DORA für KI im Finanzsektor

Was ist DORA – und warum betrifft sie KI im Finanzsektor?

Der Digital Operational Resilience Act – kurz DORA, formell die Verordnung (EU) 2022/2554 – ist seit dem 17. Januar 2025 unmittelbar anwendbar und schafft erstmals einen EU-weit einheitlichen Rahmen für die digitale operationale Resilienz des Finanzsektors. Adressaten sind primär CRR-Institute (Banken) und Solvency-II-Versicherer, daneben zahlreiche weitere Finanzunternehmen. DORA bündelt vier Säulen, die zuvor über verschiedene Aufsichtsanforderungen verstreut waren: IKT-Risikomanagement (Art. 5-15), Meldung schwerwiegender IKT-Vorfälle, Testen der digitalen operationalen Resilienz inklusive Threat-Led Penetration Testing (TLPT, Art. 24-27) sowie das Management des IKT-Drittparteienrisikos (Art. 28-30).

Der entscheidende Hebel für KI: Die BaFin-Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen vom 18. Dezember 2025 verankert KI-Systeme ausdrücklich als Unterfall der „Netzwerk- und Informationssysteme" gemäß Art. 3 Nr. 2 DORA. Damit gilt der vollständige DORA-Pflichtenkanon auch für KI- und AI-Agent-Workloads – von der Datenbeschaffung über Modellentwicklung und Deployment bis zum laufenden Betrieb mit Drift-Monitoring und der Stilllegung. Wer einen AI-Agenten in einer Bank oder Versicherung produktiv setzt, baut also nicht nur ein KI-System, sondern ein reguliertes IKT-System mit allen Resilienz-, Test- und Drittparteien-Pflichten.

Die vier DORA-Säulen im Kontext von AI-Agents

IKT-Risikomanagement (Art. 5-15). KI-Systeme müssen in das institutsweite IKT-Risikomanagement integriert werden. Die BaFin-Orientierungshilfe macht den Lebenszyklus-Ansatz zum verbindlichen Standard: Datenbeschaffung → Modellentwicklung → Deployment → laufender Betrieb mit Drift-Monitoring → Stilllegung. Explizit gefordert werden Adversarial Training und die Überwachung von Modelldrift. Die Orientierungshilfe ist formal unverbindlich, kehrt in der Aufsichtspraxis jedoch materiell die Beweislast um: Wer ihr nicht folgt, muss bei BaFin-Prüfungen die Gleichwertigkeit alternativer Maßnahmen dokumentieren.

Resilienztests (Art. 24-27). AI-gestützte Systeme fallen unter die Pflicht zum regelmäßigen Testen der digitalen operationalen Resilienz – bis hin zu Threat-Led Penetration Testing (TLPT) für bedeutende Institute. Für stochastische, LLM-basierte Agenten ist das methodisch anspruchsvoll, weil klassische Testverfahren auf deterministische Systeme zugeschnitten sind.

Vorfallsmeldung. Vendor-spezifische KI-Risiken – halluzinierte regulatorische Zitate, halluzinierte Kundenportfoliodaten, Modelldrift in produktiven Scoring-Systemen – gelten im BFSI-Kontext als materielle Operational Risks und sind als IKT-Vorfälle meldepflichtig. Die Größenordnung ist erheblich: In den ersten drei Quartalen 2025 wurden der BaFin 525 schwerwiegende IKT-Vorfälle gemeldet, rund 70% davon von Kreditinstituten.

IKT-Drittparteienrisiko (Art. 28-30). Dies ist für KI der schärfste Hebel – und Gegenstand des nächsten Abschnitts.

IKT-Drittparteienrisiko und die CTPP-Designation

KI im Finanzsektor läuft heute fast immer auf externer Infrastruktur: Hyperscaler-Clouds, externe Modell- und LLM-Anbieter oder Verbund-Rechenzentren. Genau hier setzt DORA Art. 28-30 an. Am 18. November 2025 haben die Europäischen Aufsichtsbehörden (ESAs) erstmals 19 kritische IKT-Drittdienstleister (Critical ICT Third-Party Providers, CTPPs) designiert – darunter AWS, Microsoft Azure, Google Cloud, Oracle, IBM, SAP, Deutsche Telekom, Equinix und Swift. Diese 19 Anbieter unterliegen ab 2026 direkter EU-Aufsicht; das DORA Joint Oversight Forum wird im Verlauf 2026 erste umfassende Prüfungen durchführen und voraussichtlich bindende Empfehlungen aussprechen.

