180 Tage zur Prüf- und Nachweisfähigkeit – vom Überblick zur Umsetzung

HUG GmbH

EU AI Act in der Finanzbranche

Aufbauend auf Teil 1 („Die KI‑Uhr tickt“) und unserem Überblicksbeitrag („AI Act im Fokus“) gehen wir hier vom Warum zum Wie: Wie kommen Banken, Sparkassen, Genossenschaftsbanken, Versicherer und Finanzdienstleister in 180 Tagen zu nachweisbar verantwortungsvoller KI – fachlich belastbar, regulatorisch robust, wirtschaftlich tragfähig.

 

Meilensteine in Kürze: 02/25 (Kap. I–II), 08/25 (GPAI, Governance, Sanktionen), 08/26 (übrige Pflichten), 08/27 (Art. 6 Abs. 1). Details sehen Sie in unserem Überblicksartikel.

kontakt
EU AI Act

Was zählt jetzt

Seit Teil 1 unverändert: gestaffelte Anwendung nach Art. 113 der Verordnung (EU) 2024/1689. Neu im Fokus hier:

 

Annex‑III‑Hochrisiko im Finanzsektor:

  • Kreditwürdigkeits-/Bonitätsbewertung natürlicher Personen
  • Risiko-/Prämienbewertung in Lebens- und Krankenversicherung

 

Rollen klarziehen: Provider vs. Deployer – In‑house kann Provider‑Pflichten auslösen (QMS, Konformität, EU‑Datenbank, Post‑Market‑Monitoring).

 

Pflichtartefakte/Prozesse scharfstellen: technische Dokumentation, Logging/Aufbewahrung, menschliche Aufsicht, Monitoring, Meldung schwerwiegender Vorfälle, ggf. FRIA (für bestimmte Deployers). Konsequenz: Der 180‑Tage‑Plan priorisiert Prüf‑ und Nachweisfähigkeit vor Go‑Live/Änderungen – Qualität statt Hektik.

Rollen und Verantwortlichkeiten

Provider (Anbieter)

  • Entwickeln/vertreiben/inbetriebnehmen unter eigener Marke – auch In‑house kann Provider‑Pflichten auslösen.
  • Pflichten u. a.: Risikomanagement, Daten‑/Datenqualitätsanforderungen, technische Doku, Logging, Transparenz/Info für Betreiber, menschliche Aufsicht, Robustheit/Cybersicherheit, Qualitätsmanagementsystem (QMS), Registrierung in EU‑Datenbank (Hochrisiko), Post‑Market‑Monitoring, Meldung schwerwiegender Vorfälle, Aufbewahrung.

Deployer (Betreiber/Verwender)

  • Verantwortlich für bestimmungsgemäßen Einsatz, menschliche Aufsicht, Betrieb/Monitoring, Incident‑Handling, AI‑Literacy, ggf. FRIA (insb. öffentliche Stellen oder private Erbringer öffentlicher Dienste).

Lieferanten/GPAI

  • Nachweise, Sicherheits‑ und Support‑Standards vertraglich einkaufen; (G)PAI‑Pflichten, Codes of Practice und Implementierungsakte im Blick behalten; klare Flow‑down‑Klauseln.
EU AI Act

Artefakt‑Set für „Prüf- und Nachweisfähigkeit“

  • Technische Dokumentation (Zweck, Inputs/Outputs, Trainings-/Eval‑Methodik, Metriken, Grenzen, bekannte Risiken)
  • Model Cards & Data Sheets (inkl. Herkunft, Rechtsgrundlagen, Sensitivität, Qualitäts-/Bias‑Kontrollen)
  • QMS mit KI‑Spezifika; eindeutige Rollen, Prozesse, Vorlagen
  • Logging (Train/Inference) und Aufbewahrungspflichten (typ. 10 Jahre)
  • Post‑Market‑Monitoring‑Plan (Drift/Performance/Fairness, Overrides, Alarme)
  • Meldeprozess für schwerwiegende Vorfälle
  • EU‑Datenbank‑Registrierung für Hochrisiko‑Systeme (vor Inverkehrbringen/Inbetriebnahme) und – wo einschlägig – CE‑Kennzeichnung
  • AI‑Literacy‑Programm (Rollen‑/Befähigungsnachweise)
  • FRIA (Fundamental Rights Impact Assessment), falls für den Deployer/Use Case verpflichtend

Der 180‑Tage‑Fahrplan – kompakt, wirksam, auditfest

Phase 1 (0–30 Tage): Klarheit schaffen

  • KI‑Inventur: alle produktiven/geplanten Use Cases, Modelle, Datenquellen, Schnittstellen; betroffene Produkte/Prozesse.
  • Risikoklassifizierung: Annex‑III‑Bezug (Kredit, Betrug, Leben/Kranken), Abhängigkeiten von GPAI/Lieferanten.
  • Rollen und Verantwortlichkeiten: AI Owner (fachlich), Model Owner (technisch), Risk/Compliance Owner; Provider vs. Deployer klären.
  • Steckbrief je Use Case: Zweck, Input/Output, betroffene Grundrechte, menschliche Aufsicht, Monitoring‑KPI, Lieferanten, Go‑/No‑Go‑Kriterien.

