Compliance-Dokumentation automatisieren

Das echte Ausmaß des Problems

Compliance im Finanzsektor ist ein Wachstumsmarkt — leider nicht für die Anbieter von Compliance-Dienstleistungen, sondern für die Regulierungsdichte selbst. Allein zwischen 2020 und 2024 wurden in Deutschland und Europa folgende regulatorische Neuerungen eingeführt, die direkten Dokumentationsbedarf für Finanzinstitute erzeugen: DORA (Digital Operational Resilience Act), MiFID-II-Aktualisierungen, GwG-Novellen (Geldwäschegesetz), ESG-Reporting-Pflichten, CSRD, Kreditvergabe-EBA-Leitlinien und DSGVO-Anpassungen.

Der Compliance-Aufwand in deutschen Kreditinstituten ist laut einer Studie des IFO-Instituts in den letzten zehn Jahren um durchschnittlich 120 Prozent gestiegen. Für eine mittlere Volksbank oder Sparkasse mit 200 Mitarbeitern bedeutet das heute 5 bis 8 Vollzeitstellen allein für Compliance — die keine Umsatz generieren, sondern Kosten verursachen.

Das Kernproblem bei Compliance-Dokumentation: Sie ist repetitiv aber nicht trivial. Geldwäsche-Risikoanalysen nach GwG müssen für jeden Kunden erstellt und aktualisiert werden — die Struktur ist immer ähnlich, der Inhalt variiert. Verfahrensdokumentationen nach ISO 27001 oder BAIT (Bankaufsichtliche Anforderungen an die IT) haben feste Strukturanforderungen, die sich aber im Inhalt stark unterscheiden. Bei jeder Gesetzesänderung müssen bestehende Dokumente manuell überprüft und angepasst werden — eine zeitraubende Aufgabe, die Fehlerquellen erzeugt.

So funktioniert es in der Praxis

Schritt 1 — Dokumenten-Template-Bibliothek aufbauen Für jeden Dokumenttyp (GwG-Risikoanalyse, Datenschutz-Folgenabschätzung, Verfahrensdokumentation, Jahresbericht Compliance) wird ein strukturiertes Template mit Pflichtabschnitten, Variablen und Ausfüllhinweisen angelegt. Das Template bildet die gesetzlichen Mindestanforderungen ab und enthält Beispiele aus validen Vorlagendokumenten.

Schritt 2 — KI-gestützte Dokumentengenerierung aus strukturierten Inputs Compliance-Mitarbeiter geben strukturierte Eingaben: Kundenprofil (Branche, Herkunftsland, Transaktionsvolumen, Kundentyp), Prozessparameter, Risikoeinschätzung. Das LLM generiert aus diesen Inputs den vollständigen Dokumententext nach dem Template — konsistent, vollständig und in der geforderten Sprache. Was bisher 4 Stunden Schreibarbeit war, dauert 30 Minuten Eingabe + 10 Minuten Review.

Schritt 3 — Regulatorisches Change-Monitoring Das System überwacht relevante Regulierungsquellen (BaFin, EBA, EU-Amtsblatt, BMF-Rundschreiben) auf Änderungen. Bei einer relevanten Änderung generiert es eine Analyse: Welche bestehenden Dokumente sind betroffen? Was muss angepasst werden? Compliance-Mitarbeiter bekommen eine priorisierte To-do-Liste statt Regulierungstexte selbst zu lesen und zu interpretieren.

Schritt 4 — Versionierung und Audit-Trail Alle Dokumente werden mit Erstellungsdatum, Bearbeiter, zugrunde liegender Regulierung und Genehmigungsstatus versioniert. Bei einer Prüfung durch BaFin oder Wirtschaftsprüfer ist der vollständige Nachweis-Trail sofort abrufbar.

Welche Tools passen hierzu

Riskonnect — GRC-Plattform (Governance, Risk, Compliance) mit Dokumentenmanagement-Modul. Gut für komplexe Compliance-Strukturen in mittleren bis größeren Instituten. Enthält Workflow-Management für Genehmigungsprozesse. Enterprise-Preisgestaltung.

ProcessMaker — Workflow-Plattform für Compliance-Prozesse. Weniger spezialisiert als Riskonnect, aber flexibler und günstiger. Gut für die Automatisierung von Dokumentenerstellungs-Workflows. Ab ca. 1.500 Euro/Monat.

Claude / ChatGPT — Für die Dokumentengenerierung: LLMs sind gut geeignet, strukturierte Compliance-Texte auf Basis von Templates und Eingabedaten zu generieren. Wichtig: Inhalte werden vom Compliance-Experten geprüft — das LLM übernimmt die Textarbeit, nicht die rechtliche Verantwortung. DSGVO-Compliance bei der Datenverarbeitung beachten.

Microsoft 365 Copilot — Für Institute, die Office 365 nutzen: Copilot kann direkt in Word und Excel für die Erstellung von Compliance-Dokumenten nach strukturierten Vorgaben genutzt werden. Kein zusätzliches Tool nötig.

