Blogpost

Die neue Ära der Banken-Compliance: Chancen und Risiken von Data und KI

Noch nie war das Datenvolumen in der Compliance so hoch – und noch nie war es so schwierig, Risiken rechtzeitig, konsistent und prüffest zu steuern. Datenbasierte Analysen und KI-gestützte Verfahren versprechen Entlastung. Aber nicht alles, was effizient ist, ist auch compliant. Wie können KI-Tools regelkonform eingesetzt werden?

Sandra Leicht
Adela Kujovic
27
Aufsichtsrecht
Compliance
Künstliche Intelligenz
4 Minuten Lesezeit
Futuristic World

In dieser Collection enthalten:

Collection öffnen
Futuristic World

Die neue Ära der Banken-Compliance: Chancen und Risiken von Data und KI

1
banKIng3

banKIng³ - Folge 23: Banking unter Strom: KI, Tempo und neue Engpässe

2
interne Revision und ki

Interne Revision und der Einsatz von KI: Nützlich. Gefährlich. Unvermeidlich.

3
banKIng3

banKIng³ - Folge 22: Der Blick nach vorne: KI, Wissen und Banking 2026

4
Hallway

KI-Governance und Risikomanagement aus Sicht der Banken- und Finanzaufsicht

5
KI-Nutzen - Whitepaper 2026

Raus aus der Use-Case-Falle: Operationsmodell für messbaren KI-Nutzen - Whitepaper 2026

6
banKIng3

banKIng³ - Folge 21: Der Intelligenzfluch: KI zwischen Produktivität, Macht und Geldwäscheprävention

7
banKIng3

banKIng³ - Folge 20: Banking trifft LLM: Erkenntnisse aus dem Alltag

8
EU Flags

2025: Das erste Jahr der KI-Regulierung in Europa — Bilanz und Blick nach vorn

9
NEWS 03-2025, KI-Resilienz, KI-Abhängigkeit

KI-Resilienz: Geopolitische KI-Abhängigkeiten souverän managen

10

Banken stehen heute vor einer paradoxen Situation: Noch nie war Compliance so datenreich – und noch nie war es so schwierig, Risiken rechtzeitig, konsistent und prüffest zu steuern.

WpHG-Compliance, MaRisk-Compliance und Geldwäscheprävention (AML) sind oft geprägt von:

  • hohen Transaktionsvolumina,
  • komplexen Prozessketten,
  • steigenden Dokumentationspflichten und
  • wachsendem Erwartungsdruck von Aufsicht und Prüfern.

Datenbasierte Analysen und KI-gestützte Verfahren versprechen Entlastung: eine bessere Risikoerkennung, weniger manuelle Prüfungen, gezieltere Überwachung. Und oft bieten sie das alles auch. Doch gerade im regulatorischen Umfeld gilt mehr denn je: Nicht alles, was effizient ist, ist auch compliant.

Eine Betrachtung sollte pro IT, aber bewusst kritisch hinterfragt sein, denn bankaufsichtliche Compliance verfolgt ein klares Ziel: Risiken früh erkennen – und Entscheidungen jederzeit nachvollziehbar begründen können.

Der Wandel im Compliance-Modell: Von Regeln und Listen zu Risikosignalen

Klassische Bank-Compliance ist stark regelbasiert:

  • Vorgaben aus WpHG, MaRisk und GwG werden in Policies übersetzt,
  • Kontrollen prüfen die Einhaltung,
  • Abweichungen werden dokumentiert und adressiert.

Doch dieses Modell stößt zunehmend an Grenzen. Viele Risiken entstehen heute nicht durch einen einzelnen Verstoß, sondern durch Muster über Zeit, wie

  • ungewöhnliche Handelsabfolgen,
  • systematische Umgehung von Limit- oder Genehmigungslogiken,
  • atypische Kunden- oder Zahlungsprofile,
  • Kombinationen für sich genommen unauffälliger Sachverhalte.

Datengetriebene Compliance setzt hier an – mit einem klaren Perspektivwechsel:

  • Daten liefern Hinweise, keine Feststellungen
  • Systeme helfen bei der Priorisierung, nicht bei der finalen Bewertung
  • Compliance bleibt Entscheidungsträger – nicht Ausführungsgehilfe der Technik

Damit wird Compliance beweglicher, schneller, effizienter. Aber auch angreifbarer, wenn Steuerung, Dokumentation und Verantwortlichkeiten nicht sauber geregelt oder nachvollziehbar sind.

Konkrete Mehrwerte in WpHG-, MaRisk- und AML-Compliance

WpHG-Compliance: Marktverhalten verstehen, nicht nur überwachen

Compliance in Banken

Im Umfeld von Marktmissbrauch, Interessenkonflikten und Wohlverhaltenspflichten liegen enorme Datenmengen vor:

  • Handels- und Orderdaten,
  • Kommunikationsdaten,
  • Informationen zu Mitarbeitern, Kunden und verbundenen Parteien.

