Der EU AI Act wurde verschoben – für Finanzinstitute ist das der falsche Reflex
Seit Wochen kursiert in den Feeds eine beruhigende Nachricht: Der EU AI Act sei verschoben. Seit Ende Juni ist die Reform beschlossen – und genau deshalb wird dieser Reflex für Institute jetzt gefährlich.
Richtig ist: Der „Digital Omnibus" – vom Rat am 29. Juni 2026 final angenommen, die Veröffentlichung im Amtsblatt steht unmittelbar bevor – verschiebt die strengen Fristen für Hochrisiko-KI-Systeme nach hinten. Ausdrücklich ausgenommen wurden jedoch die Transparenz- und Kennzeichnungspflichten aus Artikel 50 der KI-Verordnung. Sie gelten ab dem 2. August 2026 – unverändert.
Und anders als bei DORA hilft hier keine Statusfrage: Der EU AI Act ist horizontales Recht. Er trifft das Institut als Betreiber von KI-Systemen – unabhängig davon, ob es als eigenständiges Wertpapierinstitut oder als vertraglich gebundener Vermittler auftritt.
Was der Digital Omnibus verschiebt – und was nicht
Verschoben wurde gezielt der Hochrisiko-Bereich:
- Anhang-III-Systeme (eigenständig – für Institute etwa Kreditwürdigkeitsprüfung oder Personalauswahl): von 02.08.2026 auf 2. Dezember 2027.
- Anhang-I-Systeme (in Produkte eingebettet): von 02.08.2027 auf 2. August 2028.
- Die technische Anbieter-Markierung nach Art. 50 Abs. 2 (Watermarking) rutscht auf 2. Dezember 2026.
Unverändert bleibt der Teil, der fast jedes Institut sofort betrifft:
- Art. 50 Abs. 1, 3 und 4 – die Kennzeichnung gegenüber Kunden und Öffentlichkeit – ab 2. August 2026.
- Die KI-Kompetenzpflicht (Art. 4) wurde gelockert (KI-Kompetenz „unterstützen" statt „sicherstellen"), aber bestätigt; die behördliche Durchsetzung beginnt ebenfalls am 2. August 2026.
Kurz: mehr Zeit für Hochrisiko-Projekte, aber keine Entwarnung bei Transparenz und Kompetenz.
Wo Artikel 50 ein Institut konkret berührt
Nicht jede KI-Nutzung ist kennzeichnungspflichtig – aber die relevanten Berührungspunkte liegen genau dort, wo Institute KI ohnehin einsetzen:
- Kunden-Chatbots, Robo-Advisory-Oberflächen und Voicebots (Abs. 1): Der Kunde muss erkennen können, dass er mit einer KI interagiert – sichtbar zu Beginn, nicht in der Fußnote.
- Generative Inhalte für Kunden und Öffentlichkeit (Abs. 4): Marktkommentare, Research-Zusammenfassungen, Newsletter, Marketing-Bilder. Realistische KI-Bilder (Deepfakes) und KI-Texte zu Themen von öffentlichem Interesse müssen sichtbar gekennzeichnet werden.
- Stimmungsanalyse im Call-Center (Abs. 3): Wird Emotionserkennung eingesetzt, sind Betroffene zu informieren – ein in der Praxis gern übersehener Punkt.
Bei Verstößen drohen Bußgelder von bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes.
Die gute Nachricht: Institute haben die Strukturen schon
Der wirksamste Hebel steckt in einer Ausnahme. Für KI-generierte Texte entfällt die Kennzeichnungspflicht, wenn ein Mensch den Inhalt geprüft hat und eine namentlich benannte Person die redaktionelle Verantwortung trägt.
Genau diese Struktur existiert im regulierten Umfeld längst: Freigabe- und Vier-Augen-Prozesse in der Compliance, die Verantwortlichkeit für Finanzanalysen und Marktkommunikation. Man muss sie nur explizit auf KI-Inhalte ausdehnen – dann ist der Großteil der Textproduktion abgedeckt, ohne jeden Beitrag mit einem Label zu versehen.
Umsetzung – verhältnismäßig, nicht als Parallelapparat
Für ein mittelständisches Institut lautet die Devise: in bestehende Governance einhängen, nicht neu erfinden.
- Bestandsaufnahme: vorhandenes IT-Asset- bzw. DORA-Informationsregister um eine Spalte „KI / Art. 50" erweitern.
- Redaktionelle Verantwortung namentlich benennen und in den Freigabe-Workflow gießen.
- Auslagerung: AI-Act-Klauseln in Verträge mit Chatbot-Anbietern, Microsoft und konzerninternen IT-Dienstleistern; Verankerung im Auslagerungsmanagement (MaRisk AT 9) und im DORA-Register. Die technische Markierung (Abs. 2) liegt beim Anbieter – das Institut muss sie vertraglich einfordern.
- KI-Kompetenz (Art. 4): trotz der Lockerung durch den Omnibus weiter in Kraft – rollenbezogene Kurzschulung, dokumentiert.
- Governance: Zuständigkeiten entlang der Three Lines of Defense klären und in einer schlanken KI-Richtlinie bündeln.
Das ist – bewusst – kein Großprojekt. Strukturelle Lösungen (benannte Verantwortung, Vertragsklauseln, eine Richtlinie) schlagen aufwendige Dauerkontrollen.
Der eigentliche Punkt
Kennzeichnung ist nur die regulatorische Seite eines viel größeren Umbruchs: Das Vertrauen in digitale Inhalte erodiert. Gerade im Finanzsektor, in dem Vertrauen das eigentliche Produkt ist, ist Transparenz über den KI-Einsatz kein Bürokratie-Thema, sondern ein Reputationsfaktor.
Die Frage lautet deshalb nicht „Müssen wir das kennzeichnen?", sondern „Wie gehen wir mit KI in der Kundenkommunikation um?". Wer sie jetzt beantwortet, hat am 2. August 2026 kein Problem – sondern einen Vorsprung.