Zurück zur Inhaltsseite

      Künstliche Intelligenz (KI) revolutioniert Geschäftsprozesse, Entscheidungsfindung und Kundeninteraktion. Mit der KI-Transformation gehen einige Risiken einher: Datenschutzverletzungen, algorithmische Verzerrungen, ethische Dilemmata und regulatorische Sanktionen. Unter einer AI Compliance werden alle Maßnahmen erfasst, die einen rechtskonformen, ethisch vertretbaren und verantwortungsvollen Einsatz von KI-Systemen gewährleisten.

      Mit dem EU AI Act und weiteren regulatorischen Vorgaben, beispielsweise der Datenschutz-Grundverordnung (DSGVO), dem Digital Operational Resilience Act (DORA) und den BaFin-Leitlinien, entstehen klare Pflichten für Finanzunternehmen. Diese umfassen unter anderem Risikoklassifizierung, Dokumentation, Governance-Strukturen sowie Monitoringpflichten für KI-Anwendungen, um deren Überprüfbarkeit, Nichtdiskriminierung und verantwortungsvollen Einsatz sicherzustellen.

      Bereit für ein Gespräch? Kontaktieren Sie uns

      Unser umfassendes Serviceangebot

      AI Governance

      Der verantwortungsvolle und gesetzeskonforme Einsatz von KI erfordert klare Strukturen, Prozesse und Verantwortlichkeiten. Mit unserem ganzheitlichen Ansatz unterstützen wir Unternehmen dabei, die Anforderungen des EU AI Act und weiterer regulatorischer Vorgaben effizient zu erfüllen, ohne ihre Innovationsfähigkeit einzuschränken.

      Unser strukturierter und praxisnaher Weg ermöglicht es, Compliance sicherzustellen und gleichzeitig neue Chancen für Wachstum und Wettbewerbsvorteile zu nutzen. 

      Das sind unsere Kernbausteine:
       

      Verankerung der Verantwortung in einer unabhängigen Einheit

      Wir unterstützen dabei, eine zentrale, unabhängige Governance-Funktion als Single Point of Accountability für alle KI-bezogenen Themen zu etablieren. Diese Einheit schafft Klarheit und Verantwortlichkeit, sorgt für Transparenz, konsistente Prozesse und die Einhaltung regulatorischer Anforderungen – und hilft, Vertrauen in KI-Initiativen aufzubauen.

      Überwachungs- und Gremienstrukturen

      Zur Sicherstellung einer kontinuierlichen Kontrolle unterstützen wir bei der Einrichtung von Überwachungsgremien und Steuerungsausschüsse. Diese Strukturen ermöglichen eine regelmäßige Bewertung von Risiken, die Freigabe neuer Use Cases und die Abstimmung mit Datenschutz, IT-Sicherheit und Fachbereichen.

      Gestaltung von Richtlinien und Standards
      • Definition von KI-Nutzungsrichtlinien für alle Unternehmensbereiche
      • Regelwerke für Risikobewertung und Modellvalidierung
      • Prozesse für Audit- und Compliance-Prüfungen

      Verankerung der Verantwortung in einer unabhängigen Einheit

      Wir unterstützen dabei, eine zentrale, unabhängige Governance-Funktion als Single Point of Accountability für alle KI-bezogenen Themen zu etablieren. Diese Einheit schafft Klarheit und Verantwortlichkeit, sorgt für Transparenz, konsistente Prozesse und die Einhaltung regulatorischer Anforderungen – und hilft, Vertrauen in KI-Initiativen aufzubauen.

      Überwachungs- und Gremienstrukturen

      Zur Sicherstellung einer kontinuierlichen Kontrolle unterstützen wir bei der Einrichtung von Überwachungsgremien und Steuerungsausschüsse. Diese Strukturen ermöglichen eine regelmäßige Bewertung von Risiken, die Freigabe neuer Use Cases und die Abstimmung mit Datenschutz, IT-Sicherheit und Fachbereichen.

      Gestaltung von Richtlinien und Standards

      • Definition von KI-Nutzungsrichtlinien für alle Unternehmensbereiche
      • Regelwerke für Risikobewertung und Modellvalidierung
      • Prozesse für Audit- und Compliance-Prüfungen

      AI Compliance Lifecycle

      Ein strukturierter Lebenszyklus für KI-Compliance ist die Grundlage für den verantwortungsvollen und gesetzeskonformen Einsatz von KI-Systemen.

      Ohne klare Prozesse zum Erkennen, Registrieren und Bewerten von KI-Anwendungen besteht die Gefahr von „versteckter“ KI-Nutzung, regulatorischen Verstößen und mangelnder Transparenz.

      Der EU AI Act verlangt eine systematische Kontrolle aller eingesetzten KI-Systeme, insbesondere bei Hochrisiko-Anwendungen.

      Unser Ansatz umfasst vier zentrale Schritte:


      Erkennen und Identifizieren

      Wir unterstützen bei dem automatisierten Erkennen von KI-Komponenten in allen Systemen – etwa durch IT-Monitoring und gezielte Analysen. Ergänzend sorgt ein verpflichtender Meldeprozess für neue KI-Anwendungen dafür, dass eine versteckte Nutzung vermieden wird und Unternehmen die vollständige Übersicht behalten.

      Klassifizieren

      Wir unterstützen Sie bei der Risikoeinstufung Ihrer KI-Systeme, von verbotenen über hochriskante bis hin zu minimal riskanten Anwendungen. Mithilfe von Self-Assessments und Entscheidungsmatrizen kann die Einstufung nachvollziehbar dokumentiert werden, auch bei der erneuten Klassifizierung bei Systemänderungen.

