_Zusammenfassung
Der von der Association des Banques et Banquiers Luxembourg veröffentlichte ABBL-Jahresbericht 2025 beginnt mit einer Feststellung, die die damalige Situation treffend beschreibt: Die regulatorische Agenda war „außergewöhnlich dicht“. Die CRR3 trat in Kraft. Die CRD VI wurde in nationales Recht umgesetzt. Mit dem Omnibus-I-Paket wurde der Rahmen für die Nachhaltigkeitsberichterstattung erheblich neu ausgerichtet. Die PSD3 und die Zahlungsdiensterichtlinie durchliefen den Trilog-Prozess. DAC 8, die Verbriefungsreform und der Übergang zur T+1-Abwicklung erweiterten diesen Zyklus gleichzeitiger, tiefgreifender Veränderungen noch weiter.
Dies ist kein vorübergehender Zustand, sondern ein strukturelles Problem. Und die Institutionen, die für die nächsten fünf Jahre am besten aufgestellt sind, sind diejenigen, die jetzt in die Infrastruktur investieren, um diese Herausforderungen effizient, präzise und auf eine Weise zu bewältigen, die von Aufsichtsbehörden und Wirtschaftsprüfern tatsächlich überprüft werden kann.
CRR3: Was „Basel IV“ für den Compliance-Bereich tatsächlich bedeutet
Die Eigenkapitalverordnung III – offiziell CRR3, in vielen Marktkommentaren informell als „Basel IV“ bezeichnet – trat am 1. Januar 2025 EU-weit in Kraft. Sie ist die Umsetzung des vom Basler Ausschuss für Bankenaufsicht veröffentlichten endgültigen Basel-III-Rahmenwerks durch die EU und betrifft nahezu jeden Aspekt der Eigenkapital- und Risikoinfrastruktur einer Bank.
Die wichtigste Änderung betrifft die Untergrenze für die risikogewichteten Aktiva: Ab 2025 dürfen Institute, die interne Risikomodelle verwenden, ihre risikogewichteten Aktiva nicht unter 72,5 % des Wertes nach dem Standardansatz ansetzen; die schrittweise Einführung erfolgt bis zur vollständigen Umsetzung im Jahr 2030. Laut dem Risikobewertungsbericht der EBA vom Dezember 2025 stiegen die risikogewichteten Aktiva der Banken in der EU/im EWR im Jahresvergleich um 3 %, wobei allein die risikogewichteten Aktiva für operationelle Risiken um mehr als 300 Milliarden Euro – ein Anstieg um 30 % – zunahmen, insbesondere weil die CRR3 alle bestehenden Ansätze für operationelle Risiken durch eine einzige standardisierte Geschäftsindikator-Komponente ersetzte. Für Banken, die zuvor interne Modelle verwendet hatten, bedeutete dies vom ersten Tag an unmittelbar höhere Kapitalanforderungen.
Die operativ anspruchsvollste Dimension der CRR3 dürfte jedoch die dafür erforderliche Berichtsinfrastruktur sein. Die Verordnung überträgt der Europäischen Bankenaufsichtsbehörde rund 140 technische Aufträge in einem breiten Spektrum von Umsetzungsbereichen. Die meisten davon werden in einem zweistufigen, aufeinander aufbauenden Ansatz umgesetzt, der mindestens bis 2027 andauern wird. Wie das Regulatory-Intelligence-Team von Wolters Kluwer in seiner Einschätzung feststellte: „Die Umsetzung wird kein einmaliges Ereignis sein, sondern ein fortlaufender Prozess, auf den sich die Banken über einen längeren Zeitraum vorbereiten müssen.“
Die Säule-3-Ebene ist von besonderer Bedeutung. Ab dem Stichtag Juni 2025 müssen gemäß CRR3 und dem neuen EBA-Säule-3-Datenhub alle betroffenen Institute strukturierte Angaben im maschinenlesbaren XBRL-CSV-Format über die EUCLID-Plattform für aufsichtsrechtliche Berichterstattung einreichen. Diese Angaben werden öffentlich veröffentlicht – nicht auf den Websites der einzelnen Banken, sondern auf einer zentralen Aufsichtsplattform, auf die Aufsichtsbehörden, Investoren und der Markt gleichzeitig Zugriff haben. Die neuen Säule-3-Vorlagen decken für die größten börsennotierten Institute die Kapitalstruktur, das Kreditrisiko, das Marktrisiko, das CVA-Risiko, das operationelle Risiko und – von entscheidender Bedeutung – die ESG-Risikoengagements ab, einschließlich der Kennzahlen zur „Green Asset Ratio“.

