Feedback

Gepostet am 20. Mai 2025 von  Christian Moerler, Geschäftsführer; Nicolas Luderer, Senior Consultant bei Severn Consultancy 🕐 6 min Lesezeit

KI-Bestandsaufnahme – Die Voraussetzung für wirksame Compliance

„Wir nutzen keine KI.“- Diese spontane Aussage ist in vielen Finanzinstituten nach wie vor zu hören – häufig jedoch ohne eine fundierte Grundlage. Denn Künstliche Intelligenz findet faktisch zunehmend unregistriert und unkontrolliert im operativen Alltag statt. Etwa durch Mitarbeitende, die eigeninitiativ KI-Anwendungen für ihre dispositiven Aufgabenerledigungen nutzen, durch externe Dienstleister im Rahmen bestehender Auslagerungen oder etwa durch Standardsoftware mit integrierten KI-Funktionalitäten.

Seit dem 2. Februar 2025 müssen Institute neben geeigneter KI-Kompetenz sicherstellen, dass sie keine „verbotenen KI-Praktiken“ gemäß AI Act im Einsatz haben. Nur eine strukturierte Bestandsaufnahme von verwendeten KI-Systemen bildet die Grundlage für eine rechtssichere Einordnung der Betroffenheit. Diese ist um eine methodisch korrekte Risikoklassifizierung der „vorgefundenen“ KI-Systeme gemäß AI Act zu ergänzen. Darüber hinaus gelten dann weitere zentrale regulatorische Pflichten. In diesem zweiten Teil unserer Blogreihe erläutern wir, warum eine formale und gut dokumentierte KI-Bestandsaufnahme jetzt zwingend erforderlich ist und wie ein fachlich und aufsichtsrechtlich korrektes und bewährtes Vorgehen aussieht.


Den ersten Teil der Blogreihe – zum Aufbau von KI-Kompetenz gemäß Artikel 4 AI Act – finden Sie hier.

Rechtslage: Bestandsaufnahme als Grundlage für Compliance

Zwar enthält der AI Act keine ausdrücklich genannte Verpflichtung zur Durchführung einer institutsweiten KI-Bestandsaufnahme; gleichwohl ergibt sich die Notwendigkeit aus der etablierten aufsichtsrechtlichen und prüferischen Logik sowie aus der Zusammenschau relevanter europäischer und nationaler Regelwerke. So setzen zentrale Anforderungen des AI Act – etwa zur Risikoklassifizierung oder Sicherstellung von KI-Kompetenz – zwingend voraus, dass Institute zunächst Transparenz darüber herstellen, wo, in welcher Form und zu welchem Zweck KI-Systeme im Unternehmen eingesetzt werden. Eine strukturierte Erhebung bildet damit überhaupt erst die Grundlage für jede nachgelagerte Compliance-Maßnahme im Sinne des AI Act.

Darüber hinaus ergeben sich aus bestehenden aufsichtsrechtlichen Vorgaben – insbesondere § 25a KWG, den Mindestanforderungen an das Risikomanagement (MaRisk AT 4.3.1, AT 4.3.2 und AT 9) sowie der DORA-Verordnung (IKT-Risikomanagementrahmen Art. 6) – umfassende Anforderungen an die Risikoidentifikation, -bewertung und -überwachung. KI-gestützte Systeme und Funktionen, auch wenn sie technisch-infrastruktureller Natur sind oder durch Dritte bereitgestellt werden, sind dabei als potenziell wesentliche Risikotreiber zu berücksichtigen. Ohne eine systematische Bestandsaufnahme ist die Risikoerfassung weder vollständig noch prüfungssicher. Die Durchführung einer KI-Bestandsaufnahme ist somit kein fakultativer Schritt sondern eine regulatorisch begründete Voraussetzung für die ordnungsgemäße Erfüllung aufsichtsrechtlicher Anforderungen.

Status Quo: Fehlende Transparenz über KI-Einsatz

Über 50% der in Deutschland tätigen Finanzdienstleister nutzen verschiedenen Marktstudien zufolge bereits heute KI-gestützte Systeme; etwa zur Prozessautomatisierung, Betrugsprävention oder im Kundensupport. Dabei zeigt sich in der Praxis ein wesentliches Defizit darüber, wo, in welcher Form und zu welchem Zweck KI-Systeme im Unternehmen faktisch eingesetzt werden. Dies betrifft nicht nur den bewusst geplanten, geschäftsprozessrelevanten Einsatz, sondern insbesondere die „unsichtbare“ Integration von KI-Komponenten in bestehenden IT-Systemen, ausgelagerten Services oder im Rahmen der individuellen Aufgabenerledigung durch Mitarbeitende. Zentrale Verzeichnisse, strukturierte KI-Inventuren sowie definierte Governance-Strukturen fehlen häufig in der Praxis.

Aus aufsichtlicher Perspektive ist dieser Zustand nicht tragfähig. Die Identifikation und Bewertung technischer Risiken – insbesondere solcher, die sich aus dem Einsatz von KI ergeben – ist grundlegender Bestandteil der regulatorischen Erwartungshaltung. Die Herstellung von Transparenz über den KI-Einsatz ist damit keine Kür, sondern ein zentrales Element ordnungsgemäßer Geschäftsorganisation und Governance.

