Der EU AI Act klassifiziert zahlreiche KI-Anwendungen im Capital-Markets- und Asset-Management-Geschäft als Hochrisikosysteme. Ab August 2026 gelten strenge Dokumentations-, Transparenz- und Überwachungspflichten. Deutsche Banken stehen vor einem regulatorischen Balanceakt zwischen Innovation und Compliance – mit weitreichenden Konsequenzen für Geschäftsmodelle, IT-Infrastruktur und Wettbewerbsfähigkeit.
Das KI-Zeitalter unter regulatorischer Aufsicht
Die Finanzbranche erlebt eine technologische Transformation, die in ihrer Geschwindigkeit und Tragweite beispiellos ist. Künstliche Intelligenz durchdringt inzwischen nahezu alle Bereiche des Bankgeschäfts – vom algorithmischen Handel über die Portfoliosteuerung bis zur automatisierten Risikobewertung. Doch mit der Verabschiedung des EU AI Act (Verordnung (EU) 2024/1689) hat die Europäische Union ein Regelwerk geschaffen, das die Spielregeln für den KI-Einsatz fundamental verändert – und deutsche Banken besonders hart trifft.
Seit dem 1. August 2024 ist die weltweit erste umfassende KI-Verordnung in Kraft. Ihre Bestimmungen entfalten sich stufenweise bis 2027, wobei der entscheidende Meilenstein auf den 2. August 2026 fällt: Ab diesem Datum müssen sämtliche Hochrisiko-KI-Systeme vollständig den regulatorischen Anforderungen entsprechen. Für die Geschäftsfelder Capital Markets und Asset Management bedeutet dies einen fundamentalen Umbruch, denn zahlreiche dort eingesetzte KI-Anwendungen fallen in genau diese Hochrisikokategorie.
Die Brisanz wird durch einen Blick auf den globalen Wettbewerb deutlich: Unter den 30 größten Banken weltweit findet sich kein einziges deutsches Institut. Die Frage, ob der AI Act als Innovationsbremse oder als Rahmen für verantwortungsvolle Innovation wirkt, entscheidet mit über die Zukunftsfähigkeit des Finanzplatzes Deutschland.
Der risikobasierte Ansatz: Vier Stufen mit unterschiedlicher Schärfe
Der AI Act folgt einem risikobasierten Klassifikationsmodell, das KI-Systeme in vier Kategorien einteilt. Je höher das identifizierte Risiko, desto strenger die regulatorischen Auflagen. Für Banken ergibt sich daraus eine differenzierte Landschaft an Compliance-Pflichten, die je nach Geschäftsbereich und Anwendungsfall erheblich variieren.
| Risikostufe | Beispiele im Banking | Anforderungen |
|---|---|---|
| Unzulässig | Social Scoring, manipulative Systeme, biometrische Echtzeitüberwachung | Vollständiges Verbot seit 02.02.2025 |
| Hochrisiko | Kredit-Scoring, AML-Screening, algorithmische Handelsentscheidungen, Risikobewertung | Dokumentation, Transparenz, menschliche Aufsicht, Risikomanagementsystem, Qualitätssicherung |
| Begrenztes Risiko | Chatbots, Robo-Advisor (Erstberatung), KI-gestützte Kundeninteraktion | Transparenzpflichten: Nutzer muss wissen, dass KI eingesetzt wird |
| Minimales Risiko | Spamfilter, Textkorrektur, interne Prozessautomatisierung, Marketing-Tools | Keine spezifischen Auflagen durch den AI Act |
Die Einordnung ist dabei keineswegs trivial. Ist die Klassifikation eines Systems nicht eindeutig, werden Banken im Zweifel eher auf den Einsatz von KI verzichten, um Compliance-Risiken zu vermeiden. Die Konsequenz: ein potenzieller Innovationsstau, der Europas Finanzinstitute im globalen Wettbewerb zurückwirft.
Capital Markets: Algorithmischer Handel unter der Lupe
Hochrisikoeinstufung und ihre Konsequenzen
Im Kapitalmarktgeschäft setzt die Branche längst auf KI-gestützte Systeme: Algorithmic Trading, automatisierte Marktanalysen, Hochfrequenzhandel und prädiktive Modelle zur Risikosteuerung gehören zum Standard. Der AI Act stuft insbesondere KI-Systeme, die zur Kreditwürdigkeitsprüfung und Risikobewertung eingesetzt werden, als Hochrisiko-KI gemäß Anhang III der Verordnung ein. Scoring-Systeme zur Bewertung von Bonität oder Risikoprofilen unterliegen damit besonders strengen Anforderungen.
