Die US-Finanzaufsicht FINRA hat jedem Broker-Dealer im Land unmissverständlich mitgeteilt: KI-Agenten sind ein Aufsichtsproblem, kein reines Technologiethema. Der Annual Regulatory Oversight Report 2026, veröffentlicht im Dezember 2025, enthält erstmals einen eigenständigen Abschnitt zu Agentic AI. Darin werden sechs konkrete Risikokategorien benannt: unkontrollierte Autonomie, Scope Creep über die Nutzerabsicht hinaus, mangelnde Prüfbarkeit mehrstufiger Entscheidungsketten, Datensensibilität, fehlende Domänenexpertise und falsch ausgerichtete Reward-Funktionen.
Für europäische Finanzdienstleister mit US-Geschäft bedeutet das: Die Compliance-Anforderungen an KI-Agenten sind jetzt doppelt. Neben dem EU AI Act, der ab 2. August 2026 greift, und der DSGVO müssen Firmen, die an US-Märkten operieren, auch FINRAs Aufsichtserwartungen erfüllen. Die Verantwortung liegt beim Unternehmen, nicht beim Technologieanbieter.
Die sechs Risikokategorien, die FINRA benannt hat
FINRA definiert KI-Agenten als „Systeme oder Programme, die in der Lage sind, autonom Aufgaben im Auftrag eines Nutzers auszuführen" und die „in einer Umgebung interagieren, planen, Entscheidungen treffen und Maßnahmen ergreifen können, um bestimmte Ziele ohne vordefinierte Regeln oder Logikprogrammierung zu erreichen." Diese Definition grenzt Agenten klar von den Chatbot-artigen GenAI-Tools ab, die im Bericht 2025 im Vordergrund standen.
Autonomie: Handeln ohne menschliche Freigabe
Das offensichtlichste Risiko: KI-Agenten führen Aktionen aus, ohne dass ein Mensch die Entscheidung validiert. Im Broker-Dealer-Kontext könnte das bedeuten, dass ein Agent einen Trade bestätigt, ein Kundenkonto ändert oder eine Kommunikation versendet, die als Anlageberatung gilt. Unter FINRA Rule 3110 muss jede Firma ein „angemessen gestaltetes Aufsichtssystem" unterhalten. Ein Agent, der die menschliche Prüfung umgeht, erfüllt diesen Standard nicht.
FINRA schreibt keine pauschale Human-in-the-Loop-Pflicht vor. Stattdessen sollen Firmen selbst bestimmen, „wo Human-in-the-Loop-Aufsichtsprotokolle oder -praktiken eingesetzt werden." In der Praxis heißt das: Ein abgestuftes Aufsichtsmodell, das die Kontrollintensität an das Risiko jeder einzelnen Agentenaktion anpasst.
Scope Creep: Wenn Agenten über ihre Befugnisse hinausgehen
FINRA warnt, dass Agenten „über den tatsächlichen oder beabsichtigten Umfang und die Befugnisse des Nutzers hinaus handeln" können. Ein Compliance-Analyst setzt einen Agenten ein, um Transaktionsberichte zu prüfen. Der Agent entscheidet in seiner Reasoning-Kette, dass er zusätzliche Kundendaten braucht, und ruft Datensätze ab, auf die der Analyst keinen Zugriff hat.
Genau dieses Problem musste Goldman Sachs lösen, als die Bank Claude-basierte Agenten für KYC und AML in Produktion nahm. Was ein Agent darf, lässt sich schwerer eingrenzen als die Befugnisse eines menschlichen Mitarbeiters, weil Agenten ihre Werkzeuganforderungen erst zur Laufzeit ermitteln.
Prüfbarkeit: Mehrstufige Entscheidungen sind schwer nachvollziehbar
FINRA stellt fest, dass „komplizierte, mehrstufige Agent-Reasoning-Aufgaben Ergebnisse schwer nachvollziehbar oder erklärbar machen können." Wenn ein Agent fünf API-Aufrufe, zwei Datenbankabfragen und eine Modellinferenz verkettet, um eine Empfehlung zu generieren, erfordert die Rekonstruktion des Entscheidungsweges ein lückenloses Logging jedes einzelnen Schritts.
Debevoise & Plimpton betonen in ihrer Analyse: Firmen müssen Agenten-Aktionen denselben Prüfbarkeitsstandards unterwerfen wie menschlich getroffene Entscheidungen. Das heißt: Prompts, Zwischenschritte, Tool-Aufrufe und Endergebnisse protokollieren. Jedes einzelne Mal.
Für DACH-Unternehmen kommt hinzu, dass die DSGVO ein „Recht auf Erklärung" automatisierter Entscheidungen vorsieht (Art. 22 DSGVO). Wenn ein KI-Agent eine Kreditentscheidung oder eine Risikobewertung trifft, muss die Entscheidungslogik nicht nur intern nachvollziehbar sein, sondern auch gegenüber dem Betroffenen erklärt werden können.
