top of page
Newsblog


👉 Zwei Omnibusse
𝗔𝘂𝗳 𝘄𝗲𝗹𝗰𝗵𝗲𝗻 𝗢𝗺𝗻𝗶𝗯𝘂𝘀 𝘄𝗮𝗿𝘁𝗲𝗻 𝗦𝗶𝗲 𝗲𝗶𝗴𝗲𝗻𝘁𝗹𝗶𝗰𝗵? Am 29.06.2026 hat der Rat den Digital Omnibus angenommen. Den zur KI und nur den. Der zweite Teil des Pakets - Datenschutz, ePrivacy, Data Act, NIS2 - ist nicht beschlossen. Und genau dort liegen die Änderungen, auf die viele KI-Projekte still kalkulieren. 𝗪𝗮𝘀 𝗻𝗼𝗰𝗵 𝗻𝗶𝗰𝗵𝘁 𝗴𝗶𝗹𝘁: ▪️ Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO als tragfähige Grundlage für KI-Training. Entw


👉 Haftung vor Compliance
𝗜𝗵𝗿𝗲 𝗖𝗼𝗺𝗽𝗹𝗶𝗮𝗻𝗰𝗲-𝗙𝗿𝗶𝘀𝘁 𝗶𝘀𝘁 𝗗𝗲𝘇𝗲𝗺𝗯𝗲𝗿 𝟮𝟬𝟮𝟳. 𝗜𝗵𝗿𝗲 𝗛𝗮𝗳𝘁𝘂𝗻𝗴 𝗯𝗲𝗴𝗶𝗻𝗻𝘁 𝗲𝗶𝗻 𝗝𝗮𝗵𝗿 𝗳𝗿ü𝗵𝗲𝗿. Der Omnibus verschiebt die Hochrisiko-Pflichten nach Anhang III auf den 02.12.2027. Die Erleichterung ist spürbar. Sie ist auch trügerisch. 𝗗𝗿𝗲𝗶 𝗗𝗮𝘁𝗲𝗻, 𝗱𝗶𝗲 𝗻𝗶𝗲𝗺𝗮𝗻𝗱 𝘃𝗲𝗿𝘀𝗰𝗵𝗼𝗯𝗲𝗻 𝗵𝗮𝘁: ▪️ 09.12.2026: Die Produkthaftungsrichtlinie (EU) 2024/2853 ist umzusetzen. Software und KI sind ausdrücklich Produkte....


👉 Art. 4 wird abgeschwächt - und die Pflicht bleibt
𝗗𝗶𝗲 𝗞𝗜-𝗞𝗼𝗺𝗽𝗲𝘁𝗲𝗻𝘇𝗽𝗳𝗹𝗶𝗰𝗵𝘁 𝗳ä𝗹𝗹𝘁. 𝗪𝗮𝗿𝘂𝗺 𝗺ü𝘀𝘀𝗲𝗻 𝗦𝗶𝗲 𝘁𝗿𝗼𝘁𝘇𝗱𝗲𝗺 𝘀𝗰𝗵𝘂𝗹𝗲𝗻? Der Omnibus wandelt Art. 4 KI-VO um. Aus der Pflicht von Anbietern und Betreibern, ein ausreichendes Maß an KI-Kompetenz sicherzustellen, wird eine Aufgabe von Kommission und Mitgliedstaaten, deren Entwicklung zu fördern. Aus „ensure" wird „support the development". Viele lesen das als Entwarnung. Es ist eine Verlagerung. 𝗪𝗲𝗿 𝗶𝗻 Ö𝘀𝘁𝗲𝗿𝗿𝗲𝗶𝗰𝗵 𝘀𝗰�


