Eine französische Bank oder Versicherung, die KI einsetzt, muss zwei Erwartungshaltungen zugleich erfüllen. Die verbindlichen EU-Regelwerke bilden den Mindeststandard: die EU-KI-Verordnung, DORA und die EU-Geldwäscheverordnung. Darüber liegt die ACPR (Autorité de contrôle prudentiel et de résolution), Frankreichs Aufsichtsbehörde für Banken und Versicherungen, die eigene Erwartungen dazu veröffentlicht hat, wie KI im Finanzwesen zu steuern ist. Beide Ebenen laufen mit unterschiedlichem Vokabular auf dieselben Anforderungen hinaus: dokumentierte und repräsentative Daten, nachweisbare Leistung, über die Zeit stabiles Verhalten und Erklärungen, die ein Prüfer reproduzieren kann. Dieser Leitfaden überträgt den ACPR-Rahmen auf die verbindlichen Regelwerke für die drei KI-Systeme, die eine französische Bank 2026 am ehesten betreibt — Kreditscoring für Verbraucherkredite, Geldwäsche-Transaktionsüberwachung und Betrugserkennung im Kartenzahlungsverkehr. Die EU-weite, regelwerksgeleitete Sicht, die unter der französischen Perspektive liegt, findet sich in Governance von KI-Agenten für Geldwäsche und Zahlungsverkehr; dieser Beitrag behandelt, wie das bei einem von der ACPR beaufsichtigten Institut konkret aussieht.
Wer die ACPR ist und was sie beaufsichtigt
Die ACPR — Autorité de contrôle prudentiel et de résolution — ist Frankreichs Aufsichtsbehörde für Banken und Versicherungen. Sie ist eine unabhängige Verwaltungsbehörde, die von der Banque de France getragen wird, welche ihr Personal und ihre operativen Mittel bereitstellt (ACPR). Ihr Mandat erstreckt sich über drei Stränge: die aufsichtsrechtliche Solidität, die Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML-CFT, auf Französisch LCB-FT — lutte contre le blanchiment de capitaux et le financement du terrorisme) sowie den Schutz von Kunden und Versicherungsnehmern.
Im Bereich AML-CFT überwacht die ACPR, ob französische Institute ihre nationalen und EU-rechtlichen Pflichten einhalten, führt Vor-Ort- und Fernprüfungen durch und kann über ihren Sanktionsausschuss bei Verstößen verwaltungsrechtliche Sanktionen verhängen. Diese aufsichts- und sanktionsrechtliche Haltung ist der Blickwinkel, durch den in Frankreich jedes KI-System geprüft wird, das mit Finanzkriminalität in Berührung kommt. Eine zweite Rolle nimmt unter der EU-KI-Verordnung Gestalt an: Frankreichs Entwurf für die Benennung der zuständigen Behörden schlägt die ACPR als Marktüberwachungsbehörde für Hochrisiko-KI im Finanzsektor vor — eine noch nicht verabschiedete Benennung, die der Abschnitt zum Kreditscoring weiter unten ausführlich darstellt.
Die vier KI-Bewertungskriterien der ACPR
Im Juni 2020 veröffentlichte die ACPR ein Diskussionspapier, Governance of Artificial Intelligence in Finance, das auf einer im März 2019 mit Akteuren des Finanzsektors gestarteten Vorarbeit zu drei Anwendungsfällen aufbaut: AML-CFT, interne Modelle (konkret Kreditscoring) und Verbraucherschutz (ACPR-Publikation). Zwei übergreifende Themen zogen sich durch diese Arbeit: die Bewertung von KI-Algorithmen und deren Governance.
Das Papier benennt vier ineinandergreifende Bewertungskriterien für jeden im Finanzwesen eingesetzten KI-Algorithmus: angemessenes Datenmanagement, Leistung (Vorhersagegenauigkeit), Stabilität über die Zeit und Erklärbarkeit (das Vorliegen valider Erklärungen). Es verbindet die Kriterien mit Governance-Erwartungen, die das Zusammenspiel von Mensch und Algorithmus, die initiale und fortlaufende Validierung sowie eine sowohl analytisch als auch empirisch durchgeführte Prüfung abdecken.
