KI in Unternehmensprozessen –
Effizienz braucht Governance
Es ist unstrittig: KI in Unternehmensprozessen eröffnet erhebliche Effizienz- und Innovationspotenziale, ob in der Kreditbearbeitung oder in der Betrugsprävention.
Ebenso unstrittig ist jedoch auch: Um die Potenziale zu heben, müssen die aufsichtsrechtliche, datenschutzrechtliche und haftungsrechtliche Risiken von Anfang an in die Prozessgestaltung integriert werden.
Zu beachten sind insbesondere:
1. EU KI-Verordnung: Hochrisiko-KI-Systeme
Bestimmte bankenspezifische KI-Anwendungen – etwa Kreditwürdigkeitsbewertung (Credit Scoring) für natürliche Personen oder KI-Risikobewertung für Lebens- und Krankenversicherungen – fallen meist unter die Kategorie Hochrisiko-KI“ (siehe Art. 6 KI-VO). Diese Systeme unterliegen strengen Anforderungen:
- strukturierte Risikomanagementsysteme
- umfassende Dokumentationspflichten
- Transparenzanforderungen
- klare Verantwortlichkeiten
Die regulatorische Einordnung muss bereits vor dem Produktivbetrieb erfolgen.
2. DSGVO: KI ist kein datenschutzfreier Raum
Sobald KI-Systeme personenbezogene Daten verarbeiten
(z. B. Kunden-, Mitarbeiter- oder Trainingsdaten), gilt die
DSGVO vollumfänglich. Insbesondere relevant sind:
- Zweckbindung
- Datenminimierung
- Transparenzpflichten
- Rechtsgrundlage für die Verarbeitung
- ggf. Datenschutz-Folgenabschätzung
3. Weitere aufsichtsrechtliche Anforderungen mit
dem Fokus Resilienz und Kontrolle
Neben der KI-VO und der DSGVO sind weitere bankaufsichtsrechtliche Vorgaben zu berücksichtigen, insbesondere
die MaRisk und den Digital Operational Resilience Act (DORA). In deren Fokus stehen:
- operationelle Resilienz
- Modellvalidierung
- IT-Sicherheit
- Interne Kontrollmechanismen und
- belastbare Governance-Strukturen
Die wichtigsten Schritte auf einen Blick
1. Identifikation von KI-Potenzialen
2. Klassifikation der KI-Anwendungen nach Risikokategorien und Rollen der KI-Verordnung
3. Implementierung klarer Richtlinien, Prüf- und Dokumentationsprozesse sowie Haftungsregelung
4. Schulung der Prozessverantwortlichen in rechtlichen und technischen Anforderungen
5. Regelmäßige Modellvalidierung und Prozessreviews
Fazit
KI in Prozessen ist kein reines IT-Projekt. Sie ist ein Governance-Thema – mit unmittelbarer Relevanz für Vorstand, Risikomanagement und Compliance. Wer Effizienzgewinne realisieren will, muss regulatorische Anforderungen von Beginn an strukturiert mitdenken.
KI als Chance
Sie brauchen Unterstützung in der sicheren Anwendung der KI-Verordnung? Sie erwägen, einen KI-Beauftragten für Ihr Haus einzurichten, um einen sicheren Einsatz von KI zu gewährleisten? Unsere Mitarbeitenden sind bereits als KI-Beauftragte zertifiziert. Wir begleiten, beraten und schulen Sie in allen regulativen Fragen zum Einsatz von KI-Produkten.
Erfahren Sie mehr zu unseren Unterstützungsangeboten in der KI-Compliance.
Bleiben Sie auf dem Laufenden und registrieren sich jetzt für die KI-Fachinfo.
Sie haben Fragen ?
Wir unterstützen Sie gerne bei der Auswahl und dem
Einsatz von KI-Anwendungen.
Benjamin Wellnitz
Bereichsleiter IKT-Compliance & Datenschutz
Telefon: 069 580024-246
E-Mail: benjamin.wellnitz@dz-cp.de