KI-Compliance im Finanzwesen

Überblick

KI im Finanzwesen wird heute für Kreditscoring, Fraud Detection, Geldwäscheprävention, Kundenservice, Risiko- und Portfolioanalysen eingesetzt. Viele dieser Anwendungsfälle sind regulatorisch besonders sensibel, weil sie direkt über den Zugang zu wesentlichen Dienstleistungen entscheiden oder erheblichen Einfluss auf die wirtschaftliche Lage von Personen haben.

Im EU AI Act ist insbesondere Kreditscoring und ähnliche Bewertungssysteme typischerweise als Hochrisiko eingeordnet (Anhang III). Gleichzeitig greifen häufig DSGVO-Anforderungen – insbesondere Art. 22 DSGVO zu automatisierten Entscheidungen – sowie Transparenz-, Dokumentations- und Sicherheitsanforderungen.

Dieser Beitrag erläutert:

• Typische KI-Anwendungsfälle im Finanzwesen
• AI-Act-Einstufung und Pflichten (Hochrisiko)
• DSGVO-Schwerpunkte (Art. 22, Transparenz, DSFA)
• Bias- und Diskriminierungsrisiken
• Praktische Umsetzungsschritte

1️⃣ Typische KI-Anwendungsfälle im Finanzwesen

Kreditscoring & Bonitätsbewertung

• Entscheidung über Kreditvergabe, Konditionen, Limits
• Hoher Grundrechts- und Diskriminierungsbezug

Fraud Detection

• Erkennung von Betrugsmustern
• Häufig Echtzeit-Scoring, Alerts, Sperrungen

Geldwäscheprävention (AML)

• Transaktionsmonitoring
• Verdachtsmeldungen, Risikoklassen

Versicherungsanwendungen

• Risikobewertung, Prämienkalkulation, Schadenbearbeitung
• Potenziell stark personenbeziehbar

Algorithmischer Handel & Risikomodelle

• Marktrisikomessung, Handelsstrategien
• Hier stehen oft Stabilität und Marktintegrität im Vordergrund

2️⃣ EU AI Act: Warum Finanz-KI häufig Hochrisiko ist

Der EU AI Act stuft Systeme als Hochrisiko ein, wenn sie u. a. eingesetzt werden für:

• Zugang zu wesentlichen privaten Dienstleistungen (z. B. Kredit, Versicherung)
• Bewertung von Personen mit erheblichen Auswirkungen

Typisches Hochrisiko-Beispiel

Kreditscoring, das:

• automatisch einen Score berechnet
• Entscheidungsschwellen auslöst
• oder die Entscheidung faktisch dominiert

3️⃣ Hochrisiko-Pflichten im Überblick

Für Hochrisiko-KI gilt insbesondere:

1. Risikomanagementsystem
2. Daten-Governance (Trainings-/Testdaten)
3. Technische Dokumentation
4. Logging
5. Transparenzinformationen
6. Menschliche Aufsicht
7. Genauigkeit, Robustheit, Cybersicherheit
8. Konformitätsbewertung + ggf. CE-Kennzeichnung
9. Post-Market Monitoring

4️⃣ DSGVO im Finanzwesen: Art. 22 & Transparenz

Art. 22 DSGVO (automatisierte Entscheidungen)

Art. 22 wird relevant, wenn:

• eine Entscheidung ausschließlich automatisiert erfolgt
• rechtliche Wirkung entfaltet oder erheblich beeinträchtigt

Typische Fälle:

• automatische Kreditablehnung
• automatische Konto-/Kartensperre
• automatisierte Prämienfestsetzung

Betroffene haben – je nach Konstellation – Anspruch auf:

• menschliches Eingreifen
• Möglichkeit zur Stellungnahme
• Anfechtung der Entscheidung

5️⃣ Transparenzpflichten (Art. 13/14 DSGVO) bei Scoring

Unternehmen müssen u. a. erklären:

• dass ein Scoring/Profiling stattfindet
• welche Datenkategorien verwendet werden
• wozu der Score dient
• welche Auswirkungen möglich sind
• wie eine menschliche Überprüfung möglich ist

Wichtig: Transparenz bedeutet nicht „Quellcode offenlegen", aber verständliche, aussagekräftige Informationen.

6️⃣ Bias- und Diskriminierungsrisiken

Finanz-KI ist anfällig für:

• historische Verzerrungen (z. B. bestimmte Gruppen bekamen früher seltener Kredite)
• Proxy-Variablen (Postleitzahl, Bildungsnähe, Beschäftigungsstabilität)
• Modellstabilitätsprobleme (Drift in Krisenzeiten)

Praktische Gegenmaßnahmen

• Bias-Tests über relevante Gruppen
• Fairness-Metriken und Monitoring
• Daten-Governance und Feature-Review
• dokumentierte Modellgrenzen (Model Cards)

7️⃣ DSFA (Art. 35 DSGVO) im Finanzkontext

Eine DSFA ist häufig erforderlich bei:

• großflächigem Profiling
• systematischer Bewertung persönlicher Aspekte
• automatisierten Entscheidungen mit erheblichen Auswirkungen

Typische DSFA-Risiken:

• unfaire Ablehnungen
• mangelnde Nachvollziehbarkeit
• Missbrauch durch Dritte (Fraud, Account Takeover)
• Sicherheits- und Leakage-Risiken

8️⃣ Sicherheit & Resilienz: Praktischer Fokus

Finanz-KI muss typischerweise hohe Standards erfüllen, insbesondere bei:

• Zugriffskontrolle (Rollen, Need-to-Know)
• Verschlüsselung
• Monitoring und Incident Response
• Schutz vor Manipulation (Data Poisoning, Prompt Injection bei LLMs)
• Lieferkette (Sub-Processor, Cloud-Provider)

9️⃣ Praktische Umsetzung: Finanz-KI Compliance-Checkliste

A) Scope und Rollen klären

1. Was ist das System, was ist der Zweck?
2. Wer ist Anbieter, wer Betreiber?
3. Ist es Hochrisiko nach Anhang III?

B) DSGVO-Fundament

4. Rechtsgrundlage definieren (Art. 6)
5. Art. 22-Relevanz prüfen
6. Transparenztexte vorbereiten (Art. 13/14)

C) Risikomanagement & Qualität

7. DSFA-Screening → DSFA falls notwendig
8. Bias-Tests definieren und dokumentieren
9. Human Oversight-Prozess definieren

D) Technik & Betrieb

10. Logging/Monitoring implementieren
11. Drift-Detection und Retraining-Regeln festlegen
12. Incident-Reporting-Prozess etablieren

Häufige Fehlerquellen

Nächste Schritte

1. Klassifizieren Sie Ihre Finanz-KI nach AI Act Risikostufe (inkl. Anhang-III-Prüfung).
2. Prüfen Sie Art. 22 DSGVO-Relevanz und definieren Sie Human Oversight.
3. Führen Sie ein DSFA-Screening durch und erstellen Sie bei Bedarf eine DSFA.
4. Implementieren Sie Bias-Tests, Monitoring und Incident-Prozesse.
5. Validieren Sie Ihre Vorgehensweise mit qualifizierten Expert:innen unter /experts.