fairlane.systems

FINMA · COMPLIANCE

FINMA-Awareness: KI-Governance für Banken, Versicherer und Treuhänder mit Vermögensverwaltung

FINMA-Aufsichtsmitteilung 08/2024, Rundschreiben 2023/01 Operative Risiken. Wer ist beaufsichtigt, was die FINMA verlangt, was Best Practice für Nicht-Beaufsichtigte ist.

Recherche & Faktencheck: · Stand: 2026-05

Was regelt die FINMA in Bezug auf KI?

Die Eidgenössische Finanzmarktaufsicht FINMA beaufsichtigt Banken, Versicherer, Vermögensverwalter und Trustees, Verwalter kollektiver Vermögen, Fondsleitungen, Selbstregulierungsorganisationen, Aufsichtsorganisationen, Finanzinfrastrukturen sowie Effektenhäuser. Die Schweiz hat sich am 12. Februar 2025 gegen eine horizontale KI-Verordnung wie den EU AI Act entschieden und einen sektoralen Ansatz gewählt – ergänzt durch die Ratifikation der Europarat-KI-Konvention. Umsetzungsgesetzgebung wird bis Ende 2026 erwartet.

Für den Finanzmarkt heisst sektoraler Ansatz: FINMA wendet ihre bestehenden Aufsichtsinstrumente auf KI an. Zentral sind drei Dokumente. Erstens das FINMA-Rundschreiben 2023/01 "Operationelle Risiken und Resilienz – Banken", in Kraft seit 1. Januar 2024, das Anforderungen an IKT-Risikomanagement, Cyber-Sicherheit, Daten-Governance und Auslagerung definiert. Zweitens die FINMA-Aufsichtsmitteilung 08/2024 "Governance und Risikomanagement beim Einsatz von Künstlicher Intelligenz" vom Dezember 2024, die für alle Beaufsichtigten gilt und vier Themenblöcke abdeckt: Governance und Verantwortlichkeit, Inventarisierung und Risikoklassifizierung, Datenqualität und Modell-Validierung, Erklärbarkeit und Auswirkungen auf Kunden. Drittens das FINMA-Rundschreiben 2018/03 "Outsourcing", das auch für KI-Provider als Auslagerungspartner gilt.

Mit Stand Mai 2026 ist eine separate KI-Lizensierung NICHT geplant. KI-Nutzung in beaufsichtigten Instituten wird über die bestehenden Aufsichtsrahmen geprüft, kombiniert mit den FINMA-Umfragen (jährlich, nächste Q3/2026) und Vor-Ort-Inspektionen.

Wer ist FINMA-pflichtig und wer nicht?

Die Frage "bin ich FINMA-beaufsichtigt?" entscheidet über das Mass an formaler KI-Governance, das verlangt wird. Vier Profile sind in der Schweizer Praxis relevant.

Klar FINMA-beaufsichtigt: Universalbanken (UBS, ZKB, Kantonalbanken), Auslandbanken, Privatbanken, Vermögensverwaltungsbanken, Versicherer (Leben, Schaden, Krankenzusatz), Rückversicherer, Vermögensverwalter und Trustees nach FINIG (Bewilligungspflicht seit 1. Januar 2020, Übergangsfrist abgelaufen 31. Dezember 2022), Fondsleitungen, Verwalter kollektiver Vermögen, Effektenhäuser, Finanzinfrastrukturen (SIX, SIS, SwissDOTS).

Indirekt erfasst: Outsourcing-Provider und Cloud-Anbieter, die kritische Dienstleistungen für beaufsichtigte Institute erbringen. Ein Schweizer KI-Boutique, die für eine Bank ein LLM-Routing aufbaut, wird über das FINMA-Rundschreiben 2018/03 indirekt erfasst – die Bank muss sicherstellen, dass der Provider die Anforderungen erfüllt, was vertraglich durchgereicht wird.

NICHT FINMA-beaufsichtigt: Klassische Treuhänder, die nur Buchführung, Steuererklärungen, Treuhand-Mandate ohne Vermögensverwaltung erbringen. Anwaltskanzleien, Notariate, Wirtschaftsprüfer (RAB-beaufsichtigt, nicht FINMA), Immobilienmakler, IT-Dienstleister, Versicherungsvermittler (FINMA-Registrierungspflicht, aber leichtere Aufsicht), Krypto-Boersen mit reinem Spot-Handel ohne Custody.