Konkret bedeutet dies: Black-Box-Modelle ohne nachvollziehbare Entscheidungslogik sind künftig kaum noch zulässig. Automatisierte Kreditentscheidungen müssen umfassend begründet und dokumentiert werden. Modelle, die sich ausschließlich auf algorithmische Korrelationen stützen, werden schwieriger einsetzbar.
Anforderungen an Handelssysteme
Für KI-gestützte Handelssysteme ergeben sich aus dem AI Act mehrere konkrete Pflichten. Erstens verlangt die Verordnung ein umfassendes Risikomanagementsystem gemäß Artikel 9, das kontinuierlich zu dokumentieren und aufrechtzuerhalten ist. Zweitens müssen die verwendeten Trainings- und Validierungsdaten strengen Qualitätsstandards genügen – eine Herausforderung angesichts der heterogenen Datenlandschaften vieler Institute. Drittens fordert die Verordnung menschliche Aufsicht über alle als Hochrisiko klassifizierten Systeme. Die vollständig autonome Handelsentscheidung durch KI ohne menschliche Kontrollinstanz wird damit regulatorisch problematisch.
Hinzu kommt die technische Dokumentationspflicht nach Artikel 11 und Anhang IV: Neben einer allgemeinen Systembeschreibung sind detaillierte Angaben zur Systemarchitektur, zu Entwurfsspezifikationen sowie zur Überwachung und Kontrolle erforderlich. Diese Dokumentationen müssen zehn Jahre aufbewahrt werden.
Das Zusammenspiel mit bestehender Regulierung
Capital-Markets-Abteilungen operieren bereits in einem dicht regulierten Umfeld: MiFID II, MaRisk, BAIT und seit Januar 2025 auch DORA setzen enge Leitplanken. Der AI Act fügt diesem Geflecht eine weitere Schicht hinzu. Die BaFin hat Ende 2025 Leitlinien zu IKT-Risiken beim KI-Einsatz veröffentlicht, die insbesondere auf die Anforderungen aus DORA Bezug nehmen und das ICT-Risikomanagement beim Einsatz von KI konkretisieren. Die Aufsichtsbehörde behandelt KI dabei nicht als regulatorischen Sonderfall, sondern ordnet sie konsequent in bestehende Prüfrahmen ein.
Für CRR-Kreditinstitute ergibt sich eine Besonderheit: Bei selbst eingesetztem KI-Kredit-Scoring ist die BaFin zuständig, nicht die neu benannte KI-Behörde. KI-Systeme müssen somit gleichzeitig die regulatorischen Anforderungen der Finanzaufsicht und die technischen Vorgaben des AI Act erfüllen.
Asset Management: Zwischen Innovation und Regulierungsdruck
KI als strategische Priorität
Die Mehrheit der Asset Manager in Deutschland und Luxemburg hat bereits erste KI-Use-Cases im Einsatz oder befindet sich mitten in der Entwicklung. Systeme wie ChatGPT, Google Gemini oder Microsoft Copilot sind längst Bestandteil der Praxis. Die Einsatzmöglichkeiten reichen von Research und Risikomodellierung über Portfoliosteuerung bis zum automatisierten Reporting – in nahezu allen Bereichen der Wertschöpfungskette lassen sich produktive Anwendungen beobachten.
Eine EY-Studie zur generativen KI im Wealth und Asset Management zeigt: Manager von Unternehmen mit mehr als zwei Milliarden US-Dollar verwaltetem Vermögen schätzen die Anwendungsfälle Entwicklung von Anlagestrategien zur Alpha-Generierung, Finanzberatung und Investment Operations am höchsten ein. Der AI Act stellt diese ambitionierten Pläne jedoch vor erhebliche Hürden.
Die regulatorischen Fallstricke
Ein zentrales Prinzip des AI Act lautet: Je näher eine KI-Anwendung am Kunden operiert, desto strenger die Regulierung. Für Asset Manager bedeutet dies eine klare Trennlinie. Kundennahe Anwendungen wie algorithmische Anlageberatung, automatisierte Portfoliozusammenstellung oder KI-basierte Risikoeinschätzungen für Anlageprodukte fallen potenziell unter die Hochrisikokategorie und unterliegen damit den strengsten Auflagen.