Für Banken und Versicherer auf der Deployer-Seite hat das konkrete Folgen:

• Exit-Pläne sind jährlich zu testen – nicht nur zu dokumentieren.
• Multi-Cloud-Strategien werden faktisch erzwungen, um Konzentrationsrisiken zu begrenzen.
• AI-Agent-Workloads auf Hyperscalern bleiben unter zusätzlicher aufsichtlicher Beobachtung.

Das Konzentrationsrisiko ist im DACH-Raum besonders sichtbar: Nahezu jede Bank ist für AI-Workloads entweder auf einen der designierten Hyperscaler oder auf Verbundlösungen angewiesen. In Deutschland betreiben die Finanz Informatik (FI) für die Sparkassen und die Atruvia AG für die Volks- und Raiffeisenbanken bewusst on-premise und souveräne KI-Stacks (u. a. Open-Source-Modelle wie Mixtral/Llama in eigenen Rechenzentren). Der S-KIPilot der FI wurde 2025 in Version 6 auf rund 60.000 Sparkassen-Arbeitsplätze ausgerollt. Diese Verbund-Strukturen werden durch die DORA-CTPP-Logik strukturell gestärkt, solange Designation und BaFin-Orientierungshilfe in ihrer aktuellen Schärfe Bestand haben.

DORA Art. 30: Der Vertragsklauselkanon als Procurement-Filter

DORA Art. 30 schreibt verbindliche Vertragsinhalte für IKT-Drittparteien vor – und macht damit die Vendor-Auswahl für KI zum harten Compliance-Tor. Verpflichtend sind unter anderem Audit-Rechte, Exit-Klauseln, Sub-Processor-Kontrollen sowie Service-Level-Vereinbarungen mit Datenresidenz-, Latenz- und Rechenkapazitätszusagen. Bei etablierten Hyperscalern gehören diese Klauseln heute zum Standardtext; bei jungen AI-Startups sind sie ein häufiger Procurement-Blocker.

DORA Art. 30 steht dabei nicht allein, sondern in einem Bündel von Procurement-Werkzeugen, die in DACH zum De-facto-Benchmark geworden sind:

Der BSI Test Criteria Catalogue for AI Systems in Finance (veröffentlicht Juni 2025) umfasst sechs Säulen – Performance, Robustheit, Fairness, Erklärbarkeit, Compliance und Verbraucherschutz – mit rund 100 Einzelkriterien. Die EBA hat diese sechs Säulen im Oktober 2025 als Basis für ihre kommenden AI Risk Management Guidelines übernommen, was den Katalog faktisch zum Procurement-Standard für DACH-Banken und -Versicherer macht. In der Praxis erreichen AI-Vendoren ohne BSI AIC4, ISO 42001, SOC 2 oder ISO 27001 typischerweise nicht die finale Auswahlrunde in DACH-BFSI-RFPs.

DORA-Pflichten für AI-Agents in Banken und Versicherungen

Sechs Risikobereiche sind für AI-Agents im Finanzsektor sektorspezifisch und über DORA hinaus zu beachten – sie tauchen in horizontaler KI-Compliance nur am Rand auf:

1. Modellrisikomanagement. MaRisk AT 4.3.5 ist seit den Novellen 2023/2024 explizit auch auf KI-/ML-Modelle anwendbar und verlangt Lebenszyklus-Dokumentation, unabhängige Validierung, Backtesting und periodische Überprüfung. Die BaFin-Orientierungshilfe fordert zusätzlich Adversarial-Training-Dokumentation und Modelldrift-Monitoring.
2. Erklärbarkeit bei Kreditentscheidungen. § 504a BGB, Art. 22 DSGVO und die künftige Hochrisiko-Klassifizierung nach AI Act Annex III erzwingen, dass eine zuständige Person die treibenden Faktoren benennen kann. End-to-End-LLM-Kreditscoring ist damit praktisch ausgeschlossen; KI bleibt in Triage- und Erklärungsrollen.
3. Audit-Trail-Vollständigkeit. Für aufsichtsrechtliche Sonderprüfungen (BaFin-Sonderprüfung, FINMA-Vor-Ort-Kontrolle, OeNB-Prüfung) muss jede Inference revisionssicher protokolliert sein – inklusive Prompt, Kontext, Retrieval-Quellen, Modellversion und Output.
4. Latenzanforderungen. Trading-Compliance erfordert <10 ms, Fraud-Detection <1 s. LLM-Agenten im Hot Path sind selten machbar.
5. Datenresidenz. In DE und AT betonen Aufsichten zunehmend EU- bzw. nationale Residenz für KI-Trainings- und Inferenzdaten; in der Schweiz verlangt das Bankgeheimnis (Art. 47 BankG) praktisch CH-Datenhaltung für Kundendaten.
6. Konzentrationsrisiko durch die CTPP-Designation (siehe oben).

