Kiteworks

Secure File Sharing and Governance Platfform

Kostenlos testen KITEWORKS ERKUNDEN
Home > Sicherheits- und Compliance-Blog > Unkategorisiert > UAE-Finanz-KI-Compliance: Die Anforderungen steigen bis September 2026

UAE-Finanz-KI-Compliance: Die Anforderungen steigen bis September 2026

von Marc ten Eikelder updated Mai 13, 2026 Regulatorische Compliance
Lesezeit: 10 Minuten

Die Anforderungen an die KI-Compliance im Finanzsektor der VAE lesen sich im Mai 2026 anders als noch vor drei Monaten. Am 11. Februar 2026 veröffentlichte die Zentralbank der VAE ihre Guidance Note zum Verbraucherschutz und zur verantwortungsvollen Einführung von KI und Machine Learning. Für lizenzierte Finanzinstitute in den VAE setzte diese Richtlinie die Agenda: Dokumentierte KI-Governance-Frameworks. Jährliche Bias-Tests. Prüfungsrechte für Drittparteien mit sofortiger Beendigung. Verantwortung auf Vorstandsebene.

Wichtige Erkenntnisse

  1. KI-Compliance im Finanzsektor der VAE ist jetzt ein Stack, kein Einzelregelwerk. Die CBUAE Guidance Note ist Teil eines immer strengeren regulatorischen Umfelds, das das neue CBUAE-Gesetz, die VAE PDPL, die Model Management Standards 2022 und die DIFC AI-Native-Entwicklung umfasst. Wer einzelne Vorgaben isoliert betrachtet, verkennt das Gesamtbild der Aufsicht.
  2. Der 16. September 2026 ist die verbindliche Frist, die das Jahr bestimmt. Die einjährige Übergangsfrist des neuen CBUAE-Gesetzes für betroffene Unternehmen endet an diesem Tag, mit Verwaltungsgeldbußen von bis zu 1 Milliarde AED. Die CBUAE Guidance Note läuft parallel als Aufsichtsdialog.
  3. Die CBUAE Guidance ist nur dem Namen nach „unverbindlich“. Führende Bankjuristen der VAE sehen sie als festen Bestandteil des Aufsichtsdialogs und künftiger regulatorischer Bewertungen. Wer sie nur als Empfehlung behandelt, begeht den teuersten Fehler, den ein LFI machen kann.
  4. Der Nahe Osten hat die höchste Souveränitätsvorfallrate aller untersuchten Regionen. 44 Prozent der regionalen Befragten berichten von einem Souveränitätsvorfall in den letzten 12 Monaten, wobei aufsichtsrechtliche Untersuchungen am häufigsten sind. Die von der CBUAE untersuchte Basisrate liegt deutlich über dem globalen Durchschnitt.
  5. Die Architektur entscheidet über Bestehen oder Scheitern. Dokumentationsprogramme bestehen keinen CBUAE-Aufsichtsdialog, wenn dieser auf eine Regularisierungsprüfung nach dem neuen CBUAE-Gesetz trifft. Institute, die bis September die Governance auf Datenebene konsolidieren, erleben den Rest von 2026 als Kontrollpunkt, nicht als hektische Aufholjagd.

Was die meisten LFI-Compliance-Pläne bislang nicht berücksichtigten: Wie schnell sich das regulatorische Umfeld verdichtet hat. Das neue CBUAE-Gesetz (Bundesdekret Nr. 6 von 2025) trat am 16. September 2025 in Kraft, mit einer einjährigen Übergangsfrist bis 16. September 2026 – das strukturelle Kalenderevent, das parallel zur Guidance Note läuft. Am 21. April 2026 kündigte das Dubai International Financial Centre seine Entwicklung zum weltweit ersten AI-Native Financial Centre an – ein Signal für verschärfte KI-spezifische Aufsichtserwartungen der DFSA in den nächsten 12 Monaten.