Insgesamt ergibt sich ein Bild struktureller Datenkomplexität. Allein die XBRL-Vorgabe der CRR3 verlangt von den Banken, dass sie die Vorlagen der Säule 3 in taxonomiekonforme, maschinenlesbare Formate umwandeln, diese anhand der EBA-Vorschriften validieren und auf Konsistenz zwischen den Vorlagen prüfen, die Übereinstimmung zwischen den beschreibenden Angaben und den strukturierten Daten gewährleisten sowie für jeden übermittelten Datenpunkt eine prüfungsfähige Rückverfolgbarkeit sicherstellen. Gemäß den Säule-3-Leitlinien der CSSF für luxemburgische Institute hat die EBA im August 2025 einen No-Action-Letter herausgegeben, der speziell darauf abzielt, rechtliche und operative Unsicherheiten während der Übergangsphase zu verringern – ein Eingeständnis, dass selbst für die Aufsichtsbehörde das Tempo der Umsetzung die Belastbarkeit der Institute auf die Probe gestellt hat.
Compliance als messbares Geschäftsproblem: Was die Daten aussagen
Dieser Ansatz spiegelt einen Wandel in der Argumentation wider. Allgemeine Argumente zur „Überregulierung“ lassen sich leicht abtun. Wenn ein Branchenverband jedoch nachweisen kann, dass ein bestimmter Anteil der Betriebskosten für die Compliance-Infrastruktur aufgewendet wird und nicht für die Kreditvergabe, den Handel oder die Vermögensverwaltung – und dass dies das für die Finanzierung europäischer Unternehmen verfügbare Kapital schmälert –, ändert sich die Diskussion.
Eine der bedeutendsten Entwicklungen in der europäischen Bankenlobbyarbeit der letzten Jahre ist das Aufkommen quantifizierter Untersuchungen zu Compliance-Kosten als formelles politisches Instrument. Die ABBL veröffentlichte 2025 in Zusammenarbeit mit EY eine spezielle Umfrage zu den Regulierungskosten („Cost of Regulation Survey“), die speziell darauf ausgelegt war, politischen Entscheidungsträgern evidenzbasierte Argumente darüber zu liefern, was der aktuelle Regulierungszyklus tatsächlich kostet. Die ABBL ergänzte dies durch ein Positionspapier mit 40 konkreten Vorschlägen für eine intelligentere Finanzregulierung, das im Rahmen ihrer Lobbyarbeit bei den EU-Institutionen auf europäischer Ebene vorgestellt wurde.
Externe Untersuchungen bestätigen das Ausmaß des Problems. Die globale Compliance-Benchmark-Studie von BCG für das Jahr 2025 ergab, dass die Betriebskosten für Compliance in Europa nach einer Welle neuer Richtlinien – dem EU-AML-Paket, den EBA-Leitlinien und dem EU-KI-Gesetz –, die alle innerhalb eines Zeitraums von 12 Monaten in Kraft traten, stark gestiegen sind. Dieselbe Studie identifizierte KI und generative KI als den wichtigsten Hebel, um die wachsenden Verpflichtungen ohne einen entsprechenden Personalzuwachs zu bewältigen. Nach der Darstellung von BCG wandeln führende Banken ihre Compliance-Funktionen von Kostenstellen in strategische Wegbereiter um – allerdings nur diejenigen, die über Pilotprojekte hinausgegangen sind und den Einsatz in der Produktion begonnen haben.
