BaFin: Orientierungshilfe zu IKT-Risiken beim Einsatz von KI
Die BaFin hat im Dezember 2025 eine Orientierungshilfe zu IKT-Risiken beim Einsatz Künstlicher Intelligenz veröffentlicht. Sie richtet sich an beaufsichtigte Finanz- und Versicherungsunternehmen und ordnet KI-Systeme in den bestehenden aufsichtsrechtlichen Rahmen des Digital Operational Resilience Act (DORA) ein. Ziel ist es, Institute bei der praktischen Umsetzung des IKT-Risikomanagements zu unterstützen; neue rechtliche Pflichten werden ausdrücklich nicht begründet.
Zentral ist der lebenszyklusorientierte Ansatz: KI-Systeme sind als Bestandteil der IKT-Landschaft über alle Phasen hinweg – von Datenbeschaffung und Modellentwicklung über Betrieb und Überwachung bis zur Stilllegung – in die bestehenden Risikomanagementprozesse einzubeziehen. Dabei gelten die bekannten DORA-Elemente wie Risikoidentifikation, -bewertung, -steuerung, Vorfallmanagement und Wiederherstellung auch für KI-gestützte Anwendungen.
Besondere Aufmerksamkeit widmet die BaFin der Governance und Organisation. Institute sollen klare Verantwortlichkeiten definieren, KI-Einsatz strategisch verankern und relevante Funktionen wie Risikomanagement, Compliance und Interne Revision einbinden. Schulungs- und Dokumentationspflichten werden als wesentliche Voraussetzungen für eine wirksame Kontrolle hervorgehoben.
Ein weiterer Schwerpunkt liegt auf Drittparteien- und Cloud-Risiken, da KI-Systeme häufig auf externe Dienstleister angewiesen sind. Vertragsgestaltung, Audit- und Zugriffsrechte sowie Exit-Strategien sind integraler Bestandteil des IKT-Risikomanagements. Technisch adressiert die Orientierungshilfe Anforderungen an Sicherheit und Resilienz, etwa durch robuste Entwicklungs- und Testverfahren, Schutz vor Manipulationen und die Berücksichtigung spezifischer KI-Angriffsszenarien.
Fazit: Die BaFin stärkt mit der Orientierungshilfe den risikobasierten DORA-Ansatz für KI-Systeme. Für die Praxis bedeutet dies vor allem, KI nicht isoliert zu betrachten, sondern konsequent in bestehende Governance-, Sicherheits- und IKT-Risikostrukturen zu integrieren.
(Foto: chaylek – stock.adobe.com)
Das könnte Sie auch interessieren
-
Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als
Mehr erfahren -
Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den
Mehr erfahren -
Folge 92: KI-Omnibus Update Mai 2026
Die KI-Verordnung soll mit Wirkung ab August 2026 geändert werden. Entsprechend laufen die Verhandlungen zwischen dem EU-Parlament, den EU-Mitgliedstaaten und der EU-Kommission auf Hochtouren. Eigentlich sollten sie bereits am 28. April 2026 abgeschlossen sein. Doch eine Einigung konnte nicht erzielt werden. Kai Zenner, Büroleiter des Europaabgeordneten Axel Voss (EVP), berichtet aus dem Maschinenraum der Verhandlungen
Mehr erfahren
