Kiteworks | Your Private Data Network

Secure File Sharing and Governance Platfform

Kostenlos testen ERKUNDEN KITEWORKS
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > CBUAE KI-Leitfaden: Unverzichtbare Compliance für Finanzinstitute in den VAE

CBUAE KI-Leitfaden: Unverzichtbare Compliance für Finanzinstitute in den VAE

von Marc ten Eikelder updated März 6, 2026 Regulatorische Compliance
Lesezeit: 9 Minuten

Die Zentralbank der VAE hat am 11. Februar 2026 keine Vorschläge veröffentlicht. Sie hat eine Guidance Note zum Verbraucherschutz und zur verantwortungsvollen Einführung und Nutzung von KI und Machine Learning veröffentlicht, die die Governance-, Sicherheits- und Compliance-Pflichten jeder lizenzierten Finanzinstitution in den VAE grundlegend neu definiert. Banken, Versicherungen, Wechselstuben, Finanzunternehmen und Zahlungsdienstleister fallen alle in den Anwendungsbereich.

Wichtige Erkenntnisse

  1. Die CBUAE hat KI-Governance zur Vorstandsaufgabe für jede lizenzierte Finanzinstitution in den VAE gemacht. Die CBUAE Guidance Note zum Verbraucherschutz und zur verantwortungsvollen Einführung und Nutzung von KI und Machine Learning, veröffentlicht am 11. Februar 2026, verpflichtet alle lizenzierten Finanzinstitute (LFIs) – Banken, Versicherungen, Wechselstuben, Finanzunternehmen und Zahlungsdienstleister – dazu, dokumentierte KI-Governance-Rahmenwerke zu schaffen, die ihrer Größe angemessen sind, KI-Risiken in das unternehmensweite Risikomanagement zu integrieren und Vorstand sowie Geschäftsleitung direkt für KI-Ergebnisse verantwortlich zu machen. Dies ist keine unverbindliche Empfehlung, sondern eine Compliance-Pflicht mit Prüfungsfolgen.
  2. Security-by-Design ist keine Best Practice mehr – es ist eine CBUAE-Vorgabe. LFIs müssen Security-by-Design und Privacy-by-Design in jedes KI-System einbetten und Schutzmaßnahmen gegen unbefugten Zugriff, Missbrauch, Cyber-Angriffe und Systemausfälle integrieren. Die Guidance fordert ausdrücklich Stresstests, Redundanzmaßnahmen und Notfallpläne. Finanzinstitute, die KI-Workloads auf Infrastrukturen betreiben, bei denen Sicherheit nur konfiguriert und nicht architektonisch eingebaut ist, gehen Risiken ein, die sie gegenüber Prüfern nicht erklären können.
  3. Drittanbieter von KI entbinden nicht von regulatorischer Verantwortung – die CBUAE macht das klar. Ausgelagerte KI-Verträge müssen Prüfungsrechte, Cybersicherheitsgarantien und sofortige Abschaltmöglichkeiten enthalten. Die CBUAE hält LFIs für die Ergebnisse der KI-Governance verantwortlich – unabhängig davon, wer das Modell entwickelt oder betreibt. Da 19 % der Organisationen im Nahen Osten in den letzten 12 Monaten Compliance-Fehler von Drittanbietern gemeldet haben und 22 % mit regulatorischen Untersuchungen konfrontiert waren, ist die Zeit vorbei, in der die Compliance des Anbieters als eigene Compliance galt.
  4. Jährliche KI-Bias-Tests sind Pflicht – und „jährlich“ bedeutet dokumentiert, revisionssicher und nachvollziehbar. Die CBUAE verlangt, dass LFIs KI-Modelle mindestens einmal jährlich – oder nach jedem Upgrade – mit repräsentativen Trainingsdaten auf Bias testen. Modelle, die ohne dokumentierte Bias-Tests, ohne Chain-of-Custody-Nachweise für Trainingsdaten oder ohne Nachweis nicht-diskriminierender Ergebnisse eingesetzt werden, bergen Compliance-Risiken, die mit jeder Kundeninteraktion zunehmen.
  5. Die Kluft zwischen KI-Einführungs-Tempo und Governance-Reife ist das zentrale Risiko. Finanzinstitute in den VAE setzen KI rasant in Bereichen wie Betrugserkennung, Kreditvergabe, Kunden-Onboarding und Geldwäscheprävention ein. Der Kiteworks Prognosebericht 2026 zeigt, dass 60 % der Finanzdienstleister weltweit noch kein zentrales KI-Datengateway besitzen – und 5 % haben keinerlei dedizierte KI-Kontrollen. Die CBUAE-Guidance macht das Nachziehen der Governance zur Pflicht. Die Frage ist, ob LFIs die Lücke schließen, bevor Prüfer sie dokumentieren.

