Moch.IT

Contact
Book and Expert Call
Contact
Book and Expert Call
Menu
Contact
Book and Expert Call

🕒  12 Minuten

EU AI Act Compliance im Banking: Ein praktischer Leitfaden für CIOs mit ServiceNow

Die Frist ist der 2. August 2026. Die Compliance-Lücke ist real. Und ServiceNow ist bereits darauf ausgelegt, sie zu schließen.

Es ist ein Dienstagmorgen. Deine Aufsichtsbehörde ruft an. Sie möchte eine vollständige Aufschlüsselung jedes KI-Systems, das Deine Bank betreibt, welche Entscheidungen jedes einzelne trifft, wie es zu diesen Entscheidungen gelangt, wer es überwacht und was passiert, wenn es etwas falsch macht.
Kannst Du diesen Anruf heute mit Zuversicht beantworten?

Für die meisten Banken lautet die ehrliche Antwort nein. Nicht, weil die Absicht fehlt, sondern weil die Infrastruktur fehlt. KI-Systeme sind über Geschäftsbereiche verteilt. Die Dokumentation ist unvollständig. Aufsichtsmechanismen sind informell. Nachweisprotokolle existieren in keiner prüfbaren Form.
Das ist die Lücke, die der EU AI Act aufdeckt – und die Lücke, die ServiceNow GRC, der AI Control Tower und Now Assist gezielt schließen sollen.

Das ist keine entfernte regulatorische Bedrohung. Die erste Welle von Verboten trat im Februar 2025 in Kraft. Governance-Verpflichtungen für General-Purpose-AI-Modelle wurden im August 2025 wirksam. Und der entscheidende Meilenstein – vollständige Compliance für Hochrisiko-KI-Systeme einschließlich Kredit-Scoring, Betrugserkennung und kundenorientierter Chatbots – fällt auf den 2. August 2026.
Jetzt ist die Zeit, Deine Compliance-Infrastruktur aufzubauen. Und die klügsten Banken bauen sie auf ServiceNow auf.

Was der EU AI Act tatsächlich von Banken verlangt

Der EU AI Act (Verordnung EU 2024/1689) ist das weltweit erste umfassende, rechtsverbindliche KI-Regelwerk. Er verfolgt einen risikobasierten Ansatz, und das Bankwesen befindet sich eindeutig in der höchsten Verpflichtungskategorie.
Kredit-Scoring-Algorithmen. Kreditvergabe-Engines. Systeme zur Betrugserkennung und AML-Transaktionsüberwachung. Kundenprofiling-Tools. All diese fallen unter Anhang III als Hochrisiko-KI-Systeme und unterliegen den strengsten Anforderungen des Gesetzes.

Für Hochrisiko-Systeme musst Du nachweisen:

  • Ein dokumentiertes, fortlaufendes KI-Risikomanagementsystem über den gesamten Lebenszyklus hinweg
  • Daten-Governance-Kontrollen, um sicherzustellen, dass Trainingsdaten repräsentativ, korrekt und auf Verzerrungen geprüft sind
  • Detaillierte technische Dokumentation, die Aufsichtsbehörden jederzeit prüfen können
  • Menschliche Aufsichtsmechanismen, das heißt keine vollständig automatisierten Entscheidungen, wenn Rechte betroffen sind
  • Konformitätsbewertungen vor dem Einsatz sowie Registrierung in der öffentlichen EU-KI-Datenbank
  • Marktüberwachung nach dem Inverkehrbringen, einschließlich Meldepflichten bei Vorfällen, wenn etwas schiefläuft

Die Bußgelder bei Nichteinhaltung sind nicht symbolisch. Verstöße gegen verbotene KI-Praktiken können Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen. Für eine Bank mit 10 Milliarden Euro Umsatz bedeutet das ein potenzielles Risiko von bis zu 700 Millionen Euro. Das ist ein Thema für den Vorstand und keine Randnotiz in der Compliance.
Und entscheidend: Wenn Du KI eines Drittanbieters einsetzt – beispielsweise ein Kredit-Scoring-Modell eines Anbieters kaufst – bist Du nicht befreit. Die Compliance-Verpflichtungen folgen dem Einsatz, nicht nur der Entwicklung.

