Zum Hauptinhalt springen

🌐 Code of Practice gemäß EU AI Act – Pflichtprogramm für BaFin-regulierte Unternehmen

Mit dem Inkrafttreten des EU AI Act am 1. August 2024 und der Anwendung zentraler Vorschriften ab 2. August 2025 beginnt für BaFin-regulierte Institute eine neue Ära der KI-Regulierung. Der „Code of Practice“ dient als freiwilliger, aber von der EU-Kommission geförderter Nachweisrahmen, um die Einhaltung des Kapitels V zum Einsatz generischer KI-Modelle (GPAI) zu dokumentieren.

Wichtig: Für viele Institute ist der Code of Practice nicht optional – er wird zur faktischen Erwartung der Aufsicht, besonders wenn KI-Systeme im Eignungsprozess (§ 64 WpHG), Produktvertrieb (§ 63 WpHG) oder in der Risikomessung (MaRisk AT 4.1, AT 8) eingesetzt werden.

Code of Practice gemäß EU AI Act

🛡️ Regulatorischer Rahmen: EU AI Act & deutsche Aufsichtspraxis

Normen Anknüpfung für BaFin-regulierte Institute
EU AI Act – Kapitel V Verpflichtungen für Anbieter/Nutzer von GPAI-Modellen wie ChatGPT, Gemini, Copilot etc.
MaRisk AT 4.3 / AT 7.2 / BT 3.1 Erfordernis einer angemessenen Ausgestaltung von IT und Risiko-Reporting, inkl. Erklärbarkeit
DORA Anforderungen an IKT-Risikomanagement und Drittanbietersteuerung – inkl. KI-Tools
KAGB / WpIG / KWG Organisationspflichten nach § 27 KAGB, § 25a KWG, § 23 WpIG
BaFin-Merkblätter z. B. zu Big Data & KI, Eignung & Angemessenheit, ESG & Algorithmic Bias

🔧 Code of Practice – Konkrete To-Dos nach Risikoklasse

✅ Für alle GPAI-Nutzer in BaFin-Instituten (nicht systemisch)

Verpflichtung 1: Transparenz & Dokumentation

  • Nachvollziehbare Beschreibung des KI-Modells und seiner Funktion

  • Klarstellung zur Trainingsbasis und verwendeten Daten

  • Bereitstellung eines internen Model Cards mit Anwendungsbereich, Limitierungen, Prompt-Beispielen

Verpflichtung 2: Urheberrechtsstrategie

  • Sicherstellung, dass Trainingsdaten keine Rechte Dritter verletzen

  • Integration technischer Schutzmechanismen gegen Reproduktion von urheberrechtlich geschützten Inhalten

Verpflichtung 3: Schnittstelle zur 2nd Line (Compliance & Risk)

  • Frühzeitige Einbindung der Compliance bei Tool-Auswahl

  • Modellfreigabeprozess über zentrale KI-Governance oder Anwendungskomitee

⚠️ Für Nutzer systemisch relevanter GPAI-Modelle (z. B. intern trainierte LLMs, multimodale Systeme)

Verpflichtung 4: Systemische Risikoanalyse

  • Festlegung der Kriterien für Eintrittswahrscheinlichkeit & Schwere

  • Modellübergreifende Analyse von Risiken wie:

    • Fehlausrichtungen (z. B. irreführende Produktempfehlungen)

    • Sicherheitslücken (z. B. Jailbreaks, Prompt Injection)

    • Datenschutzverstöße (z. B. durch Rückverfolgbarkeit von Trainingsdaten)

Verpflichtung 5: Technische Sicherheitsmaßnahmen

  • Maßnahmen wie Zugriffsschutz, SLAs, Auditability

  • Einhaltung eines mindestens RAND SL3-Sicherheitsniveaus

  • Incident Response Procedures für generative Systeme

Verpflichtung 6: Governance-Rahmen

  • Einrichtung eines interdisziplinären „AI Oversight Committees“

  • Dokumentation von Verantwortlichkeiten auf Fachbereichs-, Risiko- und Vorstandsebene

Verpflichtung 7: Meldung schwerwiegender Vorfälle

  • Integration in bestehende DORA-konforme Meldeprozesse

  • Frühwarnsystem bei Bias-Vorfällen, Performanceabweichungen oder Modellverhalten außerhalb der Spezifikation

🗓️ Fristen-Check für Dein Institut

Frist Pflicht Empfohlene Umsetzung
bis Juli 2025 GAP-Analyse: Welche GPAI-Modelle sind im Einsatz? IT + Compliance
bis August 2025 Implementierung des Codes of Practice AI-Verantwortlicher + CISO
ab August 2025 Reporting an das AI Office und interne Nachweise Compliance + Recht
laufend Überwachung & Risikobewertung bei Systemeinsätzen 2nd Line Funktionen