Es handelt sich um ein Diskussions- und Konsultationspapier. Es gibt die Erwartungen der Aufsicht wieder und hat das Gewicht aufsichtlicher Leitlinien; die verbindlichen Instrumente sind die EU-KI-Verordnung, DORA und die AMLR. Praktisch gelesen sind die vier Kriterien der Maßstab, an dem ein französisches Institut gemessen wird, aufgesetzt auf diese Regelwerke. Die Tabelle ordnet jedem Kriterium eine Kontrolle und den Nachweis zu, den ein Prüfer anfordern kann.
| ACPR-Kriterium (2020) | Was die Aufsicht erwartet | Umzusetzende Kontrolle | Aufzubewahrender Nachweis |
|---|---|---|---|
| Datenmanagement | Repräsentative, dokumentierte, qualitätsgeprüfte Trainings- und Eingabedaten | Datenherkunft (Lineage) und Qualitäts-Gates im Einklang mit Artikel 10 der KI-Verordnung; Prüfung von Repräsentativität und Proxy-Variablen | Datendokumentation, Qualitätskennzahlen, Lineage-Protokolle, Verweise auf Anhang IV des Anbieters |
| Leistung | Nachweisbare, überwachte Vorhersagegenauigkeit | Genauigkeitsschwellen, Backtesting, Champion-/Challenger-Benchmarking | Validierungsberichte, Leistungs-Dashboards, Backtest-Ergebnisse |
| Stabilität | Über die Zeit und über Populationen hinweg stabiles Verhalten | Drift-Überwachung (z. B. Population Stability Index), definierte Auslöser für ein erneutes Training | Drift-Überwachungsprotokolle, Aufzeichnungen zum erneuten Training, Alarmhistorie |
| Erklärbarkeit | Valide Erklärungen, abgestuft nach Adressatenkreis und Risiko | Begründungscodes für Ablehnungen (Beobachtung/Begründung); Modellkarte und Merkmalsattribution für die zweite Verteidigungslinie (Approximation); reproduzierbare Pipeline für Prüfer (Replikation) | Adressatenspezifische Erklärungsartefakte, Begründungscodes für ablehnende Entscheidungen, reproduzierbares Modellpaket |
Erklärbarkeit nach Art der ACPR: vier Ebenen
Die Erklärbarkeit hat im ACPR-Rahmen eine innere Struktur. Die Aufsicht definiert vier Erklärungsebenen, abgestuft nach Adressatenkreis und geschäftlichem Risiko der Entscheidung: Beobachtung, Begründung, Approximation und Replikation (Analyse von Télécom Paris).
Der Sinn dieser Abstufung ist es, die Tiefe der Erklärung daran auszurichten, wer fragt und wie folgenreich die Entscheidung ist. Ein Privatkreditnehmer erhält auf Beobachtungsebene eine Darstellung dessen, was das System tut und wozu es dient; der konkrete Grund, warum ein Kredit abgelehnt wurde, liegt eine Ebene höher, bei der Begründung. Ein Prüfer oder die ACPR kann die Replikation verlangen, also die Fähigkeit, das Verhalten des Modells identisch zu reproduzieren. Von Anfang an auf Replikation auszulegen, ist das, was einer Bank erlaubt, einer Aufsichtsbehörde mit dem Modellpaket bereits in der Hand zu antworten.
| Ebene | Hauptadressat | Was sie liefert |
|---|---|---|
| Beobachtung | Kunde / Endnutzer | Eine allgemeinverständliche Darstellung dessen, was das System tut und wozu es dient |
| Begründung | Erste Verteidigungslinie / interne Kontrolle | Der Grund, warum eine Entscheidung so ausfiel, etwa warum ein Kredit abgelehnt wurde |
| Approximation | Zweite Verteidigungslinie / Compliance | Ein vereinfachtes Surrogat, das das Verhalten des Modells annähert |
| Replikation | Prüfer und Aufsichtsbehörden (einschließlich der ACPR) | Die Fähigkeit, das Verhalten des Modells identisch zu reproduzieren |
Wo die EU-KI-Verordnung greift: Kreditscoring ist hochriskant
Am unmittelbarsten erreicht die EU-KI-Verordnung eine französische Bank über das Kreditscoring. Anhang III Nummer 5(b) stuft als hochriskant „KI-Systeme, die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Bonitätsbewertung natürlicher Personen verwendet werden sollen, mit Ausnahme von KI-Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden“ ein (Anhang III). Nummer 5(c) ergänzt KI, die zur Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung verwendet wird. Ein Modell für das Kreditscoring von Verbraucherkrediten fällt damit in den Hochrisikobereich, und eine französische Versicherung, die Lebens- oder Krankenversicherungsschutz bepreist, ebenso.
