In den letzten 20 Jahren war der am schnellsten wachsende Beruf in den USA der der Maniküre- und Pediküre-Spezialisten.
Aber was folgt dicht dahinter? Compliance-Beauftragte.

Compliance ist ein größeres Geschäft, als man denkt. Jeder Dollar, der ein Unternehmen verlässt oder in es hineinkommt – die Bezahlung von Mitarbeitern (Lohn- und Gehaltsabrechnung, Lohn gesetze), die Meldung von Einnahmen (Steuererklärungen), der Kapitaltransfer (Zahlungen, AML/KYC) – unterliegt der Compliance. In regulierten Branchen ist sogar die Art und Weise, wie und wie oft ein Unternehmen mit seinen Kunden kommuniziert, eine Compliance-Tätigkeit!
Heute sind in den Vereinigten Staaten mehr als 400.000 Compliance-Beauftragte beschäftigt, was jährliche Arbeitskosten von über 40 Milliarden US-Dollar verursacht (mit vielen weiteren Milliarden für Compliance-bezogene Beratungs- und Outsourcing-Jobs). Allein im Bankwesen wurden von 2010 bis 2014 mehr regulatorische Auflagen in Titel 12 des Code of Federal Regulations (CFR): Banks and Banking aufgenommen, als der gesamte Titel 1980 enthielt. Doch trotz dieser Nachfrage bleibt die Talent-Pipeline für Compliance angespannt. Das U.S. Bureau of Labor Statistics (BLS) prognostiziert für das nächste Jahrzehnt jährlich über 33.300 offene Stellen im Compliance-Bereich – eine Nachfrage, die durch eine Branche, in der 87% der Neueinsteiger das Feld irgendwann verlassen und die jährliche Fluktuation 20% übersteigt, noch verschärft wird. Dies hält Unternehmen in einem nahezu ständigen Kreislauf aus Rekrutierung und Verlust von Fachwissen.

Da die Welt immer komplexer geworden ist und die gesetzlichen Anforderungen an Unternehmen gestiegen sind, war die Reaktion der Unternehmen einfach: mehr Mitarbeiter auf das Problem ansetzen.
Mehr Mitarbeiter haben jedoch nicht unbedingt zu besseren Ergebnissen geführt. Im Jahr 2024 wurde beispielsweise die TD Bank mit einer Geldstrafe von 3 Milliarden US-Dollar belegt, weil sie 92 % ihrer Transaktionen nicht überwacht hatte – darunter ein Rückstau von 70.000 Erkennungsmeldungen, der bis ins Jahr 2018 zurückreichte. Und die TD Bank steht damit nicht allein; dasselbe Muster aus aufgeblähten Teams und wachsenden Rückständen hat sich im letzten Jahrzehnt bei fast jedem großen Finanzinstitut abgespielt. In dieser Zeit ist die Arbeit hartnäckig manuell geblieben.
Compliance ist „Schlepparbeit“ – mühsam, bürokratisch und oft papierbasiert, sodass sie stets manuell und personalintensiv geblieben ist. Diese Reibung und Trägheit hat Compliance zu einem historischen Friedhof für Startups gemacht.
Also, warum ist es jetzt anders?
1. Die Technologie hat sich von „Gut genug für einen Pilotversuch“ zu „Gut genug, um ihr zu vertrauen“ entwickelt
Manchmal ist der Markt für etwas, das sehr gut gemacht wird, 100-mal so groß wie der Markt für etwas, das nur ganz okay ist. Dies ist im Compliance-Bereich der Fall, wo ein zu 90 % korrektes Produkt immer noch zu 100 % falsch ist.
Ein Paradebeispiel ist die Dokumentenverarbeitung (die einen großen Teil der Compliance-Tätigkeit ausmacht). Die OCR-Technologie gibt es seit Jahrzehnten und sie erledigt die Arbeit größtenteils zufriedenstellend. „Größtenteils“ ist jedoch nicht gut genug, wenn es um die Unterzeichnung einer Hypothek, die Aufnahme eines Geschäftskunden oder die Prüfung eines Versicherungsanspruchs geht. Doch jetzt, mit Vision Language Models (VLMs), die auch den breiteren Kontext eines Dokuments verstehen und weniger Fehler produzieren, können Unternehmen plötzlich nicht schnell genug Verträge unterschreiben. Die Technologie hat sich nicht nur schrittweise verbessert; sie hat die Schwelle von „gut genug für einen Pilotversuch“ zu „gut genug, um ihr zu vertrauen“ überschritten.
