Das KI-gestützte Compliance-Tool Regulatorik Radar von Consileon wird bereits seit einiger Zeit erfolgreich in der Finanzbranche eingesetzt. Nun gehen wir den nächsten Schritt und wollen auch Pharmaunternehmen in gleichem Maße unterstützen. Gemeinsam mit Regina Lackermeier (Ärztin und Healthcare Spezialistin) und Sebastian Wagmann (Product Owner der Software Lösung) haben wir darüber gesprochen, wie ein erfolgreicher Transfer für die Use-Cases in der Pharma-Branche gelingt und welche Vorteile die KI-gestützte Dokumenten- und Vertragsprüfung bietet. Bei Consileon leben wir eine ausgeprägte Du-Kultur und duzen entsprechend unsere Gesprächspartner.
Das Wichtigste aus dem Gespräch auf einen Blick:
Sebastian: Im Grunde ja. Sobald du deine Dokumente hochgeladen hast, prüft die KI die Inhalte anhand des hinterlegten regulatorischen Anforderungskatalogs und zeigt dir, wo bereits alles passt und an welchen Stellen noch etwas fehlt. So siehst du sofort, wo du stehst. Aber das Regulatorik-Radar kann sogar noch mehr. Es macht auch gleich Vorschläge, wie die Nutzer Lücken oder Fehler beheben können. So sparen Prüfer/Auditoren und Fachabteilungen enorm viel Zeit, insbesondere in der abteilungsübergreifenden Zusammenarbeit.
Regina: Das Regulatorik-Radar bietet klare Rollen- und Berechtigungskonzepte, die Unternehmen flexibel, nach ihren individuellen Anforderungen festlegen können. Sie können genau definieren, wer Dokumente hochladen kann, wer Ergebnisse sieht und wer berechtigt ist, administrative Anpassungen vorzunehmen. Die Verantwortung und die letzte Entscheidung für die regulatorische Bewertung liegen immer beim Menschen. Die KI hilft beim Finden, Sortieren und Strukturieren. Die Entscheidung, was das im konkreten Fall bedeutet, treffen weiterhin die Auditoren, Fachbereiche und Compliance Officer.
Sebastian: Nach dem Hochladen werden deine Dokumente automatisch in kleine Sinnabschnitte zerlegt. Diese Sinneinheiten sind nur für das KI-System lesbar und aus ihnen lässt sich nie mehr das vollständige Dokument zusammensetzen. Die Informationen bleiben komplett in ihrer eigenen, geschützten Umgebung. Niemand außer den nach dem Rollen- und Rechtekonzept autorisierten Personen hat Zugriff darauf. Wir haben auch bewusst auf eine Download-Funktion verzichtet, damit Dokumente nicht versehentlich die kontrollierte Umgebung verlassen können.
Für die Analyse zieht die KI lediglich die Textausschnitte heran, die für eine bestimmte Prüffrage relevant sind bzw. diese beantwortet. Und auch nur diese Ausschnitte bekommen die User angezeigt, damit Sie nachvollziehen können, wie die KI zu ihrer Einschätzung gekommen ist.
Sebastian: Alle Daten werden über eine vollständig verschlüsselte HTTPS-Verbindung übertragen. Das entspricht dem Industriestandard, den man von modernen und sicheren Anwendungen kennt. Eine zusätzliche VPN-Verbindung ist dabei nicht erforderlich. Innerhalb des Tools arbeitet alles in einer abgesicherten Umgebung, wahlweise in der MS Azure Cloud von Consileon, in der Azure Cloud des Kunden oder im OnPremise Betrieb im eigenen Rechenzentrum des Kunden. In allen Varianten haben ausschließlich autorisierte Nutzer Zugriff. Niemand muss sich also Sorgen machen, dass Daten bei der Übertragung in falsche Hände gelangen oder gar für das Training der KI genutzt werden könnten.
Sebastian: Nein, grundsätzlich nicht. Ob Administratoren auf Inhalte zugreifen dürfen, hängt vom ausdrücklichen Wunsch des Kunden ab. Wenn ein Unternehmen eine Unterstützung durch Consileon-Berater wünscht, kann es uns gezielt autorisieren, auf bestimmte Dokumente zuzugreifen, damit wir im Rahmen des Projekts arbeiten können. Ohne eine solche Autorisierung hat jedoch ausschließlich der Kunde selbst Zugriff. Dasselbe gilt für das Löschen von Daten. Es erfolgt nur durch entsprechend berechtigter Personen und immer nur auf ausdrückliche Anweisung des Kunden.
Regina: Viele Unternehmen tun das ganz bewusst, weil sie von den Vorteilen profitieren wollen. Dazu gehören Geschwindigkeit, Konsistenz und die Fähigkeit, große und unstrukturierte Dokumentenmengen präzise auszuwerten. Ein entscheidender Punkt ist dabei, dass die KI nie das ganze Dokument „sieht“. Sie verarbeitet nur die relevanten Auszüge, die sie für eine konkrete Prüffrage benötigt. Somit könnte auch in einem Worst-Case-Szenario der Anbieter der KI nie auf das vollständige Dokument zugreifen.
