AI

AI Governance Schulung

Buchen
← Zur Wissens-Übersicht
KI Schulung BankenAI Act FinanzsektorBaFin KI-Kompetenz

KI-Schulung Banken und Versicherungen: BaFin, MaRisk und AI Act

Credit Scoring und Versicherung = Hochrisiko. AML befreit. BaFin-Audit-Readiness durch dokumentierte Schulung.

Veröffentlicht: 27. Februar 2026Letzte Aktualisierung: 15. März 20266 Min. Lesezeit

Für Banken und Versicherungen schafft der EU AI Act eine neue Compliance-Schicht auf einem ohnehin dichten Regulierungsrahmen. Das Entscheidende vorweg: Kreditwürdigkeitsprüfung und Versicherungs-Underwriting sind im Anhang III der EU-Verordnung 2024/1689 ausdrücklich als Hochrisiko-KI benannt. Wer diese Systeme betreibt, hat seit dem 2. Februar 2025 Schulungspflichten — und ab August 2026 greifen die vollen Hochrisiko-Pflichten mit Bußgeldpotenzial.

Was der AI Act für den Finanzsektor bedeutet

Artikel 4 der EU KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass ihr Personal ausreichende KI-Kompetenz besitzt. Diese Pflicht ist unabhängig von der Größe des Instituts und gilt für jedes KI-System, das im eigenen Betrieb eingesetzt wird. Bei Verstößen gegen Hochrisiko-Pflichten drohen nach Art. 99 der Verordnung Bußgelder bis 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes.

Anhang III, Nr. 5b benennt als Hochrisiko-KI explizit: Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen sowie KI-gestützte Risikobewertung und Tarifierung in der Lebens- und Krankenversicherung. Diese Klassifizierung gilt unabhängig davon, ob das Scoring-Modell intern entwickelt oder als Dienst von einem Drittanbieter eingekauft wird.

Eine wichtige und häufig übersehene Ausnahme: KI-Systeme zur Betrugserkennung und Geldwäscheprävention (AML), die aufgrund einer gesetzlichen Verpflichtung eingesetzt werden, fallen gemäß Erwägungsgrund 58 AI Act nicht unter die Hochrisiko-Klassifizierung. Diese Befreiung gilt jedoch ausschließlich für gesetzlich vorgeschriebene Systeme — freiwillige Fraud-Detection-Lösungen sind davon nicht erfasst.

Hochrisiko im Finanzsektor: Was betroffen ist

KI-AnwendungHochrisiko nach AI Act?Schulungsprioritaet
Kreditscoring intern oder via SCHUFAJa — Anhang III Nr. 5bHoch
Automatisierter Sofortkredit-EntscheidJa — Anhang III Nr. 5bHoch
KI-Underwriting Lebens-/KrankenversicherungJa — Anhang III Nr. 5bHoch
Kfz-Telematics-TarifeJaHoch
AML-Screening (gesetzlich vorgeschrieben)Nein — Ausnahme ErwGr. 58Niedrig
KI in Einstellung und BefoerderungJa — Anhang III Nr. 4Hoch
Robo-Advisory (Anlageberatung)Graubereich, ESMA-Guidance ausstehendMittel (vorsorglich)

Für jedes Hochrisiko-System gilt: Das Institut als Betreiber muss eine Konformitätsbewertung vorweisen, das System in der EU-Datenbank registrieren (Art. 71), menschliche Aufsicht bei wesentlichen Entscheidungen sicherstellen und alle beteiligten Mitarbeitenden nachweislich schulen. Die Registrierungspflicht greift ab August 2026.

MaRisk und AI Act: Was sich überschneidet — und was nicht

Viele Banken haben bereits in MaRisk-konforme Prozesse investiert. Das ist eine gute Grundlage: Die Anforderungen an Modellrisiken (AT 4.3.4), IT-Systeme (AT 7.2) und Auslagerungskontrolle (AT 8) decken sich inhaltlich mit Teilen des AI Act. Wer MaRisk-konformes Model Validation betreibt, hat Vorarbeiten für Art. 9 (Risikomanagementsystem) AI Act geleistet.

Was MaRisk jedoch nicht abdeckt und der AI Act zusätzlich verlangt, ist klar:

  • Explizite KI-Kompetenzschulung (Art. 4) — nicht in MaRisk enthalten
  • CE-Konformität für Hochrisiko-Systeme — nicht in MaRisk enthalten
  • Registrierung in der EU-Datenbank (Art. 71) — nicht in MaRisk enthalten
  • Grundrechts-Folgenabschätzung — nicht in MaRisk enthalten

Ein reines MaRisk-Update-Training genügt deshalb nicht. Das ist eine wichtige Botschaft für Compliance-Abteilungen, die sich auf bestehende Rahmenwerke verlassen: MaRisk-Compliance ist Voraussetzung, aber kein Ersatz.

