Das KI-gestützte Compliance-Tool Regulatorik Radar von Consileon wird bereits seit einiger Zeit erfolgreich in der Finanzbranche eingesetzt. Nun gehen wir den nächsten Schritt und wollen auch Pharmaunternehmen in gleichem Maße unterstützen. Gemeinsam mit Regina Lackermeier (Ärztin und Healthcare Spezialistin) und Sebastian Wagmann (Product Owner der Software Lösung) haben wir darüber gesprochen, wie ein erfolgreicher Transfer für die Use-Cases in der Pharma-Branche gelingt und welche Vorteile die KI-gestützte Dokumenten- und Vertragsprüfung bietet. Bei Consileon leben wir eine ausgeprägte Du-Kultur und duzen entsprechend unsere Gesprächspartner.
Das Wichtigste aus dem Gespräch auf einen Blick:
Sebastian: Im Grunde ja. Sobald du deine Dokumente hochgeladen hast, prüft die KI die Inhalte anhand des hinterlegten regulatorischen Anforderungskatalogs und zeigt dir, wo bereits alles passt und an welchen Stellen noch etwas fehlt. So siehst du sofort, wo du stehst. Aber das Regulatorik-Radar kann sogar noch mehr. Es macht auch gleich Vorschläge, wie die Nutzer Lücken oder Fehler beheben können. So sparen Prüfer/Auditoren und Fachabteilungen enorm viel Zeit, insbesondere in der abteilungsübergreifenden Zusammenarbeit.
Regina: Das Regulatorik-Radar bietet klare Rollen- und Berechtigungskonzepte, die Unternehmen flexibel, nach ihren individuellen Anforderungen festlegen können. Sie können genau definieren, wer Dokumente hochladen kann, wer Ergebnisse sieht und wer berechtigt ist, administrative Anpassungen vorzunehmen. Die Verantwortung und die letzte Entscheidung für die regulatorische Bewertung liegen immer beim Menschen. Die KI hilft beim Finden, Sortieren und Strukturieren. Die Entscheidung, was das im konkreten Fall bedeutet, treffen weiterhin die Auditoren, Fachbereiche und Compliance Officer.
Sebastian: Nach dem Hochladen werden deine Dokumente automatisch in kleine Sinnabschnitte zerlegt. Diese Sinneinheiten sind nur für das KI-System lesbar und aus ihnen lässt sich nie mehr das vollständige Dokument zusammensetzen. Die Informationen bleiben komplett in ihrer eigenen, geschützten Umgebung. Niemand außer den nach dem Rollen- und Rechtekonzept autorisierten Personen hat Zugriff darauf. Wir haben auch bewusst auf eine Download-Funktion verzichtet, damit Dokumente nicht versehentlich die kontrollierte Umgebung verlassen können.
Für die Analyse zieht die KI lediglich die Textausschnitte heran, die für eine bestimmte Prüffrage relevant sind bzw. diese beantwortet. Und auch nur diese Ausschnitte bekommen die User angezeigt, damit Sie nachvollziehen können, wie die KI zu ihrer Einschätzung gekommen ist.
Sebastian: Alle Daten werden über eine vollständig verschlüsselte HTTPS-Verbindung übertragen. Das entspricht dem Industriestandard, den man von modernen und sicheren Anwendungen kennt. Eine zusätzliche VPN-Verbindung ist dabei nicht erforderlich. Innerhalb des Tools arbeitet alles in einer abgesicherten Umgebung, wahlweise in der MS Azure Cloud von Consileon, in der Azure Cloud des Kunden oder im OnPremise Betrieb im eigenen Rechenzentrum des Kunden. In allen Varianten haben ausschließlich autorisierte Nutzer Zugriff. Niemand muss sich also Sorgen machen, dass Daten bei der Übertragung in falsche Hände gelangen oder gar für das Training der KI genutzt werden könnten.
Sebastian: Nein, grundsätzlich nicht. Ob Administratoren auf Inhalte zugreifen dürfen, hängt vom ausdrücklichen Wunsch des Kunden ab. Wenn ein Unternehmen eine Unterstützung durch Consileon-Berater wünscht, kann es uns gezielt autorisieren, auf bestimmte Dokumente zuzugreifen, damit wir im Rahmen des Projekts arbeiten können. Ohne eine solche Autorisierung hat jedoch ausschließlich der Kunde selbst Zugriff. Dasselbe gilt für das Löschen von Daten. Es erfolgt nur durch entsprechend berechtigter Personen und immer nur auf ausdrückliche Anweisung des Kunden.
Regina: Viele Unternehmen tun das ganz bewusst, weil sie von den Vorteilen profitieren wollen. Dazu gehören Geschwindigkeit, Konsistenz und die Fähigkeit, große und unstrukturierte Dokumentenmengen präzise auszuwerten. Ein entscheidender Punkt ist dabei, dass die KI nie das ganze Dokument „sieht“. Sie verarbeitet nur die relevanten Auszüge, die sie für eine konkrete Prüffrage benötigt. Somit könnte auch in einem Worst-Case-Szenario der Anbieter der KI nie auf das vollständige Dokument zugreifen.
