Zum Inhalt springen
Finanzen & FinTech

BaFinTech 2025: KI, Quantencomputing und digitaler Euro – 3 Pflicht-Workstreams für FinTechs

BaFinTech 2025, digitaler Euro – BaFinTech 2025 Konferenz Berlin – KI-Regulierung und digitaler Euro auf der Aufsichts-Agenda
BaFin und Bundesbank haben auf dem EUREF-Campus Berlin die regulatorischen Prioritäten der nächsten Jahre gesetzt. (Symbolbild)

Am 2. und 3. Juli 2025 hat BaFin-Präsident Mark Branson auf dem EUREF-Campus Berlin eine bemerkenswert deutliche Botschaft übermittelt: Wer als FinTech keine robuste KI-Governance aufbaut, keine Kryptostrategie gegen Quantenangriffe entwickelt und den digitalen Euro ignoriert, spielt regulatorisches Roulette. Die BaFinTech 2025 ist mehr als eine Konferenz – sie ist ein Erwartungshorizont mit Konsequenzen.

BaFinTech 2025: Was BaFin und Bundesbank konkret auf den Tisch gelegt haben

Zwei Tage, ein Ort, drei große Themenkomplexe. BaFin und Deutsche Bundesbank haben die BaFinTech 2025 auf dem EUREF-Campus Berlin als gemeinsame Plattform genutzt, um der Branche ihre regulatorischen Prioritäten für die nächsten Jahre zu signalisieren. Das Programm und die Vortragsunterlagen sind öffentlich abrufbar – wer sie noch nicht studiert hat, sollte das spätestens jetzt nachholen.

BaFin-Präsident Mark Branson formulierte es in seiner Rede „Wir wollen digitalen Fortschritt ermöglichen“ so: Technologien wie KI, Distributed Ledger und Quantencomputing entwickelten sich „rasend schnell“ und brächten „erhebliche Risiken“ mit sich. Kryptowerte könnten gefährliche Rückkopplungen in das klassische Finanzsystem erzeugen. Das klingt nach Warnung – und ist es auch.

Was bedeutet das konkret für FinTechs? Rechnen wir nach: Drei Regulierungsbaustellen gleichzeitig – KI-Governance unter DORA, quantensichere Kryptografie und digitaler Euro – verlangen Ressourcen, Planung und Vorlauf. Institute, die jetzt nicht mit einer strukturierten Roadmap beginnen, werden in 24 bis 36 Monaten im Hintertreffen sein.

KI unter DORA: Die BaFin-Orientierungshilfe ist kein Tipp, sondern ein Signal

Zum 1. Januar 2025 wurde der Digital Operational Resilience Act (DORA) anwendbar. Das ist kein Neuigkeitswert mehr. Der Haken liegt im Detail: KI-Systeme gelten unter DORA als IKT-Assets – und damit unterliegen sie denselben Anforderungen an Governance, Monitoring und Drittparteienmanagement wie jede andere kritische Software-Komponente.

Die BaFin hat am 18. Dezember 2025 eine Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen veröffentlicht. Sie ist formal unverbindlich. Ich sage dennoch: Wer sie ignoriert, verhält sich wie jemand, der die Kommentare eines Prüfers in der Halbzeitpause übergeht. Formal nein, strategisch fatal.

Die Orientierungshilfe benennt fünf Kernbereiche: Risikoklassifizierung von KI-Systemen, Governance-Strukturen, Modellüberwachung, Datensicherheit und Third-Party-Risiken. Besonders der letzte Punkt hat es in sich. BaFin-Exekutivdirektor Nikolas Speer warnte im Dezember 2025 explizit vor Konzentrationsrisiken in KI-Ökosystemen: Wenn fünf FinTechs dasselbe Cloud-KI-Modell eines einzigen Hyperscalers für Kreditentscheidungen nutzen, entsteht ein systemisches Risiko, das über das einzelne Institut weit hinausgeht.

