Jetzt CloudGate testen!
CloudGate
Leistungen
Regulatory Advisory
IT-Governance
Audit und Assurance Support
Agentic AI Governance
Themen
AI Act
Cyber Resilience Act
DORA
NIS-2
EU Data Act
BaFin-Mitteilung KI-Anwendungen
Lösungen
Muster-Verträge
IT-GRC


Leistungen
Sourcing-Strategie
Provider Management
IT-Ausschreibung
Transition Support
Verträge, Servicekataloge, SLAs
Themen
TPRM-Automation
Managed Security
Hybrid Infrastructure
Modern Workplace
Services
SLA-Rechner
Third Party Management


Leistungen
AI Literacy/KI-Kompetenz
Agentic AI Governance
Cloud Exit Management
Cloud Strategy
Cloud Security Implementation
Themen
Sovereignty
Marktübersicht EU Public Cloud
FinOps
AI Act
BaFin Mitteilung KI-Anwendungen
Digital Adoption
Services
FinOps Dashboard
AI & Cloud





Seminare

Seminar-Übersicht
GRC-Seminare
TPM-Seminare
AI-Seminare
Cloud-Seminare

Themen

DORA
NIS-2
AI Act

Wissenswertes

Anfrage
AGB
Glossar
microfin Academy


Karriere

Deine Karriere
Bewerbung und Onboarding
Einstieg und Aufstieg
#lieblingsarbeitgeber
Diversity und Familienfreundlichkeit

Offene Stellen

Consultants Outsourcing & Cloud
Senior IT-Consultants Outsourcing & Cloud
Consultants für IT-GRC
Senior Consultants IT-Architektur

Offene Stellen

Senior Consultants IT-Security
Senior Consultants Provider Mgmt
Senior Consultants Cloud & Digitale Transformation
Karriere bei microfin


Erfahrung

Cloud
Outsourcing
GRC
IT-Kostenoptimierung
Providermanagement

News

Publikationen
Veranstaltungen
Outsourcing Deals

Über uns

Team
Mitgliedschaften
Partnerschaften
Engagement
Über uns


  1. Home
  2. News
  3. Publikationen
  4. Artikel

KI-Regulierung: Ehre, wem Ehre gebührt

Warum die BaFin mit ihrer Orientierungshilfe zu KI-Risiken im Finanzsektor einen bemerkenswert pragmatischen Beitrag zur digitalen Aufsicht leistet

Fachartikel erstellt von S. Dosch

Sebastian Dosch

Sebastian Dosch

Veröffentlicht in: Tagesspiegel Background 2026/03

Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen

Die BaFin hat den Banken im Dezember noch ein besonderes Geschenk unter den Baum gelegt: Die "Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen". Zeit für ein erstes Fazit: Die 38 Seiten machen auf den ersten Blick einen etwas ernüchternden Eindruck. Nicht, weil das Papier handwerklich schlecht wäre, sondern weil es Erwartungen weckt, die es nur teilweise erfüllt.

Leerstelle AI Act

Vor allem die fehlende Einbeziehung der europäischen KI-Verordnung fällt auf. Gerade angesichts der absehbaren Bedeutung dieses Regelwerks für Finanzunternehmen ist das eine verpasste Chance. Eine Orientierungshilfe, die den Anspruch erhebt, den Einsatz von KI aufsichtsrechtlich einzuordnen, hätte zumindest eine Brücke schlagen können zwischen bestehendem Aufsichtsrecht und dem, was regulatorisch bereits absehbar ist. Dass dies ausbleibt, schmälert den strategischen Wert des Dokuments.

Hinzu kommt der Einstieg der BaFin, die KI sehr früh mit Netzwerk- und Informationssystemen im Sinne von DORA gleichsetzt. Damit scheint zunächst alles gesagt: Was für klassische IKT gilt, gilt auch für KI. Dieser Ansatz ist konsequent, wirkt aber auf den ersten Seiten so umfassend, dass kaum Raum für technologische Besonderheiten zu bleiben scheint. Wer an dieser Stelle aussteigt, könnte den Eindruck gewinnen, es handele sich um eine bloße Klarstellung ohne zusätzlichen Erkenntnisgewinn.