Grenzfälle: Treuhand-Büro, das Mandanten-Vermögen verwaltet (Anlageempfehlungen, Vermögensverwaltungs-Mandat) – ab CHF 5 Mio. AuM oder regelmässiger gewerblicher Tätigkeit FINMA-bewilligungspflichtig nach FINIG Art. 17. Fintech-Plattformen mit Einlagen-Charakter über CHF 100 Mio. – Bankenlizenz oder Fintech-Lizenz erforderlich. Krypto-Anbieter mit Token-Listing oder Stablecoin-Emission – meist FinG/GwG-Pflicht.

Was die FINMA konkret verlangt

Die Aufsichtsmitteilung 08/2024 nennt vier Pflichten-Blöcke für beaufsichtigte Institute.

1. Governance und Verantwortlichkeit: KI-Einsatz ist Geschäftsleitungs-Sache, nicht IT-Operation. Verwaltungsrat und Geschäftsleitung müssen die KI-Strategie verantworten, einen Risiko-Appetit definieren und KI-Initiativen über ein internes Komitee freigeben. Verantwortlichkeiten sind schriftlich zu fixieren – wer ist Modell-Owner, wer Daten-Owner, wer für Validierung zuständig. Das ist deutlich schärfer als bei reinen IT-Projekten.

2. Inventarisierung und Risikoklassifizierung: Jedes eingesetzte KI-System ist in ein KI-Inventar einzutragen, klassifiziert nach (a) Materialität (welche Geschäftsprozesse hängen davon ab), (b) Kundenwirkung (entscheidet das System über Kreditvergabe, Prämienberechnung, Anlageempfehlung?), (c) aufsichtlicher Exponierung (greift es in lizensierte Tätigkeiten ein?). Die Klassifizierung steuert die Tiefe von Validierung, Monitoring und Eskalation.

3. Datenqualität und Modell-Validierung: Datenherkunft (Lineage), Datenqualitäts-Kontrollen, Validierungs-Tests vor Inbetriebnahme, periodische Re-Validierung, Drift-Monitoring im Betrieb. Black-Box-Modelle ohne Erklärbarkeit sind für Hoch-Materialitäts-Fälle problematisch. Bei Drittanbieter-Modellen (OpenAI, Anthropic) ist die fehlende Modell-Transparenz mit kompensatorischen Massnahmen abzudecken: Output-Audits, Stichproben-Validierung, Vergleichstests gegen Benchmarks.

4. Erklärbarkeit und Kunden-Information: Wo ein KI-System eine kundenrelevante Entscheidung trifft oder massgeblich unterstützt (Kreditablehnung, Prämien-Erhöhung, Anlage-Empfehlung), ist der Kunde transparent zu informieren – analog zur Pflicht aus Art. 21 Abs. 1 lit. f revDSG (Information bei vollautomatisierten Entscheidungen). Reklamations- und Korrekturwege sind vorzusehen.

Für Banken konkretisiert das Rundschreiben 2023/01 zusätzlich die IKT-Anforderungen: Schwachstellen-Management, Patch-Management, Incident-Response innerhalb von 24 Stunden, Penetration-Tests jährlich, Krisenübungen alle zwei Jahre.

FINMA-konformes KI-Setup in 7 Schritten

  1. 01Status klären: Sind Sie FINMA-beaufsichtigt? Prüfen Sie die FINMA-Bewilligungs-Liste und die FINIG/FINIV-Schwellen.
  2. 02KI-Inventar aufbauen: Alle eingesetzten KI-Systeme erfassen mit Materialität, Kundenwirkung, Lizensierungs-Bezug.
  3. 03Risiko-Appetit definieren: Verwaltungsrats-Beschluss zu Toleranzschwellen für KI-Risiken (Performance, Bias, Halluzination).
  4. 04Datenqualitäts- und Modell-Validierungs-Prozess: Validierungs-Tests vor Inbetriebnahme, jährliche Re-Validierung, Drift-Monitoring im Betrieb.
  5. 05Auslagerungs-Verträge mit KI-Providern prüfen: FINMA-RS 2018/03-konform, mit Audit-Rechten, Sub-Processor-Kontrolle, Prüfungs-Klauseln.
  6. 06Erklärbarkeit und Kunden-Information: Wo das KI-System kundenrelevant entscheidet, Information und Korrekturkanal vorsehen.
  7. 07Internes Audit und Geschäftsleitungs-Review: Jährliche Prüfung des Frameworks, Bericht an Verwaltungsrat, Update der Policy.

FINMA-Awareness anwenden: ja oder nein?

Vollständig anwenden: Wenn Sie zu den FINMA-beaufsichtigten Instituten gehören. Dann sind die Vorgaben verbindlich. Nicht-Einhaltung kann zu Enforcement-Verfahren führen, mit Sanktionen von Verwarnung über Geschäftsfeldverbot bis zum Bewilligungsentzug. Ein dokumentiertes KI-Inventar und ein KI-Governance-Framework sind in den FINMA-Inspektionen 2026 ein Standard-Prüfpunkt.

