Blogpost

KI-Governance und Risikomanagement aus Sicht der Banken- und Finanzaufsicht

Eine KI-Governance ist ein übergreifendes Rahmenwerk, das die Zuständigkeiten für den Einsatz von künstlicher Intelligenz in einem Unternehmen definiert und für eine sichere, ethische, transparente und gesetzeskonforme Nutzung von KI sorgt. Die neue BaFin-Orientierungshilfe ordnet künstliche Intelligenz klar als IKT-Risiko nach DORA ein. Mit Hilfe des Drei-Säulen-Modells und einer robusten KI-Governance sind Banken in der Lage, die strategischen und operativen Anforderungen zu erfüllen.

Lisa Weinert
Hannah Gürsching
16
Compliance
Digitalisierung
Künstliche Intelligenz
Risikomanagement
3 Minuten Lesezeit
Hallway

Was die neue BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI für Banken wirklich bedeutet

Das Thema KI-Governance rückt in den Fokus der Banken. Denn mit der Veröffentlichung der BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI im Dezember 2025 hat die Aufsicht einen klaren Akzent gesetzt: Künstliche Intelligenz wird nicht länger primär als Innovations- oder Ethikthema betrachtet, sondern ausdrücklich als Teil des IKT-Risikomanagements nach DORA. Damit rückt KI endgültig in den Kern der bankaufsichtlichen Steuerung.

Für Banken ist diese Einordnung von zentraler Bedeutung, denn sie erhöht damit den Anspruch an Governance, Transparenz und Verantwortlichkeit erheblich. Die BaFin macht deutlich: Wer KI einsetzt, muss sie wie jedes andere IKT-System verstehen, steuern, kontrollieren und dabei zusätzlichen die KI-spezifischen Risikodimensionen berücksichtigen.

Gerade vor diesem Hintergrund lässt sich ein konsistentes Drei-Säulen-Modell der KI-Governance ableiten, das sich eng an den Erwartungen der Aufsicht orientiert. Die strategische Verankerung, eine klare organisatorische Einbettung und ein kontrollierter Umgang mit KI entlang ihres gesamten Lebenszyklus sind dabei unerlässlich.

KI-Nutzen - Whitepaper 2026

Whitepaper 2026
Raus aus der Use-Case-Falle:
Wie Banken KI wirklich nutzen können

Erfahren Sie, wie Ihr Institut die KI-Transformation
strukturiert, effizient und strategisch gestaltet.

KI als IKT-System: der entscheidende Perspektivwechsel

Eine der wichtigsten Klarstellungen der BaFin-Orientierungshilfe ist die Definition von KI-Systemen als Kombination aus IKT-Assets und IKT-Infrastruktur.

KI-Systeme bestehen aus Modellen, Software, Daten, Hardware, Netzwerken und Schnittstellen und sind damit aufsichtlich nichts anderes als ein komplexes IKT-System mit besonderen Eigenschaften. Autonomiegrade oder Lernfähigkeit mögen technisch relevant sein, stehen für die Aufsicht jedoch nicht im Vordergrund. Entscheidend ist vielmehr, wie ein KI-System in die bestehende IKT-Landschaft eingebunden ist und welche Risiken daraus entstehen.

Diese Sichtweise hat weitreichende Konsequenzen für die Governance. Sie bedeutet, dass KI nicht isoliert reguliert oder in separaten „KI-Frameworks“ behandelt werden sollte. Stattdessen erwartet die Aufsicht, dass KI-Systeme vollständig in den bestehenden IKT-Risikomanagementrahmen inklusive Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung nach DORA integriert werden.

KI-Governance wird damit zur konsequenten Erweiterung bestehender Steuerungsmechanismen, nicht zu deren Ersatz.

