DE
Home › KI-Compliance

EU AI Act · DORA · DSGVO

KI-Compliance für Banken und Versicherungen: was jetzt zu tun ist

Der EU AI Act gilt. Erste Pflichten sind bereits anwendbar. Für Hochrisiko-KI-Systeme verschiebt der Digital Omnibus voraussichtlich Teile der Zeitachse, aber nicht die Notwendigkeit einer belastbaren KI-Governance.

Die regulatorische Realität für österreichische Finanzinstitute

Seit dem 2. Februar 2025 gelten im Rahmen des EU AI Act die ersten verbindlichen Anforderungen, darunter das Verbot bestimmter KI-Praktiken und die Pflicht zur KI-Kompetenz für Personen, die KI-Systeme einsetzen oder betreiben.

Was viele unterschätzen: Die regulatorischen Anforderungen kommen nicht einzeln. DORA, NIS2, DSGVO und der EU AI Act überschneiden sich mit unterschiedlichen Fristen, Behörden und Sanktionsregimen. Eine KI-bezogene Compliance-Verletzung kann gleichzeitig die FMA, die Datenschutzbehörde und den Betriebsrat betreffen.

Für mittelgroße Regionalbanken und Versicherungen in Österreich entsteht damit eine besondere Herausforderung: Sie betreiben oft dieselben Kernsysteme wie Großinstitute, verfügen aber über deutlich knappere interne Compliance-Ressourcen.

Aktueller Stand der Fristen

Nach der politischen Einigung zum Digital Omnibus vom 7. Mai 2026 sollen Regeln für bestimmte Hochrisiko-Bereiche ab 2. Dezember 2027 gelten. Bis zur formellen Veröffentlichung im Amtsblatt bleibt eine vorsichtige Planung auf Basis beider Zeitachsen sinnvoll.

Die zentralen Themenfelder, mit denen sich Vorstände jetzt befassen müssen

Shadow-KI

KI-Komponenten in eingekaufter Software oder frei genutzten Tools werden oft nicht als KI-System inventarisiert. Trotzdem können Pflichten nach EU AI Act, DSGVO und internen Governance-Vorgaben entstehen.

Mehr zu Shadow-KI

EU AI Act

Der EU AI Act ist seit 1. August 2024 in Kraft. Bestimmte Verbote gelten seit Februar 2025. Hochrisiko-Pflichten, Transparenzpflichten und nationale Aufsicht müssen jetzt strukturiert vorbereitet werden.

Mehr zum EU AI Act

Vorstandshaftung

Über AktG §84 und BWG §39 wird KI-Governance zur Organisationspflicht. Nichtwissen über eingesetzte KI-Systeme ist kein tragfähiges Kontrollkonzept.

Mehr zur Vorstandshaftung

Vendor-KI

Marktführende Plattformen für Kernbanking, AML, Underwriting und HR können KI-Komponenten enthalten. Wer diese Systeme einsetzt, trägt eigene Betreiberpflichten.

Mehr zu Vendor-KI

FRIA

Die Grundrechte-Folgenabschätzung nach Art. 27 EU AI Act ist vor allem bei Kreditwürdigkeitsbewertung und Life-/Health-Insurance-Risikobewertung relevant.

FRIA verstehen

GPAI

ChatGPT, Copilot, Claude und andere Allzweck-KI-Dienste brauchen klare Nutzungsregeln, Datenschutzprüfung, Inventarisierung und Provider-Due-Diligence.

Mehr zu GPAI

Cyber Resilience Act

Apps und digitale Produkte unter eigener Marke können neben DORA auch CRA-Pflichten auslösen. Rollenklärung ist der erste Schritt.

CRA prüfen

ArbVG §§ 96/96a

KI-Systeme mit Mitarbeiterdaten, HR- oder Kontrollfunktion können Betriebsratseinbindung und Betriebsvereinbarungen erforderlich machen.

ArbVG-Schnittstelle prüfen

Der Weg zur Compliance: strukturiert, methodisch, individuell

Der Weg zur EU AI Act-Compliance ist kein einzelnes Projekt, sondern ein strukturierter Prozess in mehreren Phasen: Bestandsaufnahme, Risikoklassifikation, Rollenklärung, Gap-Analyse, Governance und laufende Überwachung. Internationale Normen wie ISO/IEC 42001:2023 bieten dafür einen Rahmen. Sie ersetzen jedoch nicht die individuelle Auseinandersetzung mit den konkreten KI-Systemen, Geschäftsprozessen und Verantwortlichkeiten Ihres Instituts.

CSRD-/ESRS-Bezug bei KI-Bias

KI-Bias ist nicht nur ein technisches oder EU-AI-Act-Thema. Wenn KI-Systeme Diskriminierungsrisiken in HR, Kreditvergabe, Underwriting oder Kundenzugang erzeugen, können diese Risiken auch für CSRD-/ESRS-Berichterstattung relevant werden: als soziale Auswirkung, Governance-Thema, Risikomanagementfrage oder prüfbarer Nachweis.

ISO/IEC 42001

Der internationale Standard für KI-Managementsysteme schafft Struktur, deckt aber nicht alle EU AI Act-spezifischen Pflichten ab.

ISO/IEC 42001 verstehen

KI-Inventar

Ohne vollständige Bestandsaufnahme bleiben Risikoklassifikation, FRIA und Governance lückenhaft.

Mehr zum KI-Inventar

Audit-Readiness

Prüfbare KI-Governance heißt: Inventar, Rollen, FRIA, Logs, Meldewege und Nachweise jederzeit belastbar vorlegen können.

Audit-Readiness aufbauen

Projektbegleitung

Wir begleiten österreichische Finanzinstitute von der Erstbestandsaufnahme bis zur prüfbaren Governance-Struktur.

Projektbegleitung ansehen

Glossar

Zentrale Begriffe aus EU AI Act, ISO/IEC 42001 und KI-Governance, jeweils mit Verweisen auf die passenden Themenseiten.

Glossar öffnen

Möchten Sie wissen, wo Ihr Institut steht?

Gerne besprechen wir Ihre individuelle Situation. Ein erstes Gespräch ist unverbindlich und gibt Ihnen einen klaren Eindruck davon, wo Ihr Institut in Bezug auf KI-Governance heute steht.

Kontakt aufnehmen

Quellen

Hinweis: Diese Seite dient der allgemeinen Information über regulatorische Entwicklungen und stellt keine Rechtsberatung dar. Sie ersetzt nicht die Beratung durch auf KI-Recht spezialisierte Anwältinnen und Anwälte oder spezialisierte KI-Compliance-Beratung. Inhalte beziehen sich auf den Stand Juni 2026 und können sich durch neue Rechtsakte, nationale Umsetzungsgesetze oder behördliche Auslegungen ändern.