AI Compliance Architect für regulierte Branchen

Der EU AI Act ist am 1. August 2024 in Kraft getreten und wird stufenweise anwendbar. Die wichtigsten Fristen sind: Seit 2. Februar 2025 gelten die Verbote für bestimmte KI-Praktiken (z.B. Social Scoring, Emotionserkennung am Arbeitsplatz) und die Pflicht zur KI-Kompetenz. Seit 2. August 2025 gelten die Regeln für General Purpose AI (GPAI) wie ChatGPT oder Gemini sowie die Governance-Strukturen. Ab 2. August 2026 werden die umfassenden Anforderungen für Hochrisiko-KI-Systeme verbindlich – das ist die kritische Deadline für die meisten Unternehmen. Für KI-Systeme, die in regulierte Produkte eingebettet sind, gilt eine verlängerte Frist bis August 2027.

Der AI Act definiert Hochrisiko-KI-Systeme in Anhang III. Für den Finanzsektor besonders relevant sind: KI zur Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen, KI zur Risikobewertung und Preisgestaltung bei Lebens- und Krankenversicherungen, sowie KI zur Betrugserkennung. Weitere Hochrisiko-Bereiche umfassen biometrische Identifizierung, KI in kritischen Infrastrukturen, Bildungs- und Beschäftigungsentscheidungen, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung und Migration. Für diese Systeme gelten strenge Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, Transparenz, menschliche Aufsicht und Cybersicherheit.

Die Bußgelder im EU AI Act sind gestaffelt nach Schwere des Verstoßes: Bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für verbotene KI-Praktiken wie Social Scoring oder manipulative KI. Bis zu 15 Millionen Euro oder 3% des Umsatzes für Verstöße gegen andere Pflichten des AI Act, etwa bei Hochrisiko-Systemen. Bis zu 7,5 Millionen Euro oder 1% des Umsatzes für falsche, unvollständige oder irreführende Angaben gegenüber Behörden. Diese Strafen gelten für EU- und Nicht-EU-Unternehmen gleichermaßen, sofern sie KI-Systeme im EU-Markt anbieten.

Eine DSFA nach Art. 35 DSGVO ist für KI-Systeme in vielen Fällen verpflichtend. Sie ist erforderlich bei: systematischer und umfassender Bewertung persönlicher Aspekte (Profiling), Verarbeitung besonderer Kategorien personenbezogener Daten in großem Umfang, und systematischer Überwachung öffentlich zugänglicher Bereiche. Da die meisten KI-Systeme auf maschinellem Lernen mit personenbezogenen Trainingsdaten basieren und automatisierte Entscheidungen treffen, ist eine DSFA fast immer notwendig. Der AI Act ergänzt die DSGVO: Für Hochrisiko-KI-Systeme fordert er zusätzlich eine Grundrechte-Folgenabschätzung. Beide Anforderungen sollten in einem integrierten Assessment-Prozess adressiert werden.

Finanzinstitute müssen KI-Systeme im Rahmen bestehender Regulierung einordnen: Die MaRisk (Mindestanforderungen an das Risikomanagement) verlangen ein angemessenes Risikomanagement für alle wesentlichen Risiken – KI-Modellrisiken fallen darunter. Die BAIT (Bankaufsichtliche Anforderungen an die IT) fordern Dokumentation, Testverfahren und Kontrollmechanismen für IT-Systeme, was KI einschließt. Die EBA Guidelines on ML for IRB Models stellen spezifische Anforderungen an maschinelles Lernen in internen Rating-Modellen. Zusätzlich wird der AI Act ab August 2026 für Hochrisiko-KI im Finanzsektor (Kreditwürdigkeitsprüfung, Versicherungs-Scoring) verbindlich. Eine integrierte Compliance-Struktur, die MaRisk, BAIT und AI Act gemeinsam adressiert, vermeidet Doppelarbeit.

