Zum Inhalt springen
🏦 Financial AI

KI im Finanzsektor: BaFin- und DORA-konform

Der Finanzsektor unterliegt den strengsten IT-Regulierungen in Deutschland: BaFin, DORA, MaRisk und BAIT definieren präzise Anforderungen an KI-Systeme. On-Premise LLM ist der einzige Weg, diese Anforderungen vollständig zu erfüllen — von AML/KYC bis Risikobewertung.

🛡️ DSGVO-konform
⚖️ EU AI Act Ready
🇩🇪 Hosted in Germany
🔒 ISO 27001
🏛️ BSI C5

Regulatorischer Rahmen: KI im deutschen Finanzsektor

Der deutsche Finanzsektor ist einer der am stärksten regulierten weltweit. Beim KI-Einsatz greifen mindestens fünf Regulierungsebenen gleichzeitig — eine Komplexität, die Cloud-KI-Lösungen praktisch unmöglich macht:

DORA — Digital Operational Resilience Act

Der Digital Operational Resilience Act (Verordnung (EU) 2022/2554) ist seit dem 17. Januar 2025 vollständig anwendbar und betrifft nahezu alle Finanzinstitute in der EU. Für den KI-Einsatz sind besonders relevant:

  • Art. 5–16: IT-Risikomanagement — Finanzunternehmen müssen ein umfassendes IT-Risikomanagementsystem betreiben. KI-Systeme sind als IT-Systeme einzuordnen und müssen in das bestehende Risikomanagement integriert werden.
  • Art. 17–23: Meldepflichten — Schwerwiegende IT-Vorfälle müssen an die BaFin gemeldet werden. KI-Ausfälle oder -Fehlfunktionen können meldepflichtige Vorfälle darstellen.
  • Art. 24–27: Digitale Resilienz-Tests — Regelmäßige Tests der IT-Systeme, einschließlich KI-Systeme. Bedrohungsgeleitete Penetrationstests (TLPT) können auch KI-Infrastruktur umfassen.
  • Art. 28–44: Drittanbieter-Risikomanagement — Cloud-KI-Anbieter gelten als IKT-Drittdienstleister. Die Anforderungen sind enorm: Risikoanalyse, Vertragsanforderungen, Überwachung, Ausstiegsstrategie, Konzentrationsrisikoanalyse.

Die DORA-Konsequenz: Cloud-KI-Dienste fallen unter das Drittanbieter-Risikomanagement und erfordern umfangreiche vertragliche und organisatorische Maßnahmen. On-Premise eliminiert diese Komplexität vollständig — kein Drittanbieter, kein Auslagerungsrisiko.

BaFin-Aufsichtsrahmen

Die BaFin hat sich wiederholt zum Einsatz von KI im Finanzsektor geäußert und klare Erwartungen formuliert:

  1. Erklärbarkeit: KI-Modelle dürfen keine „Black Box" sein. Die Entscheidungsgrundlagen müssen nachvollziehbar und dokumentiert sein.
  2. Modellvalidierung: KI-Modelle müssen regelmäßig validiert und ihre Leistung überwacht werden (Model Risk Management).
  3. Verantwortlichkeit: Es muss klar definiert sein, wer für KI-basierte Entscheidungen verantwortlich ist.
  4. Fairness: KI darf nicht zu Diskriminierung führen — besonders relevant bei Kreditentscheidungen und Risikobewertungen.

MaRisk — Mindestanforderungen an das Risikomanagement

Die MaRisk definieren den Rahmen für das Risikomanagement bei Kreditinstituten. Für KI besonders relevant:

  • AT 4.3.2: Neue-Produkte-Prozess — KI-Systeme als „neue Produkte" im Sinne der MaRisk
  • AT 7.2: Technisch-organisatorische Ausstattung — IT-Systeme (inkl. KI) müssen den Anforderungen entsprechen
  • AT 9: Auslagerung — Cloud-KI fällt unter die Auslagerungsvorschriften
  • BTO 1.4: Risikomanagement bei algorithmischen Systemen

BAIT — Bankaufsichtliche Anforderungen an die IT

Die BAIT konkretisieren die MaRisk für IT-Systeme und sind direkt auf KI anwendbar: Informationsrisikomanagement, IT-Betrieb, Auslagerungsmanagement und vor allem die Anforderung an ein zentrales Informationssicherheitsmanagement.

