KI-Governance nach BaFin-Orientierungshilfe: Was HR- und bAV-Verantwortliche bis August 2026 umsetzen müssen

Die neue Realität: KI als geschäftskritische Infrastruktur

Die aktuelle WTW-Studie zeigt das Ausmaß der Transformation: Über 80 Prozent der deutschen Unternehmen setzen bereits KI-Tools in der betrieblichen Altersversorgung ein oder testen diese aktiv. Dabei geht es nicht mehr um theoretische Zukunftsszenarien, sondern um operative Realität bei der Betreuung von 2,2 Millionen Mitarbeitenden und Rentnern.

Die Anwendungsfelder sind vielfältig:

• Digitale Assistenten für HR- und bAV-Anfragen (25% der Unternehmen)
• KI-gestütztes Wissensmanagement (20% der Unternehmen)
• Sachbearbeitung und Datenprüfung (noch begrenzt, aber stark wachsend)
• Self-Service-Angebote für Anwärter und Rentner

Besonders bemerkenswert: Knapp die Hälfte der Unternehmen plant bereits konkrete Expansionen ihrer KI-Services. Dr. Claudio Thum von WTW bringt es auf den Punkt: "KI ist in der bAV längst kein Zukunftsthema mehr, sondern wird schon heute breiter eingesetzt als noch vor einem Jahr."

BaFin-Anforderungen: Drei Säulen der KI-Governance

Säule 1: Strategische Verankerung auf Leitungsebene

Die BaFin macht unmissverständlich klar: KI-Governance ist Chefsache. Institute müssen eine KI-Strategie entwickeln, die direkt an der Gesamtstrategie, Risikostrategie und DORA-Strategie ausgerichtet ist. Das Leitungsorgan trägt die Letztverantwortung und muss über ausreichende KI-Kenntnisse verfügen.

Konkrete Handlungsfelder:

• Entwicklung einer vom Vorstand/Geschäftsführung genehmigten KI-Strategie
• Integration in bestehende Risikostrategien
• Aufbau von KI-Kompetenz auf Führungsebene
• Definition klarer KI-Governance-Prinzipien

Säule 2: Organisatorische Einbettung in bewährte Strukturen

Statt neue, parallele KI-Organisationen zu schaffen, fordert die BaFin die Einbettung in das etablierte Three-Lines-of-Defense-Modell:

Erste Verteidigungslinie: Fachbereiche und IT übernehmen operative Verantwortung für Entwicklung, Betrieb und Nutzung von KI-Systemen.

Zweite Verteidigungslinie: Risikomanagement, Compliance und Informationssicherheit definieren Rahmenbedingungen, prüfen Einhaltung und bewerten Risiken.

Dritte Verteidigungslinie: Interne Revision führt unabhängige Prüfungen der KI-Governance-Wirksamkeit durch.

Säule 3: Lebenszyklus-orientierte Governance

Die BaFin stellt klar: IKT-Risiken entstehen nicht durch einmalige Implementierung, sondern durch die dauerhafte Einbindung von KI-Systemen. Einmalige Prüfungen oder Freigaben reichen nicht aus.

Kritische Phasen:

• Entwicklung und Testing
• Implementierung und Go-Live
• Betrieb und kontinuierliches Monitoring
• Stilllegung und Exit-Strategien

Regulatorischer Countdown: August 2026 als kritischer Stichtag

Ab dem 2. August 2026 gelten die Regeln für Hochrisiko-KI-Systeme nach der EU-KI-Verordnung in voller Breite. Für HR- und bAV-Bereiche sind besonders relevant:

Hochrisiko-Klassifizierung betrifft viele bAV-Anwendungen

Typische Hochrisiko-KI in HR/bAV:

• Kreditwürdigkeitsprüfungen und Scoring
• KI-gestützte Personalauswahl
• Betrugserkennung
• Automatisierte Entscheidungssysteme in der Leistungsbearbeitung

Compliance-Anforderungen für Betreiber

Pflichtprogramm ab August 2026:

• Risikomanagementsystem einrichten und kontinuierlich weiterentwickeln
• Datenqualität und Data Governance prüfen und dokumentieren
• Vollständige technische Dokumentation erstellen
• Monitoring-Prozesse definieren und operationalisieren
• Wirksame menschliche Aufsicht sicherstellen
• Konformitätsbewertung durchführen (intern oder extern)
• KI-Systeme in EU-Datenbank registrieren

Handlungsempfehlungen: Jetzt die Weichen stellen

Sofortmaßnahmen (Q1 2026)

1. Bestandsaufnahme und Risikobewertung

• Inventarisierung aller KI-Anwendungen in HR/bAV
• Klassifizierung nach Risikolevels der KI-Verordnung
• Identifikation von Hochrisiko-Systemen

2. Governance-Strukturen etablieren

• KI-Verantwortlichkeiten in Three-Lines-of-Defense definieren
• KI-Strategie entwickeln und vom Leitungsorgan genehmigen lassen
• Schulungsprogramm für Führungskräfte starten

Mittelfristige Umsetzung (Q2-Q3 2026)

3. Dokumentation und Compliance vorbereiten

• Technische Dokumentation für Hochrisiko-KI erstellen
• Risikomanagementsystem implementieren
• Monitoring- und Audit-Prozesse entwickeln

4. Datengovernance optimieren

• Datenqualitätsmanagement für KI-Training etablieren
• DSGVO-Compliance für KI-Datenverarbeitung sicherstellen
• Pseudonymisierungsstrategien entwickeln

Finalisierung (bis August 2026)

5. Compliance-Readiness sicherstellen

• Konformitätsbewertungen durchführen
• EU-Datenbankregistrierung vorbereiten
• Interne Kontrollsysteme testen
• Exit-Strategien für kritische KI-Systeme dokumentieren

Checkliste: KI-Governance-Readiness

• KI-Bestandsaufnahme durchgeführt
• Hochrisiko-KI-Systeme identifiziert
• KI-Strategie vom Leitungsorgan genehmigt
• Three-Lines-of-Defense für KI etabliert
• Technische Dokumentation erstellt
• Risikomanagementsystem implementiert
• Monitoring-Prozesse operationalisiert
• Menschliche Aufsicht sichergestellt
• Konformitätsbewertung geplant
• EU-Registrierung vorbereitet
• Exit-Strategien dokumentiert

Ausblick: Datenschutz-Reformen und Digital Omnibus

Das Digital-Omnibus-Paket der EU-Kommission könnte mittelfristig Erleichterungen bringen, insbesondere bei der Datenverarbeitung für KI-Training auf Basis berechtigter Interessen. Auch eine mögliche Verschiebung der KI-Verordnungsfristen um bis zu 16 Monate steht im Raum. Unternehmen sollten jedoch konservativ planen und den August-2026-Termin als verbindliche Zielmarke betrachten.

Die Transformation ist unvermeidlich: KI wird von der experimentellen Innovation zur regulierten Geschäftsinfrastruktur. Wer jetzt strategisch und systematisch vorgeht, kann die Compliance-Anforderungen nicht nur erfüllen, sondern KI als nachhaltigen Wettbewerbsvorteil etablieren.

KEYWORDS: KI-Governance, BaFin-Orientierungshilfe, betriebliche Altersversorgung, DORA-Compliance, KI-Verordnung