Data Act in Kraft: Finanzbranche zwischen Compliance-Druck und KI-Betrug

Frankfurt, 15. November 2025 – Doppelte Belastung für Banken und Versicherer: Seit dem 12. September gelten mit dem EU Data Act neue, weitreichende Pflichten für den Umgang mit Kundendaten. Zeitgleich warnt die BaFin eindringlich vor betrügerischen Plattformen, die mit “KI-gestützten Geldanlagen” Verbraucher ködern. Die Finanzindustrie steht damit vor einer Bewährungsprobe, bei der es nicht nur um Bußgelder geht – sondern um das grundlegende Vertrauen ihrer Kunden.

Wer glaubte, nach der DSGVO wäre das Thema Datenschutz abgehakt, wird derzeit eines Besseren belehrt. Die neue EU-Verordnung verlangt von Banken, Versicherungen und Fintech-Unternehmen eine fundamentale Neuausrichtung ihrer Datenstrategien. Kunden müssen künftig auf Anfrage alle durch ihre Banking-Apps oder smarten Versicherungstarife generierten Daten erhalten – und zwar unverzüglich, kostenlos und in Echtzeit.

Passend zum Thema Datenschutz und EU-Regeln: Viele Institute unterschätzen, welche Pflichten DSGVO & Data Act ihnen jetzt auferlegen. Ein kostenloser Leitfaden erklärt in 5 praxisnahen Schritten, wie Sie Datenzugriffs- und Portabilitätsanfragen rechtssicher umsetzen, typische Rechtsfallen vermeiden und eine Checkliste für die interne Umsetzung erhalten. Ideal für Compliance-Verantwortliche und IT-Verantwortliche in Banken und Versicherungen. Kostenlosen DSGVO-Leitfaden jetzt herunterladen

Nach 20 Monaten Übergangsfrist hätten Finanzdienstleister eigentlich vorbereitet sein müssen. Die Realität sieht anders aus. Eine Bitkom-Umfrage aus dem Sommer zeigt: Ein Großteil der deutschen Unternehmen hat sich kaum oder gar nicht mit dem Data Act beschäftigt. Viele Institute sehen sich fälschlicherweise nicht als Adressaten, obwohl ihre digitalen Dienste eindeutig in den Anwendungsbereich fallen.

Das könnte teuer werden. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden – ganz ähnlich wie bei der DSGVO. Erschwerend kommt hinzu: Das deutsche Durchführungsgesetz, das zuständige Aufsichtsbehörden und konkrete Sanktionen festlegen soll, steht noch aus. Diese Rechtsunsicherheit ändert jedoch nichts daran, dass die Kernpflichten bereits verbindlich sind.

KI-Boom trifft auf eskalierende Betrugsgefahr

Während die Branche noch mit den neuen Compliance-Anforderungen ringt, treibt sie gleichzeitig die KI-Integration massiv voran. Laut einer PwC-Studie von Anfang 2025 nutzen bereits 73 % der Finanzdienstleister Künstliche Intelligenz. Die Ziele: Effizienzsteigerung (84 %) und Kostensenkung (63 %). Doch die Medaille hat eine dunkle Kehrseite.

Erst gestern warnte die BaFin vor einer Serie betrügerischer Online-Plattformen, die mit dem Versprechen “KI-gestützte Geldanlage für alle, die smart investieren wollen” um Kunden werben – ohne jede Erlaubnis. Kein Einzelfall, sondern symptomatisch für eine wachsende Gefahr. Wo immer Technologie auf mangelnde Transparenz trifft, öffnen sich Einfallstore für Kriminelle.

Kann die Branche diesen Spagat überhaupt schaffen? Einerseits soll sie innovativ sein und datengetriebene Geschäftsmodelle entwickeln, andererseits muss sie gleichzeitig höchste Sicherheitsstandards gewährleisten. Die aktuellen Betrugsfälle zeigen, wie schnell das fragile Vertrauen der Kunden zerstört werden kann.

Ein Regulierungs-Dschungel ohne Ausweg

Die Komplexität endet nicht beim Data Act. Finanzinstitute bewegen sich längst in einem dichten Geflecht überlappender Vorschriften: Die DSGVO für personenbezogene Daten bildet die Basis, darauf bauen der Data Act für maschinengenerierte Daten, der kommende EU AI Act für Künstliche Intelligenz und DORA (Digital Operational Resilience Act) für IT-Sicherheit auf.

Diese Gemengelage erfordert einen Paradigmenwechsel. Isolierte Compliance-Maßnahmen reichen nicht mehr aus. Stattdessen braucht es eine ganzheitliche Daten-Governance – von der rechtmäßigen Beschaffung über die sichere Verarbeitung bis hin zur Einhaltung neuer Zugangs- und Portabilitätsrechte. Wer sich an die chaotischen Anfangszeiten der DSGVO erinnert, ahnt: Die Institute dürfen diese Fehler nicht wiederholen, denn die Risiken sind seither nur gestiegen.

Vertrauen als Währung der digitalen Finanzwelt

Die unmittelbare Botschaft ist eindeutig: Banken und Versicherer müssen dringend handeln. Datenverarbeitungsprozesse gehören auf den Prüfstand, technische und vertragliche Voraussetzungen müssen geschaffen werden. Sobald das deutsche Durchführungsgesetz verabschiedet wird, konkretisieren sich auch die Sanktionen bei Nichteinhaltung.

Doch langfristig geht es um mehr als Bußgeldvermeidung. In einer digitalisierten Finanzwelt wird transparente und sichere Datenhandhabung zur Grundvoraussetzung für Kundenvertrauen. Eine aktuelle Bitkom-Studie zeigt: Bereits 28 % der Deutschen würden KI für ihre Finanzplanung nutzen – ein Anstieg um acht Prozentpunkte binnen eines Jahres.

Dieses wachsende, aber noch fragile Vertrauen können nur jene Institute für sich gewinnen, die Datenschutz und Compliance nicht als lästige Pflicht begreifen, sondern als strategischen Wettbewerbsvorteil. Investitionen in Technologie, Expertise und eine gelebte Sicherheitskultur sind keine Kür mehr – sie sind Pflicht. Wer das verschläft, riskiert nicht nur hohe Strafen, sondern auch den Verlust seiner Kunden an Wettbewerber, die ihre Hausaufgaben gemacht haben.

PS: BaFin-Warnungen und die Zunahme von “KI-Invest”-Scams zeigen, wie gefährlich Phishing- und Social-Engineering-Angriffe für Kunden und Institute sind. Ein kostenloses Anti-Phishing-Paket erklärt in 4 konkreten Schritten, wie Sie Mitarbeiter sensibilisieren, CEO-Fraud erkennen und technische Schutzmaßnahmen implementieren – speziell für Finanzdienstleister und IT-Security-Teams. Jetzt Anti-Phishing-Paket anfordern