Leitlinien der Kommission zu verbotenen Praktiken der Künstlichen Intelligenz gemäß der Verordnung (EU) 2024/1689

Seit dem 2. Februar 2025 gilt ein entscheidender Teil der KI-Verordnung (EU) 2024/1689. Mit diesem Datum gelten die Verbote für bestimmte Praktiken von KI-Systemen unmittelbar und verbindlich – unabhängig davon, wann ein System entwickelt, in Verkehr gebracht oder in Betrieb genommen wurde.

Für Dich als Verantwortlicher in einer Bank, einem Finanzinstitut oder einem Wertpapierinstitut bedeutet das: Es gibt kein „Warten auf Aufsichtsbehörden“. Die Leitlinien der EU-Kommission zeigen klar, welche Praktiken seit Februar 2025 nicht mehr zulässig sind – und wie erlaubt eingesetzte KI-Systeme aussehen müssen.

Was gilt ab wann?

Die Leitlinien der Kommission präzisieren, wie die Verbote praktisch umzusetzen sind. Dabei spielen drei Zeitpunkte eine Schlüsselrolle:

1. Seit dem 2. Februar 2025

• Alle Verbote gelten unmittelbar für sämtliche KI-Systeme.
• Auch „Alt-Systeme“ sind betroffen.

2. Zwischen dem 2. Februar und 2. August 2025

• Die Kapitel zu Governance und Sanktionen sind noch nicht anwendbar.
• Es gibt noch keine Marktüberwachungsbehörden, die Verstöße verfolgen.
• Trotzdem sind die Verbote rechtlich bindend und können vor nationalen Gerichten durchgesetzt werden.

3. Seit dem 2. August 2025

• Sanktionen und die offizielle Aufsicht sind in Kraft.
• Seit diesem Zeitpunkt drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Artikel 5 KI-Verordnung: Die verbotenen Praktiken

Die EU hat bewusst Praktiken untersagt, die als besonders schädlich gelten und fundamentale Grundrechte verletzen.

1. Schädliche Manipulation und Täuschung

KI-Systeme, die unterschwellige, manipulative oder täuschende Techniken nutzen, um Menschen zu beeinflussen und erheblichen Schaden zu verursachen, sind verboten.
Beispiel im Finanzsektor: Ein KI-gestützter Anlageberater, der gezielt psychologische Tricks einsetzt, um Kunden zu riskanten Investments zu bewegen.

2. Schädliche Ausnutzung von Vulnerabilitäten

Systeme, die Schwächen aufgrund von Alter, Behinderung oder sozioökonomischer Situation ausnutzen, sind untersagt.
Beispiel: Kredit-Scoring-Modelle, die bewusst Schwächen einkommensschwacher Personen ausnutzen, um teure Kreditprodukte zu verkaufen.

3. Soziale Bewertung („Social Scoring“)

KI-Systeme, die Menschen aufgrund ihres sozialen Verhaltens oder persönlicher Eigenschaften bewerten und diskriminieren, sind verboten.
Beispiel: Ein Institut darf keine KI einsetzen, die Kunden aufgrund von Wohnort oder Freizeitverhalten schlechtere Kreditkonditionen berechnet.

4. Risikobewertung von Straftaten

KI-Systeme, die ausschließlich auf Profiling oder persönlichen Merkmalen beruhen, um Straftaten vorherzusagen, sind verboten.
Beispiel: Ein KI-System, das Kundenprofile analysiert und behauptet, daraus das Risiko von Geldwäschehandlungen einer Person „vorhersagen“ zu können.

5. Ungezieltes Auslesen von Gesichtsbildern

Das automatisierte Sammeln von Gesichtsbildern aus dem Internet oder Überwachungskameras, um Datenbanken für Gesichtserkennung aufzubauen, ist unzulässig.

6. Emotionserkennung

Die Ableitung von Emotionen am Arbeitsplatz oder in Bildungseinrichtungen ist verboten – außer aus medizinischen oder Sicherheitsgründen.
Beispiel: Eine Bank darf keine Emotionserkennung einsetzen, um zu prüfen, ob ein Mitarbeiter „gestresst“ wirkt.

7. Biometrische Kategorisierung

Systeme, die Menschen anhand sensibler Merkmale wie Rasse, Religion oder sexueller Orientierung klassifizieren, sind untersagt.

8. Biometrische Echtzeit-Fernidentifizierung

Die Nutzung solcher Systeme in öffentlichen Räumen zu Strafverfolgungszwecken ist grundsätzlich verboten – mit engen Ausnahmen (z. B. bei Terroranschlägen oder zur Suche nach Opfern).

