← Back to all articles

KI-generierte Dokumente und rechtliche Gültigkeit: Die Compliance-Lücke

SealDoc Team · · 6 min read

KI-Systeme können mittlerweile in Sekunden einen Vertragsentwurf, einen Compliance-Bericht oder eine strukturierte Rechnung erstellen. Die Ausgabe ist grammatikalisch korrekt, professionell formatiert und auf den ersten Blick oft nicht von menschlich verfassten Dokumenten zu unterscheiden.

Diese Fähigkeit schafft eine Compliance-Lücke, die nicht gut verstanden wird. Die Lücke besteht nicht darin, ob KI-Texte gut sind. Die Lücke besteht zwischen “Text generieren, der wie ein Rechtsdokument aussieht” und “ein Dokument produzieren, das rechtlich gültig ist”.

Das sind verschiedene Probleme, und das erste zu lösen, löst das zweite nicht.

Was ein Dokument rechtlich gültig macht

Rechtliche Gültigkeit ist keine Eigenschaft des Textes. Sie ist eine Eigenschaft des Prozesses, der das Dokument produziert hat, und der Beweise, die über diesen Prozess vorgelegt werden können.

Ein Vertrag ist rechtlich gültig, wenn er von Parteien mit Geschäftsfähigkeit geschlossen wurde, ihren echten gegenseitigen Konsens ausdrückt und durch einen Prozess entstanden ist, der im Streitfall nachgewiesen werden kann. Die Worte im Vertrag sind wichtig, aber auch die Herkunft: Wer hat zugestimmt, wann, unter welchen Umständen, und kann das alles im Streitfall bewiesen werden?

Eine Rechnung ist für steuerliche Zwecke rechtlich gültig, wenn sie die erforderlichen Felder im erforderlichen Format enthält, von der identifizierten Partei ausgestellt wurde und nach der Ausstellung nicht verändert wurde. Formatkonformität ist notwendig, aber nicht ausreichend. Die Rechnung muss auch nachweislich unverändert sein.

Ein Compliance-Bericht ist rechtlich gültig, wenn er den Zustand, den er dokumentieren soll, korrekt widerspiegelt, nach einer Methodik erstellt wurde, die einer Prüfung standhalten kann, und einer verantwortlichen Partei zugerechnet werden kann.

In jedem Fall erfordert Gültigkeit Prozessintegrität, nicht nur Inhaltsqualität. KI kann den Inhalt produzieren. Sie kann die Prozessbeweise nicht produzieren.

Das Halluzinations-Problem bei Rechtsdokumenten

KI-Sprachmodelle produzieren Ausgaben, die statistisch plausibel angesichts ihrer Trainingsdaten sind. Sie rufen keine Fakten ab; sie generieren Text. Für einige Dokumenttypen ist diese Unterscheidung irrelevant: Eine vorlagenbasierte Rechnung, bei der die KI Beträge aus strukturierten Eingaben ausfüllt, ist im Wesentlichen deterministisch und das Halluzinationsrisiko ist gering.

Für Dokumente, bei denen die KI substantiellen Inhalt generiert (eine Vertragsklausel, eine regulatorische Analyse, eine Compliance-Aussage), ist das Risiko höher. Das Modell kann:

  • Verordnungen zitieren, die nicht existieren oder überholt wurden
  • Fakten über die Parteien angeben, die falsch oder veraltet sind
  • Pflichtangaben weglassen, weil sie in den Trainingsdaten ähnlicher Dokumente nicht vorhanden waren
  • Klauselkombinationen produzieren, die intern inkonsistent sind auf Weisen, die beim isolierten Lesen jeder Klausel nicht erkennbar sind

Die praktische Konsequenz: KI-generierte Rechtsdokumente erfordern einen substantiellen Überprüfungsschritt, nicht nur einen Korrekturleseschritt. Die Überprüfung muss von jemandem mit dem Fachwissen durchgeführt werden, um Fehler zu erkennen, die die KI nicht als Fehler markieren würde, weil die KI nicht weiß, was sie nicht weiß.

Compliance-Scanning als separate Schicht

Für strukturierte Dokumenttypen, bei denen es ein formales Schema oder einen Regelkatalog gibt, kann automatisches Compliance-Scanning verifizieren, dass die KI-generierte Ausgabe die formalen Anforderungen erfüllt, unabhängig davon, ob der Inhalt korrekt ist.

Eine EN16931-konforme Rechnung hat formale Validierungsregeln: Pflichtfelder, arithmetische Beziehungen zwischen Beträgen, USt-Kategorieschlüssel und Schematron-Geschäftsregeln. Diese können automatisch und deterministisch geprüft werden. Ein KI-Rechnungsgenerator, der alle EN16931-Schematron-Regeln besteht, ist zumindest formal korrekt, auch wenn die Rechnungsbeträge selbst falsch sind (was ein Dateneingabefehler wäre, kein KI-Ausgabefehler).

Für Verträge und Berichte sind formale Schemata seltener, aber sie existieren in bestimmten Bereichen: Hypothekendokumentation (EU-standardisiertes ESIS-Format), Versicherungs-Basisinformationsblätter (EU-PRIIPs-KID-Format) und öffentliche Ausschreibungsbekanntmachungen (EU-eForms).

Das Muster lautet: KI für Generierungsgeschwindigkeit nutzen, formale Validierung für Compliance-Sicherheit nutzen und beide als separate Pipeline-Stufen betreiben. Die KI-Ausgabe ist eine Eingabe in die Validierungsstufe, kein Endprodukt.