Die VAE PDPL regelt weiterhin den Umgang mit personenbezogenen Daten. Die Model Management Standards 2022 der CBUAE definieren weiterhin die Governance-Basis für Modelle. Die gemeinsam mit SCA, DFSA und FSRA herausgegebenen CBUAE Guidelines for Financial Institutions Adopting Enabling Technologies setzen weiterhin die übergeordneten Prinzipien für KI, Cloud, APIs, Biometrie und DLT.

Das ist ein Stack, keine Einzelregel. Wer einzelne Vorgaben ohne das Gesamtbild betrachtet, macht einen Planungsfehler, den sich VAE-LFIs bis September nicht leisten können.

Was die CBUAE Guidance Note tatsächlich verlangt – und wie „unverbindlich“ in der Praxis zu lesen ist

Die CBUAE Guidance Note ist technisch gesehen nicht rechtlich bindend. Die ehrliche Lesart ist die, die Hadef and Partners in ihrer juristischen Analyse vom April 2026 veröffentlichten: Institute sollten davon ausgehen, dass die Guidance Note künftig Teil des Aufsichtsdialogs und regulatorischer Bewertungen wird.

Die Vorgaben sind inhaltlich umfassend. Von LFIs wird erwartet, dokumentierte KI-Governance-Frameworks in angemessenem Umfang zu etablieren, mit direkter Verantwortung von Vorstand und Geschäftsleitung. KI-Risiken müssen in das unternehmensweite Risikomanagement integriert werden. Ein vollständiges Inventar aller KI-Modelle ist erforderlich – im Einklang mit den Model Management Standards 2022. Security-by-Design und Privacy-by-Design sind explizit gefordert. Stresstests, Redundanz und Notfallpläne sind vorgeschrieben. Für ausgelagerte KI müssen Verträge Prüfungsrechte, Cybersicherheitsgarantien und sofortige Beendigungsmöglichkeiten enthalten. Modelle benötigen jährliche Bias-Tests oder Tests nach Upgrades mit repräsentativen Trainingsdaten. Diskriminierende KI ist verboten.

Das Label „unverbindlich“ bedeutet in der Praxis: „Erwarten Sie dies bei Ihrer nächsten Aufsicht.“ LFIs, die die Guidance Note nur als Empfehlung behandeln, werden den Unterschied im Aufsichtstempo zu spüren bekommen.

Die Frist 16. September 2026 – und warum viele Pläne falsch darauf ausgerichtet sind

Die Regularisierungsfrist des neuen CBUAE-Gesetzes ist das verbindliche Kalenderevent für die KI-Compliance im Finanzsektor der VAE 2026 – und wird in der Planung häufig unterschätzt. Bundesdekret Nr. 6 von 2025, wie von Hadef and Partners analysiert, trat am 16. September 2025 in Kraft. Artikel 184 gewährt betroffenen Unternehmen eine einjährige Übergangsfrist – bis 16. September 2026 – zur Regularisierung unter dem konsolidierten Regime für Banken, Versicherungen und Technologieanbieter, vorbehaltlich einer möglichen Verlängerung durch die CBUAE.

Artikel 62 überrascht Planungsteams am häufigsten. Er erweitert den Lizenzierungsrahmen auf Technologieanbieter, APIs und dezentrale Plattformen, die lizenzierte Finanzaktivitäten ermöglichen. Fintechs, Infrastrukturanbieter und Plattformbetreiber, die bislang in regulatorischen Grauzonen agierten, unterliegen nun explizit der CBUAE-Aufsicht. Verwaltungsgeldbußen nach dem neuen CBUAE-Gesetz können bis zu 1 Milliarde AED betragen.

Für LFIs ist die praktische Auswirkung strukturell: Die Frist am 16. September ist ein Regularisierungskontrollpunkt, der auf denselben Daten, Audit-Trails und Governance-Nachweisen basiert, die auch der Aufsichtsdialog der CBUAE Guidance Note voraussetzt. Institute, die die Nachweisschicht für das eine aufbauen, haben sie weitgehend auch für das andere geschaffen. Institute, die für keines von beiden vorbereitet sind, werden sich zwei Prüfungen durch einen Regulator stellen müssen.

