Banken setzen KI für Kreditbewertungen ein. Versicherungen für Schadensprüfung. Kanzleien für Rechtsrecherche. Treuhänder für Steuerberatung. Die Einführung von KI in regulierten Branchen ist kein Trend mehr, sondern Alltag.
Aber die Einführung unter regulatorischen Rahmenbedingungen (FINMA, DSG, EU AI Act, BGFA) folgt anderen Regeln als in unregulierten Branchen. Wer diese Regeln ignoriert, riskiert nicht nur Geld, sondern Berufslizenzen, Aufsichtsmassnahmen und Reputationsschäden.
Diese fünf Fehler sehen wir in der Praxis immer wieder.
Fehler 1: KI einführen, ohne zu wissen, wo KI bereits im Einsatz ist
Der häufigste Fehler ist gleichzeitig der grundlegendste. Viele Unternehmen beginnen, ein neues KI-Tool zu evaluieren, ohne zu wissen, welche KI-Systeme bereits im Einsatz sind.
Die Realität: Mitarbeitende nutzen ChatGPT auf Firmengeräten. Das CRM hat ein integriertes Lead-Scoring. Die Dokumentenverwaltung klassifiziert Dateien automatisch. Der Kundendienst-Chatbot auf der Website ist ein KI-System. Das Marketing-Team nutzt ein Tool zur Inhaltserstellung.
Ohne ein vollständiges KI-Inventar fehlt die Grundlage für jede weitere Massnahme. Die FINMA Guidance 08/2024 verlangt dieses Inventar explizit. Der EU AI Act setzt es voraus. Und das DSG verlangt ein Verzeichnis der Bearbeitungstätigkeiten (Art. 12), das KI-gestützte Verarbeitungen einschliessen muss.
Besser: Erstellen Sie ein KI-Inventar, bevor Sie ein neues System evaluieren. Fragen Sie jede Abteilung: «Welche Werkzeuge nutzen Sie, die automatisierte Empfehlungen, Bewertungen oder Entscheidungen generieren?» Das Ergebnis wird Sie überraschen.
Fehler 2: Den Anbieter wählen, bevor die Compliance-Anforderungen definiert sind
Technische Evaluation vor regulatorischer Analyse ist die natürliche Reihenfolge in unregulierten Branchen. In regulierten Branchen ist es die falsche.
Wer zuerst das Tool wählt und dann die Compliance prüft, steht vor einem Problem, wenn das gewählte Tool die Anforderungen nicht erfüllt. Der Anbieter ist US-basiert, aber FINMA verlangt Datenlokalisierung. Das Modell ist eine Blackbox, aber der EU AI Act verlangt Erklärbarkeit. Die Daten fliessen an Dritte, aber der DPA-Prozess ist nicht abgeschlossen.
Reihenfolge drehen: Definieren Sie zuerst die regulatorischen Anforderungen. Für ein Schweizer Finanzinstitut: FINMA-Outsourcing-Rundschreiben, DSG (besonders Art. 16-17 zur grenzüberschreitenden Datenübermittlung), EU AI Act (wenn EU-Kunden betroffen), interne IT-Sicherheitsrichtlinien. Dann evaluieren Sie Anbieter gegen diese Anforderungen. Der beste Algorithmus nützt nichts, wenn er die Compliance nicht besteht.
Fehler 3: Keine Unterscheidung zwischen «KI-gestützt» und «KI-entscheidend»
Nicht jedes KI-System hat dasselbe Risikoprofil. Eine KI, die Dokumente sortiert, ist etwas anderes als eine KI, die Kreditanträge bewertet. Beide sind KI-Systeme. Aber die regulatorischen Anforderungen sind grundverschieden.
Der EU AI Act macht diese Unterscheidung zum Gesetz: Hochrisiko-KI-Systeme (die Entscheidungen über Kreditvergabe, Versicherungsprämien, Arbeitsverhältnisse oder Rechtsfragen beeinflussen) müssen umfangreiche Anforderungen erfüllen. Systeme mit minimalem Risiko (Dokumentensortierung, Übersetzung, Zusammenfassung) unterliegen weniger oder keinen spezifischen Pflichten.