Wir nutzen zudem standardmäßig die Modelle von Azure Open-AI. Die Verträge stellen dabei sicher, dass es keine Datenweitergabe an OpenAI gibt, kein Training neuer KI-Modelle mit Kundendaten erfolgt und eine DSGVO-konforme Verarbeitung in Europa vorliegt. Der Schutz der Daten ist somit sowohl durch die Architektur unseres Systems als auch durch entsprechende Verträge mit Technologie-Providern garantiert.
Regina: Am besten, indem du ihnen aufzeigst, dass es auch für sie Vorteile bringt!
Die KI-Auswertung ist objektiv, schnell und bietet klare Nachweise. Außerdem legt der Lieferant seine Dokumente nicht „offen“, sondern nur die relevanten Textpassagen werden verarbeitet
Sebastian: Eigentlich alle Formate, die täglich genutzt werden: PDF, Word, Excel und PowerPoint. Bei PDF, lassen sich selbst gescannte Dokumente mühelos einbinden, dank integrierter OCR-Technologie, die Inhalte zuverlässig erkennt. Solange der Scan also halbwegs lesbar ist, funktioniert auch der Import ohne Schwierigkeiten.
Regina: Ja, das Tool wird validiert. Wir arbeiten mit Benchmark-Dokumenten, anhand derer die KI-Ergebnisse getestet werden. Über eine automatische Teststrecke prüfen wir regelmäßig die Richtigkeit und Zuverlässigkeit der Antworten. Wie ich vorher schon sagte, gibt unser Tool die relevanten Textstellen als Quelle an. Aus diesen Fragmenten kann sich der Nutzer selbst ein Urteil bilden, ob die Antwort auch aus seiner Sicht korrekt ist.
Sebastian: Die Grundlage der Ergebnisqualität bilden zum einen die hohe Zuverlässigkeit unseres Multi-Agenten KI-Systems und zum anderen die Qualität der Auditfragen. Für beides haben wir eine automatisierte Teststrecke entwickelt, um potenzielle Fehlerquellen bereits vor dem Rollout für unsere Kunden zu beheben. Die Projekte mit unseren Kunden aus der Finanzbranche zeigen bereits eine signifikante Trefferquote und haben die Umsetzung regulatorischer Projekte für unsere Kunden stark beschleunigt. Da die KI auch transparent die relevanten Textstellen und eine Begründung der Entscheidung mitliefert, ist der Mensch stets in der Lage die Ergebnisse nachzuvollziehen. „Fehler“ entstehen in der Praxis meist dann, wenn der Kunde relevante Dokumente übersehen hat. Oft zeigt sich dann erst anhand der KI-Begründung und der Textstellen, welche Unterlagen noch nachgeliefert werden müssen.
Sebastian: Die Abweichungen sind sehr gering. Ein wesentlicher Grund dafür sind präzise gestellte Fragen mit geringem Interpretationsspielraum und die guten “Denkprozesse“ unseres KI-Systems. Zudem bezieht unsere KI, anders als ChatGPT, keine Informationen aus dem öffentlichen Internet, sondern arbeitet nur mit dem von uns bereitgestellten qualitätsgesicherten Fachwissen. Das erhöht die Ergebnisstabilität enorm. Während ChatGPT als General-Purpose-KI auf maximale Flexibilität ausgelegt ist, verfolgen wir einen völlig anderen Ansatz. Unser System ist darauf spezialisiert, eine bestimmte Aufgabe mit hoher Präzision zu erfüllen. Unter diesen Bedingungen liegen die Abweichungen erfahrungsgemäß bei nur rund 2 %, was einer Stabilität von etwa 98% entspricht.
Regina: Wir sind da flott unterwegs. Eine Analyse von 100 Einzelanforderungen dauert im Schnitt unter 3 Minuten, unabhängig davon, wie umfangreich die Dokumente sind.
Regina: Wir erfüllen alle etablierten Sicherheitsstandards: Verschlüsselung, abgeschottete Serverumgebungen und regelmäßige Sicherheits- und Systemtests. Auf diese Weise sind die Daten umfassend gegen alle gängigen Cyber-Bedrohungen geschützt. Wir zeigen Interessierten gerne unsere einzelnen Maßnahmen auf. Das würde aber hier im Gespräch zu weit führen. Selbstverständlich sind auch individuelle Anpassungen möglich.
Regina: Grundsätzlich so lange, wie es die Nutzer möchten. Aus Datenschutzgründen kann es aber notwendig sein, dass einzelne Dokumente gelöscht werden. Das ist jederzeit möglich. Gelöschte Dokumente sind dann tatsächlich vollständig entfernt, da wir aus Sicherheitsgründen keine Kundendokumente speichern, die bereits gelöscht wurden. Sie können selbstverständlich jederzeit erneut hochgeladen werden. Die Prüfergebnisse hingegen werden für eine gewisse Zeit als Backup gespeichert und können bei Bedarf von einem Administrator wiederhergestellt werden.