📋 Musterstruktur: AI Code of Practice für BaFin-Institute

1. Einleitung: Anwendungsbereich & Referenz auf AI Act
2. Risikoklassifizierung genutzter Modelle
3. Transparenz- und Dokumentationspflichten (inkl. Model Cards)
4. Urheberrechtsstrategie & technische Absicherungen
5. Systemische Risikoanalyse (nur GPAISR)
6. Governance-Strukturen & Verantwortlichkeiten
7. Incident Management & Meldeverfahren (inkl. BaFin)
8. Überwachung, Angemessenheitsprüfung & externe Gutachten
9. Schutz vor Vergeltungsmaßnahmen (Whistleblower)
10. Reporting an das AI Office

📋 Überblick zu KI-Verpflichtungen nach AI Act im Abgleich mit MaRisk / DORA – inklusive To-Dos für Finanzinstitute

🔍 Transparenzpflichten (Art. 53 Abs. 1 lit. a-b)

  • AI Act Verpflichtung:

    • Offenlegung, dass KI-Systeme verwendet werden

    • Transparenz über Funktionen und Grenzen der Systeme

  • MaRisk / DORA Bezug:

    • MaRisk AT 7.2 (Datenmanagement)

    • ZAIT (Dokumentation KI-basierter Verfahren)

  • To-Do im Institut:

    • Dokumentation der eingesetzten Modelle

    • Erstellung einer Offenlegungsrichtlinie für GPAI-Systeme

📚 Urheberrechtspflichten (Art. 53 Abs. 1 lit. c-d)

  • AI Act Verpflichtung:

    • Angabe urheberrechtlich geschützter Daten

    • Nachweis über Lizenzen und Rechte

  • MaRisk / DORA Bezug:

    • MaRisk AT 4.3.1 (Compliance-Funktion)

    • DSGVO

    • ZAIT (sichere Nutzung und Prüfung externer Daten)

  • To-Do im Institut:

    • Entwicklung einer Copyrightstrategie

    • Nachweis über Quellen, Rechte und Lizenzen sicherstellen

⚠️ Systemische Risikobewertung (Art. 55)

  • AI Act Verpflichtung:

    • Bewertung systemischer Risiken bei GPAI-Systemen

  • MaRisk / DORA Bezug:

    • MaRisk AT 4.1 (Risikomanagement)

    • MaRisk BT 3.1 (Risikoanalyse)

    • DORA Art. 5–6 (IKT-Risikomanagement)

  • To-Do im Institut:

    • Aufbau eines Risikoanalyseprozesses speziell für GPAI-Systeme

    • Identifikation von Systemrelevanz

🏛️ Governance-Rahmen (Art. 56)

  • AI Act Verpflichtung:

    • Einführung von Governance-Strukturen für GPAI-Systeme

  • MaRisk / DORA Bezug:

    • MaRisk AT 4.3.2 (Verantwortlichkeiten & Prozesse)

    • DORA Kapitel III (Governance & Organisation)

  • To-Do im Institut:

    • Definition von Rollen, Verantwortlichkeiten und Zuständigkeiten

    • Etablierung eines KI-Governance-Rahmens

📣 Meldung schwerwiegender Vorfälle (Art. 56(5))

  • AI Act Verpflichtung:

    • Pflicht zur Meldung an das AI Office bei schwerwiegenden Incidents

  • MaRisk / DORA Bezug:

    • DORA Art. 19 + 20 (Meldepflichten)

    • MaRisk AT 8.2 (Störfallmanagement)

  • To-Do im Institut:

    • Aufbau eines Meldeprozesses an BaFin & AI Office

    • Integration ins bestehende Incident-Reporting

🛡️ Schutz vor Vergeltung (Art. 56(5))

  • AI Act Verpflichtung:

    • Schutz von Whistleblowern im KI-Kontext

  • MaRisk / DORA Bezug:

    • MaRisk AT 6 (Integrität und Verhalten)

    • Hinweisgeberschutzgesetz

  • To-Do im Institut:

    • Mitarbeiterschulung zu Hinweisgebersystemen

    • Sicherstellung von Schutzmaßnahmen bei Meldungen

🧾 Externe Evaluation (Art. 56(6))

  • AI Act Verpflichtung:

    • Pflicht zur externen Bewertung bei bestimmten GPAI-Systemen

  • MaRisk / DORA Bezug:

    • MaRisk AT 4.4 (Kontrollhandlungen)

    • DORA Art. 10 Abs. 2 (externe Prüfpflichten)

  • To-Do im Institut:

    • Einbindung externer Gutachter zur Bewertung von GPAISR

    • Dokumentation der Evaluationsprozesse

📝 Berichtspflicht an AI Office (Art. 56(4-6))

  • AI Act Verpflichtung:

    • Regelmäßige Berichte über Systemeinsatz, Risiken und Vorfälle

  • MaRisk / DORA Bezug:

    • DORA Art. 15 (Berichtswesen)

    • MaRisk BT 3.2 (Risikoberichterstattung)

  • To-Do im Institut:

    • Aufbau eines Reportingprozesses für GPAI-Systeme

    • Erstellung eines AI Model Reports

✅ Fazit: BaFin-konform, AI-ready

Ob Du eine KVG, ein Wertpapierinstitut oder ein digitalaffines FinTech bist – der Code of Practice wird zur regulatorischen Erwartungshaltung. Der AI Act ist kein IT-Thema, sondern betrifft direkt Deine Governance, Compliance und Geschäftsmodelle.