"Der EU AI Act wurde verschoben."
Diesen Satz hören wir seit Mai 2026 in jeder Vorstandssitzung. 👉 Er ist h a l b richtig — und genau deshalb gefährlich. Was wirklich passiert ist: Am 7. Mai 2026 haben Parlament und Rat eine politische Einigung über den 𝗗𝗶𝗴𝗶𝘁𝗮𝗹 𝗢𝗺𝗻𝗶𝗯𝘂𝘀 erzielt. Am 16. Juni hat das Parlament zugestimmt. Die formale Veröffentlichung im Amtsblatt wird im Juli erwartet. Was sich verschoben hat: → 𝗛𝗼𝗰𝗵𝗿𝗶𝘀𝗶𝗸𝗼-𝗣𝗳𝗹𝗶𝗰𝗵𝘁𝗲𝗻 für Annex-III-Systeme: von 2. August 202


Wie viele KI-Systeme betreibt Ihr Unternehmen?
Wie viele KI-Systeme betreibt Ihr Unternehmen? 👉 Die häufigste Antwort: "Wir haben eine Liste." 👉 Die ehrliche Antwort: "Wir haben drei Listen — und keine davon ist vollständig." Was wir in der Praxis bei österreichischen Finanzinstituten erleben: 📋 IT-Inventar: "CreditLens — Software, Lizenz aktiv" 🤖 𝗞𝗜-𝗜𝗻𝘃𝗲𝗻𝘁𝗮𝗿: "CreditLens — Hochrisiko-KI, 𝗔𝗻𝗻𝗲𝘅 𝗜𝗜𝗜 Nr. 5(b), FRIA-pflichtig" ⚠️ Schatten-KI-Register: "ChatGPT Free (4 User), Perplexity (2 User) —


Haben Sie ein KI-Governance-Framework? 👉 JA!
Wann hat es zuletzt einen Prozess verändert? 👉 Genau da wird es still Der EU AI Act verlangt in Art. 17 ein Qualitätsmanagementsystem für Hochrisiko-KI. ISO/IEC 42001:2023 liefert den methodischen Rahmen dafür. Aber beide haben eine Gemeinsamkeit: Sie verlangen gelebte Governance — nicht ein Dokument, das in SharePoint liegt. ① 𝗔𝗿𝘁. 𝟭𝟳 — 𝗤𝘂𝗮𝗹𝗶𝘁ä𝘁𝘀𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁𝘀𝘆𝘀𝘁𝗲𝗺 Die Aufsichtsbehörde fragt nicht: "Haben Sie ein QMS?" Sie fragt: "Wann hat Ihr


Sie nutzen GPT-4, Claude oder Gemini in Ihrem Unternehmen?
Dann nutzen Sie ein General Purpose AI Model. Und damit gelten seit August 2025 die 𝗔𝗿𝘁. 𝟱𝟭-𝟱𝟲 𝗘𝗨 𝗔𝗜 𝗔𝗰𝘁 — auch wenn die Pflichten primär beim Modell-Anbieter liegen. Die Frage ist: Wissen Sie, ob Ihr Anbieter sie erfüllt? ① 𝗖𝗼𝗱𝗲 𝗼𝗳 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗲 Seit Juli 2025 gibt es den freiwilligen GPAI Code of Practice. Drei Kapitel: Transparenz, Urheberrecht, Sicherheit. Anbieter, die ihn unterzeichnet haben, genießen eine Art Safe Harbour. Ab 𝟮. 𝗔𝘂𝗴𝘂𝘀𝘁


Wissen Sie, wie viele KI-Systeme in Ihrem Unternehmen tatsächlich im Einsatz sind?
Nicht die, die in der IT-Inventarliste stehen. ChatGPT im Browser eines Kreditanalysten. Perplexity auf dem Diensthandy der Compliance-Abteilung. Ein GPT-Wrapper, den jemand im Fachbereich "nur kurz testen" wollte — seit sechs Monaten. Das ist 𝗦𝗰𝗵𝗮𝘁𝘁𝗲𝗻-𝗞𝗜. Und der EU AI Act behandelt sie nicht als Kavaliersdelikt. ① 𝗔𝗿𝘁. 𝟰 𝗞𝗜-𝗞𝗼𝗺𝗽𝗲𝘁𝗲𝗻𝘇 Jeder Mitarbeitende, der KI nutzt, muss über ausreichende KI-Kompetenz verfügen. Nicht als einmalige Schulung.


