Compliance-Startup Delve der 'Fake-Compliance'-Betrügerei beschuldigt

Vorwürfe treffen das Herz des Compliance-as-a-Service-Modells

Ein detaillierter anonymer Beitrag auf Substack erhebt schwerwiegende Vorwürfe gegen Delve, ein von Venture-Capital unterstütztes Compliance-Startup, das sich selbst als eine KI-gestützte Plattform zur Erreichung und Aufrechterhaltung regulatorischer Compliance vermarktet. Der Beitrag behauptet, dass Delve hunderte von Kunden fälschlicherweise davon überzeugt hat, dass sie mit Datenschutzbestimmungen einschließlich GDPR, CCPA und verschiedenen Sicherheitsrahmenwerken konform sind, obwohl ihre tatsächliche Compliance-Position nicht sinnvoll bewertet wurde.

Falls zutreffend, würden die Vorwürfe einen erheblichen Betrug an Unternehmenskunden darstellen, die sich auf Compliance-Zertifizierungen verlassen, um behördliche Anforderungen zu erfüllen, Sicherheitsüberprüfungen durch Anbieter zu bestehen und erhebliche Geldstrafen zu vermeiden. Eine falsche Darstellung der Compliance ist nicht nur ein Reputationsrisiko – in regulierten Branchen wie dem Gesundheitswesen und der Finanzbranche kann sie Unternehmen einem erheblichen rechtlichen Risiko aussetzen.

Wie Compliance-as-a-Service funktioniert – und wo es schiefgehen kann

Unternehmen wie Delve agieren in einem boomenden Marktsegment, das verspricht, den arbeitsintensiven Prozess der Erreichung von Compliance mit Rahmenwerken wie SOC 2, ISO 27001, HIPAA und GDPR zu automatisieren. Die grundlegende Argumentation ist überzeugend: Anstatt ein vollständiges Compliance-Team einzustellen oder eine Big-Four-Beratungsfirma für mehrmonatige Projekte zu bezahlen, können Unternehmen Software nutzen, um die Beweissammlung, die Dokumentation von Richtlinien und die Audit-Vorbereitung zu optimieren.

Das Modell funktioniert gut, wenn die zugrunde liegende Analyse rigoros ist. Die Gefahr entsteht, wenn Automatisierung ein Ersatz für tatsächliche Bewertung wird, anstatt sie zu beschleunigen. Die Erstellung von Compliance-Berichten, die glaubwürdig aussehen – mit Häkchen, Abdeckungsmetriken und Richtlinienvorlagen – ohne die substanzielle Arbeit zu leisten, zu bewerten, ob Kontrollen tatsächlich existieren und funktionieren, ist technisch unkompliziert.

Die Vorwürfe im Detail

Der Substack-Beitrag, geschrieben von jemandem, der über Insiderwissen über Delves Operationen verfügt, beschreibt ein Muster, bei dem die KI-Tools des Unternehmens Compliance-Berichte basierend auf Selbstbewertungen der Kunden mit minimaler unabhängiger Überprüfung generierten. Kunden, die Fragebögen ausfüllten, erhielten Compliance-Statusindikatoren, die dann in Verkehrsmaterialien und Sicherheitsüberprüfungen durch Anbieter verwendet wurden.

Der Beitrag behauptet weiterhin, dass Delves Customer-Success-Teams sich bewusst waren, dass bestimmte Compliance-Lücken existierten, aber diese den Kunden nicht klar als Flagge präsentierten, sondern sich stattdessen auf Metriken konzentrierten, die den Fortschritt auf dem Weg zur Compliance statt des tatsächlichen Compliance-Status zeigen sollten.

Delves Antwort und Reaktion der Branche

Delve hat die Vorwürfe bestritten und charakterisierte sie als irreführend, und merkte an, dass die Plattform des Unternehmens dazu konzipiert ist, Kunden zur Compliance zu führen, nicht um Compliance in ihrem Namen zu zertifizieren. Der Unterschied – zwischen einem Compliance-Management-Tool und einem Compliance-Zertifizierer – ist real, aber möglicherweise nicht klar an Kunden kommuniziert worden, die glaubten, behördliche Compliance erreicht zu haben.

Der Fall hat eine breitere Diskussion über den Compliance-as-a-Service-Markt ausgelöst, der in den letzten Jahren erhebliche Venture-Investitionen angezogen hat. Mehrere Gründer und Investoren in angrenzenden Märkten weisen darauf hin, dass der Druck, schnelle Kundenaktivierungen und hohe Abschlussquoten zu zeigen, strukturelle Anreize schafft, um das Aussehen von Compliance über den Inhalt zu optimieren.

Behörden in der EU und Kalifornien beobachten den Fall angeblich genau, angesichts der möglichen Auswirkungen auf Unternehmen, die sich in behördlichen Offenlegungen auf Delve-Zertifizierungen verlassen haben.

Dieser Artikel basiert auf Berichten von TechCrunch. Lesen Sie den Originalartikel.