BaFin: Orientierungshilfe zu IKT-Risiken beim Einsatz von KI
Die BaFin hat im Dezember 2025 eine Orientierungshilfe zu IKT-Risiken beim Einsatz Künstlicher Intelligenz veröffentlicht. Sie richtet sich an beaufsichtigte Finanz- und Versicherungsunternehmen und ordnet KI-Systeme in den bestehenden aufsichtsrechtlichen Rahmen des Digital Operational Resilience Act (DORA) ein. Ziel ist es, Institute bei der praktischen Umsetzung des IKT-Risikomanagements zu unterstützen; neue rechtliche Pflichten werden ausdrücklich nicht begründet.
Zentral ist der lebenszyklusorientierte Ansatz: KI-Systeme sind als Bestandteil der IKT-Landschaft über alle Phasen hinweg – von Datenbeschaffung und Modellentwicklung über Betrieb und Überwachung bis zur Stilllegung – in die bestehenden Risikomanagementprozesse einzubeziehen. Dabei gelten die bekannten DORA-Elemente wie Risikoidentifikation, -bewertung, -steuerung, Vorfallmanagement und Wiederherstellung auch für KI-gestützte Anwendungen.
Besondere Aufmerksamkeit widmet die BaFin der Governance und Organisation. Institute sollen klare Verantwortlichkeiten definieren, KI-Einsatz strategisch verankern und relevante Funktionen wie Risikomanagement, Compliance und Interne Revision einbinden. Schulungs- und Dokumentationspflichten werden als wesentliche Voraussetzungen für eine wirksame Kontrolle hervorgehoben.
Ein weiterer Schwerpunkt liegt auf Drittparteien- und Cloud-Risiken, da KI-Systeme häufig auf externe Dienstleister angewiesen sind. Vertragsgestaltung, Audit- und Zugriffsrechte sowie Exit-Strategien sind integraler Bestandteil des IKT-Risikomanagements. Technisch adressiert die Orientierungshilfe Anforderungen an Sicherheit und Resilienz, etwa durch robuste Entwicklungs- und Testverfahren, Schutz vor Manipulationen und die Berücksichtigung spezifischer KI-Angriffsszenarien.
Fazit: Die BaFin stärkt mit der Orientierungshilfe den risikobasierten DORA-Ansatz für KI-Systeme. Für die Praxis bedeutet dies vor allem, KI nicht isoliert zu betrachten, sondern konsequent in bestehende Governance-, Sicherheits- und IKT-Risikostrukturen zu integrieren.
(Foto: chaylek – stock.adobe.com)
Das könnte Sie auch interessieren
-
Leitfaden zur Interessenabwägung nach DS-GVO
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat am seinen ausführlichen Fragenkatalog zur Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DS-GVO bereitgestellt. Dieses praxisorientierte Dokument dient Verantwortlichen in Behörden, Unternehmen und Organisationen als strukturierter Leitfaden für die Legitimate Interests Assessment (LIA), also die systematische Prüfung und Dokumentation, ob eine Verarbeitung personenbezogener Daten auf
Mehr erfahren -
Gutachten: Datenschutz‑Defizite bei PayPal
Ein aktuelles Gutachten des Netzwerks Datenschutzexpertise kritisiert die DS-GVO‑Praxis von PayPal. Demnach erhebt und verarbeitet der Zahlungsdienstleister weit über die reine Zahlungsabwicklung hinausgehende Daten – darunter Transaktions-, Identifikations-, Geräte- und abgeleitete Profildaten – auch für Werbe- und Marketingzwecke. Sensible Daten werden teilweise ohne hinreichende Schutzmaßnahmen verarbeitet. Zentrale Schwachstellen betreffen Transparenz und Einwilligung: Nutzer werden unzureichend
Mehr erfahren -
BSI‑Analyse: Sicherheitslage bei Passwortmanagern
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Rahmen einer IT‑Sicherheitsanalyse auf dem digitalen Verbrauchermarkt die Sicherheitsaspekte gängiger Passwortmanager untersucht. Der Bericht basiert auf einer Bewertung von zehn verbreiteten Produkten verschiedener Typen (inkl. browserbasierter Lösungen, Apps und Open‑Source‑Varianten). Ziel ist es, Chancen und Risiken dieser zentralen Tools zur Passwortverwaltung praxisnah aufzuzeigen. Wesentliche Befunde
Mehr erfahren
