BaFin-Risikobericht 2026: KI ist nicht das Risiko – fehlende Governance ist es

BaFin-Risikobericht 2026: KI ist nicht das Risiko – fehlende Governance ist es

KI taucht im BaFin-Risikobericht nicht als eigener Risikoblock auf. Die Botschaft für Institute: Wer KI mit Governance-Logik einführt, gewinnt Spielräume statt sie zu verlieren.

oval brown wooden conference table and chairs inside conference room

Mai 25, 2026

Recht

Die BaFin schaut auf Governance, nicht auf KI

Wer den Bericht "Risiken im Fokus 2026" der BaFin vom 28. Januar 2026 liest und einen eigenen Abschnitt über Künstliche Intelligenz sucht, wird ihn nicht finden. KI ist kein eigenständiger Risikoblock. Das ist kein Versehen, sondern eine Botschaft: Die Aufsicht bewertet KI nicht als Bedrohung an sich, sondern als Instrument, das unter denselben Governance-Anforderungen steht wie jedes andere risikorelevante System.

Was die BaFin stattdessen in den Fokus rückt

Der Bericht benennt sechs zentrale Risiken für den Finanzmarkt: signifikante Korrekturen an den internationalen Finanzmärkten, Ausfälle von Unternehmenskrediten, Risiken aus den Gewerbeimmobilienmärkten, Cyber-Vorfälle mit gravierenden Auswirkungen, Konzentrationen bei der Auslagerung von IKT-Dienstleistungen sowie unzureichende Prävention von Geldwäsche und Terrorismusfinanzierung. Erstmals kommen drei ausdrückliche Verbraucherrisiken hinzu. Begleitet wird das Bild von drei langfristigen Trends: Digitalisierung, Nachhaltigkeit und Geopolitik.

KI versteckt sich nicht in einer eigenen Überschrift, sondern in mehreren dieser Punkte zugleich. Sie steckt im Trend Digitalisierung, in den Cyber- und Betriebsrisiken und in der Abhängigkeit von ausgelagerten IKT-Diensten. Wer ein KI-System ohne ausreichendes Risikomanagement betreibt, ist über genau diese Kanäle exponiert, unabhängig davon, ob das Wort KI im Prüfbericht steht.

Die eigentliche Botschaft für Institute

Daraus folgt eine klare Logik für den eigenen Umgang mit KI. Wer sie wie ein Sonderthema behandelt, das eigene, exotische Regeln braucht, macht sich das Leben unnötig schwer. Wer sie dagegen von Anfang an in die bestehende Governance einordnet, in das Risikomanagement, in die Auslagerungssteuerung, in die Betriebsstabilität, spricht genau die Sprache, in der die Aufsicht prüft.

Das ist die gute Nachricht hinter dem Befund. KI verlangt von der BaFin keine neue, gesonderte Disziplin, sondern die konsequente Anwendung dessen, was Institute ohnehin können müssen. Wer KI mit Governance-Logik einführt, gewinnt Spielräume, statt sie zu verlieren, weil er der Aufsicht zeigt, dass das neue Instrument im bewährten Rahmen sicher beherrscht wird.

Warum das gute Nachricht ist

Dass KI in den Fokusrisiken kein eigenes Kapitel bekommt, nimmt dem Thema die Dramatik, die ihm oft zugeschrieben wird. Die Aufsicht erwartet keine völlig neue Disziplin, sondern die konsequente Anwendung bewährter Prinzipien des Risikomanagements auf ein neues Instrument. Für Institute, die in Governance ohnehin geübt sind, ist das eine erreichbare Aufgabe und kein Sprung ins Unbekannte.

Daraus folgt eine klare Haltung: KI nicht als Sonderfall behandeln, der eigene Regeln und eigene Gremien braucht, sondern als weiteres risikorelevantes System, das in die vorhandenen Strukturen eingeordnet wird. Wer so vorgeht, muss nichts neu erfinden, sondern erweitert das Bestehende. Das spart Aufwand und spricht zugleich genau die Sprache, in der die Aufsicht prüft.

Ein Signal, das mit der MaRisk zusammenpasst

Der Befund aus dem Risikobericht steht nicht allein. Er passt nahtlos zu dem, was die BaFin mit der kommenden MaRisk-Novelle für Modelle und KI vorsieht: keinen Sonderstatus, sondern die Einordnung in bestehende Governance, mit klaren Verantwortlichkeiten, Validierung und Überwachung. Beide Signale zeigen in dieselbe Richtung und sollten deshalb gemeinsam gelesen werden.

Für Institute heißt das, ihre KI-Vorhaben von Anfang an so aufzusetzen, dass sie zu dieser Logik passen. Wer das tut, muss bei der nächsten Prüfung nichts nachträglich reparieren und kann KI mit der Gewissheit einsetzen, im aufsichtlichen Rahmen zu bleiben. Genau diese Gewissheit ist der Spielraum, von dem die Rede war.

Der Maßstab ist das bestehende Risikomanagement

Praktisch heißt der Befund, dass ein Institut seine KI-Vorhaben am eigenen, bereits etablierten Risikomanagement messen sollte und nicht an einem gesonderten KI-Regelwerk. Wer eine neue Anwendung einführt, fragt also schlicht, wie er jedes andere risikorelevante System behandeln würde, und wendet denselben Maßstab an. Diese Übung ist vertraut, sie verlangt kein neues Vokabular und keine Sonderkommission, und genau darin liegt ihre Stärke gegenüber der Aufsicht.

Was das praktisch heißt

Konkret bedeutet es, KI-Systeme wie andere risikorelevante Systeme zu behandeln: klare Verantwortlichkeiten, dokumentierte Entscheidungswege, Überwachung im Betrieb und ein bewusster Umgang mit der Abhängigkeit von externen Dienstleistern. Genau diese Elemente verlangt auch die kommende MaRisk-Novelle für Modelle und KI. Beide Signale zeigen in dieselbe Richtung.

Mehr zum Thema: MaRisk-Novelle 2026: Wer kein Modellinventar hat, kommt durch keine BaFin-Prüfung mehr und Hochrisiko ist nicht Hochrisiko: Was der AI Act ab August 2026 wirklich von Banken verlangt.

Wir ordnen mit Ihnen Ihre KI-Vorhaben in Ihre bestehende Governance ein, sodass sie der Aufsichtslogik entsprechen und Sie Handlungsspielraum gewinnen. Buchen Sie eine Sprechstunde.

Kurz ins Gespräch kommen

Kurz ins Gespräch kommen

Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.