KI-Agenten im Banking: Was Deutsche Bank und Commerzbank wirklich tun

KI-Agenten im Banking: Deutsche Bank und Commerzbank haben 2025 und 2026 konkrete Pilotprojekte gestartet – von Betrugsprävention bis Compliance-Automatisierung. Klingt revolutionär. Ist es nicht. Die harte Wahrheit: Vollautonome Finanz-Agenten existieren nicht. Was wirklich läuft, welche regulatorischen Leitplanken BaFin und DORA setzen und warum die meisten Schlagzeilen übertreiben – Klartext.

Von Chatbots zu Agenten: Was sich wirklich verändert hat

Klartext: Der Begriff „KI-Agent“ wird im Banking gerade inflationär verwendet. Jeder Chatbot heißt plötzlich Agent. Jede Automatisierung trägt das Label. Dabei ist der Unterschied nicht trivial.

Ein klassischer Chatbot beantwortet Fragen. Ein KI-Agent hingegen führt eigenständige Prozessschritte aus, orchestriert mehrere Systeme gleichzeitig und kann – innerhalb klar definierter Grenzen – Aktionen anstoßen. Die Deutsche Bank formulierte es im Mai 2025 so: Der Übergang geht „von Tools zu Agenten“, von passiven Werkzeugen zu aktiven Partnern, die Aufgaben, Workflows und Entscheidungen in Prozesse einbetten.

Das ist keine Marketing-Prosa. Es beschreibt tatsächlich eine neue Architektur. Banking Automation auf diesem Niveau bedeutet, dass ein Agent nicht nur auf eine Anfrage reagiert, sondern etwa ein Compliance-Dokument analysiert, relevante Vorgaben extrahiert, einen Prozessleitfaden entwirft und diesen zur menschlichen Freigabe vorlegt. Das war vor drei Jahren technisch nicht skalierbar.

Seien wir ehrlich: Die Lücke zwischen dem, was Pressemitteilungen versprechen, und dem, was produktiv läuft, bleibt erheblich. Wer heute von „autonomen Finanz-Agenten“ schreibt, die selbstständig Kredite vergeben oder Portfolios handeln, beschreibt Fiktion, keine Realität.

Deutsche Bank: Drei Agenten-Projekte im Detail

Was die Deutsche Bank konkret treibt, lässt sich an drei Projekten festmachen. Erstens: „Debbie“, ein KI-Chatbot im Kundensupport. Kein Agenten-Wunder, aber ein produktiver erster Schritt – Standardanfragen werden automatisiert bearbeitet, Berater für komplexe Fälle freigehalten.

Zweitens: Ein GenAI-Assistent für individuelle Anlagevorschläge. Hier wird es regulatorisch interessant. Finale Anlageberatung bleibt in menschlicher Verantwortung. Der Assistent liefert Analysen und Vorschläge – aber kein Kunde unterschreibt einen Vertrag mit einem Algorithmus. Die regulatorische Einstufung als unterstützendes Tool ist dabei kein Trick, sondern Pflicht.

Drittens, und das ist das spannendste Projekt: „Aggie“ – ein Compliance-Agent, der in Zusammenarbeit mit der Berliner Compliance-Management-Plattform Kodex AI entwickelt wird. Aggie soll Policy-Auslegungen beschleunigen, Texte für Prozessleitfäden erstellen und Compliance-Vorgaben mit geringerer Fehlerquote in die Praxis überführen. Wichtige Einschränkung: Das Projekt adressiert die operative Compliance-Umsetzung, nicht die formale Verantwortung für die Einhaltung von Regulierung. Diese bleibt beim Menschen.

Hier steckt die eigentliche Intelligenz der Deutschen Bank: Sie verwendet den Begriff Regulatory Compliance bewusst als operativen Hebel, nicht als Haftungsabwälzung auf die Maschine. Ein Unterschied, den viele Fintech-Agenten-Debatten verwischen. Wie stark regulatorische Anforderungen dabei als Innovationsbremse oder als Treiber wirken, zeigt sich auch daran, wie der Fast-Track-Ansatz bei der Regulierung von Deep-Tech-Fintechs in der Branche diskutiert wird – denn das Tempo der Aufsichtsbehörden entscheidet mit, welche Projekte überhaupt in den Produktivbetrieb kommen.

Commerzbank: 600 Millionen Euro und drei konkrete Agenten

Die Commerzbank hat die Investitionszahlen auf den Tisch gelegt: 600 Millionen Euro KI-Invest bis 2028, erwartet 300 Millionen Euro positive Effekte in den Jahren 2025 bis 2028. Das ist offizielle Bank-Kommunikation aus der Pressemitteilung von Februar 2025. Manche Medien berichten zusätzlich von 500 Millionen Euro jährlichem Wertbeitrag ab 2030 und 3.000 Stellen, die wegfallen – diese Zahlen stammen aus Presseinterpretationen, nicht aus offiziellen Bank-Statements. Das ist ein relevanter Unterschied.