Kundenfernere Anwendungen wie internes Research, Datenaufbereitung oder Prozessautomatisierung im Back-Office sind dagegen weniger stark betroffen. Robo-Advisor in der Erstberatung fallen als Chatbot-ähnliche Systeme unter die Kategorie begrenztes Risiko mit primären Transparenzpflichten.
Die Cloud-Problematik: FISA Section 702
Eine zusätzliche Dimension der Komplexität ergibt sich aus der Cloud-Abhängigkeit der Branche. Laut dem KPMG Cloud-Monitor 2025 nutzen 97 Prozent der Finanzunternehmen für den KI-Betrieb die Cloudservices der US-Hyperscaler. Dies birgt ein spezifisches Risiko: FISA Section 702 des US-amerikanischen Foreign Intelligence Surveillance Act erlaubt die gezielte Überwachung von Daten außerhalb der USA – einschließlich aller in der Cloud gespeicherten Informationen. Die Hyperscaler unterliegen dabei einer geheimen Mitwirkungspflicht und dürfen die Öffentlichkeit nicht informieren. Für Asset Manager, die mit sensiblen Kundendaten und proprietären Anlagestrategien arbeiten, stellt dies eine erhebliche Governance-Herausforderung dar.
Konsolidierungsdruck
Der PwC Global Asset and Wealth Management Survey prognostiziert, dass bis 2027 rund 16 Prozent aller AWM-Unternehmen entweder übernommen werden oder aus dem Markt ausscheiden – eine doppelt so hohe Schwundrate wie im historischen Vergleich. Der AI Act verschärft diesen Druck: Kleinere Häuser, die die regulatorischen Compliance-Kosten nicht stemmen können, geraten in einen strukturellen Nachteil gegenüber großen Instituten, die über die Ressourcen für umfassende KI-Governance verfügen.
Drittparteienmanagement: Neue Pflichten in der Lieferkette
Der AI Act verändert nicht nur den internen Umgang mit KI, sondern wirkt sich direkt auf das Outsourcing und die Zusammenarbeit mit externen Dienstleistern aus. Finanzinstitute können die Verantwortung für den regelkonformen KI-Einsatz nicht an Drittanbieter delegieren – sie müssen aktiv sicherstellen, dass ausgelagerte KI-Systeme transparent, sicher und compliant betrieben werden.
Konkret müssen Banken KI-Risiken in ihr Third Party Risk Management (TPRM) integrieren und regelmäßig bewerten. Verträge mit Dienstleistern erfordern neue Klauseln zu Dokumentation, Prüf- und Zugriffsrechten sowie Meldepflichten. Auch die EBA hat mit neuen Leitlinien die Anforderungen an die Zusammenarbeit mit Drittanbietern weiter verschärft.
Unabhängig davon, ob KI-Systeme selbst entwickelt oder von Anbietern wie OpenAI, Microsoft oder Google bezogen werden: Eine sorgfältige Analyse der jeweiligen Use Cases im Hinblick auf die zutreffende Risikoklasse und die Ableitung regulatorischer Anforderungen ist unabdingbar. Bei Verstößen drohen nicht nur Reputationsschäden, sondern auch empfindliche Geldbußen.
Die neue Aufsichtsarchitektur
In Deutschland nimmt die Bundesnetzagentur (BNetzA) die Rolle der zentralen KI-Marktaufsichtsbehörde ein. Sie überwacht die Einhaltung der AI-Act-Vorschriften sektorenübergreifend. Die Deutsche Akkreditierungsstelle (DAkkS) fungiert als notifizierende Behörde. Branchenbezogene Aufsicht übt weiterhin die BaFin aus, die ihre Erwartungen an KI-Governance, Risikomanagement und interne Kontrollen im Finanzsektor weiter konkretisieren wird.
Auf europäischer Ebene hat die EU-Kommission das Europäische AI-Büro als zentrales Kompetenzzentrum geschaffen. Es unterstützt Unternehmen bei der Umsetzung des AI Act, hat einen Code of Practice für General-Purpose-Modelle entwickelt und arbeitet mit Modellanbietern wie Mistral AI und dem deutschen Projekt Open Hippo zusammen. Die Leitlinien des AI Office zur KI-Definition und zu verbotenen KI-Anwendungen vom Februar 2025 haben allerdings keinen rechtsverbindlichen Charakter und dienen lediglich der Orientierung.
