Start Über Ansatz High Tech Leistungen Referenzen Blog Erstgespräch
← Alle Beiträge
20.05.2026 · 4 min

EU AI Act bis August 2026: Was Banken jetzt konkret tun müssen

Bis August 2026 müssen Hochrisiko-KI-Systeme im Finanzsektor compliant sein. Wer jetzt nicht startet, zahlt 2026 doppelt.

Was diese Woche passiert ist

Der heise Fachdienst KI PRO hat ein Webinar zur Umsetzungsfrist des EU AI Act angekündigt. Der Termin ist nicht zufällig gewählt: Bis August 2026 müssen Unternehmen die Pflichten für Hochrisiko-KI-Systeme erfüllen. Für die meisten Branchen ist das ein technisches Compliance-Thema. Für Banken, Versicherer und Asset-Manager ist es etwas anderes. Es ist ein operatives Problem mit Sanktionsrisiko bis 35 Millionen Euro oder 7 Prozent des globalen Konzernumsatzes.

Die wichtigsten Eckdaten im Schnellüberblick:

  • Februar 2025: Verbot bestimmter KI-Praktiken ist bereits in Kraft (Social Scoring, manipulative Systeme).
  • August 2025: Pflichten für General-Purpose-AI-Modelle (GPT, Claude, Gemini, Mistral) gelten für die Anbieter.
  • August 2026: Vollständige Anwendung der Hochrisiko-Vorschriften. Das betrifft die Anwender, also Sie als Bank oder Finanzdienstleister.
  • August 2027: Übergangsfristen für bestimmte Bestandssysteme laufen aus.

Die Uhr tickt. Und im Finanzsektor sind die Anforderungen härter als anderswo, weil sich der AI Act mit DORA, MiCA und den bestehenden EBA-Guidelines zu Modellrisiko überlagert.

Warum es für Finanzdienstleister jetzt zählt

Der entscheidende Punkt im AI Act ist Anhang III. Dort steht, welche Systeme als Hochrisiko gelten. Für den Finanzsektor sind drei Bereiche explizit genannt:

  1. Kreditwürdigkeitsprüfung natürlicher Personen. Jedes Scoring-Modell, das über Konsumentenkredite, Hypotheken oder Kreditkartenlimits entscheidet, fällt darunter. Auch wenn es nur als Decision-Support für den Sachbearbeiter dient.
  2. Risikoeinschätzung und Preisgestaltung bei Lebens- und Krankenversicherungen. Aktuariate, die ML-Modelle einsetzen, sind direkt betroffen.
  3. Biometrische Identifikation im KYC-Onboarding. Wer Liveness-Detection oder Gesichtsabgleich nutzt, hat eigene Auflagen.

Aus meiner Sicht unterschätzen viele Häuser einen vierten Punkt: Mitarbeiter-bezogene KI-Systeme im Recruiting und in der Leistungsbewertung sind ebenfalls Hochrisiko. Das betrifft jede Bank, die KI für CV-Screening oder Kompetenzbeurteilung einsetzt.

Was heißt Hochrisiko konkret? Sie brauchen:

  • Ein dokumentiertes Risikomanagement-System über den gesamten Lebenszyklus.
  • Data-Governance mit nachweisbarer Qualität, Repräsentativität und Bias-Prüfung der Trainingsdaten.
  • Technische Dokumentation nach Anhang IV. Das sind bei einem nicht-trivialen Modell 40 bis 80 Seiten.
  • Logging und Nachvollziehbarkeit jeder Entscheidung.
  • Menschliche Aufsicht mit echten Eingriffsmöglichkeiten, nicht nur formal.
  • Genauigkeit, Robustheit und Cybersecurity-Nachweise.
  • Eine Konformitätserklärung und CE-Kennzeichnung des Systems.

Häufiges Muster in den Beratungsgesprächen der letzten Monate: Die Compliance-Abteilung weiß grob, was kommt. Die IT-Abteilung kennt ihre Modellbestände nicht vollständig. Und die Fachbereiche haben in den letzten zwei Jahren stillschweigend Shadow-AI-Lösungen eingeführt, die niemand inventarisiert hat. Diese drei Lücken zusammen kosten Sie ab August 2026 bares Geld.