Was FinTechs konkret dokumentieren müssen

Laut BaFin-Orientierungshilfe erwartet die Aufsicht mindestens: eine Modellbeschreibung inklusive Zweck, Angaben zur Datenherkunft und Qualitätsprüfung, eine formelle Risikobewertung, ein Monitoring-Konzept sowie Vertragsmanagement für Cloud- und Drittanbieter-Modelle. Zum Vergleich: Wer heute für ein Kreditvergabemodell keine dieser Unterlagen vorhalten kann, sitzt vor einer Prüfung buchstäblich mit leeren Händen.

Branson nannte in seiner Rede auch ungerechtfertigte Diskriminierung durch KI-Systeme als konkretes Aufsichtsrisiko. Das ist kein philosophisches Problem, sondern ein Haftungsthema. Ein Ratingmodell, das systematisch bestimmte Kundengruppen benachteiligt, kann sowohl aufsichtsrechtliche als auch zivilrechtliche Konsequenzen nach sich ziehen – stichwort Paragraphen 19 AGG und DORA-Artikel 28 zu Third-Party-Risiken.

Regulatorische KI-Anforderungen: Zwischen EU-AI-Act und DORA-Praxis

Vorsicht vor einem verbreiteten Irrtum: Es gibt längst konkrete regulatorische KI-Anforderungen für Finanzunternehmen in Deutschland. DORA ist anwendbar, die Orientierungshilfe liegt vor. Wer behauptet, es gebe „noch keine Vorgaben“, liegt falsch.

Die regulatorischen KI-Anforderungen werden sich allerdings weiterentwickeln. Der EU-AI-Act, der stufenweise in Kraft tritt, ergänzt die sektoralen DORA-Regeln. Für Hochrisiko-KI-Systeme – dazu zählen etwa Kreditscoring-Modelle oder Systeme zur Betrugserkennung mit automatischer Entscheidung – gelten besonders strenge Anforderungen an Transparenz und menschliche Aufsicht. Die genaue Aufsichtspraxis der BaFin unter dem EU-AI-Act entwickelt sich noch, der Rahmen aber steht.

Rechnen wir nach, was das für ein mittelgroßes Payment-FinTech mit drei KI-gestützten Produkten bedeutet: Ein externer Compliance-Audit für DORA-Konformität kostet je nach Scope zwischen 25.000 und 80.000 Euro. Die interne Dokumentation – Modellbeschreibungen, Risikobewertungen, Monitoring-Konzepte – bindet bei drei Systemen realistisch zwei bis vier Personenmonate. Wer das auf die lange Bank schiebt, zahlt später den doppelten Preis, weil Nachbesserungen unter Aufsichtsdruck teurer sind als vorausschauende Planung.

Governance-Strukturen in der Praxis: Wer trägt die Verantwortung?

Eine Frage, die in vielen FinTechs noch unbefriedigend geklärt ist: Wer im Unternehmen ist formal verantwortlich für den KI-Einsatz im Sinne von DORA? In der Praxis herrscht oft ein Graubereich zwischen IT, Produktteam und Compliance. Die BaFin erwartet hier klare Zuständigkeiten – nicht notwendigerweise einen dedizierten Chief AI Officer, aber mindestens eine benannte Funktion mit Dokumentations- und Berichtspflicht gegenüber der Geschäftsleitung. Fehlt diese Zuweisung, ist das bei einer Prüfung ein sofort sichtbares Governance-Defizit. Sinnvoll ist es, die KI-Verantwortung eng an das bestehende IKT-Risikomanagement-Framework anzudocken, das unter DORA ohnehin formalisiert sein muss. So entsteht kein Parallelapparat, sondern eine integrierte Struktur.

Wer sich fragt, wie andere Marktteilnehmer mit dem Spannungsfeld zwischen Innovationsgeschwindigkeit und regulatorischer Dokumentationspflicht umgehen, findet in der Debatte um neue Technologien im Finanzsektor und ihre Regulierungsfolgen einen hilfreichen Orientierungsrahmen für die eigene strategische Planung.

Quantencomputing: „Gesunde Paranoia“ als Aufsichtsmaxime

„Gesunde Paranoia entwickeln“ – mit dieser Formulierung überschrieb das Handelsblatt den BaFin-Auftritt zum Thema Quantencomputing. Branson warnte explizit: Quantencomputer könnten etablierte Verschlüsselungsverfahren überwinden, und die BaFin fordert Finanzinstitute auf, zügig quantensichere Kryptografie einzuführen.

