fairlane.systems

BANKEN · BRANCHEN-HUB

KI für Schweizer Banken unter FINMA-Aufsicht: Governance, Kreditscoring, AML und Kunden-Triage

Wie Schweizer Banken KI in Kreditscoring, AML/KYC, Sentiment-Analyse und Kunden-Mail-Triage einsetzen – innerhalb von FINMA 08/2024, BankG Art. 47 und revDSG.

Recherche & Faktencheck: · Stand: 2026-05

Schweizer Bankenplatz und KI im Überblick

Der Schweizer Bankenplatz umfasst per Anfang 2026 rund 230 FINMA-beaufsichtigte Banken. Dazu zählen die beiden Grossbanken, die Kantonalbanken, die Raiffeisen-Gruppe, Regionalbanken, Privatbanken sowie ausländisch beherrschte Institute. Insgesamt sind über 100'000 Personen im Bankensektor beschäftigt; die Schweizerische Bankiervereinigung (SBVg) und die Vereinigung Schweizerischer Handels- und Verwaltungsbanken (VAV) sind die zentralen Verbandsstellen.

Künstliche Intelligenz ist in dieser Branche keine experimentelle Anwendung mehr. Die FINMA-Umfrage vom April 2025 unter 400 beaufsichtigten Instituten zeigte, dass mehr als die Hälfte der antwortenden Banken KI bereits produktiv einsetzt – vor allem in Kunden-Mail-Triage, AML-Transaktionsmonitoring, Trading-Sentiment-Analyse und Compliance-Recherche. Die Aufsichtsmitteilung 08/2024 vom 18. Dezember 2024 formuliert die FINMA-Erwartung explizit: KI-Anwendungen müssen inventarisiert, risikoklassifiziert und laufend überwacht werden.

Parallel läuft die Diskussion um die FINMA-Verordnung zum Operationellen Risiko (OperOps) und die überarbeiteten Rundschreiben 2024/05 „Risikomanagement bei der Verarbeitung kritischer Daten" und 2008/21 „Operationelle Risiken Banken". Beide enthalten 2026 Verweise auf KI-spezifische Kontrollen. Die Branchenvereinbarung Banken (AGV Banken) deckt zusätzlich arbeitsrechtliche Aspekte des KI-Einsatzes ab – etwa bei der Verwendung von Mitarbeiter-Performance-Daten in KI-Modellen.

Die Frage ist damit nicht mehr „Sollen wir KI einsetzen", sondern „Wie steuern wir das so, dass Bankgeheimnis (BankG Art. 47), revDSG, FINMA 08/2024 und die internen Risikorichtlinien sauber zusammenpassen".

Warum eine bewusste Position 2026 Pflicht ist

Vier Druckpunkte treffen jede Bank 2026 gleichzeitig.

Erstens: BankG Art. 47 Bankgeheimnis. Daten über Kundenbeziehungen sind strafrechtlich geschützt. Eine unbedachte Anfrage an ein US-gehostetes Sprachmodell mit identifizierbaren Kundendaten ist nicht nur ein Datenschutz-Vorfall, sondern unter Umständen eine Strafnorm-Verletzung mit persönlicher Verantwortung der handelnden Personen. Auch die Speicherung von Prompts beim Anbieter ohne DPA und no-training-Garantie ist kritisch.

Zweitens: FINMA 08/2024 verlangt Governance, Inventar, Datenqualität und Monitoring. Wer 2026 keine KI-Inventur, keinen verantwortlichen KI-Owner auf Geschäftsleitungs-Ebene und keine Risikoklassifikations-Matrix hat, ist nicht mehr im Einklang mit der Aufsichtspraxis. Bei einer Aufsichtsprüfung ist dies einer der ersten Punkte, die geprüft werden.

Drittens: Bias-Risiken in Kreditscoring und AML. Modelle, die historische Kreditentscheidungen lernen, übernehmen unter Umständen alte Schieflagen – etwa systematisch höhere Ablehnung in bestimmten Postleitzahlen oder für Selbstständige. Die FINMA 08/2024 erwartet, dass operative Risiken (Robustheit, Korrektheit, Bias, Erklärbarkeit) pro Anwendung explizit bewertet werden. Bias-Audits sind kein Nice-to-have mehr.