Die praktische Konsequenz: Ein Kreditinstitut, das bereits IRBA-Modelle nach MaRisk AT 4.3.4 validiert, hat eine gute Dokumentationsbasis — aber kein Schulungsnachweis für Art. 4, keine CE-Erklärung und keine Datenbankregistrierung. Diese Lücken müssen bis August 2026 geschlossen sein.

BaFin-Audit-Readiness durch dokumentierte Schulung

Die BaFin hat bis März 2026 kein gesondertes Rundschreiben zum EU AI Act veröffentlicht. Die Erwartungshaltung ergibt sich jedoch aus bestehender Aufsichtspraxis: Das BaFin-Merkblatt zu maschinellem Lernen im Kreditwesen (2021), die BAIT-Anforderungen an algorithmische Systeme und die EBA-Arbeitsprogramme zur KI-Governance zeichnen ein klares Bild.

Erwartet wird bei Hochrisiko-KI: Nachweise über Schulungen für beteiligte Mitarbeitende, Dokumentation der KI-Kompetenz im Risikomanagementsystem sowie Protokollierung menschlicher Aufsicht bei automatisierten Kreditentscheiden. Wer diese Unterlagen bei einer BaFin-Prüfung nicht vorweisen kann, riskiert Rügen, die Einleitung von Maßnahmen und im Extremfall den Entzug von Genehmigungen.

Besondere Situation beim Drittscoring: Viele kleinere Institute kaufen Scoring-Dienste als API ein. Gemäß Art. 3 Nr. 4 AI Act ist Betreiber, wer ein KI-System in eigener Verantwortung einsetzt. Auch wenn der Score von SCHUFA oder Bonify kommt: Die Bank, die diesen Score in ihrer Kreditentscheidung verwendet, ist Betreiber — mit voller Schulungspflicht. Das erfordert auch die vertragliche Absicherung gegenüber dem Scoring-Anbieter: Welche Informationen liefert er zur technischen Dokumentation? Wie ist die Konformitätserklärung gestaltet?

Schulungsinhalte für den Finanzsektor

Die Schulung für Finanzmitarbeitende muss über allgemeine AI-Act-Grundlagen hinausgehen. Je nach Rolle sind spezifische Inhalte notwendig:

Sachbearbeiter und Kreditentscheider müssen verstehen, wie Scoring-Modelle Empfehlungen generieren, welche Einschränkungen und Schwächen diese Modelle haben und wie menschliche Aufsicht konkret ausgeübt wird. Compliancemitarbeitende brauchen vertieftes Wissen zu Registrierungspflichten (Art. 71), Konformitätsbewertung und den Vertragsklauseln gegenüber Scoring-Drittanbietern. Für Mitarbeitende im Versicherungs-Underwriting sind Diskriminierungsrisiken in KI-Modellen und die Erklärbarkeit von KI-basierten Ablehnungen nach DSGVO Art. 22 besonders relevant.

Eine strukturierte Schulung mit Abschlusstest liefert zudem den Nachweis, den BaFin-Prüfer bei Kontrollen erwarten: dass jeder Mitarbeitende, der mit einem Hochrisiko-System arbeitet, tatsächlich die erforderliche Kompetenz besitzt — nicht nur auf dem Papier, sondern durch einen dokumentierten Leistungsnachweis.

Bildungsstrukturen und Förderung im Finanzsektor

Sparkassen, Volksbanken und kleinere Privatbanken haben eigene Bildungseinrichtungen (Sparkassenakademien, ADG, geno|me), die für interne regulatorische Schulungen genutzt werden. Externe AI-Act-Schulungen werden eingekauft, wenn interne Ressourcen fehlen oder das Thema zu spezialisiert ist — EU AI Act ist ein solches Thema, da die internen Akademien im Jahr 2026 noch im Aufbau sind.

Für die Finanzierung gibt es klare Wege:

INQA-Coaching ist für Kreditinstitute bis 249 Mitarbeitende zugänglich: 80 % Förderung, bis 11.520 EUR. Kleine Sparkassen, Volksbanken und mittelgroße Privatbanken mit Hochrisiko-KI können diesen Weg direkt nutzen.

