Die KI-Lücke schließen: Warum Banken aktuell scheitern – und was jetzt zu tun ist

Die Diskrepanz zwischen regulatorischem Anspruch und operativer Realität ist kein Ausdruck mangelnden Willens, sondern das Ergebnis tiefgreifender struktureller Widersprüche. Banken sind historisch gewachsene Organisationen, deren IT-Landschaften, Prozessarchitekturen und Verantwortlichkeitsstrukturen über Jahrzehnte entstanden sind. In der Theorie erscheinen die DORA-Anforderungen klar und eindeutig – doch in der Praxis zeigt sich, dass der Teufel im Detail steckt. Die Operationalisierung regulatorischer Vorgaben setzt voraus, dass Prozesse nicht nur dokumentiert, sondern tatsächlich integriert gesteuert werden: eine Anforderung, die mit klassischen Aufbauorganisationen kaum erfüllbar ist.

Hinzu kommt die Heterogenität der IT-Landschaft. Legacy-Systeme, die über Jahre durch Schnittstellenlösungen verbunden wurden, lassen sich nicht ohne Weiteres in eine DORA-konforme IKT-Architektur überführen. Jede Modernisierungsmaßnahme erfordert umfangreiche Tests, Freigabeprozesse und eine lückenlose Dokumentation der kritischen Funktionen. Dies bindet Ressourcen, die gleichzeitig für den laufenden Betrieb und weitere regulatorische Projekte benötigt werden.

Ein wesentlicher, aber häufig unterschätzter Faktor ist die Unklarheit der regulatorischen Anforderungen selbst. Wichtige Punkte der KI-Verordnung sind noch ungeklärt: Für Schulungen und menschliche Überwachung von KI fehlen Detailregelungen, das Zusammenspiel mit bestehenden finanzwirtschaftlichen Regulierungen bleibt zu vage. Für Bankenverantwortliche bedeutet dies ein erhebliches Auslegungsrisiko: Wer in einem Rechtsvakuum investiert, riskiert, Ressourcen in eine Richtung zu lenken, die sich im Nachhinein als unzureichend erweist.
 
Erschwerend kommt hinzu, dass auch die Fristen als zu knapp bemessen gelten. Der VÖB hält fest, dass die Umsetzungsfristen insgesamt viel zu knapp sind, um eine angemessene Compliance der KI-Governance zu gewährleisten. Außerdem erschweren umfangreiche Transparenz-, Monitoring- und Berichtspflichten für verschiedene Risikoklassen die Umsetzung und wirken abschreckend. Im April 2026 hat das EU-Parlament im Industrieausschuss sogar einen Vorschlag diskutiert, die Durchsetzung der Hochrisiko-Anforderungen um ein Jahr auf August 2027 zu verschieben – mit der Begründung, viele Unternehmen seien nicht bereit und harmonisierte Normen lägen noch nicht vollständig vor. Die Frist wurde auch tatsächlich durch eine Einigung zwischen Rat und Parlament nun auf den 2. Dezember 2027 verschoben. Auch wenn die Verschiebung kurzfristig Erleichterung bringt: Sie ist keine Compliance-Strategie.

Jenseits struktureller und regulatorischer Faktoren liegt eine dritte, oft tabuisierte Ursache im Bereich der Unternehmenskultur und des verfügbaren Fachwissens. KI-gestützte Compliance setzt voraus, dass Fachbereiche, Rechtsabteilung, IT und Risikomanagement in einer gemeinsamen Sprache kommunizieren – eine Voraussetzung, die in den wenigsten Instituten erfüllt ist. Viele Banken stehen noch vor der Herausforderung, KI-Technologie nachhaltig und regelkonform zu implementieren und während Zentralinstitute erste Schritte gemacht haben, fehlt es in der Breite an strategischer Umsetzungskompetenz.

Die BaFin betont, dass eine regelmäßige Validierung und stetige Kontrolle durch den Menschen unerlässlich sind und dass Maßnahmen bei Abweichungen bereits bei der Entwicklung neuer KI-Anwendungen definiert werden müssen. Diese Anforderung setzt Mitarbeitende voraus, die KI-Modelle inhaltlich beurteilen können – ein Kompetenzprofil, das auf dem Arbeitsmarkt knapp und in bestehenden Teams selten vorhanden ist.

Die regulatorischen Anforderungen aus DORA, AML und EU AI Act sind nicht vorübergehende Belastungsspitzen, sondern der neue Normalzustand einer dauerhaft regulierten digitalen Finanzinfrastruktur. Banken, die KI-Automatisierung und regulatorische Compliance weiterhin als getrennte Agenden behandeln, werden mittelfristig weder das eine noch das andere überzeugend erfüllen können. Die Lücke zwischen Anspruch und Wirklichkeit ist das systemische Ergebnis struktureller, regulatorischer und kultureller Faktoren, die einander verstärken. DORA ist nicht das Ende einer Entwicklung, sondern deren Anfang – die Komplexität regulatorischer Anforderungen wird weiter steigen. Der EU AI Act ist dabei weniger ein radikaler Bruch als eine KI-spezifische Erweiterung des bestehenden internen Kontrollsystems: Institute, die ihre Modell-Governance, Datendokumentation und menschliche Kontrollmechanismen heute schon belastbar aufgebaut haben, werden den Schritt zur EU AI Act-Konformität deutlich effizienter vollziehen als jene, die von Null beginnen.

Empfehlenswert ist ein phasenweiser Einführungspfad nach Risikoklasse: beginnend mit risikoarmen KI-Szenarien wie Kundenservice und Dokumentenverarbeitung, über compliance-kritische Anwendungen wie die AML-Transaktionsüberwachung, die ein robustes Governance-Framework und menschliche Aufsicht voraussetzen, bis zum vorsichtigen Einstieg in Hochrisikoszenarien wie Kreditscoring – jeweils mit dem erforderlichen Governance-Framework als Voraussetzung.

Für Bankenverantwortliche ergibt sich eine klare Handlungsmaxime: Die Integration von KI in Compliance-Prozesse ist keine IT-Agenda, die irgendwann erscheint – sie ist eine rechtliche Notwendigkeit mit unmittelbaren Haftungskonsequenzen. Innovation und Regulierung sind kein Widerspruch: KI ist nicht trotz Regulierung einzusetzen, sondern als das Instrument, das Regulierung erst handhabbar macht.

Die Aufsichtsbehörden haben ihre Erwartungshaltung klar kommuniziert, die Sanktionsrahmen sind definiert und die Prüfungspraxis der BaFin nimmt dieses Jahr systematisch Fahrt auf. Die Frage ist nicht mehr, ob KI-gestützte Automatisierung eingeführt wird, sondern wie schnell und mit welcher Governance-Tiefe, bevor die nächste Prüfung die Antwort erzwingt.