EU-Leitlinien zu verbotenen KI-Praktiken treten in Kraft – Compliance-Verantwortliche müssen handeln

Seit dem 2. Februar 2025 gilt ein zentraler Teil der europäischen KI-Verordnung (EU) 2024/1689. Mit diesem Datum wurden erstmals bestimmte Praktiken im Einsatz Künstlicher Intelligenz ausdrücklich verboten – verbindlich und unmittelbar, unabhängig davon, wann ein System entwickelt oder in Betrieb genommen wurde. Besonders betroffen sind Banken, Finanzdienstleister und Wertpapierinstitute, die zunehmend KI-basierte Systeme für Risikobewertung, Betrugserkennung oder Geldwäscheprävention einsetzen. Die neuen Leitlinien der EU-Kommission legen nun präzise fest, welche Anwendungen rechtmäßig sind, wo klare Grenzen gezogen werden – und welche Sanktionen drohen.

Seit dem 2. August 2025 greifen zusätzlich die Bestimmungen zu Aufsicht und Sanktionen. Verstöße gegen die Verbote können mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden. Für Institute bedeutet das: Die Zeit des Abwartens ist vorbei. KI-Systeme müssen auf ihre Rechtmäßigkeit überprüft, Prozesse dokumentiert und menschliche Kontrollmechanismen implementiert werden – sonst drohen erhebliche finanzielle und regulatorische Risiken.

Artikel 5 der KI-Verordnung listet eine Reihe von Praktiken auf, die als besonders gefährlich gelten, weil sie Grundrechte verletzen oder das Vertrauen in digitale Systeme untergraben. Dazu gehören manipulative oder täuschende KI-Systeme, die Menschen gezielt beeinflussen oder psychologisch unter Druck setzen – etwa im Vertrieb von Finanzprodukten –, ebenso wie Systeme, die Schwächen aufgrund von Alter, Behinderung oder sozioökonomischer Situation ausnutzen, um Kunden zu riskanten Entscheidungen zu bewegen. Verboten ist auch jede Form sozialer Bewertung („Social Scoring“), die Menschen nach ihrem Verhalten oder Lebensstil kategorisiert und diskriminiert. Gleiches gilt für den Einsatz von Emotionserkennung im Arbeitsumfeld oder bei Kundenkontakten, etwa zur Leistungsüberwachung von Mitarbeitenden oder zur Beeinflussung von Beratungsgesprächen. Unzulässig ist außerdem das massenhafte Auslesen von Gesichtsbildern aus dem Internet oder die biometrische Echtzeit-Identifizierung im öffentlichen Raum zu Strafverfolgungszwecken. Diese Praktiken sind seit Februar 2025 in allen Sektoren verboten – auch in der Finanzbranche.

Die EU-Kommission betont allerdings, dass Künstliche Intelligenz im Finanzsektor ausdrücklich erwünscht ist, sofern Transparenz, Fairness und Kontrolle gewährleistet bleiben. Zulässig sind beispielsweise Systeme zur Geldwäscheprävention, die Transaktionsmuster analysieren und Auffälligkeiten erkennen, oder Anwendungen zur Kundenidentifizierung (KYC), bei denen automatisierte Prüfungen einschließlich Gesichtserkennung erlaubt sind, sofern sie DSGVO-konform erfolgen. Auch der Einsatz von KI im Sanktions- und PEP-Screening sowie in der Betrugserkennung (Fraud Detection) ist möglich, solange menschliche Aufsicht sichergestellt bleibt. Entscheidend ist dabei, dass KI nicht autonom über Kunden oder Transaktionen entscheidet. Es braucht stets menschliche Kontrolle, nachvollziehbare Entscheidungswege und eine transparente Dokumentation, die belegt, wie Entscheidungen zustande kommen.

Die Umsetzung der neuen Vorgaben erfordert ein strukturiertes Vorgehen in allen betroffenen Instituten. S+P Compliance empfiehlt, zunächst eine umfassende Bestandsaufnahme aller bestehenden KI-Systeme durchzuführen und diese auf mögliche verbotene Praktiken zu prüfen. Darauf aufbauend sollte eine Gap-Analyse erfolgen, um den aktuellen Einsatz mit den Leitlinien der Kommission abzugleichen. Transparenz ist ein zentrales Prinzip: Banken müssen dokumentieren, welche Algorithmen und Datenquellen zum Einsatz kommen und wie Entscheidungen überprüft werden. Ebenso wichtig ist es, klare Prozesse für menschliche Aufsicht und Eskalation zu definieren – insbesondere bei AML- und KYC-Verfahren. Datenschutz-Folgenabschätzungen (DSFA) sind verpflichtend, um sicherzustellen, dass personenbezogene Daten rechtmäßig und zweckgebunden verarbeitet werden. Parallel dazu sollten Compliance-, Risk- und IT-Teams geschult werden, um die neuen regulatorischen Anforderungen zu verstehen und umzusetzen. Schließlich müssen Institute interne Abläufe vorbereiten, um ab August 2025 effektiv mit Marktüberwachungsbehörden zusammenzuarbeiten.

Die KI-Verordnung markiert damit einen Wendepunkt im europäischen Finanzwesen. Künstliche Intelligenz bleibt ein strategischer Erfolgsfaktor – aber nur unter klaren ethischen und rechtlichen Leitplanken. Für Banken und Finanzinstitute bedeutet das: Verbotene Praktiken wie Manipulation, Diskriminierung oder emotionale Überwachung sind tabu. Gleichzeitig bieten erlaubte Anwendungen in der Geldwäscheprävention, Kundenprüfung, Betrugserkennung oder im Sanktions-Screening großes Potenzial, wenn Transparenz, Datenqualität und menschliche Kontrolle gewährleistet sind. Wer seine Systeme frühzeitig überprüft, schafft nicht nur Rechtssicherheit, sondern auch Vertrauen – bei Kunden, Aufsichtsbehörden und Investoren. Die KI-Verordnung ist damit mehr als ein regulatorisches Regelwerk. Sie ist ein Weckruf für verantwortungsbewusste Innovation und für den ethisch sauberen Einsatz von Künstlicher Intelligenz im Finanzsektor.