DE
HomeKI-Compliance › Audit-Readiness

FMA · RTR · DSB · Nachweise

Audit-Readiness: KI-Governance, die wirklich geprüft werden kann

Prüfbare KI-Governance entsteht nicht erst, wenn eine Behörde anfragt. Sie entsteht durch vollständige Inventare, klare Rollen, aktuelle Nachweise und geübte Meldewege.

Das Missverständnis: Governance auf dem Papier

Viele Organisationen starten KI-Compliance mit Richtlinien, Schulungsnachweisen und einem ersten Inventar. Das ist notwendig, aber nicht ausreichend. Entscheidend ist, ob die beschriebenen Prozesse funktionieren: Wird das Inventar aktualisiert? Sind Verantwortliche geschult? Können Logs, Entscheidungen und Kontrollen im Ernstfall rekonstruiert werden?

Behördenstruktur in Österreich

StelleRelevanz für Finanzinstitute
FMASektorspezifische Aufsicht für Banken, Versicherungen und Wertpapierdienstleister; KI-Governance kann über bestehende Aufsichts- und Risikomanagementpflichten relevant werden.
RTR KI-ServicestelleInformationshub und Service Desk zum AI Act. Die endgültige nationale Zuständigkeitsverteilung ist weiterhin im konkreten Rechtsrahmen zu prüfen.
DSBDatenschutzaufsicht bei personenbezogenen Daten, DSFA, Betroffenenrechten und Datenpannen.
OeNBRelevant im Meldewesen- und Stabilitätskontext, auch wenn sie keine allgemeine KI-Marktüberwachungsbehörde ist.

Was prüfbar sein muss

Für Betreiber von Hochrisiko-KI-Systemen stehen Art. 26 EU AI Act, sektorale Aufsichtspflichten, DSGVO, DORA und arbeitsrechtliche Anforderungen nebeneinander. Audit-Readiness bedeutet daher nicht ein einzelnes Dokument, sondern eine belastbare Nachweiskette.

  • vollständiges KI-Inventar inklusive Vendor-KI, GPAI-Tools und Shadow-KI
  • Risikoklassifikation und Rollenklärung je System
  • Art.-26-Lückenanalyse für Hochrisiko-Systeme
  • FRIA für die konkret erfassten Fälle, insbesondere Annex III 5(b) und 5(c)
  • Protokollierung, Log-Aufbewahrung und menschliche Aufsicht
  • Behördenkontakte, Eskalationswege und Meldepfade für AI Act, DSGVO, DORA und NISG 2026

Interne und externe Dimension

Interne Dimension

Dokumentation muss aktuell, auffindbar und operativ belastbar sein. Rollen dürfen nicht nur in PowerPoint existieren, sondern müssen in Prozessen, Tickets, Freigaben und Kontrollhandlungen sichtbar werden.

Externe Dimension

Das Institut sollte wissen, welche Stelle für welchen Vorfall oder welche Anfrage zuständig ist. Das betrifft FMA, DSB, die nationale KI-Zuständigkeit nach Umsetzung, CERT.at beziehungsweise die Cybersicherheitsbehörde und interne Erstkontakte.

Audit-Readiness-Checkliste

  • KI-Inventar vollständig und mit Ownern versehen
  • Risikoklassifikation dokumentiert und freigegeben
  • Human Oversight benannt, geschult und nachweisbar aktiv
  • Logs und Entscheidungsgrundlagen rekonstruierbar
  • FRIA- und DSFA-Pflichten getrennt, aber koordiniert geprüft
  • Meldeprozesse für AI Act, DSGVO, DORA und NISG 2026 mit Fristen hinterlegt
  • ArbVG-Prüfung für Mitarbeiterdaten und Kontrollsysteme dokumentiert

Möchten Sie wissen, wo Ihr Institut steht?

Gerne besprechen wir Ihre konkrete Situation und priorisieren die nächsten Schritte für eine prüfbare KI-Governance.

Erstgespräch vereinbaren

Quellen

Hinweis: Diese Seite beschreibt organisatorische Prüfbereitschaft und ersetzt keine Rechtsberatung oder behördliche Auskunft. Nationale AI-Act-Zuständigkeiten sind im Einzelfall anhand der aktuellen Umsetzung zu prüfen. Stand: Juni 2026.