Teil 3 der Serie zur KI-Governance in der Geldwäscheprävention
Die ersten beiden Teile dieser Serie haben zentrale Fragen der KI-Governance in der Geldwäscheprävention beleuchtet. Zunächst wurden die grundlegenden Rahmenbedingungen, die Rolle der Zentralen Stelle und des Geldwäschebeauftragten sowie die Grenzen zulässiger KI-Nutzung dargestellt (Teil 1). Anschließend folgten die haftungsrechtlichen Implikationen, konkrete Haftungsszenarien und die daraus abgeleiteten Kontroll- und Dokumentationspflichten beim KI-Einsatz (Teil 2).
Der abschließende dritte Teil widmet sich nun den organisatorischen und strukturellen Voraussetzungen, um KI rechtssicher und haftungsrobust in die Arbeit der Zentralen Stelle zu integrieren. Dabei geht es um neue Rollenmodelle, Kompetenzanforderungen, ein praxisorientiertes KI-Kompetenzmodell sowie die Konkretisierung der BaFin-Anforderungen aus AuA BT Ziffer 6.
Organisatorische Konsequenzen für die Zentrale Stelle
Neue Rollen- und Verantwortlichkeitsstrukturen
Die zunehmende Einbindung von KI in geldwäscherechtliche Kontrollprozesse erfordert eine funktionale Weiterentwicklung der Zentralen Stelle. Die traditionelle, vor allem juristisch geprägte und eher reaktive Ausrichtung reicht nicht mehr aus, um den Anforderungen KI-gestützter, dynamischer Kontrollumgebungen gerecht zu werden Es bedarf einer Governance-Transformation hin zu einer hybriden Struktur, die Fachlichkeit, Technologie und Kontrollfähigkeit integriert. Zentrale Anforderungen sind:
- Die Zentrale Stelle muss systemverantwortlich auftreten, nicht nur als Nutzer, sondern als Steuerungsinstanz.
- Interdisziplinäre Aufstellung ist notwendig, um Datenkompetenz, Technologie-Bewertung und regulatorisches Wissen zusammenzuführen.
- Rollen müssen so gestaltet sein, dass sie KI-bezogene Verantwortlichkeiten operationalisieren und prüfbar machen.
Ohne klare Zuordnung von Entscheidungs-, Kontroll- und Eskalationsrechten bleibt jede KI-Governance dysfunktional, gerade in einem haftungsintensiven Umfeld wie der Geldwäscheprävention und der Identifikation von Terrorismusfinanzierung.
Skill-Erfordernisse für den Geldwäschebeauftragten und sein Team
Die zentralen Herausforderungen beim KI-Einsatz liegen nicht in der Bedienung von Technologie, sondern in der Sicherstellung der Einhaltung aufsichtsrechtlicher, datenschutzrechtlicher und operativer Kontrollanforderungen. Dies bedeutet: Kompetenz wird zur Schlüsselkategorie institutioneller Haftungsvermeidung.
Kompetenzfelder des Geldwäschebeauftragten (GWB):
| Kompetenzfeld | Erforderliche Fähigkeiten |
| Technologisches Grundverständnis | Einordnung von KI-Architekturen, insbesondere agentische KI, Verständnis von Modellverhalten |
| Governance- und Kontrollkompetenz | Steuerung KI-bezogener Prozesse, Nachvollziehbarkeit, Dokumentation |
| Risikokompetenz | Bewertung von Modellrisiken, Einordnung von Eskalationen |
| Regulatorik & Haftung | Kenntnisse zu geltendem und geplantem EU-Recht, insbesondere AI Act, Produkthaftungsrecht |
| Kommunikationsfähigkeit | Vermittlung komplexer technischer Sachverhalte an Geschäftsleitung, Aufsicht und Externe |
Zusätzliche Rollenprofile im erweiterten Team:
| Rolle | Aufgabenprofil im Kontext KI |
| KI-Kontrollbeauftragte/r | Bewertung von Modelllogiken, Begleitung von Re-Trainings, Auditführung, Führung eines KI-Registers u.a.m. |
| Compliance-Analytics-Spezialist/in | Messung und Bewertung der Leistungsfähigkeit von Modellen, FP/FN-Analysen u.ä. |
| Data Governance Officer (AFC-Fokus) | Prüfung der Trainingsdatenqualität, Versionierung, Datenethik u.a.m. |
| Jurist/in mit technischem Verständnis | Vertragsgestaltung bei Drittanbieter-KI, Auslagerungsanforderungen, Bewertung von Nutzungsgrenzen u.ä. |
Die Einführung solcher Profile ist keine regulatorische Pflicht, wohl aber eine organisatorische Notwendigkeit, um die Anforderungen aus MaRisk, BAIT bzw. DORA und dem EU AI Act künftig zu erfüllen und den bestehenden Anforderungen gerecht zu werden, die auch für KI-basierte Tools und Systeme gelten.