Ein wirksames KI-Governance Framework umfasst fünf Kernelemente: Erstens eine KI-Policy, die Grundsätze, Anwendungsbereiche und Verantwortlichkeiten definiert. Zweitens klare Rollen und Gremien – der AI Act fordert die Benennung von Verantwortlichen, viele Unternehmen etablieren einen AI Compliance Officer oder ein AI Ethics Board. Drittens ein Risk Assessment Prozess zur Klassifizierung aller KI-Systeme nach Risikoklassen und Identifikation von Compliance-Gaps. Viertens technische und organisatorische Dokumentation gemäß Art. 11 AI Act für Hochrisiko-Systeme. Fünftens ein laufendes Monitoring mit Post-Market-Surveillance und regelmäßigen Audits. Der Aufbau dauert typischerweise 3-6 Monate, abhängig von Unternehmensgröße und Anzahl der KI-Systeme.

AI Act und DSGVO ergänzen sich und müssen beide erfüllt werden. Die DSGVO (seit 2018) regelt den Schutz personenbezogener Daten und gilt für alle KI-Systeme, die solche Daten verarbeiten – Rechtsgrundlage, Betroffenenrechte, DSFA und Auftragsverarbeitung sind zentral. Der AI Act (ab 2024/2026) reguliert KI-Systeme unabhängig davon, ob personenbezogene Daten verarbeitet werden – er fokussiert auf Sicherheit, Transparenz und Grundrechte. Überschneidungen gibt es bei Transparenzpflichten (beide fordern Information über automatisierte Entscheidungen), bei der Dokumentation (DSGVO Art. 30 und AI Act Art. 11) und bei Folgenabschätzungen (DSFA nach DSGVO, Grundrechte-Folgenabschätzung nach AI Act). Ein integriertes Compliance-Management ist daher sinnvoll.

Seit 2. Februar 2025 sind folgende KI-Anwendungen in der EU verboten: Social Scoring durch Behörden oder Unternehmen, das zu ungerechtfertigter Benachteiligung führt. Manipulative KI-Techniken, die unterschwellig das Verhalten beeinflussen. Ausnutzung von Schwächen schutzbedürftiger Gruppen (Kinder, ältere Menschen, Menschen mit Behinderungen). Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (mit Ausnahmen für Sicherheit und Medizin). Biometrische Kategorisierung nach sensiblen Merkmalen wie Ethnie oder politischer Überzeugung. Ungezieltes Scraping von Gesichtsbildern aus dem Internet für Gesichtserkennung. Echtzeit-Biometrie in öffentlichen Räumen durch Strafverfolgung (mit engen Ausnahmen). Verstöße können mit bis zu 35 Mio. Euro oder 7% des Umsatzes geahndet werden.

Seit 2. Februar 2025 müssen alle Anbieter und Betreiber von KI-Systemen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das bedeutet: Mitarbeiter, die KI-Systeme entwickeln, einsetzen oder überwachen, müssen die Funktionsweise, Risiken und Grenzen dieser Systeme verstehen. Schulungen müssen den technischen Kenntnisstand, die Erfahrung und den Einsatzkontext berücksichtigen. Dokumentation der Schulungsmaßnahmen ist erforderlich. Für Finanzinstitute empfiehlt sich ein abgestuftes Schulungskonzept: Basis-Awareness für alle Mitarbeiter, vertieftes Training für KI-Anwender und Spezialisierung für Compliance- und Entwicklungsteams. Die konkrete Ausgestaltung liegt beim Unternehmen – es gibt keine vorgeschriebenen Zertifikate.

Ja, der AI Act gilt auch für Unternehmen, die KI-Systeme nur nutzen (als Deployer oder Betreiber). ChatGPT, Copilot, Gemini und ähnliche Tools fallen unter die Regeln für General Purpose AI (GPAI). Für Nutzer bedeutet das: Sie müssen die Transparenzpflichten beachten – Mitarbeiter und Kunden müssen wissen, wenn sie mit KI interagieren. KI-generierte Inhalte (Texte, Bilder, Audio, Video) müssen als solche gekennzeichnet werden. Die KI-Kompetenz-Pflicht gilt auch für Nutzer dieser Tools. Wenn Sie GPAI in Hochrisiko-Anwendungen einsetzen (z.B. Kreditentscheidungen), gelten zusätzliche Pflichten. Prüfen Sie auch die Nutzungsbedingungen und Datenschutz-Vereinbarungen mit dem Anbieter – Sie bleiben für den DSGVO-konformen Einsatz verantwortlich.