Praxisfokus: Was ist für Banken, Finanzinstitute und Wertpapierinstitute erlaubt?

Die Leitlinien machen deutlich: Nicht alles ist verboten. Gerade im Bereich Compliance, Geldwäscheprävention und Finanztransaktionen sind KI-Systeme erlaubt, wenn bestimmte Anforderungen erfüllt sind.

1. Erlaubte Anwendungen in der Geldwäscheprävention

• Transaktionsüberwachung: KI darf eingesetzt werden, um Anomalien und Muster in Zahlungsströmen zu erkennen. Beispiel: Ein System identifiziert auffällige Transaktionen, die auf Geldwäsche hindeuten.
• Kundenüberprüfung (KYC): KI-gestützte Identitätsprüfungen (inkl. Gesichtserkennung) sind erlaubt – sofern sie DSGVO-konform erfolgen.
• Sanktions- und PEP-Screening: KI darf genutzt werden, um Kunden gegen Sanktionslisten oder PEP-Register abzugleichen.

2. Voraussetzungen für den rechtmäßigen Einsatz

• Objektive und überprüfbare Daten: Systeme müssen auf rechtmäßigen Datenquellen basieren und dürfen keine diskriminierenden Verzerrungen enthalten.
• Menschliche Aufsicht: KI darf nicht alleinige Entscheidungen über Kunden oder Transaktionen treffen. Ein Mensch muss das letzte Wort haben, insbesondere bei Verdachtsmeldungen.
• Transparenz und Dokumentation: Banken müssen nachvollziehbar dokumentieren, wie die KI funktioniert, welche Daten sie verarbeitet und wie Ergebnisse geprüft werden.

3. Zulässige KI-Systeme im Finanzsektor

• Kredit-Scoring auf Basis objektiver Daten (Einkommen, Bonität, Rückzahlungshistorie).
• Screening-Tools für Embargo- und Sanktionslisten.
• Fraud Detection-Systeme, die Zahlungsbetrug in Echtzeit erkennen.
• KI-basierte Support-Systeme, die Kunden bei einfachen Bankanfragen unterstützen (Chatbots, Self-Service-Portale).

4. Beispiele für verbotene Praktiken im Finanzsektor

• Ein KI-System, das anhand von Gesichtsausdrücken entscheidet, ob ein Kunde vertrauenswürdig ist.
• Ein Scoring-Modell, das Menschen aus einkommensschwachen Stadtteilen systematisch schlechter bewertet.
• Eine Software, die Emotionserkennung bei Bankberatern einsetzt, um deren Arbeitsleistung zu kontrollieren.

To-Do-Liste für Banken und Finanzinstitute

• Bestandsaufnahme: Prüfe alle bestehenden KI-Systeme auf mögliche verbotene Praktiken.
• Gap-Analyse: Vergleiche den aktuellen Einsatz mit den Leitlinien der Kommission.
• Transparenz schaffen: Dokumentiere Algorithmen, Datenquellen und Entscheidungsprozesse.
• Menschliche Aufsicht sicherstellen: Definiere klare Eskalationsprozesse bei AML und KYC.
• Datenschutz prüfen: Führe Datenschutz-Folgenabschätzungen (DSFA) durch.
• Schulungen: Trainiere Compliance-, Risk- und IT-Teams auf die neuen Anforderungen.
• Vorbereitung auf Sanktionen: Entwickle interne Prozesse, um ab August 2025 mit Marktüberwachungsbehörden zusammenzuarbeiten.

Fazit: Balance zwischen Innovation und Verboten

Die Leitlinien der Kommission machen klar: KI ist im Finanzsektor erwünscht – aber nur unter strengen Auflagen.

Für Dich bedeutet das:

• Verbote strikt einhalten. Manipulation, Diskriminierung und emotionale Überwachung sind seit Februar 2025 tabu.
• Erlaubte Anwendungen nutzen. KI in AML, KYC, Fraud Detection und PEP-Screening bleibt möglich – wenn Transparenz, Datenqualität und menschliche Aufsicht gewährleistet sind.
• Früh handeln. Wer seine Systeme rechtzeitig überprüft, vermeidet nicht nur Strafen, sondern baut auch Vertrauen bei Kunden und Aufsichtsbehörden auf.
• Die KI-Verordnung ist damit ein Weckruf für Banken und Finanzinstitute: KI darf Grundrechte nicht verletzen, sondern muss fair, transparent und sicher eingesetzt werden.