Ein Betreiber eines hochriskanten Kreditscoring-Systems muss vor dem Einsatz eine Grundrechte-Folgenabschätzung nach Artikel 27 durchführen und gemäß Artikel 27 Absatz 3 die Marktüberwachungsbehörde über die Ergebnisse unterrichten, indem er die ausgefüllte Vorlage übermittelt. Die sechs erforderlichen Bestandteile der Grundrechte-Folgenabschätzung und die vollständige Methodik finden sich in der FRIA-Vorlage; die ausgearbeitete Grundrechte-Folgenabschätzung zum Kreditscoring füllt alle sechs Abschnitte für genau diesen Fall, und der Leitfaden zur Hochrisiko-Einstufung sowie der Risiko-Klassifizierer gehen die Logik von Anhang III durch, die das Modell in den Anwendungsbereich bringt.
In Frankreich soll die Marktüberwachungsbehörde für Hochrisiko-KI im Finanzsektor die ACPR selbst sein. Der Benennungsentwurf der Regierung (Entwurf veröffentlicht am 9. September 2025) schlägt eine sektorale Aufteilung vor: die DGCCRF als koordinierende zentrale Anlaufstelle nach Artikel 70, die CNIL als faktisch federführend für KI im Bereich personenbezogener Daten und Biometrie, während Arcom, ANSSI und die ACPR den audiovisuellen Bereich, die Cybersicherheit beziehungsweise den Finanzsektor übernehmen (Analyse zur Benennung). Stand Juni 2026 hat Frankreich seine zuständigen nationalen Behörden noch nicht endgültig benannt; der Entwurf bleibt zur parlamentarischen Verabschiedung ausstehend. Die Benennung der ACPR als Marktüberwachungsbehörde ist als vorgeschlagen zu behandeln. Die EU-KI-Verordnung gilt unmittelbar, unabhängig davon, welche nationale Behörde benannt wird.
Eine ausschließlich auf automatisierter Verarbeitung beruhende Kreditentscheidung berührt zudem Artikel 22 DSGVO, der dem Antragsteller ein Recht auf menschliche Überprüfung, einen Weg zur Anfechtung der Entscheidung und aussagekräftige Informationen über die involvierte Logik einräumt. Artikel 27 Absatz 4 erlaubt es, die Grundrechte-Folgenabschätzung ergänzend auf der DSFA nach DSGVO aufzubauen, sodass eine französische Bank beide Bewertungen gemeinsam durchführen kann. Ein zeitlicher Punkt betrifft die Grundrechte-Folgenabschätzung selbst: Die Pflicht aus Artikel 27 gilt verbindlich ab dem 2. August 2026, bis der Digital Omnibus (vorläufig vereinbart um den 7. Mai 2026) im Amtsblatt veröffentlicht wird, was die eigenständige Hochrisiko-Einstufung nach Anhang III auf den 2. Dezember 2027 verschieben würde. Der Omnibus ist Stand Juni 2026 noch nicht geltendes Recht, daher ist der umsichtige Ansatz, sich weiterhin auf den 2. August 2026 vorzubereiten.
Geldwäsche, Betrug und die Ausnahmeregelung
Die Geldwäscheüberwachung und die Betrugserkennung werden anders geregelt als das Kreditscoring. Die Ausnahme in Anhang III 5(b) erfasst nur ein System, dessen bestimmungsgemäßer Hauptzweck die Aufdeckung von Finanzbetrug ist, sodass ein eigenständiges Modell zur Betrugserkennung im Kartenzahlungsverkehr auf dieser Grundlage nicht hochriskant ist. Die Entwurfs-Leitlinien der Kommission zur Hochrisiko-Einstufung (veröffentlicht am 19. Mai 2026, bis zum 23. Juni 2026 in öffentlicher Konsultation, noch nicht verabschiedet) legen die Ausnahme eng aus: Sie erfasst keine Betrugserkennungsfunktion, die in ein Kreditwürdigkeitssystem eingebunden ist — dieses bleibt hochriskant — und sie erstreckt sich nicht auf AML/CFT-Prüfungen. Ein eigenständiges AML/CFT-Transaktionsüberwachungssystem ist keine Kreditwürdigkeitsbewertung und ist auch sonst nicht in Anhang III aufgeführt, sodass es außerhalb des Hochrisikobereichs liegt; ein AML/CFT-System, das funktional mit dem Kreditscoring verknüpft ist und auch dafür genutzt wird, fällt unter Nummer 5(b) und ist hochriskant.
