FINMA erlässt neue Leitlinien zur KI-Governance und Risikosteuerung im Finanzsektor

Die Eidgenössische Finanzmarktaufsicht (FINMA) hat neue Leitlinien zur Governance und Risikosteuerung im Zusammenhang mit Künstlicher Intelligenz (KI) im Finanzsektor veröffentlicht. Diese FINMA-Mitteilung (08/2024), veröffentlicht im Dezember 2024, betont die wachsende Bedeutung von KI im Finanzwesen und die Notwendigkeit einer strengen Aufsicht über den Einsatz von KI in Finanz- und Rechnungswesenprozessen. Die Leitlinien heben wesentliche Risiken im Zusammenhang mit KI hervor und formulieren die aufsichtsrechtlichen Erwartungen der FINMA, wodurch sie einen bedeutenden Schritt in der Regulierung des KI-Einsatzes in der Schweiz markieren.

In diesem Artikel geben wir einen ausführlichen Überblick über die neuen FINMA-Leitlinien, analysieren die Auswirkungen auf Finanzinstitute in der Schweiz und diskutieren die weitergehenden regulatorischen Entwicklungen im Bereich Künstliche Intelligenz in der Finanzbranche.

Die FINMA-Leitlinien thematisieren eine Vielzahl von Risiken, die mit dem Einsatz von KI in Finanzdienstleistungen verbunden sind. Die zunehmende Integration von KI in den Bereichen Bankwesen, Versicherungen und Finanzdienstleistungen birgt Risiken, die oft schwer abzuschätzen sind. Ähnlich wie bei früheren regulatorischen Anpassungen, etwa den Firmenmänteln-Änderungen, liegt der Fokus der Aufsicht auf Transparenz, Risikominimierung und rechtssicherer Strukturierung. Die FINMA identifiziert mehrere zentrale KI-bezogene Risiken, die Finanzinstitute aktiv steuern müssen:

KI-Modelle können operationelle Risiken verursachen, insbesondere Modellrisiken. Dazu zählen Bedenken hinsichtlich der Robustheit und Genauigkeit von KI-Systemen, ihrer Verlässlichkeit sowie Probleme wie mangelnde Erklärbarkeit oder Verzerrungen (Bias) in Algorithmen. Beispielsweise könnte ein KI-basiertes Kreditbewertungssystem fehlerhafte Ergebnisse liefern, wenn es nicht ausreichend robust ist oder Verzerrungen aufweist, was zu falschen Entscheidungen und Verstößen gegen regulatorische Anforderungen führen kann.

KI-Systeme sind auf große Mengen an Daten angewiesen. Die FINMA warnt vor Risiken im Zusammenhang mit der Datensicherheit, der Qualität und der Verfügbarkeit von Daten. Eine mangelhafte Datenqualität oder unzureichender Datenschutz können die Ergebnisse der KI beeinflussen und zu Problemen hinsichtlich Datenschutz und Genauigkeit führen. Die Sicherstellung hochwertiger, repräsentativer Daten und deren Schutz gemäß den geltenden Datenschutzgesetzen ist eine wesentliche Anforderung für eine rechtskonforme KI-Governance.

Da KI-gestützte Systeme softwarebasiert sind und oft tief in IT-Systeme integriert werden, verstärken sie bestehende IT- und Cyberrisiken. KI-Anwendungen können neue Sicherheitslücken schaffen oder Ziel von Cyberangriffen werden. Auch bei Technologien mit vergleichbarer IT-Komplexität, wie dem von der FINMA zugelassenen ersten DLT-Handelssystem, gelten strenge Anforderungen an Integrität, Ausfallsicherheit und Systemkontrolle. Daher sind robuste Cybersicherheitsmaßnahmen und IT-Kontrollen erforderlich, um KI-Systeme zu schützen – insbesondere dann, wenn KI in kritischen Finanzbereichen wie algorithmischem Handel oder automatisierter Finanzberichterstattung eingesetzt wird.

