Wissen Sie, inwieweit Ihre schriftlichen Vorschriften derzeit mit verschiedenen regulatorischen Anforderungen (z.B. MaRisk oder DORA) übereinstimmen? KI-Methoden können diese Informationen kontinuierlich und nahezu in Echtzeit bereitstellen, idealerweise klar in einem Dashboard dargestellt. Solche Implementierungen sind jedoch oft noch weit entfernt, insbesondere im Bankenumfeld, da die Grundlagen für die Realisierung solcher Anwendungsfälle noch nicht gelegt sind. Diese Komplexität muss navigiert werden.

Aber fangen wir am Anfang an. Analytik und künstliche Intelligenz bilden ein breites Spektrum an Methoden, um Informationen aus Daten zu extrahieren und somit datengestützte Entscheidungen, Optimierungen und Automatisierungen zu ermöglichen. Einige dieser Methoden werden im Bankensektor seit Jahrzehnten eingesetzt (z.B. statistische Modelle), während andere zu diesem Zeitpunkt viel mehr mediale Aufmerksamkeit erhalten haben als Bankanwendungen (z.B. große Sprachmodelle). Das Potenzial dieser Technologien für den Produktverkauf und die Optimierung sowie für Einsparungen im Backoffice und die Einhaltung regulatorischer Anforderungen ist unbestritten. Die Implementierung dieser Methoden im Bankenumfeld muss jedoch in einem Spannungsfeld zwischen Organisation, Technologie und Regulierung erfolgen, was - wenn ignoriert - zu unangenehmen Einschränkungen oder Budgeterweiterungen führen kann. Es ist nicht unüblich, dass die Erstellung eines Trainings- und Testdatensatzes erhebliche Koordinationsaufwände nach sich zieht. Ob einem Kundenberater in Echtzeit Informationen gegeben werden können, hängt oft von der Leistungsfähigkeit der fragmentierten Datenlandschaft und der Datenpipelines ab. Lassen Sie uns also diskutieren, welche Rahmenbedingungen berücksichtigt werden müssen, um eine vorteilhafte Implementierung zu ermöglichen, und wie sie in die Planung einfließen.

Zuerst die Anwendungsfälle - warum tun wir das?

Bevor wir zum Spannungsfeld selbst kommen, lassen Sie uns zunächst klären, welche Bereiche des Bankwesens am meisten von Analytik und/oder KI profitieren. Die folgende Liste ist nicht abschließend, sondern deckt die typischen Bereiche ab:

• Optimierte Kundenerfahrung - die Analyse des Kundenverhaltens zur Optimierung von Angeboten und Interaktionen. Beispielanwendungsfälle sind

  • Personalisierte Produktangebote/Nudging - z.B. Analyse von Transaktions- und Interaktionsverhalten zur Vorhersage des Produktinteresses. Wenn das Modell eine ausreichende Vorhersagegenauigkeit erreicht und der Schwellenwert ausreichend hoch gesetzt ist, können relevante Angebote zum richtigen Zeitpunkt eingeblendet werden, ohne als störend empfunden zu werden. 

  • Kundeninteraktion/Spracheingabeschnittstellen - da sich generative Modelle in entsprechender Qualität entwickelt haben, ist die Texterstellung (an dieser Stelle ist die Bildgenerierung nicht im Fokus) besonders interessant für Bankanwendungen. Textbasierte Interaktionen zwischen Kunde und Berater oder Kunde und Dokumenten können nun nahezu menschenähnlich 24/7 gestaltet werden. Die erforderlichen Modelle (LLMs) waren anfänglich nur in proprietärer Form verfügbar (z.B. GPT), stehen mittlerweile aber zunehmend auch in vergleichbarer Qualität als Open Source zur Verfügung (z.B. Llama)

• Regulierung und Berichterstattung - regulatorische Aktivitäten stellen einen Kostenfaktor dar, der oft zu hohen, manchmal vermeidbaren Kosten durch Ereignisse (z.B. Prüfungen) führt. Im Folgenden werden eine Reihe von Beispielen gezeigt:

  • Compliance-Überprüfung - Die Ankündigung einer Prüfung impliziert oft eine kurzfristige Analysephase, gefolgt von einer Hochdruckbearbeitung von Erkenntnissen. Dies führt zu kurzfristig teuren Beratungsausgaben und einer Behinderung der operativen Aktivitäten. Textbasierte KI-Methoden (z.B. LLMs) können solche Analyseaufgaben in geeigneten Architekturen (z.B. RAGs) teilweise automatisiert, teilweise im Tandem mit einem Compliance-Mitarbeiter, kontinuierlich und nahezu in Echtzeit durchführen. Eine angemessene Strukturierung der Compliance-Dokumente ist eine notwendige Grundlage für ein solches System.

