Diese KI-Regelwerke sollten Fintechs und Banken kennen

Die Lage in drei Sätzen

Vier Regelwerke fallen 2026 zusammen und betreffen jeden, der KI in Banking, Payment oder Versicherung einsetzt. Bis zum 2. August 2026 muss jedes System, das über Kreditwürdigkeit, Versicherungsprämien oder Kund*innen-Zugang entscheidet, alle Compliance-Fragen technisch gelöst haben: Doku, Logging, menschliche Kontrolle und Erklärbarkeit. Wer das verschläft, riskiert nicht nur Bußgelder, sondern Prüfungsfeststellungen und einen Kapitalaufschlag der Bafin.

Was sich konkret ändert

Ein abgelehnter Kreditantrag, August 2026

Bisher: Ein*e Kund*in bekommt eine Standardabsage. Der Score sei zu niedrig, mehr Infos erhält er beziehungsweise sie nicht.

Künftig: Der oder die Kund*in kann eine Erklärung verlangen, warum genau der Antrag abgelehnt wurde. Als Antwort reicht dann nicht, dass der Algorithmus so entschieden hat. Sondern: welche Faktoren wie stark beigetragen haben. Wer das nachlesen möchte, muss Artikel  26, Absatz 11 im AI Act der europäischen Union aufschlagen und auch auf Artikel 22 der DSGVO schauen. Wer keine SHAP- oder LIME-Werte zur Hand hat, kann die Frage nicht beantworten.

Ein GenAI-Chatbot im Online-Banking

Bisher: Der Bot läuft, das Marketing freut sich, niemand schaut genau hin.

Künftig: Jeder Bot-Dialog muss geloggt sein, nachvollziehbar, mit Zeitstempel und Modellversion. Wenn der Bot eine falsche Auskunft gibt und d*ie Kund*in daraufhin Geld verliert, fragt die Bafin: Welches Modell, welche Version, welcher Prompt, welcher Output? Wer das nicht beantworten kann, hat ein Problem.

Ein Score von Schufa oder Creditreform

Bisher: Score reinholen, Entscheidung treffen, fertig.

Künftig: Banken, Fintechs und Co. sind Betreiber im Sinne des AI Act. Auch wenn sie das Modell nicht selbst bauen, verantworten sie die Nutzung. Das heißt: Sie brauchen eine Folgenabschätzung, eine Dokumentation, ein Verfahren für den Fall, dass der Score falsch ist. „Die Schufa macht das schon" reicht nicht.

Ein Betrugserkennungssystem eines US-Anbieters

Bisher: Vertrag, Integration, Go-Live.

Künftig: Der Vertrag muss Audit-Rechte enthalten, Model-Change-Notification und Incident-Reporting innerhalb von Stunden. Ohne diese Klauseln verstoßt ihr gegen die EU-Richtlinie Dora. Die meisten Standardverträge enthalten genau das nicht.

Die vier Regelwerke, was sie wirklich verlangen

1. EU AI Act

Stichtag: 2. August 2026

Was es ist: Die Verordnung 2024/1689. Sie unterscheidet KI nach Risiko. Credit Scoring und Versicherungs-Pricing sind automatisch Hochrisiko, egal wie simpel das Modell ist. Auch eine logistische Regression auf drei Variablen zählt.

Was Banken und Fintechs konkret tun müssen:

• Alle Kreditentscheidungen, Bonitätsprüfungen, Preisberechnungen für Versicherungen identifizieren. Die müssen alle dieselbe Compliance-Hürde nehmen.

• Eine technische Dokumentation pro System schreiben. Was macht das Modell, mit welchen Daten wurde es trainiert, wie wird es überwacht.

• Menschliche Überprüfung sicherstellen. Ein*e Mitarbeiter*in muss eine Modellentscheidung übersteuern können. Ohne dass dafür ein Ticket über drei Abteilungen läuft.

• Auf Anfrage einer betroffenen Person erklären können, warum die Entscheidung so ausgefallen ist,iIn Klartext, nicht in Mathematik.

• Das System in der EU-Datenbank registrieren, bevor es live geht.

Was es kostet, wenn nicht: Bis 15 Millionen Euro oder drei Prozent vom Konzernumsatz. Bei großen Häusern ist das die zweite Zahl.

2. Dora

Status: Gilt seit dem 17. Januar 2025. 

Was es ist: Die Digital Operational Resilience Act, Dora, behandelt KI-Modelle wie jedes andere Informations- und Kommunikationssystem (ICT). Was zählt: Was passiert, wenn es ausfällt, falsche Werte liefert oder kompromittiert wird?