Financial AI Community

IT-Leiter und Compliance-Verantwortliche aus dem Finanzsektor diskutieren den regulierungskonformen KI-Einsatz.

Community beitreten →

Use Cases: KI-Anwendungen im Finanzsektor

1. AML/KYC — Anti-Money-Laundering und Know-Your-Customer

Die Geldwäscheprävention ist einer der ressourcenintensivsten Compliance-Bereiche. On-Premise LLMs können Transaktionsmuster analysieren, Verdachtsfälle priorisieren und False Positives reduzieren. Das Geldwäschegesetz (GwG) verlangt die Vertraulichkeit der Kundendaten — Cloud-Lösungen sind für die Verarbeitung von Transaktionsdaten und Kundenidentifikationsdokumenten problematisch.

  • Automatische Analyse von Transaktionsmustern und Auffälligkeiten
  • Dokumentenprüfung bei der Kundenidentifikation
  • Reduktion von False Positives um 40–60 %
  • Priorisierung von Verdachtsmeldungen nach Risikoscore

2. Risikobewertung und Kreditentscheidung

KI kann bei der Kreditrisikoanalyse unterstützen — aber nur, wenn die BaFin-Anforderungen an Erklärbarkeit und Fairness erfüllt werden. On-Premise gibt Ihnen volle Kontrolle über Modell und Entscheidungsprozess. Sie können Bias-Audits durchführen, Modelle validieren und alle Entscheidungen lückenlos dokumentieren.

3. Compliance-Monitoring und Regulatory Reporting

Regulatorische Anforderungen ändern sich ständig. Ein On-Premise LLM mit RAG-Integration kann Ihre Compliance-Abteilung unterstützen: automatische Analyse neuer Regulierungen, Abgleich mit bestehenden Prozessen und Erstellung von Compliance-Reports.

4. Kundenservice und Beratungsunterstützung

KI-gestützte Kundenberatung im Finanzsektor muss höchste Datenschutzstandards erfüllen. On-Premise LLMs können Kundenanfragen analysieren, passende Produkte vorschlagen und Beratungsprotokolle erstellen — ohne dass Kundendaten an Dritte gelangen.

5. Dokumentenverarbeitung und Vertragsprüfung

Von Kreditverträgen über Versicherungspolicen bis zu Fondsdokumentationen — die Dokumentenflut im Finanzsektor ist enorm. On-Premise KI kann Dokumente automatisch kategorisieren, relevante Klauseln extrahieren und Risikoparameter identifizieren.

📊 Regulierung

Cloud vs. On-Premise: Finanzsektor-Compliance

Regulierung Cloud-KI On-Premise LLM ✓
DORA Art. 28–44 ⚠️ Drittanbieter-Risiko ✅ Kein Drittanbieter
MaRisk AT 9 ⚠️ Auslagerung erforderlich ✅ Keine Auslagerung
BAIT ⚠️ Eingeschränkte Kontrolle ✅ Volle IT-Kontrolle
BaFin Erklärbarkeit ❌ Black Box bei Cloud ✅ Modellzugriff & Logging
Bankgeheimnis ❌ Daten bei Drittanbieter ✅ Daten im eigenen RZ
GwG (Geldwäsche) ⚠️ Vertraulichkeit gefährdet ✅ Vollständiger Schutz
Modellvalidierung ❌ Modell nicht zugänglich ✅ Voller Modellzugriff

Implementierung: On-Premise KI im Finanzsektor

Die Implementierung von On-Premise KI im Finanzsektor erfordert besondere Sorgfalt aufgrund der regulatorischen Komplexität. Ein bewährter Ansatz:

Phase 1: Regulatory Assessment (4–6 Wochen)

  • Abstimmung mit BaFin-Anforderungen und internem Compliance-Team
  • Risikoklassifizierung der geplanten KI-Anwendungen
  • DSFA und Datenschutz-Assessment
  • Neue-Produkte-Prozess nach MaRisk AT 4.3.2

Phase 2: Infrastructure & Pilot (6–10 Wochen)

  • Enterprise-Grade GPU-Infrastruktur aufbauen (redundant, USV-gesichert)
  • Sicherheitsarchitektur definieren (Netzwerksegmentierung, Zugriffskontrollen)
  • Modell-Deployment mit vollständigem Audit-Logging
  • Pilotprojekt in einem abgegrenzten Bereich (z. B. Compliance-Reporting)

Phase 3: Validierung und Rollout (6–12 Wochen)

  • Modellvalidierung nach BaFin-Anforderungen
  • Bias-Audit und Fairness-Tests
  • Integration in bestehende Kernbankensysteme
  • Schulung der Mitarbeiter und Dokumentation

Weiterführende Informationen

💬

Regulierungsfragen diskutieren?Compliance-Experten und IT-Leiter aus dem Finanzsektor teilen ihr Wissen in unserer Community.

