EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Es schafft einheitliche Regeln für die Entwicklung, das Inverkehrbringen und die Nutzung von KI-Systemen in der EU – mit besonderem Fokus auf Hochrisiko-Anwendungen wie sie im Finanzsektor üblich sind.
Inhalt
Was ist der EU AI Act?
Der EU AI Act (offiziell: Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetzeswerk zur Regulierung von Künstlicher Intelligenz. Die Verordnung wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft.
Ziel des EU AI Act ist es, einen einheitlichen Rechtsrahmen für KI in der EU zu schaffen, der:
- Grundrechte schützt – Diskriminierung durch KI verhindern
- Vertrauen stärkt – Transparenz und Nachvollziehbarkeit
- Innovation fördert – Rechtssicherheit für Unternehmen
- Risiken minimiert – Risikobasierter Regulierungsansatz
Warum ist der EU AI Act wichtig für Banken?
Finanzdienstleister setzen zunehmend KI ein – von Chatbots über Betrugserkennung bis hin zu automatisierten Kreditentscheidungen. Viele dieser Anwendungen fallen unter die Hochrisiko-Kategorie des EU AI Act und unterliegen damit strengen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht.
Für wen gilt der EU AI Act?
Der EU AI Act hat einen breiten Anwendungsbereich und gilt für verschiedene Akteure in der KI-Wertschöpfungskette:
Anbieter (Provider)
Unternehmen, die KI-Systeme entwickeln oder entwickeln lassen und unter eigenem Namen in Verkehr bringen.
- FinTech-Unternehmen
- Software-Anbieter für Banken
- Interne Entwicklungsabteilungen
Betreiber (Deployer)
Unternehmen, die KI-Systeme unter eigener Verantwortung einsetzen – auch wenn sie diese nicht selbst entwickelt haben.
- Banken
- Versicherungen
- Finanzdienstleister
Extraterritoriale Wirkung
Der EU AI Act gilt auch für Unternehmen außerhalb der EU, wenn deren KI-Systeme in der EU eingesetzt werden oder EU-Bürger betreffen. Damit ist er vergleichbar mit der DSGVO in seiner globalen Reichweite.
Die 4 Risikoklassen des EU AI Act
Der EU AI Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen.
Unannehmbares Risiko
Diese KI-Praktiken sind in der EU verboten:
- Social Scoring durch Behörden
- Biometrische Echtzeit-Identifizierung im öffentlichen Raum (mit Ausnahmen)
- Unterschwellige Manipulation
- Ausnutzung von Schwächen vulnerabler Gruppen
- Emotionserkennung am Arbeitsplatz/in Schulen
Strenge Anforderungen
Unterliegt umfangreichen Compliance-Pflichten:
- Kreditwürdigkeitsprüfung & Scoring
- Risikobewertung für Versicherungen
- Zugang zu wesentlichen Dienstleistungen
- Biometrische Identifizierung
- Personalauswahl & -bewertung
- Kritische Infrastruktur
Transparenzpflichten
Müssen Nutzer über KI-Interaktion informieren:
- Chatbots
- Emotionserkennung
- Deepfakes
- KI-generierte Inhalte
Keine spezifischen Pflichten
Freiwillige Verhaltenskodizes empfohlen:
- Spam-Filter
- KI in Videospielen
- Einfache Empfehlungssysteme
EU AI Act im Finanzsektor
Für Banken und Finanzdienstleister ist der EU AI Act besonders relevant, da viele typische KI-Anwendungen als Hochrisiko eingestuft werden:
| KI-Anwendung | Risikoklasse | Typischer Einsatz |
|---|---|---|
| Kreditscoring | Hochrisiko | Automatisierte Bonitätsprüfung |
| Kreditentscheidungen | Hochrisiko | Kreditvergabe, Limit-Entscheidungen |
| Versicherungs-Scoring | Hochrisiko | Prämienberechnung, Risikoeinschätzung |
| Betrugserkennung | Hochrisiko* | Transaction Monitoring, AML |
| Robo-Advisory | Begrenzt/Hoch | Automatisierte Anlageberatung |
| Chatbots | Begrenzt | Kundenservice |
| Dokumentenverarbeitung | Minimal | OCR, Datenextraktion |
* Betrugserkennung kann je nach Implementierung als Hochrisiko eingestuft werden, insbesondere wenn automatisierte Entscheidungen mit erheblichen Auswirkungen getroffen werden.
EU AI Act Timeline & Fristen
Der EU AI Act wird stufenweise anwendbar. Hier die wichtigsten Fristen:
Inkrafttreten
EU AI Act tritt in Kraft
Verbotene Praktiken
Verbotene KI-Praktiken müssen eingestellt werden (6 Monate nach Inkrafttreten)
GPAI & Governance
Regeln für General Purpose AI (z.B. ChatGPT) und Governance-Strukturen
Hochrisiko-KI
Alle Hochrisiko-Anforderungen gelten vollständig – inkl. Kreditscoring!
