Nachrichten & Medien

FINMA-Aufsichtsmitteilung 08/2024: KI-Governance und Risikosteuerung für Finanzinstitute

Im Dezember 2024 veröffentlichte die Eidgenössische Finanzmarktaufsicht (FINMA) die Aufsichtsmitteilung 08/2024 zu Governance und Risikomanagement beim Einsatz von Künstlicher Intelligenz (KI) im Schweizer Finanzsektor. Die Mitteilung enthält keine neuen verbindlichen Vorschriften, formuliert jedoch klare aufsichtsrechtliche Erwartungen an Banken, Versicherungen und andere beaufsichtigte Institute. Hintergrund ist die wachsende Verbreitung von KI in Finanz- und Rechnungswesenprozessen. Stand: Juli 2026.

Fünf Risikofelder, die die FINMA benennt

Die Mitteilung identifiziert fünf Risikokategorien, die Institute beim KI-Einsatz aktiv steuern müssen:

Modellrisiken entstehen, wenn KI-Systeme fehlerhafte oder verzerrte Ergebnisse liefern. Mangelnde Robustheit, unzureichende Erklärbarkeit und algorithmischer Bias können zu falschen Entscheidungen und regulatorischen Verstössen führen. Ein KI-basiertes Kreditbewertungssystem mit Bias-Problemen etwa kann regulatorische Anforderungen verletzen.

Datenrisiken betreffen Qualität, Sicherheit und Verfügbarkeit der verwendeten Daten. KI-Anwendungen sind auf grosse, repräsentative Datensätze angewiesen. Mangelhafte Datenqualität oder unzureichender Datenschutz gefährden sowohl die Ergebnisqualität als auch die Compliance.

IT- und Cyberrisiken entstehen, weil KI-Systeme tief in bestehende IT-Infrastrukturen integriert werden und neue Angriffsvektoren schaffen können. Robuste Sicherheitsmassnahmen sind besonders dort erforderlich, wo KI in kritischen Bereichen wie algorithmischem Handel eingesetzt wird.

Drittanbieterrisiken sind erhöht, wenn Institute externe KI-Plattformen oder Cloud-Dienste nutzen. Fällt ein Dienstleister aus, drohen operative Störungen oder regulatorische Verstösse. Die FINMA empfiehlt sorgfältige Due Diligence sowie Notfallpläne für den Ausfall von Drittanbietern.

Rechtliche und Reputationsrisiken entstehen, wenn algorithmische Entscheidungsprozesse unbeabsichtigt diskriminierend wirken oder Datenschutzbestimmungen verletzen. Regulatorische Sanktionen und öffentlicher Vertrauensverlust können die Folge sein.

Was die FINMA von Instituten erwartet

Obwohl die Mitteilung keine neuen Rechtsvorschriften schafft, formuliert sie konkrete Empfehlungen aus der Aufsichtspraxis:

Institute sollen ein zentrales Verzeichnis aller eingesetzten KI-Modelle und Tools führen, das Zweck, Datenbasis und Ergebnisse dokumentiert. Fehlt dieses Verzeichnis, können weder interne Kontrollen noch externe Prüfer eine fundierte Einschätzung des tatsächlichen KI-Einsatzes vornehmen.

Verwaltungsräte und Geschäftsleitungen müssen sich aktiv mit den genutzten KI-Systemen auseinandersetzen und für angemessene Risikokontrollen sorgen. KI-Risiken sind in das übergeordnete Risikomanagement des Instituts einzubetten, nicht separat zu behandeln, mit klaren Zuständigkeiten, regelmässigen Tests und laufendem Monitoring.

Ein zentraler Grundsatz lautet: Verantwortung lässt sich weder an KI-Systeme noch an externe Dienstleister delegieren. Menschen bleiben für KI-gestützte Entscheidungen haftbar.

Viele Institute noch in der frühen Phase

Im Rahmen ihrer Aufsichtstätigkeit stellte die FINMA fest, dass viele Schweizer Finanzinstitute erst beginnen, KI-Anwendungsfälle zu entwickeln. Formale Governance-Strukturen für KI sind vielerorts noch im Aufbau. Die Aufsicht mahnt, diesen Aufbau zügig voranzutreiben.

Was das für beaufsichtigte Institute bedeutet

Die Aufsichtsmitteilung 08/2024 ist ein klares Signal, dass die FINMA KI-Governance als integralen Bestandteil des Risikomanagements betrachtet. Für Institute im Bereich Finanzmarktrecht empfiehlt sich eine rasche Überprüfung bestehender Governance-Strukturen.

Institute, die bereits KI-Werkzeuge in Compliance, Risikobewertung oder Kundenkommunikation einsetzen, sollten jetzt dokumentieren, welche Systeme aktiv sind, wer verantwortlich ist und wie Fehlfunktionen erkannt und eskaliert werden. Die Aufsichtsmitteilung liefert den Rahmen; die konkrete Umsetzung liegt beim Institut selbst.

Auch für Unternehmen mit kryptobezogenen Aktivitäten, die KI-gestützte Compliance- oder Handelssysteme einsetzen, sind die Erwartungen direkt relevant.

Die vollständige Mitteilung sowie weitere Aufsichtsmitteilungen der FINMA sind auf der FINMA-Website abrufbar.

FAQ

Häufig gestellte Fragen.

01Was ist die FINMA-Aufsichtsmitteilung 08/2024?
Die FINMA-Aufsichtsmitteilung 08/2024 vom Dezember 2024 legt aufsichtsrechtliche Erwartungen an Governance und Risikomanagement beim Einsatz von KI in Schweizer Finanzinstituten fest. Sie enthält keine neuen Rechtsvorschriften, gibt aber konkrete Empfehlungen aus der Aufsichtspraxis.
02Welche KI-Risiken benennt die FINMA?
Die FINMA identifiziert fünf Risikofelder: Modellrisiken (Robustheit, Erklärbarkeit, Bias), Datenrisiken (Qualität, Datenschutz), IT- und Cyberrisiken, Drittanbieterrisiken sowie rechtliche und Reputationsrisiken. Jedes Risikofeld erfordert aktives Management und dokumentierte Kontrollmassnahmen.
03Müssen Finanzinstitute ein KI-Verzeichnis führen?
Die FINMA empfiehlt, ein zentrales Verzeichnis aller eingesetzten KI-Modelle und Tools zu führen, das Zweck, Datenbasis und Ergebnisse dokumentiert. Damit soll der Überblick über alle KI-Anwendungen im Institut gewährleistet werden.
04Wer haftet für KI-gestützte Entscheidungen?
Laut FINMA kann Verantwortung weder an KI-Systeme noch an externe Dienstleister delegiert werden. Verwaltungsrat und Geschäftsleitung bleiben für KI-gestützte Entscheidungen haftbar und müssen angemessene Risikokontrollen sicherstellen.
Wissensdatenbank

Weitere Beiträge aus unserer Wissensdatenbank.

Alle anzeigen

Sprechen Sie mit uns.

Ein vertrauliches Gespräch in einer unserer fünf Arbeitssprachen — kostenlos und unverbindlich.

Termin buchen Maria meldet sich in Kürze bei Ihnen Termin