Die Frage ist nicht: „Nutzen wir GPAI-Modelle?"
Die Frage ist: „Welche - und haben wir für jedes eine Antwort auf die fünf kritischsten Governance-Fragen?" Fast jedes Unternehmen nutzt heute GPAI-Modelle: ChatGPT, Microsoft Copilot, GitHub Copilot, Google Gemini. Oft täglich. Oft ohne klares Bewusstsein dafür, was das regulatorisch bedeutet. ✋ Die fünf häufigsten Fehler - und alle sind vermeidbar: Fehler 1: GPAI-Modelle nicht im KI-Inventar. Jedes Tool, das auf einem großen Sprachmodell läuft, gehört in die KI-Karte - ohne


Die Frage ist nicht: „Wären wir bereit für eine Prüfung - wenn wir zwei Monate Vorlaufzeit hätten?"
Die Frage ist: „Was passiert morgen früh, wenn die FMA anruft?" Audit-Readiness ist kein Zustand, den man herstellt. 👉 Es ist ein Dauerzustand - oder er ist gar nichts. Denn schon ein einzelner Hinweis - von einem Mitarbeiter, einem Mitbewerber, einem Journalisten - kann eine formale Prüfung durch die Bundesnetzagentur auslösen. 👉 Ohne Ankündigung. Ohne Gnadenfrist. Was Prüfer dann sehen wollen, lässt sich auf Folgendes reduzieren: Intern: 👉Ist die Dokumentation vollständi


Die Frage ist nicht: „Setzen wir AI Agents ein?"
Die Frage ist: „Wissen wir überhaupt, was sie gerade tun - und in wessen Namen?" ✋ AI Agents sind 2026 die größte strukturelle Governance-Lücke in den meisten Unternehmen. Nicht weil sie neu sind. Sondern weil sie anders funktionieren als alles, was Governance bisher geregelt hat: Sie handeln eigenständig, iterativ, ohne menschliche Einzelfreigabe bei jedem Schritt. 👉 Das bedeutet: Klassische Kontrolllücken entstehen nicht mehr durch Einzelentscheidungen - sondern durch Kett


Die Frage ist nicht: „Was passiert, wenn unser KI-System einen Fehler macht?"
Die Frage ist: „Wie lange brauchen wir, um es zu bemerken - und wer muss bis wann informiert sein?" 👁 Ein Rückblick aus 2012, der heute relevanter ist denn je: Knight Capital. 45 Minuten. 440 Millionen US-Dollar Verlust durch einen algorithmischen Fehler. Keine Kill-Switches. Keine definierten Eskalationswege. Keine geübten Incident-Response-Prozesse. Am nächsten Handelstag war das Unternehmen faktisch insolvent. 👉 Das war vor dem EU AI Act. Ohne Meldepflichten. Ohne Aufsic


Die Frage ist nicht: „Haben wir eine KI-Richtlinie?"
Die Frage ist: „Läuft sie - oder liegt sie seit dem Kickoff-Meeting im Intranet?" Ein Governance-Framework ist ein Dokument. Ein Governance-System ist eine Infrastruktur. Der Unterschied ist entscheidend - und er wird 2026 sichtbar, wenn die ersten Prüfungen anlaufen. Ein funktionierendes System hat drei Stufen: 👉 Stufe 1 - Dokumentation: KI-Board etabliert, Richtlinie verabschiedet, Inventar angelegt. Das können viele. 👉 Stufe 2 - Operative Infrastruktur: Monitoring läuft


Art. 9 – Risikomanagement als Prozess
Art. 9 – Risikomanagement als Prozess Die Frage ist nicht: "Haben wir das Risiko bewertet?" Die Frage ist: "Wann haben wir es zuletzt überprüft - und was hat sich seitdem verändert?" Art. 9 verlangt ein kontinuierliches Risikomanagementsystem. Kein Projektmeilenstein. Kein Abhacken von Punkten. Ein dauerhafter Prozess. Vier Fragen, die sich Banken regelmäßig stellen müssen: ❓ Identifiziert: Welche neuen Risiken hat das System in den letzten 90 Tagen erzeugt - durch ne


