Zum Hauptinhalt springen
Compliance & Risk

KI für Compliance-Monitoring — Automatisierte Prüfung 2026 für regulierte Branchen

Kontinuierliches Compliance-Monitoring mit LLM-Klassifizierung statt Stichproben-Audits. Praxis-Setup für Banken, Versicherer und Pharma in Österreich.

Von Andreas Will10 Min. Lesezeit
BankingVersicherungPharmaGovernment

Das Problem

Compliance-Audits laufen in den meisten regulierten Unternehmen 2026 immer noch nach demselben Muster wie 2010: Einmal pro Quartal zieht das Compliance-Team eine zufällige Stichprobe aus Verträgen, E-Mails oder Beratungsprotokollen, prüft sie manuell auf Verstöße und schreibt einen Bericht. Das Ergebnis: Verstöße werden im Median 23 Tage nach dem Vorfall entdeckt, manche tauchen erst durch eine FMA-Anfrage auf, und zwei Drittel der Compliance-Kapazität geht in das Lesen von Texten, die sich am Ende als unauffällig herausstellen. Genau hier setzt kontinuierliches Monitoring mit KI an — nicht als Ersatz für die Compliance-Officer, sondern als Pre-Filter, der die richtigen 5 Prozent der Fälle auf den Tisch der Officer bringt.

So funktioniert die KI-Lösung

Ein produktionsreifes Compliance-Monitoring-System besteht aus fünf Bausteinen. Zuerst die Datenquellen-Anbindung: E-Mail-Postfächer über IMAP oder Microsoft Graph, das Vertrags-Repository (DocuWare, SharePoint, OpenText), das Ticket-System (ServiceNow, Jira) und die relevanten Audit-Logs aus dem Kernbankensystem oder Policy-System.

Darauf setzt der Klassifizierungs-LLM: ein EU-gehostetes Modell mit DPA — kein US-Cloud-Anbieter ohne TIA, kein OpenAI ohne ChatGPT-Enterprise-EU, sondern Anthropic Claude über EU-Endpoint oder ein selbstgehostetes Llama auf eigener GPU. Das Modell klassifiziert eingehende Texte nach einem firmen-spezifischen Regelwerk: Bestechungs-Indikatoren, Insider-Trading-Signale, unzulässige Beratung, Datenschutz-Verstöße, Sanktionslisten-Treffer.

Die dritte Schicht ist der Regelwerk-Layer: Hier liegen die firmen-spezifischen Compliance-Regeln als prüfbare Logik, nicht als PDF. Die vierte Schicht ist der Eskalations-Workflow: ab einem bestimmten Confidence-Score geht ein Case an den zuständigen Compliance-Officer mit voller Begründung. Die fünfte Schicht — und die wird gern vergessen — ist das Audit-Trail-Logging: jeder Scan, jede Klassifizierung, jede Entscheidung wird revisionssicher protokolliert.

Architektur-Skizze

Typisches Setup für einen mittelgroßen Versicherer oder eine Regionalbank:

  • Datenquellen: Microsoft Graph (E-Mail, Teams), DocuWare oder SharePoint (Verträge), ServiceNow (Tickets), Kafka-Stream aus dem Kernsystem für Transaktions-Logs
  • Ingest-Layer: Apache Airflow oder Prefect für orchestrierte Pipelines, Daten landen in einem Data-Lake (S3-kompatibel, EU-Region) mit DSGVO-konformer Verschlüsselung at-rest
  • Klassifizierungs-LLM: Anthropic Claude Sonnet 4.5 mit EU-Routing und DPA, alternativ selbstgehostetes Llama 4 70B auf NVIDIA H100 in Wien/Frankfurt
  • Regelwerk-Layer: Drools oder OPA (Open Policy Agent) für deterministische Regeln, die der LLM-Output validieren muss
  • Eskalations-Workflow: Camunda BPM oder ServiceNow Workflow für Case-Management, Vier-Augen-Prinzip in den Approvals
  • Audit-Trail: Append-only-Logs in PostgreSQL mit Time-Travel, plus Sigstore-signierte Hashes für Revisionssicherheit
  • Hosting: vollständig EU-Region (Hetzner Wien, Open Telekom Cloud, oder Microsoft Azure Frankfurt mit EU-Data-Boundary)

DSGVO und EU AI Act

Hier wird es ernst — und genau hier scheitern die meisten Projekte, wenn sie zu schnell aus dem Pilot in die Produktion gehen.