Wir nutzen zudem standardmäßig die Modelle von Azure Open-AI. Die Verträge stellen dabei sicher, dass es keine Datenweitergabe an OpenAI gibt, kein Training neuer KI-Modelle mit Kundendaten erfolgt und eine DSGVO-konforme Verarbeitung in Europa vorliegt. Der Schutz der Daten ist somit sowohl durch die Architektur unseres Systems als auch durch entsprechende Verträge mit Technologie-Providern garantiert.
Regina: Am besten, indem du ihnen aufzeigst, dass es auch für sie Vorteile bringt!
Die KI-Auswertung ist objektiv, schnell und bietet klare Nachweise. Außerdem legt der Lieferant seine Dokumente nicht „offen“, sondern nur die relevanten Textpassagen werden verarbeitet
Sebastian: Eigentlich alle Formate, die täglich genutzt werden: PDF, Word, Excel und PowerPoint. Bei PDF, lassen sich selbst gescannte Dokumente mühelos einbinden, dank integrierter OCR-Technologie, die Inhalte zuverlässig erkennt. Solange der Scan also halbwegs lesbar ist, funktioniert auch der Import ohne Schwierigkeiten.
Regina: Ja, das Tool wird validiert. Wir arbeiten mit Benchmark-Dokumenten, anhand derer die KI-Ergebnisse getestet werden. Über eine automatische Teststrecke prüfen wir regelmäßig die Richtigkeit und Zuverlässigkeit der Antworten. Wie ich vorher schon sagte, gibt unser Tool die relevanten Textstellen als Quelle an. Aus diesen Fragmenten kann sich der Nutzer selbst ein Urteil bilden, ob die Antwort auch aus seiner Sicht korrekt ist.
Sebastian: Die Grundlage der Ergebnisqualität bilden zum einen die hohe Zuverlässigkeit unseres Multi-Agenten KI-Systems und zum anderen die Qualität der Auditfragen. Für beides haben wir eine automatisierte Teststrecke entwickelt, um potenzielle Fehlerquellen bereits vor dem Rollout für unsere Kunden zu beheben. Die Projekte mit unseren Kunden aus der Finanzbranche zeigen bereits eine signifikante Trefferquote und haben die Umsetzung regulatorischer Projekte für unsere Kunden stark beschleunigt. Da die KI auch transparent die relevanten Textstellen und eine Begründung der Entscheidung mitliefert, ist der Mensch stets in der Lage die Ergebnisse nachzuvollziehen. „Fehler“ entstehen in der Praxis meist dann, wenn der Kunde relevante Dokumente übersehen hat. Oft zeigt sich dann erst anhand der KI-Begründung und der Textstellen, welche Unterlagen noch nachgeliefert werden müssen.
Sebastian: Die Abweichungen sind sehr gering. Ein wesentlicher Grund dafür sind präzise gestellte Fragen mit geringem Interpretationsspielraum und die guten “Denkprozesse“ unseres KI-Systems. Zudem bezieht unsere KI, anders als ChatGPT, keine Informationen aus dem öffentlichen Internet, sondern arbeitet nur mit dem von uns bereitgestellten qualitätsgesicherten Fachwissen. Das erhöht die Ergebnisstabilität enorm. Während ChatGPT als General-Purpose-KI auf maximale Flexibilität ausgelegt ist, verfolgen wir einen völlig anderen Ansatz. Unser System ist darauf spezialisiert, eine bestimmte Aufgabe mit hoher Präzision zu erfüllen. Unter diesen Bedingungen liegen die Abweichungen erfahrungsgemäß bei nur rund 2 %, was einer Stabilität von etwa 98% entspricht.
Regina: Wir sind da flott unterwegs. Eine Analyse von 100 Einzelanforderungen dauert im Schnitt unter 3 Minuten, unabhängig davon, wie umfangreich die Dokumente sind.
Regina: Wir erfüllen alle etablierten Sicherheitsstandards: Verschlüsselung, abgeschottete Serverumgebungen und regelmäßige Sicherheits- und Systemtests. Auf diese Weise sind die Daten umfassend gegen alle gängigen Cyber-Bedrohungen geschützt. Wir zeigen Interessierten gerne unsere einzelnen Maßnahmen auf. Das würde aber hier im Gespräch zu weit führen. Selbstverständlich sind auch individuelle Anpassungen möglich.
Regina: Grundsätzlich so lange, wie es die Nutzer möchten. Aus Datenschutzgründen kann es aber notwendig sein, dass einzelne Dokumente gelöscht werden. Das ist jederzeit möglich. Gelöschte Dokumente sind dann tatsächlich vollständig entfernt, da wir aus Sicherheitsgründen keine Kundendokumente speichern, die bereits gelöscht wurden. Sie können selbstverständlich jederzeit erneut hochgeladen werden. Die Prüfergebnisse hingegen werden für eine gewisse Zeit als Backup gespeichert und können bei Bedarf von einem Administrator wiederhergestellt werden.