VORSTANDSFRAGEN IM REPORT-FORMATEuropäisches Banking & FinanzmärkteFrage an den Vorstand · Zur Erörterung

Wenn KI falsch liegt: Könnten Sie Ihre Aufsicht belegen?

ThemaKI-Aufsicht
ZielgruppeVorstand · Aufsichtsrat · Executive Committee
Lesezeit6 Minuten
ZielstatusGRÜN — sobald Oversight owned, evidenced und reviewable ist

Auf einen Blick

Die eigentliche Frage ist dann nicht mehr, ob das Tool einen Fehler gemacht hat.

Die Frage ist, ob die Institution Oversight, Ownership und Human Review belegen kann.

Board AskBestätigung, ob die Institution Oversight für materielle KI-Use-Cases belegen kann.

Situation

Nehmen wir folgende Situation an.

Ein KI-gestütztes Tool unterstützt einen regulierten Prozess. Es fasst Kundeninformationen zusammen, bereitet eine Risikosicht vor, unterstützt eine Kontrollbewertung oder formuliert eine Entscheidungsbegründung. Einige Wochen später wird der Output von einem Kunden, Prüfer oder Aufseher hinterfragt.

Die eigentliche Frage ist dann nicht mehr, ob das Tool einen Fehler gemacht hat.

Die Frage ist, ob die Institution Oversight, Ownership und Human Review belegen kann.

Management Summary

KI-Nutzung im europäischen Banking ist kein Randthema mehr: Die EZB erklärte im Februar 2026, dass mehr als 85% der großen Banken unter europäischer Aufsicht KI bereits in irgendeiner Form nutzen.

Der Vorstand muss nicht jedes Modellparameterdetail verstehen, aber er braucht Evidenz, dass materielle KI-Use-Cases owned, reviewed und controlled sind.

Eine starke Antwort ist konkret, aktuell und belegt; eine schwache Antwort bleibt bei Policy, Projektstatus oder Provider-Verantwortung stehen.

Management-Report-Panel

Lage in einem Satz
KI bewegt sich von Experimentation in regulierte Workflows; Oversight muss jetzt in der Praxis belegbar sein.
Kernpunkt
Board Reliance entsteht nicht durch eine Policy allein. Sie benötigt Ownership, Human Oversight, Literacy, Monitoring und Evidenz.
Primäres Risiko
KI-Output beeinflusst einen Prozess, eine Kommunikation oder eine Entscheidung, aber Accountability und Review Evidence bleiben unklar.
Board Ask
Bestätigung, ob die Institution Oversight für materielle KI-Use-Cases belegen kann.
Ziel-RAG
GRÜN, wenn die Antwort owned, documented, tested und reviewable ist.

Kalibrierung der Antwortqualität

GRÜN Decision-Grade Answer
GELB Partially Evidenced
ROT Not Decision-Grade
InventoryAktuelles KI-Use-Case-Inventory existiert.
InventoryInventory existiert, ist aber unvollständig.
Inventory„Wir haben eine KI-Policy.“
OwnershipKlarer Owner pro Use Case benannt.
OwnershipOwnership existiert auf Projektebene, nicht auf Operating-Model-Ebene.
Ownership„Das liegt bei IT.“
Human OversightHuman Oversight ist definiert und belegt.
Human OversightOversight ist beschrieben, aber Evidenz wird nicht konsistent aufbewahrt.
Human Oversight„Der Provider ist verantwortlich.“
LiteracyAI Literacy ist rollenbasiert und dokumentiert.
LiteracyTraining existiert, aber nicht nach Rolle, Risiko oder Use Case.
Literacy„Training wurde abgeschlossen.“
MonitoringExceptions, Overrides und Incidents werden überwacht.
MonitoringMonitoring existiert, aber Reporting ist fragmentiert.
Monitoring„Bisher ist nichts passiert.“
Board ReportingBoard Reporting zeigt Risk, Value und Control Evidence.
Board ReportingBoard erhält Statusupdates, aber keine entscheidungsfähige Evidenz.
Board Reporting„Das ist nur ein Copilot.“

Der RAG-Status kalibriert die Qualität der Antwort. Er bewertet nicht die Institution.

