Vom schnellsten Mehrwert zur tiefsten Integration
Drei Szenarien, regulatorisch sortiert. Wir starten mit dem geringsten Risiko — und gewinnen Erfahrung, bevor wir die nächste Stufe nehmen.
Szenario 1 — öffentliche Dokumente
Der Bot beantwortet Fragen ausschließlich auf Basis öffentlich zugänglicher Regelwerke. Keine personenbezogenen Daten, keine Geschäftsgeheimnisse.
Inhalt
- Grundsätze ordnungsmäßiger Buchführung (GoB)
- Kreditwesengesetz (KWG)
- DORA & MaRisk
- BaFin-Rundschreiben
- EU-AI-Act
- Atruvia / IKESA-Dokumente
Governance-Checkliste
- DORA-Einstufung als ICT-Drittparteidienst
- Vertragsspiegel zu OpenAI / Azure (Art. 30)
- Embeddings nur, kein OpenAI-Vector-Store
- EU-Residency & Zero-Data-Retention
- Quellen-Pflicht und Human-Review
Szenario 2 — bankinterne Regelungen
Der Bot erweitert sich um die hauseigene Anweisungslandschaft — Organisationshandbuch, Prozesse, Arbeitsanweisungen.
Inhalt
- Organisationshandbuch (OHB)
- Arbeitsanweisungen, Verfahrensregeln
- Interne Prozessdokumente
- Schulungsmaterialien
Was zusätzlich gebraucht wird
- Klare Dokument-Klassifizierung (öffentlich, intern, vertraulich)
- Need-to-know-Prinzip in der Berechtigung
- DPA / AVV (sobald Nutzer-Logs einbezogen)
- Vertraulichkeits-Kennzeichnung im Suchindex
Szenario 3 — eigene User-Uploads
Mitarbeitende laden eigene Dokumente in den Bot. Höchster Mehrwert, höchster Anspruch an Sicherheit und Datenschutz.
Was möglich wäre
- Persönliche Wissensablage pro Team
- Schnelle Fragen zu eigenen Protokollen, Notizen, Konzepten
- Tagesgeschäft direkt unterstützt
Was vorher zu klären ist
- DSFA — Datenschutz-Folgen-Abschätzung
- DLP — Data-Loss-Prevention für Uploads
- Sperre für Kundendaten / personenbezogene Inhalte
- Pilot mit Positivliste vor Breitenrollout