5 Min. Lesezeit

FINMA Guidance 08/2024: KI-Governance für Schweizer Finanzinstitute

Die FINMA verlangt von Banken und Versicherungen eine systematische KI-Governance. Was das Rundschreiben 08/2024 konkret fordert, welche Fristen gelten und wie Sie sich vorbereiten.

FINMAKI-GovernanceComplianceBankingVersicherungAI Governance

FINMA Guidance 08/2024: KI-Governance für Schweizer Finanzinstitute

Die FINMA hat mit dem Rundschreiben 08/2024 erstmals einen konkreten Rahmen für den Einsatz von künstlicher Intelligenz in beaufsichtigten Instituten geschaffen. Was bisher als Best Practice galt, wird verbindlich. Für Compliance-Verantwortliche in Banken und Versicherungen bedeutet das: strukturieren, dokumentieren, nachweisen.

Dieser Artikel zerlegt das Rundschreiben in seine praktischen Bestandteile. Keine Zusammenfassung des Zusammenfassungspapiers. Konkrete Anforderungen, konkrete Schritte.

Was die FINMA verlangt: Fünf Säulen

1. KI-Inventar

Jedes beaufsichtigte Institut muss ein vollständiges Inventar aller KI-Systeme führen. Das klingt einfacher als es ist.

Ein KI-Inventar nach FINMA-Standard umfasst:

  • Systemname und Beschreibung: Was tut das System? In welchem Geschäftsprozess ist es eingebettet?
  • Klassifikation: Entscheidungsunterstützend oder entscheidungsautonom? Kundengerichtet oder intern?
  • Risikoeinstufung: Basierend auf der Auswirkung bei Fehlfunktion. Eine automatisierte Kreditprüfung hat ein anderes Risikoprofil als ein interner Chatbot für HR-Fragen.
  • Datenquellen: Welche Daten fliessen ein? Personendaten? Finanzdaten? Kundendaten?
  • Verantwortlichkeiten: Wer ist fachlich verantwortlich? Wer technisch? Wer hat die Freigabe erteilt?
  • Letzte Überprüfung: Wann wurde das System zuletzt validiert?

Die FINMA erwartet, dass dieses Inventar aktuell gehalten wird. Nicht einmal jährlich. Laufend.

Praktische Herausforderung: In den meisten Instituten weiss niemand genau, wie viele KI-Systeme im Einsatz sind. Excel-Listen der IT-Abteilung erfassen die offiziellen Tools. Aber der Analyst, der ChatGPT für Zusammenfassungen nutzt, oder das Team, das einen externen Scoring-Dienst eingebunden hat, tauchen dort nicht auf. Die FINMA meint alles. Auch eingebettete KI in eingekaufter Software.

2. Risikobewertung und Klassifikation

Die FINMA arbeitet mit einem dreistufigen Risikomodell für KI-Systeme:

Hohes Risiko:

  • Systeme mit direkter Auswirkung auf Kunden (Kreditentscheide, Pricing, Risikobewertung)
  • Systeme in der Geldwäschereibekämpfung (GwG Art. 3-7 Sorgfaltspflichten)
  • Systeme, die regulatorische Berichte generieren (FINMA-Meldungen, Eigenmittelberechnungen)

Mittleres Risiko:

  • Entscheidungsunterstützende Systeme (Analyse-Tools, die einem Menschen zuarbeiten)
  • Interne Automatisierung mit Auswirkung auf Mitarbeitende (HR-Screening, Performance-Bewertung)

Niedriges Risiko:

  • Rein interne Hilfsmittel ohne direkten Einfluss auf Entscheide (Textzusammenfassung, Übersetzung)

Die Einstufung bestimmt den Dokumentationsaufwand. Hochrisiko-Systeme brauchen eine vollständige Validierung vor dem Einsatz und regelmässige Nachvalidierungen. Niedrigrisiko-Systeme kommen mit einer Erstdokumentation aus.

