Bildnachweis: Cornelius Naffin – stock.adobe.com.
Es gibt wohl kaum Bereiche in der Arbeitswelt, in denen der Einsatz von KI-Technologien noch nicht diskutiert wurde. Auch Compliance-Manager beschäftigen sich mehr und mehr mit künstlicher Intelligenz (KI) und deren Einsatzmöglichkeiten. Doch auch hier gilt es, Chancen und Risiken abzuwägen.
Spätestens mit ChatGPT ist künstliche Intelligenz im Alltag angekommen. Der intelligente Bot verblüfft mit seinen Fähigkeiten: Er beantwortet Fragen, schreibt Gedichte, programmiert Software und löst Prüfungsaufgaben – manchmal sogar besser als ein Mensch. Teilweise nutzen wir KI-Anwendungen sogar, ohne es zu merken. Diese laufen z.B. im Hintergrund, wenn Amazon uns Produkte vorschlägt, Spotify Musik empfiehlt oder Siri mit uns spricht. KI zählt zu den wichtigsten Technologietrends unserer Zeit und wird vieles verändern.
Was ist künstliche Intelligenz?
Als künstliche Intelligenz bezeichnet man die Fähigkeit eines IT-Systems, menschliche Intelligenz nachzuahmen. Eine KI lernt kontinuierlich dazu und kann selbstständig Entscheidungen treffen. Dabei kommen Techniken wie maschinelles Lernen (ML) und neuronale Netze zum Einsatz. Darunter versteht man Algorithmen, die der Funktionsweise des menschlichen Gehirns nachempfunden sind.
Die KI-Anwendungen, die wir heute kennen, fallen in die Kategorie der sogenannten schwachen KI – nicht etwa, weil sie schlecht sind, sondern weil sie gezielt für bestimmte Aufgaben entwickelt wurden, etwa Sprach- oder Bilderkennung. Eine starke KI wäre dagegen in der Lage, beliebige Arten von komplexen Problemen eigenständig zu lösen; sie könnte tatsächlich denken und handeln wie ein Mensch. Doch davon sind wir noch weit entfernt.
Wie KI Compliance unterstützt
KI spielt überall dort ihre Stärken aus, wo es darum geht, große Mengen an Daten zu verarbeiten und auszuwerten. Was sonst Stunden oder Tage dauern würde, erledigen die intelligenten Algorithmen in Sekunden. Dadurch können sie Prozesse optimieren und Menschen entlasten.
Diese Fähigkeit kann auch im Compliance-Bereich wertvoll sein:
• KI-Systeme können helfen, potenzielle Compliance-Verstöße und Unregelmäßigkeiten schneller aufzudecken. Die Algorithmen sind in der Lage, bekannte Muster zu identifizieren und selbstständig neue zu erlernen. Viele Banken nutzen diese Funktionalität bereits zur Betrugserkennung.
• KI kann auch bei der Compliance-Risiko-Analyse und -Bewertung unterstützen, indem sie Daten aus vielen internen und externen Quellen sammelt, auswertet und korreliert.
• KI kann Compliance-Dokumente wie Rechtsvorschriften und Standards filtern, analysieren und die wichtigsten Informationen aufbereiten, so dass Compliance Manager viel Zeit beim Lesen sparen.
• Ein KI-gestützter Chatbot erleichtert es, die Compliance-Richtlinien im Unternehmen verständlich zu kommunizieren. Er ist immer erreichbar und kann Fragen der Mitarbeiter beantworten.
Neue Compliance-Risiken durch KI
Aber Vorsicht: Bei allen Vorteilen kann künstliche Intelligenz auch selbst zum Compliance-Risiko werden, z.B., wenn ein Recruiting-Chatbot Bewerberinnen oder Bewerber aufgrund ihrer Hautfarbe oder ihres Geschlechts diskriminiert. Tatsächlich hängen die Entscheidungen, die eine KI trifft, immer von den Daten ab, mit denen sie trainiert wird. Sind diese nicht divers genug oder spiegeln gesellschaftliche Vorurteile wider, überträgt sich das auf die KI. So kann es etwa passieren, dass ein Recruiting-System vorwiegend weiße Männer für eine Führungsposition vorschlägt, weil es aus historischen Daten gelernt hat, dass entsprechende Bewerbungen in der Vergangenheit bevorzugt wurden.
Es ist daher gefährlich, blind auf eine KI zu vertrauen – vor allem dann, wenn sich Entscheidungen nicht mehr nachvollziehen lassen. Man spricht daher auch vom Blackbox-Effekt. Da eine KI selbstständig lernt, verändert sie sich kontinuierlich. Wenn sie mit schlechten Daten gefüttert oder gar von Hackern manipuliert wird, kann es zu Fehlentscheidungen und Fehlfunktionen kommen. Deshalb ist es wichtig, die KI regelmäßig zu überprüfen.