Der Bankenverband hat in seinem Positionspapier vom Juli 2025 eine zentrale Forderung formuliert: Die Umsetzung der Verordnung müsse praxisgerecht, rechtssicher und EU-weit einheitlich erfolgen. Insbesondere müsse ein konsistentes Zusammenspiel mit bestehenden aufsichtsrechtlichen Anforderungen sichergestellt und eine Doppelregulierung vermieden werden.
KI-Regulierungs-Sandboxes: Ein Hoffnungsschimmer
Der AI Act sieht die Einrichtung sogenannter KI-Regulierungs-Sandboxes in allen EU-Mitgliedstaaten vor. Diese bieten Banken die Möglichkeit, neue KI-Anwendungen in einer kontrollierten Umgebung zu testen und zu validieren, bevor sie in den regulären Betrieb überführt werden.
Für Capital-Markets-Abteilungen und Asset Manager könnte dies ein entscheidender Mechanismus sein, um innovative Lösungen zu entwickeln und gleichzeitig potenzielle Risiken zu identifizieren. Die Sandboxes ermöglichen einen Dialog zwischen Instituten und Aufsichtsbehörden, der für beide Seiten wertvoll sein kann: Banken erhalten regulatorische Klarheit, Behörden gewinnen Einblick in die technologische Praxis.
Handlungsempfehlung: Was deutsche Banken jetzt tun müssen
Die Uhr tickt. Mit dem Stichtag 2. August 2026 bleibt deutschen Banken nur noch wenig Zeit, ihre KI-Landschaft regulatorisch abzusichern. Die folgenden sechs Handlungsfelder sind für Capital-Markets- und Asset-Management-Bereiche von unmittelbarer Priorität:
Sämtliche eingesetzten KI-Systeme müssen identifiziert, dokumentiert und den Risikokategorien des AI Act zugeordnet werden. Dies umfasst ausdrücklich auch KI-Komponenten in Drittanbieterlösungen und Cloud-Diensten. Automatisierte Erkennungsverfahren über IT-Monitoring können dabei unterstützen.
Eine zentrale, unabhängige Governance-Funktion muss als Single Point of Accountability für alle KI-bezogenen Themen installiert werden. KI-Governance ist keine IT-Aufgabe – sie gehört auf die Vorstandsagenda. Die Integration in bestehende Strukturen wie IKS oder MaRisk sichert Konsistenz.
Kredit-Scoring, algorithmische Handelssysteme, AML-Screening und automatisierte Risikobewertungen müssen bis August 2026 vollständig den Anforderungen an Dokumentation, Transparenz, Datenqualität und menschliche Aufsicht entsprechen.
KI-Risiken müssen systematisch in das bestehende TPRM integriert werden. Verträge mit Dienstleistern und Cloud-Providern sind um AI-Act-konforme Klauseln zu ergänzen. Besonderes Augenmerk gilt der Cloud-Compliance unter Berücksichtigung von FISA Section 702.
Die KI-Kompetenzpflicht gilt bereits seit Februar 2025. Institute müssen systematische Schulungsprogramme für alle Mitarbeitenden etablieren – von Handelsdesks über Portfoliomanagement bis zu Compliance-Funktionen.
Institute sollten frühzeitig den Dialog mit der Bundesnetzagentur und der BaFin suchen und innovative KI-Use-Cases in den regulatorischen Sandboxes testen. Dies schafft Compliance-Sicherheit und positioniert die Bank als verantwortungsvollen Innovationstreiber.
Der EU AI Act ist keine vorübergehende regulatorische Belastung, sondern ein Paradigmenwechsel. Banken, die proaktiv handeln und KI-Governance als strategischen Erfolgsfaktor begreifen, werden nicht nur regulatorische Sicherheit schaffen – sie legen auch die Grundlage für nachhaltigen, verantwortungsvollen KI-Einsatz und damit für langfristige Wettbewerbsfähigkeit. Wer hingegen die Umsetzung verzögert, riskiert nicht nur empfindliche Sanktionen, sondern auch den Anschluss an eine Branche, die sich in rasantem Tempo transformiert.
Timeline: Umsetzungsfahrplan EU AI Act
Stufenweise Inkraftsetzung und Handlungsbedarf für deutsche Banken im Capital-Markets- und Asset-Management-Geschäft.