Darüber hinaus bietet KI noch viele weitere Fähigkeiten. Erstens kann sie Dokumente mit einer Genauigkeit lesen, extrahieren und analysieren, die der eines Menschen nahekommt: Gründungsdokumente, Jahresabschlüsse und 400-seitige regulatorische PDFs. Zweitens können Computer-Use-Agenten sich in Legacy-Software zurechtfinden, wie ein Mensch es tun würde, ohne auf eine API oder ein sechsmonatiges Integrationsprojekt warten zu müssen. Drittens ermöglicht die Ausführung von Aufgaben mit langer Laufzeit einem Agenten, einen gesamten Workflow von Anfang bis Ende durchzuführen: Daten abrufen, Datenbanken gegenprüfen, Ausnahmen markieren, einen Bericht einreichen – und nicht nur bei einem einzigen Schritt zu assistieren.
Im juristischen Bereich haben eine breite Modellauswahl und eine konstant hohe Genauigkeit den Teams das Vertrauen gegeben, KI endlich zu nutzen – viele LLMs erzielen jetzt 80-100 % bei den 162 juristischen Denkaufgaben von LegalBench. Dies ist für Compliance direkt relevant, da Compliance im Wesentlichen angewandtes juristisches Denken unter operativen Zwängen ist, das auf denselben Kernaufgaben aufbaut: Lesen von Gesetzestexten, Anwenden von Regeln auf Sachverhalte, Identifizieren von Ausnahmen und Kennzeichnen von Unklarheiten.

2. Verkaufszyklen haben sich von „langsam“ zu „schnell“ entwickelt
Zum ersten Mal überwiegt das Risiko, dass ein Unternehmen seinen Compliance-Stack nicht modernisiert, das Risiko einer Veränderung. Regulierte Unternehmen haben lange an klobigen GRC-Tools (Governance, Risk und Compliance) und fragilen Legacy-Systemen festgehalten, weil Migrationen schmerzhaft waren, die Kosten einer verpassten Prüfung zu hoch waren und „gut genug“ sich sicherer anfühlte als eine Veränderung.
KI hat dies verändert. Compliance entwickelt sich über eine reine Kostenstelle hinaus zu einem Umsatztreiber. Im Finanzdienstleistungssektor bedeutet ein schnellerer KYC-Prozess eine schnellere Kundenaufnahme, was wiederum eine geringere Abbruchwahrscheinlichkeit und eine kürzere Zeit bis zur Umsatzrealisierung bedeutet. Eine bessere AML-Überwachung führt zu weniger Fehlalarmen, was bedeutet, dass weniger legitime Kunden fälschlich gemeldet und weniger Beziehungen beschädigt werden. Schnellere Marketing-Reviews bedeuten, dass Werbeinhalte zeitnaher vor den Kunden platziert werden können. Dies verändert das Wettbewerbsargument: Unternehmen, die modernisieren, sparen nicht nur Kosten, sondern gewinnen Kunden, die ihre langsameren Konkurrenten nicht aufnehmen können. Der Wettbewerb ist nicht die KI selbst. Es sind andere Unternehmen mit KI.
Darüber hinaus: Wenn wir davon ausgehen, dass Agenten bald zu den vorherrschenden Käufern im Web werden, eröffnet dies eine völlig neue Risikokategorie. Traditionelle Compliance wurde für menschliche Akteure konzipiert. Wir brauchen jetzt einen modernen KI-Ansatz, um die Identität zu überprüfen, die Absicht zu bewerten und die Haftung festzustellen, wenn die Gegenpartei ein autonomer Agent ist.
All dies bedeutet, dass eine Funktion, die in der Vergangenheit keine Software gekauft hat, plötzlich stark nachfragt.
Die drei Ebenen der Compliance
Jede Compliance-Funktion in jedem regulierten Unternehmen besteht aus denselben drei Zutaten:
- Regulierung, die die Arbeit bestimmt: Regeln, interne Richtlinien und die endlose Übersetzung zwischen diesen.
- Softwaresysteme, die versuchen, diese Regulierung zu kodifizieren: GRC-Plattformen, Fallmanagement-Systeme, Sanktionsprüf-Tools und fragile Automatisierungen, die alles zusammenhalten sollen.
