Das Jahr 2025 brachte keinen einzelnen entscheidenden Meilenstein für die Compliance. Stattdessen hinterliess es eine Reihe kleiner Signale, die zusammengenommen auf einen viel grösseren Wandel im Bereich der Finanzienstleistungs-Compliance hindeuten.
Dieser Artikel fasst die wichtigsten Erkenntnisse aus dem Jahr 2025 zusammen und verbindet sie mit den strategischen Entscheidungen, denen Compliance-Verantwortliche im Jahr 2026 wahrscheinlich gegenüberstehen werden. Dabei wird aufgezeigt, wo Aufmerksamkeit, Investitionen und Governance am wichtigsten sein werden.
Jahresrückblick 2025: Die wichtigsten Compliance-Erkenntnisse
KI zog in die tägliche operative Infrastruktur ein
Im Jahr 2025 vollzog die KI den Übergang vom experimentellen Einsatz zur alltäglichen Anwendung. Compliance-Teams begannen, KI-gestützte Zusammenfassungen, automatisierte Klassifizierung, Kennzeichnung von Richtlinien und Risikobewertung im Frühstadium in grossem Umfang für Sprach- und Textkommunikation zu nutzen.
Gleichzeitig traten Schwachstellen auf. Viele Unternehmen hatten Schwierigkeiten, KI-Ergebnisse während Audits zu erklären, mit KI-Unterstützung getroffene Entscheidungen nachzuvollziehen oder sogar nachzuweisen, wann und wie ein KI-Vorschlag ein Ergebnis beeinflusste. Hinzu kam, dass Warnmeldungen oft ohne ordnungsgemässe Protokollierung generiert wurden; Entscheidungsprozesse waren nicht erklärbar.
Die Lehre, die wir daraus ziehen sollten, ist nicht, dass KI gescheitert ist, sondern dass KI ohne Governance in der Compliance versagt.
Vorschriften wurden verschärft, Erwartungen an die Governance stiegen
Regulierungsbehörden haben schnell auf die Einführung neuer Technologien reagiert. Rahmenwerke wie DORA und globale Cyber-Governance-Regeln machten deutlich, dass technologische Entscheidungen nun auch regulatorische Entscheidungen sind.
So wurde beispielsweise die Cloud-Strategie untrennbar mit der Compliance-Strategie verbunden. Themen wie Datenresidenz, Outsourcing-Risiko und betriebliche Ausfallsicherheit rückten von Beschaffungschecklisten in den Fokus von Diskussionen auf Vorstandsebene.
Gleichzeitig drängten Aufsichtsbehörden auf eine stärkere Offenlegung von Cybervorfällen. In den Vereinigten Staaten beispielsweise müssen grössere Vorfälle nun innerhalb enger Fristen gemeldet werden, und die Bankenaufsichtsbehörden erwarten eine Transparenz, die weit über die minimale öffentliche Berichterstattung hinausgeht.
Die Erkenntnis: Compliance-Teams haben gelernt, dass ihre Governance-Rahmenwerke genauso schnell voranschreiten müssen wie die Einführung neuer Technologien.
Daten wurden zum begrenzenden Faktor
Trotz Jahren der digitalen Transformation mussten viele Unternehmen feststellen, dass sie nicht über die erforderliche Datengrundlage verfügten, um fortschrittliche KI verantwortungsbewusst zu unterstützen, geschweige denn in grossem Umfang. Kommunikationsdaten blieben weitgehend strukturiert und isoliert über verschiedene Systeme, Abteilungen sowie Regionen hinweg. Dies bedeutete, dass sich das interne Trainieren und Optimieren von KI-Modellen als schwierig, wenn nicht gar unmöglich erwies und die Wahrscheinlichkeit einschränkte, mit etablierten Open-Source- oder öffentlichen Modellen gleichzuziehen.
Die Erkenntnis: Der Engpass lag nicht bei den Algorithmen, sondern beim Datenzugriff, der Datenqualität und der Datenverwaltung. Damit KI wirklich effektiv und vertretbar ist, müssen Compliance-Teams sicherstellen, dass die Daten vollständig und unternehmensweit zugänglich sind. Dazu gehört es, Silos aufzubrechen, Formate zu standardisieren und klare Richtlinien für die Aufbewahrung, Protokollierung und Prüfung zu implementieren.