Der Compliance-Zeitplan: Wo wir jetzt stehen

  • 2 Februar 2025: Verbotene KI-Praktiken untersagt. Verpflichtungen zur KI-Kompetenz beginnen.
  • 2 August 2025: Governance-Regeln für GPAI-Modelle treten in Kraft. Transparenz- und Dokumentationsanforderungen für große KI-Modelle werden durchsetzbar.
  • 2 August 2026: Vollständige Compliance für Hochrisiko-KI-Systeme gemäß Anhang III erforderlich. Konformitätsbewertungen, EU-Datenbank-Registrierung und Transparenzpflichten nach Artikel 50 werden durchgesetzt.
  • 2 August 2027: Verlängerte Frist für Hochrisiko-KI, die in regulierte Produkte eingebettet ist.

Es gibt keine Verlängerungen. Die Europäische Kommission war eindeutig. Finnland hat im Januar 2026 nationale KI-Durchsetzungsbefugnisse aktiviert. Andere Mitgliedstaaten folgen. August 2026 ist eine klare Grenze.
Wenn Deine Bank noch im „Abwarten-und-Sehen“-Modus ist, bist Du bereits im Rückstand.

Warum die meisten Banken nicht bereit sind – und was fehlt

Die Compliance-Lücke ist keine Frage der Absicht. Die meisten Banken wollen compliant sein. Das Problem ist strukturell.
KI-Systeme wurden reaktiv eingeführt, von einzelnen Geschäftsbereichen, oft ohne zentrale Governance-Freigabe. Es gibt kein vollständiges KI-Inventar. Technische Dokumentation hatte bei der Einführung keine Priorität. Aufsichtsmechanismen sind bestenfalls informell. Nachweise kontinuierlicher Überwachung existieren in keiner prüfbaren Form.
Kurz gesagt: Der EU AI Act verlangt einen dauerhaften, strukturierten, automatisierten Compliance-Betrieb. Die meisten Banken arbeiten mit einem manuellen, episodischen, fragmentierten Ansatz.
Diese Lücke lässt sich nicht mit Tabellenkalkulationen oder Einzellösungen schließen. Sie erfordert eine Plattform, die KI-Governance zu einem kontinuierlichen, automatisierten, prüfbaren Prozess macht, eingebettet in die bestehende Arbeitsweise Deiner Bank.
Diese Plattform ist ServiceNow.

Wie ServiceNow die EU AI Act Compliance-Lücke schließt

ServiceNow hat eine direkte Antwort auf die Anforderungen des EU AI Act entwickelt. Die Kombination aus AI Control Tower, der GRC-Suite, Third Party Risk Management und Now Assist bietet Banken eine kontinuierliche, prüfbare und skalierbare Compliance-Infrastruktur, ohne für jede Verpflichtung ein separates Tool zu benötigen.
Lass uns das direkt den Anforderungen des Gesetzes zuordnen.

1. KI-Inventar und Risikoklassifizierung, AI Control Tower

Das Gesetz verlangt, dass Du jedes KI-System kennst, das Du betreibst, und jedes nach Risikostufe klassifizierst. Der AI Control Tower von ServiceNow, vorgestellt auf Knowledge 2025, ist ein zentrales Steuerungszentrum genau für diesen Zweck.
Über einen strukturierten Aufnahmeprozess wird jeder KI-Anwendungsfall, intern wie von Drittanbietern, im Inventar registriert. Jedes System wird mit seinem Modell, Datensatz, Geschäftsergebnis und seiner Verantwortlichkeit verknüpft. Der AI Control Tower wendet automatisch die Risikoklassifizierung gemäß EU AI Act an und kennzeichnet, welche Systeme als Hochrisiko unter Anhang III gelten und welche Verpflichtungen greifen.
Banken, die zuvor nicht wussten, wie viele KI-Systeme sie betreiben – eine häufige Realität mit Shadow AI in Geschäftsbereichen – sehen endlich das vollständige Bild. An einem Ort. In Echtzeit.

