fairlane.systems

FINMA AM 08/2024 · COMPLIANCE

FINMA-Aufsichtsmitteilung 08/2024 zu KI: vier Säulen Governance, Verantwortlichkeit, Robustheit, Erklärbarkeit

Aufsichtsmitteilung 08/2024 vom 18.12.2024. Treuhand-Bezug: nur GwG-betreute Mandate. Klassische Buchhaltungs-Treuhänder sind nicht FINMA-direkt – aber Best-Practice empfohlen.

Recherche & Faktencheck: · Stand: 2026-05

Was ist die Aufsichtsmitteilung 08/2024?

Die FINMA-Aufsichtsmitteilung 08/2024 "Governance und Risikomanagement beim Einsatz von Künstlicher Intelligenz" wurde am 18. Dezember 2024 publiziert. Es ist das erste FINMA-Dokument, das KI-spezifische Anforderungen formuliert. Empfänger sind alle FINMA-Beaufsichtigten: Banken, Versicherer, Vermögensverwalter, Trustees, Fondsleitungen, Verwalter kollektiver Vermögen, Effektenhäuser, Finanzinfrastrukturen.

Die AM 08/2024 ist eine Aufsichtsmitteilung, kein Rundschreiben. Das bedeutet rechtlich: kein neuer Verhaltens-Standard im engen Sinn, sondern eine Konkretisierung bestehender Pflichten (RS 2023/01 Operationelle Risiken, RS 2018/03 Outsourcing, sektorale Pflichten aus FINIG, KAG, VAG, BankG). Praktisch hat die AM dieselbe Verbindlichkeit wie ein Rundschreiben – die FINMA pruft entlang der vier Säulen.

Die Aufsichtsmitteilung benennt vier Schwerpunkte (Säulen), die mit "Erwartungen" formuliert sind. Diese Erwartungen sind keine Detail-Vorschriften, sondern Outcome-Pflichten – der Verwaltungsrat und die Geschäftsleitung müssen die Erfüllung sicherstellen, die genaue Ausgestaltung ist proportional zur Materialität der KI-Anwendung.

Vier Säulen – was die FINMA konkret erwartet

Säule 1: Governance. Das oberste Leitungs-Organ (Verwaltungsrat) muss die KI-Strategie verantworten. Das umfasst einen schriftlichen Risiko-Appetit, einen klaren KI-Genehmigungs-Prozess für neue Anwendungen, ein KI-Inventar (welche KI-Systeme sind im Einsatz, in welchem Geschäftsprozess), eine periodische Berichterstattung an den Verwaltungsrat. Bei Banken und Versicherern wird typisch ein internes KI-Governance-Komitee eingerichtet, das vor Inbetriebnahme eines neuen KI-Systems eine Risikobewertung freigibt.

Säule 2: Verantwortlichkeit. Jedes KI-System muss einen klar benannten Owner haben – eine natürliche Person, die für die Leistung des Systems verantwortlich ist. Daneben Daten-Owner, Validierungs-Verantwortliche und (bei externen Modellen) ein Outsourcing-Verantwortlicher. Die FINMA pruft konkret: wer kann mir die Entscheidung erklären, die das System gefällt hat? Antwort "wir wissen es nicht, das Modell ist eine Black-Box" ist nicht akzeptabel.

Säule 3: Robustheit. Datenqualität, Modell-Validierung, Drift-Monitoring im Betrieb, Stress-Tests, Reproduzierbarkeit der Ergebnisse, Daten-Lineage. Konkret: vor Inbetriebnahme ein Validierungs-Bericht mit Test-Resultaten gegen Baseline. Im Betrieb ein Drift-Monitoring mit definierten Eskalations-Schwellen. Bei Drittanbieter-Modellen (OpenAI, Anthropic) sind die Provider-internen Validierungs-Berichte selten ausreichend – kompensatorische Output-Audits sind nötig.

Säule 4: Erklärbarkeit und Kundenkommunikation. Wo ein KI-System kundenrelevant entscheidet (Kreditvergabe, Prämienberechnung, Anlage-Empfehlung), muss erklärbar sein, warum welches Resultat. Das ist nicht zwingend technische Erklärbarkeit (LIME, SHAP, Counterfactuals), sondern juristisch-fachliche Erklärung gegenüber dem Kunden. Reklamations- und Korrekturwege sind vorzusehen. Die Pflicht ist mit DSG Art. 21 Abs. 1 lit. f (Information bei automatisierter Einzelentscheidung) abgestimmt.