- Menschen, die die Software gemäß der Regulierung nutzen: Dokumente lesen, Formulare ausfüllen, Datenbanken gegeneinander prüfen, Berichte schreiben.
Der Großteil der „zu erledigenden Aufgabe“ im Compliance-Bereich besteht darin, Informationen aus Dokumenten zu kopieren, diese Informationen manuell auf Richtigkeit oder Unstimmigkeiten zu prüfen und eine fortlaufende Überwachung (diese ersten beiden Aufgaben in regelmäßigen Abständen zu wiederholen).
Um dies zu veranschaulichen, betrachten wir eine Verdachtsmeldung (Suspicious Activity Report, SAR) im Bankwesen. Wenn in der NICE Actimize-Software [Software] ein Alarm ausgelöst wird, der eine ungewöhnliche Transaktion kennzeichnet, überprüft Sarah, die Compliance-Beauftragte [Menschen], den Fall, navigiert zum Kernbankensystem, um den vollständigen Transaktionsverlauf abzurufen, und gleicht dann die KYC-Akte des Kunden in einer separaten Datenbank und einer gemeinsam genutzten Ablage für Onboarding-Dokumente, Identitätsprüfung und Herkunft der Gelder ab. Sie prüft interne Richtlinien und Regeln [Regulierung], um zu beurteilen, ob die Aktivität die Schwelle für eine SAR überschreitet, trifft eine Beurteilung, kehrt dann zu NICE Actimize zurück, um ihren „Bericht“ zu verfassen, und kopiert manuell Transaktionsdetails und Kundendaten aus jedem System, das sie gerade besucht hat.
Jeder dieser Schritte ist ein ausgezeichneter Ansatzpunkt für den Aufbau Ihres KI-Startups.

1. Regulierung in Code verwandeln
Jeder neue Eintrag in Titel 12 (OCC, Fed, FDIC – in über 70 Kapiteln!), FINRA, SEC, CFTC und jede Abweichung auf bundesstaatlicher Ebene landet als PDF, das Menschen lesen, interpretieren, in interne Richtlinien übersetzen und dann auf Änderungen überwachen müssen.
KI kann Regulierung in Code verwandeln: strukturiert, automatisch aktualisierbar, von Agenten interpretierbar. Ein 400-seitiges Regulierungsdokument kann jetzt in einen strukturierten Satz von Verpflichtungen geparst werden, den eine Software gegenprüfen kann. Regulierung ist nicht länger ein Dokument, das Menschen interpretieren, sondern wird zu Code, den Systeme ausführen. Zwei Dinge ändern sich dadurch: Die Überwachung wird kontinuierlich statt periodisch, und eine regulatorische Änderung verbreitet sich in Minuten statt in Quartalen im gesamten Unternehmen. Im Falle der Lohn- und Gehaltsabrechnung in Brasilien besteht die gesamte Aufgabe eines Compliance-Beauftragten darin, Regierungswebseiten auf Regeländerungen zu überprüfen, die betroffenen Mitarbeiter in eine Tabellenkalkulation zu übertragen und die Lohn- und Gehaltsabrechnung manuell neu zu berechnen.
Beispiel: Tako wandelt die brasilianischen Arbeitsgesetze (über 10.000 Gewerkschaften und fast 900 Regeländerungen pro Jahr) in ein „Intelligenzsystem“ um, das die Lohn- und Gehaltsabrechnung und Gewerkschaftsregeln im Kontext Ihres Unternehmens prüft, komplexe Fragen zur Personalverwaltung in natürlicher Sprache beantwortet und Handlungen, die gegen Richtlinien verstoßen, in Echtzeit kennzeichnet, bevor sie zu Verstößen werden.
2. Legacy-Systeme herausreißen und ersetzen
Viele Compliance-Funktionen laufen auf Plattformen, die älter sind als die Cloud, und werden von Menschen zusammengehalten, die zwischen Systemen kopieren, einfügen und klicken. Deshalb fühlt sich jeder Workflow langsam an, selbst wenn jedes einzelne Tool es nicht ist: Die Integrationsebene ist ein Mensch. Darüber hinaus bedeutete der Ersatz eines dieser Systeme eine mehrjährige Migration, die kein Chief Risk Officer absegnen wollte.
Dies hat dazu geführt, dass viele Unternehmen (insbesondere Banken) auf jahrzehntealten Infrastrukturschulden sitzen, und diese Schulden sind jetzt das größte einzelne Hindernis für die KI-Einführung.
