Digitale Souveränität und KI im europäischen Finanzsektor

Regulierung als Leitplanke für Innovation

Inzwischen gelten zahlreiche Regeln für die Entwicklung und den Einsatz von KI-Lösungen in der Wirtschaft. Kern der europäischen Regulierung ist der EU AI Act. Er ordnet die Systeme in Risikoklassen ein und gibt an, welche Anwendungen akzeptabel sind und welche nicht. Systeme mit hohem Risiko unterliegen strengen Auflagen wie Dokumentation, Überwachung und transparenter Nachvollziehbarkeit. Modelle, die Entscheidungen vorbereiten oder Prozesse automatisieren, benötigen klare Abläufe und eine Form menschlicher Kontrolle.

Ergänzend regelt die Datenschutz-Grundverordnung (DSGVO) den Umgang mit personenbezogenen Daten und verlangt eine Zweckbindung. Darüber hinaus gibt es einige zusätzliche Verordnungen für regulierte Branchen wie den Finanzsektor. Die EU-Verordnung zu Finanzdaten (FiDA) soll den Austausch von Finanzdaten erleichtern und stärkt die Datenhoheit. Der Digital Operational Resilience Act (DORA) schafft eine Basis für digitale Resilienz und verpflichtet Finanzinstitute dazu, Cyberrisiken systematisch zu kontrollieren.

Diese Vorgaben definieren einen klaren Rahmen, der Orientierung beim sicheren Einsatz neuer Technologien bietet. So reicht beispielsweise der EU AI Act tief in die Ausgestaltung von KI-gestützten Prozessen hinein. Ein Beispiel: Sie können weitgehend autonom bestimmte Prozesse abarbeiten. Doch die Kontrolle durch Menschen bleibt ein zentraler Punkt, denn der AI Act verlangt: Kritische Entscheidungen dürfen nicht vollständig automatisiert ablaufen. Das nennt sich auch Human-in-the-Loop-Prinzip. Es trägt dazu bei, Vertrauen in automatisierte Abläufe zu schaffen.

Abhängigkeit von Cloud-Anbietern

Ein weiterer Aspekt der digitalen Souveränität ist die Tatsache, dass KI-Modelle normalerweise in der Cloud betrieben werden. Laut dem KPMG Cloud-Monitor 2025 – Financial Services nutzen 97 Prozent der Finanzunternehmen dafür die Cloud-Services der Hyperscaler, die ihren Hauptsitz in den USA haben.

Ein zusätzliches Risiko: FISA Section 702, eine Schlüsselbestimmung des Foreign Intelligence Surveillance Act (FISA) sowie den Clarifying Lawful Overseas Use of Data Act (CLOUD). Beide Regelungen zusammen erlauben die gezielte Überwachung von Personen außerhalb der USA inklusive aller in der Cloud gespeicherten Daten.

Eine rechtssichere Übermittlung personenbezogener Daten in die USA regelt das US-EU Data Privacy Framework (DPF). Danach zertifizierte US-Unternehmen verpflichten sich, die europäischen Datenschutzprinzipien einzuhalten. Doch es ist riskant, sich allein auf die formale Rechtslage zu verlassen. Hauptproblem ist die intransparente Praxis: Die Hyperscaler haben eine Mitwirkungspflicht, dürfen die Öffentlichkeit aber nicht informieren.

Es ist also nicht einfach, KI-Systeme rechtskonform zu betreiben. Zusätzliche technische Maßnahmen wie Verschlüsselung der Daten während der Übertragung und beim Speichern auf einem Datenträger oder in der Cloud sind auf jeden Fall notwendig. Empfehlenswert ist die strikte Trennung von Modellen und Daten, sodass beispielsweise die internen Daten nicht für das KI-Training genutzt werden können.

Datenqualität: Basis für verlässliche KI

Vertrauenswürdige KI hat noch einen weiteren Aspekt: die Qualität der Daten. KI benötigt Informationen und erzielt bessere Ergebnisse, wenn diese fehlerfrei, vollständig und repräsentativ sind. Unternehmen stützen ihre Prozesse daher idealerweise auf ein einheitliches Datenmodell, das vollständige Daten in Echtzeit bereithält. KI-spezifisch müssen sie dabei auf zwei Aspekte achten: Datenverzerrungen (Bias) und potenzielles Fehlverhalten der Modelle. Halluzinationen können hingegen auch bei perfekter Datenqualität auftreten. Der Grund: Large Language Models (LLM) ersetzen fehlende Informationen durch wahrscheinlich klingende Antworten. Halluzinationen sind somit eine modellimmanente technische Eigenschaft und müssen unabhängig von der Datenqualität kontrolliert werden.

