung um vertragliche Transparenz-, Audit- und Copyright-Klauseln.
- Regelmäßige Überprüfung der Provider-Compliance im Rahmen des Vendor Risk Managements.
Der Einkauf wird damit zu einer zentralen Governance-Funktion im KI-Kontext.
3. Zeitachse 2024–2027: Von Einführung zu Nachweisführung
| Jahr | Schwerpunkt | Status |
|---|---|---|
| 2024 (Q3) | AI Act in Kraft (1. August 2024) | 🟢 Beobachten |
| 2025 (Q1–Q4) | Aufbau von Governance, Inventar, AI Literacy und Vertragsstandards | 🟡 Handeln |
| 2026 | Pflichten für Betreiber von Hochrisiko-Systemen werden wirksam (Art. 26) | 🟠 Umsetzen |
| 2027 (Q3) | Vollständige Geltung der GPAI-Pflichten und Aufsicht (EU AI Office / Bundesnetzagentur) | 🔴 Nachweisen |
Implikation: 2025 ist das Jahr der Institutionalisierung. Wer jetzt Governance, Schulung und Nachweisstrukturen implementiert, wird 2026 auf Aufsichtsdialoge vorbereitet sein.
4. Zusammenfassung für Banken und Unternehmen (Stand Oktober 2025)
- KI-Inventar und Risikoklassifizierung abschließen und fortlaufend aktualisieren.
- AI Literacy-Programme umsetzen und Nachweise auditfähig dokumentieren.
- Governance- und Monitoring-Prozesse fest in IKS- und Risikostrukturen integrieren.
- Lieferantenverträge standardisieren und Auditrechte implementieren.
- Vorbereitung auf 2026/27 durch Risiko-Reviews, Self-Assessments und Reifegradanalysen.
5. Implikationen für Führungskräfte
Der EU AI Act verändert die Definition von Governance. Verantwortung für KI bedeutet künftig nachweisbare Kontrolle, dokumentierte Kompetenz und gelebte Transparenz.
Institute, die diese Prinzipien frühzeitig operationalisieren,
- sichern regulatorische Resilienz,
- schaffen Vertrauen bei Kunden und Aufsicht,
- und positionieren sich als Gestalter einer sicheren, erklärbaren und ethisch verantwortlichen KI-Nutzung.
Fazit: Vertrauen entsteht durch Nachweis, nicht durch Absicht.
6. Quellen & Referenzen (Stand 20.10.2025)
- EU-Kommission – Erläuternde Hinweise & Template „Public Summary of Training Content“ (2025):
Bietet Beispiele für Transparenzangaben und Dokumentation bei General-Purpose-AI. digital-strategy.ec.europa.eu - Bundesnetzagentur – AI-Office Koordinierungsmandat (2025):
Koordiniert als nationale Kontaktstelle die Umsetzung und Aufsicht des EU AI Act in Deutschland. bundesnetzagentur.de - EBA / ESMA – Statements zu KI-Governance & Operational Resilience (2025):
Definieren Anforderungen an Governance, Risiko- und Kontrollprozesse bei automatisierten Systemen in Banken. eba.europa.eu - EU-Kommission – Leitlinien für GPAI Provider (2025):
Erläutern Pflichten zu Transparenz, Sicherheit und Dokumentation bei allgemeinen KI-Modellen. digital-strategy.ec.europa.eu - EU-Kommission – Code of Practice für GPAI (2025):
Praktische Umsetzung der GPAI-Pflichten aus dem AI Act – mit Vorlagen für Vertragsgestaltung und Compliance-Prüfungen. digital-strategy.ec.europa.eu - EU-Kommission – AI Literacy FAQ (2025):
Fokussiert auf Schulungsanforderungen und AI Literacy in Unternehmen. digital-strategy.ec.europa.eu
Hinterlasse einen Kommentar