Der Haken bei Quantencomputing-Risiken ist ihr Zeithorizont. Heute sind großskalige Angriffe auf Bankverschlüsselungen noch nicht realistisch. Aber Kryptosysteme haben lange Lebenszyklen. Wer jetzt Daten mit RSA-2048 verschlüsselt und speichert, riskiert, dass diese Daten in zehn Jahren gebrochen werden – das sogenannte „Harvest now, decrypt later“-Szenario. Die Aufsicht denkt in Systemrisiken, nicht in kurzfristigen Bedrohungsszenarien.

Marktanalysen empfehlen Migrationspfade zu post-quantum-sicherer Kryptografie bis 2030 bis 2035, beginnend mit den kritischsten Systemen. Konkret bedeutet das für FinTechs zunächst: ein vollständiges Kryptografie-Inventar erstellen. Wo wird welches Verfahren eingesetzt? TLS-Verbindungen, Datenbankencryption, API-Signaturen, Schlüsselspeicher – alles muss erfasst werden. Zum Vergleich: Institute, die dieses Inventar jetzt in drei bis sechs Monaten aufbauen, haben gegenüber denen, die 2028 damit anfangen, einen erheblichen Vorsprung – und deutlich geringere Migrationskosten.

Post-Quantum-Kryptografie: Drei Schritte für die Roadmap

Quantencomputing ist kein Randthema für Physiker mehr, sondern ein Punkt auf der Aufsichts-Agenda. Die Bundesbank hat das Thema explizit in den BaFinTech-2025-Rahmen aufgenommen. Praktisch heißt das für Compliance-Leiter: Erstens, das Kryptografie-Inventar anlegen. Zweitens, Migrationspfade für kritische Systeme (Zahlungsverkehr, Schlüsselverwaltung, Kernbankensysteme) bis etwa 2030 definieren. Drittens, Quantenrisiken formal in das ICT-Risk-Management und das Operational-Resilience-Framework einbinden – was unter DORA ohnehin Pflicht ist.

Die gute Nachricht: Das National Institute of Standards and Technology (NIST) hat erste Post-Quantum-Kryptografie-Standards verabschiedet, darunter ML-KEM (ehemals CRYSTALS-Kyber) und ML-DSA (ehemals CRYSTALS-Dilithium). FinTechs können also auf existierenden Standards aufbauen, statt auf proprietäre Lösungen zu wetten.

Gegenargument: Ist der Aufwand schon jetzt gerechtfertigt?

Ein häufig gehörtes Gegenargument in internen Budgetdiskussionen lautet: Kryptografisch relevante Quantencomputer sind noch Jahre entfernt – warum heute investieren? Die Antwort ist pragmatisch: Weil die Migration von Kryptosystemen in komplexen Finanzinfrastrukturen erfahrungsgemäß drei bis sieben Jahre dauert. Wer 2027 mit dem Inventar beginnt, wird 2032 unter Zeitdruck migrieren müssen – genau dann, wenn das Bedrohungsfenster sich öffnen könnte. Hinzu kommt, dass Aufsichtsbehörden bereits heute Nachweise über die Auseinandersetzung mit Quantenrisiken erwarten. Fehlende Dokumentation ist ein unmittelbares Governance-Defizit, auch ohne akute Bedrohung.

Compliance-Mitarbeiterin prüft Kryptografie-Inventar für Post-Quantum-Migration im FinTech
Kryptografie-Inventar und Post-Quantum-Roadmap: Für FinTechs sind das keine Optionen mehr, sondern Aufsichtserwartungen. (Symbolbild)

Digitaler Euro: Neue Infrastruktur, neue Compliance-Pflichten

Der digitale Euro steht auf der BaFinTech-2025-Agenda als drittes großes Thema. Bundesbank und BaFin diskutieren dabei vor allem Ausgestaltung, Rolle der Banken und Interaktion mit Girokonten und Zahlungsdienstleistern. Eines vorab: Der digitale Euro ersetzt kurzfristig weder Bargeld noch Girokonten. Bundesbank und EZB positionieren ihn explizit als Ergänzung zum bestehenden System.

