Zwei Tage EUREF-Campus, ein Programm, drei Buzzwords – und plötzlich wird aus vager Zukunftsmusik eine konkrete Aufsichtsagenda: BaFin und Bundesbank haben ihre BaFinTech 2025-Agenda um Künstliche Intelligenz, Quantencomputing und den digitalen Euro geschärft. Für FinTech-Gründer und Compliance-Leiter heißt das: Wer jetzt nicht rechnet, zahlt später drauf.
Berlin, EUREF-Campus, zwei Tage Zukunftsagenda
Am 2. und 3. Juli 2025 trafen sich Aufseher und Branchenvertreter auf dem EUREF-Campus in Berlin zur BaFinTech 2025 – organisiert gemeinsam von BaFin und Deutscher Bundesbank. Der Titel der Veranstaltung liest sich wie eine Prioritätenliste: KI, Quantumcomputing und digitaler Euro. Keine Zufallsauswahl, sondern eine bewusste Ansage an die Branche, welche drei Themen die Aufsicht in den kommenden Jahren am stärksten beschäftigen werden.
BaFin-Präsident Mark Branson nutzte seine Rede, um klarzumachen, dass die Aufsicht digitalen Fortschritt nicht ausbremsen, aber auch nicht blauäugig begleiten will. Er nannte drei Technologien mit, wie er es formulierte, großem disruptivem Potenzial: verteilte Ledger-Technologie, Künstliche Intelligenz und Quantencomputing. Interessant ist, wie konkret er die Risiken benannte – Quantencomputer könnten etablierte Verschlüsselungstechnologien überwinden, KI könne zu ungerechtfertigter Diskriminierung führen, und bei Kryptowerten drohten gefährliche Rückkopplungen ins klassische Finanzsystem.
Für ein FinTech-Startup, das gerade seine Series-A-Runde abschließt, klingt das erst einmal abstrakt. Unter dem Strich bedeutet es aber: BaFinTech 2025 ist keine Werbeveranstaltung für Innovation, sondern eine Roadmap mit Erwartungshaltung. Genau deshalb lohnt sich der Blick auf die einzelnen Bausteine – und darauf, was davon schon heute juristisch bindend ist und was noch Absichtserklärung bleibt.
Regulatorische KI-Anforderungen: DORA ist längst kein Ankündigungspapier mehr
Der wichtigste Fixpunkt heißt DORA – der Digital Operational Resilience Act der EU. Seit dem 17. Januar 2025 gilt die Verordnung vollständig, auch wenn viele FinTechs das im Alltag erst am eigenen Auditprozess merken. DORA behandelt IT-Systeme nicht mehr als Randthema, sondern als Kernrisiko der Finanzaufsicht – und KI-Systeme fallen explizit darunter.
Am 18. Dezember 2025 hat die BaFin eine Orientierungshilfe zu IKT-Risiken beim Einsatz von Künstlicher Intelligenz veröffentlicht. Formal ist das Papier unverbindlich, faktisch aber genau das, was Compliance-Abteilungen als Prüfmaßstab benutzen werden, wenn die nächste Aufsichtsanfrage kommt. Die regulatorischen KI-Anforderungen, die daraus entstehen, drehen sich um drei Punkte: Nachvollziehbarkeit von Entscheidungen, Dokumentation der eingesetzten Modelle und ein belastbares Management von Drittanbieter-Risiken.
Konkret heißt das für ein FinTech, das etwa Kreditscoring oder Betrugserkennung per KI automatisiert: Jede Modellentscheidung muss im Zweifel erklärbar sein, nicht nur statistisch plausibel. Wer ein fremdes Sprachmodell für Kundenkommunikation oder Risikoeinschätzung einbindet, braucht ein Drittparteien-Management nach DORA-Logik – inklusive Exit-Strategie, falls der Anbieter ausfällt oder die Konditionen sich ändern. Die BaFin-Orientierungshilfe liest sich an dieser Stelle wie ein Pflichtenheft, nicht wie eine Empfehlung.