Abbildung 1: Identifikation von KI-Systemen und -Funktionen innerhalb der komplexen IT-Landschaft
Infobox: KI-Einsatz im Institut

Praxisbeispiele: Potenziell unerkannter KI-Einsatz im Institut

In Instituten lassen sich eine Vielzahl von relevanten Nutzungsszenarien identifizieren. Hierzu zählen unter anderem:

  • die automatisierte Übersetzung von vertraulichen oder Kundendokumenten
  • die transkriptionsbasierte Aufzeichnung interner Besprechungen
  • die Vorverarbeitung eingehender E-Mails – etwa zur Kategorisierung oder Weiterleitung
  • die Verwendung generativer KI im Rahmen der individuellen Aufgabenerledigung

Darüber hinaus sind KI-Funktionalitäten zunehmend Bestandteil technischer Infrastrukturen, wie zum Beispiel im Rahmen ausgelagerter Speicherlösungen (Managed Storage), bei denen Datenzugriffe und Auslastungsmuster analysiert oder sicherheitsrelevante Anomalien automatisiert erkannt werden.

Obwohl solche Systeme nicht zwangsläufig in den Anwendungsbereich des AI Act fallen, sind sie aus regulatorischer und unternehmerischer Sicht keineswegs unkritisch. Es ergeben sich risikorelevante Fragestellungen bezüglich Datenflüssen, Zugriffsmöglichkeiten externer Stellen, Kontroll- und Steuerungsmechanismen im Rahmen von Auslagerungen, der Anbindung an das IKT-Risikomanagement sowie potenziellen Schadwirkungen im Fall von Fehlfunktionen, Manipulation oder unzureichender Kontrolle.


Unsere Empfehlung: Durchführung einer strukturierten KI-Bestandsaufnahme

Insbesondere in technischen oder ausgelagerten Bereichen besteht die Gefahr, dass KI-Komponenten „unbemerkt“ implementiert werden – mit potenziell erheblichen Auswirkungen auf Governance, Risiko und Datenschutz. KI-Funktionalitäten können entlang sämtlicher Schichten der IT-Landschaft zum Einsatz kommen. Von KI-basierten Anwendungen zur Interaktion mit Kunden, über Analyse- und Automatisierungsfunktionen in Backend- und CRM-Systemen, bis hin zu KI-gestützten Mechanismen in Middleware- und Infrastrukturkomponenten – beispielsweise in Form intelligenter Speicherlösungen, virtueller Netzwerke, API-Gateways oder sicherheitsrelevanter Systeme wie Intrusion Detection und SIEM. Nicht selten sind solche Funktionalitäten Bestandteil von Standardsoftware oder Managed Services, ohne dass ihr KI-Bezug intern hinreichend bekannt oder dokumentiert ist.

Vor diesem Hintergrund ist eine Erhebung rein auf Fachbereichsebene unzureichend. Es muss eine strukturierte Analyse der unternehmensweiten IT-Architektur, der eingesetzten Systemkomponenten sowie der bestehenden vertraglichen Beziehungen zu Dienstleistern durchgeführt werden, um den faktischen Einsatz von Künstlicher Intelligenz vollständig, systematisch und revisionssicher erfassen und nachweisen zu können.

Ausblick: Risikoklassifizierung gemäß AI Act

Im folgenden dritten Teil dieser Blogreihe befassen wir uns mit der regulatorisch geforderten Risikoklassifizierung von KI-Systemen im Sinne des AI Act. Die Risikoklassifizierung stellt anknüpfend an die Bestandsaufnahme den logischen nächsten Schritt im Rahmen einer aufsichtsrechtlich fundierten KI-Governance dar. Wir zeigen auf, welche Systematik der AI Act zur Einstufung von KI-Systemen – insbesondere im Hinblick auf sogenannte Hochrisiko-KI-Systeme – vorsieht, welche Maßstäbe hierfür anzuwenden sind und welche konkreten Implikationen sich daraus für Finanzinstitute ergeben. Darüber hinaus stellen wir praxisnahe Anwendungsbeispiele aus der Finanzbranche vor, bei denen eine Hochrisiko-Einstufung typischerweise zu prüfen ist – etwa im Kontext der automatisierten Kreditwürdigkeitsprüfung, der Betrugserkennung oder bei personalbezogenen Entscheidungen.

Unser Angebot an Sie

Die Durchführung einer KI-Bestandsaufnahme ist ein komplexes Vorhaben, das technisches Verständnis, prozessuale Einbettung und aufsichtsrechtliche Expertise gleichermaßen erfordert. Wir unterstützen Sie gerne bei der systematischen Erhebung, Bewertung und Dokumentation des KI-Einsatzes durch

  • Entwicklung eines institutsindividuellen Vorgehensmodells zur KI-Bestandsaufnahme
  • Analyse von Systemarchitektur und Auslagerungen mit Blick auf KI-Komponenten
  • Strukturierte Befragungen und Workshops mit IT-, Fach- und Governance-Funktionen
  • Aufbau eines KI-Inventars in Anknüpfung an bestehende Anforderungen (MaRisk, DORA)
  • Ableitung einer regulierungskonformen KI-Roadmap

Jetzt KI-Readiness Check durchführen



KI in der Finanzbranche



kostenlos anfordern: Whitepaper- KI in der Finanzindustrie


 KI-Bestandsaufnahme – Die Voraussetzung für wirksame Compliance

 Änderung in der Wertpapierabwicklung - Kommission bereitet Umstellung auf T + 1 vor

 Aufbau von KI-Kompetenz – Eine gesetzliche Pflicht für Finanzinstitute

 ESG: Der Omnibus rollt

 AI-Act: Anwendungsfrist 02. Februar 2025

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.