Was konkret läuft: „Sherlock“ ist ein interner Richtlinien-Agent, der Mitarbeitenden durch das komplexe Geflecht interner Policies und Prozesse navigiert. Schluss damit, stundenlang im Intranet zu suchen. Sherlock reduziert Verwaltungsaufwand und gibt Kapazität für Kundenkontakt frei. Das klingt unspektakulär – ist es aber nicht, wenn man bedenkt, wie viel Arbeitszeit in großen Banken in reiner Policy-Navigation versickert.

Noch konkreter: Das frühwarnende Betrugserkennungssystem bei Kontoeröffnungen. IT-Chefin Christiane Vorspel berichtete 2025 auf der Handelsblatt-Tagung „BankenTech“: Der Agent erkennt verdächtige Muster bei neuen Kontoanfragen und schlägt sofort Alarm. Ergebnis im Pilotbetrieb: Die Commerzbank verhinderte einen signifikanten einstelligen Millionenbetrag an Schäden durch missbräuchliche Kontoeröffnungen. Pilot. Einer. Das ist kein Skalierungsbeweis, aber ein starkes Proof-of-Concept.

Und dann ist da noch das Visa-Programm: Die Commerzbank gehört zu den ersten europäischen Banken, die am „Visa Agentic Ready“-Programm teilnehmen. Dabei geht es darum, dass von KI-Agenten initiierte Zahlungen sicher und skalierbar abgewickelt werden – ein Bereich, der Banking Automation in eine völlig neue Dimension verschiebt. Wenn ein KI-Agent im Namen eines Nutzers eigenständig eine Zahlung auslöst, stellen sich Authentifizierungs-, Haftungs- und Regulierungsfragen, die noch nicht abschließend gelöst sind.

BaFin, DORA und der regulatorische Rahmen: Was wirklich gilt

Hier ist der Teil, den viele Tech-Begeisterte überspringen. Tun Sie das nicht.

Die BaFin hat Ende Januar 2026 eine offizielle Leitlinie zu IKT-Risiken im Zusammenhang mit KI veröffentlicht. Diese Leitlinie verlangt: vollständige Einbettung aller KI-Systeme in bestehende Risikomanagement-Strukturen, ein lückenloses Inventar sämtlicher KI-Anwendungen inklusive Drittanbieter-Tools, klare Anforderungen an Modell-Lebenszyklus, Datenqualität und kontinuierliches Monitoring.

Wichtig: Die Leitlinie schafft keine separaten „Agentenregeln“. KI-Agenten werden als eine Ausprägung von KI-Systemen behandelt, eingebettet in bestehende Governance-Rahmen wie DORA, MaRisk und BAIT. DORA – der Digital Operational Resilience Act – bindet KI-Agenten als kritische IKT-Komponenten ein. Das bedeutet in der Praxis: Banken brauchen lückenlose Audit-Trails, definierte Abschaltmechanismen und klare Verantwortlichkeiten für jeden Agenten im Produktivbetrieb.

Regulatory Compliance bedeutet hier nicht, dass ein Agent die Compliance übernimmt. Es bedeutet, dass der Agent selbst compliant sein muss. Das ist eine fundamentale Verschiebung der Fragestellung, die viele Fintech-Agenten-Pitches ignorieren. Wer setzt am Ende die Feder unter einen regulatorischen Bericht? Der Mensch. Immer.

Meine persönliche Einschätzung: Die BaFin-Leitlinie ist pragmatischer als erwartet. Sie schafft kein lähmend bürokratisches Rahmenwerk, sondern integriert KI-Governance in das, was Banken ohnehin schon tun müssen. Das könnte sogar ein Vorteil gegenüber regulierungsärmeren Märkten sein – Klarheit zieht Investitionen an.

Fintech-Agenten im Compliance-Einsatz: Wo Banking Automation wirklich zählt

Regulatory Change Management ist der Use Case, über den zu wenig geschrieben wird. Jede neue Regulierung – von DAC8 bis zu aktualisierten EBA-Guidelines – erzeugt in einer Großbank hunderte Stunden Analysearbeit. Welche Prozesse sind betroffen? Welche Systeme müssen angepasst werden? Welche Policies müssen neu geschrieben werden?

Genau hier greifen Fintech-Agenten wie Aggie bei der Deutschen Bank. Der Agent liest neue Regulierungsdokumente, extrahiert relevante Anforderungen, vergleicht sie mit bestehenden internen Richtlinien und generiert erste Impact-Analysen. Das erspart nicht die finale juristische Prüfung – aber es reduziert die Zeit bis zur ersten belastbaren Einschätzung erheblich.

