KI-gestütztes regulatorisches Reporting und MaRisk-Compliance

Das echte Ausmaß des Problems

Das Regulierungsvolumen für deutsche Finanzinstitute hat sich in den letzten zehn Jahren mehr als verdoppelt. MaRisk AT 7.2, MaComp, SREP, ILAAP, ICAAP, COREP, FINREP, LCR, NSFR, NKPR, Millionenmeldung — und seit 2024 kommen DORA und der EU AI Act hinzu. Jede neue Regulierung bedeutet neue Reportingpflichten, neue Dokumentationsanforderungen, neue Prüfprozesse.

Das Problem ist nicht mangelndes Fachwissen in den Compliance-Abteilungen — es ist die Arbeitsteilung. Schätzungsweise 60 bis 70 Prozent der Compliance-Arbeitszeit in einem typischen deutschen Institut fließt in Datenbeschaffung und -transformation, nicht in fachliche Bewertung (Schätzwert aus Praxisberichten). Das ist strukturell ineffizient.

Hinzu kommt die Regulierungsgeschwindigkeit: Allein zwischen 2023 und 2025 hat die EBA über 40 neue technische Durchführungsstandards (Implementing Technical Standards, ITS) veröffentlicht oder aktualisiert. BaFin-Rundschreiben, ESMA-Guidelines, Amtsblatt-Veröffentlichungen — ein mittelgroßes Institut empfängt monatlich mehrere hundert Seiten neuer Regulierungstexte, die auf Relevanz geprüft werden müssen.

Fehler in regulatorischen Berichten sind teuer. BaFin-Bußgelder für fehlerhafte oder verspätete Meldungen beginnen bei 100.000 Euro. Eine Sonderprüfung nach § 44 KWG kostet typischerweise 200.000 bis 500.000 Euro allein in Prüferkosten plus internem Aufwand. Und reputationell: Ein Institut, das wiederholt Meldekorrekturen einreicht, bekommt häufigere Anfragen.

Mit vs. ohne KI — ein ehrlicher Vergleich

Einschätzung auf einen Blick

Zeitersparnis — mittel (3/5) Pro Report-Typ spart KI-Unterstützung 60 bis 70 Prozent der Erstellungszeit — also aus 8 Stunden werden 2 bis 3 (Schätzwert aus Praxisberichten). Das klingt hoch, aber die Einrichtungsarbeit ist erheblich: Datenpipelines aufbauen, Transformationslogik definieren, Validierungsregeln codieren. Der Zeitgewinn kommt ab dem zweiten oder dritten Reporting-Zyklus. Wer nur zwei oder drei Reports automatisiert, bemerkt den Effekt weniger als ein Institut mit 15 regelmäßigen BaFin-Meldungen.

Kosteneinsparung — mittel (3/5) Die direkte Personalkosteneinsparung ist real, aber wird von der Investition in RegTech-Software und Integration überlagert. Der eigentliche wirtschaftliche Vorteil liegt in der Fehlerreduktion: Vermiedene BaFin-Anfragen, keine Sonderprüfungen wegen Meldefehlern, keine Korrekturnachträge. Dieser Effekt ist schwerer in Euro auszudrücken, ist aber bei Instituten, die schon einmal eine § 44-Prüfung erlebt haben, sofort nachvollziehbar.

Schnelle Umsetzung — schwierig (2/5) Das ist der ehrlichste Teil dieser Einschätzung: Regulatorisches Reporting zu automatisieren ist technisch komplex. Datenpipelines zu Kernbankensystemen, Risikomanagementsystemen und Handelsplattformen sind selten trivial. Datenqualität in gewachsenen IT-Landschaften ist häufig das Hauptproblem — nicht die KI-Komponente selbst. Realistische Timeline bis zum ersten produktiven BaFin-Report: 6 bis 12 Monate.

ROI-Sicherheit — hoch (4/5) Das ist der stärkste Aspekt dieses Use Cases im Vergleich zum allgemeinen internen Reporting. Regulatorische Berichte haben feste Deadlines, feste Einreichungspflichten und messbare Konsequenzen bei Fehlern. Das macht den ROI ungewöhnlich klar: Wie viele BaFin-Anfragen gab es letztes Jahr? Wie viele Stunden hat die Compliance-Abteilung für regulatorisches Reporting aufgewendet? Beides ist messbar — und beides verändert sich nach der Automatisierung.