Das Drei-Säulen-Modell für eine robuste KI-Governance

msg_Gradient_BLAU

Säule 1: KI-Strategie – warum Aufsicht ohne Zielbild nicht funktionieren kann

Aus Sicht der BaFin beginnt ein wirksames IKT-Risikomanagement für KI auf strategischer Ebene. Die Orientierungshilfe macht deutlich, dass Institute in der Regel eine an der Gesamt-, Risiko- und DOR-Strategie ausgerichtete KI-Strategie entwickeln und vom Leitungsorgan genehmigen. Diese Strategie ist dabei kein Selbstzweck, sondern dient dazu, den Einsatz von KI bewusst zu steuern – insbesondere dort, wo KI kritische oder wichtige Funktionen unterstützt.

Der strategische Rahmen ist weiterhin deshalb so wichtig, weil KI tief in Geschäftsprozesse eingreift und potenziell erhebliche Auswirkungen auf Stabilität, Verfügbarkeit und Integrität von Daten und Systemen hat. Ohne ein klares Zielbild droht eine unkoordinierte Einführung einzelner Anwendungen, die zwar kurzfristige Effizienzgewinne versprechen, langfristig aber neue Abhängigkeiten und IKT-Risiken schaffen.

Die BaFin verknüpft die strategische Verantwortung explizit mit dem Leitungsorgan. Es trägt nicht nur die formale Letztverantwortung, sondern muss über ausreichende Kenntnisse verfügen, um KI-bezogene Risiken einschätzen zu können. KI-Governance wird hier nicht als delegierbare Aufgabe verstanden, sondern als Managementpflicht, die Fachverständnis voraussetzt. Damit wird deutlich: KI-Strategie ist kein Dokument für die Schublade, sondern ein zentrales Steuerungsinstrument der Unternehmensleitung.

msg_Gradient_BLAU

Säule 2: Organisation – KI-Governance als Teil des bestehenden Kontrollrahmens

Die zweite Säule der KI-Governance betrifft die organisatorische Umsetzung. Die BaFin betont, dass Governance und Organisation zentrale Bausteine zur Erreichung digitaler operationaler Resilienz sind. Für KI bedeutet dies vor allem klare Verantwortlichkeiten innerhalb der bestehenden Kontrollstrukturen.

Statt neue, parallele KI-Organisationen zu schaffen, erwartet die Aufsicht eine Einbettung in etablierte Governance-Modelle, insbesondere in das Three-Lines-of-Defense-Modell. Fachbereiche und IT tragen die Verantwortung für Entwicklung, Betrieb und Nutzung von KI-Systemen. Die zweite Verteidigungslinie. Wie etwa Risikomanagement, Compliance, Informationssicherheit, definiert Rahmenbedingungen, prüft Einhaltung und bewertet Risiken. Die Interne Revision übernimmt schließlich die unabhängige Prüfung der Wirksamkeit des gesamten KI-Governance-Rahmens.

Diese Struktur ist aus aufsichtlicher Sicht deshalb entscheidend, weil sie sicherstellt, dass KI nicht „zwischen den Linien“ betrieben wird. Insbesondere bei Anwendungen mit hoher Kritikalität muss jederzeit nachvollziehbar sein, wer für Entscheidungen, Kontrollen und Eskalationen verantwortlich ist. Die Orientierungshilfe macht deutlich, dass diese Klarheit nicht optional ist, sondern Voraussetzung für einen ordnungsgemäßen Umgang mit IKT-Risiken aus KI.

msg_Gradient_BLAU

Säule 3: Der KI-Lebenszyklus – warum einmalige Freigaben nicht ausreichen

Ein besonders prägnanter Punkt der BaFin-Orientierungshilfe ist die konsequente Ausrichtung am KI-Lebenszyklus. Die Aufsicht stellt klar, dass IKT-Risiken nicht primär entlang der Wertschöpfungskette entstehen, sondern durch die dauerhafte Einbindung eines KI-Systems in die IKT-Landschaft. Genau deshalb reicht es nicht aus, KI-Systeme einmalig zu prüfen oder freizugeben.