Mitarbeiter-Kommunikation zu analysieren ist datenschutzrechtlich sensibel: Es greift Artikel 88 DSGVO, das österreichische DSG, das ArbVG und in vielen Fällen sektorspezifisches Recht (BWG, VAG, AMG). Konkret heißt das: Betriebsrat einbinden ist Pflicht, ebenso der Datenschutzbeauftragte. Die Zweckbindung muss klar dokumentiert sein — "Compliance-Monitoring im Rahmen regulatorischer Pflichten" trägt, "allgemeine Überwachung" trägt nicht.

Beim EU AI Act ist die Einstufung kritisch: Sobald das System automatisierte Compliance-Entscheidungen trifft oder wesentlich vorbereitet, fällt es unter Anhang III als Hochrisiko-KI. Damit greifen Konformitätsbewertung, DPIA, technische Dokumentation, Human-Oversight-Konzept, Robustheits-Tests und Registrierung in der EU-Datenbank. Wir empfehlen den expliziten Cut: die KI gibt eine Vorklassifizierung mit Begründung, die finale Entscheidung trifft immer ein Mensch. Damit bleibt das System knapp unter der Hochrisiko-Schwelle — und falls sich die Auslegung verschiebt, ist die Dokumentation trotzdem da.

ROI-Beispiel

Reales Setup eines mittelgroßen österreichischen Versicherers, ATX-notiert, 4.200 Mitarbeiter, durchschnittlich 1,8 Millionen E-Mails und 180.000 Vertragsänderungen pro Jahr:

KennzahlVorherNach 9 MonatenDifferenz
Verstoß-Erkennung (Median)23 Tage1 Tag-96 %
Compliance-Aufwand (FTE)14 FTE9 FTE-5 FTE
Stichproben-Coverage2 %100 %+98 Pkt
Bußgelder durch Spät-Erkennung€280k / Jahr€0-€280k
Audit-Vorbereitungszeit6 Wochen4 Tage-90 %

Setup-Kosten: €180.000 (28-Wochen-Implementation inkl. Datenintegration, LLM-Tuning, Camunda-Workflows, Betriebsvereinbarung-Begleitung). Laufende Kosten: rund €9.500 pro Monat (LLM-Calls, Hosting, Lizenzen, DSB-Begleitung). Amortisation nach 14 Monaten, ROI in Jahr 2 bei +160 Prozent. Der eigentliche Wert ist aber nicht in Euro messbar: das vermiedene FMA-Verfahren, das in Branchen-Vergleichen schon mal mittlere siebenstellige Strafen produziert hat.

Implementation-Aufwand

Wir liefern Compliance-Monitoring in drei Größenordnungen, abhängig von Datenmenge und Regulierungstiefe:

  • Sprint M (16–20 Wochen, €90.000–140.000): Eine Datenquelle (meist E-Mail oder Verträge), 5–10 Compliance-Regeln, Eskalation in bestehendes Workflow-Tool, einfaches Audit-Trail
  • Sprint L (24–32 Wochen, €170.000–260.000): 3–5 Datenquellen, 20–40 Regeln, dediziertes Case-Management, vollwertiger Audit-Trail mit kryptografischer Signierung, Betriebsvereinbarung-Support
  • Sprint XL (36–52 Wochen, €350.000–600.000): Konzern-Setup, Multi-Country, EU-AI-Act-Konformitätsbewertung als Hochrisiko-System, selbstgehosteter LLM-Stack mit On-Prem-GPUs, ISO-27001-Anbindung

AI-Care ist hier kein Nice-to-have: monatliches Kalibrieren der Schwellen, Quartalsreview der False-Positives mit dem Compliance-Team, jährliche Modell-Reevaluierung gegen neue Regulierungs-Vorgaben. Realistisch €5.000–15.000 pro Monat.

Häufige Fehler

Aus Audits und Implementierungen in regulierten Branchen kristallisieren sich fünf wiederkehrende Anti-Patterns heraus:

  1. Mitarbeiter-Daten ohne Betriebsvereinbarung scannen: Der schnellste Weg, dass das Projekt durch Betriebsrat oder Arbeitsinspektorat gestoppt wird. Betriebsvereinbarung gehört in die ersten vier Wochen, nicht ans Projektende.
  2. Fehlendes Audit-Trail-Logging: Wenn die FMA fragt, warum eine E-Mail nicht eskaliert wurde, brauchst du den Scan-Log mit Zeitstempel, Klassifizierungs-Output und Begründung. Ohne das ist das System schlimmer als nichts — es schafft eine falsche Sicherheit.
  3. False-Positive-Müdigkeit: Wenn die KI 200 Fälle pro Tag eskaliert, schaut nach zwei Wochen niemand mehr hin. Schwellen müssen iterativ kalibriert werden, Ziel-Bandbreite liegt bei 8 bis 25 Eskalationen pro Tag pro Officer.
  4. LLM ohne DPA und mit US-Routing: Mitarbeiter-Kommunikation durch einen US-Cloud-LLM ohne TIA und SCC ist ein offener DSGVO-Verstoß. Anthropic, Mistral oder selbstgehostete Modelle, fertig.
  5. Keine klare Trennung KI-Vorklassifizierung vs. Mensch-Entscheidung: Wenn die KI automatisch Disziplinarverfahren oder Kündigungen triggert, rutscht das System in EU-AI-Act-Anhang-III mit voller Hochrisiko-Last. Saubere Trennung schützt rechtlich und operativ.
22 Tage