Freiwillig anwenden als Best Practice: Wenn Sie Treuhand-Mandate für Vermögen unter dem CHF-5-Mio-Schwellwert betreuen, Versicherungsvermittler sind, eine Krypto-Plattform unter Bewilligungs-Schwellen betreiben oder ein FintTech-Startup im Bewilligungsverfahren sind. Hier ist die FINMA-Awareness ein Reife-Indikator: Eine Bank, die einen Outsourcing-Vertrag mit Ihnen abschliessen soll, wird die Governance-Reife prüfen.

Nicht anwenden: Wenn Sie eine reine Treuhand-Kanzlei ohne Vermögensverwaltung sind, Anwaltskanzlei ohne FINMA-Bezug, Werkstatt, Restaurant, KMU im klassischen Sinn. Hier reicht eine schlanke KI-Policy nach NDSG-Vorgaben und nach den üblichen ISO-27001-Prinzipien. FINMA-Awareness als formale Pflicht greift nicht.

Vorbeugende Anwendung: Wenn Sie planen, in den FINMA-Bereich zu expandieren (z.B. Aufbau einer Vermögensverwaltungs-Linie, Beantragung einer FinTech-Bewilligung, Beratung von Krypto-Anbietern), beginnen Sie 12-18 Monate vor der Antragstellung mit der KI-Governance. Die FINMA-Bewilligung wird die Existenz angemessener Kontrollen voraussetzen – und die nachzubauen, kostet im Antrags-Stress mehr.

Wann FINMA-Anforderungen überzogen wären

Es gibt Situationen, in denen die volle FINMA-Maschinerie unverhältnismässig wäre und einfachere Compliance-Pfade ausreichen.

Reine Buchhaltungs-Treuhänder ohne Vermögensverwaltung: Der Aufwand für ein vollständiges AI-Inventar mit Materialitäts-Klassifizierung und Risiko-Appetit-Statement ist hier nicht gerechtfertigt. Die Daten fallen unter NDSG, das Berufsverhalten unter Standes-Regeln von Treuhand Suisse oder EXPERTsuisse. Eine schlanke KI-Policy und eine Mandanten-Klausel im Treuhand-Mandat reichen.

Wissenschaftliche Forschung mit KI: Hochschulen und Forschungs-Institute, die KI in Studien nutzen, fallen unter eigene Forschungs-Ethik-Frameworks und das Humanforschungsgesetz, nicht unter FINMA.

KMU im Industrie- oder Dienstleistungs-Sektor ohne Finanzdienstleistungen: Der Maschinenbauer mit KI-gestützter Qualitätskontrolle braucht ein ISO-9001-Qualitätsmanagement plus eventuell ISO 42001, aber keine FINMA-Awareness.

Konsumenten-Tools für das eigene Privatleben: Die Verwendung von ChatGPT zur Restaurant-Empfehlung oder zur Geburtstagsgedicht-Erstellung ist keine FINMA-relevante Tätigkeit.

Wichtig: Auch wenn Sie nicht FINMA-pflichtig sind, die Aufsichtsmitteilung 08/2024 ist als Best-Practice-Dokument frei verfügbar. Viele Schweizer KMU nutzen sie freiwillig als Strukturierungs-Hilfe für ihre eigene AI-Policy – analog dazu, dass viele KMU ISO-27001-Prinzipien anwenden, ohne sich zertifizieren zu lassen.

Vor- und Nachteile

STÄRKEN

  • Sektoraler Schweizer Ansatz ist pragmatischer als horizontale EU-AI-Act-Regulierung
  • Aufsichtsmitteilung 08/2024 als klare Strukturierungs-Hilfe, auch für Nicht-Beaufsichtigte
  • Verzahnung mit RS 2023/01 (Operative Risiken) und 2018/03 (Outsourcing) nutzt bestehende Frameworks
  • KI-Inventar und Risiko-Klassifizierung schärfen das Management-Bewusstsein nachhaltig

SCHWÄCHEN

  • Pflichten sind in mehreren Dokumenten verstreut (RS 2023/01, AM 08/2024, RS 2018/03)
  • Mittelbarer Erfassungsbereich (Outsourcing) erzeugt vertraglichen Aufwand für KI-Provider
  • Black-Box-Modelle (OpenAI, Anthropic) erfordern kompensatorische Validierung – zusätzliche Kosten
  • Sektoraler Ansatz führt zu Doppelarbeit für Anbieter im EU-Markt (EU AI Act parallel anwendbar)

Häufige Fragen

Sind Treuhänder FINMA-beaufsichtigt?

