Dirk Röthig

Posted on Mar 9 • Edited on Mar 26 • Originally published at dirkroethig.com

GenAI im Banking: Compliance-Countdown zum August 2026

#kicompliance #euaiact #dora #finanzbranche

GenAI im Banking: Compliance-Countdown zum August 2026

Von Dirk Röthig | Freier Journalist & Umweltberater | 9. März 2026

Für Chief Risk Officer und Compliance-Verantwortliche in Finanzinstituten ist 2026 kein gewöhnliches Jahr. Mit DORA bereits in Kraft, dem EU AI Act kurz vor dem entscheidenden Stichtag und dem CRR III-Paket, das die Kapitalanforderungen neu kalibriert, entsteht eine regulatorische Gemengelage, die schnelles, strategisches Handeln erfordert — nicht abstrakte Pilotprojekte.

Tags: KI-Compliance, EU-AI-Act, DORA, Finanzbranche, Regulierung

Stichtag 2. August 2026: Warum jetzt gehandelt werden muss

Methodische Anmerkung: Diese Analyse basiert auf einer systematischen Auswertung aktueller Erhebungen von Bitkom (n=602 Unternehmen), KPMG (n=1.800 Führungskräfte), PwC (n=56.000 Arbeitnehmer weltweit) sowie Arbeitsmarktdaten des IAB (Quartalsbasis). Die Daten wurden im Zeitraum 2024-2025 erhoben und nach der Harvard-Zitierweise dokumentiert.

Der 2. August 2026 markiert einen regulatorischen Wendepunkt, der in seiner Tragweite für die Finanzbranche kaum zu überschätzen ist. Ab diesem Datum treten die vollumfänglichen Compliance-Pflichten des EU AI Act für sogenannte "Hochrisiko-KI-Systeme" in Kraft — und der Finanzsektor ist damit direkt und intensiv betroffen.

Als Dirk Röthig beobachte ich, dass viele Finanzinstitute den August-Stichtag noch immer als abstrakte Zukunft behandeln. Das ist ein strategischer Fehler. Denn der EU AI Act ist nicht das einzige Regelwerk, das Druck erzeugt: DORA ist seit dem 17. Januar 2025 bereits verbindlich in Kraft, und das CRR III/CRD VI-Paket verändert gleichzeitig die Kapitalanforderungen für Risikomodelle. Drei Regelwerke, ein Zeitfenster — wer jetzt nicht handelt, riskiert sowohl regulatorische Sanktionen als auch erhebliche Implementierungskosten unter Zeitdruck.

Dieser Artikel richtet sich nicht an Strategen, die KI als Wettbewerbsvorteil beschreiben möchten. Er richtet sich an CROs, Compliance-Officer und Risikomanager, die konkrete Antworten auf die Frage brauchen: Was muss bis wann umgesetzt sein?

Eine aktuelle Studie bestätigt dies: "KI-intensive Branchen verzeichneten zwischen 2018 und 2024 einen Produktivitätsanstieg von 27 Prozent — das Vierfache des Anstiegs in Branchen ohne KI-Einsatz" (PwC, Global Workforce Hopes & Fears Survey, 2025).

Die Drei-Pfeiler-Architektur: EU AI Act, DORA und CRR III

Pfeiler 1: EU AI Act — Hochrisiko-Klassifikation trifft den Kern des Banking

Der EU AI Act (Verordnung 2024/1689) klassifiziert eine Reihe von KI-Anwendungen explizit als "Hochrisiko-Systeme" — und der Finanzsektor ist in Anhang III gleich mehrfach vertreten (Europäisches Parlament, 2024). Betroffen sind namentlich:

Kreditwürdigkeitsprüfung und Credit Scoring für natürliche Personen
AML-Risikomodelle (Anti-Geldwäsche-Transaktionsmonitoring)
Automatisierte Entscheidungssysteme im Lending und in der Versicherungsprämienberechnung
Biometrische Identifikationssysteme bei der Kundenauthentifizierung

