Aufgeschoben ist nicht aufgehoben

In vielen Häusern wurde im Frühjahr aufgeatmet. Die gefürchtete Frist fällt weg, der Druck ist raus, das Thema kann warten. Das ist ein teurer Irrtum. KI-Systeme zur Kreditwürdigkeitsprüfung natürlicher Personen gelten unter dem EU AI Act als Hochrisiko, und die vollen Pflichten dafür greifen nach der jüngsten Verschiebung nicht im August 2026, sondern erst am 2. Dezember 2027.

Die Verordnung selbst ist längst in Kraft, seit dem 1. August 2024, mit voller Anwendung zwei Jahre später. Im Rahmen des sogenannten Digital Omnibus hat die EU im Frühjahr 2026 die Pflichten für die Hochrisiko-Systeme aus Anhang III, zu denen die Bonitätsprüfung zählt, vom 2. August 2026 auf den 2. Dezember 2027 verschoben. Was nicht verschoben wurde: Ab dem 2. August 2026 müssen KI-generierte Inhalte gekennzeichnet werden, und die allgemeine KI-Kompetenzpflicht gilt ohnehin schon. Wer die Verschiebung mit einer Pause verwechselt, plant am eigentlichen Risiko vorbei.

Was die Hochrisiko-Einstufung konkret verlangt

Anhang III Nummer 5 stuft KI zur Bewertung der Kreditwürdigkeit natürlicher Personen ausdrücklich als hochriskant ein. Reine Betrugserkennung ist davon ausgenommen, alles andere nicht. Sobald ein solches System ein Profiling natürlicher Personen vornimmt, gilt es nach Artikel 6 immer als hochriskant, unabhängig davon, wie gering die Institute den Einfluss einschätzen.

Die Pflichtenliste ist kein Papierkram. Verlangt werden ein lebenszyklusbezogenes Risikomanagement, eine belastbare Daten-Governance, technische Dokumentation, lückenlose Protokollierung, Transparenz gegenüber den Betroffenen, ein Qualitätsmanagementsystem und eine echte menschliche Aufsicht über die Entscheidung. Wer dagegen verstößt, riskiert Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Warum der Aufschub trügt

Eine Konformitätsbewertung für ein Hochrisiko-System dauert in der Praxis drei bis sechs Monate. Wer erst Mitte 2027 anfängt, sein KI-Inventar zu erstellen, wird die neue Frist genauso reißen wie die alte. Der Aufschub verschiebt den Stichtag, nicht die Arbeit.

Die gute Nachricht für regulierte Institute: Sie starten nicht bei null. MaRisk, die EBA-Leitlinien und der Standard BCBS 239 liefern bereits ein robustes Fundament für Modell- und Daten-Governance. Beratungshäuser wie ADVISORI weisen darauf hin, dass sich die Kontrollen des AI Act in dieses bestehende Framework integrieren lassen, statt eine zweite, parallele Governance-Welt aufzubauen. Neu hinzu kommen vor allem inhaltliche Fähigkeiten, etwa Fairness- und Bias-Analysen sowie Grundrechtsbewertungen. Für den Finanzsektor unterstützt künftig die BaFin als Fachbehörde die Bundesnetzagentur bei der Aufsicht, parallel zu DORA, das bereits seit Januar 2025 gilt.

Die KI-Kompetenzpflicht gilt längst

Ein Punkt geht in der Frist-Debatte unter: Artikel 4 verpflichtet alle Anbieter und Betreiber von KI-Systemen seit dem 2. Februar 2025 dazu, ausreichende KI-Kompetenz bei ihrem Personal sicherzustellen. Diese Pflicht wurde nicht verschoben. Sie ist rollenabhängig, eine Sachbearbeiterin in der Kreditprüfung braucht ein anderes Verständnis als eine Führungskraft, die über den Einsatz entscheidet. Wer die Schulung seiner Leute erst 2027 angeht, ist schon heute nicht regelkonform.

Was Institute mit dem Zeitfenster tun sollten

Das gewonnene Jahr ist kein Grund zu warten, sondern die Gelegenheit, sauber vorzubauen. Drei Schritte lohnen sich sofort. Erstens ein vollständiges Inventar aller KI-Systeme, die in Kreditentscheidungen einfließen, inklusive der zugekauften. Zweitens ein Human-Oversight-Konzept, das klärt, wer auf welcher Grundlage eine maschinelle Empfehlung überstimmen darf und wie das dokumentiert wird. Drittens eine ehrliche Prüfung der Datenbasis, denn ohne saubere Daten scheitert jede Fairness-Analyse, bevor sie beginnt. Wie man diese Datenreife in zwanzig Minuten ehrlich einschätzt, haben wir an anderer Stelle beschrieben: woran Sie erkennen, ob Ihr Institut für KI bereit ist.

Der eigentliche Engpass ist nicht die Frist

Der AI Act zwingt zu einer Disziplin, die ein gutes Institut ohnehin braucht: nachvollziehbare Modelle, saubere Daten, klare Verantwortung für jede Entscheidung. Häuser, die das als reine Compliance-Last behandeln, werden 2027 hektisch nachrüsten. Häuser, die es als Anlass nehmen, ihre KI-Governance grundsätzlich zu ordnen, haben am Ende beides, die Konformität und bessere Entscheidungen. Wer hier ansetzt, vermeidet zugleich die typischen Fehler, an denen KI-Vorhaben sonst scheitern, von der Technik zuerst bis zur fehlenden Verantwortung, die wir in den drei häufigsten Fehlern bei der KI-Strategie beschrieben haben.

Wenn Sie wissen wollen, welche Ihrer KI-Anwendungen unter die Hochrisiko-Regeln fallen und wie Sie die Vorlaufzeit bis Dezember 2027 sinnvoll nutzen, ohne eine parallele Governance-Welt aufzubauen, ist das der Ausgangspunkt einer Sotica-Sprechstunde. Wir kommen aus der Branche und ordnen die Pflichten in Ihr bestehendes Steuerungsmodell ein, statt sie daneben zu stellen.