Was Banken und Fintechs konkret tun müssen:

• Jeden KI-Anbieter ins ICT-Drittparteienregister eintragen. OpenAI, Anthropic, Mistral, die SaaS-Fraud-Plattform, alle.

• Die kritischen identifizieren. Was passiert, wenn der Anbieter morgen den Stecker zieht? Gibt es eine Exit-Strategie?

• Vertragsklauseln nach Art. 30 nachverhandeln. Audit-Recht, Subunternehmer-Kontrolle, Incident-Meldung. Das mögen die Anbieter nicht. Aber Dora verlangt es.

• Modelldrift als ICT-Vorfall behandeln. Wenn das Scoring-Modell plötzlich anders entscheidet, ist das meldepflichtig.

Was es kostet, wenn nicht: Bis zu einen Prozent des Tagesumsatzes pro Tag. Das summiert sich schnell zu sechsstelligen Beträgen.

3. MaRisk, 9. Novelle

Stand: Bafin-Konsultation 02/2026 läuft. Finalfassung Ende 2026, Übergangsfrist zwei Jahre.

Was es ist: Die deutsche Bankenaufsicht zieht nach. Das neue Modul AT 4.3.4 regelt KI-Modelle erstmals explizit. Bisher hat die Bafin KI über die Hintertür „Modellrisiko" geprüft. Jetzt steht es ausdrücklich drin.

Was Banken und Fintechs konkret  tun müssen:

• Ein Modellinventar pflegen. Nicht nur die klassischen Risikomodelle, sondern auch GenAI im Kund*innen-Service, KI-gestützte Kategorisierungen, automatische Klassifizierer.

• Modelle validieren. Auch Drittanbieter-Modelle. „Die haben das schon getestet" reicht der Bafin nicht.

• Modelle überwachen. Drift, Performance, Fairness. Mit dokumentiertem Verfahren.

• Die Verbindung zu BAIT und bestehender MRM-Doku herstellen. Wer beides getrennt aufbaut, doppelt die Arbeit.

Was es kostet, wenn nicht: Keine direkten Bußgelder. Aber Prüfungsfeststellungen, in schweren Fällen ein aufsichtlicher Kapitalaufschlag. Das ist teurer als jede Strafe.

4. DSGVO Art. 22 und Datenschutz

Status: Gilt seit 2018, wird durch den AI Act schärfer interpretiert.

Was es ist: Artikel 22 verbietet vollautomatisierte Entscheidungen mit erheblicher Wirkung auf Personen, sofern keine Ausnahme greift. Genau hier sitzen Kreditentscheidungen und Versicherungstarife.

Was Banken und Fintechs konkret tun müssen:

• Bei jeder automatisierten Entscheidung eine Rechtsgrundlage benennen können. Vertrag, Einwilligung oder gesetzliche Grundlage.

• Eine echte menschliche Überprüfung anbieten. Nicht: „Mitarbeiter*in klickt OK". Sondern: jemand mit Befugnis schaut sich den Fall an.

• Eine Datenschutz-Folgenabschätzung (DSFA) machen. Die läuft parallel zur Grundrechte-Folgenabschätzung (Fria) aus dem AI Act. Beide in einem Prozess zusammenzuführen spart Arbeit.

• Auftragsverarbeitungsverträge mit KI-Anbietern abschließen. Auch mit OpenAI und Co.

Was es kostet, wenn nicht: Bis 20 Millionen Euro oder vier Prozent Konzernumsatz. Höher als der AI Act.

Was bis wann passieren muss

Mai 2026: MaRisk-Konsultation endet am 8. Mai. Wer sich beteiligen will, jetzt.

Sommer 2026: Letzte Vorbereitungen für den 2. August. Inventar steht, Logging läuft, Verträge sind nachverhandelt.

2. August 2026: Stichtag AI Act für Hochrisikosysteme. Ab hier können Aufsicht und betroffene Personen Pflichten einklagen.

Herbst 2026: MaRisk-Finalfassung wird erwartet. Mit ihr starten Prüfungen unter den neuen Regeln.

2027 und 2028: Übergangsfrist MaRisk läuft. Volle AI-Act-Durchsetzung greift. Erste Bußgelder im Markt.

KI Exchange

Das alles besprechen wir auf der KI Exchange. Ein Tag, ein Raum, die wichtigsten Stimmen zu KI in Banking, Payment und Versicherung. Praxis statt Slideware. Diskussion statt Monolog. Keynotes, ehrliche Panels, Hands-on-Sessions zu genau diesen Themen.

Hol dir dein Ticket: ki.exchange