DEV Community

Cover image for GenAI im Banking: Compliance-Countdown zum August 2026
Dirk Röthig
Dirk Röthig

Posted on

GenAI im Banking: Compliance-Countdown zum August 2026

#kicompliance #euaiact #dora #finanzbranche

GenAI im Banking: Compliance-Countdown zum August 2026

Von Dirk Röthig | CEO, VERDANTIS Impact Capital | 9. März 2026

Für Chief Risk Officer und Compliance-Verantwortliche in Finanzinstituten ist 2026 kein gewöhnliches Jahr. Mit DORA bereits in Kraft, dem EU AI Act kurz vor dem entscheidenden Stichtag und dem CRR III-Paket, das die Kapitalanforderungen neu kalibriert, entsteht eine regulatorische Gemengelage, die schnelles, strategisches Handeln erfordert — nicht abstrakte Pilotprojekte.

Tags: KI-Compliance, EU-AI-Act, DORA, Finanzbranche, Regulierung

Stichtag 2. August 2026: Warum jetzt gehandelt werden muss

Der 2. August 2026 markiert einen regulatorischen Wendepunkt, der in seiner Tragweite für die Finanzbranche kaum zu überschätzen ist. Ab diesem Datum treten die vollumfänglichen Compliance-Pflichten des EU AI Act für sogenannte "Hochrisiko-KI-Systeme" in Kraft — und der Finanzsektor ist damit direkt und intensiv betroffen.

Als Dirk Röthig beobachte ich, dass viele Finanzinstitute den August-Stichtag noch immer als abstrakte Zukunft behandeln. Das ist ein strategischer Fehler. Denn der EU AI Act ist nicht das einzige Regelwerk, das Druck erzeugt: DORA ist seit dem 17. Januar 2025 bereits verbindlich in Kraft, und das CRR III/CRD VI-Paket verändert gleichzeitig die Kapitalanforderungen für Risikomodelle. Drei Regelwerke, ein Zeitfenster — wer jetzt nicht handelt, riskiert sowohl regulatorische Sanktionen als auch erhebliche Implementierungskosten unter Zeitdruck.

Dieser Artikel richtet sich nicht an Strategen, die KI als Wettbewerbsvorteil beschreiben möchten. Er richtet sich an CROs, Compliance-Officer und Risikomanager, die konkrete Antworten auf die Frage brauchen: Was muss bis wann umgesetzt sein?

Die Drei-Pfeiler-Architektur: EU AI Act, DORA und CRR III

Pfeiler 1: EU AI Act — Hochrisiko-Klassifikation trifft den Kern des Banking

Der EU AI Act (Verordnung 2024/1689) klassifiziert eine Reihe von KI-Anwendungen explizit als "Hochrisiko-Systeme" — und der Finanzsektor ist in Anhang III gleich mehrfach vertreten (Europäisches Parlament, 2024). Betroffen sind namentlich:

  • Kreditwürdigkeitsprüfung und Credit Scoring für natürliche Personen
  • AML-Risikomodelle (Anti-Geldwäsche-Transaktionsmonitoring)
  • Automatisierte Entscheidungssysteme im Lending und in der Versicherungsprämienberechnung
  • Biometrische Identifikationssysteme bei der Kundenauthentifizierung

Für diese Systeme schreibt der AI Act ab dem 2. August 2026 ein umfangreiches Pflichtenprogramm vor (EU AI Act, 2024). Dazu gehören:

  1. Risikomanagement-Framework: Schriftliche Risikoanalyse für jedes betroffene KI-System
  2. Technische Dokumentation: Vollständige Dokumentation der Trainingsdaten, Architektur und Validierungsverfahren
  3. Konformitätsbewertung: Entweder Selbstbewertung oder Drittpartei-Audit, abhängig von der Systemkategorie
  4. EU-Datenbankregistrierung: Eintragung in die zentrale EU-Datenbank für Hochrisiko-KI-Systeme
  5. Human Oversight: Nachweisbare menschliche Aufsicht und Eingriffsmöglichkeiten
  6. Monitoring und Logging: Lückenlose Audit-Trails für alle KI-basierten Entscheidungen

