KI für Finanzdienstleister im Mittelstand: BaFin-konform, AML-sicher, Onboarding beschleunigt

Für mittelständische Banken, Vermögensverwalter und Zahlungsdienstleister verändert sich 2026 der Rahmen für den Einsatz von KI deutlich. Die BaFin macht KI-Risikomanagement ab August 2026 zur Pflicht. Der EU AI Act führt Hochrisiko-Kategorien ein. DORA verschärft die Anforderungen an externe IT- und KI-Dienstleister. Parallel erwarten Kunden ein schnelles, digitales Onboarding und eine Beratung, die Ihre Situation nachvollzieht.

Dieser Artikel richtet sich an Geschäftsführungen und Vorstände von Finanzdienstleistern im Mittelstand. Er zeigt, wie Sie KI in KYC, AML und Kundenberatung pragmatisch nutzen, welche regulatorischen Leitplanken gelten und wie ein Festpreis-Pilot mit sensified in 90 Tagen belastbare Ergebnisse liefert, ohne komplexe Eigenbau-Projekte.

Was BaFin und EZB 2026 von Finanzdienstleistern erwarten

Die Erwartungen der Aufsicht an KI-Einsatz in Banken und Finanzdienstleistern sind inzwischen konkret. Laut BaFin ist KI-Risikomanagement ab dem 2. August 2026 Pflicht. Das betrifft auch Institute im Mittelstand, die KI in Kreditprozessen, im KYC-Onboarding oder in der Transaktionsüberwachung einsetzen.

Die BaFin-Orientierungshilfe zu KI verlangt, dass Institute Ihre KI-Modelle verstehen, überwachen und dokumentieren. Für eine mittelständische Bank heißt das: Es reicht nicht, ein fertiges Tool zu kaufen. Sie benötigen ein eigenes Verständnis der Modelle, der Trainingsdaten und der Grenzen. Ein strukturiertes KI-Risikomanagement umfasst daher Governance, Modellvalidierung und Monitoring.

Die EZB erwartet von beaufsichtigten Instituten, dass Sie KI in das bestehende Risikomanagement und die interne Kontrollsystematik integrieren. Für kleinere Häuser ist das anspruchsvoll, weil Fachbereiche, Compliance und IT oft getrennt arbeiten. KI-Projekte geraten dann zwischen die Bereiche, obwohl der Druck auf KYC, AML und Effizienz steigt.

KI-Risikomanagement ist keine Zusatzoption mehr

Mit der BaFin-Pflicht zum KI-Risikomanagement ab August 2026 wird aus einer freiwilligen Option ein Muss. Institute, die Ihre KI-Modelle nicht erklären, überwachen und dokumentieren können, riskieren Aufsichtsmaßnahmen und operative Störungen.

Wer die Vorgaben der BaFin-Orientierungshilfe zu KI ernst nimmt, baut Governance und Technik gemeinsam auf. Dazu gehören klare Verantwortlichkeiten für KI-Modelle, ein Modellregister, definierte Freigabeprozesse und technische Monitoring-Funktionen, die Auffälligkeiten zeitnah sichtbar machen. Eine gemanagte KI-Plattform kann hier unterstützen, ohne dass Sie eine komplette Infrastruktur selbst entwickeln müssen.

Was Sie davon mitnehmen: Wer die Vorgaben der BaFin-Orientierungshilfe zu KI ernst nimmt, baut Governance und Technik gemeinsam auf.

Drei Use Cases mit messbarem ROI: KYC, AML und Kundenberatung

Im Mittelstand sind drei Anwendungsfelder besonders relevant, weil Sie direkt auf Kosten, Risiko und Kundenerlebnis wirken: KYC-Onboarding, AML-Transaktionsüberwachung und die Unterstützung der Kundenberatung, etwa im Private Banking oder in der Vermögensverwaltung.

KI im KYC-Onboarding

Im KYC-Prozess liegen oft die größten Effizienzreserven. Dokumente müssen geprüft, Daten abgeglichen und Risikoprofile erstellt werden. In vielen mittelständischen Banken geschieht dies noch mit manuellen Checklisten und Medienbrüchen. KI kann Dokumente auslesen, Plausibilitätsprüfungen vornehmen und Risikohinweise priorisieren. Ziel ist nicht die Automatisierung der Entscheidung, sondern die gezielte Entlastung der Sachbearbeitung.

Ein sensified-Kunde aus dem Private-Banking-Umfeld konnte die KYC-Bearbeitungszeit von 36 auf 21 Stunden senken. Diese Verkürzung um rund 40 Prozent entstand, weil KI die Vorprüfung von Unterlagen, die Dublettenprüfung und die Zusammenfassung von Risikofaktoren übernahm. Die finale Entscheidung blieb beim Compliance-Team, das nun aufbereitete Dossiers statt Rohdaten erhält.

