In Branchen wie Finanzierungsdienstleistungen, Versicherungen oder Leasing sind Nachvollziehbarkeit, Kontrolle und Verantwortung zentrale Anforderungen. Entscheidungen müssen erklärbar, Systeme überprüfbar und Prozesse revisionsfähig sein. KI fügt sich in diese Logik nur dann ein, wenn sie von Beginn an als Teil der Gesamtarchitektur gedacht wird.

Ein unkontrollierter Einsatz von KI-Tools – etwa außerhalb der eigenen IT- und Security-Strukturen – kann schnell zu rechtlichen, organisatorischen oder haftungsrechtlichen Problemen führen. Gleichzeitig ist ein vollständiger Verzicht auf KI angesichts des Wettbewerbs- und Automatisierungsdrucks keine realistische Option. Unternehmen müssen daher einen Weg finden, KI kontrolliert und verantwortungsvoll zu nutzen.

Im Finanzsektor besteht noch Unsicherheit, wie stark der EU AI Act greift. Daher stufen viele Organisationen ihre KI-Systeme vorsorglich als „High Risk“ ein, was höhere Anforderungen an Transparenz und Prüfungen mit sich bringt. Bis zur endgültigen Klärung gilt oft das Prinzip: lieber von Anfang an strengere Standards einhalten, als später nachbessern zu müssen.

KI-gesteuerte Systeme können aufgrund ihrer möglichen Einstufung als Hochrisiko-Systeme nur unter speziellen Auflagen Verantwortung tragen. Daher müssen von KI unterstützte Entscheidungen durch zusätzliche regulatorische Vorgaben abgesichert werden.

Anforderungen an KI in hoch regulierten Umgebungen

Der Begriff „hoch reguliert“ beschreibt nicht nur einzelne Gesetze, sondern ein gesamtes Rahmenwerk an Anforderungen. Unternehmen müssen unter anderem sicherstellen, dass klar ist, wo Daten verarbeitet werden, wer darauf zugreifen darf und wie Entscheidungen zustande kommen.

Im Finanzsektor kommen zusätzliche aufsichtsrechtliche Vorgaben hinzu, etwa zu Auslagerungen, Datenhaltung, Betriebsstabilität und Haftungsfragen. Internationale Tätigkeit erhöht die Komplexität weiter, da unterschiedliche nationale Regelwerke berücksichtigt werden müssen. Für KI bedeutet das, dass technische Möglichkeiten stets gegen regulatorische und organisatorische Anforderungen abgewogen werden müssen.

Aus dieser Ausgangslage ergeben sich klare Anforderungen an KI-Systeme:

• Nachvollziehbarkeit der Ergebnisse:
  KI-Antworten und Empfehlungen müssen erklärbar sein und auf überprüfbaren Grundlagen basieren, sodass Entscheidungen intern wie extern nachvollzogen werden können.
• Klare Kontrollmechanismen:
  Es muss eindeutig definiert sein, wo Automatisierung endet und an welchen Stellen menschliche Verantwortung und Freigabe erforderlich sind.
• Datensouveränität und Datenschutz:
  Sensible und personenbezogene Daten dürfen nur innerhalb klar kontrollierter Umgebungen verarbeitet werden und müssen jederzeit der Hoheit des Unternehmens unterliegen.
• Regulatorische und rechtliche Konformität:
  KI-Systeme müssen bestehende aufsichtsrechtliche, datenschutzrechtliche und branchenspezifische Vorgaben erfüllen und auditierbar sein.
• Stabile und skalierbare Architektur:
  Lösungen müssen über den Pilotbetrieb hinaus tragfähig sein und auch bei internationalem Einsatz, wachsender Nutzerzahl und steigender Komplexität zuverlässig funktionieren.
• Integration in bestehende IT- und Security-Strukturen:
  KI darf kein isoliertes Tool sein, sondern muss sich nahtlos in vorhandene Systeme sowie Rollen- und Berechtigungskonzepte einfügen.
• Governance und organisatorische Verankerung:
  Zuständigkeiten, Entscheidungsprozesse und Regeln für den KI-Einsatz müssen klar definiert und im Unternehmen verankert sein.
• Betriebs- und Risikomanagement:
  Abhängigkeiten von Modellen, Anbietern und Partnern müssen transparent gemacht und technisch wie organisatorisch abgesichert werden.

Zentrale Erkenntnisse aus der Praxis

Wie diese Anforderungen in der Praxis umgesetzt werden können, zeigt das Beispiel von Ontec AI und der grenke Gruppe, eines international tätigen Finanzdienstleisters.

