KI-Agenten im Finanzsektor: Neue Compliance-Pflichten und Haftungsverantwortung

KI-Agenten genehmigen Zahlungen, prüfen Kreditanträge, steuern das Underwriting. Klingt effizient. Ist es auch – bis etwas schiefläuft. Dann stellt sich eine Frage, die bisher kaum jemand sauber beantwortet hat: Wer trägt die Haftung?

Klartext: Der regulatorische Druck ist längst da

Seien wir ehrlich: Das Narrativ, KI-Agenten seien ein rechtlich noch weitgehend unerschlossenes Terrain, ist falsch. Es war von Anfang an falsch. DSGVO, DORA, sektorale Finanzaufsicht durch BaFin, EIOPA und ESMA, dazu der EU AI Act – all diese Rahmenwerke greifen bereits heute vollständig für autonome Agenten in Finanz- und Versicherungsprozessen. Der Unterschied zu früheren Generationen statischer KI-Modelle liegt nicht im regulatorischen Vakuum, sondern in der Komplexität der neuen Systeme. Schluss damit, das als offene Frage zu behandeln.

Der EU AI Act, seit 2024 im EU-Amtsblatt, unterscheidet klar zwischen Provider – also dem Unternehmen, das das KI-System oder Modell bereitstellt – und Deployer, dem Unternehmen, das es im Geschäftsprozess einsetzt. Für Finanz- und Versicherungsanwendungen wie Kreditvergabe, Risikobewertung, Underwriting, Pricing und Schadenregulierung gilt fast durchgängig: Hochrisiko-KI-System. Das bedeutet strenge Anforderungen an Risikomanagement, Datenqualität, Transparenz, menschliche Kontrolle und laufendes Monitoring.

Und wer glaubt, der AI Act ersetzt die anderen Regulierungen? Irrtum. Er ergänzt sie. Unternehmen müssen eine Mehrschicht-Compliance abbilden: AI Act plus Datenschutz plus Finanzregulatorik plus IKT-Security. Wer nur eine Schicht bedient, ist regulatorisch nackt.

Haftungsverantwortung: Die unbequeme Wahrheit

Ein KI-Agent trifft eine fehlerhafte Kreditentscheidung. Wer zahlt? Die harte Wahrheit: KI-Agenten haben keine eigene Rechtspersönlichkeit. Punkt. Sie können keine Haftung tragen. Die Verantwortung liegt beim Deployer – also bei der Bank oder dem Versicherer, der den Agenten einsetzt – und beim Provider, sofern ein Fehler im Systemdesign oder Training nachweisbar ist.

Das klingt banal, hat aber drastische operative Konsequenzen. Jede autonome Entscheidung eines Agenten ist dem Unternehmen zuzurechnen. Jede. Das gilt für die automatisch freigegebene Zahlung ebenso wie für das KI-gestützte Underwriting-Ergebnis. Wer das nicht durch laufende Überwachung, Audit-Trails und klare Governance-Strukturen absichert, riskiert im Streitfall massive Haftungsrisiken ohne Ausweichmöglichkeit.

Meine persönliche Einschätzung: Die meisten Finanzinstitute unterschätzen dieses Risiko strukturell. Nicht weil sie fahrlässig sind, sondern weil die operativen Teams und die Rechtsabteilungen oft noch nicht dieselbe Sprache sprechen. IT denkt in Systemen, Juristen denken in Verantwortlichkeiten. Agenten-Compliance braucht beides gleichzeitig.

Einschlägige Rechtsberatung für Versicherer – etwa von KPMG Law oder Kanzlei Michaelis – empfiehlt deshalb, KI-Richtlinien und ein systematisches KI-Risikomanagement als Pflichtbestandteil der Unternehmens-Governance zu etablieren. Dokumentation aller eingesetzten Systeme, klare Zuweisung von Verantwortlichkeiten, regelmäßige Audits. Das ist keine Empfehlung mehr, das ist der Mindeststandard, den Aufsichtsbehörden erwarten.