Wichtige KI-Risiken kommen vor

Doch mit fortschreitender Lektüre relativiert sich dieses Urteil. Zwischen den Zeilen – und häufig auch sehr explizit – arbeitet die Orientierungshilfe durchaus KI-spezifische Risiken heraus. Besonders überzeugend ist dabei der pragmatische Fokus auf bereits etablierte Instrumente des Risikomanagements. Wer nicht auf theoretische Abhandlungen, sondern auf konkrete Anhaltspunkte zur Umsetzung aus ist, findet sie schnell. Das Dokument ist so geschrieben, dass sich relevante Maßnahmen zügig identifizieren lassen, ohne jeden Absatz im Detail studieren zu müssen. Für die Praxis ist das ein nicht zu unterschätzender Vorteil.

Inhaltlich greift die BaFin mehrere Punkte auf, die in der operativen Realität vieler Institute längst virulent sind. Dazu gehört etwa die enge technische und organisatorische Verzahnung von KI-Anwendungen mit Cloud-Infrastrukturen. Vor diesem Hintergrund ist der Rückgriff auf die frühere Aufsichtsmitteilung zu Cloud-Auslagerungen folgerichtig und hilfreich. Auch der Hinweis, dass KI nicht als isoliertes IT-Thema verstanden werden darf, sondern interdisziplinäre Zusammenarbeit erfordert, wirkt weniger banal, als er auf den ersten Blick erscheinen mag. In der Praxis scheitert effektives KI-Risikomanagement häufig genau an dieser multidirektionalen Schnittstelle zwischen IT, Fachbereichen, Recht und Compliance.

Bemerkenswert ist zudem der Blick auf weniger offensichtliche Eintrittspunkte von KI, etwa über Programmierschnittstellen, die KI-Funktionalitäten in Anwendungen bringen, die ursprünglich nicht als KI-Systeme konzipiert waren. Auch die Schwierigkeiten beim Testen insbesondere generativer KI werden nicht ausgeblendet, sondern mit konkreten Gegenmaßnahmen unterlegt. Gleiches gilt für die Sensibilität vieler KI-Systeme gegenüber Latenzen und Rechenkapazitäten, was sich folgerichtig in Anforderungen an vertragliche Vereinbarungen mit IKT-Drittparteien niederschlägt.

Der Wert liegt im Konkreten

Schließlich adressiert die Orientierungshilfe auch Fragen, die in der Euphorie um KI häufig verdrängt werden: die Exit-Planung und die Absicherung von Datenflüssen. Der problemlose Export von Modellen, Trainingsdaten und Konfigurationsskripten ist gerade bei proprietären Cloud- und KI-Diensten alles andere als trivial. Ebenso wenig reicht es aus, lediglich den Zugriff auf Modelle zu schützen, wenn der Datenaustausch zwischen Trainingsumgebungen, Modellkomponenten und Endanwendern nicht angemessen abgesichert ist.

Unterm Strich ist das Bild deshalb doch überraschend positiv. Die Orientierungshilfe ist kein großer regulatorischer Wurf, aber zumindest ein grober strategischer Kompass für die kommende KI-Regulierung. Sie ist damit auch weit mehr als eine bloße Wiederholung bestehender Pflichten. Ihr Wert liegt im Konkreten, im Praktischen und in der nüchternen Anerkennung technischer Realität. Dass Regulierung dabei nicht nur Belastung, sondern mitunter sogar erkenntnisfördernd sein kann, ist keine Selbstverständlichkeit. In diesem Sinne: Ehre, wem Ehre gebührt!

Zurück
Download

 

Artikel empfehlen

Sebastian Dosch ist Principal Consultant und Volljurist bei microfin. Er befasst sich schwerpunktmäßig mit juristischen und datenschutzrelevanten Themen rund um IT-, Cloud- und KI-Ausschreibungen sowie -Services mit dem Fokus auf regulierten Branchen wie Banken und Versicherungen. Europäische wie deutsche Regulatorik sind sein tägliches Handwerkszeug. Sein Wissen teilt er nicht nur in Veröffentlichungen, sondern auch in Seminaren und Vorträgen. Hinzu kommt ein großes Interesse an technischen Neuerungen, künstlicher Intelligenz sowie Cloud-Themen und einer generellen Neugier auf Neues.