Die Vorgabe ist umfassend. LFIs müssen dokumentierte KI-Governance-Rahmenwerke schaffen, die ihrer Größe, ihrem Geschäftsfeld und ihrer Komplexität entsprechen. Sie müssen KI-Risiken in das unternehmensweite Risikomanagement über alle Bereiche – Verhalten, Kredit, Betrieb und Cybersicherheit – integrieren. Vorstand und Geschäftsleitung tragen direkte Verantwortung für KI-Ergebnisse, Modellbereitstellung und laufendes Monitoring – inklusive regelmäßiger Berichterstattung zu Performance und Risiken. Ein vollständiges Verzeichnis aller KI-Modelle – Name, Zweck, Risikobewertung und Metadaten – ist Pflicht und entspricht den CBUAE Model Management Standards von 2022.

Die Guidance ergänzt das VAE-Datenschutzgesetz (Bundesdekret Nr. 45/2021), das regelt, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden. Zusammen schaffen diese Rahmenwerke eine mehrschichtige Compliance-Umgebung, in der LFIs sowohl KI-spezifische Kontrollen als auch umfassende Data-Governance-Reife nachweisen müssen. Das ist keine Zukunftsvision, sondern eine aktuelle Verpflichtung mit Prüfungsfolgen.

Das Timing ist bewusst gewählt. Die VAE positionieren sich als globaler Vorreiter bei der KI-Einführung – die Nationale KI-Strategie 2031 und Dubais KI-Governance-Rahmen zeigen den nationalen Anspruch. Doch Ambition ohne Leitplanken schafft systemische Risiken. Die CBUAE zieht die Grenze: KI soll konsequent eingeführt, aber ebenso konsequent gesteuert werden. Für LFIs, die KI-Tools schneller eingeführt haben, als sie Governance-Strukturen aufgebaut haben, hat sich die regulatorische Vorlaufzeit deutlich verkürzt.

Security-by-Design ist jetzt regulatorischer Standard – kein Marketingbegriff

Die CBUAE-Guidance ist eindeutig, was Sicherheit im KI-Kontext bedeutet: LFIs müssen Security-by-Design und Privacy-by-Design in KI-Systeme einbetten und Schutzmaßnahmen gegen unbefugten Zugriff, Missbrauch, Cyber-Angriffe und Systemausfälle integrieren. KI-Entwicklung erfordert Maßnahmen zur operativen Resilienz und Validierung unter verschiedenen Szenarien, um unsichere Ergebnisse zu verhindern.

Hier wird die Lücke zwischen dem, was die meisten Finanzinstitute haben, und dem, was die CBUAE jetzt verlangt, deutlich. Die Mehrheit der KI-Anwendungen im Bankensektor läuft auf Cloud-Infrastrukturen, bei denen die Sicherheit von Konfigurationen des IT-Teams abhängt. Ist die Konfiguration falsch, ist der Schutz falsch. Ist die Infrastruktur mandantenfähig, teilt die KI-Datenbank der Bank Laufzeitumgebungen mit anderen Kunden – und Mandantenübergreifende Schwachstellen werden zum Problem der Bank.

Die CBUAE fordert etwas grundlegend anderes: Sicherheit als Architektur, nicht als Konfiguration. Stresstests, Redundanz und Notfallpläne sind keine optionalen Erweiterungen, sondern explizite Anforderungen. Für ausgelagerte KI müssen Verträge Prüfungsrechte, Cybersicherheitsgarantien und sofortige Abschaltmöglichkeiten enthalten. Letzteres ist besonders wichtig: Die CBUAE erwartet, dass LFIs ausgelagerte KI-Systeme sofort abschalten können, wenn Governance-Anforderungen nicht erfüllt werden. Finanzinstitute, die diese Fähigkeit nicht nachweisen können, haben ein Compliance-Problem – konkret und dokumentierbar.

Data Governance im KI-Zeitalter: Wo VAE-Finanzinstitute angreifbar sind

Die CBUAE-Guidance macht Datenqualität, Datenschutz und Sicherheit zur Grundlage der KI-Compliance. Daten, die in KI- und ML-Systemen verwendet werden, müssen den PDPL-Anforderungen der VAE entsprechen – also rechtmäßig, angemessen, korrekt, relevant und regelmäßig aktualisiert erhoben, gespeichert und genutzt werden. LFIs dürfen keine diskriminierende KI einsetzen. Modelle müssen jährlich mit repräsentativen Trainingsdaten auf Bias getestet werden, um unfaire Ergebnisse zu vermeiden.

