Seit 30 Jahren tun wir so, als bewege sich Compliance in Quartalen.
Sie bewegt sich in Sekunden.
Jahresaudits. Quartalsweise Risikoreviews. Monatliche Incident-Reports. Jährliche Schulungen. Zwischen den Momenten: Annahmen. Die Annahme, dass die AML-Schwellen vom Januar im April noch gelten. Dass der letzte FINMA-Rundbrief alles Relevante abdeckt. Dass die Kontrollen, die das Audit im März bestanden haben, auch im August noch funktionieren.
Diese Annahme war immer eine Fiktion. Aber sie war pragmatisch. In einer Welt ohne kontinuierliche Überwachung war sie das Beste, was möglich war.
2026 ist nicht diese Welt.
🎙️ Du hörst des Newsletter lieber? Hier eine kurze, KI-generierte Audio-Zusammenfassung dieser Ausgabe:
Vom Polaroid-Foto zum Compliance-Nervensystem
Das Problem
Regulatorik hat eine Eigenschaft, die das Management selten sieht: Sie ist immer aktiv. Ein neuer FINMA-Rundbrief am Dienstag. Ein BaFin-Circular am Donnerstag. Ein BGer-Urteil am Freitag. Eine AMLA-Typologie am Montag.
Das Compliance-Bild altert in dem Moment, in dem du es fertigstellst.
Wir sehen in Compliance-Funktionen ein wiederkehrendes Muster: Der Grossteil der Team-Zeit geht in das Rekonstruieren des aktuellen Zustands — nicht in das Verbessern. Das ist keine Management-Schwäche. Das ist eine technische Grenze.
Menschen können kein lebendes Modell aller relevanten Regulatoren, internen Systeme, Incidents und Lieferantenrisiken gleichzeitig im Kopf halten. Teams können es verteilt auch nicht — weil die Koordination teurer wird als die Überwachung selbst.
Also haben Organisationen ein System gebaut, das diese Grenze einpreist: Quartalsrhythmus. Audit-Zyklen. Stichtagsbetrachtung. Das Unmögliche durch Rituale ersetzt.
Die Rituale haben funktioniert, solange sich die Welt langsamer verändert hat als der Rhythmus. Das war lange so. Es ist nicht mehr so.
Was sich geändert hat
Im Mai 2025 hat Dario Amodei, CEO von Anthropic, in einem vielbeachteten Axios-Interview eine Prognose gestellt, die die Debatte über KI in Unternehmen auf eine schärfere Ebene gehoben hat: Binnen ein bis fünf Jahren könne KI bis zur Hälfte aller Einstiegspositionen in Wissensberufen ersetzen. Sein Appell an Führungskräfte: Die Debatte muss ehrlicher werden. Unternehmen, die offen darüber sprechen, gestalten den Übergang aktiv. Die anderen werden von der Realität überholt.
Die Schockwelle dieser Prognose hatte einen blinden Fleck: Was passiert mit Compliance, wenn KI nicht nur Standardwerkzeug wird, sondern zunehmend Entscheidungen vorbereiten und auch treffen kann, die bisher Menschen gefällt haben?
Die Antwort, die wir aktuelle gemeinsam mit Dr. Christian Wind (Bratschi AG) in unserer Führungskräfteumfrage zu einem KI-gestützten Compliance Cockpit herausarbeiten: Compliance ist nicht das nächste Anwendungsfeld für KI. Compliance ist die erste Disziplin, in der KI von Assistenz zu Infrastruktur wird.
Drei strukturelle Verschiebungen werden dabei sichtbar.
Verschiebung 1 — Vom Snapshot zum Sensor
Klassische GRC-Software — also die Kategorie von Unternehmenssoftware für Governance, Risk und Compliance, die Regelwerke, Risikokataloge, Kontrollen und Audit-Ergebnisse digital verwaltet — war im Kern ein digitales Archiv mit Dashboard. IBM OpenPages, ServiceNow GRC, MetricStream: Sie haben menschliche Arbeit organisiert. Gut gemacht. Aber die Arbeit selbst blieb manuell.
Eine neue Klasse von Systemen tut etwas anderes. Claude Cowork läuft auf bestehenden Dateien und Ordnern und hält ein lebendes Modell des Risikobildes aufrecht. Neuer FINMA-Rundbrief? Automatische Einarbeitung in die betroffenen Kontrollbereiche, mit Kennzeichnung der relevanten Zellen im Heatmap-Modell. Neuer Incident? Sofortiger Abgleich mit der bestehenden Risikoeinschätzung.
Das ist kein Dashboard. Das ist ein Sensor.
Verschiebung 2 — Vom Audit zum Alarm
Audits finden statt, weil niemand sonst hinschaut. In einer Welt, in der das Hinschauen kontinuierlich ist, verschiebt sich die Rolle des Audits: Es wird zur Verifikation, nicht zur Entdeckung.