Der Haken: Weil die Orientierungshilfe kein Gesetz ist, gibt es keine tabellarische Bußgeldliste, an der sich FinTechs orientieren könnten. Das macht die regulatorischen KI-Anforderungen für Compliance-Teams paradoxerweise unbequemer als ein klarer Paragraf – man muss selbst einschätzen, wie streng die Aufsicht im Einzelfall prüft.
Wenn alle beim selben KI-Anbieter einkaufen: das Konzentrationsrisiko
Am 4. Dezember 2025 warnte die BaFin vor einer neuen Risikoklasse: Konzentrationsrisiken durch KI-Provider. Nikolas Speer, Exekutivdirektor Bankenaufsicht, sprach von zunehmend undurchsichtigen Verflechtungen im KI-Ökosystem – vertikal, weil wenige Anbieter Infrastruktur, Modelle und Cloud-Dienste gleichzeitig kontrollieren, und horizontal, weil dieselben Modelle branchenweit in unterschiedlichsten Finanzprodukten stecken.
Was bedeutet das praktisch? Wenn zwanzig FinTechs ihre Betrugserkennung auf demselben Basismodell eines großen Anbieters aufbauen, entsteht ein Single Point of Failure, der weit über ein einzelnes Unternehmen hinausreicht. Fällt der Dienst aus oder ändert der Anbieter über Nacht seine API-Bedingungen, trifft das nicht ein Institut, sondern gleich einen ganzen Marktsektor.
Meine Einschätzung dazu: Diese Warnung ist überfällig. Die Branche hat sich jahrelang auf technische Sicherheit konzentriert – Verschlüsselung, Penetrationstests, Zugriffskontrollen – und dabei die Marktstruktur-Frage vernachlässigt. Wer heute ein FinTech gründet, sollte sich fragen, ob die eigene KI-Lieferkette diversifiziert genug ist, um einer Aufsichtsprüfung standzuhalten. Compliance-Leiter sollten das Thema Provider-Diversifikation in ihre nächste Risikoinventur aufnehmen, bevor die Aufsicht danach fragt.
Wie andere europäische Aufsichtsbehörden auf dieselben Fragen blicken
Deutschland ist mit dieser Agenda nicht allein. Auch in anderen EU-Mitgliedstaaten diskutieren nationale Aufsichtsbehörden ähnliche Fragestellungen, weil DORA als EU-Verordnung ohnehin einheitlich in allen Mitgliedstaaten gilt und damit einen gemeinsamen Mindeststandard für IKT-Resilienz setzt. Der Unterschied liegt eher im Ton und im Tempo der Kommunikation: Während manche Aufsichtsbehörden noch abwarten, wie sich der Markt entwickelt, positioniert sich die BaFin mit klaren öffentlichen Warnungen – etwa zu Konzentrationsrisiken bei KI-Anbietern oder zur Verschlüsselungsfrage bei Quantencomputern – vergleichsweise früh und deutlich.
Für FinTechs mit grenzüberschreitendem Geschäft ergibt sich daraus eine praktische Konsequenz: Wer in mehreren EU-Ländern operiert, kann sich nicht darauf verlassen, dass eine weniger strenge Auslegung in einem Nachbarland dauerhaft Bestand hat. DORA harmonisiert die Anforderungen ohnehin, und nationale Aufsichtsbehörden ziehen im Zweifel nach, sobald sich ein Thema wie KI-Konzentration als branchenweites Risiko herausstellt. Wer seine Compliance-Architektur von Anfang an auf den strengsten realistischen Auslegungsstandard auslegt, statt auf die aktuell lockerste Praxis in einem einzelnen Land zu setzen, spart sich spätere Nachbesserungen.