Die finanziellen Risiken bei Verstößen sind erheblich: Bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Millionen Euro oder drei Prozent bei sonstigen Verstößen (EU AI Act, 2024). Der extraterritoriale Wirkungsbereich ist dabei zu beachten: Jedes Institut, das EU-Kunden bedient, fällt in den Anwendungsbereich — unabhängig davon, wo die KI-Systeme betrieben werden.

Über die Hälfte der betroffenen Organisationen hat laut aktueller Marktanalyse noch nicht einmal ein grundlegendes KI-Inventar erstellt (Nortal, 2026). Dabei belaufen sich die Compliance-Kosten für Hochrisiko-Systeme großer Institute auf geschätzte 8 bis 15 Millionen US-Dollar pro System — frühe Planung ist erheblich kosteneffizienter als Last-Minute-Implementation (Axis Intelligence, 2026).

Pfeiler 2: DORA — Das Fundament digitaler Widerstandsfähigkeit

Der Digital Operational Resilience Act (DORA, Verordnung 2022/2554) ist kein Zukunftsszenario mehr — er ist seit dem 17. Januar 2025 vollumfänglich wirksam (Europäische Kommission, 2023). Regulatoren behandeln 2025 als Übergangsphase, in der sie Frameworks überprüfen und Lücken identifizieren, bevor härtere Durchsetzungsmaßnahmen folgen.

Für Finanzinstitute, die generative KI einsetzen, ist DORA in mehrfacher Hinsicht relevant:

Drittanbieterrisiko (TPRM): Banken müssen ein vollständiges Register aller IKT-Drittanbieter führen — inklusive Cloud-Provider, KI-API-Anbieter und Modell-Infrastrukturdienstleister. Generative KI läuft überwiegend auf Infrastrukturen weniger großer Anbieter (Microsoft/Azure OpenAI, Google, Amazon), was konzentrations- und systemische Risiken erzeugt, die DORA explizit adressiert (Mayer Brown, 2025).

Operative Resilienz: Jeder KI-basierte Prozess, der als kritisch für den Geschäftsbetrieb gilt, muss auf Resilienz geprüft werden. Das bedeutet: Business-Continuity-Planung für den Ausfall von KI-Diensten, Fallback-Verfahren und regelmäßige Resilienztests (IBM, 2025).

Vertragsanpassungen: DORA schreibt spezifische Vertragsklauseln mit IKT-Drittanbietern vor — inklusive Audit-Rechte, Incident-Reporting-Pflichten und Exit-Strategien. Für viele Fintechs, die stark auf externe Infrastruktur angewiesen sind, bedeutet dies einen erheblichen Verhandlungs- und Rechtsaufwand (Freshfields, 2025).

Die Sanktionen bei DORA-Verstößen: bis zu zwei Prozent des gesamten Jahresumsatzes — ohne Aufgreifschwelle (Europäische Kommission, 2023). Für Lead Overseer von kritischen IKT-Drittanbietern sind es bis zu ein Prozent des durchschnittlichen weltweiten Tagesumsatzes.

Pfeiler 3: CRR III / CRD VI — Neue Kapitalanforderungen für KI-getriebene Risikomodelle

Das CRR III/CRD VI-Paket stellt das umfangreichste Regulierungsvorhaben für den europäischen Bankensektor seit Basel III dar und ist seit 2025 in Kraft (Basel Committee on Banking Supervision, 2024). Für KI-basierte Risikomodelle ergibt sich eine doppelte Relevanz:

Erstens müssen Banken bei der Bewertung von Immobiliensicherheiten und Kreditrisiken künftig strengere Methoden anwenden — was den Einsatz von KI-Prognosemodellen regulatorisch engmaschiger macht. Zweitens schreibt das Paket erweiterte Offenlegungspflichten für Modellrisiken vor, die generative KI-Systeme besonders herausfordern, da deren Entscheidungspfade oft nur schwer nachvollziehbar sind (BIS, 2024).