Für diese Systeme schreibt der AI Act ab dem 2. August 2026 ein umfangreiches Pflichtenprogramm vor (EU AI Act, 2024). Dazu gehören:

Risikomanagement-Framework: Schriftliche Risikoanalyse für jedes betroffene KI-System
Technische Dokumentation: Vollständige Dokumentation der Trainingsdaten, Architektur und Validierungsverfahren
Konformitätsbewertung: Entweder Selbstbewertung oder Drittpartei-Audit, abhängig von der Systemkategorie
EU-Datenbankregistrierung: Eintragung in die zentrale EU-Datenbank für Hochrisiko-KI-Systeme
Human Oversight: Nachweisbare menschliche Aufsicht und Eingriffsmöglichkeiten
Monitoring und Logging: Lückenlose Audit-Trails für alle KI-basierten Entscheidungen

Die finanziellen Risiken bei Verstößen sind erheblich: Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder drei Prozent bei sonstigen Verstößen (EU AI Act, 2024). Der extraterritoriale Wirkungsbereich ist dabei zu beachten: Jedes Institut, das EU-Kunden bedient, fällt in den Anwendungsbereich — unabhängig davon, wo die KI-Systeme betrieben werden.

Über die Hälfte der betroffenen Organisationen hat laut aktueller Marktanalyse noch nicht einmal ein grundlegendes KI-Inventar erstellt (Nortal, 2026). Dabei belaufen sich die Compliance-Kosten für Hochrisiko-Systeme großer Institute auf geschätzte 8 bis 15 Millionen US-Dollar pro System — frühe Planung ist erheblich kosteneffizienter als Last-Minute-Implementation (Axis Intelligence, 2026).

Pfeiler 2: DORA — Das Fundament digitaler Widerstandsfähigkeit

Der Digital Operational Resilience Act (DORA, Verordnung 2022/2554) ist kein Zukunftsszenario mehr — er ist seit dem 17. Januar 2025 vollumfänglich wirksam (Europäische Kommission, 2023). Regulatoren behandeln 2025 als Übergangsphase, in der sie Frameworks überprüfen und Lücken identifizieren, bevor härtere Durchsetzungsmaßnahmen folgen.

Für Finanzinstitute, die generative KI einsetzen, ist DORA in mehrfacher Hinsicht relevant:

Drittanbieterrisiko (TPRM): Banken müssen ein vollständiges Register aller IKT-Drittanbieter führen — inklusive Cloud-Provider, KI-API-Anbieter und Modell-Infrastrukturdienstleister. Generative KI läuft überwiegend auf Infrastrukturen weniger großer Anbieter (Microsoft/Azure OpenAI, Google, Amazon), was konzentrations- und systemische Risiken erzeugt, die DORA explizit adressiert (Mayer Brown, 2025).

Operative Resilienz: Jeder KI-basierte Prozess, der als kritisch für den Geschäftsbetrieb gilt, muss auf Resilienz geprüft werden. Das bedeutet: Business-Continuity-Planung für den Ausfall von KI-Diensten, Fallback-Verfahren und regelmäßige Resilienztests (IBM, 2025).

Vertragsanpassungen: DORA schreibt spezifische Vertragsklauseln mit IKT-Drittanbietern vor — inklusive Audit-Rechte, Incident-Reporting-Pflichten und Exit-Strategien. Für viele Fintechs, die stark auf externe Infrastruktur angewiesen sind, bedeutet dies einen erheblichen Verhandlungs- und Rechtsaufwand (Freshfields, 2025).

Die Sanktionen bei DORA-Verstößen: bis zu zwei Prozent des gesamten Jahresumsatzes — ohne Aufgreifschwelle (Europäische Kommission, 2023). Für Lead Overseer von kritischen IKT-Drittanbietern sind es bis zu ein Prozent des durchschnittlichen weltweiten Tagesumsatzes.

