Stellen Sie sich vor, Sie beantragen einen Kredit. Sie haben ein geregeltes Einkommen, keine offenen Schulden etc. Trotzdem kommt die Absage — automatisch, innerhalb von Sekunden. Kein Sachbearbeiter, keine Begründung, keine Möglichkeit nachzufragen. Irgendwo in einem Rechenzentrum hat ein Algorithmus entschieden, dass Sie kein geeigneter Kreditnehmer sind.

Was genau zu dieser Entscheidung geführt hat, bleibt im Verborgenen. Vielleicht lag es an der Postleitzahl. Vielleicht an einem Merkmal in den Trainingsdaten, das mit Kreditwürdigkeit nichts zu tun hat, aber statistisch mit ihr korreliert. Die BaFin beschreibt genau dieses Risiko: Trainingsdatensätze können bestimmte Kundengruppen nicht enthalten und wären damit nicht repräsentativ für den tatsächlichen Kundenstamm. Der Algorithmus kann diese Personengruppe dann nicht adäquat erfassen und trifft Bewertungen ohne empirische Grundlage (BaFin 2024). Das Modell diskriminiert — nicht weil es so programmiert wurde, sondern weil die Daten die Wirklichkeit verzerrt abbilden.

Genau hier liegt das regulatorische Problem: Hochgradig automatisierte Entscheidungsprozesse mit geringer menschlicher Überwachung können bestehende Diskriminierungsrisiken verstärken (BaFin 2024). Das ist der Grund, warum der europäische Gesetzgeber mit dem EU AI Act erstmals einen verbindlichen Rechtsrahmen für KI-Systeme geschaffen hat. Banken, die KI in der Kreditvergabe oder im Risikomanagement einsetzen, stehen vor konkreten Pflichten. Der Zeitplan dafür ist enger, als viele Institute bislang wahrhaben wollen.

Was der AI Act für Banken bedeutet

Die EU AI Act (Verordnung EU 2024/1689) trat am 1. August 2024 in Kraft und wird stufenweise wirksam (Europäisches Parlament und Rat der EU 2024). Für Banken ist vor allem ein Datum entscheidend: der 2. August 2026, ab dem die vollständigen Pflichten für sogenannte Hochrisiko-KI-Systeme gelten.

Das Gesetz folgt einem risikobasierten Ansatz: Je stärker ein KI-System in Grundrechte eingreifen kann, desto strenger die Anforderungen. Für Banken relevant ist vor allem die Hochrisikoklasse, denn dort findet sich ein Kerngeschäft der Branche.

Anhang III der Verordnung listet explizit auf, welche KI-Anwendungen als hochriskant eingestuft werden. Für den Finanzsektor besonders relevant: „KI-Systeme, die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden sollen" (EU AI Act, Anhang III Nr. 5b). Ausgenommen davon sind Systeme zur Aufdeckung von Finanzbetrug. Der Bankenverband begrüßt diese Differenzierung, fordert aber weitere Klarstellung der EU-Kommission für Anwendungen in der Geldwäscheprävention und im Sanktionsscreening (Bankenverband 2025).

Hinweis: Ein Hochrisiko-KI-System im Sinne des AI Act ist nicht zwingend gefährlich. Es ist ein System, das Entscheidungen mit erheblicher Wirkung auf Einzelpersonen beeinflusst. Kreditscoring trifft genau diese Definition, weil es über den Zugang zu Finanzdienstleistungen entscheidet.

Welche Pflichten konkret entstehen

Wer ein Hochrisiko-KI-System betreibt oder anbietet, muss ab August 2026 mehrere Anforderungen erfüllen: ein kontinuierliches Risikomanagementsystem (EU AI Act, Art. 9), nachgewiesene Datenqualität mit Bias-Prüfung der Trainingsdaten (Art. 10) sowie vollständige technische Dokumentation und Mechanismen für menschliche Aufsicht (Art. 11).

Artikel 6 Abs. 3 ermöglicht zwar eine Ausnahme von der Hochrisiko-Einstufung, wenn ein System das Ergebnis der Entscheidungsfindung nicht wesentlich beeinflusst. Die Vorstellung jedoch, eine KI-Vorprüfung bei der Kreditvergabe sei nicht hochriskant, weil die eigentliche Entscheidung ein Mensch treffe, wird durch die Verordnung nicht gedeckt (TÜV Consulting 2026). Auch vorgelagerte Scoring-Modelle, die einem Sachbearbeiter einen Empfehlungswert liefern, können unter die Hochrisiko-Anforderungen fallen.

Der Bankenverband fordert in seinem Positionspapier vom Juli 2025 eine klarere Rollenabgrenzung zwischen Anbietern und Betreibern von KI-Systemen, insbesondere wenn Banken innerhalb von Konzernstrukturen KI gemeinsam nutzen oder mit externen Dienstleistern kooperieren. Unklarheiten bei dieser Rollenabgrenzung beeinträchtigten die Rechtssicherheit und könnten Fortschritt hemmen (Bankenverband 2025).