Treuhand-Bezug der AM 08/2024 – wo greift sie?

Die Frage "bin ich von der AM 08/2024 betroffen?" hat für Schweizer Treuhand-Büro drei mögliche Antworten.

Direkt FINMA-beaufsichtigt – AM voll anwendbar. Treuhand-Büro, das ein Vermögens-Verwaltungs-Mandat mit eigener Anlage-Disposition betreibt (Anlage-Empfehlungen, Portfolio-Verwaltung) und über CHF 5 Mio. AuM oder mit regelmässiger gewerblicher Tätigkeit, ist nach FINIG Art. 17 bewilligungspflichtig. In diesem Fall greift die AM 08/2024 voll. Dasselbe gilt für Treuhand-Büro, die Trustees für wirtschaftlich-berechtigte Strukturen sind und unter FINIG fallen.

GwG-betreute Mandate – AM partiell anwendbar. Klassische Treuhand-Büro, die GwG-Sorgfaltspflichten für Mandanten erfüllen (KYC, wirtschaftlich-berechtigt-Prüfung, Geldwäscherei-Verdachts-Meldungen), sind nicht FINMA-direkt – sondern unter Selbstregulierung (SRO, z.B. SO-FIT, ARIF, SO-VSV) oder direkt unter DSFin (Direkt-Beaufsichtigung). Wenn solche Treuhand-Büro KI in GwG-Workflows einsetzen (z.B. AI GwG KYC Screening, siehe entsprechendes Service-Modul), ist die AM 08/2024 nicht direkt anwendbar – wohl aber die SRO-Regelwerke und der "Best-Practice"-Anspruch der GwG-Compliance.

Reine Buchhaltungs-Treuhand – AM nicht direkt anwendbar. Treuhand-Büro, die nur Buchhaltung, Lohn-Buchhaltung, MwSt- und Steuer-Mandate ohne Vermögens-Verwaltung erbringen, sind nicht FINMA-direkt und nicht im GwG-Aufsichts-Bereich (sofern keine wirtschaftlich-berechtigt-Verifikationen für komplexe Strukturen). Die AM 08/2024 ist hier nicht direkt anwendbar – wird aber als Best-Practice-Dokument für KI-Governance frei verwendet (analog zu ISO 42001).

Empfehlung Mai 2026: Auch Nicht-Beaufsichtigte sollten die vier Säulen kennen und proportional umsetzen. Die AM 08/2024 ist 5 Seiten lang und liefert eine prag­matische Strukturierungs-Hilfe – selbst wenn keine rechtliche Pflicht besteht, schafft sie Glaubwürdigkeit gegenüber Mandanten, Banken (Sub-Auslagerungs-Prüfung) und Versicherungs-Kunden.

AM 08/2024 in 5 Schritten umsetzen

  1. 01Verwaltungsrats-Beschluss: KI-Strategie, Risiko-Appetit, Genehmigungs-Prozess für neue KI-Anwendungen schriftlich fixieren.
  2. 02KI-Inventar aufbauen: alle eingesetzten KI-Systeme inkl. Drittanbieter (OpenAI, Anthropic, Mistral) mit Materialitäts-Klassifizierung.
  3. 03Verantwortlichkeiten zuweisen: pro System ein Owner, ein Daten-Owner, ein Validierungs-Verantwortlicher, schriftlich dokumentiert.
  4. 04Validierungs- und Monitoring-Prozess: vor Inbetriebnahme Validierungs-Bericht gegen Baseline, im Betrieb Drift-Monitoring mit Eskalations-Schwellen.
  5. 05Erklärbarkeit und Kunden-Kanal: pro System dokumentieren, wie kundenrelevante Entscheidungen erklärt werden; Reklamations-Kanal einrichten.
  6. 06Internes Audit und jährliche Geschäftsleitungs-Review: das Framework und das KI-Inventar prüfen und an Verwaltungsrat berichten.