Skalierbarkeit — mittel (3/5) Wenn ein neues Meldeschema eingeführt wird (z. B. EBA IReF 2027 mit granularen Einzeldaten statt Aggregaten), ist die Anpassung mit einer RegTech-Lösung in Tagen möglich statt in Wochen. Aber: Jedes neue Schema erfordert trotzdem Anpassungsarbeit. Skalierbarkeit ist hier nicht “kostenlos wachsen”, sondern “deutlich schneller anpassen als ohne KI”.

Richtwerte — stark abhängig von Institutsgröße, IT-Landschaft und Anzahl der automatisierten Report-Typen.

Was das System konkret macht

KI-gestütztes Compliance-Reporting funktioniert als automatisierter Daten-Pipeline-Prozess mit vier Schichten:

Daten-Aggregation: Das System verbindet sich mit den relevanten Quellsystemen — Kernbankensystem, Risikomanagementsystem, Handelsplattformen, CRM — und aggregiert die benötigten Datenpunkte automatisch zum Reporting-Stichtag. Der entscheidende Schritt ist das Datenmapping: welcher Wert aus welchem System entspricht welchem Feld im BaFin-Formular. Diese Mapping-Logik wird einmalig definiert und dann automatisch ausgeführt.

Automatische Report-Befüllung: Templates für BaFin-Meldungen, EBA-Formulare oder interne ICAAP-Dokumentation werden regelgetreu befüllt. Machine Learning kommt hier meist nicht zum Einsatz — es geht um deterministische Regeln, keine probabilistischen Schätzungen. Das ist bewusst: Regulatorische Reports müssen nachvollziehbar und prüfbar sein.

Konsistenzprüfung und Alerting: Vor der Einreichung prüft das System interne Konsistenz — stimmen Summen überein? Sind Werte in plausiblen Bandbreiten? Weichen Zahlen stark von Vorperioden ab (und wenn ja: gibt es eine Erklärung)? Bei auffälligen Werten wird der zuständige Compliance-Mitarbeiter benachrichtigt, nicht um die Entscheidung abzunehmen, sondern um den menschlichen Blick auf das Richtige zu lenken.

Regulierungstext-Monitoring via NLP: Ein separates Modul überwacht kontinuierlich neue Veröffentlichungen von BaFin, EBA, ESMA und EU-Kommission. Statt 200 Seiten Konsultationspapier komplett zu lesen, erstellt das System eine strukturierte Zusammenfassung der Änderungen mit Relevanz-Einschätzung für das eigene Institut — basierend auf Institutstyp, Geschäftsfeldern und bereits bestehenden Compliance-Bereichen.

Konkrete Werkzeuge — was wann passt

Regnology ist die erste Adresse für regulatorisches Reporting in Deutschland. Das Frankfurter RegTech-Unternehmen bedient einen Großteil der deutschen Sparkassen- und Genossenschaftsbanken, kennt BaFin-Meldewesen bis ins Detail und pflegt Regulierungsänderungen laufend in die Software ein. Enterprise-Lösung, Preise auf Anfrage, typischerweise ab 40.000 Euro/Jahr für kleinere Institute.

Wolters Kluwer OneSumX ist die Alternative für Banken mit stärkerem Fokus auf DSGVO-Dokumentation, MaRisk-Nachweisführung und Integration mit SAP-Kernbanksystemen. Gut etabliert in deutschen Filialbanken mittlerer Größe. Ebenfalls Enterprise-Pricing.

Microsoft 365 Copilot löst das Reporting-Pipeline-Problem nicht, aber das NLP-Problem: Copilot in Word und Outlook kann BaFin-Rundschreiben zusammenfassen, Änderungen zu bestehenden Richtliniendokumenten vergleichen und Entwürfe für Compliance-Stellungnahmen generieren. Einstiegskosten unter 30 Euro/Person/Monat — für Compliance-Juristen sofort einsetzbar.

Power BI für interne Compliance-Dashboards, die KPIs aus verschiedenen Quellen aggregieren und Abweichungen visualisieren. Keine BaFin-Einreichung, aber starke Transparenz intern. Viele Institute nutzen Power BI als Brücke, bevor ein vollständiges RegTech-System eingeführt wird.

Claude oder ChatGPT für einzelne Compliance-Aufgaben: Regulierungstext auf Relevanz prüfen, Richtlinien-Entwürfe erstellen, Fachfragen klären. Keine Systemintegration, aber sofort einsetzbar für die textlastige Seite von Compliance-Arbeit.

Für kleinere Institute (unter 500 Mitarbeiter) ist der pragmatische Einstieg oft: Copilot für Regulierungstext-Monitoring, Power BI für interne Compliance-Dashboards — und ein RegTech-Anbieter für die eigentlichen BaFin-Einreichungen, sobald das Volumen es rechtfertigt.