Analytische Verfahren können helfen, ungewöhnliche Muster sichtbar zu machen, wie zum Beispiel:

  • zeitliche Häufungen bestimmter Handelsaktivitäten,
  • Abweichungen vom typischen Handelsverhalten einzelner Akteure oder
  • Auffälligkeiten rund um Research-Veröffentlichungen oder sensible Informationen.

Der Mehrwert liegt nicht in automatisierten Vorwürfen, sondern in einer gezielteren Fallauswahl. Denn klar ist: Ein System erkennt Auffälligkeiten – keinen Marktmissbrauchstatbestand. Die rechtliche Würdigung bleibt (soweit aufsichtsrechtlich zulässig) menschlich und muss belastbar dokumentiert werden.

MaRisk-Compliance: Prozessrealität und Regulatory Monitoring zusammendenken

MaRisk-Compliance-Verstöße entstehen selten durch offene Regelmissachtung. Häufig sind es schleichende Entwicklungen, wie:

  • dauerhaft genehmigte Ausnahmen,
  • manuelle Übersteuerungen,
  • unklare Zuständigkeiten oder
  • historisch gewachsene Prozessumgehungen.

Datenbasierte Analysen können hier Transparenz schaffen, indem sie hinterfragen:

  • Wo werden Limits regelmäßig übersteuert?
  • Welche Prozesse weichen systematisch vom definierten Soll ab?
  • Wo kumulieren Funktionen entgegen dem Trennungsprinzip?

Hinzu kommt ein zweiter, oft unterschätzter Aspekt: Das Regulatory Monitoring.

Regulatorische Anforderungen ändern sich laufend – durch Rundschreiben, Auslegungshilfen, Leitlinien oder Prüfungsschwerpunkte der Aufsicht. Hier können daten- und textbasierte Auswertungen helfen,

  • regulatorische Änderungen frühzeitig zu identifizieren,
  • ihre Relevanz für bestehende Prozesse zu bewerten und
  • Umsetzungsbedarfe strukturiert nachzuhalten.

Der Nutzen ist insbesondere im Bereich der Dokumentation hoch – aber nur, wenn klar bleibt: Auch hier ersetzt Technik keine fachliche Interpretation. Ohne klare Definitionen, belastbare Datenquellen und eindeutige Verantwortlichkeiten wird aus Transparenz schnell Erklärungsbedarf gegenüber der Aufsicht.

AML, PSD3 und Betrugsprävention: Mehr Klarheit im Massengeschäft

Geldwäscheprävention und Betrugsbekämpfung sind durch:

  • Transaktionsmonitoring,
  • Kundenverhalten über Zeit,
  • Netzwerk- und Beziehungsanalysen,
  • dynamische Risikoprofile

besonders datenintensiv.

Mit PSD3 und dem wachsenden Fokus auf Zahlungsbetrug rückt zudem die Verzahnung von AML und Fraud stärker in den Vordergrund. Auffällige Zahlungsströme, Social-Engineering-Muster oder Kontoübernahmen lassen sich häufig nur erkennen, wenn Daten ganzheitlich betrachtet werden.

Moderne Ansätze können:

  • Fehlalarme reduzieren,
  • neue Typologien schneller sichtbar machen und
  • Risiken früher eskalieren.

Gleichzeitig ist AML der Bereich mit der höchsten aufsichtsrechtlichen Sensibilität. Erwartet werden:

  • vollständige Nachvollziehbarkeit der Alert-Logik,
  • klare Dokumentation von Parametern und Schwellen und
  • die Reproduzierbarkeit von Entscheidungen – auch rückwirkend.

Ein System, das „lernt“, ohne erklärbar zu sein, ist aufsichtsrechtlich kaum haltbar – unabhängig von seiner Trefferquote.

Reporting, Dokumentation und Kommunikation mit der Aufsicht

Technische Unterstützung kann bei Berichten, Sachverhaltsdarstellungen und Maßnahmenplänen ganz deutlich helfen – etwa bei Struktur, Konsistenz und Sprache. Das spart Zeit – und birgt Risiken.