Vielmehr müssen Institute den gesamten Lebenszyklus von der Entwicklung und dem Test über den laufenden Betrieb bis hin zur Stilllegung betrachten. In jeder Phase entstehen unterschiedliche Risikoprofile. So können beispielsweise Trainingsdaten manipuliert werden, Modelle driften, Cloud-Abhängigkeiten sich verschärfen und Sicherheitslücken erst im Betrieb sichtbar werden. Die BaFin erwartet daher, dass KI-Systeme fortlaufend überwacht, regelmäßig überprüft und bei Bedarf angepasst oder außer Betrieb genommen werden.

Besondere Bedeutung misst die Aufsicht dabei dem Betrieb und der Stilllegung bei. Unkontrollierte Deinstallationen, veraltete Modellversionen oder unzureichend gesicherte Trainingsdaten stellen aus Sicht der BaFin erhebliche IKT-Risiken dar. Governance endet daher nicht mit dem Go-Live, sondern umfasst ausdrücklich auch Exit-Strategien, Deinstallation und den Umgang mit historischen Daten und Modellen.

EU AI Act und DORA: zwei Regime, ein Governance-Ansatz

Die Orientierungshilfe macht implizit deutlich, wie sich EU AI Act und DORA zueinander verhalten. Während der EU AI Act vor allem Zweck, Risikoklassifizierung, Transparenz und menschliche Aufsicht adressiert, fokussiert DORA auf Resilienz, Betriebssicherheit und IKT-Risiken. Für Banken bedeutet dies keine Doppelregulierung, sondern eine komplementäre Anforderungslage.

Eine wirksame KI-Governance muss daher beide Perspektiven zusammenführen: Sie muss sicherstellen, dass KI-Anwendungen rechtlich zulässig und ethisch vertretbar sind und zugleich technisch stabil, sicher und beherrschbar betrieben werden. Das Drei-Säulen-Modell bietet hierfür einen geeigneten Rahmen, weil es strategische, organisatorische und operative Aspekte miteinander verzahnt und so beiden Regimen gerecht wird.

Fazit: Die BaFin macht KI-Governance zur Führungsaufgabe

Mit der neuen Orientierungshilfe hat die BaFin unmissverständlich klargestellt, dass der Einsatz von KI in Finanzunternehmen keine Grauzone mehr ist. KI ist Teil des IKT-Risikomanagements, unterliegt DORA und muss entsprechend gesteuert werden. Für Banken bedeutet dies einen klaren Auftrag: KI-Governance ist kein Innovationsprojekt, sondern ein dauerhafter Betriebszustand, der strategisch geführt, organisatorisch verankert und operativ gelebt werden muss.

Institute, die diesen Anspruch ernst nehmen, gewinnen mehr als regulatorische Sicherheit. Sie schaffen Transparenz, erhöhen ihre digitale Resilienz und legen die Grundlage für einen verantwortungsvollen und skalierbaren Einsatz von KI.

Share: LinkedIn Xing X Facebook
Lisa Weinert

Lisa Weinert

ist als Managerin im Bereich Business Development AI bei der msg for banking tätig. Sie berät Banken und Finanzdienstleister in regulatorischen und prozessualen Fragestellungen rund um den Einsatz von Künstlicher Intelligenz. Im Fokus ihrer Arbeit steht die sichere und regelkonforme Integration innovativer Technologien in bestehende Strukturen. Besonders wichtig ist ihr dabei, Automatisierung und KI nicht als Selbstzweck zu verstehen, sondern als konkrete Hebel zur Prozessoptimierung und Effizienzsteigerung im Bankenumfeld.

linkedin
Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Blogpost
2 Minuten Lesezeit

FRTB-Umsetzung: Marktfragmentierung und die entscheidende Rolle der Datenqualität

Björn Bhatia
Blogpost
4 Minuten Lesezeit

Resilienz frisst Effizienz – und damit den Wettbewerbsvorteil?

Blogpost
5 Minuten Lesezeit

BRUBEG: Der neue Gesetzentwurf für weniger Bürokratie für Banken