Rechtliche Besonderheiten

MaRisk AT 7.2 regelt die Anforderungen an das Datenaggregations- und Berichtswesen. KI-gestützte Reporting-Systeme müssen die dort geforderten Eigenschaften erfüllen: Datengenauigkeit, Vollständigkeit, Aktualität und Anpassungsfähigkeit. BaFin erwartet, dass Finanzinstitute ihre Datenaggregationsprozesse dokumentieren — automatisierte Systeme müssen diesen Audit-Trail lückenlos erzeugen.

DORA (Digital Operational Resilience Act), seit Januar 2025 in Kraft, stellt explizite Anforderungen an IT-Systeme im Finanzsektor — einschließlich RegTech-Lösungen. Drittanbieter-Abhängigkeiten (SaaS-RegTech-Anbieter) müssen in die DORA-Risikosteuerung einbezogen werden, Register geführt und Ausstiegsstrategien dokumentiert werden.

BAIT (Bankaufsichtliche Anforderungen an die IT) definiert Mindeststandards für IT-Systeme in Banken. Automatisierte Reporting-Systeme fallen darunter — anforderungsgerechte Mandantentrennung, Zugriffskontrollen, Änderungsmanagement und Notfallkonzepte sind verpflichtend zu dokumentieren.

EBA IReF (Integrated Reporting Framework) ist die langfristig wichtigste Entwicklung: Die EBA treibt einen Paradigmenwechsel voran — weg von aggregierten Meldedaten hin zu granularen Einzeldaten auf Transaktionsebene, die zentral interpretiert werden. Vollständige Umsetzung erwartet bis 2027. Institute, die heute RegTech-Systeme einführen, sollten IReF-Kompatibilität als Bewertungskriterium einsetzen.

DSGVO ist weniger relevant als bei anderen Finanzen-Use-Cases, solange regulatorisches Reporting auf aggregierten Bankdaten basiert und keine personenbezogenen Kundendaten in die Reporting-Logik einfließen. Bei Reports, die Einzelkundendaten enthalten (z. B. Millionenmeldung), ist DSGVO-Konformität der Datenpipeline zu prüfen.

Datenschutz und Datenhaltung

Regulatorische Reporting-Daten sind interne Bankdaten — keine Weitergabe an externe KI-Systeme ohne Prüfung. Folgende Punkte sind kritisch:

Hosting-Ort: BaFin-Reports enthalten bankaufsichtlich sensitive Daten. Cloud-Hosting außerhalb der EU ist für die Reporting-Datenbank problematisch. Regnology und Wolters Kluwer OneSumX betreiben ihre EU-Installationen wahlweise on-premise oder in EU-zertifizierten Rechenzentren — das ist für deutsche Banken das Standardmodell.

NLP-Monitoring via LLM: Wenn Regulierungstext-Monitoring über LLM-basierte Dienste wie Claude API oder ChatGPT erfolgt, werden öffentliche Regulierungstexte verarbeitet — kein Datenschutzproblem. Sobald eigene Compliance-Dokumente oder interne Risikoanalysen in den Prompt fließen, gelten DSGVO und interne Datenklassifizierungsregeln.

Auftragsverarbeitung (AVV): Für alle SaaS-Lösungen, die Bankdaten verarbeiten, ist ein Auftragsverarbeitungsvertrag nach DSGVO Art. 28 abzuschließen. Regnology und Wolters Kluwer stellen Standard-AVV bereit.

Zugriffskontrollen: BAIT-konform sind rollenbasierte Zugriffsrechte verpflichtend — wer darf welche Report-Typen sehen, freigeben, einreichen. Automatisierte Systeme müssen diese Rechte technisch abbilden, nicht nur dokumentieren.

Was es kostet — realistisch gerechnet

Kleine Privatbank oder Kreditgenossenschaft (unter 500 Mitarbeiter):

• Einstieg mit Copilot (Regulierungstext-Monitoring) + Power BI (interne Dashboards): 500–2.000 Euro/Monat
• Vollständige RegTech-Lösung (Regnology o. ä.): 30.000–60.000 Euro/Jahr, plus 40.000–80.000 Euro Implementierung einmalig
• Timeline: 6–9 Monate bis erster produktiver BaFin-Report
• Zeitersparnis nach Einführung: 40–60 % bei regelmäßigen Reporting-Aufgaben

Mittlere Privatbank (500–2.000 Mitarbeiter):