Art. 72 – 73 Post Market Monitoring
Art. 72 – 73 Post Market Monitoring Die Frage ist nicht: "Ist unser KI-System genehmigt?" Die Frage ist: "Wer überwacht es gerade — und was passiert, wenn morgen etwas schiefläuft?" Art. 72 stellt klar: Compliance endet nicht mit der CE-Kennzeichnung. Sie beginnt dort. Art. 73 stellt klar: Bei schwerwiegenden Vorfällen läuft die Uhr. 2 Werktage. 10 Werktage. 15 Werktage. Je nach Schwere. Gleichzeitig mit DSGVO (72h) und DORA (24h). Drei Fragen, die jetzt beantwortet s


Art. 10 – Daten-Governance & Bias
Art. 10 – Daten-Governance & Bias Die Frage ist nicht: "Haben wir genug Daten?" Die Frage ist: "Wissen wir, welche Verzerrungen in diesen Daten stecken?" Art. 10 macht Bias-Erkennung zur expliziten Pflicht — keine Best Practice, sondern Gesetz. Sechs Fragen, die jede Bank vor dem Go-Live eines Hochrisiko-Systems beantworten muss: ❓ Woher stammen die Trainingsdaten? ❓ Für welchen Zweck wurden sie ursprünglich erhoben? ❓ Sind sie repräsentativ für unsere Kreditnehmer — he


Art.14 – Human Oversight
Art.14 – Human Oversight Die Frage ist nicht: "Haben wir menschliche Aufsicht?" Die Frage ist: "Kann diese Person das System wirklich stoppen?" Art. 14 unterscheidet drei Ebenen: 👁 Beobachten können — versteht die Person, was das System entscheidet und warum? ✋ Eingreifen können — kann sie eine Ausgabe ablehnen, ohne dass das System das technisch verhindert? ⛔ Stoppen können — gibt es einen echten Kill-Switch, oder nur eine theoretische Möglichkeit? Eine Unterschrift


SchattenKI mit AUKOS strukturiert entschärfen
Lösung: #SchattenKI mit AUKOS Management und Data Consulting GmbH strukturiert entschärfen #SchattenKI ist die Realität. Die Frage ist nur, ob sie gesteuert wird. AUKOS Management und Data Consulting GmbH hilft Banken pragmatisch und umsetzungsorientiert: 1) KI‑Inventur und Klassifikation 2) GAP‑Analyse zur #AI‑Act‑Konformität 3) Governance‑Zielbild und Regeln für den Betrieb 4) Trainings und Awareness für alle Rollen 5) Laufende Betreuung, damit es nicht wieder „unsichtbar“


Der häufigste Fehler: Compliance als Papierprojekt
Der häufigste Fehler: Compliance als Papierprojekt Viele starten KI‑Compliance mit Dokumenten. Das ist zu spät und zu kurz. #SchattenKI ist ein Betriebsproblem. Sie lebt im Alltag: • in Fachbereichen • in Präsentationen • in Analysen • in E‑Mails • in kurzfristigen „Hilf mir schnell“‑Momenten Die Antwort ist operative Governance: Prozess + Rollen + Kontrollen + Nachweisführung. Umsetzung statt PowerPoint. Compliance als Papierprojekt scheitert im Alltag – AUKOS Management und


„Verbieten“ funktioniert nicht. Steuern funktioniert.
„Verbieten“ funktioniert nicht. Steuern funktioniert. #SchattenKI verschwindet nicht durch Verbote. Das #Smartphone gewinnt immer. Wirksame Steuerung heißt: • klare Allow‑Regeln, was erlaubt ist • klare No‑Go‑Zonen für Daten und Inhalte • Training für alle Rollen, nicht nur IT • kontrollierte, sichere Alternativen • Monitoring und Awareness Nicht #KI verhindern. #KI beherrschbar machen. AUKOS Management und Data Consulting GmbH hilft Ihnen dabei. #SchattenKI #ShadowAI #AILite
bottom of page