Warum der Nahe Osten die höchste Souveränitätsvorfallrate weltweit hat

Die von der CBUAE untersuchte Basisrate liegt deutlich über dem globalen Durchschnitt – und die Daten sind eindeutig. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in the Middle East zeigt: 44 % der Befragten im Nahen Osten erlebten in den letzten 12 Monaten einen Souveränitätsvorfall – die höchste Rate aller untersuchten Regionen, fast doppelt so hoch wie Kanadas 23 % und deutlich über Europas 32 %.

Das regionale Vorfallprofil ist geprägt von regulatorischer Exponierung. 22 % berichten von aufsichtsrechtlichen Untersuchungen und Audits als häufigstem Vorfall, gefolgt von Datenschutzverstößen mit Souveränitätsbezug (20 %) und Drittparteien-Compliance-Verstößen (19 %). 93 % der Befragten im Nahen Osten sagen, dass Souveränitätsvorgaben direkten Einfluss auf ihre Geschäftstätigkeit haben. 33 % nennen geopolitische Instabilität als Top-Risiko – eine Risikoschicht, die sich strukturell von anderen Regionen unterscheidet und durch KI-Einsatz verstärkt wird.

Der CBUAE-Aufsichtsdialog findet vor diesem Hintergrund statt. Die 44-Prozent-Vorfallrate ist die Realität, in der die CBUAE ihre beaufsichtigten Institute sieht.

Die Governance-Lücke bei KI, die Prüfungen aufdecken werden

Weltweit ist die Lücke zwischen KI-Einsatz und KI-Governance das zentrale Risiko 2026. Im Finanzsektor spiegelt sich das direkt in den Erwartungen der CBUAE wider. Der Kiteworks Data Security and Compliance Risk: 2026 Prognosebericht zeigt: 60 % der Finanzdienstleister weltweit verfügen über kein zentrales KI-Datengateway, 5 % haben keinerlei dedizierte KI-Kontrollen.

Containment Controls – die operative Fähigkeit, die die CBUAE für Drittparteien voraussetzt – sind die größte Lücke. Der Prognosebericht 2026 dokumentiert: 63 % der Unternehmen können keine Zweckbindung für KI-Agents durchsetzen. 60 % können einen fehlverhaltenden Agenten nicht schnell abschalten. 55 % können KI-Systeme nicht vom restlichen Netzwerk isolieren. Die Fähigkeiten, die die CBUAE als operativ voraussetzt, können die meisten Institute heute nicht nachweisen.

Audit-Trail-Bereitschaft ist die zweite wachsende Lücke. 33 % der Unternehmen fehlt ein Audit-Trail in Nachweisqualität komplett. 61 % haben fragmentierte Protokolle über verschiedene Systeme verteilt – kein verwertbarer Nachweis. Die dritte Lücke ist das Board-Engagement, das die CBUAE direkt prüfbar gemacht hat: 54 % der Boards weltweit sind nicht in die KI-Governance eingebunden, obwohl die Richtlinie die Verantwortung explizit auf Vorstand und Geschäftsleitung legt.

Das Fragmentierungsproblem: Warum die meisten LFIs heute keine Prüfung bestehen würden

Sensible Finanzdaten sind ständig in Bewegung: Sie fließen über E-Mail, Filesharing, SFTP, Managed File Transfer, APIs, Web-Formulare und – zunehmend – KI-Integrationen, die Kundendaten mit Betrugsmodellen, Kreditbewertungs-Engines, AML-Systemen und Onboarding-Prozessen verbinden. Die meisten LFIs in den VAE steuern diese Kanäle mit fünf bis zehn verschiedenen Tools, jeweils mit eigenen Richtlinien, Protokollen und Sicherheitsniveaus.