• Vollintegrierte Compliance-Plattform: 80.000–200.000 Euro/Jahr
• Implementierungsprojekt: 8–14 Monate, 2–3 IT-Mitarbeiter plus Compliance-Expert
• ROI: Bei 4–6 eingesparten Compliance-Vollzeitstunden täglich (ca. 880–1.300 Stunden/Jahr × 60–80 Euro/Stunde = 53.000–104.000 Euro/Jahr) plus Fehlerreduktionseffekt

ROI-Rechenmodell — konservativ: Drei verhinderte BaFin-Rückanfragen pro Jahr (je 20 Stunden interner Aufwand = 60 Stunden × 80 Euro = 4.800 Euro). Eine verhinderte § 44-Sonderprüfung: 300.000 Euro Prüfkosten. Zeitersparnis bei 10 regulären Reports à 5 Stunden Reduktion × 4 Quartale × 80 Euro = 16.000 Euro/Jahr. Konservative Jahreszahl: 20.000–25.000 Euro direkt messbar — deutlich mehr wenn Sonderprüfungsrisiko eingerechnet wird.

Drei typische Einstiegsfehler

Fehler 1: Mit dem falschen Scope starten. Viele Institute wollen zuerst alle regulatorischen Reports automatisieren — COREP, FINREP, LCR, NSFR, Millionenmeldung, SREP-Reporting auf einmal. Das führt zu 18-Monats-Projekten, die nie fertig werden. Besser: einen Report-Typ, der monatlich oder quartalsweise eingereicht wird, komplett automatisieren, produktiv schalten, stabilisieren — dann ausrollen. Erster Scope mit zwei bis drei Reports ist realistisch.

Fehler 2: Datenqualität unterschätzen. Das technisch aufwendigste an Reporting-Automatisierung ist oft nicht die Report-Erstellung selbst, sondern die Datenqualität in den Quellsystemen. Wenn das Kernbankensystem Buchungskonten nicht konsistent als COREP-Risikoklassen geführt hat, muss das zuerst bereinigt werden — bevor die Automatisierung irgendeinen Wert hat. Viele Projekte scheitern an diesem Punkt nicht durch die KI-Komponente, sondern durch technische Schulden in der eigenen IT-Landschaft.

Fehler 3: Wartung nicht einplanen. Regulierungen ändern sich. BaFin-Formulare werden jährlich aktualisiert, EBA-Schemas kommen in neuen Versionen. Wer eine RegTech-Lösung kauft, muss sicherstellen, dass der Anbieter diese Updates laufend einpflegt — und das vertraglich absichern. Eigenentwicklungen haben hier ein strukturelles Problem: Wer pflegt die Logik, wenn der Compliance-Experte das Institut verlässt?

Was mit der Einführung wirklich passiert — und was nicht

Die häufigste Reaktion von Compliance-Teams beim ersten produktiven Reporting-Lauf ist nicht Begeisterung, sondern Skepsis. “Ich muss die Zahlen trotzdem nochmal prüfen.” Das ist richtig so — und das sollte auch so bleiben. KI-gestützte Reporting-Systeme ersetzen den Menschen als Validierer nicht. Was sich ändert: Die Prüfung findet auf einem vorbereiteten Entwurf statt, nicht auf einem weißen Blatt.

Das verändert die Qualität der Compliance-Arbeit langfristig. Compliance-Mitarbeiter, die nicht mehr 70 Prozent ihrer Zeit mit Datentransformation verbringen (Schätzwert aus Praxisberichten), beginnen nach drei bis sechs Monaten, die freigewordene Kapazität anders einzusetzen — für Risikoanalysen, regulatorische Interpretation, proaktive Gespräche mit der Geschäftsführung. Dieser kulturelle Shift ist oft wertvoller als die messbaren Stundeneinsparungen.

Was nicht passiert: Der Compliance-Officer wird nicht überflüssig. Kein RegTech-System kann die fachliche Verantwortung für eine BaFin-Einreichung übernehmen. Die Unterschrift unter dem Report bleibt menschlich — und das zu Recht.

Typisches Widerstandsmuster: Das Compliance-Team zweifelt anfangs an den automatisch generierten Zahlen. Lösung: Erste zwei bis drei Reporting-Zyklen parallel fahren — manuell und automatisch. Abweichungen systematisch analysieren. Wenn die automatischen Reports zuverlässig korrekt sind, wächst das Vertrauen schnell.

