Ein Interview mit Regina Lackermeier und Sebastian Wagmann
Das KI-gestützte Compliance-Tool Regulatorik Radar von Consileon wird bereits seit einiger Zeit erfolgreich in der Finanzbranche eingesetzt. Nun gehen wir den nächsten Schritt und wollen auch Pharmaunternehmen in gleichem Maße unterstützen. Gemeinsam mit Regina Lackermeier (Ärztin und Healthcare Spezialistin) und Sebastian Wagmann (Product Owner der Software Lösung) haben wir darüber gesprochen, wie ein erfolgreicher Transfer für die Use-Cases in der Pharma-Branche gelingt und welche Vorteile die KI-gestützte Dokumenten- und Vertragsprüfung bietet. Bei Consileon leben wir eine ausgeprägte Du-Kultur und duzen entsprechend unsere Gesprächspartner.
Das Wichtigste aus dem Gespräch auf einen Blick:
- Schnelle Dokumentenanalyse: Auf Knopfdruck vollständige KI-gestützte Auswertung inkl. Vorschläge zur Fehlerbehebung
- Flexibles Rechte- und Rollenkonzept: Unternehmen bestimmen selbst, wer hochladen, einsehen oder administrieren darf
- Maximale Datensicherheit: Nur relevante Textstellen werden verarbeitet, kein gesamter Dokumenteninhalt sichtbar, keine Weitergabe an OpenAI
- Höchste Ergebnisstabilität: Präzise Auditfragen + Multi-Agenten-KI-System führen zu ~98 % Reproduzierbarkeit (bei gleicher Anfrage stets dasselbe Ergebnis)
- Breite Formatunterstützung: PDF, Word, Excel, PowerPoint, inkl. OCR für gescannte Dokumente
- Extrem schnelle Auswertung: Analyse von 100 Einzelanforderungen in unter 3 Minuten
- Hosting nach Wahl: Azure-Cloud (Consileon oder Kundensystem) oder On-Premise
- Backup & Dokumentenspeicherung: Dokumentenspeicherung so lange wie gewünscht, Ergebnisse werden temporär gesichert und sind wiederherstellbar
Wenn ich mir unsere Unterlagen so ansehe, dann bekomme ich immer wieder gesagt, dass das Regulatorik-Radar das Leben unserer Kunden sehr viel einfacher macht. Ist das denn wirklich so? Erhalte ich tatsächlich auf Knopfdruck eine komplette Analyse meiner Dokumente?
Sebastian: Im Grunde ja. Sobald du deine Dokumente hochgeladen hast, prüft die KI die Inhalte anhand des hinterlegten regulatorischen Anforderungskatalogs und zeigt dir, wo bereits alles passt und an welchen Stellen noch etwas fehlt. So siehst du sofort, wo du stehst. Aber das Regulatorik-Radar kann sogar noch mehr. Es macht auch gleich Vorschläge, wie die Nutzer Lücken oder Fehler beheben können. So sparen Prüfer/Auditoren und Fachabteilungen enorm viel Zeit, insbesondere in der abteilungsübergreifenden Zusammenarbeit.
Wie geht das Tool denn mit Verantwortlichkeiten in der Organisation unserer Kunden um?
Regina: Das Regulatorik-Radar bietet klare Rollen- und Berechtigungskonzepte, die Unternehmen flexibel, nach ihren individuellen Anforderungen festlegen können. Sie können genau definieren, wer Dokumente hochladen kann, wer Ergebnisse sieht und wer berechtigt ist, administrative Anpassungen vorzunehmen. Die Verantwortung und die letzte Entscheidung für die regulatorische Bewertung liegen immer beim Menschen. Die KI hilft beim Finden, Sortieren und Strukturieren. Die Entscheidung, was das im konkreten Fall bedeutet, treffen weiterhin die Auditoren, Fachbereiche und Compliance Officer.
Was passiert denn mit meinen hochgeladenen Dokumenten?
Sebastian: Nach dem Hochladen werden deine Dokumente automatisch in kleine Sinnabschnitte zerlegt. Diese Sinneinheiten sind nur für das KI-System lesbar und aus ihnen lässt sich nie mehr das vollständige Dokument zusammensetzen. Die Informationen bleiben komplett in ihrer eigenen, geschützten Umgebung. Niemand außer den nach dem Rollen- und Rechtekonzept autorisierten Personen hat Zugriff darauf. Wir haben auch bewusst auf eine Download-Funktion verzichtet, damit Dokumente nicht versehentlich die kontrollierte Umgebung verlassen können.
