Richtlinie für den Einsatz von Künstlicher Intelligenz (KI) – Minimales-Risiko-Anwendungsfälle Freigegeben v1

1. Vorgaben zur Nutzung von Künstlicher Intelligenz (KI) – Minimales-Risiko-Anwendungsfälle

Diese Richtlinie legt Grundsätze für den Einsatz von KI-Systemen in unserer Bank fest, fokussiert auf Minimales-Risiko-Anwendungsfälle gemäß EU AI Act. Minimales-Risiko-KI-Systeme sind solche, die weder als hochriskant noch als verboten eingestuft werden und somit keinen strengen regulatorischen Auflagen des KI-Gesetzes unterliegen.

Dennoch sollen auch bei diesen Systemen bewährte Verfahren und interne Kontrollen angewendet werden, um Qualität, Transparenz und Verlässlichkeit sicherzustellen. Diese Richtlinie richtet sich an alle internen Fachabteilungen, insbesondere Revision und ISM, sowie weitere Stakeholder, die an Entwicklung, Einsatz oder Überwachung von KI beteiligt sind.

Aktuell nutzt die Bank ein einfaches KI-Modell, das Daten aus einem Formular (z. B. einem eingescannten Blatt oder gespeichertes PDF-Dokument) ausliest und automatisiert in eine Fach-Software überträgt. Anschließend überprüft ein Mitarbeiter alle übertragenen Daten manuell und korrigiert etwaige Fehler.

Das Modell hat weder Interaktionen mit Mitarbeitern noch mit Kunden und trifft keine autonomen Entscheidungen, sondern dient lediglich als Unterstützung bei der Datenerfassung. Zudem erhält das KI-System Feedback über die Korrekturen, um langfristig dazuzulernen. Dieses Beispiel eines assistierenden KI-Einsatzes bildet das Grundszenario für die nachfolgenden Richtlinienpunkte.

1.1. Auswahl geeigneter KI-Modelle für Minimales-Risiko-Einsätze

Bei Minimales-Risiko-KI-Systemen ist darauf zu achten, dass das gewählte Modell angemessen, verständlich und zuverlässig ist.

Anforderungen an die Modellauswahl:

• Passgenauigkeit und Einfachheit: Wählen Sie ein KI-Modell, das zum konkreten Geschäftsprozess passt und nur die notwendige Komplexität aufweist. In vielen Fällen können einfachere datengetriebene Ansätze oder klassische statistische Methoden eine ähnlich gute Vorhersagekraft liefern wie komplexe KI-Modelle – jedoch mit weniger einhergehenden Risiken.
• Zuverlässigkeit und Performance: Stellen Sie sicher, dass das Modell robuste Ergebnisse liefert und die erforderliche Genauigkeit erreicht. Bereits vor dem Einsatz sollten Messgrößen wie Erkennungsgenauigkeit, Fehlerrate oder Verarbeitungsgeschwindigkeit geprüft werden.
• Transparenz und Nachvollziehbarkeit: Bevorzugen Sie KI-Systeme, deren Funktionsweise nachvollziehbar oder erklärbar ist. Modelle mit verständlicher Entscheidungslogik können von Fachexperten leichter überprüft werden. Für Minimales-Risiko-KI-Systeme ist es oft möglich, auf allzu opake „Black-Box"-Modelle zu verzichten.
• Regulatorische Konformität und Dokumentation: Erfassen Sie bereits bei der Auswahl alle relevanten Informationen zum Modell (Modelltyp, Version, Datenquellen, Hersteller oder Entwickler). Bei Zukauf externer KI-Lösungen ist zusätzlich sicherzustellen, dass der Anbieter etwaige Compliance-Vorgaben (Datenschutz, IT-Sicherheit) einhält.

1.2. Sicherstellung der Datenqualität bei Datenerfassung und -übertragung

Die Datenqualität spielt eine zentrale Rolle für verlässliche KI-Ergebnisse. Es gilt der Grundsatz: Nur mit hochwertigen Eingabedaten kann das KI-System korrekte Ausgaben liefern.