Außerhalb der KI-Verordnung bleiben beide Systeme fest reguliert. DORA, die AMLR, die LCB-FT-Aufsicht der ACPR und die Wolfsberg-Grundsätze für KI/ML gelten, und die EU-weiten Details zu diesen Regelwerken stehen im Hub-Beitrag Governance von KI-Agenten für Geldwäsche und Zahlungsverkehr. Für ein französisches Institut ist die ACPR die Aufsichtsbehörde, die die LCB-FT-Pflichten durchsetzt, mit Vor-Ort- und Fernprüfungen und der Befugnis, verwaltungsrechtliche Sanktionen zu verhängen. Die AMLR, die ab dem 10. Juli 2027 gilt, verschärft die Nachweisanforderung: Ihr Artikel 69 verpflichtet einen Verpflichteten, ein Auskunftsersuchen einer zentralen Meldestelle innerhalb von fünf Arbeitstagen zu beantworten, in begründeten dringenden Fällen verkürzt auf unter 24 Stunden. In Frankreich ist die zentrale Meldestelle Tracfin, und eine Verdachtsmeldung ist eine déclaration de soupçon. Ein Agent zur Alarmtriage, der Fehlalarme automatisch schließt, muss eine Spur hinterlassen, die ein Prüfer gegen diese Frist rekonstruieren kann. Das Tool zur Geldwäsche-Risikobewertung und die AMLR-2027-Bereitschaftscheckliste decken die zugrunde liegenden Pflichten ab.
DORA: operationale Resilienz für KI in französischen Banken
DORA, der Digital Operational Resilience Act (Verordnung (EU) 2022/2554), trat am 16. Januar 2023 in Kraft und gilt seit dem 17. Januar 2025. Es ist das Regelwerk, das die KI einer französischen Bank heute am ehesten betrifft, weil es bereits in Kraft ist und sowohl die Systeme als auch die dahinterstehenden Anbieter erfasst.
Ein Cloud- oder KI/ML-Anbieter fällt in der Regel unter die weite Definition eines IKT-Drittdienstleisters in Artikel 3 von DORA. Die Pflichten verbleiben beim Finanzunternehmen: vorvertragliche Sorgfaltsprüfung des Anbieters, Führung des Informationsregisters über alle IKT-Vereinbarungen (Artikel 28) und Meldung schwerwiegender IKT-bezogener Vorfälle (Artikel 19). Ein System für Geldwäschebekämpfung, Sanktionen, Kreditentscheidungen oder Betrug kann über eine dokumentierte, unternehmensspezifische Selbstbewertung als kritische oder wichtige Funktion nach Artikel 3 Nummer 22 einzustufen sein. Wo es diesen Test erfüllt, fällt die dahinterstehende KI mit vollem Gewicht in den Anwendungsbereich von DORA. Die ACPR beaufsichtigt die DORA-Bereitschaft französischer Banken- und Versicherungsunternehmen, und das Tool zu DORA Artikel 30 behandelt die vertraglichen Drittparteienklauseln, die das Register abbilden muss.
Eine Governance-Übersicht für eine französische Bank
Nehmen wir Banque Méridienne, eine mittelgroße französische Universalbank unter Aufsicht der ACPR. 2026 setzt sie drei KI-Systeme ein: ein KI-Modell für das Kreditscoring von Verbraucherkrediten für Entscheidungen über Privat- und Revolvingkredite; einen KI-Agenten zur Geldwäsche-Transaktionsüberwachung und Alarmtriage, der Fehlalarme schließt und déclaration de soupçon-Narrative für Tracfin entwirft; und ein KI-Modell zur Betrugserkennung im Kartenzahlungsverkehr, das verdächtige Kartentransaktionen in Echtzeit sperrt oder zurückhält. Der Compliance-Leiter muss alle drei zugleich an den Erwartungen der ACPR, der EU-KI-Verordnung, DORA und der AMLR messen. Die drei Systeme landen unter der KI-Verordnung nicht an derselben Stelle.