Für FinTechs im Payment-Bereich ist der digitale Euro dennoch strategisch relevant. Sie können als Intermediäre fungieren – als Wallet-Provider, als Anbieter von Value-Added-Services auf Basis der Notenbankwährungs-Infrastruktur. Der Haken: Wer diese Rolle übernimmt, muss Eurosystem-Regeln zu Limits, Anti-Geldwäsche und Datenschutz technisch präzise implementieren. Fehler in der API-Integration sind keine technischen Schlampigkeiten mehr, sondern Compliance-Risiken.

Die finale Ausgestaltung – Haltelimits, Offline-Zahlungsfunktionalität, genaue Geschäftsmodelle für Intermediäre – hängt von EU-Gesetzgebung und EZB-Implementierungsentscheidungen ab. Viele Details sind Ende 2025 noch offen. Was unter dem Strich aber jetzt schon feststeht: FinTechs, die mit dem digitalen Euro Geschäfte machen wollen, brauchen frühzeitig eine technische und regulatorische Readiness-Analyse. Wer erst startet, wenn das Gesetz final ist, kommt zu spät.

Interoperabilität als Wettbewerbsfaktor

Interoperabilität mit bestehenden Instant-Payment-Lösungen ist ein zentrales Thema im BaFinTech-2025-Rahmen der Bundesbank. Wer heute bereits SEPA-Instant-konform operiert und saubere API-Architekturen betreibt, hat einen strukturellen Vorteil bei der späteren Integration des digitalen Euro. Zum Vergleich: Institute mit monolithischen Legacy-Systemen werden für die technische Anbindung deutlich höhere Integrationskosten tragen – realistisch fünf- bis sechsstellige Eurobeträge allein für API-Anpassungen und Compliance-Tests.

Datenschutz als besondere Herausforderung beim digitalen Euro

Neben technischer Interoperabilität stellt der Datenschutz eine eigenständige Herausforderung dar, die auf der BaFinTech 2025 explizit thematisiert wurde. Anders als bei klassischen Kartenzahlungen soll der digitale Euro ein hohes Maß an Privatsphärenschutz bieten – vergleichbar mit Bargeld. Das klingt komfortabel, erzeugt aber für FinTechs als Intermediäre ein regulatorisches Spannungsfeld: Einerseits AML-Pflichten und Transaktionsmonitoring, andererseits Datensparsamkeitsanforderungen aus dem Eurosystem-Design. Wie genau dieser Widerspruch technisch aufgelöst wird – etwa über Zero-Knowledge-Proofs oder selektive Offenlegungsmechanismen – ist noch nicht final definiert. FinTechs sollten diesen Punkt aktiv verfolgen und ihre Compliance-Architektur so flexibel gestalten, dass spätere Anpassungen keine Kernsystemeingriffe erfordern.

Was die drei Agendapunkte gemeinsam haben – und warum das kein Zufall ist

KI-Risiken, Quantencomputing und digitaler Euro: Auf den ersten Blick wirken das wie drei getrennte Technologiethemen. Unter dem Strich verfolgen BaFin und Bundesbank aber eine konsistente Logik. Alle drei Bereiche stehen für Technologien mit langen Vorlaufzeiten, systemischen Risikopotenzialen und erheblichen Investitionsbedarfen. Die Aufsicht will frühzeitig, dass Finanzinstitute diese Themen strukturiert angehen – und nicht reaktiv, wenn ein Vorfall Schlagzeilen macht.

Meine persönliche Einschätzung: Die BaFinTech 2025 ist die deutlichste Botschaft der deutschen Finanzaufsicht in Richtung FinTechs seit Jahren. Wer die Orientierungshilfe zu KI-IKT-Risiken nur als freundlichen Hinweis liest, hat das Kaliber dieser Signale nicht verstanden. BaFin kommuniziert Erwartungshorizonte, keine Wünsche.