schnellere Verstoß-Erkennung im Median bei einem ATX-Versicherer

Häufige Fragen

Was Compliance-Officer und CROs zur KI-Überwachung fragen.

Wie lange dauert ein typisches Compliance-Monitoring-Projekt?
Für einen Sprint M mit einer Datenquelle und einem klaren Regelwerk rechnen wir mit 16 bis 20 Wochen vom Kickoff bis Go-Live. Größere Setups mit mehreren Datenquellen, Case-Management und kryptografischem Audit-Trail dauern 24 bis 32 Wochen. Der größte Zeitfresser ist nicht die Technik, sondern die Betriebsvereinbarung mit dem Betriebsrat — die kann allein 6 bis 10 Wochen brauchen.
Was passiert, wenn die KI einen Verstoß übersieht?
Das System ist als Pre-Filter konzipiert, nicht als Ersatz für die Stichproben-Audits. Wir laufen die ersten 6 Monate im Schatten-Betrieb parallel zu den bisherigen Audit-Prozessen und vergleichen die Ergebnisse. Verstöße, die die KI in der Schatten-Phase übersieht, fließen direkt in das Modell-Retraining. In Produktion bleibt die Stichproben-Logik als Sicherheitsnetz auf reduziertem Level erhalten.
Ist das Compliance-Monitoring eine Hochrisiko-KI im Sinne des EU AI Act?
In der Regel ja, sobald automatisierte Klassifizierungen Compliance-Entscheidungen substantiell vorbereiten. Wir bauen die Systeme so, dass die finale Entscheidung immer beim Officer bleibt, mit klarer Human-Oversight-Dokumentation. Damit lässt sich oft argumentieren, dass die KI nicht selbst die Hochrisiko-Funktion ausübt. In Zweifelsfällen empfehlen wir die volle Hochrisiko-Konformitätsbewertung — das ist Mehraufwand, aber rechtssicher.
Welche LLMs sind für Compliance in regulierten Branchen geeignet?
Aus DSGVO- und Compliance-Sicht funktionieren in der EU drei Optionen: Anthropic Claude über EU-Endpoint mit DPA, Mistral Large über EU-Hosting, oder ein selbstgehostetes Open-Source-Modell wie Llama 4 70B auf eigener GPU-Infrastruktur. OpenAI ist seit ChatGPT Enterprise mit EU-Data-Boundary auch möglich, aber wir empfehlen es für streng regulierte Daten nur mit zusätzlicher TIA und sehr enger DPA-Auslegung.
Wie verhindert ihr, dass das System zur Mitarbeiter-Überwachung wird?
Über drei Mechanismen: erstens harte Zweckbindung in der Betriebsvereinbarung, die jede Verwendung außerhalb von Compliance-Monitoring ausschließt. Zweitens technische Trennung — der Compliance-Officer sieht Klassifizierungs-Ergebnisse, nicht aggregierte Mitarbeiter-Profile mit Bewertungs-Score. Drittens regelmäßige Audits durch den DSB, der prüft, ob die Zweckbindung in der Praxis eingehalten wird.

Bereit für ein erstes Audit?

Wenn dein Unternehmen unter BWG, VAG, AMG oder vergleichbarer Regulierung steht und du das Gefühl hast, dass die aktuelle Stichproben-Audit-Logik weder die Tiefe noch die Geschwindigkeit liefert, die die FMA mittlerweile erwartet, lohnt sich der genaue Blick. Im Audit M (€7.500) schauen wir uns deine konkrete Datenlandschaft, die regulatorischen Anforderungen und die Risikoexposition an, und liefern eine Roadmap mit klaren Phasen und realistischen Kosten. Buch dir einen 45-minütigen Discovery-Call — danach hast du eine fundierte Grundlage für die nächste Vorstandsvorlage.

Bei diesem Use Case unterstützen wir.

Ein Audit zeigt dir in 1–6 Wochen, wie eine konkrete Implementation in deinem Unternehmen aussieht.