Lektion 5 von 5·10 Min Lesezeit

Regulatorische Anforderungen

Finanzunternehmen und Finanzabteilungen unterliegen strengen Regulierungen. AI-Einsatz im Finanzbereich ist kein rechtsfreier Raum — BaFin, MaRisk, DORA und der EU AI Act setzen klare Leitplanken.

BaFin-Anforderungen

Aufsichtliche Erwartungen an AI

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat 2025 ihre Guidance zu AI aktualisiert:

  • Modell-Governance: Jedes AI-Modell braucht einen verantwortlichen Model Owner
  • Validierung: Unabhängige Validierung vor Produktiveinsatz und regelmäßig danach
  • Dokumentation: Vollständige Dokumentation von Daten, Methodik, Annahmen und Limitationen
  • Erklärbarkeit: Bei kundenrelevanten Entscheidungen muss die AI-Logik nachvollziehbar sein
  • Outsourcing: Cloud-basierte AI-Services unterliegen den Outsourcing-Anforderungen

Meldepflichten

  • Wesentliche Auslagerungen an AI-Provider müssen der BaFin gemeldet werden
  • Model Risk Events (AI-Modell liefert fehlerhafte Ergebnisse mit materieller Auswirkung) sind meldepflichtig
  • Incident Reporting bei AI-bezogenen IT-Sicherheitsvorfällen

MaRisk und DORA

MaRisk (Mindestanforderungen an das Risikomanagement)

MaRisk regelt das Risikomanagement von Banken und Finanzdienstleistern:

  • AT 7.2 — Technisch-organisatorische Ausstattung: AI-Systeme müssen den Anforderungen an IT-Systeme entsprechen
  • AT 4.3.2 — Risikosteuerungs- und -controllingprozesse: AI-Modelle im Risikomanagement brauchen besondere Kontrollen
  • BT 3 — Risikoberichterstattung: AI-generierte Reports müssen dieselben Qualitätsstandards erfüllen wie manuelle

DORA (Digital Operational Resilience Act)

Seit Januar 2025 in Kraft — betrifft alle Finanzunternehmen in der EU:

  • ICT-Risikomanagement: AI-Systeme müssen in das ICT-Risikomanagement-Framework eingebunden sein
  • Incident Reporting: AI-bezogene ICT-Incidents müssen innerhalb von 4 Stunden initial gemeldet werden
  • Digital Resilience Testing: AI-Systeme müssen regelmäßig Stresstests unterzogen werden
  • Third-Party Risk: AI-Provider (OpenAI, Google, AWS) gelten als kritische ICT-Drittanbieter
  • Information Sharing: Pflicht zur Teilnahme an Informationsaustausch über Cyber-Bedrohungen

AI-Governance im Finanzsektor

Three Lines of Defense für AI

1st Line — Business/Operations:

  • Model Owner ist verantwortlich für korrekten Einsatz
  • Monitoring der Modell-Performance im Tagesgeschäft
  • Eskalation bei Anomalien

2nd Line — Risk/Compliance:

  • Unabhängige Modell-Validierung
  • AI-Risikobewertung und -klassifizierung
  • Compliance-Prüfung gegen regulatorische Anforderungen

3rd Line — Internal Audit:

  • Regelmäßige Prüfung des gesamten AI-Governance-Frameworks
  • Stichprobenprüfung einzelner Modelle
  • Bericht an Vorstand/Aufsichtsrat

Model Inventory

Jedes AI-Modell muss in einem zentralen Register erfasst werden:

  • Modellname und -zweck
  • Risikokategorie (niedrig/mittel/hoch/kritisch)
  • Datenquellen und Datenqualitäts-Metriken
  • Performance-Metriken und Schwellenwerte
  • Validierungsergebnisse und nächster Review-Termin
  • Verantwortlichkeiten (Owner, Validator, Sponsor)

Ethik-Komitee

Für High-Risk-AI-Modelle (Kreditvergabe, Betrugserkennung, Geldwäsche-Monitoring):

  • Ethische Bewertung vor Einsatz
  • Fairness-Tests auf verschiedene Kundengruppen
  • Impact Assessment bei Modellfehlern

Praxis-Checkliste

  • Modell-Inventory angelegt und aktuell
  • Validierungsprozess definiert (unabhängig vom Entwicklungsteam)
  • DORA-Compliance geprüft (ICT-Risikomanagement, Incident Reporting)
  • BaFin-Meldepflichten für AI-Outsourcing erfüllt
  • Three Lines of Defense für AI implementiert
  • Regelmäßige Model Performance Reviews (mindestens quartalsweise)

Fazit: Regulatorik ist kein Innovationshemmnis — sie ist eine Qualitätssicherung. Wer AI-Governance von Anfang an richtig aufbaut, spart sich spätere teure Nachbesserungen und Bußgelder.

📝

Quiz

Frage 1 von 3

Was fordert DORA für AI-bezogene ICT-Incidents?

Vorherige LektionZurück zum Kurs