KYC- und AML-Prozesse sind ein weiteres Schlüsselfeld. Screening großer Datenmengen, Anomalie-Detektion, automatisierte Risikobewertungen – das sind klassische Machine-Learning-Aufgaben, die Banken seit Jahren kennen. Die Neuerung liegt in der Integration: Moderne Fintech-Agenten orchestrieren diese Schritte über mehrere Systeme hinweg, statt nur ein isoliertes Scoring-Modell auszuführen. Die BaFin-Leitlinie fordert explizit, dass solche Systeme auditierbar und in bestehende Kontrollstrukturen integrierbar sein müssen.

Dokumentenverarbeitung und Protokollerstellung – also die Bereiche, in denen die Commerzbank Banking Automation ebenfalls vorantreibt – klingen nach Back-Office-Detail. Sind sie nicht. Ein Agent, der ein 45-minütiges Kundengespräch protokolliert, regulatory-relevante Aussagen flaggt und das Dokument direkt im CRM ablegt, spart nicht nur Zeit. Er erzeugt auch einen lückenlosen Nachweis, den Revisoren und Regulatoren einfordern können.

Internationale Perspektive: Was deutsche Banken von anderen Märkten lernen können

Ein Blick über den deutschen Tellerrand zeigt: Banking Automation durch KI-Agenten ist kein rein europäisches Phänomen, aber die Ausgangsbedingungen unterscheiden sich erheblich. In den USA experimentieren Großbanken wie JPMorgan Chase seit mehreren Jahren mit LLM-gestützten Agenten in der Rechts- und Vertragsabteilung – mit dem wesentlichen Unterschied, dass ein federal einheitlicher Regulierungsrahmen für KI im Finanzsektor bislang fehlt. Was kurzfristig schnellere Piloten ermöglicht, führt mittelfristig zu Fragmentierung: Banken, die in mehreren US-Bundesstaaten operieren, navigieren divergierende Anforderungen, die einen erheblichen Compliance-Overhead erzeugen.

Singapur und die MAS – Monetary Authority of Singapore – verfolgen einen explizit prinzipienbasierten Ansatz: Statt detaillierter Regelwerke setzt die Aufsicht auf Outcome-Orientierung und lässt Institute bei der konkreten Umsetzung flexibel. Das klingt attraktiv, schafft aber eigene Risiken: Ohne klare Prozessvorgaben entstehen sehr unterschiedliche Governance-Standards zwischen einzelnen Instituten, was regulatorische Vergleichbarkeit erschwert.

Der deutsche und europäische Weg – DORA plus BaFin-Leitlinie – ist vergleichsweise prescriptiv, aber auch vergleichsweise planbar. Banken, die heute in saubere Inventare und Audit-Strukturen investieren, bauen eine Compliance-Infrastruktur auf, die für künftige Agenten-Generationen wiederverwendbar ist. Das ist kein Nachteil, auch wenn es sich in Pilotphasen so anfühlt.

Personalfragen: Was Agenten für Bankmitarbeitende tatsächlich bedeuten

Die Debatte um KI-Agenten und Beschäftigung wird selten differenziert genug geführt. Pauschale Aussagen über tausende wegfallende Stellen helfen weder Mitarbeitenden noch Führungskräften bei konkreten Entscheidungen. Was lässt sich realistisch einschätzen?

Erstens: Die Agenten, die aktuell im Einsatz sind, automatisieren vor allem repetitive Informationsarbeit – Policy-Navigation, Dokumentensuche, strukturierte Protokollierung. Das entlastet Mitarbeitende in Funktionen, die ohnehin unter hohem Zeitdruck stehen. Ein Compliance-Analyst, der täglich mehrere Stunden mit der Suche nach internen Richtlinien verbringt, kann diese Zeit künftig in Interpretation und Urteilsbildung investieren – Tätigkeiten, die keine Maschine übernehmen kann.

Zweitens: Neue Rollen entstehen. Jemand muss Agenten konfigurieren, überwachen, ihre Ausgaben prüfen und in Governance-Strukturen einbetten. Die Nachfrage nach Profilen, die juristische Compliance-Expertise mit technischem Verständnis für KI-Systeme verbinden, wächst erkennbar. Institute, die früh in solche Qualifikationen investieren, schaffen sich mittelfristig einen Vorteil – nicht nur regulatorisch, sondern auch im Wettbewerb um Fachkräfte.

Drittens: Die sozialen und betrieblichen Auswirkungen hängen stark davon ab, wie transparent und partizipativ Banken den Einführungsprozess gestalten. Mitarbeitende, die frühzeitig in Pilot-Design und Feedbackschleifen einbezogen werden, entwickeln erfahrungsgemäß eine konstruktivere Haltung zu den neuen Werkzeugen als solche, denen fertige Systeme von oben übergestülpt werden.