Viertens: Mitarbeiter- und Kunden-Erwartung. Junge Mitarbeitende erwarten 2026 produktive KI-Werkzeuge am Arbeitsplatz; Schatten-KI (privater ChatGPT-Account für interne Recherche) verbreitet sich unkontrolliert. Kundenseitig erwarten Firmen- und vermögende Privatkunden schnellere Erstreaktion auf Mail- und Telefon-Anfragen. Wer beides ignoriert, verliert mittelfristig Mitarbeitende an digital fortgeschrittenere Banken und Mandate an Robo-Advisor.

Die strategische Antwort ist nicht „blockieren" und nicht „freigeben", sondern eine kontrollierte Plattform: Multi-LLM-Gateway mit Datenklassifikations-Routing, Pseudonymisierung vor Modellaufruf, EU/CH-Hosting mit DPA und no-training, audit-fähiger Trail nach Art. 957a OR plus FINMA-Reporting an den Verwaltungsrat.

Wo KI in einer Schweizer Bank 2026 produktiv arbeitet

Fünf Anwendungs-Cluster decken den Grossteil der heute realistisch automatisierbaren Arbeit ab. Jeder ist nach FINMA 08/2024 risikoklassifiziert.

Kreditscoring mit Mensch-im-Loop. KI-Modelle können aus Antrags-Unterlagen, Kontobewegungen, Branchendaten und externen Bonitäts-Indikatoren ein Risikoscore ableiten. Wichtig: das Scoring ist eine Empfehlung, keine Entscheidung. Die Kreditvergabe selbst bleibt beim Kreditausschuss. Bias-Audit, dokumentierte Modellbeschreibung und nachvollziehbare Entscheidungsbegründung sind hier Pflicht. Bei Konsumentenkrediten gelten zusätzlich revDSG-Auskunftsrechte und Begründungs-Pflichten bei Ablehnung.

AML- und KYC-Screening. Dynamische Prüfung von Neukunden gegen PEP-Listen, Sanktionslisten, negative Presse und das Transparenzregister wirtschaftlich Berechtigter. Bei laufenden Kundenbeziehungen automatische Triage von Transaktions-Mustern; verdächtige Fälle werden mit Begründung an die Compliance-Stelle eskaliert. Siehe AI-GwG-KYC-Screening und GwG-Revision-2026 für Pflichten ab Mitte 2026.

Trading- und Markt-Sentiment-Analyse. News- und Social-Media-Feeds werden klassifiziert (positiv/negativ/neutral pro Aktien-Ticker oder Anlageklasse), aggregiert und an Anlageausschuss oder Trading-Desk geliefert. Die Investment-Entscheidung selbst bleibt beim Menschen – KI liefert nur die Synthese aus tausenden Quellen, die ein Mensch nicht in Echtzeit lesen kann.

Kunden-Mail-Triage und Vorqualifikation. Eingehende E-Mails werden klassifiziert (Kontoangelegenheit, Karten-Sperre, Hypothek, Anlageberatung, Beschwerde), zusammengefasst und mit der bekannten Kundenakte verknüpft. Ein Antwortentwurf wird vorgeschlagen, der Berater entscheidet über den Versand. Routine-Vorgänge (Adresse-Änderung) können automatisiert werden, mit Vier-Augen-Stichprobe.

Compliance- und Wegleitungs-Recherche mit RAG. Interne Reglemente, FINMA-Rundschreiben, KAG-Hinweise, AGV-Banken-Artikel und Rechtsdienst-Memos werden in eine eigene Wissensbasis indexiert. Compliance-Mitarbeitende können Fragen stellen wie „Welche Sorgfalts-Schritte sind bei einem Trust mit Liechtenstein-Trustee zu dokumentieren?" und bekommen geerdete Antworten mit Quellenangabe. Siehe Retrieval-Augmented-Generation.

Quer über alle Anwendungen: ein Multi-LLM-Gateway. Kundendaten und Kontobewegungen gehen ausschliesslich an EU- oder CH-gehostete Modelle (Mistral Large EU, Anthropic Claude via AWS Frankfurt, lokales Llama 3.x), allgemeine Recherche kann an günstigere US-Modelle gehen – immer ohne identifizierbare Kundendaten im Prompt.

