Compliance-Monitoring Agent

Ein Unternehmen mit 1.500 Mitarbeitenden unterliegt gleichzeitig dem Arbeitszeitgesetz, dem Entgelttransparenzgesetz, dem Mutterschutzgesetz, der DSGVO, dem AGG, dem Betriebsverfassungsgesetz, mindestens einem Tarifvertrag und zwischen 30 und 60 Betriebsvereinbarungen. Jedes dieser Regelwerke ändert sich unabhängig von den anderen. 2025 und 2026 allein bringen die Pflicht zur elektronischen Zeiterfassung, die EU-Entgelttransparenzrichtlinie, den AI Act und das Vierte Bürokratieentlastungsgesetz. Compliance ist kein Zustand. Compliance ist ein Prozess - und dieser Prozess hat ein strukturelles Problem.

Die Zeitversatz-Lücke

Dieser Agent folgt dem Decision Layer-Prinzip: jede Entscheidung ist entweder regelbasiert, KI-assistiert oder explizit einem Menschen zugeordnet.

Compliance-Verstöße entstehen selten aus Vorsatz. Sie entstehen aus dem Abstand zwischen dem Zeitpunkt, an dem eine Regel sich ändert, und dem Zeitpunkt, an dem die operative Praxis nachzieht. Eine Tariferhöhung tritt am 1. April in Kraft - aber die Gehaltsabrechnung im April läuft noch mit den alten Werten, weil die Personalabteilung die Anpassung erst am 5. April einpflegt. Eine neue Betriebsvereinbarung zur Rufbereitschaft gilt ab sofort - aber die Dienstplanung erfährt davon zwei Wochen später.

Thomson Reuters Regulatory Intelligence zählte 2022 über 61.000 regulatorische Ereignisse weltweit - Gesetzesänderungen, neue Richtlinien, behördliche Anweisungen. Das entspricht 234 regulatorischen Änderungen pro Tag. Im deutschen HR-Kontext sind es weniger, aber die Dichte wächst. Allein die Umsetzung der EU-Entgelttransparenzrichtlinie bis Juni 2026 erfordert eine Überprüfung sämtlicher Vergütungsstrukturen, Berichtsformate und interner Prozesse.

Die Prüfung, ob all diese Regelwerke eingehalten werden, findet in den meisten Unternehmen punktuell statt: einmal im Jahr durch die Wirtschaftsprüfung, alle paar Jahre durch die Betriebsprüfung, anlassbezogen bei Beschwerden. Zwischen diesen Prüfpunkten können Monate vergehen, in denen Abweichungen existieren, ohne dass sie jemand bemerkt.

Regel ändert sich           Tag 0
Operative Praxis weicht ab  Tag 1 - 30
Abweichung wird bemerkt     Tag 90 - 365 (nächstes Audit)
Korrektur abgeschlossen     Tag 120 - 400

Der Zeitversatz ist das Risiko. Nicht die Regelverletzung selbst - die ist oft trivial zu beheben. Sondern die Tatsache, dass sie monatelang unbemerkt bleibt. Ein einzelner Verstoß gegen das Arbeitszeitgesetz kann nach Paragraph 22 ArbZG mit bis zu 30.000 Euro Bußgeld geahndet werden. Seit dem BAG-Urteil vom September 2022 zur Arbeitszeiterfassungspflicht haben die Arbeitsschutzbehörden ein schärferes Instrument: Sie können die Einführung eines Erfassungssystems anordnen und bei Nichtbefolgung Bußgelder verhängen.

Was kontinuierliches Monitoring ändert

Der Unterschied zwischen periodischer Prüfung und kontinuierlichem Monitoring ist nicht graduell - er ist strukturell. Periodische Prüfung untersucht eine Stichprobe zu einem Zeitpunkt. Kontinuierliches Monitoring prüft jede Transaktion gegen jede relevante Regel, jedes Mal.

Konkret besteht das System aus vier Schichten:

Regelwerk als Prüfkatalog. Jedes Regelwerk - Gesetz, Tarifvertrag, Betriebsvereinbarung - wird in maschinenlesbare Prüfregeln übersetzt. Nicht als Freitext, sondern als überprüfbare Bedingung: “Tägliche Arbeitszeit darf 10 Stunden nicht überschreiten” wird zu einer Regel, die gegen Zeiterfassungsdaten geprüft werden kann. Jede Regel hat eine Versionsnummer und einen Gültigkeitszeitraum.

Datenanbindung. Zeiterfassung, Payroll, HR-Stammdaten, Dienstplanung - die Systeme, die operative Realität abbilden, werden als Datenquellen angebunden. Der Agent liest. Er schreibt nicht.