Quantencomputing: „Gesunde Paranoia“ statt Kryptoalarm
Kommen wir zum Thema, das am meisten Schlagzeilen produziert, aber am wenigsten akute Substanz hat: Quantencomputing. Branson forderte in seiner Rede eine gesunde Paranoia gegenüber Quantencomputern – eine Formulierung, die das Handelsblatt aufgegriffen hat. Der Kern seiner Aussage: Quantencomputer können etablierte Verschlüsselungsverfahren irgendwann überwinden, deshalb sollten Finanzunternehmen zügig neuartige, quantensichere Verschlüsselungstechniken einsetzen.
Wichtig für die Einordnung: Es gibt derzeit keinen belegten Fall, in dem ein Quantencomputer produktive Bankverschlüsselung im großen Stil gebrochen hat. Das Risiko liegt nicht in der Gegenwart, sondern im sogenannten „Harvest now, decrypt later“-Szenario – heute verschlüsselte Daten werden abgegriffen und gespeichert, um sie zu entschlüsseln, sobald die Rechenleistung ausreicht. Für Daten mit langer Schutzfrist, etwa Kundendaten oder Vertragsarchive, ist das relevant, auch wenn der eigentliche Angriff noch Jahre entfernt liegt. Welche konkreten Auswirkungen diese Entwicklung auf Fintech-Geschäftsmodelle haben kann, lässt sich am Beispiel der Diskussion rund um Quantencomputer im Fintech-Sektor gut nachvollziehen.
Branchenanalysen empfehlen als Planungsrichtwert eine Migration quantensicherer Kryptografie für kritische Systeme bis etwa 2030 bis 2032, für weniger kritische Systeme bis 2035. Das sind ausdrücklich keine gesetzlichen Fristen, sondern Einschätzungen aus der Fachdiskussion – trotzdem lohnt sich der Blick ins eigene Kryptografie-Inventar schon jetzt: Welche Verfahren, welche Schlüssellängen, welche Datenkategorien mit besonders langer Aufbewahrungspflicht sind im Einsatz? Wer diese Liste heute erstellt, hat später einen handfesten Startpunkt für die eigentliche Migration.

Der digitale Euro als neue Infrastrukturschicht für FinTechs
Der dritte Pfeiler der BaFinTech 2025-Agenda ist der digitale Euro. Wichtig für die Einordnung: Der digitale Euro ist kein fertiges Produkt, sondern ein laufendes Projekt des Eurosystems – noch in der Definitions- und Vorbereitungsphase, nicht eingeführt. Wer in den vergangenen Monaten Berichte gelesen hat, die den digitalen Euro als bereits verfügbares Zahlungsmittel beschreiben, sollte diese Aussage kritisch prüfen.
Für die Aufsicht ist der digitale Euro vor allem eine Frage der Resilienz und der Anschlussfähigkeit an bestehende Zahlungsverkehrsstrukturen. Diskutiert werden unter anderem Offline-Fähigkeit, Datenschutzarchitektur und die Rolle von Banken und FinTechs als Intermediäre, über die Endkundinnen und -kunden mit dem digitalen Euro in Kontakt kommen. Genau diese Intermediärsrolle ist der Punkt, an dem FinTechs wirtschaftlich mitspielen können – Wallet-Apps, API-Schichten, programmierbare Zahlungsfunktionen sind mögliche neue Geschäftsfelder.
Der digitale Euro bringt aber auch neue Pflichten mit sich: strengere Anforderungen an Zugriffskontrolle, Protokollierung und die Einbindung in bestehende AML- und Sanktionslistenprüfungen, auch für Offline-Transaktionen. Ein FinTech, das heute schon an Zahlungsinfrastruktur arbeitet, tut gut daran, die eigene Systemarchitektur so zu bauen, dass eine spätere Integration des digitalen Euro nicht zum kompletten Neubau wird, sondern zur Erweiterung bestehender Schnittstellen. Wer sich außerdem fragt, wie sich klassische Sparprodukte gegenüber neuen digitalen Zahlungsformen behaupten, findet in der Debatte um Tagesgeld und FinTech-Zinsen einen aufschlussreichen Vergleichspunkt, der zeigt, wie stark sich Erwartungen an Rendite und Liquidität durch neue digitale Angebote verschieben können.
