Grundwissen KI-Recht

Compliance-Verstöße aufgrund von RegTech?

Compliance-Verstöße aufgrund von RegTech?

RegTech soll dabei helfen, Compliance-Verstöße zu vermeiden. Neue Daten der European Banking Authority zeigen: Ausgerechnet RegTech soll einen Großteil der Compliance-Verstöße verursachen. Besteht die Gefahr auch bei KI-Compliance? Welche aufsichts- und haftungsrechtlichen Konsequenzen wären zu beachten?

Worum geht es?

In einem LinkedIn-Beitrag hat Friedrich Haase (Finance-Experte von PwC) auf eine Untersuchung der European Banking Authority (EBA) hingewiesen. Deren Ergebnisse überraschen: RegTech (Regulatory Technology) soll im Finance-Sektor einen erheblichen Anteil aller kritischen Compliance-Verstöße verursacht haben.

Sind die Erkenntnisse der EBA auch auf KI-Compliance übertragbar?

Zunächst die Links zum LinkedIn-Beitrag und dem PDF-Dokument der EBA:

Was sagt Friedrich Haase?

Der Wortlaut des Beitrags von Friedrich Haase wird an dieser Stelle zunächst einmal unkommentiert wiedergegeben. Jeder Leser kann und sollte sich selbst zu den Aussagen Gedanken machen:

„RegTech sollte Compliance-Verstöße reduzieren. Neue EBA-Daten zeigen: Es verursacht sie.

Die EBA-Stellungnahme 2025 kam letzte Woche mit einem schockierenden Befund: Über die Hälfte der schwerwiegenden Compliance-Verstöße, die an EuReCA gemeldet wurden, betrafen die unsachgemäße Nutzung von RegTech-Tools.

Denkt mal über diesen Widerspruch nach.

Die Technologie, die Compliance-Probleme verhindern soll, schafft mehr Compliance-Probleme, als sie löst. Gute Tools mit schlechter Implementierung sind schlimmer als gar keine Tools.

𝗪𝗮𝘀 𝗱𝗶𝗲 𝗘𝗕𝗔 𝗵𝗲𝗿𝗮𝘂𝘀𝗳𝗮𝗻𝗱:

Institute verlassen sich auf dieselben wenigen RegTech-Anbieter mit „Standard-Tools“, die nicht zu ihren Risikoprofilen passen. Besonders problematisch bei Kredit- und Zahlungsinstituten, wo die Risikoexposition bereits hoch ist.

𝗪𝗮𝗿𝘂𝗺 𝗱𝗮𝘀 𝗽𝗮𝘀𝘀𝗶𝗲𝗿𝘁:

Unternehmen kaufen RegTech und denken, die Technologie löst ihre Compliance-Probleme. Aber sie überspringen die harte Arbeit – ihre eigenen Anforderungen zu verstehen, ihre Teams zu schulen und angemessene Überwachung aufzubauen.

𝗗𝗮𝘀 𝗘𝗿𝗴𝗲𝗯𝗻𝗶𝘀:

Automatisierte Compliance-Verstöße in großem Maßstab.

Ich habe dieses Muster wiederholt bei RegTech-Evaluierungen gesehen. Teams begeistern sich für Features und vergessen die Implementierungsrealität. Sie nehmen an, das Tool wirkt Wunder, ohne in die Expertise zu investieren, es richtig zu nutzen.

Das eigentliche Problem ist nicht die Technologie. Es ist die Denkweise, dass Technologie allein Compliance-Herausforderungen löst.

𝗪𝗮𝘀 𝘁𝗮𝘁𝘀𝗮̈𝗰𝗵𝗹𝗶𝗰𝗵 𝗳𝘂𝗻𝗸𝘁𝗶𝗼𝗻𝗶𝗲𝗿𝘁:

• Eure Anforderungen verstehen, bevor ihr Tools evaluiert

• Interne Expertise aufbauen, um die Implementierung zu managen

• Angemessene Überwachungs- und Governance-Frameworks schaffen

• Gründlich in Pilotumgebungen testen

Das Timing der EBA ist kein Zufall.