Die Einstufung trennt sie sofort.
| KI-System | Einstufung nach EU-KI-Verordnung | Grundrechte-Folgenabschätzung nach Artikel 27? | Weiterhin greifende Regelwerke |
|---|---|---|---|
| Kreditscoring für Verbraucherkredite | Hochriskant — Anhang III 5(b) | Ja — Grundrechte-Folgenabschätzung des Betreibers vor dem Einsatz; Unterrichtung der ACPR (Marktüberwachungsbehörde) nach Art. 27 Abs. 3 | KI-VO Art. 10/13/14/15/26; DSGVO Art. 22; ACPR-Modell-Governance |
| Geldwäsche-Transaktionsüberwachung / Alarmtriage | In der Regel nicht eigenständig hochriskant (Kommissions-Leitlinienentwurf, 19. Mai 2026, nicht verabschiedet; hochriskant bei Verknüpfung mit dem Kreditscoring) | Nein | DORA; AMLR/AMLD6; LCB-FT-Aufsicht der ACPR; Wolfsberg |
| Betrugserkennung im Kartenzahlungsverkehr | Nicht hochriskant — eigenständige Betrugserkennung (Ausnahme nach Anhang III 5(b)) | Nein | DORA; ACPR-Modellrisiko / Auslagerung; DSGVO |
Erwartung, Kontrolle, Nachweis über Kredit, Geldwäsche und Betrug hinweg
Die Einstufung legt die Pflichten der KI-Verordnung fest, und die verbindlichen Regelwerke samt der eigenen Erwartungen der ACPR füllen den Rest aus. Die nachstehende Übersicht benennt jede regulatorische Erwartung, die Kontrolle, die sie erfüllt, und den Nachweis, den ein Prüfer über die drei Systeme der Banque Méridienne hinweg verlangen kann. Dieselbe Kontroll- und Nachweisdisziplin gilt, gleich welches System vor einem liegt, weshalb eine einzige Zuordnung funktioniert. Die Ansicht Kontrollzuordnung zeigt, wie eine einzige Kontrolle mehrere Rahmenwerke zugleich erfüllen kann.
Für die Banque Méridienne lautet die praktische Reihenfolge: die Grundrechte-Folgenabschätzung nach Artikel 27 für das Kreditmodell durchführen und die ACPR unterrichten, jedes der drei Systeme auf seine DORA-Kritikalität einstufen, die Geldwäsche-Spur gegen die Fristen von Tracfin und Artikel 69 rekonstruierbar halten und für alle drei Systeme vor dem Go-live eine unabhängige Validierung an den vier Kriterien der ACPR dokumentieren.
| Regulatorische Erwartung (Quelle) | Umzusetzende Kontrolle | Aufzubewahrender Nachweis |
|---|---|---|
| Grundrechte-Folgenabschätzung vor dem Einsatz für das Kreditscoring (KI-VO Art. 27) | Die sechsteilige Grundrechte-Folgenabschätzung nach Artikel 27 Absatz 1 durchführen; die DSFA nach DSGVO gemäß Art. 27 Abs. 4 ergänzen und wiederverwenden; die ACPR gemäß Art. 27 Abs. 3 über die Ergebnisse unterrichten | Abgeschlossene Grundrechte-Folgenabschätzung, Querverweis zur DSFA, datierter Nachweis der Unterrichtung der ACPR |
| Betreiberpflichten für Hochrisiko-KI beim Kreditscoring (KI-VO Art. 10/14/15/26) | Die Konformität des Anbieters prüfen (Anhang IV), automatische Protokolle führen (Art. 26), menschliches Eingreifen ermöglichen (Art. 14) | Anbietererklärung und Anhang IV, Betreiberprotokolle, Aufzeichnungen über Eingriffe |
| Schutzmaßnahmen bei automatisierten Entscheidungen (DSGVO Art. 22) | Menschliche Überprüfung von Ablehnungen, Anfechtungsweg, aussagekräftige Informationen über die Logik | Begründungscodes für ablehnende Entscheidungen, Aufzeichnungen der menschlichen Überprüfung, Anfechtungsprotokoll |
| AML-CFT-Aufsicht (heute LCB-FT der ACPR; AMLR Art. 69 Antwort an die zentrale Meldestelle binnen fünf Arbeitstagen, gilt ab 10. Juli 2027) | Menschliche Entscheidung über Verdachtsmeldungen; prüfbare Spur der Alarmtriage; Fähigkeit, jede Entscheidung auf Anforderung zu rekonstruieren | Fallakten, Entscheidungsspur, Verdachtsmeldungs-/Tracfin-Aufzeichnungen, Zeitstempel der Antworten an die zentrale Meldestelle |