Ein sauber aufgesetzter und auditierbarer Verhaltenskodex schützt Dein Institut vor Aufsichtsmaßnahmen, Reputationsverlust und operativen Risiken – und ist zugleich ein Wettbewerbsvorteil im digitalen Finanzmarkt.

🛡️ Abgleich der Code of Practice-Verpflichtungen mit den relevanten Artikeln aus der DORA-Verordnung (EU) 2022/2554

Damit du die neuen Anforderungen besser einordnen und umsetzen kannst, findest du nachfolgend eine Checkliste mit den wichtigsten Pflichten aus dem Code of Practice und den dazugehörigen DORA-Artikeln.

🌐 Verpflichtung im Code of Practice

Relevanter Artikel in DORA

Kurzbeschreibung aus DORA
🌐 I.1 Dokumentation & Transparenz Art. 5 & Art. 15 Anforderungen an die IKT-Dokumentation, einschließlich Inventar von IKT-Assets und Nachweisdokumentation für IKT-Risiken.
🌐 I.2 Urheberrecht & Trainingsdatenstrategie Art. 24 lit. c i.V.m. Art. 6 Abs. 8 lit. a & Art. 13 Abs. 6 Verlangt klare Strategien zur Nutzung geschützter Daten und Förderung von Schulung zur digitalen Resilienz.
🌐 II.1 Sicherheitsrahmen für systemische GPAI-Modelle Art. 6 Abs. 8 lit. a–b Digitale Resilienzstrategie inkl. Toleranzschwelle für IKT-Risiken und organisatorischer Verantwortung.
🌐 II.2 Systemische Risikobewertung Art. 6, Art. 8, Art. 9 Identifikation, Kontrolle und Bewertung von Risiken über den gesamten Modelllebenszyklus hinweg.
🌐 II.3 Identifikation systemischer Risiken Art. 11 Abs. 3 & Art. 13 Verpflichtung zur systematischen Bewertung von Risiken in Krisensituationen sowie Schulung der Mitarbeitenden.
🌐 II.4 Systemische Risikoanalyse Art. 11 Abs. 1 & 6 Tests und Notfallwiederherstellungspläne für den Fall von Versagen kritischer Systeme.
🌐 II.5 Akzeptanzbewertung systemischer Risiken Art. 6 Abs. 8 lit. b & Art. 15 Abs. 1 lit. b Vorgaben zur Risikotoleranzschwelle und Risikoanalyse auf Managementebene.
🌐 II.6 Technische Sicherheitsmaßnahmen Art. 10 & Art. 9 Abs. 3 Maßnahmen zur Prävention, Erkennung und Reaktion auf IKT-bezogene Vorfälle.
🌐 II.7 Schutz von Modellgewichten (SL3–SL5) Art. 9 Abs. 3 & Art. 10 Abs. 1–3 Absicherung von kritischen IKT-Assets, Authentizität, Integrität und Vertraulichkeit.
🌐 II.8 Sicherheitsmodellberichte Art. 17, Art. 25 & Art. 11 Abs. 6 Verpflichtung zur strukturierten Berichterstattung über schwerwiegende IKT-Vorfälle und Resilienzpläne.
🌐 II.9 Angemessenheitsprüfungen des Sicherheitsrahmens Art. 15 Abs. 1 lit. a & b Kontinuierliche Überprüfung und Verbesserung des IKT-Rahmens.
🌐 II.10 Verantwortungsverteilung bei Systemrisiken Art. 6 Abs. 8 lit. a, b & d Pflichten des Leitungsorgans zur Steuerung der digitalen operationellen Resilienz.
🌐 II.11 Externe Bewertungen vor Inverkehrbringen Art. 20 & 21 Durchführung von Resilienztests und Sicherstellung externer IKT-Audits.
🌐 II.12 Meldung schwerwiegender Vorfälle Art. 17, 18 & 25 Verpflichtung zur unverzüglichen Meldung an Aufsichtsbehörden mit Verfahren und Fristen.
🌐 II.13 Schutz von Hinweisgebern Art. 17 Abs. 2 lit. c & Art. 15 Abs. 1 lit. e Vertrauliche Meldekanäle, Schutz vor Repressalien bei Hinweisgabe.
🌐 II.14 Kommunikation mit Aufsicht (AI Office, BaFin) Art. 25 & Art. 31 Abs. 2 Austausch mit zuständigen Behörden und Übermittlung von Risikodokumentationen.
🌐 II.15 Dokumentationspflichten Art. 5 Abs. 2 & Art. 15 Abs. 1 lit. a–b Technische und organisatorische Dokumentation aller IKT-Assets und -Kontrollen.
🌐 II.16 Öffentliche Transparenz über systemische Risiken Art. 32 Abs. 6 & Art. 33 Transparente Kommunikation der Risiken kritischer IKT-Dienstleister.