Die BaFin hat im Herbst 2025 klargemacht, dass sie den AI Act integriert in bestehende Aufsichtsprozesse prüft. Heißt: Bei der nächsten MaRisk-Prüfung wird auch die KI-Governance angesehen. Wer dann keinen sauberen Modellkatalog vorlegen kann, hat ein Problem, das über den AI Act hinausgeht.

Konkrete Handlungsempfehlung

Wenn Sie heute noch nicht systematisch begonnen haben, schlage ich drei Schritte in dieser Reihenfolge vor.

Schritt 1: KI-Inventar bis Ende des Quartals.

Erstellen Sie eine vollständige Liste aller KI- und ML-Systeme im Haus. Nicht nur die offiziellen, sondern auch:

  • Excel-Modelle mit eingebetteten ML-Komponenten.
  • Copilot- und ChatGPT-Nutzung in den Fachbereichen.
  • Zugekaufte Software, in der Anbieter KI-Features integriert haben (CRM, Treasury-Systeme, Fraud-Tools).
  • Modelle in der Marktrisiko- und Kreditrisiko-Methodik.

Für jeden Eintrag: Was macht das System, welche Daten verarbeitet es, welche Entscheidung beeinflusst es, ist es Hochrisiko nach Anhang III. Diese Inventur ist nicht optional. Ohne sie wissen Sie nicht, wo Sie stehen.

Schritt 2: Gap-Analyse für jedes Hochrisiko-System bis Mitte 2026.

Für jedes als Hochrisiko klassifizierte System brauchen Sie eine konkrete Lückenanalyse gegen die Anforderungen aus Kapitel III, Abschnitt 2 des AI Act. Typische Befunde aus der Praxis:

  • Trainingsdaten-Dokumentation fehlt oder ist unvollständig.
  • Bias-Tests wurden zwar gemacht, aber nicht reproduzierbar dokumentiert.
  • Logging existiert, aber speichert keine entscheidungsrelevanten Inputs.
  • Das menschliche Override ist im UI nicht klar implementiert.

Planen Sie pro Hochrisiko-System realistisch drei bis sechs Monate für die Nachdokumentation und technische Anpassung. Bei eingekauften Systemen müssen Sie früh mit dem Anbieter klären, wer welchen Teil der Konformität liefert. Der Vertrag ist meistens nicht eindeutig.

Schritt 3: AI-Literacy-Programm bis Februar 2026.

Artikel 4 des AI Act verlangt seit Februar 2025, dass Mitarbeiter, die mit KI-Systemen umgehen, ausreichende Kompetenz haben. Das ist nicht delegierbar an die Compliance-Abteilung. Jeder Kreditanalyst, jeder Portfolio-Manager und jeder Trader, der KI-gestützte Tools nutzt, braucht eine dokumentierte Grundausbildung.

Mein Rat: Machen Sie kein generisches E-Learning. Bauen Sie rollenspezifische Module. Ein Wealth-Manager, der einen LLM-basierten Client-Report-Generator nutzt, braucht andere Inhalte als ein AML-Analyst, der mit Pattern-Detection-Modellen arbeitet. Die häufigsten Fehlerquellen sind rollenspezifisch.

Was passiert, wenn Sie warten

Der AI Act ist nicht die DSGVO. Die DSGVO wurde durch Abmahnungen, Bußgelder und Aufsichtsverfahren über Jahre langsam scharfgestellt. Beim AI Act ist die Aufsicht in Finanzdienstleistung bereits etabliert: BaFin, FMA, FINMA sind handlungsfähig und prüfen schon heute KI-Governance im Rahmen ihrer regulären Aufsicht.

Ab August 2026 reicht es nicht mehr, einen Plan zu haben. Sie müssen Konformität nachweisen. Wer dann erst startet, kauft Beratungskapazität zu Spitzenpreisen ein, hetzt durch die Dokumentation und nimmt operative Risiken in Kauf. Das doppelt-und-dreifach zu zahlen ist vermeidbar, wenn Sie 2025 sauber starten.

Die gute Nachricht: Für Häuser, die ihre Modellgovernance unter MaRisk und BAIT bereits ernst nehmen, ist der AI Act eher Erweiterung als Neuanfang. Die schlechte Nachricht: Niemand wird Sie 2026 noch nett daran erinnern.

Newsletter

Ein Newsletter, unbegrenztes Wissen.

Jede Woche die aktuellsten News zum Thema künstliche Intelligenz für den Einsatz in Ihrem Unternehmen.