AI Governance in Financial Services A BFSI Leader's Framework OpenSense Labs
Künstliche Intelligenz

KI-Governance in Finanzdienstleistungen: Ein Rahmenwerk für BFSI-Führungskräfte

Published on 06 Jul, 2026|10 min read

Die KI-Governance in Finanzdienstleistungen konvergiert schnell, das EU-KI-Gesetz, DORA und die FCA fordern jetzt dasselbe: Aufsicht, Erklärbarkeit, Verantwortlichkeit. Nichteinhaltung zieht empfindliche Strafen nach sich, und die Akzeptanz übertrifft bereits das Vertrauen im gesamten BFSI-Sektor.

In den letzten zwei Jahren befand sich die KI-Governance in Finanzdienstleistungen weitgehend in einer Warteschleife. Digitale Führungskräfte haben beobachtet, wie Brüssel verhandelte, London beriet und Washington seine Position änderte, und viele haben diese Unsicherheit als Lizenz zum Abwarten genutzt.

Am 29. Juni 2026 lief diese Ausrede ab. Der Rat der Europäischen Union erteilte die endgültige Genehmigung für ein Paket von Änderungen am EU-KI-Gesetz, das mehrere Compliance-Fristen um bis zu 16 Monate verschiebt, gleichzeitig aber auch die Strafen für Nichteinhaltung erweitert.

Das regulatorische Bild ist nicht einfacher geworden. Es ist stabiler geworden, und Stabilität ist genau der Zustand, unter dem Verzögerungen nicht mehr zu verteidigen sind. Für digitale Führungskräfte im BFSI-Sektor bleibt der Aufbau der Governance-Architektur, die die regulatorische Klarheit eigentlich freisetzen sollte.

Was ist KI-Governance und ihre regulatorische Landschaft?

KI-Governance in Finanzdienstleistungen ist die Gesamtheit der Richtlinien, Kontrollen und Verantwortlichkeitsstrukturen, die sicherstellen, dass die Entscheidungen eines KI-Systems vertrauenswürdig, erklärbar und korrigierbar sind. Dies umfasst alles, von der Genehmigung eines Produktionsmodells über die Überwachung seiner Ausgaben bis hin zur Verantwortlichkeit, wenn etwas schiefgeht.

Speziell in Finanzdienstleistungen ist es der Unterschied zwischen einer KI-gesteuerten Kredit- oder Betrugsentscheidung, die einer regulatorischen Prüfung standhält, und einer, die dies nicht tut. Drei Regelwerke definieren derzeit, wie KI-Governance in Finanzdienstleistungen in der Praxis aussehen muss, und keines ist grundlegender als das EU-KI-Gesetz.

Das EU-KI-Gesetz

Das EU-KI-Gesetz ist das weltweit erste umfassende, verbindliche KI-spezifische Gesetz und bildet das Rückgrat jedes KI-Governance-Rahmenwerks, das für Finanzdienstleistungen entwickelt wurde, die in der EU tätig sind oder mit ihr in Berührung kommen. Es funktioniert, indem es jedes KI-System in eine von vier Risikostufen einordnet:

  • Inakzeptabel (vollständig verboten, umfasst Praktiken wie Social Scoring oder die Ausnutzung der finanziellen Anfälligkeit einer Person),
  • Hochrisiko (dazu gehören die meisten KI-Systeme für Kreditwürdigkeitsprüfung, Underwriting und Betrugserkennung im BFSI-Sektor, die strengen Dokumentations- und Überwachungsanforderungen unterliegen),
  • Begrenztes Risiko (Transparenzpflichten, wie die Offenlegung, dass ein Chatbot eine KI ist),
  • Und minimales Risiko (weitgehend unreguliert).

Das Gesetz gilt extraterritorial; wenn die Ausgabe eines KI-Systems jemanden in der EU betrifft, kann es den Anbieter erreichen, unabhängig davon, wo das Unternehmen seinen Hauptsitz hat. Deshalb ist dies für in den USA und Indien ansässige BFSI-Technologieunternehmen ebenso wichtig wie für physisch in Europa ansässige Firmen.