Wer antworten sollte

CIOCTOCROCOOCISOComplianceLegalDatenschutzChief Data OfficerBusiness OwnerModel Risk / ValidationInternal Audit

Accountability-Hinweis:
Technology kann die Plattform besitzen. Das Business besitzt den Decision Impact. Kontrollfunktionen müssen die Antwort challengen können. Internal Audit muss die Evidenz prüfen können.

Nachweise, die der Vorstand anfordern sollte

  1. 01KI-Use-Case-Inventory
  2. 02Risk Classification je Use Case
  3. 03Ownership Map
  4. 04Data Classification und Permitted-Use View
  5. 05Human Oversight Design
  6. 06AI Literacy Evidence by Role
  7. 07Exception-, Override- und Incident Log
  8. 08Third-Party Dependency Map
  9. 09Board Reporting Dashboard
  10. 10Decision Log für Scale, Restrict, Retrain oder Retire

Warnsignale

Die folgenden Antworten können beruhigend klingen, sind aber noch nicht decision-grade:

  • „Wir haben eine KI-Policy.“
  • „Das wird von IT gesteuert.“
  • „Der Provider ist verantwortlich.“
  • „Das Tool wird nur intern genutzt.“
  • „Bisher ist nichts passiert.“
  • „Wir haben keine High-Risk-AI-Use-Cases.“
  • „Training wurde abgeschlossen.“
  • „Das wird in der Umsetzung geklärt.“

Keine dieser Aussagen ist notwendigerweise falsch.

Sie sind nur keine ausreichende Evidenz für Board-Level Reliance.

Weg zu Green

Die Antwort wird erst GRÜN, wenn der Vorstand sehen kann:

  • wo KI eingesetzt wird und welche Use Cases materiell sind;
  • wer jeden Use Case und jeden Decision Impact owns;
  • welche Human Review erforderlich ist und belegt wird;
  • welche Daten-, Modell- und Provider-Abhängigkeiten bestehen;
  • welche Exceptions, Overrides und Incidents überwacht werden;
  • wer entscheiden kann, den Use Case zu skalieren, einzuschränken, neu zu trainieren oder zu stoppen.

GRÜN ist kein Policy-Status.
GRÜN ist ein Evidenz-Status.

Empfohlene nächste Frage

Welcher KI-Use-Case würde das größte Accountability-Problem erzeugen, wenn ein Kunde, Prüfer oder Aufseher morgen eine Erklärung verlangt?

Expert Commentary — 4 Min. Lesezeit

KI-Aufsicht wird häufig so diskutiert, als sei die zentrale Frage, ob eine Institution eine KI-Policy, ein KI-Komitee oder ein KI-Inventory hat.

Diese Elemente sind wichtig. Aber sie sind nicht der Endpunkt.

Für einen Vorstand ist die relevante Frage, ob Oversight in der Praxis belegbar ist. Das entspricht der aktuellen Aufsichtsrichtung der EZB zu KI. Die EZB-Supervisory-Priorities 2026–28 sagen, dass Banken, die neue Technologien, insbesondere KI, nutzen, Strategien haben sollten, die Chancen und Risiken abbilden, und robuste Governance sowie Risk Controls etablieren sollten.

Der EZB-Entwurf eines Governance-and-Risk-Culture-Guides aus 2024 nutzte ebenfalls eine Good-Practice- und Red-Flag-Struktur für Governance-Bewertungen. Im Juni 2026 kündigte die EZB an, dass dieser Entwurf durch einen Good-Practices-Report ersetzt werden soll, der für das erste Quartal 2027 geplant ist. Der relevante Punkt für dieses Briefing ist daher nicht der Rechtsstatus des Entwurfs, sondern die Managementlogik: Governance muss in der Praxis sichtbar sein, nicht nur in Policies beschrieben werden.

Das ist wichtig, weil KI den Evidenzstandard verändert.