Die praktische Herausforderung: Sensible Finanzdaten sind ständig in Bewegung. Sie fließen über E-Mail, Filesharing, SFTP-Server, Managed File Transfer, APIs, Web-Formulare und zunehmend KI-Integrationen. Jeder dieser Kanäle kann eine Governance-Lücke darstellen. Die meisten Finanzinstitute verwalten diese Kanäle mit separaten Tools, jeweils mit eigenen Richtlinien, Protokollen und Sicherheitsniveaus. Das Ergebnis: fragmentierte Transparenz, inkonsistente Kontrollen und Compliance-Blindspots, die ein Prüfer schneller erkennt, als die Bank sie erklären kann.

Der Kiteworks Data Sovereignty Report 2026 quantifiziert das Risiko für den Nahen Osten. 44 % der Befragten in der Region hatten in den letzten 12 Monaten einen Vorfall mit Bezug zur Datensouveränität – der höchste Wert aller Regionen. 93 % geben an, dass Datensouveränitätsvorgaben direkte Auswirkungen auf ihren Betrieb haben. Und 22 % nennen regulatorische Untersuchungen und Audits als häufigste Vorfallart. Für LFIs, die KI-Systeme einsetzen, die Kundendaten verarbeiten, entsteht durch die Kombination aus KI-Governance-Anforderungen und Datensouveränitätspflichten eine Compliance-Oberfläche, die fragmentierte Tools nicht abdecken können.

Drittanbieter-KI: Die Verantwortungslücke, die die CBUAE schließt

Die CBUAE-Guidance erlaubt es Finanzinstituten nicht, Compliance-Probleme bei Drittanbieter-KI auf andere abzuwälzen. LFIs müssen bei Drittanbietern von KI eine Due Diligence zu Governance, Datenschutz und jährlichen unabhängigen Cybersicherheitsprüfungen durchführen. Ausgelagerte KI-Verträge müssen Prüfungsrechte, Cybersicherheitsgarantien und sofortige Abschaltmöglichkeiten enthalten. Compliance gilt auch für Drittanbieter – nicht als Zusatz, sondern als regulatorische Erwartung mit dokumentierten Nachweispflichten.

Das ist relevant, weil die Abhängigkeit von Drittanbieter-KI im Finanzsektor steigt. Banken lagern Entwicklung, Betrieb und Wartung von Modellen zunehmend an externe Anbieter aus. Jede dieser Beziehungen bedeutet Datenaustausch – Trainingsdaten fließen hinaus, Modellergebnisse zurück, Monitoringdaten zwischen Systemen. Ohne einheitliche Transparenz über diese Austausche kann ein LFI die geforderte Governance der CBUAE nicht nachweisen.

Die Daten zur Souveränität im Nahen Osten machen das Risiko greifbar: 19 % der Organisationen berichteten im letzten Jahr von Compliance-Fehlern bei Drittanbietern. Wenn Ihr Drittanbieter eine Compliance-Anforderung nicht erfüllt, schickt die CBUAE das Durchsetzungsschreiben nicht an den Anbieter, sondern an Sie.

Wie Kiteworks VAE-Finanzinstitute bei der Einhaltung der CBUAE-KI-Governance unterstützt

Die KI-Guidance der CBUAE verlangt Fähigkeiten, die fragmentierte Sicherheitslösungen nicht bieten. Dokumentierte Governance über alle Datenbewegungskanäle hinweg. Unveränderbare Audit-Trails, die auf Abruf bereitgestellt werden können. Security-by-Design, die nicht von Konfiguration abhängt. Drittanbieter-Kontrollen, die durchsetzbar und nachweisbar sind. Datensouveränität, die auf Architekturebene – nicht nur auf Speicherebene – umgesetzt wird.