Haftungskonflikte zwischen Provider und Deployer

Ein in der Praxis noch wenig diskutierter Aspekt der Haftungsverantwortung ist die Frage, wie Provider- und Deployer-Haftung im Streitfall tatsächlich abgegrenzt wird. Wenn ein KI-Agent eine fehlerhafte Risikobewertung liefert, weil das Trainingsmodell des Providers systematisch verzerrte Daten enthielt, liegt die primäre Verantwortung beim Provider. Wenn dieselbe fehlerhafte Entscheidung darauf zurückzuführen ist, dass der Deployer unzureichende Qualitätsprüfungen vorgeschaltet hat oder den Agenten ohne ausreichende menschliche Kontrollpunkte produktiv gestellt hat, liegt sie beim Deployer. In der Realität werden beide Ebenen häufig vermischt – und genau das macht die vertragliche Gestaltung zwischen Provider und Deployer zu einem zentralen Compliance-Baustein.

Praktisch bedeutet das: Wer als Finanzinstitut einen KI-Agenten einer externen Plattform einsetzt, muss im Vertrag präzise regeln, welche Sorgfaltspflichten der Provider übernimmt, welche Nachweise er zur Modellqualität liefert und welche Eskalationswege im Fehlerfall gelten. Fehlt diese vertragliche Grundlage, trägt der Deployer im Zweifel das volle Risiko – unabhängig davon, wo der Fehler tatsächlich entstanden ist.

DORA: Wenn Agenten-Fehler zu Systemausfällen werden

Der Digital Operational Resilience Act gilt für Banken, Versicherungen und weitere Finanzakteure – und er ist seit Januar 2025 in Kraft. Was viele noch nicht vollständig begriffen haben: KI-Agenten müssen explizit in das IKT-Risikomanagement-Framework eines Unternehmens integriert werden. Nicht optional. Nicht irgendwann. Jetzt.

Die spezifischen Herausforderungen für Agenten-Architekturen unter DORA gehen weit über klassische IT-Security hinaus. Szenarien wie Multi-Turn Prompt Injection, Tool-Misuse, Memory-Poisoning und Agent-zu-Agenten-Kaskadenfehler müssen in Resilience-Tests abgebildet werden. Wer seinen Penetrationstest noch auf klassische Angriffsvektoren beschränkt und glaubt, damit DORA-konform zu sein, hat die neue Realität nicht verstanden.

Praktisch bedeutet das: Bestehende Testprozesse müssen um agentische Angriffsszenarien erweitert werden. Backup-Szenarien für fehlverhaltende Agenten müssen definiert, dokumentiert und regelmäßig getestet sein. Recovery-Mechanismen brauchen explizite Logging-Strukturen, damit im Aufsichtsfall nachvollziehbar ist, was der Agent wann entschieden hat und warum.

Adoption läuft – Governance hinkt hinterher

Die Zahlen sprechen eine klare Sprache. Laut einer Celent-Umfrage unter nordamerikanischen Versicherern aus März 2025 verfügen bereits 44 Prozent über GenAI-basierte Lösungen in Produktion. Weitere 38 Prozent planen die Implementierung innerhalb eines Jahres. Deloitte sieht signifikante Auswirkungen auf Risiko- und Compliance-Funktionen: KI wird in KYC, AML, Betrugserkennung und regulatorischem Reporting eingesetzt – und zwar nicht mehr nur pilotweise.

Das Problem: Die Governance-Strukturen halten mit dieser Geschwindigkeit nicht Schritt. Autonome Agenten werden in Geschäftsprozesse integriert, bevor das Agenten-Register steht. Vor bevor die Risikoklassifizierung abgeschlossen ist. Manchmal sogar bevor überhaupt jemand geprüft hat, ob der Use-Case unter den AI Act als Hochrisiko-Anwendung fällt.