Wie eine Bank KI startet – in 6 Schritten

  1. 01KI-Inventur durchführen: alle bereits eingesetzten oder eingebauten KI-Anwendungen erfassen, inkl. der unbemerkten in Standard-Software (Kernbanken-System, CRM, OCR-Module, Voice-Bots). Pro Anwendung: Modell, Anbieter, Datenklassifikation, Hosting-Region, DPA-Status. Ohne diese Inventur ist FINMA-Konformität 2026 nicht möglich.
  2. 02KI-Owner auf Geschäftsleitungs-Ebene nominieren und im Organigramm verankern. Berichtslinie zum Verwaltungsrat festlegen, jährlicher KI-Lagebericht. Bei grösseren Banken parallel ein KI-Risiko-Komitee mit Compliance, IT-Security, Risikomanagement und Rechtsdienst.
  3. 03Interne KI-Richtlinie verfassen auf Basis FINMA 08/2024, BankG Art. 47, revDSG und AGV Banken. Mindestinhalt: zugelassene Modelle und Hosting-Regionen, Pseudonymisierungs-Pflichten, Verbot von Schatten-KI, Verfahren für neue Anwendungen, Audit-Trail-Pflichten.
  4. 04Hosting- und Routing-Architektur aufbauen: Multi-LLM-Gateway mit Routing nach Datenklassifikation. Personendaten und Kundenbezüge ausschliesslich an EU/CH-gehostete Modelle mit DPA und no-training. Local-Fallback (Llama 3.x, Mistral) für besonders sensible Anwendungen.
  5. 05Ersten Pilot mit niedrigem Risiko starten: Compliance-Recherche mit RAG oder Kunden-Mail-Triage mit Pseudonymisierung. Klare KPI (Bearbeitungszeit, Fehlerrate, Mitarbeiter-Akzeptanz). Acht bis zwölf Wochen Implementation, drei Monate begleitete Produktion.
  6. 06Hochrisiko-Anwendungen (Kreditscoring, AML-Modelle) erst nach Pilot-Validierung: Bias-Audit, dokumentierte Modellbeschreibung, periodische Validierung, Modell-Drift-Monitoring. Quartalsweises Reporting an den Verwaltungsrat. Audit-Trail nach Art. 957a OR für jede Modell-Entscheidung.

Wo eine Bank 2026 mit KI starten sollte

Die FINMA-Pflichten verschieben die Reihenfolge. Vor jedem produktiven Use-Case stehen Governance-Aufgaben.

Stufe 0 – FINMA-Compliance-Baseline. KI-Inventur (auch für bereits unbemerkt eingebaute KI in Standard-Software), Nominierung eines KI-Owners auf Geschäftsleitungs-Ebene, Risikoklassifikations-Matrix nach FINMA 08/2024, Reporting-Linie zum Verwaltungsrat. Diese Arbeit ist nicht verhandelbar und sollte vor jedem neuen Pilot abgeschlossen sein.

Stufe 1 – Audit-Light und interne Richtlinie. Eine externe Stand-Aufnahme: welche Software ist im Einsatz (Avaloq, Finnova, Temenos, eigenes Kernbanken-System), wie laufen Kundendaten heute durch das Netzwerk, welche US-gehosteten Tools sind bereits eingebunden. Output: ein Bericht mit drei Pilot-Kandidaten und einer rechtlichen Stand-Beurteilung. Parallel: interne KI-Richtlinie auf Basis FINMA 08/2024 und BankG Art. 47.

Stufe 2 – Erster Pilot mit niedrigem Risiko. Realistisch für eine Regional- oder Privatbank: Compliance-Recherche mit RAG (kein Kundendaten-Kontakt, geringes Risiko), oder Kunden-Mail-Triage mit Pseudonymisierung. Acht bis zwölf Wochen Implementation, drei Monate begleitete Produktion mit FINMA-konformem Monitoring.

Stufe 3 – Hochrisiko-Anwendungen mit eigener Infrastruktur. Erst nach erfolgreichem ersten Use-Case und mit nachgewiesenem Monitoring-Setup ist Kreditscoring oder AML-Modell-Triage angebracht. Diese verlangen Bias-Audits, periodische Validierung, Modell-Drift-Monitoring und dokumentierte Entscheidungs-Grundlagen – typischerweise mit eigenem Inhouse-Team oder qualifiziertem Managed Service.