Vorschlag für ein KI-Kompetenzmodell in AFC-Funktionen
Ein praxisorientiertes Kompetenzmodell hilft dabei, Skill-Gaps zu erkennen, Weiterbildungen zu strukturieren und Verantwortlichkeiten besser abzugrenzen. Die folgende Matrix stellt ein mögliches Grundmodell auf Basis von drei Entwicklungsebenen dar.
| Kompetenzfeld | Basisniveau | Fortgeschrittenes Niveau | Expertise-Niveau |
| KI-Verständnis | Kenntnis der Grundbegriffe (ML, Algorithmus, Modell) | Verständnis von Entscheidungslogiken, Schwellenwertsteuerung | Fähigkeit zur kritischen Bewertung agentischer KI |
| Governance | Kenntnis von Dokumentations- und Prüfpflichten | Anwendung in der Prozessgestaltung | Entwicklung eigener Governance-Policies |
| Regulatorik | Vertrautheit mit GwG, KWG, MaRisk | Einordnung von EU AI Act & Haftungsregimen | Bewertung regulatorischer Graubereiche und Entwicklung von Prüfstandards |
| Systembewertung | Nutzung von Reports | Interpretation von Modell- und Validierungsdaten | Fähigkeit zur Auditvorbereitung und Revisionsbegleitung |
| Eskalation & Kommunikation | Wissen um Melde- und Eingriffswege | Selbstständige Kommunikation mit Management | Schnittstellenverantwortung zu Aufsicht, Revision, Dienstleistern |
Ein solches Modell eignet sich auch als Entscheidungshilfe für die Personalauswahl und die Priorisierung von Weiterbildungsmaßnahmen. Es lässt sich in Kompetenzmatrizen, Self-Assessments oder Rollendefinitionen überführen und unterstützt die nachvollziehbare Haftungsabsicherung der Zentralen Stelle durch entsprechende Qualifikation.
Neuvermessung von Verantwortung durch Kompetenznutzung und -aufbau
Die Zentrale Stelle steht im KI-Zeitalter vor der Aufgabe, Verantwortung und Steuerbarkeit neu zu operationalisieren, nicht durch mehr Regeln, sondern durch klare Rollen, Kompetenzen und Kontrollmechanismen. Der Schlüssel liegt in einer personellen und strukturellen Weiterentwicklung:
- Der GWB muss vom Fachspezialisten zum technologiekompetenten Risikosteuerer werden.
- Die Zentrale Stelle muss interdisziplinär aufgestellt sein, um das komplexe Feld von KI, Recht, Risiko und Governance zu beherrschen.
- Institutionelle Haftungsabsicherung beginnt mit individueller Qualifikation und klar definierter Kontrollverantwortung, nicht mit Technikvermeidung.