Das Ergebnis ist genau die Situation, auf die die CBUAE Guidance Note abzielt: fragmentierte Transparenz, inkonsistente Kontrollen und Compliance-Blindspots. Ein Prüfer, der fragt, wie Kundendaten in ein bestimmtes KI-Modell gelangt sind, akzeptiert keine sechs unterschiedlichen Protokollformate aus sechs Systemen, die nachträglich zusammengefügt wurden. Daten aus dem Kiteworks 2026 Prognosebericht zeigen: 42 bis 45 % der Befragten aus den VAE und Saudi-Arabien nennen die Handhabung von Drittparteien-KI-Anbietern als Top-Souveränitätsrisiko – der höchste Wert in der Umfrage. Die CBUAE sucht nach Architektur, nicht nach Papierarbeit.

Die AI-Native-Entwicklung des DIFC und warum sie sich 2026 verstärkt

Die Ankündigung des Dubai International Financial Centre vom 21. April 2026 ist noch keine verbindliche Regel, verändert aber das Planungsumfeld für LFIs im DIFC grundlegend. Die Initiative baut auf der DIFC-KI-Strategie 2023 und der bestehenden DIFC Data Protection Law Regulation 10 zu KI auf, die KI und automatisierte Entscheidungsfindung bei der Verarbeitung personenbezogener Daten adressiert. Weitere Anpassungen sind zu erwarten.

Für LFIs im DIFC ergeben sich daraus zwei verstärkende Effekte: Das Datenschutzregime des DIFC verschärft sich in der zweiten Jahreshälfte 2026 weiter. Und der Aufsichtsdialog mit der Dubai Financial Services Authority fokussiert sich zunehmend auf KI-Governance-Aspekte, die vor zwei Jahren noch keine Rolle spielten. Ein LFI, das die CBUAE-Vorgaben und die Frist des neuen CBUAE-Gesetzes erfüllt, aber die DIFC-Entwicklung ignoriert, löst nur einen Teil des Problems, wenn es in beiden Jurisdiktionen tätig ist.

Wie Kiteworks mit dem Compliance-Stack für KI im Finanzsektor der VAE harmoniert

Die strukturelle Antwort auf ein Multi-Framework-Compliance-Umfeld ist eine einheitliche Governance auf Datenebene. Kiteworks konsolidiert die Kanäle, über die sensible Finanzdaten fließen – E-Mail, Filesharing, MFT, SFTP, APIs, Web-Formulare und KI-Integrationen – auf einer einzigen zero trust Plattform mit einer Policy Engine, einem unveränderlichen Audit-Log und einer Sicherheitsarchitektur.

Für LFIs in den VAE, die CBUAE-Aufsicht, das neue CBUAE-Gesetz, die VAE PDPL und das sich entwickelnde DIFC Data Protection Law navigieren, entspricht dies genau den Erwartungen aller Regulatoren und Aufsichtsbehörden. Ein einziges Audit-Log erfasst jede Datenbewegung über alle Kanäle hinweg ohne Drosselung und mit Echtzeit-SIEM-Anbindung – und liefert so die Nachweise, die der CBUAE-Aufsichtsdialog voraussetzt, die Regularisierungsprüfung verlangt und die VAE PDPL für Betroffenenanfragen fordert.

Der Kiteworks Secure MCP Server erweitert ABAC-Policy Enforcement, FIPS 140-3-Verschlüsselung und Audit-Logging auf KI-Agents – so erhält ein Kreditbewertungs-KI-Modell dieselbe Governance wie ein menschlicher Underwriter. Externes User-Lifecycle-Management mit Beendigungs-Kontrollen erfüllt die CBUAE-Anforderung für Drittparteien-Abschaltung. Verschlüsselungsschlüsseltreuhand und Geofencing innerhalb der Jurisdiktion erfüllen die PDPL-Lokalisierung. Single-Tenant-Bereitstellung eliminiert die Cross-Tenant-Exponierung, die Aufsichtsbehörden bei der operativen Resilienz zunehmend ausschließen.

Das Ergebnis: eine Plattform, mehrere Frameworks, exportierbare Nachweise in den Formaten, die jede Aufsicht erwartet.

Was Finanzinstitute der VAE vor September tun sollten

Fünf Maßnahmen bringen den größten Hebel in der verbleibenden Zeit.

