Künstliche Intelligenz in Deutschlands Unternehmenskontext: Aktuelle Entwicklungen zu bAV, Governance und Compliance (Dezember 2025)

Die gefährliche Kluft: KI-Adoption ohne Governance-Struktur

WTW-Studie zeigt breite bAV-KI-Nutzung bei mangelnder Kontrolle

Die Umfrage der Unternehmensberatung Willis Towers Watson, veröffentlicht am 4. Dezember 2025, zeigt ein alarmierendes Bild: Mehr als vier von fünf befragten Unternehmen nutzen bereits KI-gestützte Werkzeuge in der bAV-Administration oder prüfen deren Einsatz aktiv. Dies ist eine dramatische Steigerung gegenüber dem Vorjahr und signalisiert, dass KI in diesem Sektor längst nicht mehr als Zukunftsthema, sondern als gegenwärtige Realität zu betrachten ist.

Der Einsatz konzentriert sich überwiegend auf strukturierte Aufgaben: Ein Viertel nutzt bereits Chatbots zur Beantwortung einfacher HR- oder bAV-Anfragen, während knapp ein Fünftel KI-Projekte im Wissensmanagement vorantreibt. Besonders bemerkenswert ist die Erwartungshaltung zu zukünftigen KI-Investitionen: Knapp die Hälfte der Unternehmen arbeitet an konkreten Ausbauplänen für KI-gestützte bAV-Services.

Die erwarteten Vorteile sind klar definiert: Rund zwei Drittel erwarten Effizienzgewinne, jeder zweite Befragte sieht Potenzial für höhere Service- und Prozessqualität. Dr. Franziska Kühnemund, Senior Director Outsourcing bei WTW, warnt jedoch: "KI kann die Qualität der bAV-Services erheblich steigern, aber nur wenn Datenqualität und Governance systematisch weiterentwickelt werden."

BSI-Studie offenbart erschreckende Sicherheitslücken

Ein erheblicher Kontrast zur optimistischen WTW-Studie wird durch die BSI-Analyse vom November 2025 offenbart. Die globale Studie über 100 Geschäftsberichte multinationaler Konzerne und zwei Befragungen von mehr als 850 Führungskräften zeigt eine gefährliche Kluft zwischen öffentlichen Versprechen und tatsächlicher Umsetzung.

Die deutschen Ergebnisse sind besonders besorgniserregend:

• 61% der deutschen Führungskräfte wollen KI-Investitionen erhöhen
• Nur 25% haben überhaupt ein KI-Sicherheitskonzept
• Nur 18% verbieten eigenmächtige KI-Nutzung durch Mitarbeitende
• Nur 31% wissen, mit welchen Daten ihre KI-Systeme trainiert werden

Diese Zahlen bedeuten faktisch, dass in der Mehrheit der deutschen Unternehmen unkontrollierter KI-Einsatz durch einzelne Abteilungen Normalität ist – ein Umstand, der massive Datenschutz- und Sicherheitsrisiken mit sich bringt.

BaFin verschärft regulatorischen Druck dramatisch

DORA-Orientierungshilfe vom 18. Dezember 2025

Die Bundesanstalt für Finanzdienstleistungsaufsicht hat vor weniger als 48 Stunden eine umfangreiche Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen veröffentlicht. Dies ist hochgradig bedeutsam für alle beaufsichtigten Finanzunternehmen, einschließlich Pensionskassen und Pensionsfonds.

Die Orientierungshilfe betrachtet IKT-Risiken entlang des gesamten KI-Lebenszyklus: von der Datenbeschaffung über Modellentwicklung bis zu Betrieb und Stilllegung. Besonderes Augenmerk liegt auf dem IKT-Risikomanagement und dem IKT-Drittparteienrisikomanagement. Die BaFin betont, dass die Sicherheit und Resilienz eines KI-Systems in jeder Phase gewährleistet sein muss.