Die Mythen, die Schluss haben müssen

Mythos eins: „KI-Agenten ersetzen Compliance-Teams.“ Nein. Sie entlasten sie. Die regulatorische Verantwortung – und die Haftung – bleibt beim Menschen. BaFin und DORA lassen keinen Raum für Interpretationen: Banken können Verantwortung nicht auf ein KI-System auslagern.

Mythos zwei: „Vollautonome KI-Agenten sind im Einsatz.“ Die Commerzbank ist hier bemerkenswert klar: Der Autonomiegrad bleibt strikt in menschlicher Hand. Kein einziges öffentlich belegtes Projekt einer deutschen Großbank zeigt KI-Agenten, die ohne menschliche Endkontrolle produktiv Kreditentscheidungen treffen oder Portfolios handeln.

Mythos drei: „Kleine Banken und Fintechs können das nicht stemmen.“ Falsch. Das Projekt Aggie basiert auf Kodex AI, einem Berliner Startup. Banking Automation via Fintech-Agenten ist kein Exklusivprojekt der systemrelevanten Banken. Die Frage ist, welche Governance-Strukturen kleinere Institute um solche Tools herum aufbauen können – und da liegt tatsächlich noch Nachholbedarf.

Mythos vier: „Regulierung bremst Innovation.“ Die harte Wahrheit ist komplizierter. Projekte wie Visa Agentic Ready zeigen, dass regulierte Umgebungen durchaus experimentierfreudig sein können – solange klare Verantwortlichkeiten definiert sind. DORA und BaFin-Leitlinien schaffen Planungssicherheit, die für Investitionsentscheidungen wichtiger ist als regulierungsfreie Graubereiche.

Was Banken, Fintechs und IT-Teams jetzt konkret tun müssen

Meine persönliche Einschätzung: Wer 2026 noch kein KI-Inventar nach BaFin-Anforderungen aufgebaut hat, wird in den nächsten Prüfungszyklen unangenehme Gespräche führen. Das ist keine Panikmache, das ist Lesen der Leitlinie.

Konkret bedeutet das: Jeder produktive KI-Agent – ob intern entwickelt oder als Drittanbieter-Tool eingekauft – muss im Inventar stehen, mit dokumentiertem Risikolevel, klaren Verantwortlichkeiten und definierten Eskalationswegen. Wer Sherlock-ähnliche Richtlinien-Agenten einführt, braucht vorher eine Antwort auf die Frage: Was passiert, wenn der Agent eine Richtlinie falsch interpretiert und ein Mitarbeitender dieser Interpretation folgt?

Für Fintech-Agenten im Bereich Banking Automation gilt: Prompt-Logging ist kein Nice-to-have, sondern Audit-Pflicht. Jede Agenten-Interaktion, die regulatory-relevante Entscheidungen vorbereitet, muss nachvollziehbar sein. Das gilt für Aggie, das gilt für Sherlock, das gilt für jeden LLM-basierten Dokumenten-Workflow.

Teams, die jetzt konkrete Use Cases evaluieren, sollten mit eng eingegrenzten Piloten starten: Dokumentenverarbeitung, interne Policy-Navigation, Protokollerstellung. Diese Bereiche bieten messbaren Nutzen bei überschaubarem Regulierungsrisiko. Betrugsprävention und agentic Payments erfordern tiefere Governance-Strukturen und sind nichts für einen Drei-Monats-Pilot ohne klares Haftungskonzept.

Was bleibt

Deutsche Bank und Commerzbank zeigen, dass KI-Agenten im Banking kein Zukunftsversprechen mehr sind. Debbie, Aggie, Sherlock, der Betrugs-Agent – das sind produktive oder pilotierte Systeme, keine Konzeptpapiere. Regulatory Compliance wird dabei nicht ausgelagert, sondern durch Banking Automation operativ beschleunigt. Der Unterschied ist entscheidend.

Gleichzeitig sind die offenen Fragen nicht kleiner geworden: Wie skaliert Visa Agentic Ready in eine Welt, in der Millionen von KI-Agenten täglich Zahlungen initiieren? Wie definieren Regulatoren Haftung, wenn ein Agenten-Fehler eine Kettenreaktion durch mehrere orchestrierte Systeme auslöst? Und: Wann entscheidet sich die BaFin, die bisherigen generischen Rahmen durch explizite Agenten-Governance zu schärfen?

Was ist Ihre Einschätzung – ist das Tempo der regulatorischen Anpassung schnell genug für das, was Fintech-Agenten in den nächsten zwei Jahren leisten werden?