Das Modell funktioniert. Der Betrieb nicht.

Es ist ein wiederkehrendes Muster: Ein KI-Pilot überzeugt im Test, scheitert aber an der Produktivsetzung. Der Grund liegt selten in der Modellqualität. Er liegt in der Architektur. Viele Systeme lassen sich nicht produktiv betreiben, weil zentrale Anforderungen wie Auditierbarkeit, Reproduzierbarkeit und kontrollierbare Datenverarbeitung technisch nicht erfüllt sind. Was im Labor funktioniert, fällt in der Prüfung durch.

In der regulierten Finanzwelt ist das kein Schönheitsfehler, sondern ein Ausschlusskriterium. Ein System, dessen Datenverarbeitung sich nicht nachvollziehen und kontrollieren lässt, geht nicht live, egal wie gut das Modell ist. Die Frage ist deshalb nicht, ob das Modell klug genug ist, sondern ob der Betrieb prüfbar ist.

Was Cloud-Souveränität konkret bedeutet

Cloud-Souveränität meint die Kontrolle darüber, wo die Daten liegen, wer auf sie zugreift und unter welcher Rechtsordnung sie verarbeitet werden. Für ein Finanzinstitut ist das keine technische Feinheit, sondern die Grundlage der Beherrschbarkeit. Nur wenn das Institut diese Kontrolle hat, kann es seine regulatorischen Pflichten gegenüber Aufsicht und Kunden erfüllen.

Ohne diese Kontrolle entstehen Lücken, die im Betrieb zum Problem werden. Wenn unklar ist, wo Daten verarbeitet werden oder wer Zugriff hatte, lässt sich der Betrieb nicht prüfungsfest dokumentieren. Genau diese Dokumentierbarkeit ist es, die über die Produktivsetzung entscheidet, und sie hängt unmittelbar an der Souveränität über die zugrunde liegende Infrastruktur.

Der AI Act macht das zur Pflicht

Mit dem AI Act wird aus der guten Praxis eine Pflicht. Für Hochrisiko-Anwendungen, zu denen im Finanzbereich etwa die Kreditwürdigkeitsbewertung natürlicher Personen sowie die Risikobewertung und Preisgestaltung in der Lebens- und Krankenversicherung zählen, verlangt die Verordnung unter anderem die Protokollierung von Abläufen, die Nachvollziehbarkeit der Entscheidungen und eine wirksame menschliche Aufsicht.

Diese Anforderungen lassen sich nur erfüllen, wenn der Betrieb von Grund auf auf Auditierbarkeit und kontrollierbare Datenverarbeitung ausgelegt ist. Ein System, das diese Eigenschaften nicht hat, ist nicht nur schwer zu betreiben, es ist im Hochrisikobereich schlicht nicht zulässig. Der AI Act verschärft damit genau die Anforderung, an der KI-Projekte ohnehin schon scheitern.

Warum die Architektur den Ausschlag gibt

Der Reiz eines KI-Piloten liegt in seiner Schnelligkeit. Man nimmt ein leistungsfähiges Modell, füttert es mit Daten und erhält beeindruckende Ergebnisse. Genau diese Schnelligkeit verführt dazu, die Architekturfragen auszublenden, weil sie das Projekt verlangsamen. Im Pilotstadium fällt das nicht auf, weil niemand prüft, wo die Daten lagen oder wer Zugriff hatte. Erst bei der Produktivsetzung holen diese Fragen das Projekt ein.

Dann zeigt sich, dass ein beeindruckender Pilot ohne tragfähige Architektur wertlos ist, weil er nie in den Betrieb gelangt. Die Arbeit, die im Piloten gespart wurde, muss nachgeholt werden, oft unter Zeitdruck und mit dem Risiko, dass sich Daten nicht mehr rekonstruieren lassen. Wer die Architektur von Anfang an mitdenkt, ist langsamer im Piloten, aber schneller im Betrieb.

Souveränität ist kein Alles-oder-nichts

Cloud-Souveränität bedeutet nicht zwingend, alles im eigenen Rechenzentrum zu betreiben. Sie bedeutet, die Kontrolle über die entscheidenden Fragen zu behalten: Wo liegen die Daten, wer greift zu, unter welcher Rechtsordnung. Diese Kontrolle lässt sich auch in modernen Betriebsmodellen sicherstellen, sofern sie von Anfang an als Anforderung gesetzt wird. Entscheidend ist die bewusste Wahl, nicht der Verzicht auf jede externe Infrastruktur.

Wer diese Wahl bewusst trifft, kann die Vorteile moderner Infrastruktur nutzen und zugleich die regulatorischen Anforderungen erfüllen. Wer sie dem Zufall überlässt, riskiert, dass die Daten an Orten oder unter Bedingungen verarbeitet werden, die sich später nicht verantworten lassen. Souveränität ist damit eine Frage der bewussten Gestaltung, nicht der Technologie allein.

Architektur vor Modell

Daraus folgt eine klare Reihenfolge. Wer KI produktiv und prüfbar betreiben will, muss zuerst die Architektur klären, bevor er sich auf das Modell konzentriert. Die Fragen nach Datenhoheit, Auditierbarkeit und Kontrolle gehören an den Anfang, nicht ans Ende. Ein Pilot, der diese Fragen ausklammert, mag beeindrucken, aber er führt in eine Sackgasse, weil er nie in den Betrieb gelangt.

Wir helfen Ihnen, Ihre KI-Vorhaben von Anfang an auf einen prüfbaren, souveränen Betrieb auszulegen, damit das Modell nicht im Pilotstadium stecken bleibt, sondern produktiv und aufsichtskonform läuft. Beginnen Sie mit einer Sprechstunde.