Notebooklm — Für die Analyse und Zusammenfassung von Regulierungsdokumenten: Gesetzestexte, BaFin-Rundschreiben und EBA-Leitlinien können als Quellen hochgeladen und dann natürlichsprachlich befragt werden. „Welche Änderungen bringt die neue GwG-Novelle für unsere KYC-Prozesse?” — NotebookLM fasst die relevanten Passagen zusammen.

Make.com — Als Automatisierungsschicht: Wenn ein neues Kundenprofil im CRM angelegt wird, triggert Make.com automatisch die Erstellung einer GwG-Risikoanalyse über die LLM-API und legt das Ergebnis im Dokumentenmanagementsystem ab.

Was es kostet — realistisch gerechnet

Einstieg (LLM + Template-Bibliothek, manuelle Generierung)

• Claude oder ChatGPT API: 20–100 Euro/Monat je nach Volumen
• Template-Entwicklung: 2–4 Wochen (Compliance-Experte + Prompt-Engineer)
• Ergebnis: Dokumentenerstell-Zeit um 60–70% reduziert, konsistentere Qualität

Skaliert (GRC-Plattform + automatisierte Workflows)

• Riskonnect oder ähnliche GRC-Plattform: 3.000–15.000 Euro/Monat
• Implementierung: 3–6 Monate
• Ergebnis: Vollautomatisierte Dokumentenerstell-Workflows, laufendes Regulierungs-Monitoring, Audit-Trail

ROI-Beispiel: Regionalbank mit 4 Compliance-Vollzeitstellen (à 80.000 Euro Jahresgehalt inkl. Nebenkosten = 320.000 Euro/Jahr). 40% der Arbeitszeit entfällt auf repetitive Dokumentenarbeit (128.000 Euro/Jahr). KI reduziert diesen Anteil auf 15% (48.000 Euro/Jahr). Einsparung: 80.000 Euro/Jahr. Toolkosten: 1.200 Euro/Monat (14.400 Euro/Jahr). Netto: 65.600 Euro/Jahr gespart — plus Kapazität für qualitativ hochwertigere Compliance-Arbeit.

Realistischer Zeitplan

Phase	Dauer	Was passiert	Typisches Risiko
Dokumenten-Audit & Template-Erstellung	Monat 1–2	Alle relevanten Dokumenttypen inventarisieren, Templates mit Compliance-Experten entwickeln	Templates spiegeln nicht die gesamte regulatorische Anforderungstiefe wider — juristischer Review nötig
LLM-Integration & Prompt-Entwicklung	Monat 2–3	Prompts für jeden Dokumenttyp entwickeln, Testgenerierungen prüfen, Qualität kalibrieren	LLM-Outputs bei spezifischen Regulierungsdetails ungenau — Prompt-Verfeinerung iterativ
Workflow-Automatisierung	Monat 3–4	Automatisierungsworkflow aufbauen, Trigger für neue Dokumente konfigurieren, Genehmigungsprozess integrieren	Integration mit Kernsystemen (KYC-System, CRM) aufwendig — API-Zugang vorab prüfen
Pilotbetrieb & Compliance-Review	Monat 4–5	Alle generierten Dokumente von Compliance-Experten geprüft, Feedback in Templates einarbeiten	Compliance-Experten misstrauen KI-Texten — Pilotphase mit explizitem Review-Prozess
Vollbetrieb	Ab Monat 6	Routinebetrieb, monatliches Regulierungs-Monitoring, quartalsweises Template-Update	Regulierungsänderungen werden übersehen — automatisches Monitoring-System als Pflicht

Häufige Einwände

„KI darf keine regulatorischen Entscheidungen treffen.” Richtig — und das ist auch nicht das Ziel. Das Compliance-System entscheidet nicht, ob ein Kunde als Risiko eingestuft wird. Es erstellt den strukturierten Dokumentationsrahmen, den ein menschlicher Compliance-Experte dann bewertet und unterzeichnet. Die rechtliche Verantwortung bleibt vollständig beim Menschen — KI übernimmt die Schreibarbeit.

„Unsere Regulierungsanforderungen sind zu spezifisch für ein standardisiertes System.” Jede Bank und Versicherung hat spezifische Anforderungen. Das ist kein Argument gegen KI — es ist ein Argument für gut konfigurierte Templates. Die Template-Bibliothek wird auf die spezifischen Anforderungen des jeweiligen Instituts zugeschnitten. Was gespart wird, ist die repetitive Schreibarbeit, nicht die Expertise bei der Anforderungsdefinition.

„Was passiert bei einer Prüfung, wenn KI-generierte Dokumente fehlerhaft sind?” Genau deshalb gibt es den Review-Schritt: Jedes generierte Dokument wird von einem qualifizierten Compliance-Mitarbeiter geprüft, angepasst und unterzeichnet. Das Dokument trägt die Unterschrift eines Menschen, nicht die einer KI. Wenn Fehler auftreten, liegt die Verantwortung beim prüfenden Compliance-Experten — genauso wie wenn er das Dokument selbst geschrieben hätte.