Was Fachbeiträge als Best Practice empfehlen, ist dabei erschreckend simpel und gleichzeitig erschreckend selten umgesetzt: ein vollständiges Agenten-Register mit Zweck, Datenquellen, Berechtigungen, Verantwortlichen und externen Abhängigkeiten. Jeder Agent erhält eine individuelle Identität, statt über generische Service-Accounts oder geteilte API-Keys zu operieren. Das klingt nach IT-Hygiene – ist aber der Kern jeder belastbaren Agenten-Compliance.

Finanzregulatoren stellen konkrete Anforderungen

Was erwarten BaFin, EIOPA und ESMA konkret? Die Antwort ist nuancierter, als viele erwarten. Konkrete aufsichtsbehördliche Leitlinien für agentische KI im Detail befinden sich teilweise noch in Ausarbeitung. Aber der Rahmen ist klar: Finanzregulatoren erwarten, dass Unternehmen neue Technologien in bestehende Governance-Strukturen einbetten, nicht daneben.

Das bedeutet für Finanzinstitute, die Agenten für Zahlungsfreigaben oder Risikomanagement einsetzen: Use-Case-basierte Risikoanalyse nach AI Act, Integration in DORA-konformes IKT-Risikomanagement, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bei personenbezogenen Daten. Und für alle Hochrisiko-Anwendungen: klar definierte menschliche Kontrollpunkte. Eskalationsmechanismen bei Unsicherheiten. Regelmäßige Audits der Agenten-Outputs.

EIOPA und ESMA treiben zusätzlich die Transparenzanforderungen gegenüber Kunden voran: Wenn KI-gestützte Entscheidungen Pricing oder Schadenprüfung beeinflussen, müssen Kunden das nachvollziehen können. Das ist keine abstrakte ethische Forderung, sondern regulatorisch verankert – und für Agenten, die tief in Kernprozesse eingebunden sind, eine operative Herausforderung.

Was „Compliance by Design“ für Agenten bedeutet

Kiteworks formuliert es treffend: Konforme KI ist keine Produktzertifizierung. Sie ist eine Governance-Haltung. Jede Agenten-Interaktion mit sensiblen Daten muss authentifiziert, policy-gesteuert und lückenlos auditierbar sein. Aufsichtsbehörden regulieren Datenzugriffe und Entscheidungsprozesse, nicht einzelne Modellversionen. Das ist der Kern: Wer fragt, welche LLM-Version er einsetzen darf, stellt die falsche Frage. Wer fragt, wie er Datenzugriff, Audit-Trail und Policy-Enforcement seiner Agenten absichert, ist auf dem richtigen Weg.

Least Privilege für Agenten ist dabei nicht verhandelbar. Ein Agent, der Kreditanträge bearbeitet, braucht keinen Zugriff auf das gesamte CRM-System. Ein Agent, der regulatorische Reports erstellt, braucht keine Schreibrechte auf Kernbankensystemen. Das klingt offensichtlich – in der Praxis sieht es oft anders aus, weil Agenten-Deployments unter Zeitdruck stattfinden und Berechtigungsmodelle nachträglich kaum noch sauber einzuziehen sind.

Praxis-Szenario: Wenn ein Underwriting-Agent eskaliert

Ein konkretes, wenn auch vereinfachtes Szenario verdeutlicht, wo Compliance by Design in der Praxis greift: Ein Versicherer setzt einen Underwriting-Agenten ein, der Risikoeinschätzungen für gewerbliche Kunden automatisch erstellt und bei Standardfällen direkt eine Prämienempfehlung ausspielt. Der Agent arbeitet mit historischen Schadendaten, externen Bonitätssignalen und internen Underwriting-Guidelines.