Finanzinstitute, die gegen das Gesetz verstoßen, müssen mit folgenden Strafen rechnen (drei Stufen gemäß Artikel 99):

  • Bis zu 35 Millionen Euro oder 7 % des globalen Jahresumsatzes (je nachdem, welcher Betrag höher ist) bei verbotenen Praktiken gemäß Artikel 5.
  • Bis zu 15 Millionen Euro oder 3 % des globalen Umsatzes bei Versäumnissen in Bezug auf Hochrisikosystem-Verpflichtungen (fehlendes Risikomanagement, unzureichende Dokumentation, unzureichende menschliche Aufsicht) – die Stufe, unter die die meisten KI-Systeme für Kredit- und Underwriting im BFSI-Sektor fallen würden.
  • Bis zu 7,5 Millionen Euro oder 1,5 % des globalen Umsatzes bei der Bereitstellung falscher oder irreführender Informationen an eine Aufsichtsbehörde während einer Untersuchung.
KI-Governance in Finanzdienstleistungen: Die 3 Strafstufen des EU-KI-Gesetzes | OpenSense Labs

Für kleinere Unternehmen kehrt sich die Berechnung um, sodass der niedrigere Betrag des Festbetrags oder des Prozentsatzes gilt, anstatt des höheren, als Verhältnismäßigkeitsschutz.

Die am 29. Juni 2026 genehmigten Änderungen verschoben die Frist für Hochrisiko (Anhang III) auf den 2. Dezember 2027 und für Anhang I auf August 2028, ließen diese Strafstruktur jedoch vollständig intakt.

Gesetz über die digitale operationale Resilienz (DORA)

Es handelt sich um eine Verordnung zur Cybersicherheit und operationalen Resilienz, die jedoch heute zum praktischen Hebel für die KI-Governance in der EU geworden ist, da sie im Gegensatz zum KI-Gesetz nicht auf verschobene Fristen wartet. Für Institutionen, die KI-Governance in der Finanzbranche aufbauen, ist DORA oft das Regelwerk, das zuerst Anwendung findet, einfach weil es bereits vollständig aktiv ist.

Es verlangt von Finanzunternehmen, ein formales IKT-Risikomanagement-Rahmenwerk zu unterhalten, größere Vorfälle innerhalb von 24 Stunden zu melden, regelmäßige Resilienztests durchzuführen und eine aktive Aufsicht über jeden Drittanbieter von Technologie aufrechtzuerhalten, von dem ein System abhängt.

Diese Drittanbieter-Bestimmung zieht KI-Modellanbieter und Cloud-Infrastruktur in den Geltungsbereich von DORA, obwohl die Verordnung KI nie namentlich erwähnt. Dies macht sie zu dem Regelwerk, das am ehesten die KI-Anbieterbeziehungen einer BFSI-Institution erfasst, noch bevor die Hochrisiko-Verpflichtungen des KI-Gesetzes gelten.

Finanzunternehmen, die gegen DORA verstoßen, müssen mit folgenden Strafen rechnen:

  • Finanzunternehmen: bis zu 2 % des gesamten jährlichen weltweiten Umsatzes
  • Einzelne leitende Angestellte: bis zu 1 Million Euro persönlich; DORA macht das Leitungsorgan einer Institution explizit für die IKT-Risikoüberwachung verantwortlich
  • Kritische Drittanbieter: bis zu 5 Millionen Euro für das Unternehmen
  • Einzelpersonen innerhalb dieser Anbieter: bis zu 500.000 Euro
  • Einige Mitgliedstaaten haben bei schwerwiegendsten Verstößen zusätzlich strafrechtliche Sanktionen verhängt

Vollständig in Kraft seit Januar 2025, ohne Verschiebungen.

Die FCA

Das Vereinigte Königreich hat einen strukturell anderen Ansatz als die EU gewählt; anstatt KI-spezifische Regeln zu erlassen, wendet die FCA zwei bestehende Rahmenwerke auf KI-gesteuerte Ergebnisse an. Dies ist eine nützliche Fallstudie zur KI-Governance im Finanzwesen, bei der die Regulierung kein spezielles KI-Gesetz benötigt, um echte Wirkung zu zeigen:

  1. Die Verbraucherpflicht (Consumer Duty): Ergebnisorientiert: Unternehmen müssen gute Ergebnisse für Privatkunden sicherstellen, unabhängig davon, ob ein Mensch oder ein KI-System die Entscheidung getroffen hat.
  2. Senior Managers and Certification Regime (SMCR): Verantwortlichkeitsorientiert: weist einem bestimmten, namentlich genannten leitenden Angestellten die persönliche Verantwortung für die KI-Systeme in seinem Geschäftsbereich zu.