Während sich DORA-Anforderungen verschärfen und RegTech-Konsolidierung beschleunigt, vergrößert sich die Kluft zwischen anspruchsvollen Tools und organisatorischer Bereitschaft.

𝗠𝗲𝗶𝗻𝗲 𝗣𝗿𝗼𝗴𝗻𝗼𝘀𝗲:

Wir werden mehr solcher Implementierungsfehler sehen, bevor Institute lernen, dass RegTech-Erfolg operative Disziplin erfordert, nicht nur Tech-Investitionen.

Die besten Compliance-Tools in den falschen Händen werden zum größten Compliance-Risiko.“

Betrifft das auch KI-Compliance?

Im übertragenen Sinn wurde hier offenbar Suppe mit Messer und Gabel gegessen. Die Frage im KI-Kontext lautet: Ist es im Hinblick auf KI-Compliance anders als im Banking-Bereich? Ist der Einsatz von RegTech dort weniger fehleranfällig?

Was sagt die Studie der EBA?

  • Der Abschnitt über RegTech befasst sich mit den Risiken, die sich aus schlechter Implementierung oder unkritischer Nutzung ergeben – wie mangelnde Governance, Outsourcing ohne ausreichende Kontrolle, unzureichende Tests oder fehlende Fachkenntnisse – und wie dadurch Compliance-Verstöße entstehen können.
  • KI wird auch erwähnt, aber: Der Punkt “Use of Artificial Intelligence” taucht separat auf und beschreibt lediglich die Nutzung von General Purpose AI (GPAI) durch Banken, etwa in Proof-of-Concepts, sowie die damit verbundenen Herausforderungen (fehlendes Personal, mangelndes Verständnis, potenzielle Risiken für Prozesse).

Die Betrachtung von KI erfolgt also getrennt von RegTech und ohne direkten Bezug zu RegTech‑Problemen.

Sind die strukturellen Probleme trotzdem übertragbar?

Für KI gibt es im Markt unzählige RegTech-Lösungen. Zudem ähneln sich Fehler- und Risikomechanismen. Wie weit sind die Erkenntnisse der EBA übertragbar?

1. Übertragbarkeit der RegTech-Fehler

  • Black-Box-Risiko bei Vendor Tools: Wenn Unternehmen RegTech-Software für KI-Compliance einkaufen, können dieselben Vendor-Probleme entstehen wie skizziert: Mangelnde Transparenz, kein Zugriff auf Bewertungsmodelle oder Quellen. Hinzu kommt die Abhängigkeit vom Anbieter.
  • Unzureichende Parametrisierung: RegTech-Tools sind oft regelbasiert oder eng konfigurierbar. Bei KI-Compliance (z. B. Pflichten aus der KI-Verordnung) könnte ein falsch gesetzter Scope (welches System gilt als „KI-System“?) direkt zu falschen Reports führen.
  • Automation Bias / fehlende Fachkontrolle: Selbst bei AML-Tools (Geldwäsche) haben Prüfer oft die Ergebnisse unkritisch übernommen. Wenn RegTech die KI-Compliance-Prüfung automatisiert (z. B. Risiko-Klassifizierung), besteht dasselbe Risiko.
  • Fragmentierte Governance: RegTech wird manchmal nur in der IT oder nur im Compliance-Sektor verankert. Für KI-Compliance (Querschnittsthema: Fachbereich, Recht, Technik) ist das besonders kritisch.

2. Besonderheiten bei KI-Compliance

  • Dynamik der KI-Systeme: Anders als klassische Banking-Regeln verändert sich ein KI-System nach Updates oder Retraining. Ein RegTech-Tool müsste also nicht nur einmalig prüfen, sondern ein kontinuierliches Monitoring leisten.
  • Breiter Rechtsrahmen: KI-Compliance umfasst nicht nur sektorales Bankenrecht, sondern auch EU AI Act, DSGVO, Produktsicherheitsrecht usw. Wirksames RegTech müsste multidisziplinär ausgestaltet werden.
  • Datenqualität und Bias-Checks: Während klassische RegTech-Tools meist Transaktionsdaten prüfen, müsste ein KI-RegTech auch Trainingsdaten und Modelloutputs analysieren – ein ganz anderer Prüfungsansatz.