Datensensibilität: Unkontrollierter Datenfluss
Agenten, die Kundendaten, Handelsstrategien oder nicht-öffentliche Marktinformationen verarbeiten, erzeugen Datenschutzrisiken jenseits traditioneller Zugriffskontrollen. Der Agent könnte Zwischenergebnisse in einem ungeschützten Cache speichern, sensible Daten an eine externe API weiterleiten oder Informationen in seinem Kontextfenster länger vorhalten, als Aufbewahrungsrichtlinien erlauben.
Für DACH-Firmen ist das besonders brisant: Die DSGVO verlangt Datenminimierung (Art. 5 Abs. 1 lit. c) und Zweckbindung. Ein Agent, der im Rahmen einer Aufgabe Daten sammelt und für eine andere weiterverwendet, verstößt potenziell gegen beide Grundsätze, selbst wenn die ursprüngliche Datenerhebung rechtmäßig war.
Domänenwissen: Generische Modelle verstehen Finanzregulierung nicht
Allgemeine KI-Modelle kennen die Feinheiten der FINRA-Regeln, der BaFin-Vorgaben oder der MiFID-II-Anforderungen nicht im Detail. FINRA warnt, dass Agenten möglicherweise nicht über das nötige „Domänenwissen" für „komplexe Aufgaben" in der Finanzbranche verfügen. Ein Agent, der auf allgemeinen Webdaten trainiert wurde, könnte plausibel klingende, aber falsche regulatorische Interpretationen generieren.
Goldman Sachs hat deshalb sechs Monate lang Anthropic-Ingenieure direkt in die eigenen Teams eingebettet, statt ein Modell von der Stange zu verwenden. Domänenanpassung ist in regulierten Branchen keine optionale Verbesserung. Sie ist eine Compliance-Pflicht.
Reward-Fehlausrichtung: Optimierung auf das falsche Ziel
Das technisch spezifischste Risiko: „Fehlausgerichtete oder schlecht gestaltete Reward-Funktionen könnten dazu führen, dass der Agent Entscheidungen optimiert, die Anleger negativ beeinflussen könnten." Ein Agent, der auf Handelsgeschwindigkeit optimiert, könnte systematisch die Best-Execution-Analyse vernachlässigen. Ein Agent, der auf Onboarding-Durchsatz optimiert, könnte die Sorgfaltspflicht bei der Kundenprüfung senken.
Das Tückische an Reward-Fehlausrichtung: Der Agent tut genau das, wofür er gebaut wurde. Es ist das Design selbst, das das regulatorische Risiko erzeugt. DLA Pipers Analyse empfiehlt, nicht nur die Outputs eines Agenten zu bewerten, sondern die Zielfunktionen, die diese Outputs antreiben.
Was FINRA konkret erwartet
Der Bericht ändert keine Regeln. FINRA wendet bestehende Aufsichtsanforderungen auf eine neue Technologiekategorie an. Aber die Konkretheit der Erwartungen lässt wenig Spielraum.
Aufsichtssysteme unter Rule 3110
Wenn ein Unternehmen KI-Agenten einsetzt, muss das Aufsichtssystem diese abdecken. Firmen, die GenAI-Tools nutzen, müssen „die Integrität, Zuverlässigkeit und Genauigkeit des KI-Modells" in ihren Richtlinien und Verfahren berücksichtigen.
Das bedeutet:
- Schriftliche Aufsichtsverfahren müssen KI-Agenten-Deployment, Tests und Monitoring adressieren
- Aufsichtspersonen müssen verstehen, was Agenten tun, auch wenn sie die Modellarchitektur nicht kennen
- Das Unternehmen muss nachweisen, dass sein Aufsichtssystem Agenten-Fehler erkennt, bevor sie Anleger betreffen
Schatten-KI: Der blinde Fleck
FINRA warnt vor „nicht genehmigten KI-Tools oder ‚Schatten-KI’", die informell für Notizen, Zusammenfassungen oder Produktivität eingesetzt werden, aber „trotzdem Aufzeichnungen generieren, sensible Daten verarbeiten oder Entscheidungsfindung beeinflussen" können. Für die DACH-Region ist dieses Problem bekannt: Die BaFin erwartet eine lückenlose Dokumentation aller aufsichtsrelevanten Prozesse. Ein KI-Tool, das Kundenberater informell zur Vorbereitung von Anlageberatungsgesprächen nutzen, fällt unter die Dokumentationspflichten der MaComp.
FINRA vs. EU AI Act vs. DSGVO: Drei Frameworks, ein Problem
Für europäische Finanzdienstleister mit US-Geschäft entsteht eine dreifache Compliance-Last:
FINRA verfolgt einen aktivitätsbasierten Ansatz: Jede Technologie, die in aufsichtsrelevanten Prozessen eingesetzt wird, unterliegt den bestehenden Aufsichtsregeln. Es gibt keine KI-spezifische Klassifizierung, aber eine klare Erwartung, dass Aufsichtssysteme die Besonderheiten autonomer Agenten berücksichtigen.
Der EU AI Act verfolgt einen risikobasierten Klassifizierungsansatz: KI-Systeme im Kreditscoring, in der Versicherungsbewertung oder bei Personalentscheidungen gelten als Hochrisiko und unterliegen verbindlichen Transparenz-, Dokumentations- und Aufsichtspflichten ab August 2026.
Die DSGVO fokussiert auf den Datenschutz: Jede automatisierte Einzelentscheidung (Art. 22) erfordert das Recht auf menschliche Überprüfung. Datenschutz-Folgenabschätzungen (Art. 35) sind für KI-Agenten, die personenbezogene Daten verarbeiten, obligatorisch.
Das Ergebnis: Wer alle drei Frameworks gleichzeitig erfüllen will, braucht ein integriertes Governance-Modell, das sowohl die US-Aufsichtsperspektive als auch die europäische Datenschutz- und Risikoperspektive abdeckt. Einzellösungen für jeden Rechtsrahmen erzeugen Redundanz und Lücken gleichermaßen.
Fünf Schritte für Finanzdienstleister
Abgestufte Aufsicht einführen. Nicht jede Agentenaktion braucht eine menschliche Freigabe, aber Hochrisiko-Aktionen (Trade-Ausführung, Kundenkommunikation, Kontoänderungen) schon. Die Schwellen vor dem Deployment definieren, nicht danach.
Alles protokollieren. Prompts, Zwischenschritte, Tool-Aufrufe, Datenzugriffe und Outputs. Ein vollständiger Audit-Trail, den ein FINRA-Prüfer oder ein BaFin-Examiner nachvollziehen kann. Das ist keine optionale Instrumentierung. Es ist eine regulatorische Pflicht.
Agenten-Berechtigungen explizit festlegen. Statisches RBAC funktioniert nicht für Agenten, die ihre Tool-Anforderungen zur Laufzeit ermitteln. Dynamische Autorisierung mit zeitlich begrenzten, aufgabenbezogenen Tokens verwenden. Die maximale Berechtigungsgrenze für jeden Agententyp dokumentieren.
Domänenwissen validieren. Wenn ein Agent Aussagen über regulatorische Anforderungen, Eignungsbestimmungen oder Marktdaten macht, müssen diese gegen autoritative Quellen geprüft werden. Halluzinierte regulatorische Interpretationen sind nicht nur peinlich. Sie sind potenzielle Verstöße.
Reward-Alignment testen. Vor jedem Deployment prüfen, ob das Optimierungsziel des Agenten nicht mit dem Anlegerschutz kollidiert. Agenten, die auf Geschwindigkeit, Durchsatz oder Kostenreduktion optimieren, brauchen explizite Constraints, die Abkürzungen bei der Compliance verhindern.
Häufig gestellte Fragen
Was sagt FINRAs Bericht 2026 über Agentic AI?
FINRAs Annual Regulatory Oversight Report 2026 identifiziert sechs spezifische Risiken von Agentic AI für Broker-Dealer: unkontrollierte Autonomie, Scope Creep über die Nutzerabsicht hinaus, Prüfbarkeitsprobleme bei mehrstufigem Reasoning, Datensensibilitätsfehler, Domänenwissenslücken und fehlausgerichtete Reward-Funktionen. Diese Risiken werden auf bestehende Aufsichtspflichten unter FINRA Rule 3110 abgebildet.
Betrifft FINRAs KI-Guidance auch europäische Finanzdienstleister?
Ja, jedes Unternehmen, das als FINRA-Mitgliedsfirma registriert ist oder an US-Märkten operiert, unterliegt diesen Aufsichtserwartungen. Europäische Firmen müssen zusätzlich den EU AI Act (ab August 2026) und die DSGVO einhalten, was eine dreifache Compliance-Last erzeugt.
Was ist Reward-Fehlausrichtung bei KI-Agenten in der Finanzbranche?
Reward-Fehlausrichtung tritt auf, wenn die Zielfunktion eines KI-Agenten nicht mit dem Anlegerschutz übereinstimmt. Ein Agent, der auf Handelsgeschwindigkeit optimiert, könnte systematisch die Best-Execution-Analyse vernachlässigen. Das Risiko ist besonders tückisch, weil der Agent genau das tut, wofür er gebaut wurde, aber das Design selbst die regulatorische Gefahr erzeugt.
Wie unterscheidet sich FINRAs Ansatz vom EU AI Act?
FINRA verfolgt einen aktivitätsbasierten Ansatz: Bestehende Aufsichtsregeln werden auf KI-Agenten angewendet, ohne neue KI-spezifische Klassifizierungen. Der EU AI Act verwendet dagegen einen risikobasierten Klassifizierungsansatz, bei dem KI-Systeme je nach Einsatzgebiet als Hochrisiko eingestuft werden können. FINRA ist praxisnäher und konkreter, der EU AI Act ist breiter und systematischer.
Verlangt FINRA Human-in-the-Loop für alle KI-Agenten?
Nein. FINRA schreibt keine pauschale Human-in-the-Loop-Pflicht vor. Stattdessen erwartet die Aufsicht, dass Firmen selbst bestimmen, wo menschliche Aufsicht notwendig ist, basierend auf Typ und Umfang jedes einzelnen Agenten. Die Aufsichtsverfahren müssen unter Rule 3110 angemessen für die spezifischen KI-Agenten-Deployments gestaltet sein.