Wann die AM 08/2024 voll umzusetzen ist

Vier Konstellationen erzwingen die volle Umsetzung.

Erstens: Sie sind eine FINMA-beaufsichtigte Bank, Versicherer, Vermögens-Verwalter oder Treuhand-Büro mit Anlage-Mandat. Die AM ist nicht optional. Erste FINMA-Inspektionen 2026 prüfen explizit das KI-Inventar und die Materialitäts-Klassifizierung.

Zweitens: Sie sind ein Outsourcing-Provider für eine beaufsichtigte Bank oder Versicherer (z.B. KI-Boutique, die LLM-Routing für eine Bank baut). Ihre Bank-Kunden werden Sie vertraglich zur Einhaltung der AM verpflichten – meist mit Audit-Rechten, Sub-Processor-Pflichten, Datenort-Vorgaben (EU/CH).

Drittens: Sie planen, in den FINMA-Bereich zu expandieren (z.B. FinTech-Bewilligung, neue Vermögens-Verwaltungs-Linie). Die Bewilligungs-Anträge werden die Existenz angemessener KI-Governance voraussetzen. 12-18 Monate Vorlauf empfohlen.

Viertens: Sie sind in einer SRO der GwG-Sorgfaltspflichten und nutzen KI in KYC-Workflows. Die SRO werden in den Prüfungen 2026/2027 die Best-Practice-Umsetzung der AM 08/2024 als Massstab nehmen, auch wenn formell nicht zwingend.

Wann eine schlanke Lösung reicht

Drei Konstellationen lassen schlanke Umsetzung zu.

Reine Buchhaltungs-Treuhand ohne GwG-Komplex-Mandate: hier reicht eine vereinfachte interne KI-Policy mit (a) Mandanten-Information über KI-Einsatz, (b) DPA mit LLM-Provider, (c) Mitarbeitenden-Schulung zu sensitiven Daten. Ein vollständiges KI-Inventar mit Materialitäts-Klassifizierung ist Overkill.

KMU im Industrie- oder Dienstleistungs-Sektor ohne Finanzdienstleistungen: hier ist ISO 9001 oder ISO 42001 (KI-Management) das passende Framework, nicht FINMA. Lieferanten-Audits orientieren sich an ISO-Normen, nicht an FINMA-AM.

Forschung und Entwicklung von KI ohne produktiven Kunden-Einsatz: PoCs in der Pilotphase ohne aktive Kunden-Interaktion sind nicht FINMA-relevant. Sobald aktive Kunden Daten verarbeitet werden, kann die Klassifizierung kippen.

Dies ist keine Rechtsberatung. Die Zuordnung "FINMA-beaufsichtigt ja/nein" und "AM 08/2024 anwendbar ja/nein" muss in der konkreten Konstellation von einem Anwalt mit Banken- und Finanzdienstleistungs-Recht-Erfahrung geprüft werden.

Vor- und Nachteile

STÄRKEN

  • AM 08/2024 ist mit 5 Seiten kompakt und in Praxis-Sprache geschrieben
  • Vier-Säulen-Struktur ist als Strukturierungs-Hilfe auch für Nicht-Beaufsichtigte nutzbar
  • Verzahnung mit bestehenden Rundschreiben (2023/01, 2018/03) reduziert Doppelarbeit
  • Outcome-Pflichten erlauben proportionalen Aufwand je nach Materialität

SCHWÄCHEN

  • Black-Box-Modelle (OpenAI, Anthropic) erschweren Säule 3 (Robustheit) und 4 (Erklärbarkeit)
  • Sektoraler Ansatz schafft Doppelarbeit für Anbieter mit EU-Markt-Bezug (EU AI Act parallel)
  • Kein Detail-Standard – Geschäftsleitung muss eigene Auslegung verantworten
  • Schnelle Modell-Updates (z.B. Das aktuelle Claude-Modell -> 4.7) verlangen jährliche Re-Validierung

Häufige Fragen

Sind reine Buchhaltungs-Treuhänder FINMA-beaufsichtigt?