Die Erklärbarkeitslücke: Das zentrale technische Problem

Wenn man die drei Regulierungsrahmen auf einen gemeinsamen Nenner bringt, landet man beim gleichen technischen Problem: Erklärbarkeit (Explainability). Der EU AI Act verlangt sie für Hochrisiko-Systeme. DORA verlangt sie für kritische Prozesse. CRR III verlangt sie für Risikomodelle.

Generative KI-Modelle — insbesondere große Sprachmodelle (LLMs) — sind jedoch strukturell schwer zu erklären. Sie basieren auf Milliarden von Parametern und erzeugen Outputs, deren kausale Entstehungspfade nicht trivial zu rekonstruieren sind (BIS FSI Paper, 2024). Die Monetary Authority of Singapore (MAS) konstatierte bereits 2024, dass es "generell an etablierten Methoden fehlt, um GenAI-Outputs zu erklären und ihre Fairness zu beurteilen" (MAS, 2024).

Für Compliance-Officer ergibt sich daraus ein konkretes Dilemma: Sie müssen sowohl regulatorische Erklärungen ("Warum hat das Modell diese Entscheidung getroffen?") als auch kundengerechte Erklärungen ("Warum wurde mein Kreditantrag abgelehnt?") liefern — und beide Anforderungen gleichzeitig erfüllen (Harvard Data Science Review, 2025).

Dirk Röthig empfiehlt hier einen pragmatischen Technologieansatz: Retrieval-Augmented Generation (RAG)-Architekturen, bei denen der Entscheidungspfad durch verweisbare Dokumente nachvollziehbar wird, kombiniert mit separaten, interpretierbaren Klassifikationsmodellen für hochregulierte Entscheidungen. GenAI übernimmt dabei die Analyse und Synthese — die regelgebundene Entscheidung verbleibt bei erklärbaren Systemkomponenten.

Die andere Front: KI als Werkzeug der Kriminellen

Die Compliance-Debatte in der Finanzbranche darf sich nicht auf das interne Governance-Problem reduzieren. Generative KI verändert gleichzeitig das externe Bedrohungsbild fundamental — und dieser Aspekt ist in den regulatorischen Diskussionen noch underrepräsentiert.

Der BioCatch Dark Economy Survey 2025, der 800 Führungskräfte aus Betrugsmanagement, AML und Compliance in 17 Ländern befragte, zeichnet ein ernüchterndes Bild: 70 Prozent der befragten Experten gaben an, dass Kriminelle KI besser einsetzen, um Finanzkriminalität zu begehen, als Banken es tun, um sie zu stoppen (BioCatch, 2025). Besonders besorgniserregend sind folgende Entwicklungstrends:

  • Deepfake-basierte Identitätsfälschung: "Wir können unseren Augen und Ohren nicht mehr vertrauen, um digitale Identitäten zu verifizieren", erklärte BioCatch CMO Jonathan Daly (BioCatch, 2025)
  • Mule-Account-Netzwerke in industriellem Maßstab: BioCatch-Kunden identifizierten allein 2024 rund 2,3 Millionen Mule Accounts, die für Geldwäsche genutzt wurden (BioCatch, 2025)
  • AI-gestützte Scam-Attacken: Mehr als die Hälfte der befragten Institute verlor 2023 zwischen fünf und 25 Millionen US-Dollar durch KI-gestützte Angriffe (BioCatch, 2025)

Nasdaq schätzt, dass 2023 illizite Mittel im Umfang von 3,1 Billionen US-Dollar durch das weltweite Finanzsystem flossen (Nasdaq, 2023). KI-Systeme zur Betrugserkennung sind damit nicht nur eine Effizienzmaßnahme — sie sind eine regulatorische und ethische Notwendigkeit.