In den Auslegungs- und Anwendungshinweisen (AuA) für Kreditinstitute (BT KI) formuliert die BaFin unter Ziffer 6 ein einheitliches System von Qualitätskriterien für relevante, DV-gestützte Kontrollprozesse bzw. DV-Systeme für die Geldwäschebekämpfung, die Vermeidung von Terrorfinanzierung und strafbare Handlungen. Gefordert wird eine angemessene, nachvollziehbare, überprüfbare und wirksame Ausgestaltung. Die zentralen Prinzipien sind:
• Dokumentation und Nachvollziehbarkeit
• Funktionsprüfung vor Freigabe
• Verantwortlichkeitszuweisung und Eskalationsfähigkeit
• Kontinuierliche Überwachung
• Angemessenheit und Effektivität der Verfahren
• Schulungen und Sensibilisierung
• Regelmäßige Evaluierung
(Siehe grundsätzlich zu den Anforderungen des BaFin AuA BT Ziffer 6 hier.)
Diese Qualitätskriterien sind technologieagnostisch formuliert und damit unabhängig von der eingesetzten Technologie zu erfüllen. Genau hier beginnt die Herausforderung beim Einsatz von KI.
Die spezifischen Risiken und Funktionsweisen von KI, insbesondere bei autonom lernenden, datengetriebenen oder sogar agentenbasierten Systemen (Unsupervised, Reinforced oder Agentic sowie in Teilen Federated Learning), erfordern eine technische und prozessuale Konkretisierung der AuA BT Ziffer 6-Prinzipien. Der folgende Abgleich zeigt, dass sich alle KI-spezifischen Governance-Elemente als Konkretisierungen interpretieren lassen.
| AuA BT Ziffer 6-Prinzip | Technologiebezogene Konkretisierung für KI |
| Dokumentation & Nachvollziehbarkeit | Modellarchitektur, Entscheidungsprotokolle, Versionierung, Erklärbarkeit |
| Funktionsprüfung & Freigabe | Pre-Deployment-Tests, Bias-Checks, Validierungsprotokolle |
| Verantwortlichkeiten & Eskalation | „Human Oversight“, Eingriffsrechte, Eskalationsmatrix |
| Überwachung & Steuerbarkeit | Performance Monitoring, Drift Detection, Schwellenwertkontrolle |
| Angemessenheit & Effektivität | Risikoorientierte Modellwahl, Fehlertoleranzdefinition, Scope Management |
| Schulung & Awareness | KI-spezifische Trainings für GWB und Compliance-Team |
| Regelmäßige Evaluierung | Revalidierung, Prüfzyklen, Audit-Fähigkeit, Reporting-Linien |
Ein Sonderfall ist die agentenbasierte KI: Für „Agentic AI“-Systeme mit eigenständiger Zieldefinition und Handlungsvollzug gelten die AuA BT Ziffer 6-Prinzipien derzeit als im Grundsatz technisch nicht erfüllbar:
- Die Entscheidungsfindung ist nicht jederzeit nachvollziehbar (Verstoß gegen Dokumentationsgebot).
- Die autonome Systemlogik ist nicht jederzeit kontrollierbar (Verstoß gegen Überwachungsanforderung).
- Emergentes Verhalten kann nicht verlässlich validiert werden (Verstoß gegen Funktionsprüfungsgebot).
Daher ist der operative Einsatz solcher Systeme in der Zentralen Stelle aufsichtsrechtlich de facto zumindest in den Hochrisikobereichen des EU AI Acts ausgeschlossen. Denkbar ist lediglich eine unterstützende, nicht entscheidungsrelevante Nutzung, etwa für Recherchen oder semantische Analysen, wie das beispielsweise in den Bereichen der Enhanced Due Diligence oder auch bei der Fallerstellung und den vorbereitenden Tätigkeiten für eine qualitativ hochwertige Verdachtsmeldung der Fall sein kann.
Zur pragmatischen Umsetzung der AuA BT Ziffer 6-Prinzipien für KI-Prozesse empfiehlt sich eine strukturiert operationalisierte Checkliste, die von der Zentralen Stelle aktiv geführt werden sollte. Diese Checkliste enthält:
- Systembeschreibung und Zweckbestimmung
- Verantwortlichkeitsmatrix (fachlich, technisch, Governance)
- Freigabedokumentation und Prüfberichte
- Validierungszyklen und Re-Trainings
- Ergebnisbewertung (FP/FN-Raten, Fehlklassifikationen)
- Eskalationsfälle und Reaktionen
- Nachweise zur Schulung aller Beteiligten
- Einbettung in IKS und GwG-Risikoanalyse
Sie dient in der Form also der internen Verantwortlichkeitsklärung, der aufsichtlichen Nachweiserbringung sowie der persönlichen Enthaftung des GWB, der seine Steuerungspflicht durch dokumentiertes Handeln konkretisiert. Dies ist natürlich nur dann in der Zentralen Stelle zu verorten, wenn es diese Funktion nicht schon in einem ebenfalls zu empfehlenden KI-Kompetenzzentrum (AI CC, AI CoE o.ä.) gibt. Für den unternehmensweiten Einsatz von KI ist dies sinnvoll. Hier sollte die Compliance-Abteilung inhaltlich eng eingebunden werden, um Use Cases nicht wie in der Vergangenheit vor Risiko- und Compliance-Anforderungen zu bewerten und zu priorisieren, sondern danach. Der Aufbau eines solchen KI-Kompetenzzentrums ist schematisch in der nachfolgenden Abbildung skizziert.
Abbildung: Schematischer Aufbau eines AI Center of Excellence (CoE) bzw. Competence Center (CC)
Das Zusammenspiel kann über die Compliance-Abteilung mit einem KI-Kontrollbeauftragten – nicht zu verwechseln mit einem KI-Beauftragten oder AI Officer – erfolgen, um so den Compliance Anforderungen generell, aber auch denen aus der Zentralen Stelle gerecht werden zu können. Die organisatorische Aufhängung eines AI CC/CoE findet sich üblicherweise beim Chief Digital Officer (CDO) oder Chief Risk Officer (CRO) der Bank. Beim CRO ist in der Regel auch schon vorhandene Kompetenz in der Modellvalidierung vorhanden, welches man in einem AI CC/CoE im Bereich der technischen Kompetenz mitnutzen könnte.
Zusammenfassend lässt sich darstellen, dass die Zentrale Stelle KI einsetzen kann, wenn die Prinzipien von AuA BT Ziffer 6 in technologiegeeigneter Form konkretisiert und nachweislich umgesetzt werden. Damit ist KI-spezifische Governance keine gesonderte Verpflichtung, sondern eine bestehende Pflicht zur sachgerechten Ausgestaltung der bestehenden Anforderungen der BaFin. Agentenbasierte KI ist derzeit nicht AuA BT Ziffer 6-kompatibel und daher für den produktiven Einsatz in der Zentrale Stelle nahezu ausgeschlossen. Die schon vorne definierten Ausnahmen sind gültig. Die Zukunft von KI in der Geldwäscheprävention entscheidet sich damit nicht an der Innovationshöhe, sondern vielmehr an der Beherrschbarkeit durch Governance und den sich nach Risiko- und Compliance-Bewertung ergebenden Vorteilen.
Fazit und Handlungsempfehlungen
Der Einsatz von KI in der Zentralen Stelle eröffnet große Effizienzpotenziale, etwa durch Mustererkennung, automatisierte Alert-Priorisierung oder Verhaltensklassifikation. Gleichzeitig verschärft sich die Haftungsarchitektur: Wo menschliche Entscheidungen durch Systeme vorbereitet oder gar ersetzt werden, droht der Verlust von Zurechnungs- und Kontrollfähigkeit – das Fundament jeder rechtlichen Verantwortung.
Sowohl das geltende Recht in Deutschland und der EU als auch die zukünftigen Rahmenwerke, wie die Reform der EU-Produkthaftungsrichtlinie (EU Product Liability Directive), setzen einhellig auf:
- menschliche Letztverantwortung („human oversight“)
- prüfbare, nachvollziehbare Systeme
- und aktive Governance durch Organisation und Funktionsträger.
Der GWB trägt auch bei KI-gestützten Prozessen weiterhin die persönliche Verantwortung für Struktur, Kontrolle und Wirksamkeit der Geldwäscheprävention. Fehler im KI-Einsatz, die auf unzureichender Prüfung, Überwachung oder Reaktion beruhen, begründen haftungsrelevante Pflichtverletzungen. Die Zentrale Stelle steht daher vor einer zweifachen Herausforderung:
- Technologie effektiv integrieren, ohne Kontrollverlust zu riskieren.
- Governance so operationalisieren, dass Verantwortung auch im KI-Zeitalter prüfbar und haftungssicher wahrgenommen wird.
Daraus lassen sich Handlungsempfehlungen für Praxis, Governance und Strategie ableiten:
- Verbot der vollständigen Entscheidungsdelegation konsequent durchsetzen
- Ausschluss eigenständiger Rechtswirkung von KI
- Abschließende menschliche Prüfung sämtlicher KI-vorbereiteter Meldungen
- Kein Einsatz von agentenbasierten Systemen in entscheidungskritischen Prozessen
- Systemverantwortung durch dokumentierte Governance absichern
- Einführung eines KI-Governance-Dossiers mit vollständiger Nachvollziehbarkeit der KI-Prozesse, Prüfungen und Eingriffe
- Definition klarer Verantwortlichkeits- und Eskalationsstrukturen
- Etablierung standardisierter Validierungs- und Prüfprozesse mit Revisionsfähigkeit
- Kompetenzaufbau institutionalisieren
- Entwicklung und Anwendung eines KI-Kompetenzmodells für die Zentrale Stelle oder innerhalb eines AI CC/CoE
- Durchführung gezielter Schulungen für GWB, Compliance und AFC-Teams, insbesondere zu Risiken, Kontrollmechanismen und aufsichtsrechtlichen Anforderungen
- Einrichtung interdisziplinärer Teams im Rahmen eines AI CC/CoE
- Regelbasierte Kontrolle in der Policy verankern
- Aufnahme von „No Fully Autonomous Decision“-Klauseln in interne Richtlinien
- Konkretisierung von AuA BT Ziffer 6 für KI-Prozesse in Form von technologiegeeigneten Kontrollstandards, die dann nach und nach mit den EU AI Act Regulatory Technical Standards (RTS) nach Erscheinen verfeinert werden können
- Aufsichts- und Haftungsfestigkeit regelmäßig evaluieren
- Durchführung von Self-Assessments zur KI-Governance in der Zentralen Stelle oder innerhalb eines AI CC/CoE
- Frühzeitige Einbindung der Internen Revision und bei Bedarf des Regulators
- Etablierung von Frühwarnsystemen für Bias, Fehlalarme und Systemverhalten
Die Entwicklung der KI-Technologie ist dynamisch, ihre aufsichtsrechtliche Integration hingegen langsam und auf Sicherheit bedacht. Die Zentrale Stelle wird in den nächsten Jahren nicht mehr nur ein juristischer Kontrollpunkt sein, sondern ein hybrides Steuerungszentrum aus Governance, Technologie und Risikoethik. Nur so kann die Zentrale Stelle auch in Zukunft das leisten, was ihr der Gesetzgeber abverlangt: die wirksame, integre und verantwortbare Bekämpfung von Geldwäsche und Terrorfinanzierung.
Der Autor:
Dirk Findeisen ist Managing Partner des Beratungs- und Technologieunternehmens msg Rethink Compliance. Er verfügt über mehr als 20 Jahre Erfahrung in den Bereichen Governance, Risk & Compliance (GRC), Datenmanagement, Advanced Analytics und Corporate Performance Management. Findeisen ist Autor zahlreicher Fach- und Buchbeiträge zum Thema Anti-Financial Crime Compliance, ein gefragter Referent auf Fachveranstaltungen und Dozent an mehreren deutschen Hochschulen.
dirk.findeisen@msg-compliance.com
| (Möchten Sie beim Thema Geldwäsche auf dem Laufenden bleiben? Dann können Sie sich hier für unseren Newsletter anmelden – kostenlos und unverbindlich) |