In der Regel NICHT. Klassische Treuhand-Tätigkeit (Buchhaltung, Steuererklärungen, Lohnbuchhaltung) fällt nicht unter FINMA. Erst bei Anlage-Empfehlungen, Portfolio-Verwaltung oder Trustee-Mandaten über CHF 5 Mio. AuM mit gewerblicher Regelmässigkeit greift FINIG Art. 17. Die AM 08/2024 ist für reine Buchhaltungs-Treuhand kein direkt anwendbares Recht, sondern hilfreiche Best-Practice.

Was bedeutet "Materialität" bei einem KI-System?

Materialität ist die Bedeutung des KI-Systems für die Geschäftsprozesse und für die Kunden. Drei Achsen: (a) Geschäftskritikalität (fällt das System aus, wieviel Geschäft ist betroffen?), (b) Kundenwirkung (entscheidet das System über Kreditvergabe, Prämien, Anlage-Empfehlung – oder nur über interne Effizienz?), (c) Aufsichtsbezug (greift das System in lizensierte Tätigkeiten ein?). Hoch-Materielle Systeme verlangen tiefere Validierung, engeres Monitoring, mehr Verwaltungsrats-Berichterstattung.

Reicht ein DPA mit OpenAI für Säule 2 (Verantwortlichkeit)?

Nein. Ein DPA regelt die Verantwortung gegenüber dem Provider, ersetzt aber nicht den internen Owner. Der interne Owner ist eine natürliche Person bei Ihnen – typisch ein Bereichsleiter oder Compliance-Officer – die für die Leistung des Systems steht und die Validierungs-Berichte unterzeichnet. Bei Black-Box-Modellen wie OpenAI muss der Owner kompensatorische Massnahmen (Output-Audits, Stichproben-Tests) belegen.

Welche Sanktionen drohen bei Verletzung der AM 08/2024?

Die AM allein begründet keine direkten Bussen – sie konkretisiert bestehende Pflichten. Verletzungen führen über die zugrundeliegenden Vorschriften (RS 2023/01, RS 2018/03, FINIG, BankG, VAG) zu Enforcement-Verfahren. Sanktions-Skala: Verwarnung, Auflagen, Berufsverbot, Bewilligungsentzug, öffentliche Mitteilung nach FINMAG Art. 34 (reputational teuer). Stand Mai 2026 sind noch keine KI-spezifischen Enforcement-Verfahren publiziert, aber FINMA-Umfragen 2025 und 2026 zeigen aktive Aufsicht.

Verwandte Themen

FINMA · COMPLIANCEFINMA-Awareness: KI-Governance für Banken, Versicherer und Treuhänder mit VermögensverwaltungrevDSG · COMPLIANCErevDSG / revFADP und KI: Was das revidierte Schweizer Datenschutzgesetz für LLM-Nutzung bedeutetISO 42001 · COMPLIANCEISO/IEC 42001: Der internationale Standard für AI-Management-SystemeAUDIT-TRAIL · AI-KONZEPTAI-Audit-Trail-Design: Was Sie loggen müssen, damit eine KI-Antwort revisionsfähig bleibtEU AI ACT · COMPLIANCEEU AI Act 2026: Hochrisiko-Pflichten ab 2. August 2026 – was Schweizer Anbieter jetzt tun müssen

Quellen

  1. FINMA-Aufsichtsmitteilung 08/2024 – Governance und Risikomanagement beim Einsatz Künstlicher Intelligenz · 2024-12
  2. FINMA-Rundschreiben 2023/01 – Operationelle Risiken und Resilienz (Banken) · 2024-01
  3. FINMA-Rundschreiben 2018/03 – Outsourcing (Banken und Versicherer) · 2018-12
  4. FINMA-Umfrage 2025 – Künstliche Intelligenz auf dem Vormarsch in Schweizer Finanzinstituten · 2025-04
  5. Bundesrat-Beschluss vom 12. Februar 2025 – Sektoraler Ansatz für KI-Regulierung Schweiz · 2025-02

PASSEND ZU IHREM STACK?

Dies ist keine Rechtsberatung. Wir begleiten FINMA-AM-08/2024-Implementierungen, bauen KI-Inventare und Owner-Strukturen auf und prüfen Outsourcing-Verträge für Banken, Versicherer und Vermögens-Verwalter. Erstgespräch kostenlos.

Erstgespräch buchen