Die McKinsey-Analyse aus dem Jahr 2025 zum Thema RegTech verdeutlichte die Leistungsschwäche manueller Systeme: Finanzinstitute, die auf manuelle Compliance-Prozesse setzen, erfüllen oft nur einen Bruchteil ihrer Verpflichtungen, wodurch sie einem höheren Risiko von Strafen und betrieblichen Ineffizienzen ausgesetzt sind. McKinsey führte das Beispiel einer US-amerikanischen Bank an, deren veraltetes Compliance-System lediglich 75 % der Anforderungen erfüllte, bevor eine automatisierte RegTech-Lösung diesen Wert auf über 95 % steigerte – eine Lücke, die in einem Post-CRR3-Umfeld, in dem Offenlegungen öffentlich überprüfbar sind, direkte Auswirkungen auf den Ruf und die Aufsicht hat.
Jerry Grbic, Geschäftsführer der ABBL, brachte in seinem Brief an die Mitglieder aus dem Jahr 2025 die zentrale Spannung auf den Punkt: Europäische Banken finanzieren fast 80 % des Finanzierungsbedarfs von Unternehmen. „Innovation muss den Kunden und der Wirtschaft dienen und darf nicht vollständig von Meldepflichten und administrativer Komplexität aufgezehrt werden.“ Wenn Compliance-Maßnahmen operative Kapazitäten beanspruchen, werden die Kosten letztendlich von der Realwirtschaft getragen – nicht nur vom jeweiligen Institut.
Wo vergehen die Stunden bei der Einhaltung gesetzlicher Vorschriften?
Der arbeitsintensivste Aspekt der CRR3-Compliance – wie auch der meisten aufsichtsrechtlichen Meldepflichten – ist nicht nur die Berechnung, sondern auch die Datenextraktion und -zuordnung. Ein Compliance-Analyst, der eine XBRL-Meldung gemäß Säule 3 erstellt, muss relevante Daten aus internen Systemen abrufen, verstehen, welchem aufsichtsrechtlichen Konzept jede Zahl zugeordnet ist, sie in das richtige XBRL-Taxonomie-Tag konvertieren und anhand von vorlagenübergreifenden Konsistenzregeln validieren. Multipliziert man dies mit Hunderten von Datenpunkten, mehreren Berichtseinheiten und vierteljährlichen Zyklen, wird der manuelle Aufwand deutlich.

Das Gleiche gilt für die ESG-Berichterstattung. Gemäß den ESG-Vorlagen der Säule 3 der CRR3 müssen Banken Kennzahlen zur „Green Asset Ratio“, Angaben zur Taxonomie-Konformität sowie ESG-Risiken auf Gegenparteiebene offenlegen – Daten, die in der Regel in Nachhaltigkeitsberichten, Bewertungsmodellen und Kreditakten im gesamten Institut gespeichert sind. Die Umwandlung dieser Daten in ein strukturiertes, XBRL-fähiges Format ist in erster Linie ein Problem der Datenextraktion und -zuordnung und erst in zweiter Linie ein regulatorisches Problem.
Laut der GenAI-Compliance-Analyse von BCG für den Bankensektor (November 2025) reduzieren generative KI-Lösungen, die eine dynamische Datenextraktion durchführen – also automatisch Daten aus unstrukturierten Quellen erfassen und abgleichen –, den manuellen Prüfungsaufwand in den Arbeitsabläufen für KYC, Berichterstattung und Offenlegung drastisch. BCG stellte fest, dass dieser Ansatz Produktivitätssteigerungen von 20 bis 60 Prozent im Compliance-Bereich bewirkt – wobei KPMG eine Reduzierung der Vorbereitungszeit für die Berichterstattung um bis zu 85 % dokumentierte und EY eine Zeitersparnis von bis zu 90 % bei Compliance-Prüfungsabläufen angab, bei denen KI-gestütztes Vorausfüllen durchgängig eingesetzt wird.
92 % der EU-Banken setzen KI ein. Die Frage, die wir uns bei Dydon AI stellen, lautet: In welcher Form und unter welchen Bedingungen?
Laut dem Bericht der EBA vom September 2025 über KI im Bankwesen setzen derzeit 92 % der EU-Banken KI ein, während sich die restlichen 8 % noch in der Pilot- oder Diskussionsphase befinden.
Bei Dydon AI stellen wir uns angesichts dieser Zahl eine wichtige Frage: In welcher Form?