| Operationale Resilienz (DORA Verordnung 2022/2554, seit 17. Januar 2025) | KI für Geldwäschebekämpfung/Kredit/Betrug als kritische oder wichtige IKT-Funktion einstufen, wo sie Art. 3 Nr. 22 erfüllt; das IKT-Register führen (Art. 28); schwerwiegende IKT-bezogene Vorfälle melden (Art. 19); den KI-Anbieter einer Sorgfaltsprüfung unterziehen | Informationsregister, Kritikalitätsbewertung, Vorfallsmeldungen, Anbieter-Sorgfaltsprüfung |
| ACPR-Modell-Governance (Governance of AI in Finance, 2020) | Unabhängige initiale Validierung vor dem Go-live und regelmäßige Revalidierung; definiertes Zusammenspiel von Mensch und Algorithmus sowie RACI; analytische und empirische Prüfung | Validierungsfreigaben, Revalidierungsplan, Richtlinie zur internen Überwachung, Prüfungsfeststellungen |
| Betrugserkennung nicht hochriskant (Ausnahme nach Anhang III 5(b)) | Die Ausnahme beseitigt die Grundrechte-Folgenabschätzung, lässt das Modellrisiko aber bestehen: Überwachung, Drift-Kontrolle und menschliche Überprüfung von Zurückhaltungen beibehalten | Eintrag im Modellinventar, Leistungs- und Drift-Protokolle, Überprüfung von Fehlalarmen |
Häufig gestellte Fragen
Was ist die ACPR und was reguliert sie?
Die ACPR (Autorité de contrôle prudentiel et de résolution) ist Frankreichs Aufsichtsbehörde für Banken und Versicherungen, eine unabhängige Verwaltungsbehörde, die von der Banque de France getragen wird. Sie beaufsichtigt die aufsichtsrechtliche Solidität, die Bekämpfung von Geldwäsche und Terrorismusfinanzierung (AML-CFT / LCB-FT) sowie den Schutz von Kunden und Versicherungsnehmern und verfügt über Befugnisse, Institute zu prüfen und verwaltungsrechtliche Sanktionen zu verhängen.
Was erwartet die ACPR für die KI-Governance im Finanzwesen?
In ihrem Diskussionspapier Governance of Artificial Intelligence in Finance vom Juni 2020 benannte die ACPR vier ineinandergreifende Bewertungskriterien — angemessenes Datenmanagement, Leistung, Stabilität und Erklärbarkeit — neben Governance-Erwartungen zum Zusammenspiel von Mensch und Algorithmus, zur initialen und fortlaufenden Validierung und zur Prüfung. Es handelt sich um aufsichtliche Leitlinien und nicht um verbindliches Recht, und es prägt, wie französische Institute geprüft werden.
Ist die ACPR die KI-Verordnungs-Behörde für KI in französischen Banken?
Nach Frankreichs Benennungsentwurf (veröffentlicht am 9. September 2025) soll die ACPR die Marktüberwachungsbehörde für Hochrisiko-KI im Finanzsektor (Kredit und Versicherung) sein, neben der DGCCRF als koordinierender Anlaufstelle und der CNIL für KI im Bereich personenbezogener Daten und Biometrie. Die Benennung stand Stand Juni 2026 noch zur parlamentarischen Verabschiedung aus, also ist sie als vorgeschlagen und nicht als feststehend zu behandeln.
Ist KI-gestütztes Kreditscoring unter der EU-KI-Verordnung hochriskant, und braucht es eine Grundrechte-Folgenabschätzung?
Ja. KI, die zur Bewertung der Kreditwürdigkeit oder zur Erstellung einer Kreditwürdigkeitsbewertung eingesetzt wird, ist nach Anhang III Nummer 5(b) hochriskant, und der Betreiber muss vor dem Einsatz eine Grundrechte-Folgenabschätzung nach Artikel 27 durchführen und die Marktüberwachungsbehörde (in Frankreich die ACPR) gemäß Artikel 27 Absatz 3 über die Ergebnisse unterrichten. Die einzige Ausnahme in 5(b) ist KI, deren bestimmungsgemäßer Hauptzweck die Aufdeckung von Finanzbetrug ist; eine in ein Kreditscoring-System eingebundene Betrugserkennungsfunktion bleibt hochriskant.