Rechnen wir nach: Was Compliance jetzt wirklich kostet
Konkret wird es erst, wenn man Zahlen dagegenhält. Nehmen wir ein illustratives Beispiel: Ein FinTech mit vierzig Mitarbeitenden, das Kreditentscheidungen teilweise per KI unterstützt, plant eine erste DORA-konforme Dokumentation seiner KI-Prozesse. Ein externer Audit inklusive Modell-Dokumentation, Drittanbieter-Bewertung und Berichtsvorlage bewegt sich je nach Umfang häufig im mittleren fünfstelligen Bereich – hinzu kommen interne Personalstunden für Compliance und IT, die sich über mehrere Monate erstrecken.
Zum Vergleich: Ein Kryptografie-Inventar, also die reine Bestandsaufnahme aller eingesetzten Verschlüsselungsverfahren und Schlüssellängen, ist deutlich günstiger zu erstellen als ein vollständiges DORA-Audit, weil es zunächst ohne externe Migration auskommt. Trotzdem wird dieser Schritt oft verschoben, weil er nicht unmittelbar profitabel wirkt. Genau hier liegt der Denkfehler: Wer die Inventarisierung heute macht, spart sich später die teure Hektik-Migration unter Zeitdruck, wenn die Aufsicht plötzlich konkrete Nachweise verlangt.
Unter dem Strich lohnt sich Compliance auch als Renditefrage. Ein FinTech, das nachweislich saubere KI-Governance und ein aktuelles Kryptografie-Inventar vorweisen kann, verhandelt bei der nächsten Finanzierungsrunde aus einer besseren Position – Investoren und Partnerbanken fragen zunehmend genau danach. Compliance ist damit nicht nur Kostenstelle, sondern ein Baustein der eigenen Bewertung.
Praxisszenario: Wie eine Aufsichtsprüfung ablaufen könnte
Um die abstrakten Anforderungen greifbarer zu machen, lohnt sich ein hypothetisches, bewusst vorsichtig formuliertes Szenario. Ein FinTech erhält eine Anfrage im Rahmen einer routinemäßigen Aufsichtsprüfung. Gefragt wird nicht nur, ob ein KI-System im Einsatz ist, sondern wer das Modell trainiert hat, auf welcher Datenbasis es beruht, wie Entscheidungen im Streitfall nachvollzogen werden können und welche Ausweichstrategie existiert, falls der eingesetzte Cloud- oder Modellanbieter kurzfristig ausfällt oder seine Geschäftsbedingungen ändert.
Ein Unternehmen, das diese Fragen bereits in einer internen Dokumentation beantwortet hat, kann vergleichsweise entspannt reagieren – im schlechtesten Fall folgt eine kurze Nachfrage, im besten Fall gilt die Prüfung als erledigt. Ein Unternehmen ohne diese Vorarbeit muss die Antworten unter Zeitdruck zusammentragen, häufig aus mehreren Abteilungen gleichzeitig, was in der Praxis nicht nur Stress, sondern auch das Risiko unvollständiger oder widersprüchlicher Auskünfte erhöht. Der Unterschied zwischen beiden Fällen liegt selten in der technischen Qualität des KI-Systems selbst, sondern schlicht in der Frage, ob die Governance-Dokumentation rechtzeitig existiert.
Dieses Szenario lässt sich auf die anderen beiden Themenfelder übertragen: Auch beim Kryptografie-Inventar oder bei der Vorbereitung auf den digitalen Euro entscheidet meist nicht die technische Fähigkeit, sondern die organisatorische Vorbereitung darüber, wie glatt eine Prüfung oder eine Marktveränderung verläuft. Wer diese Logik verinnerlicht, behandelt Compliance nicht als lästige Pflichtübung, sondern als Frühwarnsystem für das eigene Unternehmen.