  • Compliance Loop Up - Ein System wie das oben beschriebene ermöglicht nicht nur vollständige Überprüfungen auf der Basis der Compliance, sondern auch ereignisgesteuerte Abfragen. Beispielsweise können Fragen zur Vollständigkeit oder zur spezifischen Ansprache von Punkten gestellt werden.

• Transaktionsanalyse - die Analyse von Transaktionen zur Identifizierung von Anomalien und betrügerischen Mustern. Folgend wird eine Reihe von Beispielen aufgezeigt.

  • Betrugserkennung - Analyse einer Reihe von Transaktionen zur Identifizierung von Betrugsmustern. Früher hauptsächlich auf Experten-/Regel-basierten Systemen, werden heutzutage modernere Methoden (z.B. Deep Learning) verwendet, um Betrugsmuster vor ihrem Auftreten zu erkennen.

  • Geldwäschebekämpfung - analog zum Betrugserkennungsanwendungsfall als Mustererkennung in Transaktionsdaten.

  • Kreditrisiko - Die Vorhersage risiko-relevanter KPIs, die sowohl aus regulatorischen Gründen als auch für Kredite erfasst werden müssen. Jede Bank hat bereits ihr eigenes Set von Modellen 

• Betriebliche Effizienz - die datengestützte Automatisierung betrieblicher Prozesse spart Kosten und ermöglicht einen kontinuierlichen, sofortigen Service. Ein kurzer Auszug von Anwendungsfällen

  • (Teilweise) automatisierte Kreditentscheidungen - hier gibt es keine Überraschungen. Basierend auf der Kreditbewertung können einige Anträge (grüne Fälle) automatisch akzeptiert werden. Andere werden abgelehnt (rote Fälle) und einige an einen Sachbearbeiter weitergeleitet (gelbe Fälle).

  • Robotic Process Automation - auch hier gibt es keine Überraschungen. Wiederholbare Prozesse werden automatisch mit Software durchlaufen. Es macht jedoch oft Sinn, den Prozess zu vereinfachen, anstatt den aktuellen Prozess zu automatisieren.

• Kundenbindung - die Analyse von Kundendaten zur Vorhersage des Kundenverhaltens, um frühzeitig reagieren zu können. Typische Anwendungsfälle sind

  • Churn-Analyse - Identifizierung von Kunden, die beabsichtigen, die Bank zu wechseln, um sie mit gezielten Angeboten zum Verbleib zu bewegen. Dies führt zu Kosteneinsparungen, da Angebote gezielt sind und teure Neuakquisitionen reduziert werden.

  • Kundenengagement - Bewertung des Kundenengagements und der Bereitschaft zur Teilnahme an Initiativen. Eine identifizierte Kundengruppe kann mit geeigneten Produkten angesprochen werden.

• Investitionen und Handel - der Vollständigkeit halber sprechen wir auch diesen Punkt an. An dieser Stelle muss jedoch gesagt werden, dass die Kompetenz für diese Methoden klar bei den Handelsunternehmen liegt, weshalb wir sie nicht weiter erörtern werden.

Das Ziel ist es, die vorgenannten Anwendungsfälle zu implementieren. Im Bankenumfeld ist es jedoch oft zu beobachten, dass beispielsweise Legacy-Datenbanken (technisch), unklare funktionale Zuständigkeiten (organisational) oder die Regulierung des Umgangs mit Datentypen (regulatorisch) eine unerwartete Herausforderung für die Umsetzung darstellen.

Technologie - Wo und in welchem Zustand befinden sich meine Daten?

IT-Systeme in Banken sind oft historisch gewachsen. Diese Systeme sind oft monolithisch und nicht vollständig integriert, wobei Daten in isolierten Silos gespeichert werden. Geschäftsbereiche wie Kredit, Zahlungsverkehr oder Wertpapierhandel nutzen separate Systeme ohne nahtlose Integration. Die direkte technische Konsequenz der Fragmentierung sind redundante Daten und eine komplexe Schnittstellenlandschaft.

Eine überwiegend fragmentierte Datenlandschaft, in der beispielsweise Stammdaten, Transaktionsdaten und Risikopositionen auf separate Systeme verteilt sind, macht es schwierig - wenn nicht unmöglich - die Datenbank umfassend zu analysieren. Einige der Systeme arbeiten auf Batch-basierten Prozessen (z.B. Konsolidierung der Datenbasis im täglichen Nachtlauf), sodass Echtzeitanalysen auf der Datenbasis eingeschränkt sind. Das Gleiche gilt für die hohe Latenz von ETL-Prozessen von Legacy-Datenbanken zu analytischen Datenspeichern, was bedeutet, dass Banken oft keine Analysen auf Echtzeitdaten durchführen. Darüber hinaus ist die Integration von Systemen in einer über Jahrzehnte gewachsenen Systemlandschaft technisch und fachlich komplex.

Der typische Ansatz zur zentralen Konsolidierung und Harmonisierung von Daten besteht darin, ein analytisches Datenmanagement einzurichten. Je nach Struktur und Art der Daten gibt es verschiedene Ansätze zur Auswahl, wobei modernere Ansätze (z.B. Data Lakehouse) nahezu alle Vorteile bieten. Auf dem Weg zur Echtzeitdatenanalyse fällt die Wahl häufig auf ereignisgesteuerte Architekturen (z.B. Eventstore oder Kafka), um auf Datenströme aus Legacy-Systemen zuzugreifen und diese bereitzustellen. Je nach Anwendungsfall und den Möglichkeiten der Datenbanken können Daten jedoch auch in einem batch-basierten Prozess extrahiert werden. Abhängig von den Möglichkeiten und der Modularität der Systemlandschaft kann auch eine Datenvirtualisierung in Betracht gezogen werden, bei der Datenpunkte in ihren Quellsystemen verbleiben und nur zur Laufzeit abgefragt werden, um verteilte Datenquellen zu verbinden und zu harmonisieren, ohne dass eine vollständige physische Migration erforderlich ist. Der Einsatz technischer Werkzeuge kann auch die Organisation von Daten verbessern und Rückverfolgbarkeit bieten. Rahmenwerke wie Data Mesh oder eine Medaillonarchitektur organisieren die geschäftliche Anreicherung der Daten und dokumentieren sie technisch, um den langfristigen Wert und den geschäftlichen Hintergrund der Daten sicherzustellen. 

Wie so oft liegt der Teufel im Detail. Die Komplexität liegt in der Kombination und Integration der Legacy- und Ziellandschaft. Lösungen sind oft Einzelfallentscheidungen, bei denen das Gesamtbild im Auge behalten werden muss.

Organisation - Was und von wem sind meine Daten?

Es sind nicht nur die Daten, die fragmentiert sind, sondern auch oft die Organisation. „Kopfmonopole“ und unklare technische Zuständigkeiten führen zu einem Mangel an technischem Hintergrundwissen und einer sinkenden Datenqualität. Kurz gesagt, die Daten verlieren ihren Wert, bis sie schließlich ihre Nützlichkeit verlieren. Dieser Wertverlust ist schwer zu bewerten und wird oft erst bemerkt, wenn er bereits eingetreten ist.

Ansätze zur Datenorganisation definieren Prozesse für den Umgang mit Daten und sprechen somit einige der genannten Defizite an, von denen wir einige im Folgenden erörtern. Datenmanagement ist heute bereits in den meisten Unternehmen etabliert (sogar gemäß BCBS 239 reglementiert). Es besteht aus der Definition von Zuständigkeiten für bestimmte Daten sowie einer organisatorischen Struktur, in der diese Verantwortlichkeiten harmonisiert und nachverfolgt werden. Im Lifecycle-Management von Daten wird der Lebenszyklus eines Datenpunktes von der Erstellung bis zur Löschung durch die Organisation definiert. Damit wird sichergestellt, dass kein Datensumpf entsteht, da auch der Zeitpunkt der Löschung festgelegt ist. Es wird jedoch auch definiert, dass Daten zu einem bestimmten Zeitpunkt in einer bestimmten Form verfügbar sind, was oft einen regulatorischen Hintergrund hat. Die Nachverfolgbarkeit des Pfades und der Transformation eines Datenpunktes durch das System wird im Rahmen der Datenherkunft gewährleistet. Zu diesem Zweck werden technische Werkzeuge eingeführt und organisatorische Rahmenbedingungen geschaffen. Dies ist besonders interessant, wenn Quell- oder Datenumwandlungen sich als fehlerhaft erweisen, da alle daraus resultierenden Datenpunkte zurückverfolgt werden können. Der Ursprung und die Historie von Daten können im Rahmen der Datenherkunft zurückverfolgt werden, was die Integrität und Authentizität der Daten gewährleistet.

Bei der Einführung einer solchen Datenorganisation ist es besonders wichtig, sicherzustellen, dass sie in die übergreifende Organisation eingebettet ist, da etablierte Strukturen (wie sie oft in Banken zu finden sind) besonders widerstandsfähig gegenüber Veränderungen sind. Eine erfolgreiche Implementierung bettet die Datenverarbeitung jedoch in die täglichen Prozesse ein und bildet die Grundlage für eine datengestützte Organisation.

Regulierung - Was kann ich mit den Daten tun?

Je sensibler die Datenpunkte sind, desto höher sind die Anforderungen an den Umgang mit ihnen. Mit persönlichen und transaktionalen Daten bewegt sich die Bankenbranche daher in den anspruchsvolleren Bereich der Anforderungen. Herausforderungen wie die Datenaufbewahrung im Kontext des Rechts auf Löschung von Daten (DSGVO) müssen auch technisch definiert werden. Die Herausforderung besteht darin, regulatorische Konformität mit Betriebseffizienz und technologischer Innovation zu harmonisieren. Die steigenden Anforderungen an die Datenverarbeitung und -sicherheit erfordern kontinuierliche Anpassungen an neue gesetzliche Anforderungen sowie Investitionen in moderne IT-Infrastrukturen und Datenschutzmaßnahmen. Eine vielversprechende Lösung, die an dieser Stelle erwähnt werden sollte, ist eine effizientere Darstellung von Compliance-Dokumenten in Form von Datenpunkten, deren strukturelle Abhängigkeiten technisch gespeichert wurden, was effizientere Prozesse bei Abruf und Anwendung ermöglicht.

Es gibt jedoch beträchtlichen Verbesserungsbedarf nicht nur im Umgang mit Daten, sondern auch im Umgang mit den Vorschriften selbst. Die Arbeit eines CISO oder eines Compliance-Mitarbeiters ist durch textbasierte Analysen gekennzeichnet, die durch moderne Technologien (z.B. LLM-Agenten) unterstützt werden können. Im Rahmen eines Soll/Ist-Vergleichs wird beispielsweise die aktuelle Version der schriftlichen Vorschriften des Unternehmens (sfO) auf Konsistenz mit sich selbst und der regulatorischen Grundlage (z.B. DORA) überprüft. Dies ist eine äußerst zeitaufwendige Aufgabe, die erstens Fachpersonal bindet, zweitens eine erhebliche Anzahl von Beratern involviert und drittens in der Regel ereignisgesteuert und kurzfristig erfolgt (z.B. angekündigte Prüfung statt kontinuierlich). Dies bedeutet einerseits einen beträchtlichen finanziellen Aufwand an bestimmten Punkten und andererseits kann der aktuelle regulatorische Status zwischen den Ereignissen nicht mit Sicherheit festgestellt werden. Neben regulatorischer Unsicherheit führen dies auch zu Effizienzverlusten im Tagesgeschäft.

Eine strukturierte, zentrale Speicherung (z.B. Grafiken) von Compliance-Dokumenten zusammen mit modernen Textverarbeitungsmethoden (LLMs) in geeigneten Architekturen (RAG/Agenten) mit einer inhärenten technischen Logik (Regelsystem und Workflows) kann diese Arbeit teilweise automatisieren und bei Bedarf kontinuierlich durchführen. Der Fachmitarbeiter arbeitet in Verbindung mit dem System und wird somit entlastet, behält den Überblick und kann die Arbeitslast besser verteilen.

Zusammenfassend - Wie wird die Datennutzung im Bankwesen realisiert?

Die im Bankwesen diskutierten Analytics/KI-Anwendungsfälle ermöglichen datengestützte Entscheidungen, Optimierungen und Automatisierungen und eröffnen damit Potenziale für Kosteneinsparungen und Serviceangebote sowohl für den Kunden als auch für die Bank selbst. Den Banken mangelt es jedoch oft an den notwendigen Ressourcen, da die Speicherung und Verarbeitung von Daten, Prozesse und regulatorische Rahmenbedingungen die Komplexität der Umsetzung erheblich erhöhen. Die Herausforderungen, die sich aus dem Spannungsfeld zwischen Technologie, Organisation und Regulierung ergeben, müssen navigiert werden. Sie finden sich wieder in den Aspekten der Projekt-/Programmplanu-ng (z.B. Business Case, Zeitplan), Kommunikation (z.B. Ausschüsse, Managementkommunikation), aber auch in der Komplexitätsreduktion (z.B. Best Practices, Projektintegration). Wenn Sie mit ähnlichen Herausforderungen konfrontiert sind oder eine zweite Meinung benötigen, zögern Sie nicht, sich zu melden.