In der Regel NICHT. Klassische Treuhand-Tätigkeiten (Buchführung, Steuererklärungen, Treuhand-Mandate ohne Anlagewahl) fallen nicht unter FINMA. Sobald aber Vermögens-Verwaltung oder Anlage-Beratung mit regelmässiger Gewerbsmässigkeit oder über CHF 5 Mio. AuM hinzukommt, greift die FINIG-Bewilligungspflicht (FINIG Art. 17). Prüfen Sie genau: "Anlageempfehlungen" sind schon ein Tatbestand; "blosse Buchhaltung" nicht.

Was passiert, wenn eine FINMA-Inspektion KI-Maengel feststellt?

Die FINMA arbeitet in einer Eskalations-Stufung. Erste Stufe: Prüf-Bericht mit Massnahmen-Plan, typisch 6-12 Monate Frist. Zweite Stufe: Vor-Ort-Folgeprüfung. Dritte Stufe: Enforcement-Verfahren mit Verfügung – von Verwarnung über Auflagen bis zu Bewilligungsentzug. Bei systemischer Verletzung droht zudem Verstoss-Veröffentlichung nach FINMAG Art. 34, was reputativ teuer ist. Im KI-Kontext sind 2025/2026 noch keine Enforcement-Verfahren bekannt, aber die FINMA-Umfrage 2025 zeigt aktive Aufsicht.

Reicht ISO 27001 für FINMA?

Nein, aber als Basis hilfreich. ISO 27001 deckt die Informationssicherheit aus RS 2023/01 weitgehend ab. Die KI-spezifischen Pflichten aus der Aufsichtsmitteilung 08/2024 (KI-Inventar, Materialitäts-Klassifizierung, Modell-Validierung, Erklärbarkeit) verlangen eine zusätzliche Schicht – üblicherweise ISO 42001 oder ein angepasstes internes Framework. Die Kombination ISO 27001 + ISO 42001 + FINMA-spezifisches Outsourcing-Framework ist 2026 der Standard-Aufbau bei mittelgrossen Schweizer Banken und Versicherern.

Verlangt die FINMA, dass KI-Inferenz in der Schweiz stattfindet?

Nicht explizit. Die FINMA verlangt aber, dass kritische Auslagerungen (RS 2018/03) die Aufsichtbarkeit nicht verhindern und dass Daten nach NDSG-konformen Pfaden bewegt werden. In der Praxis fordern viele Banken EU-Hosting des Inferenz-Endpoints (Azure OpenAI Frankfurt, AWS Bedrock Frankfurt) oder direkt CH-Hosting (Aleph Alpha auf Schweizer Infrastruktur, oder eigenes Hetzner-FSN/CH-Setup). Bei besonders sensitiven Daten (Kundenidentifikation, Bankgeheimnis-Daten nach Art. 47 BankG) bleibt CH-Hosting der konservative Pfad.

Verwandte Themen

EU AI ACT · COMPLIANCEEU AI Act 2026: Hochrisiko-Pflichten ab 2. August 2026 – was Schweizer Anbieter jetzt tun müssenrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetGwG-REVISION · COMPLIANCEGwG-Revision 2026: Erweiterung auf Treuhand-Beratung und FATF-Empfehlungen 16ISO 42001 · COMPLIANCEISO/IEC 42001: Der internationale Standard für AI-Management-SystemeAUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibt

Quellen

  1. FINMA-Aufsichtsmitteilung 08/2024 – Governance und Risikomanagement beim Einsatz Künstlicher Intelligenz · 2024-12
  2. FINMA-Rundschreiben 2023/01 – Operationelle Risiken und Resilienz (Banken) · 2024-01
  3. FINMA-Rundschreiben 2018/03 – Outsourcing (Banken und Versicherer) · 2018-12
  4. FINMA-Umfrage 2025 – Künstliche Intelligenz auf dem Vormarsch in Schweizer Finanzinstituten · 2025-04
  5. Bundesrat-Beschluss vom 12. Februar 2025 – Sektoraler Ansatz für KI-Regulierung Schweiz · 2025-02
  6. Bracher / Suter – Kommentar zur FINMA-Aufsichtsmitteilung KI (Jusletter Weblaw 2024-12-24) · 2024-12

PASSEND ZU IHREM STACK?

Dies ist keine Rechtsberatung. Für verbindliche Auslegung CH-Anwalt / Datenschutzberater. Wir begleiten FINMA-Awareness-Audits, KI-Inventar-Aufbau und Outsourcing-Vertrags-Reviews für Banken, Versicherer und Vermögensverwalter. Erstgespräch kostenlos.

Erstgespräch buchen