KI in der AML-Geldwäscheüberwachung

In der Geldwäscheprävention leiden viele Institute unter hohen False-Positive-Raten. Klassische Regelwerke erzeugen zahlreiche Alerts, die manuell bearbeitet werden müssen. KI-gestützte Modelle erkennen Muster, die auf echte Risiken hinweisen, und priorisieren unkritische Fälle nach unten. So sinkt die Blindarbeit, und die Teams konzentrieren sich stärker auf relevante Auffälligkeiten.

Für mittelständische Banken und Zahlungsdienstleister ist KI in der AML-Geldwäscheüberwachung interessant, weil Sie mit begrenzten Teams dieselben regulatorischen Anforderungen erfüllen müssen wie große Häuser. KI-gestützte Priorisierung und Textanalyse von Transaktionsbeschreibungen können die tägliche Arbeitslast spürbar senken, ohne die Sorgfaltspflichten zu schwächen.

KI in der Kundenberatung und Vermögensverwaltung

Im Private Banking und in der Vermögensverwaltung erwarten Kunden eine Beratung, die Ihre Situation und Präferenzen kennt. KI kann Berater unterstützen, indem Sie Kundeninformationen aus verschiedenen Systemen bündelt, Gesprächsvorbereitungen erstellt und passende Produkt- oder Portfolioideen vorschlägt. Die Entscheidung bleibt beim Berater, die Vorbereitung wird jedoch effizienter.

Für mittelständische Institute, die sich über persönliche Nähe differenzieren, ist KI in der Kundenberatung ein Hebel, um diese Stärke zu skalieren. Berater verbringen weniger Zeit mit Recherche und Dokumentation und mehr Zeit im Gespräch mit dem Kunden. Gleichzeitig lassen sich Beratungsdokumentationen strukturierter erfassen, was auch aus Compliance-Sicht vorteilhaft ist.

ROI entsteht aus Entlastung, nicht aus Vollautomatisierung

Die größten Effekte von KI in KYC, AML und Beratung entstehen, wenn Sachbearbeiter und Berater gezielt entlastet werden. Vollautomatisierung ist selten realistisch. Eine deutliche Reduktion manueller Routinetätigkeiten ist jedoch erreichbar.

Was Sie davon mitnehmen: Die größten Effekte von KI in KYC, AML und Beratung entstehen, wenn Sachbearbeiter und Berater gezielt entlastet werden.

Daten-Hürden bei Bestandskunden-Modellen

Viele mittelständische Finanzdienstleister möchten KI-Modelle auf Basis Ihrer Bestandskundendaten aufbauen. In der Praxis stoßen sie häufig auf drei Hürden: Datenqualität, Systembrüche und Datenschutz.

Erstens ist die Datenqualität oft uneinheitlich. Kundendaten liegen in Kernbankensystemen, CRM-Lösungen, Dokumentenarchiven und E-Mail-Systemen. Dubletten, veraltete Adressen und unstrukturierte Freitexte erschweren belastbare Modelle. Ohne ein sauberes Datenfundament riskieren KI-Projekte, Unschärfen der Vergangenheit zu wiederholen.

Zweitens führen Systembrüche zu Medienbrüchen im Prozess. Ein KYC-Sachbearbeiter wechselt zwischen Kernbankensystem, Dokumentenmanagement und Excel-Listen. KI kann diese Brüche nur überbrücken, wenn Schnittstellen vorhanden sind und klar ist, welche Daten für welchen Zweck genutzt werden dürfen.

Drittens ist Datenschutz zentral. Institute müssen sicherstellen, dass KI-Modelle im Rahmen der DSGVO und der bankaufsichtlichen Anforderungen betrieben werden. Relevant sind insbesondere der Verbleib der Daten, die Pseudonymisierung und die Protokollierung von Zugriffen.

In einem typischen Projekt mit sensified erfolgt daher zunächst eine Dateninventur. Relevante Datenquellen werden identifiziert, Datenqualitätsprobleme sichtbar gemacht und ein technischer Rahmen definiert, der DSGVO-konform ist und die Anforderungen der Aufsicht berücksichtigt. Erst auf dieser Basis entstehen Modelle für KYC, AML oder Beratung.

Was Sie davon mitnehmen: In einem typischen Projekt mit sensified erfolgt daher zunächst eine Dateninventur.

EU AI Act Hochrisiko: was für Banken und Asset-Manager gilt

Der EU AI Act klassifiziert bestimmte KI-Anwendungen als Hochrisiko. Für Banken und Vermögensverwalter betrifft dies vor allem KI-Systeme, die in Kreditwürdigkeitsprüfungen, Risikobewertungen oder der Kundenklassifizierung eingesetzt werden. Wer hier KI nutzt, muss strenge Anforderungen an Transparenz, Datenqualität, Dokumentation und menschliche Aufsicht erfüllen.