      Registrieren

      Alle identifizierten KI-Systeme werden in einem zentralen Register erfasst, idealerweise automatisiert und integriert in die bestehenden IT-Service-Management-Prozesse. So entsteht eine belastbare Datenbasis für Governance, Risikoanalysen und Audits.

      Prüfen und Absichern

      Abschließend gleichen wir Ihre KI-Systeme mit den regulatorischen Anforderungen ab, etwa aus dem EU AI Act, DORA, ISO/IEC 42001 oder internen Richtlinien. Durch strukturierte Maßnahmenkataloge und die Integration in Ihr bestehendes Compliance-Management-System sorgen wir für eine lückenlose und effiziente Prüfung.

      Erkennen und Identifizieren

      Wir unterstützen bei dem automatisierten Erkennen von KI-Komponenten in allen Systemen – etwa durch IT-Monitoring und gezielte Analysen. Ergänzend sorgt ein verpflichtender Meldeprozess für neue KI-Anwendungen dafür, dass eine versteckte Nutzung vermieden wird und Unternehmen die vollständige Übersicht behalten.

      Klassifizieren

      Wir unterstützen Sie bei der Risikoeinstufung Ihrer KI-Systeme, von verbotenen über hochriskante bis hin zu minimal riskanten Anwendungen. Mithilfe von Self-Assessments und Entscheidungsmatrizen kann die Einstufung nachvollziehbar dokumentiert werden, auch bei der erneuten Klassifizierung bei Systemänderungen.

      Registrieren

      Alle identifizierten KI-Systeme werden in einem zentralen Register erfasst, idealerweise automatisiert und integriert in die bestehenden IT-Service-Management-Prozesse. So entsteht eine belastbare Datenbasis für Governance, Risikoanalysen und Audits.

      Prüfen und Absichern

      Abschließend gleichen wir Ihre KI-Systeme mit den regulatorischen Anforderungen ab, etwa aus dem EU AI Act, DORA, ISO/IEC 42001 oder internen Richtlinien. Durch strukturierte Maßnahmenkataloge und die Integration in Ihr bestehendes Compliance-Management-System sorgen wir für eine lückenlose und effiziente Prüfung.

      AI Comliance Livecycle

      Grundrechtefolgenabschätzung

      Mit dem Inkrafttreten des EU AI Acts wird die Grundrechtefolgenabschätzung (GRFA) zur Pflicht für alle Unternehmen, die hochriskante KI-Systeme einsetzen, etwa in der Kreditvergabe, Betrugserkennung oder Risikobewertung. Ziel ist es, Risiken für Grundrechte wie Datenschutz, Gleichbehandlung und Transparenz frühzeitig zu erkennen und zu minimieren.

      Zusätzlich zur Grundrechtefolgenabschätzung bei der Nutzung hochriskanter KI-Systeme, schreibt die DSGVO bei datenverarbeitenden Anwendungen eine Datenschutzfolgenabschätzung (DSFA) vor. Beide Verfahren dienen dem Schutz von Individuen – beispielsweise vor Diskriminierung, Datenmissbrauch und intransparenten Entscheidungen. In der Praxis lassen sich GRFA und DSFA effizient kombinieren.

      Relevanz einer systematischen KI-Compliance

      Die parallele Durchführung von GRFA und DSFA ermöglicht eine ganzheitliche Bewertung der Risiken, die von KI-Systemen ausgehen, sowohl in Bezug auf Grundrechte als auch auf personenbezogene Daten. Sie schafft Klarheit gegenüber Aufsichtsbehörden, minimiert Haftungsrisiken und stärkt das Vertrauen von Kunden:innen und Mitarbeitenden. 

      Unsere Unterstützung

      Wir bieten ein integriertes Vorgehen, das beide Anforderungen systematisch abdeckt:

      • Scoping und Risikoanalyse: Identifikation relevanter KI-Systeme und Bewertung ihrer Auswirkungen auf Grundrechte und Datenschutz.
      • Methoden und Templates: Einsatz bewährter Bewertungsraster, Entscheidungsmatrizen und Dokumentationsvorlagen.
      • Interdisziplinäre Expertise: Zusammenarbeit von Jurist:innen, Datenschutzbeauftragten und KI-Expert:innen.
      • Auditfähigkeit und Nachweisführung: Erstellung prüffähiger Unterlagen für interne Governance und externe Audits.
      • Toolgestützte Umsetzung: Nutzung digitaler Plattformen zur strukturierten Durchführung und Nachverfolgung.

      Unser Alleinstellungsmerkmal: KPMG Trusted AI Framework

      Das KPMG Trusted AI Framework ist unser globaler Ansatz für verantwortungsvolle, sichere und regelkonforme KI-Nutzung. Es wurde entwickelt, um Unternehmen dabei zu unterstützen, KI-Systeme ethisch, transparent und compliant einzusetzen – im Einklang mit internationalen ISO-Standards, dem NIST AI Risk Management Framework und regulatorischen Vorgaben wie dem EU AI Act. Dabei ist das Trusted AI Framework modular aufgebaut und integriert mehrere Enabler:

      • Steuerungsmechanismen für Risiken mit dem AI Control Framework
      • Methoden und Templates für Assessments mit dem Responsible AI Toolkit
      • Überblick über regulatorische Anforderungen dank der Compliance Heatmap
      • Leitlinien für Organisation und Prozesse durch den AI Governance Blueprint
      • Bewertungsraster für Risiken mit der Trusted AI Risk & Control Matrix
      Trusted AI

      AI Security

       Mehr Sicherheit für die Finanzbranche in Zeiten künstlicher Intelligenz (KI)

      Mehr erfahren

      Ihre Ansprechpersonen