2. Kontinuierliches Risikomanagement, GRC-Integration

Das Gesetz verlangt ein fortlaufendes Risikomanagement und keine einmalige Bewertung. Das GRC-Modul von ServiceNow, nativ mit dem AI Control Tower integriert, macht dies kontinuierlich möglich.
Wenn der AI Control Tower erkennt, dass ein KI-System Anzeichen von Verzerrung, Model Drift oder Kontrollversagen zeigt, erstellt er automatisch einen Risikoeintrag im GRC-Risikomanagement-Modul. Dieses Risiko wird dem zuständigen Owner zugewiesen, mit der relevanten EU AI Act-Verpflichtung verknüpft und bis zur Behebung verfolgt. Jeder Schritt wird protokolliert. Jede Aktion erhält einen Zeitstempel.
Das ist kein quartalsweiser Review-Zyklus. Es ist ein laufender Risikomanagement-Betrieb rund um die Uhr – genau das, was das Gesetz verlangt und was manuelle Prozesse nicht leisten können.

3. Technische Dokumentation, automatisiert und stets aktuell

Artikel 11 des EU AI Act verlangt eine detaillierte technische Dokumentation für jedes Hochrisiko-KI-System, einschließlich Design, Architektur, Trainingsmethodik, Testergebnisse und beabsichtigter Nutzung. Diese Dokumentation muss während der gesamten Betriebsdauer aktuell gehalten werden.
In einer manuellen Umgebung ist das eine enorme Belastung. Auf ServiceNow wird es zu einem Nebenprodukt des normalen Betriebs.
Der AI Control Tower verwaltet Model Cards, Audit-Logs, Datenherkunft und Compliance-Bewertungen für jedes registrierte KI-System. Die Dokumentation ist strukturiert, versioniert und stets aktuell. Wenn eine Aufsichtsbehörde die technische Akte Deines Kredit-Scoring-Modells anfordert, dauert es Minuten statt Wochen.

4. Menschliche Aufsicht, in jeden Workflow integriert

Eine der operativ bedeutendsten Anforderungen des Gesetzes ist die menschliche Aufsicht. Hochrisiko-KI-Systeme müssen so gestaltet sein, dass Menschen eingreifen, übersteuern und Entscheidungen überprüfen können. Vollständig automatisierte Entscheidungen, die Rechte von Personen betreffen, sind ohne angemessene menschliche Kontrollmechanismen nicht zulässig.
ServiceNow integriert dies direkt in das Workflow-Design. Mithilfe der Impact Assessment-Funktion des AI Control Tower definierst Du verpflichtende menschliche Kontrollpunkte im Lebenszyklus jedes KI-Anwendungsfalls. Für eine Kreditentscheidungs-KI bedeutet das ein Reviewer-Interface, einen Eskalationspfad und einen Genehmigungs-Workflow – vollständig in den ServiceNow-Prozess integriert und vollständig prüfbar.
Artikel 86 gewährt Personen zudem ein Recht auf Erklärung, wenn KI-Entscheidungen sie nachteilig betreffen. ServiceNow protokolliert Prompts, Eingaben, Ausgaben und Explainability-Kontrollen pro KI-System und ermöglicht es Dir, diese Erklärungen klar und schnell bereitzustellen.

5. Daten-Governance und Bias-Monitoring

Die Anforderungen des Gesetzes an die Daten-Governance – dass Trainingsdaten relevant, repräsentativ und möglichst frei von Fehlern und Verzerrungen sein müssen – werden durch die Bias-Monitoring-Funktionen von ServiceNow operationalisiert.
Wenn Verzerrungsindikatoren in einer KI-Systembewertung ausgelöst werden, erstellt die Plattform automatisch einen Risikoeintrag, aktiviert die entsprechenden Kontrollen (Datensatzprüfung, Fairness-Audit) und verfolgt diese bis zur Lösung. Das ist keine manuelle Übung, die ein Data-Science-Team periodisch durchführen muss. Es ist eine kontinuierliche, automatisierte Prüfung als Teil des operativen Lebenszyklus des KI-Systems.