Vollständige Anwendung
Alle Regelungen gelten, auch für bestimmte eingebettete KI-Systeme
Zeit zu handeln!
Bis August 2026 müssen alle Hochrisiko-KI-Systeme compliant sein. Starten Sie jetzt mit einer Bestandsaufnahme Ihrer KI-Systeme.
AI Act Health-Check starten →Anforderungen für Hochrisiko-KI
Anbieter und Betreiber von Hochrisiko-KI-Systemen müssen umfangreiche Anforderungen erfüllen:
Risikomanagementsystem
- Identifikation bekannter & vorhersehbarer Risiken
- Risikobewertung und -minderung
- Kontinuierliche Überwachung
- Dokumentation aller Maßnahmen
Daten-Governance
- Qualität der Trainingsdaten sicherstellen
- Bias-Prüfung und -Vermeidung
- Repräsentativität der Datensätze
- Dokumentation der Datenherkunft
Technische Dokumentation
- Beschreibung des KI-Systems
- Entwicklungsprozess dokumentieren
- Leistungskennzahlen & Grenzen
- Konformitätsbewertung
Transparenz & Information
- Gebrauchsanweisung bereitstellen
- Verständliche Erklärung der Funktionsweise
- Kontaktdaten des Anbieters
- CE-Kennzeichnung
Menschliche Aufsicht
- Human-in-the-Loop / Human-on-the-Loop
- Eingriffsmöglichkeiten sicherstellen
- Überschreiben/Stoppen möglich
- Schulung der Bediener
Robustheit & Sicherheit
- Genauigkeit & Zuverlässigkeit
- Cybersecurity-Maßnahmen
- Schutz vor Manipulation
- Fehlertoleranz
Strafen bei Verstößen
| Verstoß | Maximale Strafe |
|---|---|
| Verbotene KI-Praktiken | 35 Mio. € oder 7% Jahresumsatz |
| Hochrisiko-Anforderungen | 15 Mio. € oder 3% Jahresumsatz |
| Falsche Angaben gegenüber Behörden | 7,5 Mio. € oder 1,5% Jahresumsatz |
EU AI Act Umsetzung: Schritt für Schritt
KI-Inventarisierung
Erfassen Sie alle KI-Systeme in Ihrer Organisation: Eigenentwicklungen, eingekaufte Lösungen, eingebettete KI in Software. Nutzen Sie unseren AI Act Health-Check für einen ersten Überblick.
Risikoklassifizierung
Ordnen Sie jedes KI-System einer Risikoklasse zu. Prüfen Sie insbesondere, ob Kreditentscheidungen, Scoring oder automatisierte Bewertungen betroffen sind.
Gap-Analyse durchführen
Vergleichen Sie den Ist-Zustand mit den Anforderungen des EU AI Act. Identifizieren Sie Lücken bei Dokumentation, Governance und technischen Maßnahmen.
KI-Governance aufbauen
Etablieren Sie Verantwortlichkeiten, Prozesse und Richtlinien für den KI-Einsatz. Definieren Sie, wer für Compliance verantwortlich ist.
Dokumentation erstellen
Erstellen Sie die erforderliche technische Dokumentation für Hochrisiko-Systeme: Systembeschreibung, Risikobewertung, Testberichte, Gebrauchsanweisungen.
Technische Maßnahmen umsetzen
Implementieren Sie erforderliche technische Controls: Logging, Human Oversight, Bias-Monitoring, Erklärbarkeit.
Kontinuierliches Monitoring
Etablieren Sie Prozesse zur laufenden Überwachung Ihrer KI-Systeme. Der EU AI Act fordert Post-Market-Monitoring für Hochrisiko-KI.
DORA & EU AI Act: Synergien nutzen
Für Finanzunternehmen überschneiden sich DORA und EU AI Act in mehreren Bereichen. Eine integrierte Compliance-Strategie spart Aufwand:
| Thema | DORA | EU AI Act |
|---|---|---|
| Risikomanagement | IKT-Risikomanagement-Rahmenwerk | KI-Risikomanagementsystem |
| Dokumentation | IKT-Asset-Register, Policies | Technische Dokumentation, KI-Inventar |
| Drittparteien | IKT-Drittparteienrisiko | Anforderungen an KI-Anbieter |
| Testing | Resilience Testing, TLPT | Robustheitstests, Bias-Prüfung |
| Governance | Leitungsorgan-Verantwortung | Human Oversight, Verantwortlichkeiten |
| Incident Management | IKT-Vorfallsmeldung | Meldung schwerwiegender Vorfälle |
Gemeinsames Risikomanagement
Integrieren Sie KI-Risiken in Ihr bestehendes IKT-Risikomanagement nach DORA.