Im Rahmen einer unternehmensweiten Initiative wurden KI-Use-Cases systematisch erhoben, bewertet und priorisiert. Zwei Anwendungen wurden produktiv umgesetzt: ein unternehmensweiter KI-Chatbot sowie eine KI-gestützte Wissensmanagement-Lösung. Beide Systeme sind in die bestehende IT- und Security-Architektur integriert und unterliegen klar definierten Governance-Regeln.

Der KI-Chatbot ermöglicht Mitarbeitenden den Zugriff auf Sprachmodelle innerhalb einer kontrollierten Umgebung. Abhängig von Sensibilität und Kontext der Anfrage werden unterschiedliche technische Pfade genutzt, sodass die Datenhoheit gewahrt bleibt. Die Wissensmanagement-Lösung basiert auf semantischer Suche und Retrieval-Augmented Generation. Antworten werden aus internen Dokumenten abgeleitet und validiert, sie bleiben daher jederzeit nachvollziehbar und überprüfbar. Ergänzend kommen agentenbasierte Funktionen zum Einsatz, die Anfragen strukturieren und kontextualisieren, ohne Entscheidungen vollständig zu automatisieren.

Aus der Umsetzung lassen sich für KI im hoch regulierten Umfeld folgende Erkenntnisse ableiten:

• Der Einstieg in KI ist in regulierten Organisationen eine strategische Entscheidung.
• Erfolgreiche KI-Initiativen beginnen mit der Priorisierung von Use-Cases, nicht mit der Auswahl von Modellen oder Tools.
• Das Wichtigste, was jedes Unternehmen gemacht haben sollte, sind die klassischen Digitalisierungsschritte bezogen auf ihre Datenquellen: Wer hat warum worauf Zugriff? Wo liegen welche Informationen? Müssen bestimmte Daten besonders geschützt sein? 
• Fachlich unterschiedliche Anwendungsfälle lassen sich häufig technisch bündeln, wenn sie früh als Archetypen erkannt werden.
• KI im Finanzsektor ist nur mit Security, Datenschutz und Compliance sinnvoll einsetzbar, da diese Anforderungen den Rahmen jeder KI-Architektur definieren.
• Skalierbarkeit ist eine Grundvoraussetzung, insbesondere für international tätige Unternehmen mit unterschiedlichen regulatorischen Rahmenbedingungen.
• Mittelständische Unternehmen müssen besonders fokussiert vorgehen, da Ressourcen begrenzt sind und nicht jede Technologie selbst entwickelt werden kann.
• Regulatorisch konforme Alternativen zu öffentlichen Gen-AI-Tools sind notwendig, um rechtliche Risiken bei sensiblen Daten zu vermeiden.
• RAG-basierte Ansätze sind zentral für auditfähiges Wissensmanagement, da sie Nachvollziehbarkeit und Belegbarkeit von Antworten ermöglichen.
• Human-in-the-Loop bleibt bei geschäftskritischen Entscheidungen unverzichtbar, weil KI-Modelle keine Verantwortung tragen können.
• Change-Management ist ein wesentlicher Erfolgsfaktor, da KI nur dann Wirkung entfaltet, wenn Mitarbeitende eingebunden und befähigt werden.

Fazit

KI kann auch in hoch regulierten Umgebungen produktiv eingesetzt werden, wenn sie als Teil einer Gesamtarchitektur verstanden wird. Entscheidend ist nicht die Leistungsfähigkeit einzelner Modelle, sondern das Zusammenspiel aus Architektur, Governance und Verantwortung. Unternehmen, die die Gestaltung ihrer IT-Infrastruktur von diesen Aspekten leiten lassen, schaffen die Grundlage für einen nachhaltigen und sicheren KI-Einsatz – selbst im anspruchsvollen Umfeld. Es gilt vorrangig klassische Digitalisierung voranzubringen, dann ist der Einsatz von KI-Systemen oft nur ein weiterer Schritt und kein großer Sprung.

Details zum Projekt wurden gemeinsam mit grenke in einem Webinar vertieft und anhand konkreter Fragestellungen aus dem regulierten Umfeld diskutiert:

Über den Autor

Tobias Lint ist Developer bei Ontec AI. Ontec AI entwickelt modulare KI-Lösungen für Unternehmen mit sensiblen und komplexen Daten, insbesondere in regulierten Branchen.

Aus dem Archiv: Christian Casari von Ontec AI in der brutkasten-Serie „No Hype KI“ (Dezember 2025):