Die eigenen Daten der EBA zeigen, dass der Begriff „Einsatz von KI“ alles umfasst – von jahrzehntealten Regressionsmodellen und Entscheidungsbäumen bis hin zu wirklich intelligenten, fachbereichsspezifischen Systemen, die für regulierte Arbeitsabläufe entwickelt wurden. Diese Unterscheidung ist von enormer Bedeutung. Ein veraltetes Modell zur Betrugserkennung und eine Compliance-Plattform, die vertrauliche ESG-Daten von Geschäftspartnern unter vertraglichen Garantien zur Datenisolierung verarbeitet, gehören nicht derselben Einsatzkategorie an – und sollten in keiner Diskussion über Governance als solche behandelt werden.
Der Finanzplatz Luxemburg hat sich hierzu ungewöhnlich deutlich geäußert. Das „Haut Comité de la Place Financière“ – das Koordinierungsgremium des luxemburgischen Finanzsektors, in dem die ABBL eine zentrale Rolle spielt – hat im Jahr 2025 einen 10-Punkte-Aktionsplan entwickelt, der speziell darauf abzielt, die verantwortungsvolle Einführung von KI in der gesamten Branche zu beschleunigen. Der Jahresbericht 2025 der ABBL nennt dies neben der Widerstandsfähigkeit im Bereich Cybersicherheit als strategische Priorität, was die Erkenntnis widerspiegelt, dass der Einsatz von KI und die KI-Governance untrennbar miteinander verbunden sind.
Der Begriff „verantwortungsbewusst“ ist in diesem Zusammenhang operativ und nicht rhetorisch gemeint. Wie das Compliance-Intelligence-Team von Wolters Kluwer Anfang 2026 feststellte, riskieren Banken, die sich im Wettlauf um die Integration von KI befinden, ohne gleichzeitig entsprechende Governance-Rahmenbedingungen zu schaffen, eine behördliche Überprüfung aufgrund von Mängeln beim Modellrisikomanagement: „Eine wirksame KI-Governance erfordert eine klare Rechenschaftspflicht für KI-gesteuerte Entscheidungen, eine solide Aufsicht durch die Geschäftsleitung sowie starke Kontrollmechanismen unter Einbeziehung der Bereiche Risiko, Compliance und interne Revision.“
Insbesondere im Zusammenhang mit Compliance und aufsichtsrechtlicher Berichterstattung, wo jedes Ergebnis einer aufsichtsrechtlichen Prüfung, einer externen Prüfung oder einer öffentlichen Überprüfung über den „Pillar 3 Data Hub“ der EBA unterliegen kann, sind vier Dimensionen eines verantwortungsvollen Einsatzes von KI unverzichtbar.
Nachprüfbarkeit und Rückverfolgbarkeit der Quelle
Jede KI-gestützte Ausgabe – sei es eine vorab ausgefüllte Fragebogenantwort, ein extrahierter Säule-3-Datenpunkt oder ein zugeordnetes XBRL-Feld – muss bis zu ihrem Quelldokument, Abschnitt und Passus zurückverfolgbar sein. Im Compliance-Kontext gilt eine Antwort ohne nachweisbare Herkunft nicht als Antwort. Der „Pillar 3 Data Hub“ der EBA macht dies noch dringlicher: Im XBRL-Format eingereichte Angaben sind öffentlich durchsuchbar und können von Aufsichtsbehörden und Marktteilnehmern in Echtzeit mit Querverweisen versehen werden.
Garantien hinsichtlich Datenisolierung und Trainingsfreiheit
Finanzinstitute verarbeiten Daten zu Geschäftspartnern, interne Kapitalmodelle und ESG-Bewertungen auf Kundenebene, für die gesetzliche und geschäftliche Vertraulichkeitsverpflichtungen gelten. Der Einsatz von Unternehmens-KI in produktiven Compliance-Workflows muss auf der Grundlage vertraglicher Garantien erfolgen, die sicherstellen, dass Inhalte nach der Verarbeitung nicht gespeichert und nicht für das Modelltraining verwendet werden. Anbieter von Unternehmens-KI, die Zusatzvereinbarungen zur „Zero Data Retention“ anbieten, bei denen keine Konversationsdaten auf Festplatte geschrieben werden, stellen den angemessenen Mindeststandard für die Verarbeitung regulierter Finanzdaten dar.