Kiteworks ist die Steuerungsebene für sicheren Datenaustausch. Es konsolidiert sensible Datenflüsse – E-Mail, sicheres Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und KI-Integrationen – unter einer zentralen Richtlinien-Engine, einem Audit-Log und einer Sicherheitsarchitektur. Für VAE-Finanzinstitute, die die KI-Governance-Anforderungen der CBUAE erfüllen müssen, entspricht diese Architektur exakt den Erwartungen der Prüfer:

  • Vereinheitlichte KI-Governance: Eine Richtlinien-Engine erzwingt konsistente RBAC- und ABAC-Kontrollen über alle Kanäle, über die KI-Systeme auf Finanzdaten zugreifen. Keine separaten Richtlinien mehr für E-Mail, SFTP, APIs und Filesharing.
  • Unveränderbare Audit-Trails: Jeder Datenbewegungsvorgang wird in einem einzigen, konsolidierten Log erfasst – ohne Drosselung, ohne fehlende Einträge, mit Echtzeit-SIEM-Integration. Bei einer Prüfung legen Sie ein umfassendes Evidenzpaket vor.
  • Security-by-Design-Architektur: Kiteworks wird als gehärtete virtuelle Appliance mit integrierten Firewalls, WAF, Intrusion Detection, doppelter Verschlüsselung im ruhenden Zustand und zero-trust-Architektur bereitgestellt – alles von Kiteworks gemanagt, nicht vom eigenen Infrastrukturteam.
  • Single-Tenant-Isolation: Jede Bereitstellung ist von Grund auf Single-Tenant. Keine geteilten Datenbanken, Dateisysteme oder Laufzeitumgebungen. Mandantenübergreifende Angriffe, wie sie bei Multi-Tenant-KI-Plattformen möglich sind, sind ausgeschlossen.
  • Drittanbieter-Governance: Vollständiges externes User-Lifecycle-Management mit ABAC-Durchsetzung, komplette Audit-Trails für jeden Datenaustausch mit Drittanbietern und Abschaltkontrollen, die die Anforderungen der CBUAE an sofortige Stilllegung erfüllen.
  • Durchsetzung der Datensouveränität: Geofencing, Schlüsselverwaltung innerhalb der Gerichtsbarkeit und konfigurierbare IP-Kontrollen sorgen dafür, dass sensible Finanzdaten auf Architekturebene innerhalb der VAE bleiben.
  • KI-fähige Integration: Der Kiteworks Secure MCP Server ermöglicht KI-Systemen den Zugriff auf Finanzdaten unter Einhaltung bestehender Governance-Richtlinien – und erweitert CBUAE-konforme Kontrollen auf KI-Workflows, ohne separate Infrastruktur zu schaffen.

Das Ergebnis: VAE-Finanzinstitute können CBUAE-KI-Governance-Compliance durch Architektur und Evidenz nachweisen – nicht nur durch Dokumentation und Hoffnung. Eine Plattform, die Compliance-Teams steuern, Security-Teams vertrauen, CBUAE-Prüfer verifizieren und Vorstände mit Zuversicht berichten können.

Was die CBUAE-KI-Guidance für das Security- und Compliance-Programm Ihres Instituts bedeutet

Die CBUAE-Guidance beschreibt keine zukünftige Regulierungslandschaft, sondern die aktuelle. LFIs, die dies als unverbindlichen Rahmen und nicht als operative Compliance-Anforderung behandeln, sammeln Prüfungsrisiken an – mit jedem KI-Modell ohne dokumentierte Governance, jedem Drittanbieter ohne revisionssichere Kontrollen und jedem Datenaustausch über Kanäle, die keine Evidenz auf Abruf liefern können.

Fünf Anpassungen bringen laut Guidance die größte Wirkung:

Erstens: Vereinheitlichen Sie die Data Governance über alle KI-bezogenen Datenbewegungen hinweg. Die CBUAE verlangt Governance über den gesamten Lebenszyklus von KI-Daten – von Erhebung, Verarbeitung, Training, Inferenz bis Output. Finanzinstitute, die diese Flüsse mit fragmentierten Tools steuern, können die geforderten konsistenten Kontrollen nicht nachweisen.

Zweitens: Erstellen Sie jetzt das von der CBUAE geforderte KI-Modell-Inventar. Jedes KI-Modell muss mit Name, Zweck, Risikobewertung und Metadaten dokumentiert sein. Institute, die dieses Inventar bei einer Prüfung nicht vorlegen können, zeigen einen Governance-Mangel – keinen Dokumentationsfehler.

Drittens: Implementieren Sie Security-by-Design als Architekturentscheidung, nicht als Konfigurationsprojekt. Die Anforderungen der CBUAE an integrierte Schutzmaßnahmen, Stresstests und operative Resilienz werden nicht durch zusätzliche Sicherheitstools erfüllt, sondern durch Infrastruktur mit eingebauter Sicherheit.