Für kleinere Privatbanken oder Wertpapierhäuser ist die geteilte Nutzung von branchenspezifischen Lösungen (z.B. über Verbands-Initiativen oder spezialisierte FinTech-Anbieter mit FINMA-Erfahrung) eine sinnvolle Option. Wichtig: jede Bank bleibt selbst verantwortlich – Outsourcing ist keine Verantwortungs-Verlagerung.

Wo KI in einer Bank 2026 nicht hineingehört

Drei Bereiche, in denen 2026 Zurückhaltung nicht Vorsicht, sondern Aufsichtspflicht ist.

Autonome Kreditvergabe ohne Mensch. Kein Schweizer Aufsichtsrechtler empfiehlt 2026, eine Kreditentscheidung vollständig an ein Modell zu übergeben. Das Bias-Risiko, die fehlende Begründungsfähigkeit und die nicht-delegierbare Verantwortung des Instituts machen dies aufsichtsrechtlich riskant. Ein Score darf empfehlen, ein Mensch entscheidet. Bei Konsumentenkrediten muss ausserdem die Begründung dem abgelehnten Kunden zugänglich sein.

Automatische Sperrung von Kunden-Beziehungen ohne menschliche Bestätigung. Eine AML-Verdachtsmeldung an die MROS, eine Konto-Sperrung oder eine Beendigung einer Geschäftsbeziehung sind eingriffsstarke Massnahmen mit Bankgeheimnis- und Beweis-Folgen. Eine Triage kann automatisch erfolgen – der Eingriff selbst muss dokumentiert von einem berechtigten Compliance-Mitarbeitenden ausgehen.

Verwendung von Mitarbeiter-Performance-Daten in nicht-anonymen Modellen. Die AGV Banken und die revDSG-Vorgaben begrenzen das Profiling von Mitarbeitenden. Modelle, die individuelle Performance-Daten verarbeiten – z.B. zur Identifikation von „Top-Performern" oder „Risiko-Mitarbeitenden" – verlangen Mitwirkung der Sozialpartner und sind ohne Personalkommission heikel. EU-AI-Act-Klassifikation 2026 zählt arbeitsplatzbezogene KI-Anwendungen zu „hochriskant".

Besonders heikel und in der Branche 2026 noch nicht abschliessend geklärt: voll-automatisierte Anlage-Empfehlungen ohne Berater (Robo-Advisor mit LLM-Beratung). FIDLEG-Eignungsprüfungs-Pflichten und revDSG-Profiling-Regeln greifen hier ineinander; eine vollautomatische Empfehlung ohne dokumentierte Eignungsprüfung ist nicht ratsam.

Vor- und Nachteile

STÄRKEN

  • Kunden-Mail-Triage und Antwort-Entwurf reduzieren Bearbeitungszeit deutlich
  • AML-Transaktionsmonitoring systematischer als reine Schwellenwert-Regeln
  • Compliance-Recherche mit RAG bringt Wegleitungswissen schnell zum Mitarbeitenden
  • Trading-Sentiment-Analyse aggregiert tausende Quellen, die kein Mensch in Echtzeit liest
  • FINMA-Aufsichtsmitteilung 08/2024 schafft einen klaren Rahmen – die Branche kann strukturiert agieren

SCHWÄCHEN

  • BankG Art. 47 und FINMA 08/2024 verlangen eine sorgfältige Hosting- und Routing-Architektur
  • Bias-Risiken in Kreditscoring und AML brauchen laufendes Monitoring und periodische Validierung
  • Governance-Aufwand (Inventar, KI-Owner, Risiko-Komitee) verlangt dedizierte Ressourcen
  • Schatten-KI durch private Mitarbeiter-Accounts ist ein realer Datenleak-Vektor
  • Modell-Drift in produktiven Anwendungen erzwingt Re-Training und Re-Validierung

Häufige Fragen

Wie passen BankG Art. 47 und KI-Nutzung zusammen?

Art. 47 BankG schützt Daten über Kundenbeziehungen strafrechtlich. Die Weitergabe an Dritte – und ein Cloud-Modell-Anbieter ist ein Dritter – verlangt entweder Einwilligung der Kundin oder eine gesetzliche Grundlage. Praktisch bedeutet das: Kundendaten gehen ausschliesslich an Modelle mit Auftragsverarbeitungs-Vertrag (DPA), no-training-Garantie, EU- oder CH-Hosting und dokumentierter Datenflusskette. Pseudonymisierung vor Modellaufruf reduziert das Risiko zusätzlich, ersetzt den DPA aber nicht.