Fachspezifisches Wissen über Rechtsvorschriften
Allgemeine KI-Modelle liefern bei Dokumenten zur Finanzaufsicht uneinheitliche Ergebnisse. Das System muss erkennen, wie CRR3-Kapitalvorlagen, SFDR-Offenlegungspflichten, EU-Taxonomie-Kriterien und ESRS-Datenpunkte auf sich überschneidende Konzepte unter unterschiedlichen Begrifflichkeiten verweisen, und es muss zwischen den verschiedenen Rahmenwerken unterscheiden können, selbst wenn in den Quelldokumenten nicht ausdrücklich angegeben ist, auf welches Rahmenwerk Bezug genommen wird. Ein Abgleich anhand von Schlüsselwörtern reicht für eine rahmenwerkübergreifende Zuordnung von regulatorischen Anforderungen nicht aus.
Menschenwissen als Grundlage der KI
KI in Compliance-Workflows muss so konzipiert sein, dass sie die menschliche Entscheidungsfindung unterstützt, nicht ersetzt. Die Analyse von McKinsey zum Einsatz von KI im Risiko- und Compliance-Bereich beschreibt dies als ein KI- und Gen-KI-gestütztes Risiko-Intelligence-Zentrum, das alle Verteidigungslinien unterstützt, die Berichterstattung automatisiert und die Transparenz verbessert, während die Risikomanager die Entscheidungshoheit behalten. Die Verantwortlichkeit verbleibt bei der Institution; die KI verändert lediglich, wofür diese Verantwortlichkeit eingesetzt wird.
Was KI-basierte Dokumentenanalyse in einem CRR3-Compliance-Workflow tatsächlich leistet
Die Diskussion über KI in der Finanzregulierung bleibt oft abstrakt. In der Praxis sind die Anwendungsfälle für KI-gestützte Dokumentenanalyse in einem Compliance-Umfeld nach CRR3 jedoch konkret und operativ. Drei davon sind für Finanzinstitute, die den aktuellen Regulierungszyklus bewältigen müssen, besonders relevant.
Extraktion von XBRL-Daten für Säule 3 und Zuordnung zu Vorlagen
Der CRR3-Pillar-3-Data-Hub der EBA erfordert die strukturierte Übermittlung von Hunderten von Datenpunkten im XBRL-CSV-Format, die Kapital, Risiken, ESG-Engagements und weitere Aspekte abdecken. Die relevanten Zahlen einer Bank sind über die Ergebnisse interner Risikomodelle, Kapitalberechnungssysteme, Kreditakten und Nachhaltigkeitsbewertungen verteilt – in Formaten, die ursprünglich nicht für die Übermittlung im XBRL-Format konzipiert wurden. Die KI-gestützte Dokumentenverarbeitung identifiziert die relevanten Kennzahlen in den Quelldokumenten, ordnet sie den entsprechenden EBA-Taxonomie-Tags zu, kennzeichnet Unstimmigkeiten oder fehlende Daten zur manuellen Überprüfung und generiert eine strukturierte, vorab ausgefüllte Vorlage, die zur Validierung durch das Compliance-Team bereit ist. Der Analyst validiert statt zu erstellen – eine qualitative Veränderung dessen, was ein Berichtszyklus erfordert.