Die DORA-Verordnung ist längst beschlossene Sache, doch die eigentliche Herausforderung liegt in der Umsetzung. Gerade Banken und Finanzdienstleister müssen ihre Verträge mit IT- und Cloud-Dienstleistern systematisch prüfen, anpassen und über den gesamten Lebenszyklus hinweg im Blick behalten. Das lässt sich kaum mehr manuell leisten. Dr. Thilo Gaul erklärt im Interview, wie KI-basierte Vertragsprüfung nicht nur Aufwand reduziert, sondern zugleich für mehr Klarheit, Sicherheit und Nachweisbarkeit sorgt.
Da wir jetzt in die Umsetzungsphase übergehen, und das betrifft praktisch jedes Institut. Besonders im Bereich „ICT Third-Party Risk“ müssen Banken nachweisen, dass ihre Verträge mit IT- und Cloud-Dienstleistern vollständig, aktuell und DORA-konform sind. Und das nicht einmalig, sondern fortlaufend über die gesamte Vertragslaufzeit hinweg. Viele Häuser merken erst jetzt, dass die bisherigen manuellen Verfahren weder skalierbar noch revisionssicher sind.
DORA stellt sehr spezifische Anforderungen an die Vertragsinhalte. Dazu gehören etwa klare Eskalationsmechanismen, Auditrechte, Informationspflichten, Exit-Regelungen sowie ein Meldeweg bei Sicherheitsvorfällen. Diese Klauseln müssen nicht nur vorhanden, sondern auch inhaltlich korrekt und aktuell sein. Genau das macht regelmäßige, strukturierte Vertragsprüfungen unverzichtbar – ein enormer Aufwand, wenn man sie manuell durchführen muss.
Weil die Menge und die Komplexität explodiert sind. Über die Jahre sind enorme Vertragslandschaften entstanden – oft mit unterschiedlichen Versionen, Anbietern und Regelwerken. Hinzu kommen Cloud-Services, Outsourcing-Partner und FinTech-Kooperationen. Wer das alles händisch prüfen will, läuft Gefahr, Fehler zu machen oder Fristen zu verpassen. Der Aufwand steht in keinem Verhältnis mehr. Genau deshalb benötigen wir intelligente, automatisierte Lösungen.
Unsere Lösung, das Consileon Regulatorik-Radar, analysiert Verträge automatisiert auf DORA-Konformität sowie auf weitere regulatorische Anforderungen. Die KI erkennt fehlende oder riskante Klauseln, macht konkrete Änderungsvorschläge und erstellt auf Wunsch ein vollständiges DORA-Reporting. Der entscheidende Unterschied: Die KI arbeitet nicht nur mit Schlagworten, sondern versteht den inhaltlichen Zusammenhang; sie weiß also, was eine Klausel bedeutet. Das macht die Prüfung schneller und verlässlicher.
Nein, nicht, wenn man es richtig angeht. Wir arbeiten mit Large Language Models, die speziell auf regulatorische Texte trainiert sind und setzen zusätzlich unser Qualitätssicherungs-Framework Lighthouz AI ein. So stellen wir sicher, dass die Ergebnisse nachvollziehbar und stabil sind. Zudem erfolgt am Ende immer eine fachliche Validierung durch einen Fachexperten, der die KI-Ergebnisse kontrolliert und ggfs. überschreiben kann. Die KI entlastet massiv, die Entscheidungshoheit bleibt jedoch immer beim Menschen.
Überhaupt nicht. Unsere Lösung ist als SaaS-Anwendung sofort einsatzbereit. In einer kurzen Setup-Phase werden kundenspezifische Richtlinien und Prüfparameter integriert. Danach können Verträge und Dokumente direkt hochgeladen und geprüft werden. Die Anwendung ist bewusst pragmatisch konzipiert: schnell implementiert, sicher im Betrieb und skalierbar.
Ein zentrales Feature ist das automatisierte Reporting. Nach jeder Prüfung wird ein vollständiger Bericht erstellt, inklusive Compliance-Status, Lückenanalyse und konkreten Handlungsempfehlungen. Diese Dokumentation ist revisionssicher und ideal geeignet, um Anforderungen aus internen Audits oder regulatorischen Prüfungen zu erfüllen. Banken gewinnen dadurch Transparenz und Nachvollziehbarkeit auf Knopfdruck.
Fangen Sie strukturiert an, aber fangen Sie an. Der Aufwand verschwindet nicht, wenn man wartet. Mit dem Regulatorik-Radar holen sich Banken ein Werkzeug ins Haus, das Routinearbeit automatisiert, Qualität erhöht und zugleich regulatorische Sicherheit schafft. So wird aus einer Pflichtaufgabe ein echter Effizienzhebel. Wer DORA richtig umsetzt, stärkt nicht nur seine Compliance, sondern auch seine operative Resilienz.
Erfahren Sie, wie Sie mit dem Consileon Regulatorik-Radar Ihre Vertragsprüfungen automatisieren und DORA-Anforderungen effizient erfüllen können: mit klarer Struktur, nachvollziehbaren Ergebnissen und sicherer Governance.