Erstens sollte das gesamte Compliance-Stack der VAE jetzt gegen die KI-Einsätze des Instituts abgebildet werden. Die CBUAE Guidance Note, die Regularisierungs-Checkliste des neuen CBUAE-Gesetzes, VAE PDPL, die Model Management Standards 2022, die CBUAE Guidelines for Financial Institutions Adopting Enabling Technologies und – für DIFC-LFIs – Regulation 10 zu KI betreffen alle dieselben Daten. Das Mapping-Dokument fehlt den meisten LFIs noch.

Zweitens sollte die einheitliche Audit-Trail-Schicht aufgebaut werden, die der gesamte Stack voraussetzt. Der CBUAE-Aufsichtsdialog, die Regularisierungsprüfung nach dem neuen CBUAE-Gesetz und der Betroffenenzugriff nach VAE PDPL hängen davon ab. Daten aus dem Kiteworks 2026 Prognosebericht zeigen: 33 % der Unternehmen fehlt ein Audit-Trail in Nachweisqualität komplett, 61 % haben fragmentierte Protokolle ohne verwertbaren Nachweis.

Drittens sollten Drittparteien-KI-Verträge vor der Frist des neuen CBUAE-Gesetzes neu verhandelt werden. Jede ausgelagerte KI-Beziehung braucht Beendigungsregelungen, Prüfungsrechte und Cybersicherheitsgarantien. Die Verhandlungsdauer beträgt 60 bis 90 Tage – die Frist nicht. Daten aus dem Kiteworks 2026 Prognosebericht zeigen: 42–45 % der Befragten aus den VAE und Saudi-Arabien nennen die Handhabung von Drittparteien-KI-Anbietern als Top-Souveränitätsrisiko – der höchste Wert aller Regionen.

Viertens sollte im Juli oder Anfang August ein Probelauf für den CBUAE-Aufsichtsdialog durchgeführt werden. Das KI-Governance-Nachweispaket sollte an den Vorgaben der Guidance Note und die Regularisierungs-Checkliste des neuen CBUAE-Gesetzes am konsolidierten Regime ausgerichtet werden. Der Probelauf deckt Lücken auf, bevor es ernst wird.

Fünftens sollte das Board schon jetzt mit dem Stack vertraut gemacht werden – nicht erst im September. Der Kiteworks 2026 Prognosebericht zeigt: 54 % der Boards weltweit sind nicht in die KI-Governance eingebunden. Ein Board, das die KI-Compliance-Unterlagen erst im September zur Prüfungsvorbereitung sieht, ist strukturell im Rückstand. Quartalsweise Board-Einbindung zu KI-Risiken ab Mai ist das, was Aufsichtsprüfer jetzt erwarten, wenn sie kommen.

Institute, die diese fünf Maßnahmen bis August umsetzen, erleben September 2026 als Kontrollpunkt. Wer sie aufschiebt, erlebt ihn als Wendepunkt.

Der Prüfer wartet nicht, bis der Plan aufholt

Die KI-Compliance im Finanzsektor der VAE im Mai 2026 unterscheidet sich grundlegend von der Situation bei Veröffentlichung der CBUAE Guidance Note. Die Frist des neuen CBUAE-Gesetzes am 16. September ist verbindlich und steht unmittelbar bevor. Die DIFC-Entwicklung beschleunigt sich. Die VAE PDPL gilt für jeden Kundendatenfluss. Das Aufsichtsbild ist die Summe all dessen.

Die ehrliche Botschaft für LFI-Boards in den VAE lautet: Die regulatorische Architektur hat sich schneller entwickelt als die meisten internen KI-Governance-Pläne. Die Lücke zu schließen ist jetzt ein Problem von Monaten, nicht Jahren. Institute, die bis September eine einheitliche Governance auf Datenebene schaffen, werden KI schneller, sicherer und mit regulatorischer Sicherheit einführen – dank nachweisbarer Kontrollen gegenüber mehreren Aufsichtsbehörden aus einem System.