„Es zeigt sich, dass digitale Souveränität weit mehr ist als eine technologische oder regulatorische Frage. Sie stärkt das Vertrauen der Kundinnen und Kunden von Finanzdienstleistern, weil sie klare Grenzen für den Umgang mit sensiblen Informationen setzt und nachvollziehbare Verfahren verlangt.“

Christoph Bräunlich, BSI Software AG

Verzerrungen entstehen durch inkonsistente Daten. KI-Systeme arbeiten auf der Basis von Wahrscheinlichkeiten und erkennen Muster in vorhandenen Daten. Dabei können Unsauberkeiten entstehen. Unternehmen benötigen deshalb Mechanismen zur Prüfung der Ergebnisse und zur Bewertung der Qualität. Das Verständnis typischer Fehlerquellen und der Aufbau interner Kompetenzen sind Voraussetzungen für den sicheren Einsatz.

Modelltransparenz und ethische Leitlinien

Es gibt aktuell mehr als zwei Millionen KI-Modelle auf Hugging Face – der tatsächliche Markt ist noch deutlich größer und wächst kontinuierlich weiter. Jedes Unternehmen muss daher für sich klären, welches KI-Modell für welchen Anwendungsfall geeignet ist. Unter dem Blickwinkel digitaler Souveränität und im Licht der schnellen Entwicklungen sind modellagnostische Architekturen vorteilhaft. Hier können Modelle bei Bedarf einfach ausgetauscht werden, ohne die darüber liegenden Prozesse zu beeinträchtigen.

Darüber hinaus sind ethische Leitlinien wichtig und sollten Teil jeder KI-Strategie werden. Denn KI greift in Entscheidungen ein, die reale Auswirkungen haben. Ein eigener Code of Conduct für KI-Systeme kann diese Grundsätze fest verankern. Es geht dabei nicht um ein starres Regelwerk, das automatisch ethisches Verhalten erzeugt. Vielmehr braucht es gemeinsam definierte Werte, wie Schadensvermeidung, Fairness, Selbstbestimmung und Transparenz, die als Orientierung für die Diskussion konkreter Fälle dienen.

Im Idealfall gelten die Grundsätze nicht allein für die Entwickler, sondern für alle Beteiligten im gesamten Ökosystem. Entsprechend ist für jedes KI-Projekt eine neue Rolle für die ethische Begleitung notwendig, etwa ein Ethics Enabler. Dieser moderiert diesen Prozess: Optimierungsvorschläge werden gemeinsam mit dem Projektteam und dem Kunden erarbeitet, und die Rolle stellt sicher, dass ethische Überlegungen frühzeitig und kontinuierlich in die Entwicklung einfließen. So wird sichergestellt, dass ethische Fragen nicht erst im Nachhinein gestellt werden, sondern von Anfang an Teil der Entwicklung sind.

Es zeigt sich, dass digitale Souveränität weit mehr ist als eine technologische oder regulatorische Frage. Sie stärkt das Vertrauen der Kundinnen und Kunden von Finanzdienstleistern, weil sie klare Grenzen für den Umgang mit sensiblen Informationen setzt und nachvollziehbare Verfahren verlangt. Kunden sehen, dass Entscheidungen auf verlässlichen Grundlagen beruhen und Menschen weiterhin eine zentrale Rolle behalten. Auf der anderen Seite können durch automatisierte Prozesse Effizienzpotenziale im Servicecenter, dem Vertrieb oder Marketing gehoben werden. Mit digitaler Souveränität und vertrauenswürdiger KI entsteht ein Umfeld, in dem Innovation möglich bleibt und gleichzeitig Kontrolle und Verlässlichkeit garantiert sind.

Über den Autor:
Christoph Bräunlich ist Head of AI bei BSI Software AG, einem führenden Anbieter von CRM- und Customer-Experience-Lösungen mit Hauptsitz in der Schweiz.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.