Sind KI-Systeme zur Geldwäsche-Transaktionsüberwachung unter der KI-Verordnung hochriskant?
In der Regel nicht für sich allein. Ein eigenständiges AML/CFT-Transaktionsüberwachungssystem ist keine Kreditwürdigkeitsbewertung und ist auch sonst nicht in Anhang III aufgeführt, sodass es außerhalb des Hochrisikobereichs liegt. Die Entwurfs-Leitlinien der Kommission zur Hochrisiko-Einstufung (19. Mai 2026, in Konsultation, noch nicht verabschiedet) fügen einen Vorbehalt hinzu: Ein AML/CFT-System, das funktional mit dem Kreditscoring verknüpft ist und auch dafür genutzt wird, fällt unter Anhang III Nummer 5(b) und ist hochriskant, und die Ausnahme für die Betrugserkennung erstreckt sich nicht auf AML/CFT-Prüfungen. AML-Systeme bleiben durch DORA, die Geldwäscheverordnung (gilt ab 10. Juli 2027), die LCB-FT-Aufsicht der ACPR und die Wolfsberg-Grundsätze für KI/ML reguliert.
Wie gilt DORA für KI in französischen Banken?
DORA (Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025. KI/ML-Systeme, die die Geldwäschebekämpfung, Kreditentscheidungen oder die Betrugsabwehr unterstützen, können als kritische oder wichtige IKT-Funktion einzustufen sein, der KI-Anbieter kann ein IKT-Drittdienstleister sein, und die Bank muss das IKT-Register führen (Artikel 28) und schwerwiegende IKT-bezogene Vorfälle melden (Artikel 19). Die ACPR beaufsichtigt die DORA-Einhaltung in Frankreich.
Was ist der Erklärbarkeitsrahmen der ACPR?
Die ACPR definiert vier nach Adressatenkreis und Risiko abgestufte Erklärungsebenen: Beobachtung, Begründung, Approximation und Replikation. Die Beobachtung passt zu einem Endkunden; die Replikation — das identische Reproduzieren des Modellverhaltens — ist der Maßstab für Prüfer und Aufsichtsbehörden. So kann eine Bank die Tiefe der Erklärung daran ausrichten, wer fragt und wie folgenreich die Entscheidung ist.
Die wichtigsten Erkenntnisse
Eine französische Bank oder Versicherung, die 2026 KI steuert, arbeitet unter zwei Ebenen, die denselben Nachweis verlangen. Die EU-KI-Verordnung, DORA und die AMLR setzen verbindliche Pflichten — eine Grundrechte-Folgenabschätzung nach Artikel 27 und die Unterrichtung der ACPR beim Kreditscoring, Kontrollen zur operationalen Resilienz für jede kritische KI-Funktion und eine rekonstruierbare Geldwäsche-Spur gegen die Fristen von Tracfin und der zentralen Meldestelle. Die vier Bewertungskriterien der ACPR — Datenmanagement, Leistung, Stabilität und Erklärbarkeit, mit einer Erklärung abgestuft von der Beobachtung bis zur Replikation — beschreiben, wie eine Aufsichtsbehörde prüfen wird, ob diese Pflichten erfüllt sind. KI für Kredit, Geldwäsche und Betrug so zu bauen, dass sie die Kriterien und die verbindlichen Regelwerke gemeinsam erfüllt, ist das, was einem französischen Institut erlaubt, der ACPR mit der Dokumentation bereits in der Hand zu antworten. Zwei Status sind zu überprüfen, bevor man sich auf eine Frist verlässt: Frankreich hat die ACPR noch nicht endgültig als seine Finanzsektor-Behörde unter der KI-Verordnung benannt, und der Digital Omnibus, der die Hochrisiko- und FRIA-Termine auf den 2. Dezember 2027 verschieben würde, ist noch nicht geltendes Recht. Dieser Artikel enthält allgemeine Informationen und keine Rechtsberatung; bestätigen Sie Ihre Pflichten mit qualifiziertem Rechtsbeistand und überprüfen Sie den regulatorischen Status — einschließlich der ausstehenden Benennung der französischen Behörde und des Zeitplans des Digital Omnibus — bevor Sie handeln.