Konsolidierung barg Integrationsrisiko
Die Konsolidierung und Plattformisierung der Branche beschleunigte sich 2025 und brachte neue Herausforderungen für die Compliance mit sich. Fusionen und Übernahmen deckten Integrationslücken, inkonsistente Richtlinien und kulturelle Diskrepanzen auf. Plattformstrategien versprachen zwar Effizienz, warfen jedoch Bedenken hinsichtlich der Abhängigkeit von Dritten, der Datenverwaltung und der Einhaltung gesetzlicher Vorschriften auf.
Die Erkenntnis: Schnelles Wachstum oder Konsolidierung sind zwar nicht per se gefährlich, Governance ist jedoch essentiell zur Vermeidung von Risiken. Um dies effektiv zu bewältigen, müssen Unternehmen in eine strukturierte Integrationsplanung, eine kontinuierliche Überwachung von Plattformabhängigkeiten und eine solide funktionsübergreifende Zusammenarbeit investieren.
Vorhersagen für 2026: Wohin sich die Compliance entwickelt
Compliance & Non-Compliance-Aufzeichnungen werden konvergieren
Unternehmen haben erkannt, dass dieselbe Infrastruktur, die den Anforderungen der Aufsichtsbehörden genügt, auch die Effizienz in den Bereichen Vertrieb, Schulung, Qualitätssicherung und Betrieb steigern kann. Infolgedessen wird die Unterscheidung zwischen Compliance- und Non-Compliance-Aufzeichnungen weiter verschwimmen, da Audio-, Video- und Textaufzeichnungen in einheitlichen Plattformen zusammengeführt werden.
Bei dieser Konvergenz geht es nicht nur um Kosten, sondern auch um Vereinfachung, Governance und Datenverfügbarkeit im gesamten Unternehmen.
Echtzeit wird zum neuen Standard
Die grösste Veränderung, die uns bevorsteht, befrifft die Latenzzeit. Der Ansatz in der Compliance wandelt sich von «später überprüfen» zu «jetzt handeln». Finanzinstitute werden Echtzeit-KI-Modelle mit nahezu null Latenzzeit einsetzen, um die Live-Entscheidungsfindung bei Anrufen, Chats und traditionellen Systemen wie E-Mails zu unterstützen.
Dies könnte Folgendes umfassen:
- Automatisierte Bearbeitung von KYC- (Know Your Customer) und AML- (Anti-Money Laundering) Fällen in Echtzeit.
- Kontinuierliche Überwachung mit autonomer Alarmtriage.
- Live-Erkennung von Deepfakes, die direkt in Call Center- und Compliance-Workflows eingebettet ist.
Diese kontinuierliche Risikoüberwachung beginnt bereits, periodische Überprüfungen zu ersetzen, sodass Finanzkriminalität (die zunehmend synthetisch und KI-gestützt ist) bereits während des Anrufs und nicht erst Tage später erkannt werden kann.
All dies funktioniert jedoch nicht ohne Zugang zu Live-Datenströmen, womit Anbieter von Compliance-Erfassungslösungen eine wichtige Rolle spielen. Gleichzeitig bleibt die Integration zwischen Erfassungsplattformen und internen Systemen ein entscheidender Engpass.
Erklärbare KI wird zu einem unverhandelbaren Grundsatz
Regulierungsbehörden sind sich einig: Wenn Ihre KI nicht erklärt werden kann, stellt sie ein Risiko dar. Das EU-KI-Gesetz besagt, dass jede Warnung, Entscheidung und jeder Ausschluss nachvollziehbar, dokumentiert und überprüfbar sein muss.
Bis August 2026 müssen KI-Systeme mit hohem Risiko, darunter Kreditbewertungs- und Überwachungsinstrumente, strenge Anforderungen an die Erklärbarkeit und Dokumentation erfüllen. Das bedeutet zwar nicht, dass alles intern entwickelt werden muss, aber dass bei der Beschaffung kritischere Fragen gestellt werden müssen und man sich zurückziehen sollte, wenn die Antworten nicht ausreichen. Die Zeiten, in denen Entscheidungen mit «das Modell hat es so angezeigt» verteidigt wurden, sind vorbei.
Unternehmen werden auf KI setzen, die sie kontrollieren können
Der Druck der Erklärbarkeit wird auch die Strategien der Anbieter verändern. Unternehmen werden zunehmend KI-Modelle mit konfigurierbarer Erkennungslogik, transparenten Versionsverläufen und Einsicht in Trainingsdaten gegenüber undurchsichtigen «Blackbox»-Systemen bevorzugen.