In einem klassischen Technologieprozess kann ein Vorstand fragen, ob ein System genehmigt ist, ob Kontrollen existieren und ob die relevante Funktion den Prozess besitzt. In einem KI-gestützten Prozess reichen dieselben Fragen nicht mehr aus. Der Vorstand muss zusätzlich verstehen, was das KI-System tut, welche Entscheidung oder welchen Workflow es unterstützt, wo menschliches Urteil erforderlich bleibt, wer kompetent ist, den Output zu prüfen, und ob Exceptions sichtbar sind.

Deshalb ist „Das liegt bei IT“ keine board-grade Antwort.

Technology kann die Plattform steuern. Aber der Decision Impact liegt dort, wo der Use Case Arbeit, Urteil, Kommunikation, Kontrolle oder Kundeninteraktion verändert. Wenn ein KI-Tool einen Kreditprozess, einen Fraud-Prozess, einen Investment-Service-Prozess, eine Kontrollprüfung, eine Rechtsbewertung oder Kundenkommunikation unterstützt, kann Ownership nicht auf Systemadministration reduziert werden.

ESMA hat denselben Punkt für Investment Services gesetzt. In ihrem Public Statement zu KI und Investment Services sagt ESMA, dass Firmen, die KI bei Investment Services einsetzen, weiterhin MiFID-II-Anforderungen zu Organisation, Conduct und Best Interest erfüllen müssen.

Das ist die praktische Logik hinter dem RAG-Panel.

Eine GRÜNE Antwort ist nicht stark, weil sie anspruchsvoll klingt. Sie ist stark, weil sie konkret ist.

  • Sie kann die Use Cases zeigen.
  • Sie kann die Owner benennen.
  • Sie kann den Decision Impact erklären.
  • Sie kann Human Oversight belegen.
  • Sie kann rollenbasierte AI Literacy zeigen.
  • Sie kann Monitoring nachweisen.
  • Sie kann Logs, Dashboards und Decision Records vorlegen.

Eine GELBE Antwort kann in die richtige Richtung gehen, ist aber noch nicht verlässlich genug für Board Reliance. Die Institution hat vielleicht ein Inventory, aber eingebettete KI in Drittanbieter-Tools fehlt. Sie hat vielleicht Training, aber nicht rollenbasiert. Sie hat vielleicht eine Policy, aber kein Exception Log. Sie hat vielleicht Use-Case Approval, aber keine klare Decision Rule für Skalierung oder Stopp.

Eine ROTE Antwort ist anders. Sie ist nicht zwingend falsch. Sie reicht nur nicht aus.

  • „Wir haben eine Policy“ belegt keine Oversight.
  • „Der Provider ist verantwortlich“ belegt keine interne Accountability.
  • „Das ist nur ein Copilot“ erklärt keine Data Exposure, keinen Decision Impact und keine Human Reliance.
  • „Training wurde abgeschlossen“ zeigt nicht, ob die richtigen Personen die richtige Kompetenz für den richtigen Use Case besitzen.

Diese Unterscheidung ist besonders wichtig unter dem EU AI Act. Die Europäische Kommission erklärt, dass Article 4 seit dem 2. Februar 2025 gilt und Aufsichts- sowie Enforcement-Regeln ab dem 3. August 2026 greifen.

Die Governance-Schlussfolgerung ist klar. KI-Aufsicht ist kein Dokument.
Sie ist eine Accountability Chain.

Diese Kette beginnt mit Inventory und Classification. Sie führt über Ownership, Data Governance, Human Review, Literacy, Monitoring, Exceptions und Decision Rights. Sie endet mit Board-Level Evidence, dass die Institution erklären kann, wie KI genutzt wird und wie sie controlled bleibt.

Die richtige Vorstandsfrage lautet daher nicht, ob KI genutzt wird. Sie lautet, ob der Vorstand sich auf die Antwort verlassen kann. Und Reliance erfordert Evidenz.

Ausgewählte Quellenbasis

← Alle Briefings