Compliance-Weiterbildungshaushalt: Für größere Institute ist das dedizierte Compliance-Budget der primäre Finanzierungsweg. Compliance-Beauftragte können eine AI-Act-Schulung als Pflichtmaßnahme nach Art. 4 deklarieren — das beschleunigt die Budgetfreigabe erheblich. Typische jährliche Compliance-Schulungsbudgets liegen bei mittelgroßen Regionalbanken bei 20.000 bis 80.000 EUR.

Steuerliche Absetzbarkeit: Alle regulatorisch notwendigen Schulungskosten sind als Betriebsausgaben vollständig absetzbar — effektiver Kostenrabatt von 25–30 %.

Checkliste bis August 2026

Kreditinstitute und Versicherungen sollten folgende Punkte strukturiert abarbeiten:

  1. Inventur aller eingesetzten KI-Systeme, insbesondere Scoring-Modelle und Underwriting-Systeme
  2. Klassifizierung: Welche Systeme sind Hochrisiko nach Anhang III?
  3. Schulungsplan erstellen: Welche Mitarbeitenden (Sachbearbeiter, Kreditentscheider, IT, Compliance) müssen nach Art. 4 nachweislich geschult werden?
  4. Drittanbieter-Prüfung: Externe Scoring-Dienste auf AI-Act-Konformität überprüfen, Vertragsklauseln zur technischen Dokumentation anpassen
  5. Schulungsdokumentation archivieren — für BaFin-Prüfung und interne Revision bereithalten
  6. Hochrisiko-KI in EU-Datenbank registrieren (Art. 71, Frist: August 2026)

FAQ

Sind Sparkassen und Volksbanken genauso betroffen wie Großbanken? Ja. Art. 4 gilt für jedes Institut, das KI-Systeme betreibt — unabhängig von Größe und Rechtsform. Bei KMU-Instituten greift die KMU-Bußgeld-Regel: Es gilt der niedrigere Betrag aus fixem Maximum und Umsatzprozentsatz. Kleinere Institute können zudem INQA-Coaching nutzen, das Großbanken nicht zugänglich ist.

Was unterscheidet AI-Act-Schulung von bestehender MaRisk-Compliance? MaRisk deckt Modellvalidierung, IT-Governance und Auslagerung ab — aber keine explizite KI-Kompetenzschulung (Art. 4), keine CE-Konformitätsbewertung und keine Registrierungspflichten. Wer MaRisk-konform ist, hat eine gute Basis, braucht aber AI-Act-spezifische Ergänzungen.

Gilt die AML-Ausnahme auch für freiwillige Betrugserkennungssysteme? Nein. Erwägungsgrund 58 AI Act befreit nur KI-Systeme, die aufgrund einer ausdrücklichen gesetzlichen Verpflichtung zur Betrugserkennung eingesetzt werden. Freiwillige Systeme fallen nicht unter die Ausnahme und sind separat zu bewerten.

Was passiert, wenn ein Mitarbeitender ein Scoring-System ohne Schulung bedient? Fehlt der Schulungsnachweis und kommt es zu einem AI-Act-Verstoß — etwa weil menschliche Aufsicht nicht korrekt ausgeübt wurde — schwächt das die Sorgfaltsposition des Unternehmens erheblich. Das gilt für regulatorische Prüfungen ebenso wie für zivilrechtliche Haftungsfragen gegenüber abgelehnten Kreditnehmern.

Förderoptionen für KI-Schulungen nach Branche und Unternehmensgröße sind in der KI-Schulung Förderung Übersicht 2026 zusammengefasst. Den konkreten Ablauf einer dokumentierten Schulung mit Abschlusstest und Schulungszertifikat zeigt der EU AI Act Kurs.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Aufsichtsrechtliche Anforderungen können sich weiterentwickeln; aktuelle BaFin-Veröffentlichungen sind regelmäßig zu verfolgen.

Nächster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, starten Sie mit der Kursübersicht, klären offene Fragen in der FAQ und buchen danach das passende Erstgespräch.

Kursübersicht ansehen

Prüfen Sie Inhalte, Lernzeit, Preise und den passenden Rollout für Ihr Team.

FAQ aufrufen

Klären Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Erstgespräch buchenZur Startseite

Autor und fachlich verantwortlich

Steven Leutritz

Geschäftsführer & KI-Compliance-Experte

Steven Leutritz begleitet Unternehmen bei der Umsetzung des EU AI Act und übersetzt Regulierung in klare Handlungslogik für Geschäftsführung, HR und Compliance.