Pfeiler 3: CRR III / CRD VI — Neue Kapitalanforderungen für KI-getriebene Risikomodelle

Das CRR III/CRD VI-Paket stellt das umfangreichste Regulierungsvorhaben für den europäischen Bankensektor seit Basel III dar und ist seit 2025 in Kraft (Basel Committee on Banking Supervision, 2024). Für KI-basierte Risikomodelle ergibt sich eine doppelte Relevanz:

Erstens müssen Banken bei der Bewertung von Immobiliensicherheiten und Kreditrisiken künftig strengere Methoden anwenden — was den Einsatz von KI-Prognosemodellen regulatorisch engmaschiger macht. Zweitens schreibt das Paket erweiterte Offenlegungspflichten für Modellrisiken vor, die generative KI-Systeme besonders herausfordern, da deren Entscheidungspfade oft nur schwer nachvollziehbar sind (BIS, 2024).

Die Erklärbarkeitslücke: Das zentrale technische Problem

Wenn man die drei Regulierungsrahmen auf einen gemeinsamen Nenner bringt, landet man beim gleichen technischen Problem: Erklärbarkeit (Explainability). Der EU AI Act verlangt sie für Hochrisiko-Systeme. DORA verlangt sie für kritische Prozesse. CRR III verlangt sie für Risikomodelle.

Generative KI-Modelle — insbesondere große Sprachmodelle (LLMs) — sind jedoch strukturell schwer zu erklären. Sie basieren auf Milliarden von Parametern und erzeugen Outputs, deren kausale Entstehungspfade nicht trivial zu rekonstruieren sind (BIS FSI Paper, 2024). Die Monetary Authority of Singapore (MAS) konstatierte bereits 2024, dass es "generell an etablierten Methoden fehlt, um GenAI-Outputs zu erklären und ihre Fairness zu beurteilen" (MAS, 2024).

Für Compliance-Officer ergibt sich daraus ein konkretes Dilemma: Sie müssen sowohl regulatorische Erklärungen ("Warum hat das Modell diese Entscheidung getroffen?") als auch kundengerechte Erklärungen ("Warum wurde mein Kreditantrag abgelehnt?") liefern — und beide Anforderungen gleichzeitig erfüllen (Harvard Data Science Review, 2025).

Dirk Röthig empfiehlt hier einen pragmatischen Technologieansatz: Retrieval-Augmented Generation (RAG)-Architekturen, bei denen der Entscheidungspfad durch verweisbare Dokumente nachvollziehbar wird, kombiniert mit separaten, interpretierbaren Klassifikationsmodellen für hochregulierte Entscheidungen. GenAI übernimmt dabei die Analyse und Synthese — die regelgebundene Entscheidung verbleibt bei erklärbaren Systemkomponenten.

Wie Forschungsergebnisse zeigen: "91 Prozent der Unternehmensführer bezeichnen KI als geschäftskritisch für ihre Organisation" (KPMG, Technology Agenda, 2025).

Die andere Front: KI als Werkzeug der Kriminellen

Die Compliance-Debatte in der Finanzbranche darf sich nicht auf das interne Governance-Problem reduzieren. Generative KI verändert gleichzeitig das externe Bedrohungsbild fundamental — und dieser Aspekt ist in den regulatorischen Diskussionen noch underrepräsentiert.

Der BioCatch Dark Economy Survey 2025, der 800 Führungskräfte aus Betrugsmanagement, AML und Compliance in 17 Ländern befragte, zeichnet ein ernüchterndes Bild: 70 Prozent der befragten Experten gaben an, dass Kriminelle KI besser einsetzen, um Finanzkriminalität zu begehen, als Banken es tun, um sie zu stoppen (BioCatch, 2025). Besonders besorgniserregend sind folgende Entwicklungstrends:

Deepfake-basierte Identitätsfälschung: "Wir können unseren Augen und Ohren nicht mehr vertrauen, um digitale Identitäten zu verifizieren", erklärte BioCatch CMO Jonathan Daly (BioCatch, 2025)
Mule-Account-Netzwerke in industriellem Maßstab: BioCatch-Kunden identifizierten allein 2024 rund 2,3 Millionen Mule Accounts, die für Geldwäsche genutzt wurden (BioCatch, 2025)
AI-gestützte Scam-Attacken: Mehr als die Hälfte der befragten Institute verlor 2023 zwischen fünf und 25 Millionen US-Dollar durch KI-gestützte Angriffe (BioCatch, 2025)