Die Uhr läuft weiter. Die Zahl der Fristen im September ist nur gestiegen.

Häufig gestellte Fragen

Die CBUAE Guidance Note erwartet dokumentierte KI-Governance im Verhältnis zur Unternehmensgröße, Verantwortung auf Vorstandsebene für KI-Ergebnisse, Security-by-Design für jedes KI-System, jährliche Bias-Tests mit repräsentativen Trainingsdaten, Prüfungsrechte für Drittparteien mit sofortiger Beendigungsmöglichkeit und ein vollständiges KI-Modell-Inventar gemäß den Model Management Standards 2022. Auch wenn sie technisch unverbindlich ist, zeigt der Kiteworks Data Security and Compliance Risk: 2026 Prognosebericht, dass 33 % der Unternehmen die Audit-Trails in Nachweisqualität, die der Aufsichtsdialog voraussetzt, nicht vorweisen können.

Ja – sofern Ihr Institut unter das Bundesdekret Nr. 6 von 2025 fällt, gewährt Artikel 184 eine einjährige Übergangsfrist ab dem 16. September 2025 zur Regularisierung unter dem konsolidierten Regime. Artikel 62 erweitert zudem den Lizenzierungsrahmen auf Technologieanbieter und APIs, die lizenzierte Finanzaktivitäten ermöglichen. Der Kiteworks Data Security and Compliance Risk: 2026 Prognosebericht zeigt: 61 % haben fragmentierte Protokolle, die parallele regulatorische Prüfungen erschweren.

Die CBUAE Guidance Note verlangt, dass ausgelagerte KI-Verträge Prüfungsrechte, Cybersicherheitsgarantien und die operative Fähigkeit zur sofortigen Abschaltung eines Drittparteien-KI-Systems bei Governance-Verstößen enthalten. Kiteworks 2026 Data Security and Compliance Risk: Data Sovereignty in the Middle East zeigt: 19 % der Unternehmen im Nahen Osten hatten in den letzten 12 Monaten Compliance-Verstöße durch Drittparteien – damit ist die Beendigung ein dokumentiertes operatives Risiko, kein theoretisches.

Die AI-Native Financial Centre-Ankündigung des DIFC signalisiert verschärfte KI-spezifische Aufsichtserwartungen der DFSA, zusätzlich zu bestehenden Verpflichtungen aus dem DIFC Data Protection Law einschließlich Regulation 10 zu KI. LFIs, die in beiden Jurisdiktionen tätig sind, stehen sowohl dem CBUAE-Aufsichtsdialog als auch der DFSA-KI-Prüfung für überlappende KI-Einsätze gegenüber. Daten aus dem Kiteworks Data Security and Compliance Risk: 2026 Prognosebericht zeigen: 60 % der Finanzdienstleister fehlt das zentrale KI-Datengateway, das beide Regime künftig voraussetzen werden.

Setzen Sie auf eine Architektur, die alle drei Anforderungen aus einer Basis erfüllt: einheitliches Audit-Logging, Verschlüsselungsschlüsseltreuhand innerhalb der Jurisdiktion, ABAC-Policy Enforcement über alle Kanäle und Drittparteien-Governance mit Beendigungs-Kontrollen. Die CBUAE Guidance erlaubt Governance im Verhältnis zur Größe, aber die Regularisierung nach dem neuen CBUAE-Gesetz und die Betroffenenrechte der VAE PDPL gelten unabhängig davon. Der Kiteworks Data Security and Compliance Risk: 2026 Prognosebericht zeigt: 54 % der Boards sind nicht in die KI-Governance eingebunden.

Jetzt loslegen.

Es ist einfach, mit Kiteworks die gesetzliche Vorgaben einzuhalten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sicher sind, wie sie vertrauliche Daten zwischen Personen, Maschinen und Systemen austauschen. Beginnen Sie noch heute.

DEMO ANSCHAUEN

Table of Contents

Table of Content
Teilen
Twittern
Teilen
Explore Kiteworks