3. Model Governance

Für jedes KI-System mit mittlerem oder hohem Risiko verlangt die FINMA ein dokumentiertes Governance-Framework:

Vor dem Einsatz (Pre-Deployment):

  • Testresultate dokumentiert
  • Bias-Prüfung durchgeführt (besonders bei kundenbezogenen Entscheiden)
  • Datenschutz-Folgenabschätzung nach DSG Art. 22 (wenn Personendaten betroffen)
  • Freigabe durch die verantwortliche Geschäftsleitung

Im laufenden Betrieb (Post-Deployment):

  • Monitoring-Metriken definiert und überwacht
  • Drift-Detection: Verschlechtert sich die Modellqualität über die Zeit?
  • Incident-Prozess: Was passiert, wenn das System falsche Ergebnisse liefert?
  • Regelmässige Revalidierung (FINMA empfiehlt mindestens jährlich für Hochrisiko)

Dokumentationspflicht: Die FINMA erwartet, dass die gesamte Model Governance jederzeit prüfbar ist. Bei einer Vor-Ort-Prüfung muss das Institut nachweisen können, dass jedes KI-System den definierten Prozess durchlaufen hat.

4. Outsourcing und Drittanbieter

Die meisten Institute kaufen KI-Fähigkeiten ein, statt sie selbst zu entwickeln. Die FINMA behandelt das als Auslagerung im Sinne des Rundschreibens 2018/3 «Outsourcing».

Konkret:

  • Jeder externe KI-Anbieter muss im Auslagerungsinventar erfasst sein.
  • Für wesentliche Auslagerungen: Due Diligence, vertragliche Prüfrechte, Exit-Strategie.
  • Cloud-Hosting von KI-Modellen fällt unter die Cloud-Richtlinien der FINMA.
  • Besondere Sorgfalt bei ausländischen Anbietern: Wo werden Daten verarbeitet? Gilt der US CLOUD Act? Konflikt mit DSG Art. 16-17 (Datenexport)?

Was oft vergessen wird: Auch eine API-Anbindung an einen KI-Dienst (z.B. ein Scoring-Modell via REST-API) ist eine Auslagerung, wenn das Ergebnis in einen beaufsichtigten Geschäftsprozess einfliesst.

5. Transparenz und Nachvollziehbarkeit

Die FINMA verlangt, dass KI-Entscheide nachvollziehbar sind. Das bedeutet nicht, dass jeder Algorithmus erklärbar sein muss (Explainable AI im akademischen Sinne). Es bedeutet:

  • Gegenüber Kunden: Wenn ein KI-System an einer Entscheidung beteiligt war, die den Kunden betrifft (Kreditablehnung, Prämienerhöhung), muss der Kunde darüber informiert werden. Die Entscheidungsgrundlage muss nachvollziehbar dargelegt werden können.
  • Gegenüber der Aufsicht: Die FINMA muss verstehen können, wie das System zu seinem Ergebnis kommt. Nicht im Detail jeder Gewichtung, aber in der Logik des Ansatzes.
  • Intern: Die Geschäftsleitung muss die Risiken der eingesetzten KI-Systeme verstehen und beurteilen können, ohne selbst Data Scientists zu sein.

Fristen und Übergangsbestimmungen

Die FINMA hat keine harte Übergangsfrist für das Rundschreiben 08/2024 festgelegt. Aber die Aufsichtspraxis zeigt:

  • Bei der nächsten Vor-Ort-Prüfung wird das Thema KI-Governance angesprochen.
  • Institute, die bis dahin kein Inventar und keine Governance-Struktur vorweisen können, erhalten Auflagen.
  • Für systemrelevante Institute (Kategorie 1 und 2) sind die Erwartungen höher und die Fristen kürzer.

Empfehlung: Bis Q3 2026 sollte das KI-Inventar stehen. Bis Q4 2026 das Governance-Framework für alle Hochrisiko-Systeme. Das ist ambitioniert, aber realistisch.

Überschneidung mit dem EU AI Act

Für Institute mit EU-Geschäft kommt der EU AI Act (Regulation 2024/1689) hinzu. Die FINMA-Anforderungen und die EU-Anforderungen überlappen sich, sind aber nicht identisch:

Thema FINMA 08/2024 EU AI Act
KI-Inventar Verlangt Verlangt (Art. 26)
Risikobewertung Dreistufig Vierstufig (verboten, hoch, begrenzt, minimal)
Transparenz Kundeninformation bei KI-Entscheiden Art. 50: Kennzeichnungspflicht
Bias-Prüfung Empfohlen Art. 10: Pflicht bei Hochrisiko
Dokumentation Umfassend Art. 11: Technische Dokumentation
Sanktionen Aufsichtsrechtliche Massnahmen Bis EUR 35 Mio. oder 7% Umsatz

Ein Institut, das beide Regelwerke erfüllen muss, sollte den Governance-Prozess so aufsetzen, dass er beide abdeckt. Doppelarbeit vermeiden. Die FINMA-Anforderungen sind in den meisten Punkten eine Teilmenge der EU-Anforderungen. Wer EU-konform ist, erfüllt in der Regel auch die FINMA-Erwartungen.