Nasdaq schätzt, dass 2023 illizite Mittel im Umfang von 3,1 Billionen US-Dollar durch das weltweite Finanzsystem flossen (Nasdaq, 2023). KI-Systeme zur Betrugserkennung sind damit nicht nur eine Effizienzmaßnahme — sie sind eine regulatorische und ethische Notwendigkeit.

FINRA betonte in seinem Regulatory Oversight Report 2026 ebenfalls, dass Finanzinstitute beginnen, GenAI-Lösungen mit Fokus auf interne Prozesseffizienz einzuführen — die Bedrohungsabwehr nach außen hinkt noch hinterher (FINRA, 2026).

Fünf-Schritte-Fahrplan zur KI-Compliance

Für CROs und Compliance-Officer, die jetzt handeln wollen, empfiehlt Dirk Röthig einen strukturierten Implementierungsplan:

Schritt 1 — KI-Inventarisierung (sofort)
Erstellen Sie ein vollständiges Register aller eingesetzten KI-Systeme: Anbieter, Einsatzzweck, Datenbasis, Entscheidungsrelevanz. Dieses Inventar ist Grundvoraussetzung für EU AI Act-Konformitätsbewertungen und DORA-TPRM-Anforderungen.

Schritt 2 — Hochrisiko-Klassifikation (Q1 2026)
Prüfen Sie jeden KI-Use-Case gegen die Kriterien des EU AI Act Annex III. Kreditscoring, AML-Monitoring und automatisierte Anlageberatung sind mit hoher Wahrscheinlichkeit hochrisikorelevant. Für diese Systeme gilt: Sofortiger Beginn der Konformitätsbewertung.

Schritt 3 — DORA-Vertragsanpassung (Q1–Q2 2026)
Prüfen Sie alle IKT-Drittanbieterverträge auf DORA-Konformität. Fehlen Audit-Klauseln, Incident-Reporting-Pflichten oder Exit-Regelungen, muss nachverhandelt werden. Konzentrations-Risiken durch wenige Cloud-KI-Anbieter müssen bewertet und dokumentiert werden.

Schritt 4 — Explainability-Infrastruktur (Q2 2026)
Implementieren Sie technische Lösungen für nachvollziehbare KI-Entscheidungen: RAG-Architekturen für dokumentengestützte Outputs, XAI-Layer für regulatorische Audit-Trails, separate Validierungsmodelle für Kreditentscheidungen.

Schritt 5 — EU-Datenbankregistrierung und Governance-Dokumentation (bis 1. August 2026)
Vervollständigen Sie Qualitätsmanagementsysteme, Risikorahmen und technische Dokumentation. Registrieren Sie betroffene Hochrisiko-Systeme in der EU-Datenbank. Stellen Sie Human-Oversight-Mechanismen formell dar.

Fazit: Compliance als strategische Stärke

Der 2. August 2026 ist kein Ende, sondern ein Anfang. Finanzinstitute, die jetzt ihre KI-Governance aufbauen, schaffen nicht nur regulatorische Sicherheit — sie entwickeln eine strukturelle Kompetenz, die in einer zunehmend regulierten KI-Welt einen echten Wettbewerbsvorteil darstellt.

Dirk Röthig sieht in der regulatorischen Herausforderung deshalb auch eine strategische Chance: Wer generative KI früh und compliant implementiert, gewinnt das Vertrauen von Aufsichtsbehörden, institutionellen Partnern und Kunden. Wer wartet, zahlt doppelt — einmal für die hastige Implementierung, einmal für die möglichen Sanktionen.

Die Frage für Compliance-Officer lautet daher nicht: "Müssen wir das tun?" Die Frage lautet: "Wie nutzen wir diese Transformation, um besser zu werden?"

