Der EU AI Act ist seit August 2024 in Kraft. Die Umsetzungsfristen laufen — und regionale Banken stehen vor der Frage: Was gilt für uns? Welche unserer Systeme fallen unter den Act? Was müssen wir bis wann nachweisen?

Diese Einordnung soll eine operative Antwort auf genau diese Fragen geben — keine rechtliche Beratung, aber eine praxisnahe Orientierung für Compliance-Leiter und Vorstände.

Wie der EU AI Act klassifiziert

Der EU AI Act unterscheidet vier Risikokategorien: Unacceptable Risk (verboten), High Risk (strenge Anforderungen), Limited Risk (Transparenzpflichten) und Minimal Risk (keine spezifischen Anforderungen).

Für Banken relevant ist vor allem die High-Risk-Kategorie. Annex III des Act listet explizit AI-Systeme auf, die als High Risk eingestuft sind — darunter Systeme zur Kreditwürdigkeitsbewertung natürlicher Personen.

Was das für regionale Banken konkret heißt

Scoring-Modelle im Kreditbereich: Wenn Ihre Bank ein algorithmisches System zur Bewertung der Kreditwürdigkeit privater Kunden einsetzt, ist dieses System wahrscheinlich als High Risk einzustufen.

High-Risk-Systeme unter dem EU AI Act müssen unter anderem:

  • In einem AI-Register erfasst und dokumentiert sein
  • Technische Dokumentation bereithalten (Zweck, Leistung, Datensätze)
  • Menschliche Aufsicht gewährleisten
  • Konformitätsbewertungen durchlaufen
  • Daten-Governance-Anforderungen erfüllen

Die Fristen im Überblick

Der EU AI Act tritt schrittweise in Kraft. Für High-Risk-Systeme nach Annex III gilt eine Übergangsfrist — die genauen Daten hängen vom Systemtyp ab. Banken sollten jetzt starten: mit einem vollständigen Inventar und einer regulatorischen Einordnung ihrer AI-Systeme.

Was nicht inventarisiert ist, kann nicht gesteuert werden — und nicht nachgewiesen werden.

Was jetzt zu tun ist

Der erste Schritt ist eine vollständige Inventarisierung: Welche AI-Systeme setzt Ihre Bank ein? Welche fallen unter den EU AI Act? Welche sind High Risk?

Das AI Exposure Diagnostic von Certums liefert genau das — in 5 Werktagen, zu einem Festpreis, mit einem priorisierten Handlungsplan als Ergebnis.

Abgrenzung zur rechtlichen Beratung

Diese Einordnung ist keine Rechtsberatung. Die konkrete Einordnung Ihrer Systeme sollte mit Ihrem Rechtsberater oder Verband abgestimmt werden. Certums liefert die operative Grundlage — das Inventar, die Dokumentation, die Governance-Prozesse.