Was erwartet die FINMA bei einer Aufsichtsprüfung 2026 zu KI?

Vier Punkte gemäss Aufsichtsmitteilung 08/2024: (1) ein KI-Inventar mit Risikoklassifikation; (2) ein KI-Verantwortlicher auf Geschäftsleitungs-Ebene; (3) dokumentierte Datenqualitäts- und Bias-Prüfungen pro Anwendung; (4) laufendes Monitoring inkl. Modell-Drift und Erklärbarkeit. Bei Hochrisiko-Anwendungen wie Kreditscoring oder AML-Modellen kommen periodische Validierung, dokumentierte Modellbeschreibung und Audit-Trail pro Entscheidung hinzu. Abweichungen müssen begründet sein – Schweigen ist keine Position.

Dürfen wir Kreditentscheidungen automatisieren, wenn der Algorithmus gut ist?

Auch ein technisch überzeugendes Modell entbindet das Institut nicht von der Verantwortung. FINMA 08/2024 stellt klar: die Verantwortung für KI-Entscheidungen bleibt beim Institut, nicht beim Modell-Anbieter. Praxisstand 2026: Kreditscoring ist eine Empfehlung, die Entscheidung trifft der Kreditausschuss. Bei Konsumentenkrediten verlangt die revDSG zusätzlich die Begründungs-Pflicht gegenüber dem Kunden – ein „die KI hat das so entschieden" reicht weder rechtlich noch reputationell.

Was sagt die AGV Banken zu KI-Einsatz bei Mitarbeitenden?

Die AGV Banken regelt Arbeitsbedingungen in der Schweizer Bankenbranche und enthält Bestimmungen zur Daten- und Persönlichkeits-Schutz von Mitarbeitenden. KI-Anwendungen, die individuelle Performance-Daten verarbeiten – etwa zur Bewertung, Beförderung oder Risikoeinschätzung – verlangen Mitwirkung der Personalkommission und revDSG-konforme Information der Betroffenen. Reine Produktivitäts-Werkzeuge (KI-Assistent für E-Mail-Entwürfe) sind unkritischer, sollten aber Teil der internen KI-Richtlinie sein.

Verwandte Themen

FINMA · COMPLIANCEFINMA-Awareness: KI-Governance für Banken, Versicherer und Treuhänder mit VermögensverwaltungGWG-SCREENING · USE-CASEKI-gestütztes GwG-/KYC-Screening: Sanktionslisten, PEP, wirtschaftlich BerechtigteGwG-REVISION · COMPLIANCEGwG-Revision 2026: Erweiterung auf Treuhand-Beratung und FATF-Empfehlungen 16VERSICHERUNGEN · BRANCHEN-HUBKI für Versicherungen in der Schweiz: Governance, Schadenbearbeitung und UnderwritingVERMÖGENSVERWALTUNG · BRANCHEN-HUBKI für unabhängige Schweizer Vermögensverwalter: Eignungsprüfung, Reporting und Markt-SyntheseBIAS & FAIRNESS · AI-KONZEPTBias- und Fairness-Audits für KI: Schweizer Gleichstellung, EU AI Act Art. 10, BBQ und StereoSetMULTI-LLM GATEWAY · SERVICEMulti-LLM Gateway: Acht Anbieter, ein Eingang, Compliance-Routing

Quellen

  1. FINMA – Aufsichtsmitteilung 08/2024: Governance und Risikomanagement beim Einsatz von KI (PDF) · 2024-12
  2. FINMA – Künstliche Intelligenz auf dem Vormarsch in Schweizer Finanzinstituten (Umfrage) · 2025-04
  3. Schweizerische Bankiervereinigung (SBVg) – Themenfeld Digitalisierung und KI · 2026-04
  4. Bundesgesetz über die Banken und Sparkassen (BankG), Art. 47 Berufsgeheimnis (Fedlex) · 2026-01
  5. AGV Banken – Vereinbarung über die Anstellungsbedingungen in Schweizer Banken · 2026-03

PASSEND ZU IHREM STACK?

Wie das in Ihrem Betrieb konkret aussieht – 30 Minuten Erstgespräch.

Erstgespräch buchen