Viertens: Formalisieren Sie die Governance von Drittanbieter-KI mit dokumentierten Prüfungsrechten, Cybersicherheitsgarantien und Abschaltkontrollen. Die 19 % Drittanbieter-Ausfallrate im Nahen Osten zeigt: Das ist kein theoretisches Risiko, sondern eine statistische Wahrscheinlichkeit für Institute mit vielen Anbieterbeziehungen.

Fünftens: Wechseln Sie von reaktiver Compliance-Dokumentation zu kontinuierlicher, nachweisbarer Governance. Die CBUAE erwartet regelmäßige Berichte zu KI-Performance und Risiken, laufendes Monitoring und auditfähige Evidenz. Institute, die sich nur auf Prüfungen vorbereiten, statt kontinuierliche Compliance-Bereitschaft zu leben, sind immer nur eine Prüfung von einem Befund entfernt.

Die Finanzinstitute, die diese Lücken 2026 schließen, werden KI schneller, sicherer und mit regulatorischer Zuversicht einführen. Diejenigen, die zögern, werden feststellen, dass die CBUAE dieselben Lücken dokumentiert hat – mit deutlich weniger Geduld für Erklärungen.

Die Top 5 Gründe, warum VAE-Finanzinstitute Kiteworks für die CBUAE-KI-Compliance benötigen, finden Sie hier.

Häufig gestellte Fragen

Die CBUAE Guidance Note zum Verbraucherschutz und zur verantwortungsvollen Einführung von KI verlangt von lizenzierten Finanzinstituten in den VAE ein dokumentiertes KI-Governance-Rahmenwerk, ein vollständiges Modellinventar, Vorstandsverantwortung für KI-Ergebnisse, Security-by-Design-Schutzmaßnahmen und jährliche Bias-Tests. Institute müssen KI-Risiken in das unternehmensweite Risikomanagement integrieren und auditfähige Evidenz auf Abruf liefern. Die einheitliche Audit-Log- und Policy-Engine von Kiteworks hilft LFIs, diese Anforderungen gegenüber CBUAE-Prüfern nachzuweisen.

Die KI-Guidance der CBUAE verlangt, dass ausgelagerte KI-Verträge Prüfungsrechte, Cybersicherheitsgarantien und sofortige Abschaltmöglichkeiten enthalten. LFIs tragen die volle regulatorische Verantwortung für KI-Ergebnisse von Drittanbietern – unabhängig davon, wer das Modell betreibt. Da 19 % der Organisationen im Nahen Osten Compliance-Fehler bei Drittanbietern melden, bietet Kiteworks dokumentierte Vendor-Governance durch externes User-Lifecycle-Management, ABAC-Policy-Durchsetzung und vollständige Drittanbieter-Audit-Trails.

Die CBUAE-Guidance ergänzt direkt das Bundesdekret Nr. 45/2021 (PDPL) der VAE. KI-Systeme, die personenbezogene Daten verarbeiten, müssen sicherstellen, dass Erhebung, Speicherung und Nutzung rechtmäßig, angemessen und korrekt erfolgen. Modelle erfordern jährliche Bias-Tests mit repräsentativen Daten. Kiteworks erzwingt PDPL-Compliance auf Architekturebene durch granulare Zugriffskontrollen, Schlüsselverwaltung innerhalb der Gerichtsbarkeit und Geofencing – so ist Datenresidenz nachweisbar, nicht nur zugesichert.

Die CBUAE verlangt Security-by-Design und Privacy-by-Design, die in KI-Systeme eingebettet sind – nicht nachträglich ergänzt. Dazu gehören Schutzmaßnahmen gegen unbefugten Zugriff, Stresstests, Redundanz und Notfallpläne. Standard-Perimetersicherheit reicht nicht aus. Kiteworks liefert Sicherheit als Produktfunktion durch seine gehärtete virtuelle Appliance mit integrierten Firewalls, WAF, doppelter Verschlüsselung, zero-trust-Architektur und Single-Tenant-Isolation – alles automatisch gemanagt.

CBUAE-Prüfer erwarten ein dokumentiertes KI-Governance-Rahmenwerk, ein vollständiges Modellinventar mit Metadaten, Vorstandsberichte zu KI-Performance und Risiken, Bias-Test-Nachweise, Dokumentation zur Drittanbieter-Governance und umfassende Audit-Trails zu KI-Datenbewegungen. Das Kiteworks Private Data Network erzeugt unveränderbare, exportierbare Evidenz über alle Datenbewegungskanäle – so können LFIs Governance auf Abruf nachweisen, statt Evidenz erst unter Prüfungsdruck zusammenzustellen.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks