Modellrisiko gibt es in Banken nicht erst seit KI – aber die neue Technologie zwingt uns, bestehende Standards neu zu denken und das Delta gezielt zu schließen.
Julia Sterling
Head of AI Strategy & Governance
Commerzbank
Julia Sterling

#44Wie funktioniert KI-Governance in einer Bank?

SpotifyApple

Intro

In dieser Episode spricht Felix mit Julia Sterling, Head of AI Strategy & Governance bei der Commerzbank, über die systematische Implementierung von künstlicher Intelligenz in einer der größten deutschen Banken. Julia gewährt faszinierende Einblicke in ihr Drei-Säulen-Modell aus Strategie, Literacy und Governance und erklärt, wie ein Konzern mit 40.000 Mitarbeitern den Spagat zwischen zentraler Kompetenz und dezentraler Umsetzung meistert. Besonders spannend: Wie die Bank das bewährte Three-Lines-of-Defense-Modell auf KI überträgt, den EU-AI-Act interpretiert und mit kreativen Formaten wie dem Roboter Kim die KI-Kompetenzen ihrer Mitarbeiter aufbaut.

Inhaltsuebersicht

  • Drei-Säulen-Modell der KI-Implementierung: Strategie, Literacy und Governance als Fundament der Commerzbank-Architektur
  • Vier strategische Einsatzbereiche: Marketing & Revenue Growth, Loss-and-Fraud-Prevention, Predictive Analytics und Prozessautomation
  • Evolution vom zentralen KI-Team zum Center of Competence mit dezentraler Umsetzung durch AI-Partner-Programm
  • AI-Literacy-Pyramide mit drei Ebenen: Daily Users, Software-Nutzer und Data Scientists mit jeweils spezifischen Kompetenzanforderungen
  • Kreative Lernformate mit 2D-Roboter Kim, der im Safari-Auto durch die Savanne fährt und KI-Anwendungsfälle erklärt
  • Praktische Umsetzung des EU-AI-Acts entlang der Literacy-Pyramide mit Pflicht- und freiwilligen Formaten
  • Three Lines of Defense: Übertragung bewährter Banking-Governance-Strukturen auf KI-spezifische Herausforderungen
  • KI-Inventar seit 2017 als Grundlage für systematisches Risikomanagement über alle Modellarten hinweg
  • Delta-Analyse zwischen bestehenden Risikostrukturen (DSGVO, Modellrisiko) und KI-spezifischen Anforderungen
  • KI-Versprechen für Mitarbeiter und Kunden als Transparenz- und Vertrauensanker
  • Kommende Herausforderungen durch CENELEC-Standards für Hochrisiko-KI-Systeme ab 2026

Ueber den Gast

Julia Sterling ist Head of AI Strategy & Governance bei der Commerzbank, einer der größten deutschen Banken mit rund 40.000 Mitarbeitern. In ihrer Rolle verantwortet sie drei zentrale Säulen: die AI-Strategie der Bank, den Aufbau von AI-Literacy über alle Hierarchieebenen hinweg sowie die Governance für vertrauenswürdige KI unter Berücksichtigung aller regulatorischen Anforderungen. Julia arbeitet für den Chief Data und AI Officer und hat die Entwicklung der KI-Einheit seit ihrer Gründung 2017 maßgeblich mitgestaltet – von einem Team, das KI-Anwendungsfälle selbst entwickelte, hin zu einem Center of Competence, das andere Bereiche befähigt.

Detaillierte Zusammenfassung

Das Drei-Saeulen-Modell als strategisches Fundament

Die Commerzbank strukturiert ihre KI-Implementierung entlang von drei eng verzahnten Säulen. Die erste Säule umfasst die AI-Strategie: Wie kann KI Nutzen stiften und welche organisatorischen Räder müssen zusammengreifen? Die zweite Säule fokussiert auf AI-Literacy – die systematische Kompetenzentwicklung für Mitarbeiter und Kunden. Die dritte Säule behandelt Governance: Wie entwickelt die Bank vertrauenswürdige KI unter Berücksichtigung aller regulatorischen Anforderungen? Julia Sterling betont, dass alle drei Säulen zusammengreifen müssen, damit ein positiver Effekt mit KI herauskommt. In den letzten zwölf Monaten lag der Schwerpunkt ihrer Arbeit leicht auf der Governance – nicht zuletzt bedingt durch den EU-AI-Act.

Vier strategische Einsatzbereiche fuer KI

Die Commerzbank hat vier Kernbereiche identifiziert, in denen KI sinnvoll eingesetzt werden kann. Marketing und Revenue Growth steht im Fokus des Kundenerlebnisses – mit Produkten wie dem digitalen Haushaltsbuch und einem 24/7-verfügbaren Avatar in der Banking-App. Loss-and-Fraud-Prevention nutzt KIs Stärke in der Mustererkennung für Geldwäscheprävention und Betrugsbekämpfung aus sehr großen Datenmengen. Predictive Analytics ermöglicht bessere Vorhersagemodelle, da KI auch nicht-lineare Zusammenhänge der komplexen Realität abbilden kann – ein Vorteil gegenüber klassischen linearen Modellen. Prozessoptimierung und -automation revolutioniert die Verarbeitung der unzähligen Verträge und Dokumente im Bankgeschäft, gerade durch generative KI eröffnen sich hier neue Möglichkeiten.

Evolution zum Center of Excellence

Die KI-Einheit der Commerzbank wurde bereits 2017 gegründet und hat eine bemerkenswerte Entwicklung durchlaufen. Anfangs baute das damals deutlich kleinere Team KI-Anwendungsfälle noch selbst und probierte aus, was funktioniert und was nicht. Mittlerweile fungiert die Einheit als Center of Competence unter dem Chief Data und AI Officer. Das Team stellt Knowledge, Expertise, Daten, Tools und Plattformen zur Verfügung, damit andere Einheiten eigenständig KI entwickeln und integrieren können. Zusätzlich werden skalierbare AI-Services über APIs bereitgestellt, die von verschiedenen Bereichen genutzt werden können. Diese Transformation vom zentralen Umsetzer zum Enabler war eine bewusste strategische Entscheidung, um Skalierung zu ermöglichen.

AI-Partner als Multiplikatoren

Um den dezentralen Ansatz zu unterstützen, hat die Commerzbank ein Multiplikatorenprogramm mit AI-Partnern in verschiedenen Geschäftsbereichen etabliert. Diese fungieren als Bindeglied zwischen dem Center of Competence und den operativen Einheiten, verhindern Engpässe und sorgen für effektiven Wissenstransfer in beide Richtungen. Die AI-Partner treffen sich regelmäßig zum Austausch über verfügbare Services und Anforderungen aus den Fachbereichen. Dieses Modell löst ein typisches Problem von Kompetenzzentren: die Gefahr, zum Flaschenhals zu werden, wenn alle Anfragen ungefiltert auf das zentrale Team einprasseln. Die AI-Partner ermöglichen sowohl bessere Erklärung der Services als auch strukturierteres Feedback aus den Bereichen.

Die AI-Literacy-Pyramide mit drei Ebenen

Die Commerzbank strukturiert AI-Literacy nach einem Pyramidenmodell mit drei Ebenen, das unterschiedliche Kompetenzanforderungen adressiert. Die Basis bilden "Daily Users" – praktisch alle Mitarbeiter, die mit KI-Features wie E-Mail-Antwortvorschlägen oder dem internen Chatbot "Commerzbank GPT" in Kontakt kommen. Diese benötigen grundsätzliches KI-Verständnis sowie Kenntnisse über Do's und Don'ts, etwa im Umgang mit Halluzinationen oder Datenschutz. Die mittlere Ebene umfasst Nutzer von Software mit KI-Komponenten – ein rasant wachsender Bereich, da immer mehr Kaufsoftware KI-Features integriert. Diese Nutzer benötigen zusätzliche Informationen über Datenverarbeitung und Governance. Die Spitze bilden Data Scientists und Use Case Teams, die KI selbst entwickeln und tiefgreifendes technisches Verständnis benötigen, etwa zu Trainingsdaten, Bias-Vermeidung und Modellvalidierung.

Kreative Lernformate mit Roboter Kim

Besonders innovativ ist die Commerzbank bei der Gestaltung ihrer Lernformate. Der 2D-Roboter Kim fährt in Trickfilmen mit einem Safari-Auto durch die Savanne und erklärt spielerisch KI-Anwendungsfälle. Ergänzt wird Kim durch seine Mitbewohnerin Daisy und Validierungsexpertin Valerie, die Kim zum "Health-Check-Up" schickt und prüft, ob im Roboterkästchen noch alles funktioniert. Das Quarterly Bulletin "Explained", Videoserien und rollenspezifische Trainings für Marketing oder Führungskräfte sorgen für kontinuierliche Kompetenzentwicklung. Der Ansatz zeigt: Lernen muss Spaß machen, um Barrieren abzubauen.

Das hat vielen Kollegen am meisten Spaß gemacht, weil es einfach lustig war und mal was anderes.

Die Bank misst die Teilnahme und sammelt kontinuierlich Feedback, um die Formate weiterzuentwickeln.

EU-AI-Act: Praktische Umsetzung entlang der Pyramide

Die Interpretation des EU-AI-Acts erfolgt entlang der etablierten AI-Literacy-Pyramide. Artikel 4 fordert Kompetenzen für "Use" und "Operate" – die Commerzbank nutzt diese Flexibilität für eine an die eigenen Anforderungen angepasste Umsetzung. Pflichtschulungen für alle Mitarbeiter werden durch freiwillige Formate ergänzt. Bei neuen Tools werden zusätzlich toolspezifische Do's und Don'ts implementiert, etwa beim Inhouse-Chatbot. Julia würde für den EU-AI-Act stimmen, allerdings "mit einem kleinen Aber". Positiv wertet sie, dass der Act viel über die Werte in der EU aussagt – etwa durch das Verbot von Social Scoring. Kritisch sieht sie die vielen offenen Fragezeichen, besonders bei der AI-Definition und den General Purpose AI-Regelungen in Kapitel 5, das im August 2025 in Kraft trat.

Three Lines of Defense fuer AI-Governance

Als Bank überträgt die Commerzbank bewährte Governance-Strukturen auf KI. Das Three-Lines-of-Defense-Modell ist in der Bankenbranche ein Standardbegriff: Die First Line (operative Umsetzung) bildet den ersten Abwehrmechanismus an der vordersten Front. Die Second Line formuliert Anforderungen und kontrolliert – hier siedelt Julia den Begriff AI-Governance am stärksten an, besonders mit Kontrollwesen und Überprüfungen. Die Third Line (internes Audit) überprüft, ob Kontrollen und Standards eingehalten werden und ob diese sinnvoll und richtig sind.

Governance machen wir schon ganz viel, dieser Begriff ist bei uns nicht neu vom Himmel gefallen.

Diese Verankerung in bestehenden Strukturen erleichtert die KI-Governance erheblich.

KI-Inventar als Grundlage seit 2017

Bereits 2017 hat die Commerzbank ein KI-Inventar aufgebaut – lange bevor der EU-AI-Act in Kraft trat. Dieses erfasst alle Modelle, von Kaufsoftware über eigengebaute KI bis hin zu sophistizierten Excel-Sheets, die als End-User Computing registrierungspflichtig sind. Bewusst wurde nicht nach der EU-AI-Definition von KI gefragt, sondern nach verwendeten Modellen, da die AI-Definition damals noch offener war und in verschiedenen Jurisdiktionen unterschiedlich sein kann. Diese vorausschauende Herangehensweise verschaffte der Bank einen klaren Überblick und eine solide Basis für spätere regulatorische Anforderungen. Das Inventar ermöglicht systematisches Risikomanagement und wurde durch frühe Machine-Learning-Guidelines ergänzt, um Einheitlichkeit zu schaffen.

Delta-Analyse zwischen bestehenden und neuen Risiken

Die Commerzbank nutzt bestehende Risikostrukturen und ergänzt sie um KI-spezifische Aspekte durch eine systematische Delta-Analyse. Viele KI-relevante Themen sind bereits durch DSGVO (Automated Decision Making), Modellrisiko-Regulierung (bei Kreditmodellen, algorithmischem Handel) oder Information Security abgedeckt. Julia erklärt: "Das Wort KI ist in vielen anderen Gesetzestexten, die schon länger gelten, durch die Hintertür schon drin." Das Delta – also die noch nicht abgedeckten KI-spezifischen Risiken – wird systematisch identifiziert und adressiert. Themen wie Fairness, Erklärbarkeit, Verlässlichkeit (dass ein Modell bei gleicher Anfrage fünf Mal hintereinander denselben Output liefert) und menschliche Kontrolle stehen im Fokus. Die Bank will keine doppelten Guidelines schreiben, sondern nur den fehlenden Teil ergänzen.

KI-Versprechen fuer Mitarbeiter und Kunden

Die Commerzbank hat sowohl für Mitarbeiter (gemeinsam mit Betriebsräten) als auch für Kunden explizite KI-Versprechen entwickelt. Diese schaffen Transparenz über den Einsatz von KI und definieren klare Do's und Don'ts. Beispielsweise wird KI nicht für Leistungs- und Verhaltenskontrolle eingesetzt. Das Ziel: KI soll Mitarbeitern helfen, nicht kontrollieren. Das Kundenversprechen ist öffentlich auf der Homepage verfügbar und schafft Vertrauen durch Transparenz. Julia betont, dass dieser Ansatz die Commerzbank von anderen Banken unterscheidet. Die gemeinsame Erarbeitung mit Betriebsräten sorgt für ein geteiltes Verständnis und nimmt Ängste, sodass alle gemeinsam auf die KI-Reise gehen können.

Kommende Herausforderungen durch CENELEC-Standards

Für 2026 erwartet Julia neue Herausforderungen durch die CENELEC-Standards, die für Hochrisiko-KI-Systeme gelten. Diese umfassen unter anderem KI im Bildungsbereich, Credit Scoring und Credit Worthiness Assessment. Da diese Standards noch in Erarbeitung sind, wird die Bank erst bei Veröffentlichung eine weitere Delta-Analyse durchführen können – ein Abgleich mit den eigenen Richtlinien, um zu prüfen, was neu eingearbeitet werden muss. Julia beschreibt die Arbeit mit dem EU-AI-Act als kontinuierlichen Prozess: "Da sind wir sehr viel im Dunkeln geblieben", besonders bei General Purpose AI. Die Bank arbeitet sich systematisch von Frist zu Frist durch den AI-Act, wobei viele Papiere aus Brüssel erst noch das "Wie" der Umsetzung klären müssen.

Kernaussagen

  1. Drei Säulen als integriertes System — "Wir haben drei verschiedene Säulen: AI-Strategie, Literacy und Governance – alle drei müssen zusammengreifen, damit positiver Effekt mit KI herauskommt." Strategie, Literacy, Governance
  2. KI als Mustererkennungs-Maschine — "KI ist wahnsinnig gut im Mustererkennen – gerade bei Loss-and-Fraud-Prevention können wir aus sehr großen Datenmengen sehr schnell Muster erkennen." Mustererkennung, Fraud Prevention
  3. Center of Competence statt Bottleneck — "Unser Bereich ist das Center of Competence für KI – wir stellen Knowledge, Expertise, Daten, Tools und Plattformen zur Verfügung, damit andere Einheiten KI bauen können." Enablement, Dezentralisierung
  4. EU-AI-Act als Werteerklärung — "Der EU-AI-Act sagt viel über unsere Werte in der EU aus – wie wir mit KI ein schönes Leben haben wollen." Regulierung, EU-Werte
  5. Governance auf bestehenden Strukturen aufbauen — "Governance machen wir schon ganz viel, dieser Begriff ist bei uns nicht neu vom Himmel gefallen – wir haben die First Line, Second Line und Third Line of Defense." Three Lines of Defense, Banking-Governance

Fazit und Takeaways

Fuer Unternehmen mit KI-Ambition

  • Drei-Säulen-Denken etablieren: Strategie, Literacy und Governance nicht isoliert betrachten, sondern als integriertes System verstehen
  • Center of Competence statt Bottleneck: Zentrale Expertise aufbauen, aber dezentrale Umsetzung ermöglichen durch Multiplikatoren
  • Inventar vor Strategie: Systematische Erfassung aller KI-Modelle als Grundlage für Governance und Risikomanagement
  • Delta-Analyse nutzen: Bestehende Risikostrukturen und Compliance-Mechanismen auf KI übertragen, statt alles neu zu erfinden

Fuer Literacy- und Change-Verantwortliche

  • Pyramidenmodell anwenden: Unterschiedliche Kompetenzanforderungen für Daily Users, Software-Nutzer und Entwickler definieren
  • Kreativität in Lernformaten: Gamification und Storytelling (wie Roboter Kim) erhöhen Akzeptanz und Lernerfolg erheblich
  • Kontinuierliches Lernen: Quarterly Bulletins, Videoserien und rollenspezifische Trainings statt einmaliger Pflichtschulung
  • Toolspezifische Schulungen: Bei jedem neuen KI-Tool zusätzliche Do's und Don'ts vermitteln

Fuer Governance- und Compliance-Verantwortliche

  • Three Lines of Defense adaptieren: Bewährte Governance-Modelle auf KI übertragen und Second Line stärken
  • Transparenz durch Versprechen: Explizite KI-Versprechen für Mitarbeiter und Kunden schaffen Vertrauen und klare Leitplanken
  • Flexible EU-AI-Act-Interpretation: Use und Operate entlang eigener Strukturen interpretieren, nicht starr am Gesetzestext kleben
  • Schrittweise Umsetzung: Von Frist zu Frist arbeiten und auf kommende Standards (CENELEC 2026) vorbereiten

Die Episode zeigt exemplarisch, wie ein Großunternehmen KI systematisch und verantwortungsvoll implementiert. Der Schlüssel liegt in der Kombination aus bewährten Strukturen und innovativen Ansätzen – sowohl bei Governance als auch bei Kompetenzentwicklung. Julias abschließende Bemerkung über KI im eigenen Garten unterstreicht: KI ist längst im Alltag angekommen, von der Schatzsuche beim Kindergeburtstag bis zur Pflanzenkrankheits-Diagnose.

Podcast

Felix Riedl

Erfahre jeden Freitag aus erster Hand, wie Unternehmer und Führungskräfte AI einsetzen.

SpotifyApple
Der Nightmare Competitor Ansatz bei Gebr. Dorfner: "Wie würde ein Wettbewerber mit KI unser Geschäftsmodell disruptieren?”
Tim Lüken
Head of Innovation
Gebrüder Dorfner GmbH & Co. KG
Tim Lüken — Gast bei AI FIRST Podcast
#79
Wie Finanzfluss menschliche Stärken mit KI-Fähigkeiten im Journalismus verbindet
Mary Abdelaziz-Ditzow
Chefredakteurin Wirtschaft & News
Finanzfluss
Mary Abdelaziz-Ditzow — Gast bei AI FIRST Podcast
#78
Die andere Seite der KI-Medaille: Brain Fry, Arbeitsmarkt-Druck und Adaptionsprobleme
Elisabeth L’Orange
Partnerin AI & Data
Deloitte
Elisabeth L’Orange — Gast bei AI FIRST Podcast
#77