In der Folge sind 2026 vollautonome Kreditentscheidungen und vollautonome Multi-Agent-Trading-Workflows nicht im Produktivbetrieb. Standard sind dagegen Customer-Service-Agenten Tier 1, Fraud-Detection, AML/KYC-Triage und regulatorisches Reporting – durchweg mit Human-in-the-Loop, wo Entscheidungen rechtliche Wirkung entfalten.

DACH-Bezug: Drei Tracks statt einer Linie

DORA prägt Deutschland und Österreich als EU-Acquis direkt; die Schweiz übernimmt sektoral autonom. Das führt zu einer Drei-Track-Compliance, die DACH-übergreifend tätige Institute beachten müssen:

Eine FINMA-Umfrage vom April 2025 unter rund 400 Instituten zeigt das Adoptionsniveau: etwa 50% der Schweizer Banken und Versicherer setzen bereits KI ein oder entwickeln Anwendungen, weitere 25% planen den Einsatz binnen drei Jahren; im Schnitt sind rund 5 Anwendungen produktiv und rund 9 in Entwicklung. 91% der KI-nutzenden Institute setzen generative KI ein. Die FINMA-Aufsichtsmitteilung präzedierte die BaFin-Orientierungshilfe um genau zwölf Monate, ist mit ihr aber nicht voll deckungsgleich – die FINMA verlangt etwa zentrale KI-Inventare mit Risikoklassifizierung und Fallback-Lösungen.

Die österreichische Regulierungslücke ist ambivalent: Sie schafft Spielraum, erhöht aber die Unsicherheit bei Vor-Ort-Kontrollen, weil Erwartungen nicht ex ante kodifiziert sind. Eine zentrale KI-Servicestelle wurde 2024 bei der RTR-GmbH eingerichtet – zur Beratung, nicht zur sektoralen Aufsicht.

Ausblick und Praxis-Hinweis

Die regulatorischen Goalposts bewegen sich: Zu beobachten bleiben weitere Versionen der BaFin-Orientierungshilfe und ihre Auslegung in Sonderprüfungen, mögliche Konkretisierungen der FINMA über AM 08/2024 hinaus, eine erwartete formelle AI-Leitlinie der FMA Österreich sowie die finale Veröffentlichung der EBA AI Risk Management Guidelines im Laufe von 2026 (auf Basis der sechs BSI-Säulen). Offen ist auch, ob die ab 2026 erwarteten ersten CTPP-Empfehlungen DACH-Institute tatsächlich zu echtem Multi-Cloud bewegen oder ob es bei symbolischen Exit-Plänen bleibt.

Für die Praxis gilt: Wer 2026 KI im Finanzsektor produktiv setzt, sollte die BaFin-Orientierungshilfe als interne Norm behandeln (auch dort, wo die FMA noch keine eigene Leitlinie hat), den DORA-Vorfallsmeldekanal und TLPT operationalisieren, den BSI Test Criteria Catalogue Finance als Vendor-Filter nutzen und KI von Beginn an als IKT-System mit vollem Lebenszyklus-Management denken. Der Compliance-Anteil macht in regulierten DACH-Branchen erfahrungsgemäß 30-50% des Implementierungsaufwands aus – das ist Risiko und Wettbewerbsvorteil zugleich.

Informational, keine Rechtsberatung. Stand der zugrunde liegenden Quellen: Mai 2026; provisorische Fristen und angekündigte Leitlinien sind als beweglich zu betrachten.