Phase 2 (30–90 Tage): Governance professionalisieren

  • Daten‑Governance: Herkunft, Zweckbindung, Rechtsgrundlagen, Sensitivität; Qualitätsmetriken (Vollständigkeit, Aktualität, Ausreißerquote), Bias‑Checks.
  • Modell‑Governance: standardisierte Model Cards, technische Doku (Art.‑konform), Freigabeprozess Dev → Validierung → Risiko‑Freigabe → Produktion, reproduzierbare Pipelines, Change‑Steuerung.
  • Menschliche Aufsicht: Schwellenwerte/Override‑Kriterien, Vier‑Augen‑Prinzip, dokumentierte Eingriffe/Eskalationen.
  • Drittrisiken und GPAI: Due Diligence (Transparenz, Nachweise, Security, Support), Audit‑/Exit‑Rechte, Flow‑down‑Klauseln.

Phase 3 (90–150 Tage): Prüf- und Nachweisfähigkeit aufbauen

  • Kontrollrahmen Ende‑zu‑Ende: Daten → Training → Validierung → Deployment → Betrieb; Evidenz pro Kontrollpunkt (Logs, Reports, Tickets).
  • Produktions‑Monitoring: Daten‑/Performance‑/Fairness‑Drift, Override‑Rate, Latenzen; Grenzwerte + automatische Tickets/Workflows.
  • QMS und Dokumentationsstandard: Ordnerstruktur, Versionierung (z. B. Git), Release Notes, Aufbewahrung.
  • Registrierung und Kennzeichnung: Hochrisiko‑Systeme in EU‑Datenbank; Betreiber‑Informationspakete finalisieren; CE‑Kennzeichnung, wo einschlägig.

Phase 4 (150–180 Tage): Reifegrad zeigen und erklären

  • Interne Audits (Trockenübung): Wirksamkeit der Kontrollen, Vollständigkeit der Nachweise; Gap‑Liste mit Maßnahmen/Terminen.
  • FRIA (wo verpflichtend): vor Inbetriebnahme; Maßnahmenplan, Aufsichtspfad, Update‑Regeln.
  • Transparenz und Kommunikation: „Verantwortungsvolle KI“-Seiten (Zweck, Aufsicht, Rechte, Kontakt), Kennzeichnung synthetischer/AI‑manipulierter Inhalte (Transparenzpflichten), kundenfreundliche Erklärungen/Widerspruch.
EU AI Act

Drei Hebel mit doppeltem Nutzen: Compliance und Business

1. Trust by Design

  • Fairness‑, Robustheits‑ und Aufsichtsanforderungen früh integrieren → weniger Produktionsrisiken, höhere Kundenzufriedenheit.

2. Lieferantensteuerung

  • Nachweise, Update‑SLA, Audit‑ und Exit‑Klauseln vertraglich absichern → Betriebs‑ und Reputationsrisiken senken.

3. Wirksamkeit messen, die zählt

  • KPI‑Set (Drift, Fairness, Overrides) mit Geschäftskennzahlen verknüpfen (Genehmigungsquote, Schadenquote, Fraud‑Hit‑Rate) → Regulierung als Performance‑Booster.

Häufige Missverständnisse – kurz richtiggestellt

  • „Wir warten bis 2027.“ – Nein: Annex‑III‑Hochrisiko‑Pflichten sind ab 2.8.2026 relevant.
  • „In‑house ist nur Deployer.“ – Nicht zwingend: In‑house kann Provider‑Pflichten auslösen.
  • „Transparenz betrifft nur Marketing.“ – Falsch: Kennzeichnungspflichten (synthetische Inhalte/Deepfakes) und Betreiber‑Infos sind betriebsrelevant.
  • „Teile sind ausgesetzt.“ – Derzeit keine pauschale Aussetzung; die Anwendung ist gestaffelt (Art. 113).
EU AI Act

Quellen

Verordnung (EU) 2024/1689 (AI‑Verordnung), Amtsblatt der EU – insbesondere:

  • Art. 6 (Hochrisiko‑Einstufung), Kap. I–IV (u. a. Verbote, Transparenz), Kap. III/Abschnitt 2 (Pflichten für Hochrisiko), Kap. V (GPAI), Kap. VII (Governance), Art. 78, 99–100 (Vertraulichkeit, Sanktionen), Art. 111–113 (Übergänge/Anwendung)
  • Anhang III (u. a. Kreditwürdigkeit natürlicher Personen; Risiko-/Prämienbewertung Leben/Kranken)

 

Leitlinien der Europäischen Kommission:

  • Definition „KI‑System“
  • Verbotene KI‑Praktiken

 

Maßgeblich sind die amtlichen Texte/Leitlinien der EU. Ergänzende Übersichten sind hilfreich, aber nicht rechtsverbindlich.

EU AI Act

Fazit

Jetzt zählt Umsetzungsstärke. Mit klaren Rollen, schlanken Governance‑Standards und prüffähigen Artefakten wird der EU AI Act vom Risiko zur Chance. Wer heute strukturiert beginnt, baut morgen das Gütesiegel „nachweisbar verantwortungsvolle KI“ – und gewinnt Vertrauen, Effizienz und Resilienz.

 

Auf Wunsch liefern wir:

  • Provider‑vs‑Deployer‑Checkliste
  • KPI‑Set für produktives Monitoring (Drift/Fairness/Overrides)
  • Audit‑Vorlage für die Trockenübung (Phase 4)

 

Sprechen Sie uns an, wir bringen Sie vom Überblick in die belastbare Umsetzung.

Kontakt
Nach oben scrollen