Vorausfüllung des ESG-Fragebogens für die Due-Diligence-Prüfung von Geschäftspartnern
Gemäß den Vorlagen der ESG-Säule 3 der CRR3 und dem Rahmenwerk für die „Green Asset Ratio“ müssen Banken die Übereinstimmung mit der Taxonomie in ihren gesamten Kreditportfolios nachweisen – was ESG-Daten auf Gegenparteiebene erfordert, die im besten Fall in Form von Nachhaltigkeitsberichten und im schlimmsten Fall als heterogene Sammlung von PDF-Dateien, Tabellenkalkulationen und unvollständigen Angaben vorliegen. Die intelligente Dokumentenverarbeitung mittels KI liest diese Dokumente unabhängig von Format oder Berichtsrahmen, extrahiert die relevanten Indikatoren semantisch (wobei erkannt wird, dass sich „Scope-3-Emissionen in der Wertschöpfungskette“ und „indirekter vorgelagerter CO₂-Fußabdruck“ auf dasselbe Konzept beziehen) und ordnet die extrahierten Werte den Fragebogenfeldern oder Offenlegungsvorlagen zu, die die Bank ausfüllen muss. Jeder extrahierte Wert wird mit der entsprechenden Quellstelle verknüpft, wodurch eine nachvollziehbare Beweiskette für die aufsichtsrechtliche Überprüfung entsteht. Die Untersuchungen von McKinsey zu KI in Compliance-Workflows zeigen, dass agentische KI-Systeme, die für jede Interaktion vollständige Prüfpfade erstellen – einschließlich der verwendeten Daten und der durchgeführten Schritte –, genau das sind, was Compliance-Teams benötigen, um die Erwartungen der Aufsichtsbehörden zu erfüllen.
DORA-Fragebögen zu Risiken durch Dritte und Register für IKT-Anbieter
Die Verpflichtungen im Rahmen des DORA-Risikomanagements für Dritte verlangen von Finanzinstituten, strukturierte Register von IKT-Dienstleistern zu führen, Vertragsklauseln zu dokumentieren und eine kontinuierliche Sorgfaltsprüfung durchzuführen, wobei ein Großteil davon die Verarbeitung von Lieferantendokumentation, Zertifizierungsberichten, SOC-2-Audits und Vorfallhistorien umfasst. Dies ist „Document Intelligence“-Arbeit: relevante Datenpunkte aus unstrukturierten Lieferantendokumenten zu extrahieren, sie den vom DORA-Register geforderten Kategorien zuzuordnen und Lücken oder Unstimmigkeiten für das Team für operative Resilienz zu kennzeichnen. Die gleiche KI-Infrastruktur, die die Antworten auf ESG-Fragebögen verarbeitet, verarbeitet auch die DORA-Lieferantendokumentation, da das zugrunde liegende Problem in beiden Fällen identisch ist: strukturierte Compliance-Daten, die in unstrukturierten Dokumenten eingeschlossen sind.
In allen drei Anwendungsfällen ist der zugrunde liegende KI-Workflow einheitlich. Dokumente werden unabhängig vom Format eingelesen und analysiert. Relevante Datenpunkte werden semantisch extrahiert – das heißt, das System versteht den Inhalt und seinen regulatorischen Kontext, nicht nur seine Position auf der Seite. Die extrahierten Werte werden den Feldern der Zielvorlage oder des Fragebogens zugeordnet. Extraktionen mit geringer Zuverlässigkeit und Datenlücken werden zur manuellen Überprüfung markiert. Die Aufgabe des Compliance-Mitarbeiters verlagert sich von der Extraktion zur Validierung. Angesichts des Dokumentenvolumens, das Finanzinstitute aufgrund der CRR3-, DORA- und ESG-Verpflichtungen mittlerweile verarbeiten müssen, ist dies keine marginale Verbesserung. Es handelt sich um eine qualitative Veränderung dessen, was im Compliance-Bereich erreicht werden kann.
Was Finanzinstitute von einer KI-Compliance-Plattform erwarten sollten
Nicht alle KI-Systeme erzielen im Kontext der Finanzaufsicht gleichwertige Leistungen. Die Bedingungen, die darüber entscheiden, ob KI-gestützte Compliance-Maßnahmen korrekt, vertretbar und prüfungsfähig sind, sind spezifisch und sollten als Mindestanforderungen und nicht als Unterscheidungsmerkmale betrachtet werden.
Semantisches Verständnis, kein Musterabgleich. Die CRR3-Vorlagen für Säule 3, ESG-Fragebögen und DORA-Anbieterbewertungen folgen keiner einheitlichen Standardstruktur. Ein System, das Daten anhand ihrer Position lokalisiert – also eine Zahl an einer festen Stelle in einer festen Vorlage findet –, versagt, sobald sich das Dokumentformat ändert. Das System muss den Inhalt verstehen und erkennen, dass verschiedene Dokumente unter unterschiedlicher Terminologie und in unterschiedlichen Formaten auf dasselbe regulatorische Konzept verweisen.