• Qualität der Eingangsdaten: Klare, fehlerfreie Datenerfassung; eingescannte Formulare müssen gut lesbar sein (keine Flecken, ausreichende Auflösung). Einheitliche Formate und definierte Feldstrukturen erleichtern die Erkennung.
• Verifizierte Datenübertragung: Die vom KI-Modell ausgelesenen Daten müssen vollständig und unverfälscht in die Zielsoftware übertragen werden (definierte Formate, Prüfalgorithmen, Checksummen).
• Konsistenz und Aktualität: Änderungen und Korrekturen sind nachvollziehbar zu protokollieren (Auditierbarkeit).
• Umgang mit Datenfehlern: Unsichere oder unleserliche Eingaben werden gekennzeichnet und zur nachgelagerten Klärung an Sachbearbeiter weitergeleitet. Fehlerhafte Datensätze dürfen nicht ungesehen in nachgelagerte Systeme übernommen werden.

1.3. Umgang mit KI-Ergebnissen: Manuelle Überprüfung und Feedbackschleifen

Auch bei Minimales-Risiko-KI-Systemen gilt: Der Mensch bleibt in der Verantwortung.

• Manuelle Überprüfung (Vier-Augen-Prinzip): Alle geschäftsrelevanten Ausgaben müssen von einem Mitarbeiter überprüft werden, bevor sie weiterverwendet oder an Kunden kommuniziert werden.
• Klar definierte Korrekturprozesse: Erkannte Fehler werden umgehend korrigiert; das System erfasst manuell geänderte Werte sauber.
• Feedback an das KI-Modell: Korrekturen durch Mitarbeiter werden dem KI-Modell als Lerndaten zurückgespiegelt (z. B. Aufnahme in den Trainingsdatensatz).
• Grenzen der KI beachten: Fachabteilungen sind über bekannte Schwächen und Unsicherheitsbereiche des Systems informiert; bei geringem Vertrauen wird das Ergebnis automatisch an einen menschlichen Bearbeiter übergeben.

1.4. Validierung von Daten und Modellen

• Initiale Modell- und Datenvalidierung: Vor Live-Gang wird das Modell mit repräsentativen Testdaten in einer Testumgebung erprobt. Nur wenn die Akzeptanzkriterien erfüllt sind, geht es in den Wirkbetrieb.
• Laufende Überwachung und Qualitätskontrolle: Nach dem Go-Live Monitoring der Performance via KPIs (Fehlerrate, Korrekturen pro 100 Vorgänge) in definierten Abständen.
• Validierung bei Modelländerungen: Bei Modellanpassungen Regressionstest gegen die alte Version; Freigabe durch die zuständige Fachstelle.
• Einbindung unabhängiger Stellen: Interne Revision oder ein Modellvalidierungsteam werden bei Bedarf in die Prüfung einbezogen.
• Kontinuierliche Verbesserung: Validierung ist ein fortlaufender Prozess — Erkenntnisse fließen in Datenvorverarbeitung und aktualisierte Richtlinien ein.

1.5. Fazit

Diese Richtlinie soll sicherstellen, dass KI-Systeme mit geringem Risiko im Bankenumfeld sicher, effektiv und regelkonform eingesetzt werden. Auch wenn Minimales-Risiko-KI-Systeme nach dem EU AI Act keine ausdrücklichen gesetzlichen Vorgaben erfüllen müssen, folgt unsere Bank freiwillig den Best Practices und etabliert interne Leitplanken.

Die Kombination aus sorgfältiger Modellauswahl, hoher Datenqualität, menschlicher Überwachung und systematischer Validierung gewährleistet, dass KI-basierte Assistenzsysteme ihren Zweck erfüllen, ohne die Integrität unserer Prozesse zu gefährden.

Hinweis: Alle beteiligten Fachbereiche sind angehalten, diese Grundsätze einzuhalten und bei Fragen die zuständigen Governance-Stellen (Unternehmensentwicklung, Revision, IT, ISM, DSB) frühzeitig einzubeziehen.