FINRA betonte in seinem Regulatory Oversight Report 2026 ebenfalls, dass Finanzinstitute beginnen, GenAI-Lösungen mit Fokus auf interne Prozesseffizienz einzuführen — die Bedrohungsabwehr nach außen hinkt noch hinterher (FINRA, 2026).

Fünf-Schritte-Fahrplan zur KI-Compliance

Für CROs und Compliance-Officer, die jetzt handeln wollen, empfiehlt Dirk Röthig einen strukturierten Implementierungsplan:

Schritt 1 — KI-Inventarisierung (sofort)
Erstellen Sie ein vollständiges Register aller eingesetzten KI-Systeme: Anbieter, Einsatzzweck, Datenbasis, Entscheidungsrelevanz. Dieses Inventar ist Grundvoraussetzung für EU AI Act-Konformitätsbewertungen und DORA-TPRM-Anforderungen.

Schritt 2 — Hochrisiko-Klassifikation (Q1 2026)
Prüfen Sie jeden KI-Use-Case gegen die Kriterien des EU AI Act Annex III. Kreditscoring, AML-Monitoring und automatisierte Anlageberatung sind mit hoher Wahrscheinlichkeit hochrisikorelevant. Für diese Systeme gilt: Sofortiger Beginn der Konformitätsbewertung.

Schritt 3 — DORA-Vertragsanpassung (Q1–Q2 2026)
Prüfen Sie alle IKT-Drittanbieterverträge auf DORA-Konformität. Fehlen Audit-Klauseln, Incident-Reporting-Pflichten oder Exit-Regelungen, muss nachverhandelt werden. Konzentrations-Risiken durch wenige Cloud-KI-Anbieter müssen bewertet und dokumentiert werden.

Schritt 4 — Explainability-Infrastruktur (Q2 2026)
Implementieren Sie technische Lösungen für nachvollziehbare KI-Entscheidungen: RAG-Architekturen für dokumentengestützte Outputs, XAI-Layer für regulatorische Audit-Trails, separate Validierungsmodelle für Kreditentscheidungen.

Schritt 5 — EU-Datenbankregistrierung und Governance-Dokumentation (bis 1. August 2026)
Vervollständigen Sie Qualitätsmanagementsysteme, Risikorahmen und technische Dokumentation. Registrieren Sie betroffene Hochrisiko-Systeme in der EU-Datenbank. Stellen Sie Human-Oversight-Mechanismen formell dar.

Fazit: Compliance als strategische Stärke

Der 2. August 2026 ist kein Ende, sondern ein Anfang. Finanzinstitute, die jetzt ihre KI-Governance aufbauen, schaffen nicht nur regulatorische Sicherheit — sie entwickeln eine strukturelle Kompetenz, die in einer zunehmend regulierten KI-Welt einen echten Wettbewerbsvorteil darstellt.

Dirk Röthig sieht in der regulatorischen Herausforderung deshalb auch eine strategische Chance: Wer generative KI früh und compliant implementiert, gewinnt das Vertrauen von Aufsichtsbehörden, institutionellen Partnern und Kunden. Wer wartet, zahlt doppelt — einmal für die hastige Implementierung, einmal für die möglichen Sanktionen.

Die Frage für Compliance-Officer lautet daher nicht: "Müssen wir das tun?" Die Frage lautet: "Wie nutzen wir diese Transformation, um besser zu werden?"