Daher haben Unternehmenskäufer jetzt drei Möglichkeiten, um KI zu nutzen:
- Den Bestandsinhaber behalten, aber „headless“ werden: Das bestehende System als Backend nutzen und Agenten oder neue Schnittstellen darauf aufbauen.
- Vibe-coden eines Ersatzes: Das System of Record selbst neu aufbauen, einschließlich Datenmodell, Berechtigungen, Workflows, Integrationen und Prüfbarkeit.
- Die neue KI-native Version kaufen: Wechsel zu einem System, das von Grund auf für Agenten, maschinelle Lesbarkeit und Orchestrierung konzipiert wurde.
Wenn Ihr System Compliance-kritische Daten enthält, mit Dutzenden von internen und externen Datenquellen und Partnern verbunden ist und jahrelange institutionelle Logik kodifiziert – dann wird Ihre Risikoaversion Sie zu Option (1) drängen. Aber dann machen Sie sich bereit, gegen Ihre Konkurrenten zu verlieren, die ihre Kosten mit KI drastisch senken und ihre Einnahmen steigern können (versuchen Sie, einen effektiven Sprachagenten hinzuzufügen, der in Software aus den 1990er Jahren lesen/schreiben muss).
Es ist jetzt nicht nur möglich, Legacy-Systeme zu ersetzen, sondern auch notwendig, um Wert aus KI zu ziehen. Legacy-Systeme wurden für Menschen gebaut: Daten sind isoliert und schwer zugänglich, Regeln sind fest codiert und langsam zu aktualisieren, und Workflows laufen in Batches statt in Echtzeit. Im Bankwesen kann dies alles von Jack Henry (Kernbankensystem), NICE Actimize (Transaktionsüberwachung) oder Smarsh (Mitarbeiterüberwachung) sein.
Beispiele:
- Valon (Hypothekendienstleistungen) hat einen Hypothekendienstleister von Grund auf neu aufgebaut, um zu beweisen, dass Software aus Operationen mit schwarzen Nullmargen Margen von über 60 % machen kann. Sie haben komplexe Dienstleistungs-Workflows in ValonOS kodifiziert: ein KI-natives Betriebssystem, das über 25 verschiedene Legacy-Systeme durch strukturierte Workflows, prüfbare Hauptbücher und programmierbare Aktionen ersetzt. Jetzt lizenzieren sie dieses System of Record, um die gesamte Hypothekendienstleistungsbranche mit einem Volumen von über 100 Milliarden US-Dollar anzutreiben, wobei jeder neue Kunde das Daten-Schwungrad verstärkt, das KI-Agenten zunehmend intelligenter macht.
- Vesta (Hypotheken-Darlehensvergabe) verwaltet und koordiniert alle Compliance-Regeln bei der Darlehensvergabe in Bezug auf die CFPB (TRID, HMDA usw.), die Unterschiede zwischen den 50 Bundesstaaten sowie die gesamte Compliance-Berichterstattung an Bundes- und Landesbehörden. Daher sind Compliance-Updates ein Code-Push und keine Unternehmensaktualisierung, die Implementierungsdienste erfordert. Kreditgeber erhalten eine präzise Prüfbarkeit, ganz zu schweigen von den 25-50 % Effizienzsteigerungen.
- Sardine (Betrugs- und Transaktionsüberwachung) ersetzt NICE Actimize. Sardine ist cloudbasiert und kann sowohl Inline-Echtzeit-Betrug erkennen als auch komplexe nachträgliche AML-Szenarien durchführen. Agenten sitzen auf Sardines Live-Daten, um Compliance-Prüfungen um bis zu das 30-fache zu verbessern. Beispielsweise automatisiert der SAR (Suspicious Activity Report)-Zusammenfassungs-Agent das Ausfüllen von 60-100 verschiedenen Feldern pro Entität (aus mehreren Systemen gezogen) und reduziert so die Zeit pro SAR-Einreichung von über 30 Minuten auf unter 1 Minute.
3. Die Arbeit von Menschen unterstützen
Der Großteil der Compliance-Arbeit besteht aus denselben drei menschlichen Tätigkeiten, die endlos wiederholt werden: (1) Dokumentenanalyse, (2) manuelle Prüf-Workflows und (3) fortlaufende Überwachung von (1) und (2).