Für mittelständische Institute ist wichtig zu unterscheiden, welche KI-Anwendungen in den Hochrisiko-Bereich fallen und welche nicht. Ein Assistenzsystem, das KYC-Dokumente vorsortiert oder AML-Hinweise priorisiert, kann häufig außerhalb der Hochrisiko-Kategorie liegen, solange die finale Entscheidung beim Menschen bleibt und dokumentiert ist. Ein vollautomatisiertes Scoring-Modell für Kreditentscheidungen kann hingegen Hochrisiko-Charakter haben.

Der EU AI Act verlangt von Hochrisiko-Systemen unter anderem ein Risikomanagementsystem, eine Daten- und Daten-Governance-Strategie, technische Dokumentation, Protokollierung, Transparenz gegenüber Nutzern und menschliche Aufsicht. Für kleinere Häuser wirkt dies zunächst aufwendig. Mit einem strukturierten Vorgehen lassen sich diese Anforderungen jedoch in bestehende Governance-Strukturen integrieren.

sensified unterstützt hier typischerweise im Rahmen eines KI-Projekts mit klaren Phasen. In der Discovery-Phase wird geklärt, ob ein geplanter Use Case in den Hochrisiko-Bereich fällt. In der Design-Phase werden Governance- und Kontrollmechanismen definiert. In der Build-Phase werden Modelle und Monitoring umgesetzt. In der Operate-Phase erfolgt der Betrieb unter Berücksichtigung von EU AI Act, BaFin-Erwartungen und internen Richtlinien.

Was Sie davon mitnehmen: sensified unterstützt hier typischerweise im Rahmen eines KI-Projekts mit klaren Phasen.

DORA-Anforderungen an externe KI-Dienstleister

Mit DORA rücken die Verträge mit externen IT- und KI-Dienstleistern in den Fokus. Die Provider-Vertrags-Anforderungen gelten seit dem 17. Januar 2025. Für mittelständische Finanzdienstleister bedeutet dies, dass Sie Ihre Auslagerungsverträge und die Dienstleistersteuerung anpassen müssen, wenn Sie externe KI-Plattformen oder gemanagte Services nutzen.

DORA verlangt unter anderem klare Regelungen zu Verfügbarkeit, Ausfallszenarien, Datenzugriff, Unterauftragnehmern und Exit-Strategien. Beim Einsatz von KI-Plattformen ist das Risiko eines Vendor-Lock-in besonders kritisch. Institute müssen sicherstellen, dass Sie bei Bedarf den Dienstleister wechseln oder Lösungen in die eigene Infrastruktur überführen können.

Ein KI-Anbieter, der DORA-konform arbeiten möchte, muss Transparenz über seine Infrastruktur bieten, EU-Hosting gewährleisten und technische Möglichkeiten für Datenexport und Modellübergabe schaffen. Für mittelständische Banken und Vermögensverwalter ist es sinnvoll, diese Punkte früh in die Auswahlkriterien für KI-Dienstleister aufzunehmen.

sensified adressiert die DORA-Anforderungen mit drei Modellen. In KI-Projekten erhält der Kunde den vollständigen Code und die Dokumentation, was eine echte Exit-Option schafft. Die KI-Plattform von sensified wird EU-gehostet betrieben, mit klaren Schnittstellen für Datenexport und Monitoring. KI-Result als Output-as-a-Service wird vertraglich so gestaltet, dass Service-Level, Datenverwendung und Auditierbarkeit transparent geregelt sind.

Was Sie davon mitnehmen: sensified adressiert die DORA-Anforderungen mit drei Modellen.

Praxisfall: Privatbank senkt KYC-Bearbeitungszeit um 40 %

Ein Praxisbeispiel zeigt, wie sich regulatorische Anforderungen und Effizienzgewinne verbinden lassen. Eine mittelständische Privatbank mit Fokus auf vermögende Privatkunden stand vor der Aufgabe, steigende KYC-Anforderungen mit einem begrenzten Compliance-Team zu bewältigen. Die Bearbeitungszeit pro komplexem Neukundenfall lag im Schnitt bei 36 Stunden, verteilt über mehrere Tage und Abteilungen.

In einem gemeinsamen KI-Projekt mit sensified wurde zunächst der bestehende KYC-Prozess detailliert aufgenommen. In Workshops mit Compliance, Frontoffice und IT wurden alle Schritte vom Erstkontakt bis zur finalen Freigabe analysiert. Es zeigte sich, dass ein Großteil der Zeit auf das Sichten und Zusammenführen von Dokumenten entfiel, nicht auf die eigentliche Risikobewertung.