Für Compliance-Leiter bedeutet das konkret: drei separate Workstreams aufsetzen. KI-Governance mit DORA-Mapping, Kryptografie-Inventar mit Post-Quantum-Roadmap, digitaler-Euro-Readiness-Analyse. Diese drei Workstreams können parallel laufen, teilen aber ein gemeinsames Element: Sie brauchen Vorstandsunterstützung und Budget, keine Ad-hoc-Beauftragungen an überarbeitete Entwicklerteams.

Ressourcenplanung: Wie viel Zeit bleibt realistisch?

Eine häufig unterschätzte Dimension ist der tatsächliche Zeitbedarf für den Aufbau belastbarer Compliance-Strukturen in allen drei Bereichen. Wer die drei Workstreams seriell abarbeitet – erst KI, dann Kryptografie, dann digitaler Euro – wird mindestens vier bis fünf Jahre benötigen. Parallel laufende Workstreams verkürzen diesen Horizont, erfordern aber klare Priorisierung und ausreichend personelle Kapazität. Eine realistische Einschätzung: Ein FinTech mit 50 bis 150 Mitarbeitern, das alle drei Themen ernsthaft angeht, sollte mit einem zusätzlichen Compliance- und Technik-Aufwand von mindestens einem bis zwei Vollzeit-Äquivalenten über 18 bis 24 Monate rechnen. Das ist kein Argument gegen die Investition – sondern ein Argument dafür, sie im nächsten Budgetgespräch mit konkreten Zahlen zu unterlegen.

Checkliste: Was FinTechs jetzt tun sollten

  • KI-Governance aufbauen: Alle eingesetzten KI-Systeme als IKT-Assets nach DORA klassifizieren, Modellbeschreibungen, Risikobewertungen und Monitoring-Konzepte dokumentieren.
  • Third-Party-KI-Risiken prüfen: Abhängigkeiten von einzelnen Cloud-KI-Anbietern analysieren, Konzentrationsrisiken bewerten, Exit-Szenarien definieren.
  • Kryptografie-Inventar erstellen: Alle eingesetzten Verschlüsselungsverfahren erfassen – TLS, Datenbankencryption, Schlüsselverwaltung, API-Signaturen.
  • Post-Quantum-Roadmap entwickeln: Migrationspfade für kritische Systeme bis 2030 auf Basis der NIST-Standards (ML-KEM, ML-DSA) definieren.
  • Digitaler-Euro-Readiness prüfen: Analyse, ob und in welcher Rolle das eigene Geschäftsmodell Berührungspunkte mit dem digitalen Euro hat; API-Architekturen auf Kompatibilität mit Instant-Payment-Infrastruktur prüfen.
  • Regulatorische KI-Anforderungen laufend tracken: EU-AI-Act-Zeitplan und BaFin-Veröffentlichungen systematisch in den Compliance-Kalender aufnehmen.
  • Governance-Zuständigkeiten klar zuweisen: Benannte Verantwortlichkeit für KI-Risikomanagement innerhalb des bestehenden IKT-Governance-Rahmens formalisieren und schriftlich dokumentieren.

Was bleibt: Drei Technologien, eine Frist

Die BaFinTech 2025 hat keinen neuen Paragraphen in Kraft gesetzt. Sie hat aber klargemacht, wo die Reise in der deutschen Finanzaufsicht hingeht. Regulatorische KI-Anforderungen sind keine Zukunftsmusik mehr, sie sind Gegenwartsrecht unter DORA. Quantencomputing ist ein Emerging Risk mit strategischem Vorlauf. Und der digitale Euro kommt – mit welchen Details auch immer.

Ich finde: Die Kombination dieser drei Agendapunkte ist kein Zufall. Sie beschreibt exakt die Technologieschichten, die in den nächsten fünf bis zehn Jahren das Fundament des digitalen Finanzsystems neu kalibrieren werden. FinTechs, die jetzt mit strukturierter Planung starten, kaufen sich Rendite auf ihre Compliance-Investitionen. Wer wartet, kauft sich Druck.

Welchen der drei Workstreams hat Ihr Unternehmen schon konkret gestartet – und was ist der größte interne Widerstand dabei?

Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.