Fairness als regulatorische Anforderung

Ein zweiter Strang der Regulierung betrifft Diskriminierungsrisiken, der unabhängig vom AI Act bereits im bestehenden Recht verankert ist. Die BaFin unterscheidet dabei zwischen direkter und indirekter Diskriminierung. Direkte Diskriminierung liegt vor, wenn eine Person aufgrund einer geschützten Eigenschaft wie Alter oder Geschlecht explizit benachteiligt wird. Indirekte Diskriminierung entsteht, wenn scheinbar neutrale Kriterien wie die Einkommenshöhe systematisch bestimmte Gruppen benachteiligen (BaFin 2024). Beide Formen sind rechtlich problematisch — allerdings nicht absolut: Nicht jede Ungleichbehandlung ist automatisch verboten. Lässt sich eine unterschiedliche Behandlung sachlich rechtfertigen, etwa weil das Kriterium nachweislich mit dem tatsächlichen Ausfallrisiko korreliert, gilt sie als zulässig (BaFin 2024). Die Grenze zwischen legitimer Risikodifferenzierung und unzulässiger Diskriminierung ist damit eine der zentralen Abwägungsfragen beim KI-Einsatz im Kreditgeschäft.

Das Risiko liegt dabei häufig nicht im Algorithmus selbst, sondern in den Daten. Im KI/ML-Kontext bezeichnet die BaFin einen Bias als systematische Verzerrung von Ergebnissen, entstanden etwa dadurch, dass Trainingsdaten bestimmte Personengruppen nicht ausreichend repräsentieren (BaFin 2024). Wenn historische Kreditvergabedaten als Grundlage dienen, können vergangene strukturelle Benachteiligungen in das Modell einfließen und sich dort verselbstständigen.

Der AI Act verschärft diese Anforderung: Hochrisiko-Systeme müssen nachweislich auf repräsentativen Datensätzen trainiert und auf Bias geprüft sein, bevor sie in Betrieb gehen (EU AI Act, Art. 10).

Einordnung: Regulierung als strukturelle Herausforderung

Die regulatorische Landschaft für KI im Bankensektor ist komplex, weil mehrere Rechtsrahmen gleichzeitig gelten: der AI Act, die DSGVO sowie bankaufsichtsrechtliche Anforderungen aus MaRisk und MiFID II. Hinzu kommt das deutsche KI-Maßnahmen- und Innovationsgesetz (KI-MIG), das das Bundeskabinett im Februar 2026 beschlossen hat.

Der Bankenverband plädiert für eine konsistente Anwendung des AI Act innerhalb der EU, um eine harmonisierte Aufsichtspraxis zu erreichen, die Rechtssicherheit und gleiche Standortbedingungen für alle Marktteilnehmenden sicherstellt (Bankenverband 2025). Eine fragmentierte nationale Umsetzung würde genau das Gegenteil bewirken: unterschiedliche Compliance-Anforderungen je nach Standort und Wettbewerbsnachteile gegenüber Konkurrenten aus Drittstaaten.

Das eigentliche Problem ist nicht der AI Act als solcher. Ein risikobasierter Rechtsrahmen ist für einen Sektor mit hoher gesellschaftlicher Wirkung sinnvoll. Die Herausforderung liegt in der Umsetzungsgeschwindigkeit. Für viele Häuser, die KI bislang primär in Pilotprojekten erprobt haben, ist das kein akademisches Problem mehr.

Regulierung und Innovation schließen sich im Finanzsektor nicht aus, aber sie erfordern Vorlaufzeit. Banken, die KI-Governance jetzt als strategische Aufgabe behandeln, werden die Anforderungen des AI Act als Wettbewerbsvorteil nutzen können. Wer wartet, zahlt in wenigen Monaten Bußgelder.

Quellenverzeichnis

Rechtsquellen

Europäisches Parlament und Rat der Europäischen Union (2024): Verordnung (EU) 2024/1689 über künstliche Intelligenz (EU AI Act). Amtsblatt der Europäischen Union, 12. Juli 2024. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32024R1689

Aufsichtsbehörden

BaFin — Bundesanstalt für Finanzdienstleistungsaufsicht (2024): KI bei Banken und Versicherern: Automatisch fair? BaFinJournal, 1. August 2024. Autoren: Lydia Albers, Dr. Matthias Fahrenwaldt, Ulrike Kuhn-Stojic, Dr. Martina Schneider. https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2024/fa-bj_0801_KI_Finanzindustrie.html

Verbände & Positionspapiere

Bankenverband — Bundesverband deutscher Banken e. V. (2025): Positionspapier zu einem KI-förderlichen Rechtsrahmen. Juli 2025. https://bankenverband.de/digitalisierung/positionspapier-zu-einem-ki-foerderlichen-rechtsrahmen

Weitere Quellen

TÜV Consulting (2026): EU AI Act ab 2. August 2026 — Was Unternehmen jetzt tun müssen. https://consulting.tuv.com/aktuelles/ki-im-fokus/hochrisiko-ki-anhang-iii

The link has been copied!