Die beiden arbeiten zusammen; die Verbraucherpflicht definiert den Standard für ein positives Ergebnis, während SMCR identifiziert, wer persönlich verantwortlich ist, wenn ein KI-System dieses nicht erreicht.

Strafen:

  • Im Gegensatz zu den EU-Rahmenwerken, die eine gesetzliche prozentuale Obergrenze vorsehen, werden die Strafen unter dem eigenen Strafrahmen der FCA von Fall zu Fall berechnet, typischerweise als Prozentsatz des relevanten Umsatzes des Unternehmens während des Verstoßzeitraums.
  • Aktueller Maßstab zum Kontext: Nationwide, 44 Millionen Pfund (Dezember 2025, Schwächen in den Systemen und Kontrollen zur Bekämpfung der Finanzkriminalität); Monzo, 21 Millionen Pfund (Juli 2025, unzureichende Kontrollen während schnellen Wachstums).
  • Bisher wurde keine KI-spezifische Strafe verhängt, aber jede KI-gesteuerte Entscheidung, die gegen die Verbraucherpflicht verstößt, oder jedes Versäumnis eines leitenden Angestellten, ein KI-System zu überwachen, würde unter diesem gleichen unbegrenzten Rahmen bewertet.

Was kommt: Der Finanzausschuss hat die FCA angewiesen, bis Ende 2026 praktische Leitlinien zu veröffentlichen, wie die Verbraucherpflicht und SMCR speziell auf KI anzuwenden sind.

KI-Governance in Finanzdienstleistungen: 3 Regulierungsbehörden | OpenSense Labs

Drei verschiedene Regulierungsphilosophien – präskriptiv, operativ eingebettet und prinzipienbasiert – konvergieren auf dieselbe grundlegende Frage: Kann diese Institution zeigen, dass ein Mensch eingreifen kann, dass eine Entscheidung erklärt werden kann und dass die Verantwortlichkeit bei einer benannten Funktion und nicht bei einem Modell liegt?

Die Rolle der KI-Governance in Finanzdienstleistungen

  1. Die Akzeptanz hat die Pilotphase überschritten: Laut dem „2026 Global AI in Financial Services Report“ der Cambridge Judge Business School setzen 81 % der Unternehmen KI auf irgendeiner Ebene ein, wobei 40 % sich in fortgeschrittenen Reifestadien des „Skalierens“ oder „Transformierens“ befinden. Dies ist für den BFSI-Sektor kein Gespräch mehr über neue Technologien; es ist Kerninfrastruktur.
  2. Die Agenten-KI ist die sich am schnellsten entwickelnde Grenze: Agenten-KI-Systeme, die mit einem gewissen Grad an Autonomie handeln, anstatt nur Ausgaben zur Überprüfung durch einen Menschen zu generieren, sind bereits bei 52 % der Branchenbefragten aktiv im Einsatz. Die Akzeptanz erreichte diesen Umfang in einem vergleichsweise kurzen Zeitraum.
  3. Die Kernanwendungsfälle sind nun etabliert: Kreditwürdigkeitsprüfung und Underwriting, Betrugserkennung, kundenorientierte Chatbots, Dokumentenverarbeitung und algorithmischer Handel machen den Großteil des KI-Einsatzes im BFSI-Sektor aus. Jeder dieser Fälle steht in engem Zusammenhang mit einer regulierten Entscheidung mit hohen Einsätzen.
  4. Das Vertrauen hat mit dem Einsatz nicht Schritt gehalten: Nur 14 % der Branchenbefragten sehen KI derzeit als transformativ für ihre Organisationsstrategie, trotz der oben genannten Akzeptanzzahlen. Diese Lücke zwischen Nutzung und Vertrauen ist der Bereich, in dem Governance-Arbeit am dringendsten benötigt wird.

Die Bedeutung der KI-Governance in Finanzdienstleistungen

Der vorherige Abschnitt wies auf eine Lücke zwischen der Akzeptanz von KI im BFSI-Sektor und dem Vertrauen der Institutionen in diese hin. KI-Governance in Finanzdienstleistungen schließt diese Lücke und ist in dreierlei Hinsicht wichtig: was die regulatorische Konvergenz signalisiert, wie Institutionen ihre eigene Bereitschaft bewerten und wie sehr ihr Komfort mit autonomer KI noch fehlt.

