Am 1. August 2024 ist die EU-KI-Verordnung (EU AI Act) in Kraft getreten. Während erste Institute ihre Strukturen erfolgreich an die neuen Vorgaben angepasst haben, stehen andere weiterhin vor offenen Fragen und Umsetzungsproblemen. Klar hingegen ist: Anforderungen an die Dokumentation, Modellaufsicht und interne Verantwortlichkeiten greifen in die Organisation der Betroffenen ein und verändern deren Prozesse – zum Teil grundlegend.
Erfahrungen aus dem ersten Jahr
Erhebungen zeigen, dass der am weitesten umgesetzte Bereich in der Integration der KI-Anwendungen in das Risikomanagement und der systematischen Dokumentation der jeweiligen KI-Anwendungen liegt. Institute, die in der Umsetzung bereits weit fortgeschritten sind, haben Compliance, IT und Fachabteilungen eng vernetzt und praxisnahe Kontrollmechanismen etabliert. Erste Best Practices zeigen sich vor allem in:
- der Führung zentraler Modell- und Dateninventare, die Transparenz über alle eingesetzten KI-Systeme gewährleisten,
- der konsequenten Anpassung bestehender Kontrollmechanismen (z. B. Modellvalidierung, interne Revision) auf KI-Anwendungen, sowie
- der Einrichtung interdisziplinärer Gremien, welche die regulatorische Klassifizierung und Modellüberwachung koordinieren.
Zentrale Herausforderungen bleiben die Legacy-Systeme sowie die laufende Überwachung komplexer KI-Modelle – insbesondere bei den Impact-Assessments und dem Nachweis der Erklärbarkeit. Erste Prüfungen durch die Aufsichtsbehörden haben zudem Lücken in der Dokumentation und fehlende Nachweise für KI-basierte Entscheidungen aufgezeigt. Dies unterstreicht, dass die Implementierung aus regulatorischer Sicht noch nicht auf einem einheitlich hohen Niveau liegt.
AI Literacy und neue Kompetenzanforderungen
Ein wesentliches Handlungsfeld des ersten Jahres war der Aufbau von AI Literacy – also eines grundlegenden Verständnisses für die Funktionsweise, die Risiken und die regulatorischen Grenzen von KI und KI-Anwendungen. Entsprechend haben viele Institute Schulungsprogramme eingeführt – von E-Learning bis zu praxisnahen Workshops. Rückmeldungen zeigen, dass das Grundverständnis zunimmt, dennoch besteht weiterhin Bedarf an vertieften, branchenspezifischen Inhalten.
Ein weiterer wichtiger Aspekt betraf die Ressourcen und Verantwortlichkeiten: Zahlreiche Institute mussten feststellen, dass KI-Compliance nicht als Nebenaufgabe lösbar ist, sondern spezialisierte Rollen, klare Zuständigkeiten und zusätzliche Kapazitäten verlangt. AI Literacy und organisatorische Verankerung werden so zu komplementären Aufgabenfeldern, die gemeinsam über die Nachhaltigkeit der KI-Governance entscheiden.
Regulatorische Dynamik und Ausblick
Die Verzahnung von KI und des AI Act mit anderen Regulierungen wie DORA (Digitale Resilienz), DSGVO und nationalen Vorgaben erhöht die Komplexität merklich. Gerade die grenzüberschreitende Datenverarbeitung bringt weiterhin ungeklärte rechtliche Fragen mit sich und erhöht den Koordinationsaufwand. Ergänzend zu den bisherigen Anforderungen haben EU-Institutionen und nationale Behörden seit 2025 zahlreiche Auslegungshilfen, FAQs und technische Leitlinien veröffentlicht. Gleichzeitig werden die Kontrollen strenger: Erste Sanktionen für unvollständige Dokumentationen oder fehlende Compliance-Strukturen sind bereits verhängt worden.
Verschärfend kommt hinzu, dass die EU bereits an Erweiterungen des AI Act arbeitet. So zum Beispiel bezüglich der Regulierung generativer Modelle und zum Einsatz automatisierter Beratungssysteme. Für die kommenden Monate ergibt sich daraus ein klarer Handlungsdruck: Unternehmen sollten ihre Roadmaps regelmässig überprüfen und bei Bedarf nachschärfen. Wichtige Schritte sind dabei:
- die Durchführung periodischer GAP-Analysen,
- die Festlegung klarer Verantwortlichkeiten, etwa durch die Benennung eines KI-Beauftragten, sowie
- die kontinuierliche Anpassung und Weiterentwicklung der unternehmensweiten Schulungsprogramme.
Dies zeigt, dass die Auseinandersetzung mit den regulatorischen Vorgaben bezüglich des Einsatzes von KI-Anwendungen ein fortlaufender Prozess ist, der dauerhaft in den Steuerungs- und Kontrollstrukturen eines Instituts verankert sein muss. Eine vorausschauende KI-Governance und robuste Strukturen können nicht nur regulatorische Risiken minimieren, sondern auch Vertrauen bei Kunden, Aufsichtsbehörden sowie Investoren stärken und zugleich Innovationskraft sichern. Damit wird der AI Act nicht nur zur Hürde, sondern auch zur Chance: Sie eröffnet Finanzinstituten die Möglichkeit, sich im Wettbewerb zu differenzieren und das eigene Geschäftsmodell zukunftsfähig und effizient auszurichten.