Sebastian Wagmann über den Unterschied zwischen dem Consileon Compliance Manager und generativen KI-Tools
Viele Unternehmen haben inzwischen erste Erfahrungen damit gemacht, Dokumente in ein KI-Tool hochzuladen und sich eine Einschätzung geben zu lassen. Das funktioniert erstaunlich gut und weckt deshalb eine naheliegende Frage: Brauche ich dann überhaupt noch eine spezialisierte Lösung für die Vertragsprüfung? Sebastian Wagmann hat den Consileon Compliance Manager als Product Owner von Anfang an mitentwickelt. Er kennt diese Frage aus unzähligen Gesprächen mit Compliance-Teams und erklärt, wo die entscheidenden Unterschiede liegen.
Sebastian, einige Compliance-Verantwortliche experimentieren gerade mit generativen KI-Tools wie Claude oder ChatGPT. Die laden einen Vertrag hoch, stellen ein paar Fragen und bekommen eine Antwort. Was spricht dagegen?
Gar nichts, ehrlich gesagt. Das sage ich bewusst so, weil ich verstehe, warum das verlockend ist. Für eine erste Orientierung oder ein schnelles Stimmungsbild ist das durchaus nützlich. Wer wissen will, ob ein Vertrag grundsätzlich vernünftig aufgebaut ist oder ob eine bestimmte Klausel auf den ersten Blick problematisch erscheint, bekommt da hilfreiche Hinweise. Das Problem beginnt, wenn man das mit einer belastbaren Compliance-Prüfung verwechselt. Und das passiert öfter, als man denkt.
Wo genau liegt der Unterschied?
Der fundamentale Unterschied ist: Ein generatives KI-Tool weiß, wie Verträge im Allgemeinen aussehen. Es kennt aber nicht die regulatorischen Anforderungen, die konkret für Ihr Unternehmen gelten, und es kennt schon gar nicht Ihre internen Vorgaben. Eine Vertragsprüfung im Compliance-Kontext ist keine allgemeine Qualitätskontrolle. Sie ist ein Abgleich gegen ein definiertes Soll. Dieses Soll muss irgendwo hinterlegt sein.
Selbst wenn man ein Large-Language-Modell mit einem konkreten regulatorischen Soll füttern würde, bleibt das Problem bestehen: Die Prüfung ist weder konsistent noch reproduzierbar. Unterschiedliche Dokumentversionen, mehrere Verträge, regelmäßige Wiederholungen, das lässt sich mit einem generischen Chat-Interface schlicht nicht zuverlässig und skalierbar abbilden. Was einmal gut klingt, ist noch lange kein Prozess.
Was meinen Sie mit „definiertem Soll“?
Nehmen Sie als Beispiel die schriftlich fixierte Ordnung einer Bank. Das ist die Gesamtheit aller internen Regelwerke: Richtlinien, Arbeitsanweisungen, Prozessdokumentationen. Wenn ich prüfen will, ob ein IT-Dienstleistervertrag wirklich compliant ist, muss ich ihn nicht nur gegen die einschlägigen regulatorischen Anforderungen halten, sondern auch gegen das, was mein eigenes Haus dazu festgelegt hat. Ein generisches KI-Tool hat keinen Zugang zu dieser internen Welt. Es kann sie nicht kennen, weil sie nirgends öffentlich verfügbar ist. Das ist kein Vorwurf an die Technologie, das ist schlicht die Realität. Der Compliance Manager hingegen kann genau auf diese unternehmensspezifischen Anforderungen ausgerichtet werden und prüft dann beides parallel: externe Regulatorik und interne Vorgaben.
Ist das nur ein Problem bei internen Vorgaben, oder gibt es weitere Lücken?