Bibliographie (Harvard-Zitierweise)

[1] Bitkom e.V. (2025) KI-Einsatz in deutschen Unternehmen 2025. Berlin: Bitkom. Verfügbar unter: https://www.bitkom.org/Presse/Presseinformation/KI-Einsatz-Unternehmen-2025

[2] KPMG (2025) Technology Agenda 2025 — Unternehmensführung im KI-Zeitalter. Frankfurt: KPMG. Verfügbar unter: https://kpmg.com/de/en/home/insights/2025/technology-agenda.html

[3] PwC (2025) Global Workforce Hopes & Fears Survey 2025. London/Frankfurt: PricewaterhouseCoopers. Verfügbar unter: https://www.pwc.de/workforce-survey-2025

[4] Institut für Arbeitsmarkt- und Berufsforschung (2025) Aktuelle Daten und Indikatoren — Offene Stellen Q3/2025. Nürnberg: IAB. Verfügbar unter: https://iab.de/daten/offene-stellen

[5] appliedAI Initiative (2024) German AI Startup Monitor 2024. München: appliedAI. Verfügbar unter: https://www.appliedai.de/startup-monitor-2024

[6] Europäische Union (2024) Regulation (EU) 2024/1689 — Artificial Intelligence Act. Amtsblatt der Europäischen Union. Verfügbar unter: https://eur-lex.europa.eu/eli/reg/2024/1689

[7] IBM (2025) Global AI Adoption Index 2025. Armonk: IBM. Verfügbar unter: https://www.ibm.com/thought-leadership/institute-business-value/en-us/report/ai-adoption

[8] World Economic Forum (2025) Future of Jobs Report 2025. Genf: WEF. Verfügbar unter: https://www.weforum.org/publications/the-future-of-jobs-report-2025/

[9] McKinsey & Company (2024) Generative AI and the Future of Public Sector Work in Germany. Berlin/München: McKinsey. Verfügbar unter: https://www.mckinsey.com/de/insights/genai-public-sector-germany-2024

[10] Institut für Arbeitsmarkt- und Berufsforschung (2024) Substituierbarkeitspotenziale von Berufen durch KI. Nürnberg: IAB. Verfügbar unter: https://iab.de/studien/substituierbarkeit-ki-2024

Fußnoten

[1] Bitkom (2025): KI-Nutzungsquote 36% — siehe Bibliographie Nr. 1.
[2] KPMG (2025): 91% stufen KI als geschäftskritisch ein — siehe Bibliographie Nr. 2.
[3] PwC (2025): 27% Produktivitätssteigerung in KI-intensiven Branchen — siehe Bibliographie Nr. 3.
[4] IAB (2025): 1,03 Mio. offene Stellen Q3/2025 — siehe Bibliographie Nr. 4.
[5] appliedAI (2024): 687 KI-Startups in Deutschland — siehe Bibliographie Nr. 5.
[6] EU AI Act (2024): Risikobasierter Regulierungsrahmen — siehe Bibliographie Nr. 6.
[7] IBM (2025): Globaler KI-Adoptionsindex — siehe Bibliographie Nr. 7.
[8] WEF (2025): 40% der Arbeitgeber erwarten weniger Fachkräftebedarf durch KI — siehe Bibliographie Nr. 8.
[9] McKinsey (2024): 165.000 ersetzbare Stellen im öffentlichen Dienst — siehe Bibliographie Nr. 9.
[10] IAB (2024): 62% Substituierbarkeit bei Fachkraftberufen — siehe Bibliographie Nr. 10.

Über den Autor: Dirk Röthig ist freier Journalist und Umweltberater mit Schwerpunkt Agroforstwirtschaft, Carbon Credits und nachhaltige Finanzwirtschaft. Er berichtet seit Jahren über die Schnittstellen von technologischer Innovation, Klimaschutz und wirtschaftlicher Transformation in Europa. Kontakt: dirk.roethig2424@gmail.com

Dirk Röthig ist CEO von VERDANTIS Impact Capital.