Denn gut formulierte Texte ersetzen keine saubere Herleitung. Gerade im Dialog mit Aufsicht und Prüfern gilt: Was gut klingt, muss belegbar sein. Daher braucht es klare Leitplanken:

msg_Gradient_BLAU
  • Systeme liefern Textvorschläge, keine Bewertungen
  • Jede Aussage muss auf Daten und Entscheidungen zurückführbar sein
  • Review-, Freigabe- und Dokumentationspflichten bleiben unverzichtbar

Governance entscheidet: Technik ist kein Freifahrtschein

Wer datengetriebene Verfahren in der Bank-Compliance einsetzt, ohne Governance vorzuschalten, schafft neue Risiken – oft genau dort, wo eigentlich entlastet werden soll.

msg_Gradient_BLAU

Vier Fragen sind aus aufsichtsrechtlicher Sicht zentral:

1. Erklärbarkeit: Können wir der Aufsicht erklären, warum ein Sachverhalt auffällig wurde?

2. Reproduzierbarkeit: Lassen sich Entscheidungen auch Monate später nachvollziehen?

3. Datenschutz und Bankgeheimnis: Welche Daten werden wie genutzt – und wer kontrolliert das?

4. Fachkompetenz: Können Compliance-Funktionen Ergebnisse einordnen oder nur weiterreichen?

Bleibt eine dieser Fragen offen, wird Technik nicht zum Fortschritt, sondern zum Prüfungsbefund.

Ein pragmatischer Einstieg: aufsichtsnah statt ambitioniert

Ein tragfähiger Einstieg in datengetriebene Bank-Compliance braucht nicht immer einen Big Bang – insbesondere nicht in kleinen und mittelgroßen Instituten:

  • Ein klar abgegrenzter Use Case (zum Beispiel AML-Alerts, Betrugsmuster oder WpHG-Handelsauffälligkeiten)
  • Transparente Datenbasis mit klaren Verantwortlichkeiten
  • Dokumentierte Logik, Schwellenwerte und Grenzen
  • Klare Trennung von Hinweis, Bewertung und Entscheidung
  • Qualitätssicherung, Logging und Reproduzierbarkeit
  • Skalierung erst nach erfolgreicher aufsichtsnaher Erprobung

So entsteht zwar nicht direkt eine „smarte“ Compliance. Aber meist eine aufsichtsfeste, wirksame und zukunftsfähige Bank-Compliance.

Veranstaltungstipp

INSIDE FinAI: KI in der Compliance von Banken – aber sicher | 10. Juni 2026 | Berlin

Adela Kujovic

Adela Kujovic

ist als Wirtschaftsjuristin auf regulatorische Fragestellungen mit Schwerpunkt Compliance (MaRisk & WpHG) spezialisiert. Sie verfügt über tiefgreifende Erfahrung im Bereich Sustainable Finance und ESG und hat hier bereits komplexe Projekte sowie Berichterstattungsprozesse sowohl im Financial- als auch im Industrial-Sektor, inklusive der Anforderungen an nachhaltige Lieferketten begleitet.

Share: LinkedIn Xing X Facebook

Verwandte Collections

Finance, Risk, Regulatory Reporting und Compliance

Finance, Risk, Regulatory Reporting & Compliance

Die Finanzwelt der Zukunft erfordert smarte, digitale Lösungen. Die komplexen branchenspezifischen, betriebswirtschaftlichen sowie regulatorischen Anforderungen beschleunigen die Entwicklung bei den Finanzinstituten, eine Konsistenz zwischen Meldewesen, Risikomanagement und Compliance sicherzustellen. Eine Trennung dieser Themen wird es in Zukunft nicht mehr geben. Vielmehr werden sie Aspekte einer integrierten Banksteuerung sein. Daher sind für die Steuerung einer Bank zukünftig integrierte, vernetzte Lösungen und moderne Services in der Cloud, die sowohl die Komplexität jedes Einzelthemas als auch die Konsistenz zwischen den Themen abbilden, essenziell. In unserer Serie "Finance, Risk, Regulatory Reporting & Compliance" stellen wir die aktuellen Entwicklungen vor.
Sandra Leicht

Sandra Leicht

ist Head of Regulatory Compliance bei msg for banking und verfügt über umfassende Compliance-Erfahrung und -Expertise im Finanzdienstleistungssektor. Selbst seit vielen Jahren als Beauftragte tätig, berät und schult sie außerdem rund um die Compliance-Funktionen. Außerdem hat sie umfassende Expertise in der erfolgreichen Leitung von Unternehmen sowie in der Beratung von Finanzinstituten in Themen wie WpHG-Compliance, MaRisk-Compliance, Geldwäscheprävention und Datenschutz.

linkedin
Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Audio
3 Minuten Lesezeit

banKIng³ – Folge 23: Banking unter Strom: KI, Tempo und neue Engpässe

Blogpost
5 Minuten Lesezeit

Interne Revision und der Einsatz von KI: Nützlich. Gefährlich. Unvermeidlich.

Thorsten Tewes
Audio
3 Minuten Lesezeit

banKIng³ – Folge 22: Der Blick nach vorne: KI, Wissen und Banking 2026