Chain of Custody für KI-generierte Dokumente

Ein KI-generiertes Dokument hat eine Herkunftsfrage, mit der menschlich verfasste Dokumente nicht konfrontiert sind: Was hat es generiert, mit welchen Eingaben, zu welchem Zeitpunkt, und wurde die Ausgabe vor der Verwendung verändert?

Das ist aus zwei Gründen wichtig. Erstens: Wenn ein Dokument angefochten wird, müssen Sie nachweisen können, dass der Generierungsprozess einwandfrei war. Zweitens schafft DSGVO Artikel 22 spezifische Verpflichtungen rund um automatisierte Entscheidungsfindung, die Einzelpersonen betrifft. Ein vollständig von KI generierter Vertrag oder Hinweis kann Informationspflichten auslösen, wenn er die Rechte einer Person berührt.

Die Antwort ist dieselbe wie bei jedem anderen Dokument: Ein Hash-verketteter Prüfpfad, der das Generierungsereignis aufzeichnet (einschließlich Modellversion, Eingabeparameter und Ausgabe-Hash), alle nachfolgenden Überprüfungs- und Genehmigungsschritte und die endgültige Archivierungsaktion. Dieser Trail beweist nicht, dass der Inhalt korrekt ist, aber er beweist, dass der Prozess eingehalten wurde.

Erklärbarkeitsanforderungen für Compliance-Entscheidungen

Einige KI-gestützte Compliance-Workflows beinhalten Entscheidungen, nicht nur Dokumentengenerierung: die Aufbewahrungskategorie eines Dokuments klassifizieren, eine Vertragsklausel zur Überprüfung markieren oder bestimmen, ob eine Transaktion eine zusätzliche Verifizierung erfordert.

Für Entscheidungen, die Einzelpersonen betreffen oder die per Gesetz prüfbar sein müssen, muss die KI-Komponente neben der Ausgabe eine Erklärung produzieren. Eine Klassifikation, die “10 Jahre aufbewahren” aussagt, ohne Begründung, ist für einen Prüfer, der fragt, warum diese Klassifikation getroffen wurde, nicht verwendbar.

Erklärbarkeit bedeutet in diesem Kontext eine strukturierte Ausgabe, die die Klassifikation, den Konfidenzniveau und die Merkmale oder Regeln aufzeichnet, die die Entscheidung getrieben haben. Diese Ausgabe wird Teil des Prüfpfads des Dokuments und wird in das Evidence Pack aufgenommen.

Ohne Erklärbarkeit produzieren KI-Entscheidungen in Compliance-Workflows Ausgaben, die retrospektiv nicht verteidigt werden können. Die Entscheidung erscheint willkürlich, weil kein Nachweis dafür existiert, warum sie getroffen wurde.

Die Governance-Frage für KI in Dokumenten-Workflows

Organisationen, die KI in Dokumenten-Workflows einsetzen, benötigen einen Governance-Rahmen, der folgendes beantwortet:

  • Welche Dokumenttypen sind für KI-Generierung ohne obligatorische menschliche Überprüfung zugelassen?
  • Welche erfordern einen menschlichen Überprüfungsschritt, bevor das Dokument archiviert oder gesendet werden kann?
  • Was ist der Prozess zur Erkennung und Korrektur von KI-Fehlern, die in ein Archiv gelangen?
  • Wie werden KI-Modell-Updates gehandhabt? Erfordert ein Modell-Update eine erneute Validierung zuvor generierter Dokumente?
  • Welcher Prüfpfad existiert für den KI-Generierungsschritt selbst?

Das sind keine Fragen über KI-Qualität. Es sind Fragen über Prozesskontrollen, die auf jedes automatisierte System in einer regulierten Umgebung zutreffen würden.

SealDoc und KI-Dokumenten-Workflows

SealDoc stellt die Beweisschicht für KI-generierte Dokumente bereit. Der Generierungsschritt (durch ein beliebiges KI-System) produziert ein Dokument. SealDoc validiert dieses Dokument gegen die anwendbaren Formatregeln (EN16931, PDF/A-3, XRechnung oder benutzerdefinierte Schemata), wendet einen RFC 3161-Zeitstempel an, zeichnet das Validierungsergebnis und den Zeitstempel in einem Hash-verketteten Prüfpfad auf und verpackt alles in ein Legal Evidence Pack.

Das Ergebnis ist, dass das KI-generierte Dokument dieselbe Beweisinfrastruktur hat wie ein menschlich verfasstes: eine nachweisbare Erstellungszeit, ein zum Erstellungszeitpunkt erfasstes formales Validierungsergebnis und ein manipulationssicherer Prüfpfad.

Was SealDoc nicht tut, ist die inhaltliche Richtigkeit des Inhalts zu überprüfen. Das ist ein domänenspezifischer menschlicher Überprüfungsschritt. Die Infrastruktur übernimmt alles, was formal verifizierbar ist. Das Urteil darüber, ob die Vertragsklauseln angemessen sind, verbleibt bei den für das Dokument verantwortlichen Personen.

Diese Trennung ist die korrekte Architektur für KI in Compliance-fähigen Workflows: KI für Generierungsgeschwindigkeit, formale Validierung für strukturelle Compliance, menschliche Überprüfung für inhaltliche Richtigkeit, Beweisinfrastruktur für alles, was einer Anfechtung standhalten muss.

← Back to all articles