6. Third-Party-KI-Anbieter-Due-Diligence, TPRM-Modul

Hier liegt für viele Banken der größte blinde Fleck. Banken, die KI von Anbietern einsetzen – Kredit-Scoring von einem Fintech-Anbieter, AML-Screening von einem Spezialisten – bleiben rechtlich für die EU AI Act-Compliance dieses Systems verantwortlich.
Das Third Party Risk Management (TPRM)-Modul von ServiceNow adressiert dies direkt. Du kannst KI-spezifische Anbieterfragebögen konfigurieren: Verfügt der Anbieter über ein KI-Risikomanagement? Sind Trainingsdaten dokumentiert? Werden Bias-Prüfungen durchgeführt? Gibt es Incident-Reporting-Mechanismen?
ServiceNow automatisiert die Verteilung, Erfassung und Bewertung dieser Assessments. Anbieter-Risikoscores werden automatisch aggregiert. Nicht-konforme Anbieter lösen Follow-up-Workflows, zusätzliche Audits, vertragliche Verpflichtungen oder Eskalationen aus. Das TPRM-Modul führt einen vollständigen Audit-Trail jeder Anbieterbewertung und liefert Dir die Nachweise, die Du zur Demonstration aktiver Drittanbieteraufsicht gegenüber Aufsichtsbehörden benötigst.

7. Post-Market-Monitoring und Incident-Reporting

Das Gesetz verlangt, dass Du Hochrisiko-KI-Systeme nach dem Einsatz überwachst und schwerwiegende Vorfälle den zuständigen Behörden meldest. ServiceNow verwandelt diese reaktive Verpflichtung in eine proaktive, automatisierte Fähigkeit.
Über das Performance-Tracking des AI Control Tower sind Drift-Indikatoren mit jedem KI-Anwendungsfall verknüpft. Wenn Anomalien erkannt werden – unerwartete Ausgabemuster, Leistungsverschlechterungen, Datenqualitätsprobleme – werden Revalidierungs-Workflows automatisch ausgelöst. Wenn ein Vorfall die Schwelle zur regulatorischen Meldung erreicht, leitet der Case-Management-Workflow ihn an den zuständigen Compliance-Owner weiter, mit bereits vollständig zusammengestellter Dokumentation.
Kein hektisches Reagieren. Kein Rätselraten. Sondern ein strukturierter, prüfbarer Prozess, der die Post-Market-Verpflichtungen des Gesetzes von Anfang an erfüllt.

Now Assist: EU AI Act Compliance intelligent gestalten

Über all diese Funktionen hinweg beschleunigt Now Assist, die generative KI-Ebene von ServiceNow, die Arbeit.
Compliance-Teams können mit Now Assist Zusammenfassungen offener Risiken erstellen, Policy-Updates als Reaktion auf neue regulatorische Leitlinien entwerfen und prüfbereite Berichte aus dem GRC-Modul in Minuten generieren. Anstatt Tage damit zu verbringen, Daten aus verschiedenen Systemen zusammenzutragen und Nachweisdokumentationen zu formulieren, stellt Now Assist die Informationen bereit, strukturiert sie und präsentiert sie im Format, das Aufsichtsbehörden erwarten.
Die Kombination aus strukturierten GRC-Daten und generativer KI-Intelligenz bedeutet, dass Audit-Readiness kein Ausnahmezustand mehr ist. Sie ist ein kontinuierlicher Zustand, nur einen Klick von einem vollständigen Nachweispaket entfernt.

Der praktische Fahrplan: Auf ServiceNow bis August 2026

Schritt 1: Baue Dein KI-Inventar im AI Control Tower auf

Beginne mit einer vollständigen Bestandsaufnahme. Jedes KI-System, intern und von Anbietern, wird im AI Control Tower erfasst. Klassifiziere jedes gemäß dem Risikorahmen des EU AI Act. Kennzeichne jedes Hochrisiko-System und dokumentiere Ownership, Zweck und Datenquellen. Das ist Dein Compliance-Fundament. Ohne dieses kann nichts weiter erfolgen.

Schritt 2: Verbinde GRC und aktiviere kontinuierliches Monitoring

Integriere den AI Control Tower mit Deinem GRC-Modul. Konfiguriere automatisierte Risikobewertungen für jedes Hochrisiko-KI-System. Definiere die Kontrollen, die den Verpflichtungen des EU AI Act zugeordnet sind – Bias-Prüfungen, menschliche Aufsichtsmechanismen, Standards für technische Dokumentation. Lege die Überwachungsfrequenz fest. Lass die Plattform kontinuierlich arbeiten, statt auf quartalsweise Reviews zu warten.

