Wenn KI falsch liegt: Könnten Sie Ihre Aufsicht belegen?
Auf einen Blick
Die eigentliche Frage ist dann nicht mehr, ob das Tool einen Fehler gemacht hat.
Die Frage ist, ob die Institution Oversight, Ownership und Human Review belegen kann.
Board AskBestätigung, ob die Institution Oversight für materielle KI-Use-Cases belegen kann.
Situation
Nehmen wir folgende Situation an.
Ein KI-gestütztes Tool unterstützt einen regulierten Prozess. Es fasst Kundeninformationen zusammen, bereitet eine Risikosicht vor, unterstützt eine Kontrollbewertung oder formuliert eine Entscheidungsbegründung. Einige Wochen später wird der Output von einem Kunden, Prüfer oder Aufseher hinterfragt.
Die eigentliche Frage ist dann nicht mehr, ob das Tool einen Fehler gemacht hat.
Die Frage ist, ob die Institution Oversight, Ownership und Human Review belegen kann.
Management Summary
KI-Nutzung im europäischen Banking ist kein Randthema mehr: Die EZB erklärte im Februar 2026, dass mehr als 85% der großen Banken unter europäischer Aufsicht KI bereits in irgendeiner Form nutzen.
Der Vorstand muss nicht jedes Modellparameterdetail verstehen, aber er braucht Evidenz, dass materielle KI-Use-Cases owned, reviewed und controlled sind.
Eine starke Antwort ist konkret, aktuell und belegt; eine schwache Antwort bleibt bei Policy, Projektstatus oder Provider-Verantwortung stehen.
Management-Report-Panel
Kalibrierung der Antwortqualität
Der RAG-Status kalibriert die Qualität der Antwort. Er bewertet nicht die Institution.
Wer antworten sollte
Accountability-Hinweis:
Technology kann die Plattform besitzen. Das Business besitzt den Decision Impact. Kontrollfunktionen müssen die Antwort challengen können. Internal Audit muss die Evidenz prüfen können.
Nachweise, die der Vorstand anfordern sollte
- 01KI-Use-Case-Inventory
- 02Risk Classification je Use Case
- 03Ownership Map
- 04Data Classification und Permitted-Use View
- 05Human Oversight Design
- 06AI Literacy Evidence by Role
- 07Exception-, Override- und Incident Log
- 08Third-Party Dependency Map
- 09Board Reporting Dashboard
- 10Decision Log für Scale, Restrict, Retrain oder Retire
Warnsignale
Die folgenden Antworten können beruhigend klingen, sind aber noch nicht decision-grade:
- „Wir haben eine KI-Policy.“
- „Das wird von IT gesteuert.“
- „Der Provider ist verantwortlich.“
- „Das Tool wird nur intern genutzt.“
- „Bisher ist nichts passiert.“
- „Wir haben keine High-Risk-AI-Use-Cases.“
- „Training wurde abgeschlossen.“
- „Das wird in der Umsetzung geklärt.“
Keine dieser Aussagen ist notwendigerweise falsch.
Sie sind nur keine ausreichende Evidenz für Board-Level Reliance.
Weg zu Green
Die Antwort wird erst GRÜN, wenn der Vorstand sehen kann:
- wo KI eingesetzt wird und welche Use Cases materiell sind;
- wer jeden Use Case und jeden Decision Impact owns;
- welche Human Review erforderlich ist und belegt wird;
- welche Daten-, Modell- und Provider-Abhängigkeiten bestehen;
- welche Exceptions, Overrides und Incidents überwacht werden;
- wer entscheiden kann, den Use Case zu skalieren, einzuschränken, neu zu trainieren oder zu stoppen.
GRÜN ist kein Policy-Status.
GRÜN ist ein Evidenz-Status.
Empfohlene nächste Frage
Welcher KI-Use-Case würde das größte Accountability-Problem erzeugen, wenn ein Kunde, Prüfer oder Aufseher morgen eine Erklärung verlangt?
Ausgewählte Quellenbasis
- ECB Banking Supervision, “Technology is neutral, governance is not: AI adoption in the banking sector”, February 2026.
- ECB Banking Supervision, Supervisory priorities 2026–28.
- ECB Banking Supervision, “ECB streamlines supervisory guidance to improve clarity and transparency”, June 2026.
- European Commission, AI Literacy Questions & Answers.
- ESMA, Public Statement on AI and investment services, May 2024.
