3 % Abdeckung, 100 % Haftung: Warum KI-gestützte Kommunikations-Compliance kein Nice-to-have mehr ist

In vielen regulierten Unternehmen sitzen heute ganze Teams, die aufgezeichnete Gespräche ihrer Kolleginnen und Kollegen abhören. Ihr Ziel: sicherstellen, dass MiFID-II-Anforderungen eingehalten wurden, Kunden korrekt beraten wurden und keine Informationspflicht verletzt wurde.

Kromer benennt das im Podcast so direkt, wie es selten jemand sagt: Diese Teams schaffen, wenn es gut läuft, eine Abdeckung von drei bis vier Prozent. Der Rest bleibt ungeprüft – nicht weil niemand hinschauen will, sondern weil kein menschliches Review-Team 100 % des Kommunikationsvolumens einer modernen Organisation bewältigen kann.

Das regulatorische Problem ist offensichtlich: Die Pflicht zur Aufzeichnung und Überprüfung gilt für 100 % der relevanten Kommunikation. Die tatsächliche Prüfung deckt einen Bruchteil davon ab. Diese Lücke ist kein Randproblem – sie ist das eigentliche Compliance-Risiko.

Noch komplizierter wird die Situation durch eine Entwicklung, die in den letzten Jahren nahezu unbemerkt an Compliance-Abteilungen vorbeigezogen ist: die Explosion der Kommunikationskanäle.

„Die Kundenkommunikation ist heute nicht mehr nur Sprache am Telefon – sie ist Video, sie ist Chat, sie ist E-Mail. Und diese gesamte Kommunikation gilt es zu dokumentieren, im Sinne des Anlegerschutzes."

Als MiFID II 2018 in Kraft trat, war Microsoft Teams noch kein dominantes Kommunikationsmittel. Heute führen Finanzberater Kundengespräche per Teams-Call, klären Rückfragen per Chat und senden Zusammenfassungen per E-Mail. Jeder dieser Berührungspunkte ist potenziell regulatorisch relevant – und muss erfasst, archiviert und überprüfbar sein.

Für Compliance-Verantwortliche bedeutet das: Das Spielfeld hat sich verändert, während viele Instrumente dieselben geblieben sind. Wer heute noch ausschließlich Telefonmitschnitte überwacht, hat nicht drei bis vier Prozent Abdeckung. Er hat deutlich weniger.

An diesem Punkt wird das Gespräch mit Kromer strategisch. Die Antwort auf das Stichprobenproblem ist keine Personalaufstockung. Sie ist ein Paradigmenwechsel in der Methodik.

„Das muss heute kein Mensch mehr machen. Das kann eine KI für dich machen – und ist ehrlich gesagt auch kein super spannender Job, den ganzen Tag die Gespräche von Kollegen anzuhören."

KI-gestützte Kommunikations-Compliance bedeutet nicht, dass Algorithmen Compliance-Entscheidungen treffen. Es bedeutet, dass Analysesysteme 100 % der aufgezeichneten Kommunikation sichten, auffällige Gespräche identifizieren und Compliance-Teams gezielt auf die Fälle lenken, die tatsächlich menschliche Beurteilung erfordern.

Das verändert die Ökonomie der Compliance-Funktion grundlegend: Dieselbe Kapazität menschlicher Expertise, die bisher auf zufällig ausgewählte Stichproben verteilt wurde, wird nun auf die Gespräche konzentriert, bei denen tatsächlich etwas auf dem Spiel steht. Die Abdeckung steigt von drei auf hundert Prozent. Und Compliance-Verantwortliche haben endlich eine belastbare Grundlage, um gegenüber Regulatoren nicht nur zu sagen „wir haben Prozesse", sondern „wir haben Transparenz".

Ein Aspekt, den Kromer im Podcast mit einem konkreten Beispiel illustriert, verdient besondere Aufmerksamkeit – gerade für IT-Verantwortliche, die globale Compliance-Rollouts planen:

„Unser Wettbewerber sagte: Wir schicken einen Techniker nach Australien, einen nach Südafrika – in sechs Wochen habt ihr das. Wir haben gesagt: zwei Stunden. Es gibt Rechenzentren in Südafrika, es gibt Rechenzentren in Australien. Ich aktiviere das, wo du es möchtest."

Der Unterschied zwischen einer nativen Cloud-Lösung und einem klassischen Server-basierten Ansatz ist in diesem Kontext nicht nur operativ – er ist strategisch. Compliance-Anforderungen entstehen nicht nach einem Implementierungsplan. Neue Niederlassungen, regulatorische Fristen, Akquisitionen: Sie alle erfordern, dass Compliance-Infrastruktur schnell mitziehen kann. Eine Architektur, die sechs Wochen braucht, um eine neue Niederlassung anzubinden, ist in einer regulierten, globalen Unternehmensrealität kein technisches Detail. Sie ist ein Risikofaktor.

Was bleibt, wenn man die technischen Argumente beiseitelegt, ist eine Frage, die Kromer auf den Punkt bringt:

„Wir verkaufen am Ende nicht nur Software. Wir verkaufen, dass der Kunde das Gesetz erfüllt – dass er compliant ist, dass er keine Strafen sich einfängt."

Kommunikations-Compliance ist nicht dazu da, Audit-Checklisten zu befüllen. Sie ist dazu da, das Vertrauen zu sichern, auf dem das Geschäftsmodell regulierter Branchen basiert – das Vertrauen der Kunden, der Regulatoren, der Öffentlichkeit.

Dieses Vertrauen lässt sich nicht auf Stichprobenbasis aufbauen. Es erfordert vollständige Sichtbarkeit. Und die Fragen, die sich daraus für jeden Compliance- und IT-Verantwortlichen ergeben, sind keine akademischen:

Wie viel Prozent der relevanten Kommunikation werden in Ihrem Unternehmen heute tatsächlich überprüft – über alle Kanäle hinweg? Welche Kommunikationskanäle sind noch nicht in der Compliance-Infrastruktur erfasst? Und: Wenn ein Regulator morgen die vollständige Aufzeichnung eines Teams-Gesprächs anfordert – wie lange würde das dauern?

Wer diese Fragen beantworten kann, hat eine Compliance-Infrastruktur. Wer sie nicht beantworten kann, hat ein Compliance-Risiko.