Für die Analyse zieht die KI lediglich die Textausschnitte heran, die für eine bestimmte Prüffrage relevant sind bzw. diese beantwortet. Und auch nur diese Ausschnitte bekommen die User angezeigt, damit Sie nachvollziehen können, wie die KI zu ihrer Einschätzung gekommen ist.
Wie sicher werden meine Daten übertragen? Brauche ich eine VPN-Verbindung?
Sebastian: Alle Daten werden über eine vollständig verschlüsselte HTTPS-Verbindung übertragen. Das entspricht dem Industriestandard, den man von modernen und sicheren Anwendungen kennt. Eine zusätzliche VPN-Verbindung ist dabei nicht erforderlich. Innerhalb des Tools arbeitet alles in einer abgesicherten Umgebung, wahlweise in der MS Azure Cloud von Consileon, in der Azure Cloud des Kunden oder im OnPremise Betrieb im eigenen Rechenzentrum des Kunden. In allen Varianten haben ausschließlich autorisierte Nutzer Zugriff. Niemand muss sich also Sorgen machen, dass Daten bei der Übertragung in falsche Hände gelangen oder gar für das Training der KI genutzt werden könnten.
Man sagt ja immer, vor dem Admin kann man sich nicht schützen. Können denn die Administratoren Dokumente einsehen oder kopieren?
Sebastian: Nein, grundsätzlich nicht. Ob Administratoren auf Inhalte zugreifen dürfen, hängt vom ausdrücklichen Wunsch des Kunden ab. Wenn ein Unternehmen eine Unterstützung durch Consileon-Berater wünscht, kann es uns gezielt autorisieren, auf bestimmte Dokumente zuzugreifen, damit wir im Rahmen des Projekts arbeiten können. Ohne eine solche Autorisierung hat jedoch ausschließlich der Kunde selbst Zugriff. Dasselbe gilt für das Löschen von Daten. Es erfolgt nur durch entsprechend berechtigter Personen und immer nur auf ausdrückliche Anweisung des Kunden.
Man könnte auch mal ganz flapsig fragen, wer denn freiwillig seine vertraulichen Daten in eine KI hochladen würde?
Regina: Viele Unternehmen tun das ganz bewusst, weil sie von den Vorteilen profitieren wollen. Dazu gehören Geschwindigkeit, Konsistenz und die Fähigkeit, große und unstrukturierte Dokumentenmengen präzise auszuwerten. Ein entscheidender Punkt ist dabei, dass die KI nie das ganze Dokument „sieht“. Sie verarbeitet nur die relevanten Auszüge, die sie für eine konkrete Prüffrage benötigt. Somit könnte auch in einem Worst-Case-Szenario der Anbieter der KI nie auf das vollständige Dokument zugreifen.
Wir nutzen zudem standardmäßig die Modelle von Azure Open-AI. Die Verträge stellen dabei sicher, dass es keine Datenweitergabe an OpenAI gibt, kein Training neuer KI-Modelle mit Kundendaten erfolgt und eine DSGVO-konforme Verarbeitung in Europa vorliegt. Der Schutz der Daten ist somit sowohl durch die Architektur unseres Systems als auch durch entsprechende Verträge mit Technologie-Providern garantiert.
Wie kann ich aus eurer Erfahrung heraus Lieferanten davon überzeugen, ihre Dokumente in das Regulatorik-Radar hochzuladen?
Regina: Am besten, indem du ihnen aufzeigst, dass es auch für sie Vorteile bringt!
Die KI-Auswertung ist objektiv, schnell und bietet klare Nachweise. Außerdem legt der Lieferant seine Dokumente nicht „offen“, sondern nur die relevanten Textpassagen werden verarbeitet
Welche Dateiformate unterstützt das Tool?
Sebastian: Eigentlich alle Formate, die täglich genutzt werden: PDF, Word, Excel und PowerPoint. Bei PDF, lassen sich selbst gescannte Dokumente mühelos einbinden, dank integrierter OCR-Technologie, die Inhalte zuverlässig erkennt. Solange der Scan also halbwegs lesbar ist, funktioniert auch der Import ohne Schwierigkeiten.
Wird das Tool validiert und steht dazu eine entsprechende Dokumentation zur Verfügung?