Schatten-KI wird zu einem erheblichen Risiko. KI kann zwar von grossem Wert sein, doch die unbefugte Nutzung von KI ausserhalb genehmigter Systeme und ohne Audit-Kontrollen führt zu Sichtbarkeitslücken, die Compliance-Teams schliessen müssen.
Der KI-Überwachungsbeauftragte wird auftreten
Da KI zunehmend in die Überwachung integriert wird, wird der KI-Überwachungsbeauftragte in vielen Finanzdienstleistungsunternehmen eine wichtige Rolle spielen. Zu seinen Aufgaben gehören wahrscheinlich:
- Überprüfung von KI-generierten Warnungen: Sprach- und Textanalyseplattformen scannen aufgezeichnete Anrufe, E-Mails, Chats und andere Kommunikationsmittel auf Warnsignale wie potenziellen Marktmissbrauch, Insiderhandel, Falschberatung, unbeugte Ratschläge usw. Der Überwachungsbeauftragte überprüft diese Warnmeldungen, um festzustellen, ob es sich um echte Probleme oder um Fehlalarme handelt.
- Abstimmung und Kalibrierung der Modelle: Zusammenarbeit mit Anbietern oder internen Teams zur Verfeinerung der Lexika, Schwellenwerte und Erkennungsregeln der KI, um Störsignale zu reduzieren und echte Verfehlungen zu erkennen.
- Eskalation bestätigter Probleme: Wenn echte Verstösse festgestellt werden, eskalieren die Beauftragten diese je nach Bedarf an die Compliance-Führung, die Rechtsabteilung oder die Aufsichtsbehörden.
- Dokumentation und Berichterstattung: Führen von Prüfprotokollen und Erstellen von Berichten für die Aufsichtsbehörden, um die Wirksamkeit des Überwachungsprogramms des Unternehmens belegen.
Diese neue Rolle erfordert Ermittlungsinstinkt, technisches Geschick und ein Bewusstsein für Rechtsvorschriften – eine Kombination, die derzeit selten ist. Die Nachfrage wird wahrscheinlich grösser sein als das Angebot.
Compliance-Anpassungsfähigkeit wird entscheidend sein
KI beschleunigt die Finanzkriminalität, einschliesslich Deepfake-Betrug. Geopolitische Instabilität zwingt Europa dazu, in regionale Alternativen zu investieren und grenzüberschreitende Abhängigkeiten zu überdenken. Vorschriften entwickeln sich weiter, oft schneller als Betriebsmodelle.
Um diesen Anforderungen gerecht zu werden, bedarf es mehr als reaktiver Veränderungen. Es bedarf einer sogenannten Compliance-Wahrnehmung: der Fähigkeit, neue regulatorische und technologische Signale aufzunehmen, sie anhand früherer Erfahrungen zu interpretieren und neue Funktionen schnell sowie verantwortungsbewusst zu integrieren.
Mit einer starken Datenverwaltung und KI-Kontrollen kann Compliance von einer reaktiven zu einer vorausschauenden Funktion werden. Verhaltenskonformität, Risikobewusstsein und proaktive Interventionen werden Unternehmen in Bezug auf regulatorische Ergebnisse und Kundenvertrauen von anderen abheben.
Fazit: Überbrückung der Kluft zwischen Risiko & Kontrolle
Die Compliance-Landschaft zu Beginn des Jahres 2026 ist schneller, vernetzter und weniger nachsichtig als je zuvor. Am auffälligsten ist dabei nicht eine einzelne Vorschrift oder ein einzelner Technologietrend, sondern die wachsende Lücke zwischen der Geschwindigkeit, mit der sich Risiken entwickeln, und der Langsamkeit, mit der sich viele Kontrollrahmen anpassen können.
Im Jahr 2026 werden Compliance-Strategien weniger anhand der Vollständigkeit von Richtlinien als vielmehr anhand ihrer Umsetzung beurteilt werden. Sind Entscheidungen nachvollziehbar? Können Risiken früh genug erkannt werden, um relevant zu sein? Kann die Governance mit KI-gestützten Prozessen Schritt halten, ohne zu einem Engpass zu werden?
Finanzdienstleistungsunternehmen, die Compliance als strategische Kompetenz und nicht als reaktive Verpflichtung betrachten, werden im kommenden Jahr besser in der Lage sein, regulatorische Kontrollen, operative Widerstandsfähigkeit und das Vertrauen ihrer Kunden zu managen.