Praxis: Klassifizieren Sie jedes KI-System nach Risiko. Fragen Sie: «Beeinflusst dieses System eine Entscheidung, die Rechte oder Interessen einer Person betrifft?» Wenn ja: Hochrisiko. Wenn nein: niedrigeres Risiko. Die Compliance-Investition muss proportional zum Risiko sein. Alles gleich zu behandeln verschwendet Ressourcen. Nichts zu klassifizieren ist ein Audit-Befund.
Fehler 4: Halluzinationen ignorieren, weil das Tool «meistens richtig» liegt
Sprachmodelle halluzinieren. Sie generieren Inhalte, die plausibel klingen, aber faktisch falsch sind. In unregulierten Branchen ist das lästig. In regulierten Branchen ist es gefährlich.
Ein Anwalt, der ein erfundenes Urteil zitiert, riskiert disziplinarische Massnahmen. In den USA ist das bereits mehrfach passiert. Ein Compliance-Officer, der einen KI-generierten Regulierungsbericht mit falschen Artikelverweisen einreicht, riskiert FINMA-Aufsichtsmassnahmen. Ein Treuhänder, der eine falsche Steuerauskunft auf Basis eines KI-Ergebnisses gibt, haftet persönlich.
«Meistens richtig» ist in regulierten Branchen nicht gut genug. Der Massstab ist: «Verifizierbar richtig, jedes Mal.»
Mindeststandard: Verlangen Sie Quellenverweise. Jede KI-generierte Antwort muss auf eine überprüfbare Quelle zurückführbar sein: ein Gesetzesartikel, ein Gerichtsentscheid, ein Rundschreiben. Wenn das Tool keine Quellen nennt, ist es für professionelle Arbeit in regulierten Branchen nicht geeignet. Punkt.
Zusätzlich: Etablieren Sie einen Review-Prozess. Kein KI-Ergebnis verlässt das Unternehmen, ohne dass ein qualifizierter Mensch es geprüft hat. Das ist keine Schwäche der KI. Das ist der professionelle Standard.
Fehler 5: Datenschutz als nachgelagertes Problem behandeln
«Wir klären den Datenschutz später.» Dieser Satz fällt in fast jedem Evaluationsprojekt. Und fast immer führt er zu Problemen.
Datenschutz ist kein Feature, das man nachträglich einbaut. Es ist eine Grundbedingung. Das DSG verlangt Privacy by Design (Art. 7): Die Verarbeitung muss von Anfang an so gestaltet sein, dass Datenschutzprinzipien eingehalten werden. Nicht «von Anfang an, sobald wir dazu kommen». Von Anfang an.
Konkret bedeutet das: Bevor Mitarbeitende das erste Mal eine Anfrage in ein KI-Tool eingeben, müssen die folgenden Fragen beantwortet sein:
- Wohin fliessen die eingegebenen Daten?
- Werden sie für das Training des Modells verwendet?
- Wer hat Zugriff auf die Eingaben und Ergebnisse?
- Wo werden sie gespeichert und wie lange?
- Ist ein Auftragsbearbeitungsvertrag (Art. 9 DSG) abgeschlossen?
- Findet eine grenzüberschreitende Datenübermittlung statt (Art. 16-17 DSG)?
Von Anfang an: Integrieren Sie die Datenschutzprüfung in den Evaluationsprozess von Tag eins. Nicht als Hindernis, sondern als Qualitätskriterium. Ein Anbieter, der diese Fragen nicht klar beantworten kann, ist nicht bereit für regulierte Branchen.
Fazit
Die Einführung von KI in regulierten Branchen ist kein technisches Projekt. Es ist ein Governance-Projekt mit technischer Komponente. Die Technik ist der einfache Teil. Die Compliance, die Prozesse und die Verantwortlichkeiten sind der schwierige Teil.
Unternehmen, die diese fünf Fehler vermeiden, sparen nicht nur Kosten und Risiken. Sie bauen auch das Vertrauen ihrer Kunden und Aufsichtsbehörden auf, das in regulierten Branchen die eigentliche Währung ist.
Weitere Informationen: montvirtua.com
Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar.