Haftung in Zeiten der KI – Verantwortung in der Zentralen Stelle

Teil 1 der Serie zur KI-Governance in der Geldwäscheprävention

Der technologische Fortschritt verändert die Art und Weise, wie Banken und Finanzdienstleister ihre gesetzlichen Pflichten zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung wahrnehmen. Insbesondere der Einsatz von Künstlicher Intelligenz (KI) in der Transaktionsüberwachung, dem Kundenmonitoring oder dem Risiko-Scoring verspricht eine neue Qualität an Effizienz und Mustererkennung, birgt jedoch zugleich erhebliche regulatorische und haftungsrechtliche Risiken.

Im Zentrum dieser Entwicklung steht die Zentrale Stelle, deren gesetzliche Aufgabe es ist, alle geldwäscherechtlichen Pflichten innerhalb des Instituts zu koordinieren, zu dokumentieren und deren Einhaltung sicherzustellen. Der Geldwäschebeauftragte (GWB) als verantwortlicher Funktionsträger trägt dabei nicht nur organisatorisch, sondern auch rechtlich die Hauptverantwortung – unabhängig davon, ob Prozesse durch Menschen oder Maschinen durchgeführt werden.

Diese Situation wirft grundlegende Fragen auf:

• Wie weit darf Verantwortung an KI-Systeme ausgelagert werden?
• Welche haftungsrechtlichen Konsequenzen ergeben sich bei Fehlentscheidungen, die (auch) durch Algorithmen vorbereitet wurden?
• Wie lässt sich sicherstellen, dass moderne Technologien in einem Umfeld eingesetzt werden, welches durch hohe regulatorische Dichte, strenge Prüfstandards und individuelle Verantwortungszuweisung geprägt ist?

Ziel dieses dreiteiligen Beitrags ist es, das Zusammenspiel von KI-Governance, persönlicher Haftung und aufsichtsrechtlicher Steuerungspflicht am Beispiel der Zentralen Stelle systematisch zu analysieren. Dabei werden nicht nur geltende gesetzliche und aufsichtsrechtliche Anforderungen berücksichtigt, sondern auch aktuelle regulatorische Entwürfe auf EU-Ebene (z. B. AI Act, neue Produkthaftungsrichtlinie) und wissenschaftliche Ansätze zur algorithmischen Verantwortung. Besondere Aufmerksamkeit gilt der Abgrenzung zulässiger Unterstützung durch KI von unzulässiger Entscheidungsdelegation, insbesondere mit Blick auf sogenannte agentenbasierte Systeme („agentic AI“).

Der Beitrag versteht sich als praxisnahe und haftungsrobuste Orientierungshilfe für Geldwäschebeauftragte, Compliance-Führungskräfte und Governance-Verantwortliche, mit dem Ziel, technologische Innovation in den Dienst einer verantwortbaren, nachhaltigen und rechtssicheren Compliance-Arbeit zu stellen.

Die Zentrale Stelle und der Geldwäschebeauftragte

Die Zentrale Stelle ist gemäß § 25h Abs. 1 Satz 6 KWG das funktionale Herzstück der institutsinternen Geldwäscheprävention. Sie übernimmt die Koordination aller Maßnahmen zur Verhinderung von Geldwäsche, Terrorismusfinanzierung und sonstiger strafbarer Handlungen und fungiert zugleich als Verbindungsstelle zur Financial Intelligence Unit (FIU) und den Aufsichtsbehörden. Die gesetzliche Konzeption dieser Funktion wird durch das Geldwäschegesetz (GwG) sowie durch die aufsichtlichen Verwaltungsvorgaben, insbesondere die Mindestanforderungen an das Risikomanagement (MaRisk), konkretisiert.

Gemäß § 7 GwG ist ein Geldwäschebeauftragter (GWB) zu benennen, dessen Aufgabenwahrnehmung in der Regel mit der Leitung der Zentralen Stelle einhergeht. Er trägt die Verantwortung für Aufbau, Steuerung und Kontrolle des institutsinternen Präventionssystems, einschließlich der Implementierung risikoorientierter Verfahren zur Kundenüberwachung, Transaktionskontrolle und Verdachtsfallbehandlung. § 7 Abs. 4 GwG schreibt zudem eine unmittelbare Berichtslinie zur Geschäftsleitung vor, was die exponierte Stellung des GWB nochmals unterstreicht.

Aufsichtsrechtlich flankiert wird diese Verantwortung durch AT 4.4.2 MaRisk, wonach Funktionen wie die Zentrale Stelle unabhängig, mit angemessenen Ressourcen und Kompetenzen ausgestattet sein müssen. Hinzu kommen Anforderungen aus AT 7.2 (IT-Systeme) und AT 9 (Auslagerungen), die für technologiegestützte Kontrollprozesse – wie sie bei KI typischerweise vorliegen – unmittelbar relevant sind.

Aktuelle Entwicklungen im Bereich Künstliche Intelligenz in der Compliance

Die Nutzung von Künstlicher Intelligenz (KI) hat in den vergangenen Jahren auch im Bereich der Anti-Financial Crime Compliance erheblich an Relevanz gewonnen. Einsatzfelder sind vor allem:

• das Transaktionsmonitoring mittels Anomalie-gestützter Mustererkennung,
• das Screening von Sanktions- und PEP-Listen mit NLP-gestützten Matching-Technologien,
• sowie die Risikobewertung und Kundensegmentierung im Rahmen von Know-Your-Customer-Prozessen (KYC).

Diese Systeme sind durch eine zunehmende Autonomie, Adaptivität und Komplexität gekennzeichnet. Damit stellt sich für Compliance-Funktionen die Frage, wie die klassischen Governance- und Kontrollprinzipien auf algorithmische Entscheidungsstrukturen angewendet und überprüfbar gemacht werden können.

Besondere Aufmerksamkeit erfährt derzeit auch der Einsatz sogenannter „agentic AI“ – also KI-Systeme mit agentenbasierter Architektur. Diese Systeme zeichnen sich dadurch aus, dass sie nicht nur klassisch deterministisch auf Inputs reagieren, sondern autonome Subziele formulieren, Entscheidungsstrategien entwickeln und Aufgaben über längere Zeiträume verfolgen können („Planning“, „Tool Use“, „Memory“). Solche Systeme könnten der Zentralen Stelle perspektivisch etwa dabei helfen, komplexe Muster von Finanztransaktionen zu untersuchen, mehrstufige Verknüpfungen zu analysieren oder eigenständig relevante Informationsquellen zu aggregieren. Gleichzeitig verschärfen agentenbasierte Systeme das Problem der regulatorischen Einhegbarkeit: Da diese Systeme Entscheidungen nicht mehr bloß aus vorgegebenen Regeln ableiten, sondern eigenständige Problemlösungsstrategien entwickeln, besteht ein erhöhtes Risiko von Intransparenz, Kontrollverlust und emergentem Verhalten – Eigenschaften, die im regulatorischen Rahmen hochsensibler Compliance-Prozesse (z. B. § 43 GwG) aktuell nicht tolerierbar sind.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) erkennt in verschiedenen Veröffentlichungen an, dass KI-Systeme potenzielle Effizienzgewinne mit sich bringen, betont jedoch zugleich die Notwendigkeit der „wirksamen Beherrschung von Risiken“ (vgl. BaFin-Journal 02/2022). Der Einsatz von KI entbindet nicht von der Einhaltung aufsichtsrechtlicher Anforderungen – im Gegenteil: Die Nachweispflichten für die Wirksamkeit, Angemessenheit und Nachvollziehbarkeit steigen, je komplexer und autonomer das eingesetzte System ist.

Verbot der vollständigen Entscheidungsdelegation

Ein zentrales Dogma des geltenden regulatorischen Rahmens ist das Verbot der vollständigen Delegation von Entscheidungen an KI-Systeme. Dieses Verbot ergibt sich aus mehreren Regelwerken, deren gemeinsamer Nenner die Forderung nach menschlicher Letztverantwortung ist – oder wie es so schön heißt: „Put the Human in the Loop“.

• DSGVO Art. 22 Abs. 1 verbietet automatisierte Einzelfallentscheidungen mit rechtlicher Wirkung, soweit keine ausdrückliche Einwilligung oder gesetzliche Grundlage besteht.
• § 25h KWG in Verbindung mit § 43 GwG sowie das gemeinsam mit der Deutschen Bundesbank erstellte Diskussionspapier der BaFin zum Einsatz von Big Data und KI lassen die Interpretation zu, dass eine vollständige Automatisierung von Verdachtsmeldungen nicht zulässig ist und eine menschliche Prüfung erforderlich ist.
• MaRisk AT 4.3.1, AT 7.2 und BAIT/DORA fordern die ständige Kontrollierbarkeit und Prüfbarkeit von IT-Systemen – was in der Folge bedeutet, dass Entscheidungen nicht in einer „Black Box“ getroffen werden dürfen.

In der Verwaltungspraxis der BaFin (siehe auch „Big Data und künstliche Intelligenz“ 09/2022) ist dieses Prinzip mittlerweile gefestigt: KI darf Prozesse unterstützen, strukturieren und priorisieren, nicht aber Entscheidungen treffen, die rechtliche oder regulatorische Folgen nach sich ziehen – es sei denn, eine menschliche Kontrollinstanz ist formal und faktisch wirksam eingebunden („Human Oversight“).

Dies gilt in verschärftem Maße für agentenbasierte KI-Systeme: Diese sind – nach heutiger Bewertung – nicht mit dem aufsichtsrechtlichen Prinzip der jederzeitigen Steuerbarkeit, Kontrollierbarkeit und Nachvollziehbarkeit vereinbar, wie es aus MaRisk AT 7.2 und AT 4.3.1 folgt. Agentic-AI-Systeme wären nur dann zulässig, wenn:

• sämtliche Zwischenschritte dokumentierbar, prüfbar und abänderbar sind,
• sie keine irreversible Entscheidungskaskade ohne menschlichen Eingriff auslösen können, und
• der GWB nachvollziehen, stoppen oder korrigieren kann, wie eine Schlussfolgerung zustande kam.

Solange diese Anforderungen technisch nicht abgesichert und aufsichtsrechtlich nicht anerkannt sind, ist der operative Einsatz agentischer KI in der Zentralen Stelle faktisch ausgeschlossen. Zulässig bleibt lediglich die unterstützende Nutzung in vorgelagerten, nicht entscheidungskritischen Prozessen (z. B. Dokumentenzusammenfassung, semantische Recherchen, Musterverdichtungen im Kontext der Risikofrüherkennung).

Vorschau auf Teil 2

Der nächste Teil dieser Serie beleuchtet die konkreten haftungsrechtlichen Konsequenzen des KI-Einsatzes in der Zentralen Stelle, darunter:

• die gegenwärtige Haftungsdogmatik,
• geplante gesetzliche und regulatorische Änderungen,
• wissenschaftliche Perspektiven zur Algorithmus-Verantwortung,
• sowie erste praxisrelevante Implikationen für Geldwäschebeauftragte.

Der Autor:

Dirk Findeisen ist Gründer und Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.

dirk.findeisen@msg-compliane.com