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

„Automatisiertes Reporting ist nicht verlässlich genug für BaFin-Einreichungen.” Automatisierte Systeme machen andere Fehler als Menschen — aber nicht mehr. Bei monotoner Datentransformation sind menschliche Fehler (Tippfehler, Kopierfehler, vergessene Updates nach Systemwechseln) die Hauptfehlerquelle. KI-Systeme machen keine Kopierfehler. Sie machen Systemfehler — die aber reproduzierbar und behebbar sind. Der Schlüssel ist eine klare Validierungsschicht: Kein automatisch generierter Report ohne menschliche Schlussfreigabe. BaFin erwartet das so — und das ist auch richtig.

„Regulierungen ändern sich ständig — das System kann nicht aktuell bleiben.” Das ist eine berechtigte Sorge bei Eigenentwicklungen. Bei etablierten RegTech-Anbietern wie Regnology ist es explizit das Kernprodukt, Regulierungsänderungen laufend einzupflegen — das rechtfertigt die jährlichen Lizenzkosten. Entscheidend ist, dass im Vertrag die Update-Verpflichtung explizit geregelt ist, inklusive SLA für wie schnell nach einem BaFin-Rundschreiben die Software aktualisiert wird.

„Compliance ist zu wichtig, um sie an Algorithmen zu delegieren.” Das stimmt. Deshalb delegiert kein Institut die Compliance-Verantwortung — nur die Datenaggregation und die Report-Erstellung. Die Compliance-Officer validieren, unterzeichnen und tragen die Verantwortung weiterhin. Was sich ändert: Sie haben mehr Zeit für die Arbeit, die echtes Fachwissen erfordert — Risikobeurteilung, regulatorische Interpretation, strategische Compliance-Planung.

Woran du merkst, dass das zu dir passt

Das Modell passt, wenn:

• Mindestens fünf regulatorische Reports regelmäßig (monatlich oder quartalsweise) eingereicht werden müssen
• Die Compliance-Abteilung mehr als zwei Vollzeitäquivalente hat
• Die Datenbasis in Quellsystemen grundsätzlich vorhanden und strukturiert ist (auch wenn sie noch nicht sauber gemappt ist)
• Das Institut bereit ist, 6 bis 12 Monate in die Implementierung zu investieren, bevor der erste ROI messbar ist

Wer noch nicht so weit ist:

• Unter 100 Mitarbeiter mit wenigen Reporting-Pflichten: Der Implementierungsaufwand übersteigt den Nutzen. Für kleinere Institute ist Microsoft 365 Copilot für Regulierungstext-Zusammenfassungen der sinnvollere Einstieg.
• Keine stabile IT-Landschaft: Wenn die Kernbanksysteme gerade migriert oder konsolidiert werden, ist Reporting-Automatisierung verfrüht. Erst Datenpipelines stabilisieren, dann automatisieren.
• Compliance-Know-how noch im Aufbau: KI kann keine fachliche Compliance-Kompetenz ersetzen. Institute, die gerade erst Compliance-Strukturen aufbauen, brauchen zuerst Menschen — dann Automatisierung.

Das kannst du heute noch tun

Der erste sinnvolle Schritt kostet nichts: Nutze einen LLM wie Claude oder ChatGPT, um das letzte BaFin-Rundschreiben oder eine EBA-Konsultation zusammenzufassen und auf Relevanz für euer Institut einzuschätzen. Das zeigt sofort, welchen Zeitwert NLP-gestütztes Regulierungsmonitoring hat — ohne Systemintegration, ohne Projektbudget.

Quellen & Methodik

• EBA Report on Supervisory Reporting (2024): Erhebung zur durchschnittlichen Compliance-Kapazitätsbindung durch regulatorisches Reporting im europäischen Bankensektor (30–40 %) — eba.europa.eu
• BaFin Jahresbericht 2023/2024: Angaben zu § 44 KWG-Sonderprüfungen und typischen Bußgeldrahmen bei Meldeverstößen — bafin.de
• EBA IReF Framework (2024): Konsultationsdokumente zum Integrated Reporting Framework — Paradigmenwechsel zu granularen Daten, geplante Umsetzung 2027 — eba.europa.eu
• BaFin MaRisk-Novelle AT 7.2 (2023): Anforderungen an Datenaggregation und Berichtswesen — bafin.de/marisk
• Regnology Kundenbefragung 2023: Benchmarkdaten zur Zeitersparnis durch Reporting-Automatisierung in deutschen Instituten (40–60 %) — regnology.net
• Erfahrungswerte aus Compliance-Projekten (anonymisiert): Timeline-Angaben, Datenqualitätsprobleme und Akzeptanzverhalten basieren auf Praxis-Beobachtungen aus Implementierungsprojekten 2022–2024