Für Sparkassen und Volksbanken

AI-Governance für Sparkassen und Volksbanken

Copilot und GenAI sind im Microsoft-365-Umfeld technisch verfügbar. Die Freigabe scheitert in vielen Sparkassen und Volksbanken nicht am Tool, sondern an offenen Fragen zu DORA, Revision, Nachweisführung und fehlender Inventarisierung. Reemento macht den GenAI-Einsatz im M365-Stack audit- und rollout-fähig.

Realität in der Branche

Copilot ist da.
Die Governance noch nicht.

In vielen Sparkassen und Volksbanken ist Microsoft 365 Copilot technisch ausrollbar. Die Lizenz liegt vor, erste Pilotgruppen sind definiert. Doch die tatsächliche Freigabe bleibt aus, weil zentrale Governance-Fragen ungeklärt sind.

DORA verlangt eine nachvollziehbare Steuerung von IKT-Drittanbieterrisiken und schließt KI-Systeme im Einsatzkontext regulierter Institute explizit ein. Die BaFin erwartet eine dokumentierte Einordnung neuer Technologien in bestehende Risikosteuerungsprozesse. MaRisk und BAIT setzen Kontrollstrukturen voraus, die bei GenAI-Tools häufig noch nicht existieren.

Gleichzeitig wächst intern der Druck: Fachbereiche fordern Produktivitätsgewinne, IT-Abteilungen möchten ausrollen, und Vorstand oder Verwaltungsrat erwarten klare Aussagen zu Chancen und Risiken.

Copilot ist lizenziert, aber nicht revisionsfähig freigegeben
DORA-Anforderungen an IKT-Risiken und AI-Nutzung sind nicht operativ abgebildet
Kein zentrales AI-Inventar mit Einsatzkontexten und Verantwortlichen
Historisch gewachsene SharePoint-Berechtigungen schaffen Oversharing-Risiken
Datenschutz, Security und Revision haben keine belastbare Entscheidungsgrundlage

Typische Herausforderungen

Woran Governance-Vorhaben
in der Praxis scheitern.

Die meisten Sparkassen und Volksbanken haben bereits interne Arbeitsgruppen gebildet, Workshops durchgeführt oder erste Piloten gestartet. Dennoch fehlt häufig das operative Fundament, das Revision und Aufsicht tatsächlich akzeptieren.

Historisch gewachsene Berechtigungen: SharePoint-Strukturen mit breiten Zugriffen sind über Jahre gewachsen. Copilot macht diese Altlasten zum akuten Oversharing-Risiko.
Fehlende AI-Inventarisierung: Es gibt keine zentrale Übersicht, welche KI-Systeme im Einsatz sind, wer sie verantwortet und in welchem Risikokontext sie stehen.
Kein Evidence-System: Einzelne Maßnahmen werden umgesetzt, aber nicht nachweisbar dokumentiert. Revision und Prüfer finden kein strukturiertes Nachweispaket vor.
DORA-Mapping fehlt: Die Zuordnung von AI-Einsatz zu IKT-Risikomanagement, Drittanbietersteuerung und Auslagerungsregister ist nicht hergestellt.
Abstimmungsschleifen ohne Ergebnis: Zwischen IT, Compliance, Datenschutz, Security und Revision drehen sich Gespräche im Kreis, weil eine gemeinsame Faktengrundlage fehlt.

Was Reemento liefert

Operative Governance.
Im M365-Stack. Mit DORA-Anschluss.

Reemento baut die Governance-Struktur auf, die Sparkassen und Volksbanken brauchen, um GenAI revisionsfähig freizugeben: AI-Inventar, Controls, Evidence und Operating Model -- direkt im Microsoft-365-Stack.

AI-Inventar mit DORA-Mapping

Zentrale Inventarisierung aller KI-Systeme im Einsatz, mit Einsatzkontext, Verantwortlichen, Risikoklassifikation und Zuordnung zu IKT-Risikomanagement und Auslagerungsregister.

Controls im M365-Stack

Purview, Entra, DLP, Labels und SharePoint-Berechtigungen dort konfiguriert, wo Copilot und GenAI tatsächlich auf Daten zugreifen. Keine Empfehlungen, sondern wirksame Konfiguration.

Evidence Pack für Revision

Strukturierte Nachweise, Exporte und Entscheidungsdokumentation, die Revision, Datenschutz und interne Prüfer direkt verwenden können -- ohne Rückfragen.

Operating Model

Rollen, Review-Zyklen, Stage-Gates und Eskalationspfade, damit neue Use Cases kontrolliert aufgenommen werden und die Governance nach Projektende nicht veraltet.

Alle Ergebnisse sind anschlussfähig an bestehende MaRisk-/BAIT-Prozesse und IKS-Strukturen.

Relevante Pakete

Klare Einstiegspunkte.
Kein Pauschalangebot.

Je nach Reifegrad und Dringlichkeit beginnt die Zusammenarbeit mit einem Quick Scan oder direkt mit dem Aufbau der Control Baseline.

Paket 0: Quick Scan

Strukturierte Erstbewertung in 3-5 Tagen: Shadow AI, Oversharing-Risiken, Top-10 Findings und priorisierter 30/60/90-Plan.

3.500-5.000 EUR

Paket A: AI Control Baseline

Belastbare Baseline mit AI-Inventar, Owner-Zuordnung, Risikoklassifikation und Gap-Analyse als Grundlage für Freigabeentscheidungen.

8-12k EUR

Paket B: Governance Sprint

Operative Umsetzung: Controls im M365-Stack konfiguriert, Evidence Pack aufgebaut, Operating Model etabliert.

18-35k EUR

Paket C: Retainer

Laufende Governance: Review-Zyklen, Evidence Refresh, neue Use Cases, Regulatory Monitoring und DORA-Updates.

2-5k EUR / Monat

Weiterführend

Relevante Themen
für Sparkassen und Volksbanken.

Copilot Governance im M365-Stack -- Controls und Konfiguration für den sicheren Copilot-Einsatz
DORA und KI-Governance -- IKT-Risikomanagement und AI-Inventar im Kontext von DORA
AI-Inventar -- Zentrale Inventarisierung von KI-Systemen mit Risikoklassifikation
Evidence Pack -- Nachweisstrukturen für Revision, Datenschutz und Compliance
EU AI Act und Microsoft 365 -- Einordnung und operative Umsetzung im M365-Umfeld

Copilot freigabefähig machen.
Strukturiert statt improvisiert.

Wenn Copilot oder andere GenAI-Funktionen eingeführt werden sollen, aber Revision, DORA oder fehlende Nachweise die Freigabe blockieren, ist der nächste sinnvolle Schritt eine strukturierte Erstbewertung.

Kostenlosen Erstgespräch buchen Erstgespräch buchen

Kurzes Gespräch. Klarer Scope. Kein generisches Verkaufsgespräch.