Kritisch: Diese Guidance ist nicht fakultativ. Sie fungiert als Referenzdokument für Compliance-Prüfungen und aufsichtliche Maßnahmen. Unternehmen müssen eine umfassende Risikoanalyse über den gesamten KI-Lebenszyklus durchführen.

Vollständige DORA-Umsetzung bis 2026 erwartet

In einer Online-Veranstaltung am 4. Dezember 2025 betonten BaFin-Vertreter die anhaltend hohe Gefährdung der IT-Resilienz von Finanzunternehmen. Die klare Botschaft: Spätestens ab 2026 wird grundsätzlich eine vollständige Umsetzung der DORA-Anforderungen erwartet. Offene DORA-Projekte wirken sich bei aufsichtlichen Prüfungen nicht strafmildernd aus.

Bereits am 18. November 2025 haben die europäischen Aufsichtsbehörden eine Liste mit 18 als kritisch identifizierten IKT-Dienstleistern veröffentlicht. Diese haben aufgrund ihrer Marktstellung potentiell gravierende Auswirkungen auf die Finanzmarktstabilität.

Praktische Handlungsempfehlungen für HR und Compliance

Sofortmaßnahmen für KI-Governance

Checkliste: KI-Governance-Basics

• Vollständige Inventarisierung aller genutzten KI-Tools (auch Schatten-IT)
• Erstellung eines KI-Sicherheitskonzepts mit Risikoanalyse
• Implementierung von Genehmigungsprozessen für neue KI-Tools
• Definition klarer Regeln für den Umgang mit vertraulichen Daten
• Entwicklung von Notfallplänen für KI-Ausfälle
• Dokumentation aller KI-Prozesse und Entscheidungsgrundlagen

Compliance-Maßnahmen für DORA und EU AI Act

Unternehmen müssen ihre KI-Systeme entlang des gesamten Lebenszyklus überwachen. Dies umfasst:

1. Datenbeschaffung: Transparenz über Trainingsdaten sicherstellen
2. Modellentwicklung: Nachvollziehbarkeit von Algorithmen gewährleisten
3. Deployment: Sichere Implementierung mit Kontrollen
4. Betrieb: Kontinuierliches Monitoring und Risikobewertung
5. Stilllegung: Ordnungsgemäße Dekommissionierung

Mitarbeiterqualifizierung als kritischer Erfolgsfaktor

Die BSI-Studie zeigt: 70% der Führungskräfte glauben, kritischen KI-Umgang vermitteln zu können, aber nur 36% bieten spezielle KI-Schulungen an. Diese Diskrepanz muss behoben werden durch:

• Systematische KI-Kompetenzentwicklung auf allen Hierarchieebenen
• Regelmäßige Updates zu regulatorischen Anforderungen
• Praxisnahe Schulungen zu Datenschutz und Sicherheitsrisiken
• Klare Eskalationswege bei KI-bezogenen Problemen

Ausblick: KI-Integration zwischen Innovation und Compliance

Die kommenden Monate werden entscheidend für die deutsche Unternehmenslandschaft. Während KI-Systeme in der bAV massive Effizienzgewinne versprechen, erfordern die neuen regulatorischen Anforderungen eine fundamentale Neuausrichtung der Governance-Strukturen.

Unternehmen stehen vor der Herausforderung, Innovation und Compliance zu balancieren. Diejenigen, die frühzeitig in robuste KI-Governance investieren, werden einen nachhaltigen Wettbewerbsvorteil erlangen. Unternehmen, die weiterhin auf unkontrollierte KI-Nutzung setzen, riskieren nicht nur regulatorische Sanktionen, sondern auch massive Reputations- und Betriebsrisiken.

Die Zeit für halbherzige Ansätze ist vorbei. Die regulatorischen Entwicklungen der letzten Tage zeigen: Die deutsche Finanzaufsicht macht Ernst mit KI-Compliance.