Im Slack austauschen →

Häufige Fragen: KI im Finanzsektor

Erlaubt die BaFin den Einsatz von KI bei Banken?

Die BaFin steht dem KI-Einsatz grundsätzlich offen gegenüber, stellt aber hohe Anforderungen an Nachvollziehbarkeit, Risikomanagement und Auslagerungskontrolle. KI-Modelle dürfen keine „Black Box" sein — die BaFin verlangt Erklärbarkeit und Dokumentation. On-Premise-Lösungen erfüllen diese Anforderungen am besten, da Sie volle Kontrolle über Modell, Daten und Logging haben.

Was bedeutet DORA für den KI-Einsatz?

Der Digital Operational Resilience Act (DORA, seit Januar 2025 in Kraft) reguliert IT-Risiken im Finanzsektor umfassend. DORA betrifft KI-Systeme direkt: IT-Risikomanagement (Art. 5–16), Meldepflichten bei IT-Vorfällen (Art. 17–23), digitale Resilienz-Tests (Art. 24–27) und Drittanbieter-Risikomanagement (Art. 28–44). Cloud-KI-Dienste gelten als Drittanbieter und unterliegen den strengen Auslagerungsvorschriften.

Kann KI für AML/KYC-Prozesse eingesetzt werden?

Ja — KI ist für Anti-Money-Laundering und Know-Your-Customer-Prozesse zunehmend unverzichtbar. On-Premise LLMs können Transaktionsmuster analysieren, Verdachtsfälle identifizieren und Kundenidentifikationsdokumente prüfen. Wichtig: Die Daten dürfen wegen des Bankgeheimnisses und der GwG-Anforderungen nicht an Cloud-Anbieter übertragen werden.

Was verlangt MaRisk beim KI-Einsatz?

Die MaRisk (Mindestanforderungen an das Risikomanagement) der BaFin verlangen ein umfassendes Risikomanagement auch für KI-Systeme: Dokumentation der Modellvalidierung, regelmäßige Überprüfung, Verantwortungszuordnung und Notfallplanung. Insbesondere AT 7.2 (Technisch-organisatorische Ausstattung) und AT 9 (Auslagerung) sind für den KI-Einsatz relevant.

Wie unterscheidet sich BAIT von MaRisk?

Die BAIT (Bankaufsichtliche Anforderungen an die IT) konkretisiert die MaRisk speziell für IT-Systeme. Für KI relevant: Informationsrisikomanagement, IT-Betrieb, IT-Projekte und Auslagerungsmanagement. BAIT verlangt u. a. ein zentrales Informationssicherheitsmanagement und Protokollierung — Anforderungen, die bei On-Premise-Lösungen einfacher umsetzbar sind.

Ist Cloud-KI im Finanzsektor komplett verboten?

Nicht komplett verboten, aber stark reguliert. Cloud-KI fällt unter die Auslagerungsvorschriften der MaRisk (AT 9) und DORA (Art. 28–44). Es gelten strenge Anforderungen an Risikoanalyse, Vertragsgestaltung, Kontrollrechte und Exit-Strategien. In der Praxis ist On-Premise für die Verarbeitung sensibler Finanzdaten der deutlich einfachere und sicherere Weg.

Welche Hardware braucht eine Bank für On-Premise KI?

Banken und Versicherungen benötigen Enterprise-Grade-Hardware mit Redundanz: Typischerweise 2–4 NVIDIA H100 oder L40S GPUs in einem hochverfügbaren Setup, 256+ GB RAM, redundante Speichersysteme und USV. Die Investition liegt bei 80.000–200.000 € — amortisiert sich aber durch Automatisierung von Compliance-Prozessen innerhalb von 12–18 Monaten.

Financial AI — sicher und compliant

Vernetzen Sie sich mit Finanz-IT-Experten, die On-Premise KI bereits regulierungskonform einsetzen.

Jetzt Slack beitreten →