Banken stehen heute vor einer paradoxen Situation: Noch nie war Compliance so datenreich – und noch nie war es so schwierig, Risiken rechtzeitig, konsistent und prüffest zu steuern.
WpHG-Compliance, MaRisk-Compliance und Geldwäscheprävention (AML) sind oft geprägt von:
- hohen Transaktionsvolumina,
- komplexen Prozessketten,
- steigenden Dokumentationspflichten und
- wachsendem Erwartungsdruck von Aufsicht und Prüfern.
Datenbasierte Analysen und KI-gestützte Verfahren versprechen Entlastung: eine bessere Risikoerkennung, weniger manuelle Prüfungen, gezieltere Überwachung. Und oft bieten sie das alles auch. Doch gerade im regulatorischen Umfeld gilt mehr denn je: Nicht alles, was effizient ist, ist auch compliant.
Eine Betrachtung sollte pro IT, aber bewusst kritisch hinterfragt sein, denn bankaufsichtliche Compliance verfolgt ein klares Ziel: Risiken früh erkennen – und Entscheidungen jederzeit nachvollziehbar begründen können.
Der Wandel im Compliance-Modell: Von Regeln und Listen zu Risikosignalen
Klassische Bank-Compliance ist stark regelbasiert:
- Vorgaben aus WpHG, MaRisk und GwG werden in Policies übersetzt,
- Kontrollen prüfen die Einhaltung,
- Abweichungen werden dokumentiert und adressiert.
Doch dieses Modell stößt zunehmend an Grenzen. Viele Risiken entstehen heute nicht durch einen einzelnen Verstoß, sondern durch Muster über Zeit, wie
- ungewöhnliche Handelsabfolgen,
- systematische Umgehung von Limit- oder Genehmigungslogiken,
- atypische Kunden- oder Zahlungsprofile,
- Kombinationen für sich genommen unauffälliger Sachverhalte.
Datengetriebene Compliance setzt hier an – mit einem klaren Perspektivwechsel:
- Daten liefern Hinweise, keine Feststellungen
- Systeme helfen bei der Priorisierung, nicht bei der finalen Bewertung
- Compliance bleibt Entscheidungsträger – nicht Ausführungsgehilfe der Technik
Damit wird Compliance beweglicher, schneller, effizienter. Aber auch angreifbarer, wenn Steuerung, Dokumentation und Verantwortlichkeiten nicht sauber geregelt oder nachvollziehbar sind.
Konkrete Mehrwerte in WpHG-, MaRisk- und AML-Compliance
WpHG-Compliance: Marktverhalten verstehen, nicht nur überwachen
MaRisk-Compliance: Prozessrealität und Regulatory Monitoring zusammendenken
MaRisk-Compliance-Verstöße entstehen selten durch offene Regelmissachtung. Häufig sind es schleichende Entwicklungen, wie:
- dauerhaft genehmigte Ausnahmen,
- manuelle Übersteuerungen,
- unklare Zuständigkeiten oder
- historisch gewachsene Prozessumgehungen.
Datenbasierte Analysen können hier Transparenz schaffen, indem sie hinterfragen:
- Wo werden Limits regelmäßig übersteuert?
- Welche Prozesse weichen systematisch vom definierten Soll ab?
- Wo kumulieren Funktionen entgegen dem Trennungsprinzip?
Hinzu kommt ein zweiter, oft unterschätzter Aspekt: Das Regulatory Monitoring.
Regulatorische Anforderungen ändern sich laufend – durch Rundschreiben, Auslegungshilfen, Leitlinien oder Prüfungsschwerpunkte der Aufsicht. Hier können daten- und textbasierte Auswertungen helfen,
- regulatorische Änderungen frühzeitig zu identifizieren,
- ihre Relevanz für bestehende Prozesse zu bewerten und
- Umsetzungsbedarfe strukturiert nachzuhalten.
Der Nutzen ist insbesondere im Bereich der Dokumentation hoch – aber nur, wenn klar bleibt: Auch hier ersetzt Technik keine fachliche Interpretation. Ohne klare Definitionen, belastbare Datenquellen und eindeutige Verantwortlichkeiten wird aus Transparenz schnell Erklärungsbedarf gegenüber der Aufsicht.
AML, PSD3 und Betrugsprävention: Mehr Klarheit im Massengeschäft
Geldwäscheprävention und Betrugsbekämpfung sind durch:
- Transaktionsmonitoring,
- Kundenverhalten über Zeit,
- Netzwerk- und Beziehungsanalysen,
- dynamische Risikoprofile
besonders datenintensiv.
Mit PSD3 und dem wachsenden Fokus auf Zahlungsbetrug rückt zudem die Verzahnung von AML und Fraud stärker in den Vordergrund. Auffällige Zahlungsströme, Social-Engineering-Muster oder Kontoübernahmen lassen sich häufig nur erkennen, wenn Daten ganzheitlich betrachtet werden.
Moderne Ansätze können:
- Fehlalarme reduzieren,
- neue Typologien schneller sichtbar machen und
- Risiken früher eskalieren.
Gleichzeitig ist AML der Bereich mit der höchsten aufsichtsrechtlichen Sensibilität. Erwartet werden:
- vollständige Nachvollziehbarkeit der Alert-Logik,
- klare Dokumentation von Parametern und Schwellen und
- die Reproduzierbarkeit von Entscheidungen – auch rückwirkend.
Ein System, das „lernt“, ohne erklärbar zu sein, ist aufsichtsrechtlich kaum haltbar – unabhängig von seiner Trefferquote.
Reporting, Dokumentation und Kommunikation mit der Aufsicht
Technische Unterstützung kann bei Berichten, Sachverhaltsdarstellungen und Maßnahmenplänen ganz deutlich helfen – etwa bei Struktur, Konsistenz und Sprache. Das spart Zeit – und birgt Risiken.
Denn gut formulierte Texte ersetzen keine saubere Herleitung. Gerade im Dialog mit Aufsicht und Prüfern gilt: Was gut klingt, muss belegbar sein. Daher braucht es klare Leitplanken:
Governance entscheidet: Technik ist kein Freifahrtschein
Wer datengetriebene Verfahren in der Bank-Compliance einsetzt, ohne Governance vorzuschalten, schafft neue Risiken – oft genau dort, wo eigentlich entlastet werden soll.
Ein pragmatischer Einstieg: aufsichtsnah statt ambitioniert
Ein tragfähiger Einstieg in datengetriebene Bank-Compliance braucht nicht immer einen Big Bang – insbesondere nicht in kleinen und mittelgroßen Instituten:
- Ein klar abgegrenzter Use Case (zum Beispiel AML-Alerts, Betrugsmuster oder WpHG-Handelsauffälligkeiten)
- Transparente Datenbasis mit klaren Verantwortlichkeiten
- Dokumentierte Logik, Schwellenwerte und Grenzen
- Klare Trennung von Hinweis, Bewertung und Entscheidung
- Qualitätssicherung, Logging und Reproduzierbarkeit
- Skalierung erst nach erfolgreicher aufsichtsnaher Erprobung
So entsteht zwar nicht direkt eine „smarte“ Compliance. Aber meist eine aufsichtsfeste, wirksame und zukunftsfähige Bank-Compliance.