Der Haken an der Roadmap
So klar die BaFinTech 2025-Agenda formuliert ist, so viele offene Enden bleiben. Die konkrete Umsetzung des EU-KI-Gesetzes im deutschen Finanzsektor befindet sich weiterhin in der Roll-out-Phase; wie genau BaFin einzelne Vorgaben in der Praxis prüfen wird, ist noch nicht in allen Details geklärt. Wer heute felsenfeste Aussagen über künftige Bußgelder oder exakte Prüfkriterien liest, sollte skeptisch bleiben – belastbar ist derzeit vor allem der Rahmen, nicht jedes Detail.
Ähnlich verhält es sich beim digitalen Euro: Das konkrete Geschäftsmodell für FinTechs als Intermediäre ist noch nicht final festgelegt. Wer jetzt schon Produkte auf Basis unbestätigter Annahmen baut, riskiert, dass sich die Schnittstellen bis zur tatsächlichen Einführung noch ändern. Ist das schlimm? Nicht zwangsläufig – aber es bedeutet, dass Flexibilität in der eigenen Systemarchitektur wichtiger ist als das Wetten auf ein einzelnes technisches Detail.
Und noch etwas fällt auf: Für Quantencomputing gibt es keine gesetzliche Frist, an der sich FinTechs orientieren könnten – nur Empfehlungen aus Branchenanalysen. Das ist bequem für alle, die das Thema erst einmal liegen lassen wollen, aber unklug, wenn man die eigene Datenlebensdauer ernst nimmt. Wer sich zudem mit den Grundlagen digitaler Vermögenswerte beschäftigt, sollte auch die Diskussion um Sicherungsmechanismen für Anleger bei Kryptowerten im Blick behalten, weil sich dort ähnliche Fragen zu Verschlüsselung und Anlegerschutz stellen, die auch für klassische FinTech-Produkte relevant werden könnten.
Was FinTech-Gründer und Compliance-Leiter jetzt konkret tun sollten
- KI-Systeme im Unternehmen vollständig auflisten, inklusive eingesetzter Fremdmodelle und Cloud-Provider, um Abhängigkeiten sichtbar zu machen.
- Ein Kryptografie-Inventar erstellen: welche Verschlüsselungsverfahren, welche Schlüssellängen, welche Datenkategorien mit langer Aufbewahrungspflicht.
- Drittparteien-Verträge auf DORA-Tauglichkeit prüfen, insbesondere Exit-Klauseln und Notfallpläne bei Ausfall eines KI-Anbieters.
- Systemarchitektur so gestalten, dass eine spätere Integration des digitalen Euro als Erweiterung, nicht als Neubau möglich ist.
- Die eigene KI-Governance dokumentieren, bevor die nächste Aufsichtsanfrage oder Due-Diligence-Prüfung ansteht.
Diese Liste ist kein Bürokratie-Selbstzweck. Sie ist der Unterschied zwischen einem FinTech, das bei der nächsten BaFinTech-Konferenz als Positivbeispiel zitiert wird, und einem, das eine Sonderprüfung bekommt.
Was bleibt?
BaFinTech 2025 liefert Planungssicherheit, keine Blaupause. Die Aufsicht hat klar gemacht, welche drei Technologien sie beobachtet – KI, Quantencomputing, digitaler Euro –, aber die Feinarbeit liegt bei den Unternehmen selbst. Wer jetzt beginnt, statt auf fertige Vorschriften zu warten, hat in zwei Jahren die Wahl zwischen einer erledigten Aufgabe und einer teuren Überraschung. Welche der beiden Optionen klingt für Ihr FinTech attraktiver?





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.