Tatsächlich hängen die Entscheidungen, die eine KI trifft, immer von den Daten ab, mit denen sie trainiert wird.
Eine große Herausforderung ist zudem der Datenschutz: Denn KI-Systeme verarbeiten riesige Datenmengen, die auch personenbezogene Informationen enthalten können. Compliance-Verantwortliche müssen daher sicherstellen, dass die DSGVO eingehalten wird. Dabei sind noch viele Fragen offen. Beispielsweise werden Daten, die ein Anwender in eine Applikation eingibt, häufig für die Weiterentwicklung der KI genutzt. Sie fließen dann in das KI-Modell ein und verschmelzen mit ihm. Auf welcher Rechtsgrundlage passiert das? Und wie können Betroffene noch ihr Recht auf Löschung der Daten wahrnehmen?
Der EU AI Act kommt
Auch die EU-Gesetzgeber befassen sich mit den Risiken, die KI mit sich bringen kann. Im März 2024 stimmten sie für das KI-Gesetz, dessen Inkrafttreten für Juni 2024 erwartet wird. Der AI Act teilt KI-Systeme in Risikoklassen mit unterschiedlichen Vorschriften und Regulierungen ein, von minimalem bis inakzeptablem Risiko. Anwendungen, die in die letztgenannte Kategorie fallen, sind verboten; für alle anderen Klassen gelten spezifische Anforderungen, die auf ihre Risikokategorie zugeschnitten sind. Bei Nichteinhaltung drohen Geldbußen von bis zu 35 Mio. EUR oder 7% des weltweiten Umsatzes. Das KI-Gesetz betrifft fast alle Unternehmen und wird wahrscheinlich ähnliche Wellen schlagen wie die DSGVO. Compliance-Officer werden daher noch mehr zu tun haben.
Fazit: Wohin geht die Entwicklung?
Künstliche Intelligenz wird sich immer mehr durchsetzen. Wohin die Entwicklung geht, ist heute noch nicht absehbar. Für den Compliance-Bereich ist die neue Technologie gleichzeitig Herausforderung und Chance. Einerseits hilft sie, wachsende Anforderungen zu meistern. Andererseits bringt sie selbst neue Risiken mit sich. Compliance-Manager kommen nicht mehr umhin, sich mit künstlicher Intelligenz auseinanderzusetzen. Spätestens mit dem EU AI Act wird das Thema Pflicht.
Zunehmende Regulierung
Anforderungen an Compliance-Verantwortliche deutlich gestiegen
Compliance bedeutet, dass Unternehmen sich an selbstgesetzte Regeln und Gesetze halten, um Rechtsverstöße, Haftungs- und Imageschäden zu vermeiden. Gerade in Sachen Regulierung hat sich im vergangenen Jahr in Deutschland und der EU einiges getan.
Im Fokus steht derzeit vor allem das EU-Lieferkettengesetz, das unter dem Namen Corporate Sustainability Due Diligence Directive (CSDDD) in Zukunft Unternehmen ab 1.000 Mitarbeitenden und mindestens 450 Mio. EUR Umsatz verpflichtet, menschenrechtliche und umweltbezogene Risiken in ihren Wertschöpfungsketten zu ermitteln sowie Präventions- und Abhilfemaßnahmen zu ergreifen und darüber zu berichten. Wenn die EU-Länder der CSDDD im Mai formal zugestimmt haben, beginnt die Frist zur Umsetzung. Kleine und mittelgroße Unternehmen (KMU) sind zwar nicht direkt von dem Gesetz betroffen, können aber als Zulieferer die Pflichten von ihren Auftraggebern weitergereicht bekommen.
Die CSDDD geht dabei in einigen Bereichen über die Vorgaben des deutschen Lieferkettensorgfaltspflichtengesetzes (LkSG) hinaus, das seit Januar 2023 den Umgang der Unternehmen mit Lieferanten vorgibt.
Nach langem Hin und Her trat im Juli 2023 auch das deutsche Hinweisgeberschutzgesetz (HinSchG) in Kraft, mit dem die EU-Whistleblower-Richtlinie umgesetzt wurde. Dieses verpflichtet Unternehmen und öffentliche Einrichtungen mit mehr als 50 Mitarbeitenden sowie Kommunen unter anderem dazu, interne Hinweisgebersysteme bereitzustellen.
Autor/Autorin
Moritz Homann
Moritz Homann verantwortet als Managing Director Corporate Compliance bei der EQS Group den Produktbereich Corporate Compliance. In dieser Funktion berät er Unternehmen unter anderem bei der Einführung und Optimierung von Hinweisgebersystemen.