Nun trifft der Agent auf einen Grenzfall: Ein Unternehmen mit ungewöhnlicher Branchenkombination, für die historische Vergleichsdaten dünn sind. Ohne definierten Eskalationsmechanismus gibt der Agent eine Prämienempfehlung aus, die statistisch plausibel, aber fachlich fragwürdig ist. Der Underwriter, der den Fall formal freigibt, vertraut dem Agenten-Output ohne vertiefte Prüfung. Der Vertrag wird zu einer Prämie abgeschlossen, die das tatsächliche Risiko unterschätzt.

Compliance by Design hätte an dieser Stelle eingegriffen: Ein regelbasierter Schwellenwert für Datendichte hätte den Fall automatisch zur manuellen Prüfung eskaliert. Der Audit-Trail hätte die geringe Datenbasis dokumentiert. Und der verantwortliche Underwriter hätte eine explizite Freigabe mit Begründung dokumentieren müssen. Statt dessen entsteht ein Haftungsrisiko, das im Schadenfall vollständig beim Deployer liegt – mit lückenhafter Dokumentation als erschwerendem Faktor.

KI-Agenten als Compliance-Werkzeug – und als Risiko

Hier liegt eine interessante Spannung: Die gleichen Technologien, die neue Compliance-Anforderungen erzeugen, werden gleichzeitig zur Erfüllung dieser Anforderungen eingesetzt. Versicherer nutzen KI-Agenten zur Automatisierung regulatorischer Berichterstattung, etwa für ORSA, Solvency-II-Reports und Statusmeldungen an Aufsichtsbehörden. Banken setzen sie für AML-Screening und regulatorisches Reporting ein.

Das ist keine Ironie, das ist die operative Realität. Deloitte sieht KI gleichzeitig als Risikoquelle – wegen möglichem Bias, Intransparenz und Kontrollverlust – und als Compliance-Enabler durch automatisierte Überwachung und Frühwarnsysteme. Diese Doppelnatur macht die Agenten-Governance im Finanz- und Versicherungssektor besonders komplex: Das System, das die Compliance überwacht, muss selbst compliant sein.

Rhetorik beiseite: Wie stellt ein Versicherer sicher, dass der Agent, der seinen Solvency-II-Report erstellt, nicht auf Basis fehlerhafter oder verzerrter Daten arbeitet? Welche menschliche Kontrolle ist bei dieser Art von Automatisierung noch sinnvoll möglich? Das sind keine theoretischen Fragen mehr, das sind operative Probleme, die in Governance-Gremien auf den Tisch gehören.

Die operative Checkliste: Was Unternehmen jetzt umsetzen müssen

Meine persönliche Einschätzung nach allem, was die regulatorischen Stellungnahmen und Compliance-Diskussionen im Fintech-Sektor derzeit zeigen: Wer bis Ende 2026 kein strukturiertes Agenten-Governance-Modell hat, wird es schwer haben. Nicht nur mit Aufsichtsbehörden, sondern auch mit der eigenen Revision. Die folgenden Punkte sind dabei nicht optional.

• Agenten-Register aufbauen: Jeder produktive Agent mit Zweck, Datenquellen, Berechtigungen, Verantwortlichen und Abhängigkeiten dokumentieren. Kein Agent ohne individuelle Identität, keine geteilten API-Keys.
• Risikoklassifizierung durchführen: Use-Case-basierte Einordnung nach AI Act – Hochrisiko oder nicht? Für Kreditvergabe, Underwriting, Pricing, Schadenregulierung gilt in der Regel: Hochrisiko.
• Human Oversight definieren: Für welche Aktionen braucht es eine menschliche Freigabe? Wo reicht ein Schwellenwert mit automatischer Eskalation? Diese Entscheidungen müssen dokumentiert und regelmäßig überprüft werden.
• DSGVO-Folgenabschätzung: Bei Agenten mit Zugriff auf personenbezogene Daten ist eine DSFA nach Art. 35 DSGVO in der Regel Pflicht.
• DORA-konforme Resilience-Tests erweitern: Agenten-spezifische Angriffsszenarien – Prompt Injection, Tool-Misuse, Kaskadenfehler – in bestehende Testprozesse integrieren.
• Audit-Trail und Logging sicherstellen: Jede Agenten-Entscheidung muss nachvollziehbar sein – für interne Revision und Aufsichtsbehörden. Granularität ist hier kein Nice-to-have.
• Interdisziplinäres Governance-Modell etablieren: IT, Recht, Datenschutz, Compliance und Fachabteilungen müssen gemeinsam an der laufenden Überwachung beteiligt sein.
• Vertragsgestaltung mit Providern prüfen: Haftungsabgrenzung, Sorgfaltspflichten und Nachweisanforderungen gegenüber KI-Plattformanbietern vertraglich präzise regeln – bevor, nicht nach dem ersten Vorfall.