Vollständige Rückverfolgbarkeit – bei jedem Schritt. Der EBA-Pillar-3-Data-Hub veröffentlicht Offenlegungen in Echtzeit für den Markt. Aufsichtsbehörden, Wirtschaftsprüfer und Investoren können nun die übermittelten XBRL-Daten mit öffentlich zugänglichen Nachhaltigkeitsberichten und Finanzberichten abgleichen. In diesem Umfeld ist die Frage „Woher stammt diese Zahl?“ keine interne Prüfungsaufgabe mehr – sie ist eine marktbezogene Rechenschaftspflicht. Jeder durch KI extrahierte Wert muss mit seinem Quelldokument, der entsprechenden Seite und der entsprechenden Passage verknüpft sein.
Fachwissen im Bereich der Regulierung. Wie die BCG-Benchmark-Studie zum Thema Compliance ergab, verbinden die effektivsten Compliance-Funktionen Fachwissen in den Bereichen Risiko und operative Abläufe mit fortschrittlichen technologischen Fähigkeiten. Das KI-System muss über echtes Fachwissen zu den von ihm verarbeiteten Rahmenwerken verfügen – CRR3, SFDR, EU-Taxonomie, ESRS, DORA – und nicht nur über allgemeine Fähigkeiten zum Lesen von Dokumenten. Dies ist besonders wichtig für die rahmenwerkübergreifende Zuordnung, bei der derselbe zugrunde liegende Datenpunkt Anforderungen mehrerer Rahmenwerke mit unterschiedlicher Terminologie erfüllen kann.
Zertifizierte, kundenisolierte Infrastruktur. Finanzinstitute, die Gegenparteidaten, interne Kapitalmodelle und ESG-Bewertungen von Kunden verarbeiten, benötigen eine KI-Infrastruktur, die unter klaren rechtlichen und technischen Garantien zur Datenisolierung betrieben wird. Als angemessene Mindestanforderung gelten KI-Implementierungen in Unternehmen, die nach ISO 27001 und SOC 2 Typ II zertifiziert sind und vertragliche Bestimmungen zur vollständigen Datenlöschung enthalten. Die Datenlagerung innerhalb der EU ist eine zusätzliche Anforderung für Institute, die der DSGVO und den aufsichtsrechtlichen Erwartungen der EZB unterliegen.
Die Regulatory-Intelligence-Plattform von Dydon AI basiert auf allen vier Anforderungen: semantische Dokumentenextraktion, lückenlose Rückverfolgbarkeit der Quellen für jede Ausgabe, Fachwissen im Bereich der Regulierung, das CRR3, SFDR, die EU-Taxonomie, ESRS, DORA und verwandte Rahmenwerke abdeckt, sowie eine kundenisolierte europäische Infrastruktur, in der keine Dokumentinhalte gespeichert oder für das Modelltraining verwendet werden. Jedes von der Plattform generierte Compliance-Ergebnis ist mit dem Dokument und der Passage verknüpft, aus denen es extrahiert wurde – wodurch die Nachweiskette entsteht, die Aufsichtsbehörden, Wirtschaftsprüfer und der EBA-Pillar-3-Data-Hub nun für den Markt sichtbar machen.
Vom Dokumentenvolumen zu strukturierten Compliance-Informationen
CRR3 ist keine Meldereform mit einigen Auswirkungen auf das Eigenkapital. Es handelt sich um eine Herausforderung im Bereich der Dateninfrastruktur, die mit entsprechenden Auswirkungen auf das Eigenkapital einhergeht. Die Umstellung auf XBRL-basierte Säule-3-Meldungen über einen öffentlichen EBA-Hub, die Integration von ESG-Risiken in Kapitalrahmenwerke, die 140 technischen Mandate der EBA, die bis 2027 umgesetzt werden sollen – all dies läuft auf denselben operativen Engpass hinaus: die Gewinnung strukturierter, prüfbarer und nachvollziehbarer Compliance-Daten aus den unstrukturierten Dokumenten, in denen sie derzeit vorliegen, und zwar in einem Tempo und Umfang, den manuelle Prozesse nicht bewältigen können.