Schritt 3: Implementiere KI-spezifische TPRM-Assessments

Prüfe jeden Anbieter, der KI-Systeme oder -Dienstleistungen für Deine Bank bereitstellt. Erstelle KI-spezifische Fragebögen im TPRM-Modul. Bewerte die Anbieter-Compliance. Identifiziere Lücken und löse Remediation-Workflows aus, wenn Verträge oder Kontrollen angepasst werden müssen. Dokumentiere alles, denn Aufsichtsbehörden werden danach fragen.

Schritt 4: Integriere menschliche Aufsicht in jeden Hochrisiko-Workflow

Nutze für jedes KI-System gemäß Anhang III die Impact Assessment-Funktion des AI Control Tower, um menschliche Kontrollpunkte zu definieren und durchzusetzen. Stelle sicher, dass jede wesentliche KI-Entscheidung einen dokumentierten menschlichen Prüfpfad hat. Teste diese Pfade. Protokolliere die Tests.

Schritt 5: Schulen, dann skalieren

KI-Kompetenz ist seit Februar 2025 eine gesetzliche Verpflichtung. Nutze die Lern- und Awareness-Tools von ServiceNow, um rollenbasierte KI-Kompetenzprogramme in Compliance, IT, Risk und Fachbereichen auszurollen. Erweitere anschließend Dein Compliance-Programm schrittweise, füge Kontrollen hinzu, vertiefe das Monitoring und nutze Now Assist, um die Dokumentation aktuell zu halten, während sich Deine KI-Landschaft weiterentwickelt.

Die strategische Chance hinter der Regulierung

Hier ist der Perspektivwechsel, der für Führungskräfte im Bankwesen entscheidend ist: Der EU AI Act ist nicht nur ein Compliance-Kostenfaktor. Er ist eine vertrauensbildende Maßnahme mit echtem kommerziellem Wert.
Banken, die transparente, prüfbare und menschlich überwachte KI nachweisen können, werden sich differenzieren. Privatkunden achten zunehmend darauf, ob KI-Entscheidungen über ihre Finanzen fair getroffen werden. Institutionelle Kunden und Partner wollen Gegenparteien mit verlässlicher Governance. Aufsichtsbehörden werden proaktive Compliance mit weniger Reibung und mehr Vertrauen belohnen.
ServiceNow macht diese Differenzierung möglich – nicht als separates Compliance-Programm, das an bestehende Abläufe angehängt wird, sondern als intelligente, automatisierte Ebene, eingebettet in die bestehende Arbeitsweise Deiner Bank.
Banken, die diese Regulierung als strategische Chance begreifen, werden eine KI-Governance-Reife aufbauen, die mit jedem neuen Modell, jeder neuen Regulierung und jedem neuen Markt skaliert. Banken hingegen, die in letzter Minute versuchen, sich selbst zu zertifizieren, werden mehr ausgeben, weniger erreichen und stärker unter Beobachtung stehen.
August 2026 ist nicht mehr weit entfernt. Dein KI-Inventar sollte bereits Form annehmen. Deine GRC-Kontrollen sollten bereits den gesetzlichen Verpflichtungen zugeordnet sein. Deine Anbieterbewertungen sollten bereits laufen.
Wenn nicht, genau dafür ist eine ServiceNow-Implementierung gedacht – und schneller, als Du vielleicht denkst.

Bereit, die EU AI Act-Compliance-Position Deiner Bank auf ServiceNow zu bewerten?

Ich bin Michael Moch, unabhängiger ServiceNow-Berater mit Spezialisierung auf GRC, KI-Governance und Compliance-Transformation für Finanzinstitute. Ich unterstütze Banken bei der Implementierung des AI Control Tower, der Verknüpfung ihrer GRC-Frameworks mit den Verpflichtungen des EU AI Act und dem Aufbau einer prüfbereiten Compliance-Infrastruktur, die Aufsichtsbehörden erwarten.
Buche noch heute eine kostenlose Beratung und lass uns Deine EU AI Act-Compliance-Roadmap auf ServiceNow entwickeln.

Lassen Sie uns Ihr Projekt zum Erfolg führen!

Michael Moch
ServiceNow-Implementierungsberater
0173 941 62 29
hello@michael-moch-consulting.com
kontakt aufnehmen

Lassen Sie uns Ihr Projekt zum Erfolg führen!

Michael Moch
ServiceNow-Implementierungsberater
0173 941 62 29
hello@michael-moch-consulting.com
kontakt aufnehmen
Zertifizierungen
Scroll to Top