Einheitliche Governance
Nutzen Sie bestehende Governance-Strukturen und erweitern Sie diese um KI-spezifische Aspekte.
Konsolidierte Dokumentation
Führen Sie KI-Inventar und IKT-Asset-Register zusammen für eine einheitliche Übersicht.
Warum Niagon für Ihre EU AI Act Compliance?
Finanzsektor-Expertise
Wir kennen die spezifischen KI-Anwendungen in Banken: Kreditscoring, Betrugserkennung, Robo-Advisory.
DORA + AI Act kombiniert
Wir entwickeln integrierte Compliance-Strategien, die beide Verordnungen effizient abdecken.
Pragmatischer Ansatz
Keine akademischen Gutachten, sondern umsetzbare Maßnahmenpläne.
Unsere EU AI Act Leistungen
- AI Act Health-Check: Kostenlose Ersteinschätzung Ihrer KI-Readiness
- KI-Inventarisierung: Systematische Erfassung aller KI-Systeme
- Risikoklassifizierung: Einordnung nach EU AI Act Kategorien
- Gap-Analyse: Identifikation von Handlungsbedarf
- KI-Governance: Aufbau von Strukturen und Prozessen
- Dokumentation: Erstellung der erforderlichen Nachweise
Häufige Fragen zum EU AI Act (FAQ)
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er trat am 1. August 2024 in Kraft und wird stufenweise bis 2027 vollständig anwendbar.
Gilt der EU AI Act für Banken?
Ja, der EU AI Act gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, einsetzen oder anbieten – einschließlich Banken und Finanzdienstleister. Besonders relevant sind KI-Anwendungen für Kreditwürdigkeitsprüfung, Betrugserkennung und automatisierte Entscheidungen.
Was sind Hochrisiko-KI-Systeme im Finanzsektor?
Im Finanzsektor gelten als Hochrisiko-KI: Kreditwürdigkeitsprüfung, Kreditscoring, Risikobewertung für Versicherungen, Betrugserkennung mit automatisierten Entscheidungen sowie KI-Systeme zur Bewertung von Kunden für Finanzdienstleistungen.
Welche Strafen drohen bei Verstößen gegen den EU AI Act?
Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für verbotene KI-Praktiken. Für Hochrisiko-Verstöße bis zu 15 Millionen Euro oder 3% des Umsatzes.
Ab wann gilt der EU AI Act vollständig?
Der EU AI Act wird stufenweise anwendbar: Verbotene Praktiken ab Februar 2025, Hochrisiko-KI ab August 2026, und für bestimmte KI-Modelle ab August 2027. Banken sollten jetzt mit der Vorbereitung beginnen.
Was ist eine KI-Risikoklassifizierung?
Der EU AI Act teilt KI-Systeme in vier Risikoklassen ein: Verboten (z.B. Social Scoring), Hochrisiko (z.B. Kreditscoring), Begrenztes Risiko (z.B. Chatbots mit Transparenzpflicht) und Minimales Risiko (z.B. Spam-Filter).
Brauchen Banken einen KI-Beauftragten?
Der EU AI Act schreibt keinen expliziten KI-Beauftragten vor, aber Anbieter von Hochrisiko-KI müssen ein Qualitätsmanagementsystem und angemessene Governance-Strukturen nachweisen. In der Praxis empfiehlt sich eine klare Verantwortlichkeit für KI-Compliance.
Wie hängen EU AI Act und DORA zusammen?
DORA und EU AI Act ergänzen sich: DORA regelt die digitale Resilienz und IKT-Risiken, der AI Act spezifisch KI-Risiken. Beide erfordern Risikomanagementsysteme, Dokumentation und Governance. Eine integrierte Compliance-Strategie ist sinnvoll.
Was kostet EU AI Act Compliance?
Die Kosten variieren stark je nach Anzahl und Art der KI-Systeme. Für eine erste Gap-Analyse rechnen Sie mit 10.000-30.000€. Die Gesamtkosten für Compliance hängen von der Komplexität der eingesetzten KI ab.
Wie unterstützt Niagon bei der EU AI Act Compliance?
Niagon bietet: Kostenlosen AI Act Health-Check, KI-Inventarisierung und Risikoklassifizierung, Gap-Analyse, Aufbau von KI-Governance-Strukturen, Dokumentation und Vorbereitung auf Audits.
Bereit für den EU AI Act?
Starten Sie jetzt mit unserem kostenlosen AI Act Health-Check und erfahren Sie, welche Ihrer KI-Systeme betroffen sind.