Wo die meisten Institute stehen

Stand März 2026, basierend auf öffentlich verfügbaren Informationen und Branchengesprächen:

  • Grossbanken: Haben eigene AI-Governance-Teams. KI-Inventare existieren, sind aber oft unvollständig.
  • Kantonalbanken: Meist keine dedizierte KI-Governance. KI-Nutzung findet statt, aber ohne systematische Erfassung.
  • Unabhängige Vermögensverwalter: KI-Governance existiert in den seltensten Fällen. Die FINMA-Erwartungen sind für viele Neuland.
  • Versicherungen: Heterogen. Grosse Versicherer haben Governance-Strukturen. Kleinere nicht.

Das ist kein Vorwurf. Bis vor einem Jahr gab es kein Rundschreiben, das KI-Governance explizit verlangte. Jetzt gibt es eines.

Praktische Schritte: Von Null zum FINMA-konformen Setup

Woche 1-2: Inventar Alle KI-Systeme erfassen. Nicht nur die offensichtlichen. Jede Abteilung befragen. Externe APIs prüfen. Eingebettete KI in eingekaufter Software identifizieren.

Woche 3-4: Klassifikation Jedes System nach dem FINMA-Risikomodell einstufen. Hochrisiko-Systeme markieren.

Woche 5-6: Governance-Framework Prozesse definieren: Wer genehmigt neue KI-Systeme? Wer validiert bestehende? Wie wird dokumentiert? Welche Checkliste wird verwendet?

Woche 7-8: Umsetzung Hochrisiko Für jedes Hochrisiko-System: Validierungsbericht, Bias-Prüfung, Datenschutz-Folgenabschätzung, Freigabe durch Geschäftsleitung.

Laufend: Monitoring Inventar aktuell halten. Systeme überwachen. Incidents dokumentieren. Jährliche Revalidierung einplanen.

Die Datengrundlage

Die grösste Herausforderung ist nicht der Prozess. Es ist das Wissen. Compliance-Verantwortliche müssen wissen, was die FINMA konkret erwartet, welche Rundschreiben gelten und wie sich die Aufsichtspraxis entwickelt.

Unsere Plattform deckt alle 27 FINMA-Tabellen ab: Rundschreiben, Enforcement-Entscheide, Warnungen, FAQ, Guidance-Papiere. Aktualisiert jede Nacht. Quellenverifiziert. Durchsuchbar.

Wenn sich FINMA Guidance 08/2024 ändert oder ergänzt wird, erfahren Sie es über unsere WatchTower-Alerts am selben Tag.

Dieser Artikel dient der Information und stellt keine Rechtsberatung dar. Für die Umsetzung regulatorischer Anforderungen empfehlen wir die Beratung durch qualifizierte Fachpersonen.

Zurück zum Blog

Verwandte Artikel

21 March 2026

FINMA-Compliance mit KI automatisieren: Chancen und Grenzen

Wie KI bei der FINMA-Compliance helfen kann. AML, KYC, regulatorisches Monitoring und die Grenzen der Automatisierung im Schweizer Finanzsektor.
20 March 2026

Wie KI die FINMA-Compliance transformiert

FINMA-Compliance ist dokumentenlastig, zeitkritisch und mit hohem Risiko verbunden. KI verändert, wie Schweizer Finanzinstitute regulatorische Pflichten handhaben. Was funktioniert und was nicht.
17 March 2026

Der EU AI Act kommt auf Schweizer KMU zu

Der EU AI Act tritt am 2. August 2026 in Kraft. Schweizer KMU, die EU-Kunden bedienen, stehen vor neuen Pflichten bei KI-Transparenz, Risikoklassifizierung und Data Governance. Was jetzt zu tun ist.