Was fordert die FINMA im Bereich KI-Governance?

Die FINMA erwartet von regulierten Finanzinstituten ein dokumentiertes KI-Governance-Framework mit klarer Verantwortlichkeitsstruktur, Risikobewertungsprozessen für KI-Systeme, Modell-Validierung und laufendem Monitoring der KI-Entscheidungen.

Welche KI-Risiken sind für Schweizer Finanzinstitute besonders relevant?

Die kritischsten KI-Risiken im Schweizer Finanzsektor sind: Modell-Bias in Kreditentscheidungen, fehlende Erklärbarkeit (Explainability) bei automatisierten Kundenentscheiden, Datenschutzverletzungen durch KI-Training auf Kundendaten, und Systemrisiken durch übermäßige Automatisierungsabhängigkeit.

Wie unterscheidet sich die FINMA-KI-Regulierung von der EU-KI-Verordnung?

Die FINMA-Regulierung ist prinzipienbasiert und sektorspezifisch (Finanzinstitute), während die EU-KI-Verordnung horizontal alle Branchen abdeckt. Schweizer Finanzinstitute müssen beide Anforderungen berücksichtigen, da sie häufig EU-Kunden bedienen.

FINMA · KI-COMPLIANCE · SCHWEIZ

FINMA KI-Governance 2026: Compliance-Leitfaden für Schweizer Finanzinstitute

Gilbert Cesarano 30. April 2026 12 min Lesezeit DE

Schweizer Alpen mit KI-Gitter – Compliance und Regulierung

🎯 Direkte Antwort

FINMA verlangt von Schweizer Finanzinstituten, die KI einsetzen, ein vollständiges Governance-Framework: Verantwortlichkeit auf Geschäftsleitungsebene, dokumentiertes Risikomanagement, Erklärbarkeit für algorithmengestützte Entscheidungen und operatives Risikomanagement für KI-Systemausfälle. Ab 2. August 2026 schafft der EU AI Act für Institute mit EU-Kunden eine zweite, parallele Compliance-Ebene.

FINMA-Position zu KI: Was die Aufsichtsbehörde erwartet

FINMA hat bisher keine dedizierte KI-Rundschreiben erlassen — aber ihre Erwartungen sind durch Aufsichtsmitteilungen, Risikoberichte und den Risikomonitor 2024 klar formuliert. Die konsistente Botschaft: KI-Deployments im Schweizer Finanzdienstleistungssektor müssen in das bestehende operationelle Risiko- und Governance-Framework eingebettet sein. "Die KI hat entschieden" ist keine akzeptable Antwort, wenn ein Kunde eine Kreditentscheidung anficht oder FINMA einen Risikobewertungsprozess prüft.

Die sechs FINMA-KI-Governance-Säulen

Säule	FINMA-Anforderung	Praktische Umsetzung
1. Geschäftsleitungsverantwortung	Vorstand/GL-Verantwortung für KI-Governance — kann nicht vollständig an IT delegiert werden	KI-Governance-Richtlinie auf C-Suite-Ebene; benannter KI-Risikoverantwortlicher
2. Risikomanagement	KI-Systeme klassifiziert und im operationellen Risikorahmen geführt	Risikoregister mit allen KI-Systemen; Risikoappetit für KI-Entscheidungsdomänen
3. Modellrisiko	KI-Modelle vor Deployment und periodisch unabhängig validiert	Modellvalidierungsprotokoll; Dokumentation der Validierungsmethodik
4. Erklärbarkeit	Kredit-, Versicherungs- und Investment-KI-Entscheidungen müssen Kunden und Aufsichtsbehörden erklärbar sein	Erklärbarkeits-Layer auf allen kundenseitigen KI-Systemen
5. Operative Resilienz	KI-Systemausfälle müssen im BCP/DRP-Framework handhabbar sein	KI in BCP/DRP; Fallback-Prozeduren; menschliche Override-Protokolle
6. Drittanbieter-KI	Vendor-KI-Tools gleicher Sorgfaltspflicht wie andere ausgelagerte Dienstleistungen	KI-Vendor-Bewertungsprotokoll; vertragliche Governance-Klauseln

Das Doppelschicht-Problem: FINMA + EU AI Act

Schweizer Finanzinstitute mit EU-Kunden stehen vor einer einzigartigen Compliance-Herausforderung: Die FINMA-Governance-Erwartungen gelten für alle KI-Systeme im Schweizer Kontext. Der EU AI Act gilt für alle Hochrisiko-KI-Anwendungen gegenüber EU-Kunden — Kreditscoring, Versicherungs-Underwriting, Investment-Beratung.

Die doppelte Compliance-Last: Eine Schweizer Bank mit deutschen oder österreichischen Kunden muss denselben KI-Entscheidungsprozess gleichzeitig gegen FINMA-Governance-Erwartungen UND EU AI Act Hochrisiko-Anforderungen (Anhang III) prüfen. Die meisten Compliance-Tools adressieren nur eines davon. Das NemoClaw-Assessment wurde entwickelt, um beide Frameworks gleichzeitig zu evaluieren.

Der 30-Tage FINMA KI-Governance Sprint

Woche 1: Vollständiges KI-System-Inventar — welche KI-Systeme sind im Einsatz? Welche Entscheidungen treffen sie?
Woche 2: Risikoklassifizierung aller Systeme nach FINMA-Framework und EU AI Act Annex III
Woche 3: Dokumentationsaufbau: Risikoregister, Modellvalidierungsprotokoll, Erklärbarkeits-Framework
Woche 4: Governance-Richtlinie auf Geschäftsleitungsebene verabschiedet, Audit Trail für alle Hochrisiko-Systeme aktiviert

Häufig gestellte Fragen

Welche KI-Anwendungen in Finanzinstituten gelten als Hochrisiko?

Kreditscoring-KI, automatisierte Versicherungs-Underwriting-Systeme, Investment-Advisory-KI, AML-Flagging-Systeme und kundenseitige KI-Chatbots im regulierten Finanzbereich gelten als Hochrisiko unter EU AI Act Annex III und unterliegen erhöhten FINMA-Governance-Erwartungen.

Was ist ein FINMA-konformes KI-Audit Trail?

Ein FINMA-konformes Audit Trail für KI-Entscheidungen im Finanzbereich muss dokumentieren: verwendete Daten, Entscheidungsergebnis und Konfidenzgrad, ob menschliche Prüfung erfolgte, Datum/Uhrzeit jeder Entscheidung und Systemversion. Das STERN-Framework-Reporting generiert FINMA-konforme Audit Trails automatisch.

Empfohlener Service

FINMA + EU AI Act Dual-Compliance-Audit — Beide Frameworks, ein Report

Das NemoClaw-Assessment prüft Ihre KI-Systeme gleichzeitig gegen FINMA-Governance-Erwartungen und EU AI Act Hochrisiko-Anforderungen. Ein Dokument — zwei Regulatoren abgedeckt. Für Schweizer Finanzinstitute mit EU-Kunden.