Der regulatorische Rahmen für Provider und Deployer unter dem EU AI Act ist dabei präzise genug, um konkrete technische Anforderungen abzuleiten – und gleichzeitig technologieneutral genug, um nicht an einzelne Plattformversionen gebunden zu sein. Das ist Absicht, keine Schwäche. Wer darauf wartet, dass Regulatoren ein spezifisches Agenten-Framework vorschreiben, wartet vergeblich.

Shadow AI als unterschätztes Risiko

Ein letzter Punkt, der in Compliance-Diskussionen oft untergeht: Shadow AI. Agenten, die ohne vollständiges Register, ohne Identitätsmanagement und ohne spezifische Angriffsszenarien im Testprozess produktiv gestellt werden, erzeugen erhebliche Schattenrisiken. Im Finanzsektor ist das keine abstrakte Gefahr, sondern ein reales operatives Problem. Je mehr Fachabteilungen direkt auf Agenten-Plattformen zugreifen können, ohne die IT oder Compliance einzubinden, desto größer wird der unkontrollierte Fußabdruck.

Schluss damit, das als rein technisches Problem zu behandeln. Shadow AI in Finanz- und Versicherungsunternehmen ist ein Governance-Problem. Es entsteht, wenn Prozesse für den Einsatz neuer Technologien nicht mit der Adoption-Geschwindigkeit Schritt halten. Die Lösung liegt nicht im Verbot, sondern in klaren, schnellen Freigabeprozessen kombiniert mit harten technischen Leitplanken.

Gegenargument: Überregulierung bremst Innovation

Es gibt ein legitimes Gegenargument, das in internen Governance-Diskussionen regelmäßig auftaucht: Zu viel Compliance-Overhead bremst die Innovationsgeschwindigkeit, gibt Wettbewerbern in weniger regulierten Märkten Vorteile und macht sinnvolle Automatisierungsprojekte wirtschaftlich unattraktiv. Dieses Argument ist nicht falsch – aber es zieht die falsche Schlussfolgerung.

Die Frage ist nicht, ob Agenten-Compliance notwendig ist, sondern wie sie effizient gestaltet wird. Governance-Strukturen, die als bürokratische Hürden konstruiert sind, bremsen tatsächlich. Governance-Strukturen, die als integrierter Bestandteil des Entwicklungs- und Deployment-Prozesses konzipiert sind – also Compliance by Design statt Compliance by Audit –, schaffen langfristig Wettbewerbsvorteile. Unternehmen, die frühzeitig robuste Agenten-Governance etablieren, werden regulatorische Prüfungen schneller durchlaufen, Audits effizienter gestalten und das Vertrauen von Kunden und Aufsichtsbehörden nachhaltiger aufbauen als solche, die Governance als nachgelagerten Prozess behandeln.

Was bleibt: Agenten-Compliance im Finanz- und Versicherungssektor ist kein Zukunftsprojekt mehr. Die regulatorischen Anforderungen existieren, die Haftungsfragen sind klar – und die operative Umsetzung hinkt in den meisten Häusern erkennbar hinterher. Wann zieht Ihr Unternehmen die Konsequenzen?