Published on

FINMA-Aufsichtsmitteilung 08/2024: KI-Governance im Finanzsektor

Authors

Für den Schweizer Finanzsektor gibt es beim Einsatz künstlicher Intelligenz derzeit keine KI-spezifische Spezialregulierung. Wer die Erwartungen der Aufsicht verstehen will, kommt an einem Dokument nicht vorbei: der FINMA-Aufsichtsmitteilung 08/2024 «Governance und Risikomanagement beim Einsatz von künstlicher Intelligenz» vom 18. Dezember 2024. Diese Seite fasst zusammen, was die Mitteilung enthält, welchen rechtlichen Stellenwert sie hat und was Schweizer Finanzinstitute daraus ableiten sollten.

Schweizer Rechtsrahmen

Die Eidgenössische Finanzmarktaufsicht (FINMA) beaufsichtigt Banken, Versicherer, Fondsleitungen und weitere Finanzintermediäre auf Grundlage der Finanzmarktgesetze und des Finanzmarktaufsichtsgesetzes (FINMAG, SR 956.1). Ein eigenständiges «KI-Gesetz» für den Finanzplatz existiert nicht. Massgeblich sind stattdessen die bestehenden, technologieneutralen Anforderungen an Governance, operationelles Risikomanagement und Outsourcing – etwa aus dem FINMA-Rundschreiben zu operationellen Risiken und Resilienz sowie den Outsourcing-Vorgaben.

Eine Aufsichtsmitteilung ist kein Rundschreiben und keine Verordnung. Sie schafft kein neues Recht, sondern legt dar, wie die FINMA bestehende Anforderungen im Kontext einer bestimmten Entwicklung auslegt und welche Beobachtungen sie aus der laufenden Aufsicht gewonnen hat. Für beaufsichtigte Institute ist sie damit ein verbindlicher Referenzpunkt für die Erwartungshaltung der Aufsicht – auch ohne eigenständige Rechtsnormqualität.

Die konkrete Regelung: sieben Themenfelder

Die Aufsichtsmitteilung 08/2024 beruht auf Beobachtungen der FINMA aus der laufenden Aufsicht und benennt die aus Sicht der Behörde zentralen KI-bezogenen Risiken. Genannt werden insbesondere operationelle Risiken und dabei Modellrisiken (mangelnde Robustheit, Korrektheit, Verzerrung zulasten einzelner Gruppen, fehlende Stabilität und mangelnde Erklärbarkeit), eine zunehmende Abhängigkeit von Dritten – namentlich Hardware-, Modell- und Cloud-Anbietern – sowie eine erschwerte Zuordnung von Verantwortung, wenn KI-Systeme weitgehend autonom und schwer nachvollziehbar handeln.

Ihre Erwartungen strukturiert die FINMA entlang von sieben Themenfeldern:

  1. Governance – klare Strukturen und Zuständigkeiten für Entwicklung, Implementierung, Überwachung und Nutzung von KI-Anwendungen.
  2. Bestandesaufnahme und Risikoklassifizierung – ein vollständiges, zentral geführtes Inventar aller KI-Anwendungen, klassifiziert nach Risiko, mit nachvollziehbarer Begründung.
  3. Datenqualität – Korrektheit, Konsistenz, Vollständigkeit und Aktualität der verwendeten Daten müssen laufend sichergestellt werden. Die FINMA weist darauf hin, dass die Beurteilung bei unstrukturierten Daten wie Texten und Bildern besonders anspruchsvoll ist.
  4. Tests und laufende Überwachung – regelmässige Prüfung auf Datenqualität und Modellstabilität, nicht nur zum Zeitpunkt der Einführung.
  5. Dokumentation – nachvollziehbare Festhaltung von Zweck, Datenauswahl und -aufbereitung, Modellwahl, Leistungskennzahlen, Annahmen, Grenzen, Tests, Kontrollen und Fallback-Lösungen wesentlicher Anwendungen.
  6. Erklärbarkeit – die Ergebnisse und Entscheidungswege der eingesetzten Modelle müssen im erforderlichen Umfang nachvollziehbar sein.
  7. Verantwortung – die Verantwortung für den KI-Einsatz verbleibt beim Institut und lässt sich nicht an ein Modell oder einen Drittanbieter delegieren; für wesentliche Anwendungen erwartet die FINMA zudem unabhängige Überprüfungen.

