Agentic AI Governance unter BaFin & EU AI Act
Was Banken und Versicherungen jetzt technisch und organisatorisch umsetzen müssen
Agentic AI Governance unter dem EU AI Act wird für Banken und Versicherungen ab 2026 zum entscheidenden Prüfstein für den produktiven Einsatz von KI.
Mit dem Inkrafttreten des EU AI Act und der zunehmenden aufsichtsrechtlichen Konkretisierung durch die BaFin wird klar:
KI‑Systeme dürfen nicht nur leistungsfähig sein – sie müssen erklärbar, kontrollierbar und haftungsfähig betrieben werden. Gerade agentische KI‑Systeme, die Entscheidungen vorbereiten oder autonom handeln, verschieben die regulatorischen Anforderungen deutlich über klassische AI‑Governance hinaus.
Regulatorischer Rahmen: EU AI Act + BaFin‑Praxis
Der EU AI Act unterscheidet KI‑Systeme nach Risikoklassen. Für Banken und Versicherungen sind insbesondere High‑Risk‑AI‑Systeme relevant, etwa in den Bereichen:
- Kreditwürdigkeitsprüfung
- Underwriting
- Schadenregulierung
- Fraud Detection
- Compliance‑ & Risikoanalysen
Agentic AI fällt in diesen Kontext, sobald sie Entscheidungen vorbereitet oder beeinflusst, eigenständig Maßnahmen vorschlägt oder Prozesse ohne unmittelbare menschliche Kontrolle steuert. Damit wird dies faktisch zur Pflichtdisziplin.
Warum klassische AI‑Governance nicht mehr ausreicht
Viele Institute setzen aktuell auf Modellvalidierung, Bias‑Tests und Dokumentation einzelner KI‑Komponenten. Das ist notwendig – aber nicht ausreichend.
Agentic AI ist kein einzelnes Modell, sondern ein System aus mehreren Komponenten: Planung, Reasoning, Tool‑Nutzung, Memory und Feedback‑Loops.
Die Aufsicht fragt daher nicht mehr: „Ist das Modell korrekt?“Sondern: „Wie kommt das System zu dieser Entscheidung – über Zeit?“
Bis 2026 wird der EU AI Act die Spielregeln für Banken und Versicherer grundlegend ändern. Der Fokus verschiebt sich von reiner Modellleistung hin zu strikter Haftung und Kontrolle. Erfahren Sie, warum „Technologie, die funktioniert“ nicht mehr ausreicht, wenn autonome Agenten beginnen, risikoreiche Entscheidungen zu treffen.
BaFin‑relevante Kernanforderungen an Agentic AI
Aus aktueller Aufsichtspraxis lassen sich vier zentrale Governance‑Anforderungen ableiten:
1. Nachvollziehbarkeit & ErklärbarkeitInstitute müssen nachweisen können, welche Schritte ein Agent durchgeführt hat, welche Daten verwendet wurden und welche Annahmen getroffen wurden.
Technisch erforderlich:
- Decision Logs
- Reasoning Traces
- Versionierung von Prompts, Policies und Modellen
Ohne diese Mechanismen ist eine aufsichtsrechtliche Prüfung kaum möglich.
2. Human‑in‑the‑Loop (wirksam, nicht pro forma)Der EU AI Act fordert wirksame menschliche Aufsicht. Für Agentic AI bedeutet das:
- klare Eskalationsschwellen
- definierte Freigabepunkte
- dokumentierte Eingriffe
Ein „Notfall‑Button“ reicht nicht. Human‑in‑the‑Loop muss architektonisch verankert sein.
3. Verantwortlichkeit & HaftungBaFin‑Prüfungen fokussieren zunehmend auf klare Rollenzuordnung, Verantwortliche pro Entscheidungsklasse und dokumentierte Governance‑Strukturen.
Zentrale Frage: Wer trägt die Verantwortung, wenn ein Agent eine falsche Entscheidung vorbereitet? Ohne klare Agent Governance ist diese Frage nicht beantwortbar.
4. Betrieb & Kontrolle (Operational Governance)Agentic AI muss wie kritische Infrastruktur betrieben werden: Monitoring, Incident‑Management, Rollbacks sowie Change‑ & Release‑Prozesse. Damit wird Agent Governance funktional zum neuen DevOps – mit regulatorischem Fokus.
Agentic AI Governance = DevOps + Compliance + Corporate Governance
Agentic AI Governance BaFin AI Act verbindet drei Ebenen:
- Technisch: Event‑driven Architectures, Memory‑Management, Policy‑Enforcement
- Organisatorisch: Rollen & Verantwortlichkeiten, Entscheidungsprozesse, Eskalationslogik
- Regulatorisch: AI Act, MaRisk, DORA, Aufsichtliche Erwartungshaltung
Nur wenn alle drei Ebenen zusammenspielen, ist Agentic AI prüfungssicher.
Typische Prüfungsfragen der Aufsicht (praxisnah)
Institute sollten sich heute auf Fragen vorbereiten wie:
- Welche Entscheidungen trifft das KI‑System selbstständig?
- Welche Entscheidungen werden nur vorbereitet?
- Wo greift ein Mensch ein – und warum genau dort?
- Wie wird jede Entscheidung dokumentiert?
- Wie werden Änderungen am System kontrolliert?
Wer darauf keine klaren Antworten hat, wird Probleme bekommen.
Fazit
Agentic AI Governance BaFin AI Act ist kein regulatorisches Add‑on, sondern die Grundlage für den Einsatz von Agentic AI in Banken und Versicherungen.
Institute, die Governance frühzeitig architektonisch verankern, Agentic AI als Entscheidungsarchitektur verstehen und die Aufsicht von Anfang an mitdenken, werden KI skalieren, erklären und verantworten können. Alle anderen riskieren aufsichtliche Feststellungen, Projektstopps und Reputationsschäden.