Es gibt mehrere. Ein häufig unterschätztes Thema ist die Vollständigkeit. Wenn ich in einem Chat-Interface einen Vertrag hochlade und frage: „Was fehlt hier?“, erhalte ich einen Hinweis darauf, was die KI als relevant einschätzt. Ob alle verpflichtenden Klauseln, die ein bestimmtes Regelwerk vorschreibt, etwa Auditrechte, Exit-Regelungen, Meldepflichten oder Eskalationsmechanismen, wirklich systematisch geprüft wurden, lässt sich im Nachhinein nicht rekonstruieren. Es gibt keine Prüfliste, kein Protokoll, keinen Nachweis. Für eine Aufsichtsbehörde ist das nicht ausreichend.
Stichwort Nachweis: Wie löst das der Compliance Manager?
Jede Prüfung ist vollständig dokumentiert und nachvollziehbar: Welche regulatorischen Anforderungen wurden geprüft? Gegen welche Version des Regelwerks? Was war das Ergebnis für jede einzelne Anforderung? Wo genau im Dokument liegt eine Lücke? Und: Wann wurde diese Anforderung zuletzt geprüft? Der Compliance Manager historisiert Prüfergebnisse über Dokumentversionen hinweg, sodass Veränderungen zwischen älteren und neueren Versionen direkt sichtbar werden. Das alles ist revisionssicher hinterlegt. Ein Audit-Trail, der im Ernstfall vor der Aufsicht standhält. Das ist bei einem Chat-basierten Ansatz strukturell nicht möglich, nicht weil die KI schlechter wäre, sondern weil das Werkzeug für diesen Zweck schlicht nicht gebaut wurde.
Ein weiteres Argument, das ich höre, ist Datenschutz. Wie sehen Sie das?
Das ist ein ernstes Thema, das zu selten offen diskutiert wird. Wenn ich einen Vertrag mit sensiblen Geschäftsdaten, Namen von Dienstleistern, Konditionen oder internen Prozessinformationen in ein Consumer-KI-Tool hochlade, muss ich genau wissen, was mit diesen Daten passiert. Werden sie für das Training verwendet? Wo werden sie verarbeitet? Gibt es einen Auftragsverarbeitungsvertrag? Ich erlebe in Gesprächen immer wieder, dass diese Fragen erst gar nicht gestellt werden. Dabei sind sie nicht optional. Der Consileon Compliance Manager kann auf Wunsch vollständig on-premises betrieben werden. Die Daten verlassen die eigene Infrastruktur nicht. Für regulierte Unternehmen unter Aufsicht ist das oft keine Wahlmöglichkeit, sondern eine Pflicht.
Und was ist mit der Prozessintegration? Vertragsprüfung passiert nicht im Vakuum.
Genau das ist ein Punkt, der in der Diskussion oft fehlt. Compliance ist kein einmaliges Ereignis. Verträge haben Laufzeiten, Regelwerke werden aktualisiert, neue Regulatorik kommt hinzu. Der Compliance Manager ist so konzipiert, dass er sich in bestehende Prozesse integriert: als Teil des Contract Lifecycle Managements, mit definierten Workflows, Benutzerrollen und Eskalationspfaden. Wenn sich regulatorische Anforderungen ändern, wird das entsprechende Modul aktualisiert, und alle betroffenen Verträge können systematisch neu bewertet werden. In einem Chat-basierten Szenario müsste jemand aktiv daran denken, das manuell zu wiederholen. Das passiert in der Realität nicht zuverlässig.
Letzte Frage: Für wen ist der Einsatz eines generativen KI-Tools bei der Vertragsprüfung dennoch sinnvoll?
Für alle, die sich schnell einen ersten Eindruck verschaffen wollen und das Ergebnis entsprechend einordnen. Als Vorarbeit für eine strukturierte Prüfung, als Einstieg in ein Thema, als interne Diskussionsgrundlage, das alles ist vollkommen legitim. Was es nicht ersetzt, ist die systematische, nachweisbare, regulatorisch verankerte Prüfung. Wer Verträge prüft, weil er es muss, gegenüber Aufsehern, gegenüber Vorstand, gegenüber Vertragspartnern, braucht mehr als einen Chat. Er braucht ein System. Und er braucht den Nachweis, dass dieses System funktioniert hat.