  1. Regulatorische Konvergenz ist real: Wenn drei Regelwerke mit völlig unterschiedlichen regulatorischen Instinkten unabhängig voneinander zu denselben Erwartungen gelangen, ist das ein Zeichen dafür, dass es sich nicht um willkürliche Compliance-Kästchen handelt; sie sind das, was der verantwortungsvolle Einsatz von KI in großem Maßstab tatsächlich erfordert.
  2. Das eigene Vertrauen der Institutionen in ihre Governance ist bemerkenswert schwach: Die EY European AI Pulse Survey 2025 unter Führungskräften der C-Ebene im Finanzdienstleistungssektor ergab, dass 57 % ihren aktuellen KI-Risikomanagementansatz für unzureichend halten und 30 % von begrenzten oder keinen Bias-Kontrollen berichten. Das bedeutet, dass der Großteil der Führungsebene eine Governance-Lücke in ihren eigenen Institutionen anerkennt.
  3. Der Komfort mit Autonomie hinkt der Akzeptanz hinterher: Nur 33 % der Führungskräfte geben an, dass sie sich mit Agenten-KI, die mit echter Autonomie operiert, wohlfühlen, obwohl mehr als die Hälfte der Branche sie bereits eingesetzt hat. Institutionen eilen ihrem eigenen Vertrauen in die Technologie voraus.

Praxisbeispiel für KI-Governance in Finanzdienstleistungen

Speziell zur Erklärbarkeit: Eine Studie der Federal Reserve Bank von Kansas City und Stanford aus dem Jahr 2025 testete mehrere große Sprachmodelle bei Hypothekenkreditentscheidungen, wobei die Bewerberprofile identisch gehalten und nur die ethnische Zugehörigkeit oder ein Proxy dafür, wie die besuchte Universität, variiert wurden.

Die Modelle zeigten rassenbasierte Diskrepanzen bei den Kreditbedingungen, die die in historischen menschlichen Kreditentscheidungen dokumentierten übertrafen, und die Voreingenommenheit blieb bestehen, selbst als explizite Rassenindikatoren entfernt und durch indirekte Proxys ersetzt wurden.

Die Erkenntnis, die BFSI-Führungskräfte am meisten beunruhigen sollte, ist, dass das Entfernen der offensichtlich sensiblen Variable sie nicht beseitigte, weil das Modell gelernt hatte, sie aus anderen Signalen abzuleiten. Ermutigenderweise zeigte dieselbe Studie eine praktikable Lösung auf.

Eine gezielte Intervention innerhalb der internen Logik des Modells reduzierte die Ungleichheiten um bis zu 70 %, mit einer durchschnittlichen Reduzierung von etwa einem Drittel, ohne die Gesamtleistung des Modells zu beeinträchtigen.

Das ist eine konkrete Veranschaulichung dessen, was die Transparenzpflichten des EU-KI-Gesetzes und die Erwartungen der FCA an die Ergebnisprüfung fordern: Tools, die voreingenommene Ergebnisse erkennen, bevor sie einen Kunden erreichen, und nicht ein Dokument, das erklärt, wie ein Modell theoretisch funktioniert.

Schlüsselrisiken von KI, die Governance für BFSIs erfordern

  1. Diskriminierende Voreingenommenheit bei Kredit- und Underwriting-Entscheidungen: Voreingenommenheit bei Kredit- und Underwriting-Entscheidungen kann Standard-Minderungsstrategien überleben, wie der obige Fall zeigt.
  2. Erklärbarkeitslücken: Viele KI-Systeme, insbesondere LLM-basierte, können noch keine klare Begründung für individuelle Entscheidungen liefern, was sowohl regulatorische Prüfanforderungen als auch Kundenbeschwerdemöglichkeiten untergräbt.
  3. Drittanbieter- und Lieferantenabhängigkeit: KI stützt sich zunehmend auf externe Modelle, Datenanbieter und Cloud-Infrastruktur; ein Fehler irgendwo in dieser Kette wird unter DORA zum regulatorischen Risiko der Institution.
  4. Modell-Drift: Leistungs- und Fairness-Merkmale verschieben sich, wenn sich Datenverteilungen ändern, was bedeutet, dass ein bei der Einführung konformes Modell ohne Codeänderung die Compliance verlieren kann.
  5. Übermäßige Abhängigkeit von autonomen Agenten-Systemen: Agenten-Systeme werden schneller eingesetzt, als Institutionen Vertrauen in ihre Autonomie aufgebaut haben.
  6. Verantwortlichkeitsdiffusion: Wenn eine Entscheidung durch mehrere Modelle, Anbieter und automatisierte Übergaben geht, kann die Verantwortung wirklich unklar werden, es sei denn, eine benannte verantwortliche Funktion wird im Voraus definiert.