Was das in der Praxis ändert: Regulator-Änderungen, Schwellenwertverletzungen, anomale Muster im Transaktionsfluss — all das wandert nicht in eine Jahrestabelle. Es löst Alarme aus, in dem Moment, in dem es passiert. Was bleibt für das Audit übrig? Die Prüfung der Entscheidungen, die in Reaktion getroffen wurden.
Verschiebung 3 — Von der Dokumentation zur Rechenschaft
Der EU AI Act Artikel 4 — die KI-Kompetenzpflicht — ist seit Februar 2025 aktiv. Die meisten KMU haben ihn nicht auf dem Radar, weil die Hauptpflichten erst im August greifen. Aber Artikel 4 signalisiert eine tiefere Verschiebung: Regulatoren wollen nicht mehr nur dokumentierte Prozesse sehen. Sie wollen gelebte Kompetenz.
Gelebte Kompetenz lässt sich nicht durch ein PDF belegen. Sie wird sichtbar im System, das zeigt, wie Entscheidungen getroffen wurden — und warum.
Das ist der Punkt, an dem Compliance-Technologie aufhört, Filing Cabinet zu sein. Und Rechenschafts-Infrastruktur wird.
Was das in der Praxis heisst
Drei konkrete Schritte für die nächsten 90 Tage:
Schritt 1 — Risikobild inventarisieren, nicht renovieren. Dein bestehendes Risikobild ist vermutlich nicht aktuell. Starte nicht mit einer Überarbeitung. Starte mit einer Sichtbarmachung: Wo kommen die Daten her, aus denen es gebaut wurde? Welche Frequenz haben sie? Wo sind die Lücken? Ein Nachmittag reicht für den ersten Durchgang.
Schritt 2 — Eine Zelle als Prototyp. Wähle einen Compliance-Bereich und einen Trigger-Typ. Beispiel: Datenschutz × Fristen. Baue einen einzelnen automatischen Alarm-Mechanismus für diese eine Zelle. Die Lernkurve für die anderen 47 Zellen ist danach deutlich flacher.
Schritt 3 — Rechenschaft vor Volumen. Bevor du Automatisierung in die Breite rollst, stelle sicher, dass du jede automatisierte Entscheidung vor einem Regulator erklären kannst. Die Frage ist nicht “Wie schnell sind wir?”, sondern “Können wir den Entscheidungsweg rekonstruieren?”
Drei Einschränkungen
Kontinuierliche Systeme driften. Ein falsch kalibrierter Sensor ist schlechter als kein Sensor. Dein Review-Zyklus verschwindet nicht — er verschiebt sich vom Compliance-Bild zur Kalibrierung des Sensors.
Die Regulator-Seite ist nicht synchron. FINMA, BaFin und die EU-Kommission bewegen sich nicht mit derselben Geschwindigkeit wie deine Infrastruktur. Du kannst schneller sein, als die Aufsicht prüfen kann. Das ist ein Feature, kein Bug — aber es erfordert mehr Selbstdisziplin, nicht weniger.
KI-Modelle halluzinieren. In einem Compliance-Kontext ist das katastrophal, wenn Human-in-the-Loop für regulatorisch relevante Outputs nicht zwingend verankert ist.
Die Frage ist nicht, ob Compliance sich verändert. Es ist bereits passiert.
Die Frage ist, ob du die Veränderung gestaltest — oder ob sie mit dir passiert.
Die erste Version bedeutet: Du wählst den Zeitpunkt, die Systeme, die Prototyp-Zelle, die Governance-Struktur. Die zweite Version bedeutet: Dein nächster Aufsichts-Audit zeigt dir die Lücke.
Beide Versionen führen zum selben Endzustand. Der Unterschied liegt im Preis.
Nächste Schritte
1. AI Act Navigator starten. Auf mmind.space findest du unseren KI-Agenten für den EU AI Act: Risikoklasse bestimmen, Fristen prüfen, Pflichten ableiten — auf Basis der offiziellen Verordnung, nicht auf Basis von Zusammenfassungen.
→ https://mmind.space/ai-marketplace
2. KI Café in Schaan und online am 10. Juni 2026. Hybrid-Event “KI rechtskonform einsetzen”, 16:30-18:30 Uhr. Gefördert durch Erasmus+, daher kostenlos.
→ https://mmind.space/p/ki-rechtskonform-einsetzen
3. Compliance-Heatmap-Expertenumfrage. Bringe deinen Bedarf ein: 15 Minuten, anonym, Benchmark gegen Peers inklusive. Deine Antworten fliessen direkt in die Konzeption des Cockpits ein.
→ https://umfrage.compliance.mmind.ai
Fragen zur Umsetzung? Antworte direkt auf diese E-Mail. Wir lesen jede Antwort.