Regina: Ja, das Tool wird validiert. Wir arbeiten mit Benchmark-Dokumenten, anhand derer die KI-Ergebnisse getestet werden. Über eine automatische Teststrecke prüfen wir regelmäßig die Richtigkeit und Zuverlässigkeit der Antworten. Wie ich vorher schon sagte, gibt unser Tool die relevanten Textstellen als Quelle an. Aus diesen Fragmenten kann sich der Nutzer selbst ein Urteil bilden, ob die Antwort auch aus seiner Sicht korrekt ist.
Wie zuverlässig erkennt das Regulatorik-Radar Fehler oder Lücken in einem Prüfprozess?
Sebastian: Die Grundlage der Ergebnisqualität bilden zum einen die hohe Zuverlässigkeit unseres Multi-Agenten KI-Systems und zum anderen die Qualität der Auditfragen. Für beides haben wir eine automatisierte Teststrecke entwickelt, um potenzielle Fehlerquellen bereits vor dem Rollout für unsere Kunden zu beheben. Die Projekte mit unseren Kunden aus der Finanzbranche zeigen bereits eine signifikante Trefferquote und haben die Umsetzung regulatorischer Projekte für unsere Kunden stark beschleunigt. Da die KI auch transparent die relevanten Textstellen und eine Begründung der Entscheidung mitliefert, ist der Mensch stets in der Lage die Ergebnisse nachzuvollziehen. „Fehler“ entstehen in der Praxis meist dann, wenn der Kunde relevante Dokumente übersehen hat. Oft zeigt sich dann erst anhand der KI-Begründung und der Textstellen, welche Unterlagen noch nachgeliefert werden müssen.
Wir sehen z.B. bei ChatGPT im täglichen Gebrauch immer wieder, dass wenn ich die gleiche Frage wieder stelle, unterschiedliche Ergebnisse rauskommen. Wie stellt sich das denn beim Regulatorik-Radar dar?
Sebastian: Die Abweichungen sind sehr gering. Ein wesentlicher Grund dafür sind präzise gestellte Fragen mit geringem Interpretationsspielraum und die guten “Denkprozesse“ unseres KI-Systems. Zudem bezieht unsere KI, anders als ChatGPT, keine Informationen aus dem öffentlichen Internet, sondern arbeitet nur mit dem von uns bereitgestellten qualitätsgesicherten Fachwissen. Das erhöht die Ergebnisstabilität enorm. Während ChatGPT als General-Purpose-KI auf maximale Flexibilität ausgelegt ist, verfolgen wir einen völlig anderen Ansatz. Unser System ist darauf spezialisiert, eine bestimmte Aufgabe mit hoher Präzision zu erfüllen. Unter diesen Bedingungen liegen die Abweichungen erfahrungsgemäß bei nur rund 2 %, was einer Stabilität von etwa 98% entspricht.
Wie schnell ist denn das Tool; gerade bei großen Dokumentenmengen?
Regina: Wir sind da flott unterwegs. Eine Analyse von 100 Einzelanforderungen dauert im Schnitt unter 3 Minuten, unabhängig davon, wie umfangreich die Dokumente sind.
Derzeit ist die Gefahr virtueller Angriffe in aller Munde. Wie sicher ist eure Anwendung gegen Cyber-Angriffe geschützt?
Regina: Wir erfüllen alle etablierten Sicherheitsstandards: Verschlüsselung, abgeschottete Serverumgebungen und regelmäßige Sicherheits- und Systemtests. Auf diese Weise sind die Daten umfassend gegen alle gängigen Cyber-Bedrohungen geschützt. Wir zeigen Interessierten gerne unsere einzelnen Maßnahmen auf. Das würde aber hier im Gespräch zu weit führen. Selbstverständlich sind auch individuelle Anpassungen möglich.
Wie lange können Dokumente im Tool gespeichert werden oder muss man diese immer wieder neu hochladen?
Regina: Grundsätzlich so lange, wie es die Nutzer möchten. Aus Datenschutzgründen kann es aber notwendig sein, dass einzelne Dokumente gelöscht werden. Das ist jederzeit möglich. Gelöschte Dokumente sind dann tatsächlich vollständig entfernt, da wir aus Sicherheitsgründen keine Kundendokumente speichern, die bereits gelöscht wurden. Sie können selbstverständlich jederzeit erneut hochgeladen werden. Die Prüfergebnisse hingegen werden für eine gewisse Zeit als Backup gespeichert und können bei Bedarf von einem Administrator wiederhergestellt werden.