Implementierung der KI-Governance in Finanzdienstleistungen

Anstatt vier separate Compliance-Programme aufzubauen, erfüllt eine einzige Governance-Architektur, die auf fünf Fähigkeiten basiert, gleichzeitig die Erwartungen des EU-KI-Gesetzes, von DORA und der FCA.

  1. Modellinventar und Risikoklassifizierung: Ein lebendiges, vollständiges Register jedes KI-Modells in Produktion: seine Funktion, seine Dateneingaben und die Entscheidung, die es beeinflusst. Dies erfüllt direkt die Anforderung des EU-KI-Gesetzes zur Risikostufung gemäß Anhang I/III.
  2. Menschliche Aufsicht und Interventionswege: Entworfene Eskalationspfade, Überschreibungsbefugnis und die technischen Mittel, um ein Modell in Produktion anzuhalten. Das EU-KI-Gesetz fordert dies explizit; es muss vor der Bereitstellung existieren und nicht nachträglich eingebaut werden, nachdem eine Aufsichtsbehörde danach fragt.
  3. Nachverfolgung von Drittanbietern und Datenherkunft: Volle Transparenz über jeden externen Anbieter, jedes Modell und jeden Datensatz, der eine KI-gesteuerte Entscheidung speist. Dies erfüllt direkt die IKT-Drittanbieter-Risikobestimmungen von DORA.
  4. Erklärbarkeit und Audit-Trail: Die Fähigkeit, die durch Praxistests am stärksten exponiert ist, wie oben besprochen.
  5. Verantwortlichkeitsstruktur auf Vorstandsebene: Die Verantwortlichkeitsstruktur auf Vorstandsebene zeigt eine Verbindung zwischen den Bereitstellerpflichten des EU-KI-Gesetzes und dem SM&CR der FCA; die Verantwortung liegt bei einer bestimmten Person oder einem Leitungsorgan, anstatt bei „dem Modell“ oder „dem Anbieter“. Dies muss zugewiesen werden, bevor die anderen vier Fähigkeiten aufgebaut werden.
Implementierung der KI-Governance in Finanzdienstleistungen: 5 Fähigkeiten | OpenSense Labs

Was BFSI-Führungskräfte als Nächstes aufbauen sollten?

Keine der fünf oben genannten Fähigkeiten hängt davon ab, wie die verschobenen Fristen des EU-KI-Gesetzes oder die versprochenen Leitlinien der FCA letztendlich gelöst werden.

Sie beantworten eine Frage, die jedes Regime unabhängig voneinander stellt: Kann diese Institution ihre Modelle sehen, in sie eingreifen, ihre Abhängigkeiten nachverfolgen, ihre Entscheidungen erklären und benennen, wer für sie verantwortlich ist?

BFSI-Führungskräfte, die dies jetzt aufbauen, setzen nicht auf ein bestimmtes regulatorisches Ergebnis; sie bauen eine Infrastruktur auf, die jedes Ergebnis erfordern wird.

Die KI-Governance-Lösung von OpenSense Labs adressiert den Aspekt der Erklärbarkeit direkt, indem sie KI-Ausgaben in Echtzeit über Modelle wie OpenAI, Claude und Gemini hinweg bewertet und filtert und voreingenommene oder nicht konforme Ausgaben abfängt, bevor sie einen Kunden erreichen.

Entdecken Sie unsere Lösung

Newsletter illustration

Newsletter abonnieren

Open-Source-Technologie begeistert Sie? Bleiben Sie mit Projekten auf dem Laufenden, die einen Unterschied machen.

Nisha Katariya
Nisha Katariya

Share Article