Charakteristisch ist der prinzipienbasierte, proportionale Ansatz: Die FINMA nennt keine starren Schwellenwerte und keinen fixen Massnahmenkatalog, sondern knüpft die Anforderungen an Wesentlichkeit und Risikogehalt der jeweiligen Anwendung. Institute müssen selbst begründen, wie sie klassifizieren und welche Kontrollen daraus folgen.

Abgrenzung zum EU AI Act

Der Unterschied zum EU AI Act ist grundlegend. Der EU AI Act ist ein horizontales, sektorübergreifendes Regelwerk mit definierten Risikoklassen, konkreten Pflichten für Hochrisiko-Systeme und einem verbindlichen Enforcement-Zeitpunkt (02.12.2027). Die FINMA-Aufsichtsmitteilung ist demgegenüber sektorspezifisch (nur Finanzmarkt), prinzipienbasiert und ohne eigene Sanktionsnorm: Sie interpretiert bestehende aufsichtsrechtliche Anforderungen, statt einen neuen, abschliessenden Pflichtenkatalog zu schaffen. Wo der EU AI Act eine Anwendung anhand ihres Anwendungsfalls einer festen Klasse zuweist, verlangt die FINMA eine institutseigene, begründete Risikoeinstufung. Schweizer Finanzinstitute, die KI-Systeme auch im EU-Binnenmarkt anbieten oder dort Wirkung entfalten, können zusätzlich vom EU AI Act erfasst sein – diese Marktzugangs-Brücke wird auf ki-verordnung.ch gesondert behandelt.

Praxis für Schweizer Finanzinstitute

Operativ lässt sich die Aufsichtsmitteilung in einige belastbare Schritte übersetzen. Zuerst steht die Bestandesaufnahme: ein vollständiges Inventar aller produktiv oder in Erprobung genutzten KI-Anwendungen, inklusive eingekaufter Modelle und in Standardsoftware eingebetteter KI-Funktionen. Darauf folgt die Risikoklassifizierung mit dokumentierter Begründung, weshalb eine Anwendung als wesentlich oder unwesentlich eingestuft wird. Für wesentliche Anwendungen sind Dokumentation, Tests und eine unabhängige Überprüfung aufzusetzen, ebenso definierte Zuständigkeiten, damit die Verantwortung nachweisbar beim Institut bleibt und nicht implizit an einen Cloud- oder Modellanbieter abwandert.

Dass dieser Aufwand kein theoretischer ist, zeigt die weitere Aufsichtstätigkeit: Im April 2025 veröffentlichte die FINMA die Ergebnisse einer Umfrage zur KI-Nutzung bei Schweizer Finanzinstituten, die eine zunehmende Verbreitung dokumentiert. Die Erwartungen der Aufsichtsmitteilung sind damit keine Vorratsregelung für einen Ausnahmefall, sondern richten sich an eine Praxis, die sich bereits im Aufbau befindet.

Der rote Faden ist Nachweisbarkeit: Die FINMA erwartet nicht das Versprechen, ein KI-System sei fehlerfrei, sondern den dokumentierten Nachweis, dass Risiken identifiziert, klassifiziert, kontrolliert und überwacht werden. Genau hier setzt eine evidenzbasierte Trust-Grundlage an – eine, die Inventar, Klassifizierung, Tests und Kontrollnachweise strukturiert und prüffest zusammenführt, statt sie über verteilte Dokumente zu verstreuen. Das zahlt zugleich auf allfällige EU-Anforderungen ein: Wer die sieben FINMA-Themenfelder sauber belegt, hat einen grossen Teil der Governance-Substanz bereits aufgebaut, die auch unter einem Hochrisiko-Verständnis verlangt wird. Die zugrundeliegende Klassifizierungslogik ist auf hochrisiko-ki.com beschrieben.

Verweise

  • FINMA, Aufsichtsmitteilung 08/2024 «Governance und Risikomanagement beim Einsatz von künstlicher Intelligenz», 18.12.2024 (finma.ch, Dokumentencenter → Aufsichtsmitteilungen)
  • FINMA, Medienmitteilung vom 18.12.2024 zur Aufsichtsmitteilung 08/2024 (finma.ch/news)
  • FINMA, Medienmitteilung vom 24.04.2025: Umfrage zur KI-Nutzung bei Schweizer Finanzinstituten (finma.ch/news)
  • Finanzmarktaufsichtsgesetz (FINMAG, SR 956.1)
  • FINMA-Rundschreiben zu operationellen Risiken und Resilienz sowie zum Outsourcing (finma.ch, Rundschreiben)

Trust-Infrastructure, die Schweizer und EU-Anforderungen gleichzeitig nachweisbar adressiert: aegira.ai.