Viele KI-Lösungen basieren auf externen Dienstleistern (z. B. Cloud-Dienste, KI-Plattformen oder externe Datenquellen). Die FINMA weist darauf hin, dass eine zunehmende Abhängigkeit von Drittanbietern als Risikofaktor betrachtet werden muss. Eine übermäßige Abhängigkeit von externen KI-Anbietern oder Cloud-Diensten kann Risiken bündeln und die direkte Kontrolle des Instituts verringern. Sollte ein Dienstleister ausfallen oder eine Sicherheitsverletzung auftreten, könnten operationelle Störungen oder regulatorische Verstöße die Folge sein. Die FINMA empfiehlt daher eine sorgfältige Due-Diligence-Prüfung sowie die Implementierung von Notfallplänen für den Umgang mit Dienstleisterausfällen.

Der Einsatz von KI kann erhebliche rechtliche und reputationsbezogene Risiken nach sich ziehen, wenn keine ausreichenden Kontrollmechanismen bestehen. So könnte ein KI-gestützter Entscheidungsprozess unbeabsichtigte Diskriminierung bestimmter Kundengruppen verursachen oder Datenschutzbestimmungen verletzen. In solchen Fällen drohen regulatorische Sanktionen und öffentlicher Vertrauensverlust. Die FINMA hebt insbesondere rechtliche Risiken (z. B. Compliance mit regulatorischen Vorgaben, Haftung für KI-Entscheidungen) sowie Reputationsrisiken hervor. Finanzinstitute müssen antizipieren, wie KI-Ergebnisse zu Kundenbeschwerden, behördlicher Kontrolle oder Rechtsstreitigkeiten führen können, und entsprechende Risikokontrollen implementieren.

Ein zentrales Fazit der FINMA-Leitlinien ist, dass viele Finanzinstitute in der Schweiz sich noch in der frühen Phase der KI-Governance und des Risikomanagements befinden. Die FINMA hat im Rahmen ihrer Aufsichtstätigkeit festgestellt, dass viele Institute erst beginnen, KI-Anwendungsfälle zu entwickeln, und dass formale Governance-Strukturen für KI noch in Aufbau sind.

Angesichts dieser Erkenntnisse mahnt die FINMA zur raschen Implementierung effektiver KI-Governance-Mechanismen. Die Leitlinien betonen die Notwendigkeit einer klaren Identifikation, Bewertung, Steuerung und Überwachung von KI-Risiken im Rahmen des übergeordneten Risikomanagements von Finanzinstituten. Verwaltungsräte und Geschäftsleitungen müssen sich mit den eingesetzten KI-Systemen auseinandersetzen und sicherstellen, dass angemessene Risikokontrollen bestehen. Derartige Pflichten zur Risikoüberwachung finden sich auch im Steuerbereich, wie etwa in den schweizerischen Mehrwertsteuerregelungen, die Plattformbetreiber auf neue regulatorische Verantwortlichkeiten vorbereiten.

Die FINMA benennt zudem bewährte Praktiken und Maßnahmen aus ihrer Aufsichtspraxis. Obwohl die Leitlinien keine neuen verbindlichen Vorschriften enthalten, geben sie konkrete Empfehlungen zur Stärkung der KI-Governance. Beispielsweise sollten Finanzinstitute ein zentrales Verzeichnis aller eingesetzten KI-Modelle und -Tools führen, das deren Zweck, Datenbasis und Ergebnisse dokumentiert. Dadurch kann der Überblick über KI-Anwendungen gewahrt bleiben. Darüber hinaus betont die FINMA, dass Verantwortung nicht an KI oder Drittanbieter delegiert werden kann – letztlich bleibt der Mensch für KI-gestützte Entscheidungen haftbar.

Quelle: FINMA

Haftungsausschluss: Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Er begründet kein Mandatsverhältnis. Für eine individuelle rechtliche Beratung zu KI-Regulierungen und Compliance kontaktieren Sie bitte Goldblum and Partners.

Für weitere Informationen über unsere Dienstleistungen, die aktuelle Gesetzgebung oder zur Besprechung des konkreten Falls kontaktieren Sie bitte: