Ein KI-Chatbot für Banken beantwortet wiederkehrende Kundenfragen rund um die Uhr, entlastet den Service und hält dabei die Anforderungen von DSGVO, EU AI Act und Finanzaufsicht ein. Für Banken zählt beides: ein spürbar besserer Kundenservice und eine Architektur, die der Regulierung standhält. Dieser Leitfaden zeigt die wichtigsten Anwendungsfälle, die regulatorischen Pflichten und die Kriterien für die Anbieterwahl.
Auf einen Blick
Rund um die Uhr: Standardanfragen wie Onboarding, Zugangsdaten oder Produktinfos laufen automatisiert, auch außerhalb der Servicezeiten.
Datenverarbeitung ausschließlich in der EU, ohne Drittlandübermittlung.
Nachvollziehbare Antworten aus geprüften Quellen, mit kontrollierter Übergabe an Mitarbeitende.
Keine automatisierten Kreditentscheidungen durch den Bot, solche Fälle gehören zu einem Menschen.
Regulatorischer Rahmen: DSGVO, EU AI Act, MaRisk-Auslagerung und DORA.
Bewährt im Einsatz bei der Volkswagen Bank.
Warum Banken auf Conversational AI setzen
Bankkunden erwarten Antworten sofort und zu jeder Tageszeit. Ein großer Teil der Anfragen im Direktbanking wiederholt sich: Erstanmeldung im Online-Banking, Fragen zu Zugangsdaten und PhotoTAN, Kartenthemen, Produktkonditionen oder der Status einer Anfrage. Diese Themen binden Servicekapazität, ohne dass sie individuelle Beratung erfordern.
Ein KI-Chatbot übernimmt genau diese wiederkehrenden Fälle. Das senkt die Kosten pro Kontakt, verkürzt Wartezeiten und hält den telefonischen und schriftlichen Service für die Fälle frei, die echte Beratung brauchen. Studien zeigen, dass Mitarbeitende einen erheblichen Teil ihrer Zeit allein mit der Suche nach Informationen verbringen. Bis zu 90 Prozent der Standardanfragen lassen sich je nach Themengebiet automatisiert beantworten.
Die wichtigsten Anwendungsfälle im Banking
Onboarding und Erstanmeldung: Schritt-für-Schritt-Hilfe bei der ersten Anmeldung im Online-Banking und bei der Einrichtung der PhotoTAN.
Zugang und Sicherheit: Antworten zu gesperrten Zugängen, Passwort-Zurücksetzung und Sicherheitsverfahren, ohne sensible Daten unkontrolliert zu erfassen.
Produkt- und Konditionsfragen: Auskünfte zu Konten, Krediten, Karten und Zinsen auf Basis der freigegebenen Produktinformationen.
Statusanfragen: Auskunft zum Stand einer Anfrage oder eines Vorgangs über die Anbindung an die Backend-Systeme.
Übergabe an die Beratung: Bei komplexen oder regulatorisch heiklen Themen übergibt der Bot mit voller Gesprächshistorie an einen Mitarbeitenden im Agent Desk.
Entscheidend ist die Grenze des Anwendungsfalls. Ein Service-Chatbot beantwortet Fragen und leitet weiter. Bonitäts- oder Kreditentscheidungen über eine Person trifft er nicht, denn solche Entscheidungen unterliegen strengeren Anforderungen.
Compliance ist im Banking die Eintrittskarte
In keiner Branche wiegt die Regulierung schwerer als im Finanzsektor. Ein Banking-Chatbot muss vier Ebenen erfüllen:
DSGVO: Rechtsgrundlage, Datenminimierung, Auftragsverarbeitung und Betroffenenrechte. Die Grundlagen fasst der Beitrag zum DSGVO- und EU-AI-Act-konformen KI-Chatbot zusammen.
EU AI Act: Transparenzpflicht nach Art. 50, damit Kunden den KI-Einsatz erkennen. Service-Chatbots sind in der Regel kein Hochrisiko-System, automatisierte Entscheidungen über Kreditwürdigkeit dagegen schon. Den Zweck legt der Betreiber fest.
MaRisk und BAIT: Der Einsatz einer externen Plattform ist eine Auslagerung. Sie muss in das Auslagerungsmanagement der Bank passen, mit klaren Verantwortlichkeiten, Kontrollrechten und Nachvollziehbarkeit.
DORA: Die Verordnung zur digitalen operationalen Resilienz behandelt den Anbieter als IKT-Drittdienstleister. Gefordert sind unter anderem ein belastbarer Betrieb, dokumentierte Prozesse und die Unterstützung bei Vorfallsmeldungen.
Der Datenstandort ist dabei oft ein Ausschlusskriterium. Eine Verarbeitung außerhalb der EU ist datenschutzrechtlich angreifbar und in Ausschreibungen regulierter Institute selten zugelassen. Warum das so ist, erklärt der Beitrag zum Chatbot-Hosting in Deutschland.
Worauf Banken bei der Anbieterwahl achten sollten
Verarbeitungsort und Datenflüsse: Werden alle Daten ausschließlich in der EU verarbeitet, auch das Sprachmodell?
Auftragsverarbeitung: Wie kurz und EU-zentriert ist die Liste der Unterauftragsverarbeiter?
Nachvollziehbarkeit: Lässt sich jede Antwort bis zur Quelle zurückverfolgen?
Audit und Kontrolle: Gibt es vollständiges Audit-Logging, Rollentrennung und regelmäßige Penetrationstests?
Eskalation: Wie zuverlässig übergibt der Bot an einen Menschen, wenn ein Fall die Grenzen überschreitet?
Dokumentation: Liefert der Anbieter die Unterlagen für AVV, DSFA, Auslagerung und EU-AI-Act-Nachweis?
Wie Mercury.ai das im Banking umsetzt
Mercury.ai ist die Conversational-AI-Plattform aus Deutschland und auf regulierte Branchen ausgelegt:
Hosting ausschließlich in Deutschland (AWS Frankfurt), ohne Drittlandübermittlung, mit Verschlüsselung in Transit und at Rest.
Ein einziger Unterauftragsverarbeiter, was das Auslagerungs- und AVV-Management vereinfacht.
Europäische, selbst gehostete Modelle ohne API-Aufrufe an externe Anbieter.
Hybride KI auf geprüftem Wissen: Antworten entstehen aus den freigegebenen Quellen der Bank. Das Halluzinationsrisiko wird deutlich reduziert, jede Antwort bleibt bis zur Quelle nachvollziehbar. Die Technik dahinter beschreibt Mercury Intelligence.
Betriebssicherheit: Mandantentrennung, Zwei-Faktor-Authentifizierung, vollständiges Audit-Logging und regelmäßige Penetrationstests. Die genutzten Rechenzentren sind ISO-27001-zertifiziert; Mercury.ai orientiert sich an ISO 27001.
„Die Umsetzung auf den Websites gestaltet sich unkompliziert und erfordert kein umfangreiches technisches Fachwissen.”
Mario Prüßner, Volkswagen Bank GmbH

Volkswagen Bank: Conversational Banking in der Praxis
Die Volkswagen Bank setzt Mercury.ai im Kundenservice ein und automatisiert rund um die Uhr eine Vielzahl wiederkehrender Anfragen, etwa zur Online-Banking-Erstanmeldung, zur PhotoTAN und zu Zugangsdaten. Der Business Case ist positiv, die Kundenzufriedenheit steigt, weil Antworten jederzeit verfügbar sind. Das Beispiel zeigt, dass sich Automatisierung und regulatorische Sorgfalt im Banking zusammen umsetzen lassen.
Häufige Fragen (FAQ)
Ist ein KI-Chatbot für Banken DSGVO-konform?
Das hängt von der Architektur ab. Konform ist ein Chatbot, der personenbezogene Daten auf einer Rechtsgrundlage und ausschließlich in der EU verarbeitet, einen Auftragsverarbeitungsvertrag mitbringt, Daten nicht zum Training fremder Modelle nutzt und Kunden transparent über den KI-Einsatz informiert.
Welche Aufgaben sollte ein Banking-Chatbot nicht übernehmen?
Automatisierte Entscheidungen über Kreditwürdigkeit oder andere folgenreiche Einzelfälle gehören nicht in die alleinige Hand eines Bots. Solche Fälle sind regulatorisch sensibel und sollten an Mitarbeitende übergeben werden.
Wie passt ein Chatbot-Anbieter zu MaRisk und DORA?
Der Einsatz einer externen Plattform ist eine Auslagerung und ein IKT-Drittdienstleisterverhältnis. Der Anbieter sollte die nötigen Kontrollrechte, Nachweise und einen belastbaren Betrieb bieten, damit die Bank ihn in ihr Auslagerungs- und Resilienzmanagement aufnehmen kann.
Wie lange dauert die Einführung?
Je nach Umfang und Anbindung an die Backend-Systeme ist ein erster produktiver Anwendungsfall in wenigen Wochen erreichbar. Die Wissensbasis lässt sich danach laufend erweitern.

Fazit
Ein KI-Chatbot bringt Banken einen Kundenservice, der rund um die Uhr verfügbar ist und das Team von Routinefragen entlastet. Damit das gelingt, muss die Lösung von Beginn an zur Regulierung passen: Datenverarbeitung in der EU, nachvollziehbare Antworten, eine geordnete Auslagerung und eine klare Grenze zu folgenreichen Entscheidungen. Wer den Anbieter an diesen Kriterien misst, automatisiert den Service und bleibt regulatorisch auf der sicheren Seite.
Sie möchten wissen, wie Conversational Banking in Ihrem Institut aussieht? Sprechen Sie mit uns oder laden Sie das EU-AI-Act-Sicherheitspaper herunter.
Über den Autor: Mirco Schmidt ist CRO bei Mercury.ai. Er verfügt über mehr als zehn Jahre Erfahrung in internationalen und Führungspositionen, unter anderem beim Volkswagen Konzern, bei Club Med und der EQS Group, und hat einen Abschluss in Marketing Management der FH des Mittelstands in Bielefeld. Seine Schwerpunkte sind Projektmanagement, Marketing und Vertrieb sowie Kommunikation.