Die Quantifizierung der Regulierungskosten durch die ABBL, die Dokumentation des Anstiegs der Compliance-Betriebskosten durch BCG und die Analyse von McKinsey zur Leistungslücke zwischen manuellen und KI-gestützten Compliance-Prozessen weisen alle in dieselbe Richtung. Die Institute, die jetzt in KI-gestützte Dokumentenanalyse investieren – verantwortungsbewusst eingesetzt und mit Governance-Rahmenwerken, die dem EU-KI-Gesetz, DORA und den Erwartungen der Aufsichtsbehörden entsprechen –, werden aus dem aktuellen Regulierungszyklus mit einem strukturellen operativen Vorteil hervorgehen. Diejenigen, die weiterhin auf manuelle Arbeitsabläufe oder auf isolierte Pilotprogramme setzen, die noch nicht in die Produktion übergegangen sind, werden mit der nächsten Welle technischer Standards der EBA konfrontiert sein, deren Kosten sie nicht proportional auffangen können.
Wie BCG feststellte: Führende Banken betrachten die regulatorische Infrastruktur als Wettbewerbsvorteil und nicht als Belastung. Die Frage ist nicht mehr, ob KI in den Compliance-Bereich gehört. Die Frage ist vielmehr, ob die Plattform die Standards erfüllt, die für regulierte Finanzdaten erforderlich sind.
Erfahren Sie, wie das für Ihre Einrichtung funktioniert
Jede Compliance-Landschaft ist anders. Unsere Experten prüfen Ihre spezifische Situation – wo der Aufwand für die Datenextraktion am höchsten ist, wo Automatisierung unmittelbaren Mehrwert schafft und wie sie sich in Ihre bestehenden Arbeitsabläufe integrieren lässt.
In diesem Artikel zitierte Quellen:
- ABBL (2025). Annual Report 2025 — Resilience in the Financial Sector. Association des Banques et Banquiers, Luxembourg. abbl.lu
- EBA (December 2025). Risk Assessment Report. European Banking Authority. eba.europa.eu
- EBA (2025). Pillar 3 Data Hub — onboarding plan and reporting framework 4.1. European Banking Authority. eba.europa.eu
- EBA (February 2025). Final Report ITS/2025/01 — IT solutions for Pillar 3 Data Hub submission. European Banking Authority. eba.europa.eu
- CSSF (2025). Pillar 3 framework — guidance for Luxembourg institutions. Commission de Surveillance du Secteur Financier. cssf.lu
- BCG (2025). Risky Times Call for Innovation in Bank Compliance. Boston Consulting Group. bcg.com
- BCG (November 2025). A Faster Path to Scaling GenAI in Banking Compliance. Boston Consulting Group. bcg.com
- McKinsey & Company (2025). Ushering in a New Era of Trusted AI — Regulatory Technology Analysis. McKinsey. mckinsey.com
- McKinsey & Company (2025). How Agentic AI Can Change the Way Banks Fight Financial Crime. QuantumBlack, AI by McKinsey. mckinsey.com
- McKinsey & Company (2024). How Generative AI Can Help Banks Manage Risk and Compliance. McKinsey Financial Services Practice. mckinsey.com
- Wolters Kluwer (2025). CRR3 Implementation — What Institutions Need to Know. Regulatory Intelligence. wolterskluwer.com
- Wolters Kluwer (March 2026). The AI Imperative in Banking: Moving from Pilot to Production. Wolters Kluwer Financial Services. wolterskluwer.com
- Chambers & Partners (2026). Banking Regulation 2026 — Global Practice Guide. practiceguides.chambers.com
- European Parliament (2025). The Implementation of Basel Standards: Progress, Divergence and Policy Challenges. Directorate-General for Internal Policies. europarl.europa.eu
- KPMG (2023). Regulatory Technology Report — Automated Regulatory Reporting.
- EY (2023). Global Risk Consulting — Compliance Verification Automation. Ernst & Young.