Weitere Artikel von Dirk Röthig

Quellenverzeichnis

  1. Axis Intelligence (2026): EU AI Act News 2026: Compliance Requirements & Deadlines. Verfügbar unter: https://axis-intelligence.com/eu-ai-act-news-2026/

  2. Basel Committee on Banking Supervision (BCBS) (2024): Digitalisation of Finance: Risks Associated with Generative AI. Bank for International Settlements. Verfügbar unter: https://www.bis.org/publ/othp100.pdf

  3. BioCatch (2025): Dark Economy Survey 2025: Insights into the Invisible — Perspectives on Evolving Fraud and AML Challenges. Verfügbar unter: https://www.biocatch.com/dark-economy-survey-2025

  4. BIS Financial Stability Institute (2024): Regulating AI in the Financial Sector: Recent Developments. FSI Insights on Policy Implementation No. 63. Verfügbar unter: https://www.bis.org/fsi/publ/insights63.pdf

  5. BIS Financial Stability Institute (2024): How Regulators Can Address AI Explainability. FSI Papers No. 24. Verfügbar unter: https://www.bis.org/fsi/fsipapers24.pdf

  6. Europäische Kommission (2023): Verordnung (EU) 2022/2554 — Digital Operational Resilience Act (DORA). Amtsblatt der Europäischen Union. Verfügbar unter: https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

  7. Europäisches Parlament (2024): Verordnung (EU) 2024/1689 — Artificial Intelligence Act. Anhang III: Hochrisiko-KI-Systeme. Verfügbar unter: https://artificialintelligenceact.eu/annex/3/

  8. FINRA (2026): 2026 Regulatory Oversight Report. Financial Industry Regulatory Authority. Verfügbar unter: https://www.finra.org/media-center/newsreleases/2025/finra-publishes-2026-regulatory-oversight-report-empower-member-firm

  9. Financial Stability Board (FSB) (2025): Monitoring Adoption of Artificial Intelligence in Financial Services. Verfügbar unter: https://www.fsb.org/uploads/P101025.pdf

  10. Freshfields Bruckhaus Deringer (2025): Digital Operational Resilience Act (DORA). Freshfields Tech, Data and AI. Verfügbar unter: https://www.freshfields.com/en/our-thinking/campaigns/tech-data-and-ai-the-digital-frontier/eu-digital-strategy/digital-operational-resilience-act-dora

  11. Harvard Data Science Review (2025): The Future of Credit Underwriting and Insurance Under the EU AI Act: Implications for Europe and Beyond. Volume 7.3. Verfügbar unter: https://hdsr.mitpress.mit.edu/pub/19cwd6qx

  12. IBM (2025): What Is the Digital Operational Resilience Act (DORA)? IBM Think. Verfügbar unter: https://www.ibm.com/think/topics/digital-operational-resilience-act

  13. Mayer Brown (2025): Cybersecurity in the Financial Sector: EU's Digital Operational Resilience Act Takes Effect. Verfügbar unter: https://www.mayerbrown.com/en/insights/publications/2025/01/cybersecurity-in-the-financial-sector-eus-digital-operational-resilience-act-takes-effect

  14. Monetary Authority of Singapore (MAS) (2024): Zitiert in: BIS FSI Insights No. 63 — Regulating AI in the Financial Sector. Verfügbar unter: https://www.bis.org/fsi/publ/insights63.pdf

  15. Nasdaq (2023): Nasdaq Annual Global Financial Crime Report 2024. Schätzung illegaler Finanzströme 2023. Verfügbar unter: https://www.biocatch.com/dark-economy-survey-2025

  16. Nortal (2026): 2026 EU Financial Services Compliance: Key Regulations & Technology. Verfügbar unter: https://nortal.com/insights/eu-financial-services-compliance

Über den Autor: Dirk Röthig ist CEO von VERDANTIS Impact Capital mit Sitz in Zug, Schweiz. Als Investor und Unternehmer an der Schnittstelle von Impact Finance, Technologie und nachhaltiger Landwirtschaft begleitet Röthig institutionelle und private Investoren bei der Navigation komplexer regulatorischer und strategischer Herausforderungen. VERDANTIS Impact Capital fokussiert sich auf naturbasierte Investmentlösungen — Carbon Credits, Agroforestry und Nature-Based Solutions. Weitere Artikel und Kontakt: www.verdantiscapital.com

Top comments (0)