KI-Beratung für Finanzdienstleister: GenAI-Integration mit eingebetteter Compliance — von Anfang an
Banken, Versicherungen und FinTechs wollen GenAI nutzen — aber Compliance, Datenschutz und DORA stellen Hürden dar, die ohne strukturierte Governance schnell zum Projektstopp führen. Ich verbinde GenAI-Konzeption (Chatbot, RAG, LangChain) mit dem regulatorischen Kontext (DORA, MaRisk, BAIT, VAIT, EU AI Act, DSGVO) und schaffe die Grundlage für AI-Projekte, die interne und externe Prüfungen bestehen — als Business Analyst und Projektmanager auf der Brücke zwischen Innovation und Regulierung.
Typische Situationen
- Finanzinstitut möchte einen internen KI-Assistenten einführen, aber Compliance und Datenschutzbeauftragter haben noch nicht zugestimmt
- GenAI-Pilot läuft, aber DORA-Anforderungen für IKT-Risiko und Third-Party-Risk wurden nicht berücksichtigt
- Regulierungsbehörde (BaFin) hat Fragen zu KI-gestützten Entscheidungsprozessen — Dokumentation fehlt oder ist unzureichend
- Bank möchte RAG-basierte Policy-Suche einführen, aber Datenflüsse und Modellauswahl sind noch nicht compliance-gerecht dokumentiert
- EU AI Act tritt in Kraft — Finanzinstitut hat keine Risikoklassifizierung für bestehende KI-Systeme durchgeführt
- IT-Abteilung hat LangChain-PoC entwickelt, aber MaRisk-Anforderungen an Modell-Governance und Auditierbarkeit sind offen
- Versicherung möchte Underwriting-Prozesse mit GenAI unterstützen — VAIT-Anforderungen und DSGVO-Clearance ausstehend
Deliverables
Steuerung & Governance
KI-Projektsteuerung im regulierten Umfeld: Strukturierte Steuerung von KI-Projekten in Finanzinstituten — von der Use-Case-Priorisierung und Compliance-Clearance über Sprint-Reviews und regulatorische Meilensteine bis zur Go-live-Freigabe. Entscheidungsvorlagen für Vorstand, Compliance-Gremien und IT-Governance-Ausschüsse. DORA-konformes Change-Management.
Modell & Prompt Governance (MaRisk-konform): Versionierte Prompt-Bibliothek, dokumentierte Modellentscheidungen (Anbieter, Modell-Version, Fine-Tuning-Rationale), API-Nutzungsmonitoring und Token-Kostensteuerung. RAID-Log mit KI-spezifischen Risiken (Halluzinationen, Vendor Lock-in, Datenlecks). Grundlage für auditierbare AI-Entscheidungen im Sinne von MaRisk AT 7.2 und BAIT.
EU AI Act & DORA Compliance-Dokumentation: Dokumentierte Entscheidungen zur AI-Risikoklassifizierung (EU AI Act), IKT-Risiko-Bewertung (DORA), Datenschutz-Folgenabschätzung (DSGVO Art. 35) und Bias-Prüfung. Audit-fähige Unterlagen für BaFin, interne Revision und externe Prüfer — Standard in regulierten Instituten.
Regulatorische Anforderungen: DORA · EU AI Act · MaRisk · DSGVO
KI-Projekte in Finanzinstituten berühren mehrere Regulierungskreise gleichzeitig. Ich arbeite eng mit Compliance-, Datenschutz- und IT-Governance-Teams zusammen, um:
- DORA-Konformität sicherzustellen: IKT-Risiko-Bewertung für KI-Systeme, Third-Party-Risk-Dokumentation für externe Modell-Anbieter, Incident-Reporting-Prozesse
- EU AI Act Anforderungen umzusetzen: Risikoklassifizierung, Transparenzpflichten, Konformitätsbewertung für High-Risk-Systeme
- MaRisk AT 7.2 / BAIT / VAIT Anforderungen an Auslagerung und Modell-Governance zu erfüllen: Dokumentation, Monitoring, Exit-Konzepte
- DSGVO-Clearance durchzuführen: DPIA, Verarbeitungsverzeichnis, Rechtsgrundlagen-Bewertung, internationale Datentransfers (z.B. an US-Anbieter)
- Halluzinations-Risiken und Bias-Prüfungen in das regulatorische Risikomanagement zu integrieren
Projektkontexte sind anonymisiert. Rollen und Ergebnisse sind wahrheitsgetreu; Details gern nach NDA.
Projektbeispiele (anonymisiert)
Deutsches Finanzinstitut: Compliance-Chatbot mit DORA- und DSGVO-Clearance
Deutsches Finanzinstitut — KI-gestützte Compliance-Automatisierung
Herausforderung: Das Institut wollte einen RAG-basierten Chatbot für interne Compliance-Anfragen einführen. DORA-Anforderungen (IKT-Risiko, Third-Party-Risk für OpenAI), DSGVO-Clearance (DPIA) und MaRisk-Anforderungen an Auslagerungen standen der schnellen Umsetzung entgegen.
Rolle: Business Analyst und Projektmanager: regulatorisches Assessment, Anforderungsspezifikation, DORA-Konformitäts-Check, DSGVO-DPIA und Übergabe an Entwicklungsteam
Ergebnisse:
- DORA IKT-Risiko-Assessment für KI-System durchgeführt — Third-Party-Risk für OpenAI-Anbindung dokumentiert
- DSGVO DPIA erstellt und mit Datenschutzbeauftragtem abgestimmt: Rechtsgrundlage Art. 6(1)(f), kein Transfer personenbezogener Daten an Modell-Anbieter
- MaRisk-konforme Auslagerungs-Dokumentation für Cloud-Modell-Anbieter erstellt
- Chatbot-Anforderungsspezifikation mit 52 User Stories — vollständig compliance-gerecht dokumentiert
Hinweis: Die dargestellten Projektkontexte stammen aus bisherigen Rollen in Beratung und Industrie. Inhalte sind anonymisiert, Ergebnisse und Rollen sind sachlich beschrieben.
Versicherungskonzern: EU AI Act Risikoklassifizierung und RAG-Governance
DACH-Versicherungskonzern — AI Governance
Herausforderung: Der Konzern hatte mehrere KI-Pilotprojekte gestartet, aber keine systematische EU AI Act Risikoklassifizierung durchgeführt. Mit Inkrafttreten der Anforderungen drohte Compliance-Risiko für bestehende Systeme.
Rolle: Business Analyst: EU AI Act Gap-Assessment, Risikoklassifizierung bestehender KI-Systeme und Entwicklung eines Governance-Frameworks
Ergebnisse:
- EU AI Act Risikoklassifizierung für 6 KI-Systeme durchgeführt: 4x Limited Risk, 2x High Risk mit Maßnahmenplan
- Governance-Framework mit Prompt-Versionierung, Modell-Update-Prozessen und Incident-Reporting etabliert
- VAIT-konforme Dokumentation für KI-gestützte Underwriting-Unterstützung erstellt
- Roadmap zur EU AI Act Compliance mit Meilensteinen und Verantwortlichkeiten übergeben
Häufige Fragen
Verwandte Leistungen
Lassen Sie uns über Ihr Projekt sprechen
Unverbindliches Erstgespräch - Sie erhalten konkrete Einschätzungen zu Ihrem Vorhaben.
Zuletzt aktualisiert: Februar 2026