ECLEirini C. LikaRechtsanwältin ·
Solicitor · LL.M.

EU AI Act im Finanzsektor: Was gilt für FinTechs?

By Eirini C. Lika

Kreditscoring, algorithmisches Trading, Robo-Advisory: Welche KI-Anwendungen im Finanzsektor als Hochrisiko gelten und welche Compliance-Pflichten daraus entstehen.

Der EU AI Act klassifiziert bestimmte KI-Anwendungen im Finanzsektor ausdrücklich als Hochrisiko-Systeme. Kreditscoring-Modelle, KI-gestützte Bonitätsbewertungen und biometrische Identifikationsverfahren fallen in den erhöhten Anforderungsbereich des Anhangs III EU AI Act. Gleichzeitig gilt für FinTechs und Finanzunternehmen ein komplexes Regulierungsgeflecht: EU AI Act, DSGVO, MiFID II, PSD3 und sektorspezifische EBA-Leitlinien greifen ineinander. Dieser Artikel gibt einen strukturierten Überblick über die relevanten Pflichten.

Welche KI-Anwendungen im Finanzsektor sind Hochrisiko?

Anhang III des EU AI Act nennt in Nr. 5 lit. b ausdrücklich: KI-Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Festsetzung ihrer Kreditkonditionen. Darüber hinaus können KI-Systeme im Bereich AML-Screening, Betrugserkennungs-Systeme mit Auswirkung auf Kontozugang sowie Robo-Advisory-Systeme mit materiellen Anlageempfehlungen in den Hochrisiko-Bereich fallen, wenn sie erhebliche Auswirkungen auf Einzelpersonen haben.

Pflichten für FinTechs als Anbieter

FinTechs, die KI-Systeme entwickeln und unter eigenem Namen vermarkten, gelten als Anbieter (Provider) im Sinne des EU AI Act. Sie sind verpflichtet, ein Risikomanagementsystem einzurichten, technische Dokumentation zu erstellen, Konformitätsbewertungsverfahren durchzuführen und das System in der EU-Datenbank für Hochrisiko-KI zu registrieren. Die technische Dokumentation muss Angaben zu Trainingsverfahren, Leistungskennzahlen, bekannten Einschränkungen und Maßnahmen zur Risikominderung enthalten.

Pflichten für Finanzunternehmen als Betreiber

Finanzunternehmen, die KI-Systeme von Drittanbietern einsetzen — etwa ein LLM-basiertes Kreditbewertungsmodell eines SaaS-Anbieters — gelten als Betreiber (Deployer). Sie sind verpflichtet, das System entsprechend der Gebrauchsanweisung des Anbieters einzusetzen, eine Datenschutz-Folgenabschätzung durchzuführen, menschliche Aufsicht sicherzustellen und bei erheblichen Abweichungen von der vorgesehenen Nutzung die Aufsichtsbehörde zu informieren.

Zusammenspiel mit sektorspezifischer Regulierung

Der EU AI Act gilt neben — nicht anstelle von — sektorspezifischer Finanzmarktregulierung. Für KI im Wertpapierbereich können MiFID-II-Anforderungen an algorithmischen Handel und Anlageberatung parallel gelten. Für Zahlungsdienstleister gelten die Anforderungen der PSD3-Richtlinie. Die European Banking Authority (EBA) hat Guidelines on internal governance veröffentlicht, die Anforderungen an Model Risk Management enthalten. Eine kohärente Compliance-Strategie muss alle anwendbaren Regelwerke berücksichtigen.

Besondere Anforderungen bei grenzüberschreitendem Einsatz

FinTechs, die in der EU und dem Vereinigten Königreich tätig sind, müssen beachten, dass die FCA eigene Erwartungen an KI-Systeme im regulierten Finanzbereich formuliert hat. Das britische Consumer Duty Regime (FCA PS22/9) stellt sicher, dass KI-gestützte Produktempfehlungen und Kundeninteraktionen die Anforderungen an faire Behandlung und gute Ergebnisse für Endkunden erfüllen. Diese Anforderungen sind unabhängig vom EU AI Act zu beachten.

Häufig gestellte Fragen (FAQ)

Fällt mein Kreditscoring-Modell unter den EU AI Act?

Wahrscheinlich ja. Anhang III Nr. 5 lit. b EU AI Act erfasst KI-Systeme, die zur Bewertung der Kreditwürdigkeit oder zur Festsetzung von Kreditkonditionen eingesetzt werden. Eine genaue Analyse des Systems — insbesondere der Frage, ob es sich um ein KI-System im Sinne von Art. 3 Nr. 1 EU AI Act handelt — ist jedoch unerlässlich.

Was gilt für KI-gestützte AML-Systeme?

AML-Screening-Systeme können als Hochrisiko-Systeme eingestuft werden, wenn sie erhebliche Auswirkungen auf den Zugang von natürlichen Personen zu Finanzdienstleistungen haben (Anhang III Nr. 5 EU AI Act). Darüber hinaus unterliegen sie den sektorspezifischen Anforderungen der 6. EU-Geldwäscherichtlinie (6AMLD) und dem AMLA-Regulierungsrahmen.

Bin ich als FinTech Anbieter oder Betreiber nach EU AI Act?

Das hängt davon ab, ob Sie das KI-System selbst entwickeln und unter eigenem Namen vermarkten (dann: Anbieter) oder ein fremdes System in Ihren Produkten und Diensten einsetzen (dann: Betreiber). In manchen Konstellationen — etwa bei erheblicher Modifikation eines Drittanbieter-Modells — kann aus einem Betreiber ein Anbieter werden (Art. 25 EU AI Act). Diese Einordnung ist für den Umfang Ihrer Compliance-Pflichten entscheidend.

Eirini C. Lika

Rechtsanwältin · Solicitor · LL.M.

Als Rechtsanwältin (Griechenland), Solicitor England & Wales und niedergelassene europäische Rechtsanwältin in Deutschland berate ich an der Schnittstelle von Technologie und Regulierung. Mein Fokus liegt auf der praktischen Umsetzung komplexer regulatorischer Anforderungen — insbesondere im Bereich KI-Governance, Datenschutz und grenzüberschreitende Compliance.

More about Eirini C. Lika

Disclaimer: The information in this article is for general informational purposes only and does not constitute legal advice.