Abweichungsklassifikation. Nicht jede Abweichung hat denselben Schweregrad. Ein Mitarbeiter, der 15 Minuten über die Pausenregelung hinaus arbeitet, ist eine Information. Ein systematischer Verstoß gegen die Höchstarbeitszeit in einer Abteilung über drei Wochen hinweg ist ein kritischer Befund. Die Klassifikation folgt einer Schweregrad-Matrix:

Schweregrad   Beispiel                              Reaktion
─────────────────────────────────────────────────────────────
Information   Einzelne Pausenabweichung              Protokoll
Warnung       Wiederholte Abweichung, ein MA         Führungskraft informiert
Kritisch      Systematischer Verstoß, Abteilung      HR + Compliance sofort
Eskalation    Meldepflichtiger Verstoß               Geschäftsführung + ggf. Behörde

Eskalation und Nachverfolgung. Die Eskalationsmatrix bestimmt, wer bei welchem Schweregrad informiert wird. Die Nachverfolgung stellt sicher, dass die Korrekturmaßnahme tatsächlich umgesetzt wurde - nicht nur geplant. Nach einem definierten Intervall wird nachgeprüft. Erst wenn die Abweichung tatsächlich behoben ist, wird der Fall geschlossen.

Wo die Verantwortung bleibt

Der Agent erkennt Abweichungen. Er klassifiziert sie. Er eskaliert sie. Er dokumentiert sie. Er prüft nach, ob die Korrektur wirkt. Was er nicht tut: entscheiden, was passiert. Ob eine Arbeitszeitüberschreitung zu einer Abmahnung führt, ob ein Vergütungsfehler rückwirkend korrigiert wird, ob ein Vorfall meldepflichtig ist - das entscheidet ein Mensch. Und die Verantwortung für die Ursache einer Abweichung liegt bei der Führungskraft oder der zuständigen Fachabteilung, nicht beim einzelnen Mitarbeitenden.

Diese Trennung ist nicht nur eine Governance-Entscheidung. Sie ist der Grund, warum das System kein Hochrisiko-System nach EU AI Act ist. Monitoring und Flagging ohne Entscheidung über Arbeitsverhältnisse - das ist die Architektur, die den Betrieb ermöglicht, ohne dass ein Risikoklassifizierungsverfahren den Rollout verzögert.

Infrastruktur jenseits von Compliance

Die Monitoring-Engine - Regeln versioniert hinterlegen, operative Daten dagegen prüfen, Abweichungen klassifizieren, eskalieren, nachverfolgen - ist ein generisches Pattern. Es spielt keine Rolle, ob die Domäne Arbeitszeit, Vergütung, Datenschutz oder Arbeitssicherheit heißt. Die Mechanik ist identisch.

Das Nachprüfungs-Pattern (wurde die Abweichung tatsächlich behoben?) wird von jedem Agenten benötigt, der Korrekturprozesse anstößt. Der Audit-Agent braucht es für offene Maßnahmen. Der Onboarding-Agent braucht es für Pflichtschulungen. Der Payroll-Agent braucht es für Nachberechnungen.

Und der Audit Trail, den das Monitoring als Nebenprodukt erzeugt - wann wurde welche Abweichung erkannt, wer wurde informiert, was wurde unternommen, wann wurde nachgeprüft - ist exakt die Dokumentation, die eine Wirtschaftsprüfung oder Betriebsprüfung als Nachweis erwartet. Die Audit-Vorbereitung wird von Wochen auf Stunden verkürzt, weil die Nachweise bereits vorliegen.

Wann sich der Wechsel rechnet

Die direkte Rechnung ist überschaubar. Ein HR-Team, das heute 15 Prozent seiner Zeit für die manuelle Überwachung von Regelwerken und die nachträgliche Korrektur von Abweichungen aufwendet, gewinnt diese Zeit zurück - nicht vollständig, weil die Korrekturmaßnahmen selbst menschliche Arbeit bleiben, aber der Erkennungs- und Dokumentationsaufwand entfällt weitgehend.

Die eigentliche Rechnung ist eine andere. Ein einziger Verstoß gegen das Arbeitszeitgesetz kostet bis zu 30.000 Euro Bußgeld - pro Verstoß, nicht pro Vorfall. Wenn eine Abteilung mit 40 Mitarbeitenden über drei Monate hinweg systematisch gegen die Höchstarbeitszeit verstößt und die Aufsichtsbehörde das bei einer Kontrolle feststellt, reden wir nicht über ein einzelnes Bußgeld. Dazu kommen Rechtskosten, Nachzahlungen und der Reputationsschaden bei Betriebsrat und Belegschaft.

Kontinuierliches Monitoring ersetzt diese Risikokalkulation durch einen definierten Prozess: Abweichung erkennen, klassifizieren, eskalieren, korrigieren, nachprüfen. Jeden Tag, nicht einmal im Jahr.