Das verbindende Element zwischen diesen Tätigkeiten war in der Vergangenheit ein Mensch, der durch Legacy-Software klickt – und genau hier kommen Computer-Use-Agenten ins Spiel.
Nehmen wir die Aufnahme von Geschäftskunden im Bankwesen. Wenn ein Kunde aufgenommen wird, muss Sarah, die Compliance-Beauftragte, wichtige Informationen aus den Identitätsdokumenten (Personalausweis, Reisepass, Gründungsdokumente) und Jahresabschlüssen dieses potenziellen Kunden überprüfen und extrahieren. Anschließend muss sie diese Informationen in eine Reihe von Legacy-Software-Tools eingeben und Prüfungen gegen verschiedene Datenbanken (Sanktionslisten, Handelsregister usw.) durchführen, um sie zu validieren. Mit KI kann dieser gesamte Workflow von Anfang bis Ende automatisiert werden: Dokumente werden sofort erfasst und geparst, Datenbanken werden parallel geprüft, und Ausnahmen werden zur menschlichen Prüfung gekennzeichnet, anstatt dass ein Mensch sie ausführt.
Beispiel: Factor Labs sitzt auf Legacy-Systemen auf, anstatt sie zu ersetzen. Die Computer-Use-Agenten des Unternehmens automatisieren die Bearbeitung von Rückbuchungsstreitigkeiten (Chargeback Dispute Handling) für Banken und Zahlungsdienstleister. Jede Agentenaufgabe folgt einem „Playbook“, im Wesentlichen Schritt-für-Schritt-Anleitungen, die auf jeden Händler zugeschnitten sind und die Prozesse der Kreditkartennetzwerke einhalten. Der Agent ahmt nach, was ein menschlicher Analyst tun würde: Anmelden in Unternehmenssystemen (Outlook, Excel, Anti-Betrugsplattformen wie CyberSource), Beweise sammeln, diese in einem formatierten Word-Dokument mit dem Briefkopf des Kunden zusammenstellen und das endgültige PDF an den Kunden senden.
Fazit
Wir mögen alle diese Ansätze, und letztendlich werden die meisten neuen Systeme alle drei Aspekte abdecken. Der effektivste Einstiegspunkt hängt von Ihrem Markt ab:
(1) Hochdynamische regulatorische Umfelder: solche mit vielen Vorschriften in verschiedenen Jurisdiktionen, die sich ständig ändern, oder bei denen Durchsetzungsmaßnahmen und Prüfungsergebnisse ein Unternehmen häufig dazu zwingen, sein Aufsichts-/Compliance-Umfeld zu aktualisieren – hier bietet sich der Einstieg mit „Regulierung in Code verwandeln“ an.
(2) Die Fokussierung auf das System of Record ist sinnvoll, wenn:
- (a) Es die Möglichkeit für eine Grünfeld-Entwicklung gibt, d. h. keinen etablierten Bestandsinhaber für eine neue Teilmenge von Kunden. Wenn ein Kunde ein System of Record von Grund auf neu auswählt, ist die Präferenz für einen modernen KI-nativen Stack die Standardeinstellung, z. B. neue Banken in Saudi-Arabien (z. B. Stitch) oder die vielen RIA, die derzeit in den USA unabhängig werden und sich neu gründen.
- (b) Die alten Systeme operativ so kostspielig und schwierig zu beschreiben (schreibbar) sind, dass Sie sie herausreißen und ersetzen müssen, um KI nutzen zu können.
(3) Output-orientierte Arbeitsabläufe mit großen Rückständen und/oder Arbeitskräftemangel begünstigen die Unterstützung der menschlichen Arbeit. Wenn Compliance-Arbeit zu einem bestimmten Artefakt führt (einem Bericht, einer Einreichung, einer Zertifizierung), besteht der dringendste Bedarf möglicherweise darin, mehr Bearbeiter (in diesem Fall Agenten, die 24/7 arbeiten und keine Fehler machen) zur Bearbeitungswarteschlange hinzuzufügen. Beispielsweise die Abarbeitung von Alarm-Warteschlangen (wie beim 70k-Rückstau der TD Bank
Letztendlich glauben wir, dass diese Ansätze zusammenwachsen. Erfolgreiche Unternehmen in diesem Bereich werden Regulierung in Code verwandeln, ein neues System of Record besitzen und eine Flotte von Agenten darauf einsetzen.
Wenn Sie genau das bauen, sprechen Sie mit uns.
Verfasst mit @astrange