Expert Commentary — 4 Min. Lesezeit
KI-Aufsicht wird häufig so diskutiert, als sei die zentrale Frage, ob eine Institution eine KI-Policy, ein KI-Komitee oder ein KI-Inventory hat.
Diese Elemente sind wichtig. Aber sie sind nicht der Endpunkt.
Für einen Vorstand ist die relevante Frage, ob Oversight in der Praxis belegbar ist. Das entspricht der aktuellen Aufsichtsrichtung der EZB zu KI. Die EZB-Supervisory-Priorities 2026–28 sagen, dass Banken, die neue Technologien, insbesondere KI, nutzen, Strategien haben sollten, die Chancen und Risiken abbilden, und robuste Governance sowie Risk Controls etablieren sollten.
Der EZB-Entwurf eines Governance-and-Risk-Culture-Guides aus 2024 nutzte ebenfalls eine Good-Practice- und Red-Flag-Struktur für Governance-Bewertungen. Im Juni 2026 kündigte die EZB an, dass dieser Entwurf durch einen Good-Practices-Report ersetzt werden soll, der für das erste Quartal 2027 geplant ist. Der relevante Punkt für dieses Briefing ist daher nicht der Rechtsstatus des Entwurfs, sondern die Managementlogik: Governance muss in der Praxis sichtbar sein, nicht nur in Policies beschrieben werden.
Das ist wichtig, weil KI den Evidenzstandard verändert.
In einem klassischen Technologieprozess kann ein Vorstand fragen, ob ein System genehmigt ist, ob Kontrollen existieren und ob die relevante Funktion den Prozess besitzt. In einem KI-gestützten Prozess reichen dieselben Fragen nicht mehr aus. Der Vorstand muss zusätzlich verstehen, was das KI-System tut, welche Entscheidung oder welchen Workflow es unterstützt, wo menschliches Urteil erforderlich bleibt, wer kompetent ist, den Output zu prüfen, und ob Exceptions sichtbar sind.
Deshalb ist „Das liegt bei IT“ keine board-grade Antwort.
Technology kann die Plattform steuern. Aber der Decision Impact liegt dort, wo der Use Case Arbeit, Urteil, Kommunikation, Kontrolle oder Kundeninteraktion verändert. Wenn ein KI-Tool einen Kreditprozess, einen Fraud-Prozess, einen Investment-Service-Prozess, eine Kontrollprüfung, eine Rechtsbewertung oder Kundenkommunikation unterstützt, kann Ownership nicht auf Systemadministration reduziert werden.
ESMA hat denselben Punkt für Investment Services gesetzt. In ihrem Public Statement zu KI und Investment Services sagt ESMA, dass Firmen, die KI bei Investment Services einsetzen, weiterhin MiFID-II-Anforderungen zu Organisation, Conduct und Best Interest erfüllen müssen.
Das ist die praktische Logik hinter dem RAG-Panel.
Eine GRÜNE Antwort ist nicht stark, weil sie anspruchsvoll klingt. Sie ist stark, weil sie konkret ist.
Eine GELBE Antwort kann in die richtige Richtung gehen, ist aber noch nicht verlässlich genug für Board Reliance. Die Institution hat vielleicht ein Inventory, aber eingebettete KI in Drittanbieter-Tools fehlt. Sie hat vielleicht Training, aber nicht rollenbasiert. Sie hat vielleicht eine Policy, aber kein Exception Log. Sie hat vielleicht Use-Case Approval, aber keine klare Decision Rule für Skalierung oder Stopp.
Eine ROTE Antwort ist anders. Sie ist nicht zwingend falsch. Sie reicht nur nicht aus.
Diese Unterscheidung ist besonders wichtig unter dem EU AI Act. Die Europäische Kommission erklärt, dass Article 4 seit dem 2. Februar 2025 gilt und Aufsichts- sowie Enforcement-Regeln ab dem 3. August 2026 greifen.
Die Governance-Schlussfolgerung ist klar. KI-Aufsicht ist kein Dokument.
Sie ist eine Accountability Chain.
Diese Kette beginnt mit Inventory und Classification. Sie führt über Ownership, Data Governance, Human Review, Literacy, Monitoring, Exceptions und Decision Rights. Sie endet mit Board-Level Evidence, dass die Institution erklären kann, wie KI genutzt wird und wie sie controlled bleibt.
Die richtige Vorstandsfrage lautet daher nicht, ob KI genutzt wird. Sie lautet, ob der Vorstand sich auf die Antwort verlassen kann. Und Reliance erfordert Evidenz.