3. Aufsichts- und Haftungsfragen

Der Einsatz von RegTech ist grundsätzlich sinnvoll und soll hier auch nicht infrage gestellt werden. Es muss jedoch sichergestellt sein, dass eine entsprechende Software für diesen Zweck tatsächlich geeignet ist, korrekt funktioniert, den richtigen Personen zugewiesen und fachgerecht angewendet wird.

Das Problem liegt aber meist nicht in der Technologie selbst, sondern im falschen Umgang damit. Der bloße Einsatz eines Tools ersetzt nicht die Verantwortung und die Fachkenntnis der Organisation. Dies kann wiederum aufsichtsrechtliche und haftungsrechtliche Folgen bewirken.

EbeneNutzer (z. B. Unternehmen)Hersteller/Anbieter von RegTech für KI
AufsichtsrechtPrimärverantwortung bleibt stets beim nutzenden Unternehmen. Compliance kann bei der KI-VO nicht ausgelagert werden. Risiko: Bußgelder, Untersagungen, Reputationsschaden.grds. kein Konformitätsnachweis, keine Genehmigung oder Zertifizierung für RegTech bei KI erforderlich.
VertragsrechtHaftung ggü. Kunden/Partnern, wenn Compliance-Verpflichtungen verletzt werden. Mögliche Gewährleistung o. Regress ggü. Hersteller, aber oft durch AGB limitiert.Vertragliche Haftung ggü. Nutzern. Typisch: Haftungsbeschränkung auf Vorsatz/grobe Fahrlässigkeit; anders bei objektiver Untauglichkeit für KI-Compliance.
ProdukthaftungsrechtKeine direkte Produkthaftung.Produkthaftung nach EU-Produkthaftungsrichtlinie (neue Version). Haftung, wenn Tool fehlerhaft ist und Schäden verursacht.
Deliktsrecht (§ 823 BGB)Risiko bei Organisationsverschulden (z. B. unfachmännische Nutzung o. falsche Verantwortung).Haftung möglich, wenn vorsätzlich oder fahrlässig untaugliches Tool in den Markt gebracht wurde.

Nutzer einer RegTech-Lösung sollten daher auch im Bereich KI darauf achten, ob die verwendete Software wirklich geeignet ist und sachgerecht genutzt wird. Falls nicht, könnte dies die skizzierten Konsequenzen haben.

Fazit:

Die von der EBA evaluierten Fehlerquellen aus RegTech (Governance, Vendor-Abhängigkeit, unkritische Automatisierung, falsche Parametrisierung) lassen sich in vieler Hinsicht auf den Bereich der KI-Compliance übertragen.

Vielleicht ist es hier sogar noch kritischer: KI-Compliance erfordert in vielen Fällen spezialisierte Funktionen (Bias-/Output-Monitoring, rechtliche Multijurisdiktion, dynamisches Lifecycle-Management). Dies sind Features, die über klassisches RegTech hinausgehen.

Generell spricht nichts gegen den Einsatz von RegTech bei KI – im Gegenteil. Aber: Man sollte sich der Tatsache bewußt sein, das der bloße Einsatz von RegTech noch lange keine Garantie für deren rechtskonformen Einsatz ist. Aufsichts- und haftungsrechtliche Komplikationen sollten daher nicht unterschätzt werden!

Bezug zum Skript „Grundwissen-KI-Recht“ u.a. Kapitel 2 und 4

Kategorie:

Inhalte des Beitrags, u.a.:

  • Compliance Verstöße
  • RegTech
  • Sanktionen und Haftung

* Aus Gründen der besseren Lesbarkeit wird im Text die männliche Form verwendet, die weibliche Form ist selbstverständlich immer mit eingeschlossen.