In der Design-Phase entstand ein Zielbild: KI sollte Dokumente automatisch klassifizieren, relevante Informationen extrahieren, Dubletten erkennen und ein strukturiertes Dossier für den Compliance-Officer erstellen. Die Entscheidung über die Kundenannahme blieb vollständig beim Menschen. Parallel wurden Governance-Regeln definiert, die sicherstellten, dass alle Schritte nachvollziehbar und auditierbar sind.

In der Build-Phase implementierte sensified ein System zur KI-gestützten Dokumentenverarbeitung, das in die bestehende IT-Landschaft der Bank integriert wurde. Die Lösung lief auf einer EU-gehosteten KI-Plattform mit etablierten Sicherheitsstandards. Nach einem dreimonatigen Pilotbetrieb wurden die Ergebnisse ausgewertet: Die KYC-Bearbeitungszeit sank von 36 auf 21 Stunden pro Fall. Diese Reduktion um rund 40 Prozent wurde von der Bank als sensified-Case bestätigt.

Wichtig war der Bank, die Kontrolle über die Lösung zu behalten. Daher erhielt sie den vollständigen Code und die Dokumentation. Das interne IT-Team wurde befähigt, Modelle anzupassen und neue Dokumenttypen zu integrieren. Aus einem Pilotprojekt wurde so ein Baustein der langfristigen Digitalisierungsstrategie.

Was Sie davon mitnehmen: Wichtig war der Bank, die Kontrolle über die Lösung zu behalten.

Einstieg: 90-Tage-Festpreis-Pilot mit sensified

Für viele mittelständische Finanzdienstleister ist der Einstieg in KI von Unsicherheit geprägt. Die Aufsicht fordert Governance, die IT warnt vor Komplexität, die Fachbereiche wünschen sich Entlastung. Ein 90-Tage-Festpreis-Pilot kann hier Klarheit schaffen, weil er Ziele, Kosten und Umfang festlegt.

Im Modell KI-Projekt bietet sensified typischerweise einen Pilot mit vier Phasen an. In der Discovery-Phase werden Use Case, Datenlage und regulatorische Rahmenbedingungen geklärt, etwa ob es um KI im KYC-Onboarding, um KI in der AML-Geldwäscheüberwachung oder um Unterstützung der Berater im Private Banking geht. In der Design-Phase entsteht ein technisches und fachliches Zielbild, inklusive Governance-Elementen wie Modellregister und Monitoring.

In der Build-Phase wird der Pilot umgesetzt, meist auf der gemanagten KI-Plattform von sensified. Diese Plattform unterstützt verschiedene Sprachmodelle, Retrieval-Ansätze sowie Monitoring- und Audit-Funktionen, die für BaFin, EU AI Act und DORA relevant sind. Der Betrieb erfolgt EU-gehostet, ohne dass Daten in nicht kontrollierbare Infrastrukturen abfließen. In der Operate-Phase läuft der Pilot im echten Betrieb, Ergebnisse werden gemessen und gemeinsam bewertet.

Für Institute, die keine eigene Plattform aufbauen möchten, ist KI-Result eine Alternative. Hier liefert sensified geprüfte Ergebnisse, etwa validierte KYC-Dossiers oder priorisierte AML-Hinweise, zu einem Preis pro Fall. Der Kunde betreibt keine Plattform, sondern integriert die Resultate über Schnittstellen in seine Prozesse. Dieses Modell eignet sich für Häuser, die schnell entlasten wollen, ohne sofort eine eigene KI-Landschaft aufzubauen.

Was Sie davon mitnehmen: Für Institute, die keine eigene Plattform aufbauen möchten, ist KI-Result eine Alternative.

Faktenüberblick: KI, Regulierung und Pilotprojekte

Was Sie davon mitnehmen: Faktenüberblick: KI, Regulierung und Pilotprojekte wirkt direkt im Tagesgeschäft, wenn die hier genannten Schritte umgesetzt sind.

Nächste Schritte

Wenn Sie als mittelständischer Finanzdienstleister KI in KYC, AML oder der Kundenberatung einsetzen möchten, ohne regulatorische Risiken einzugehen, ist der erste Schritt eine klare Priorisierung. Entscheidend ist die Frage, welcher Prozess in den nächsten zwölf Monaten den größten Hebel bietet.

In einem 60-minütigen Strategiegespräch klärt sensified mit Ihnen, welcher Use Case sich für einen 90-Tage-Pilot eignet, wie BaFin, EU AI Act und DORA konkret zu berücksichtigen sind und welches Modell passt: KI-Projekt, KI-Plattform oder KI-Result.

Auf dieser Basis entsteht ein Fahrplan mit Zeitplan, Verantwortlichkeiten und messbaren Zielen. So vermeiden Sie teure Experimente und schaffen in kurzer Zeit Ergebnisse, die Sie gegenüber Aufsichtsrat und internen Gremien vertreten können.