© pch.vector - Freepik.com
Wissensbox Recht

KI als Gegenstand von und Tool für ComplianceKI als Gegenstand von und Tool für Compliance

Um KI verantwortungsvoll einzusetzen, müssen Unternehmen sowohl rechtliche Vorgaben als auch ethische Prinzipien beachten. Klare Leitlinien, Schulungen und der Einsatz erklärbarer KI-Tools sind entscheidend, um Risiken zu minimieren und Vertrauen aufzubauen.

Compliance ist für die Einhaltung rechtlicher Vorgaben im Arbeitsalltag unerlässlich. Dabei sollte der Einsatz von Künstlicher Intelligenz (KI) im Unternehmen Gegenstand der Compliance sein. Allerdings können KI-Anwendungen der Compliance-Abteilung auch als Werkzeug bei der Erfüllung ihrer Aufgaben dienen. Mit beiden Perspektiven beschäftigt sich der folgende Beitrag.

Compliance nach DIN ISO 37301:2021

Das englische Wort ‚compliant‘ kann als ‚konform‘ oder ‚regelkonform‘ übersetzt werden. Compliance bezeichnet daher alle Maßnahmen, die von Unternehmensseite ergriffen werden, um die ‚Regelkonformität‘ des Unternehmens durch das Handeln der Mitarbeitenden sicherzustellen, Verstöße zu verhindern oder aufzudecken. Neben der Einhaltung rechtlicher Anforderungen beinhaltet ‚Compliance‘ auch die Sicherstellung von Integrität, Redlichkeit und Geschäftsethik und ist damit deutlich weiter gefasst als die bloße Rechtskonformität eines Unternehmens.

Orientierung für die Implementierung eines Compliance-Managements gibt die DIN ISO 37301:2021. Sie hält Anforderungen und Leitlinien bereit. Nach diesen sollte der Compliance-Management-Prozess nach dem Plan–Do–Check–Act–Prozess ablaufen.

Compliance-Management nach DIN ISO 37301:2021, S. 8

KI als Gegenstand der Compliance

Die Nutzung von KI-Anwendungen im Unternehmen ist heute Gegenstand der Compliance. Sie muss bestimmten Anforderungen genügen, die sich in Art und Umfang an der konkreten KI-Anwendung und deren Verwendung ausrichten.

Grundlegende Compliance-Verpflichtungen und -Risiken von KI-Anwendungen

In einem ersten Schritt muss das Unternehmen die Compliance-Anforderungen identifizieren sowie die sich daraus ergebenden Verpflichtungen. Im Anschluss müssen Compliance-Risiken erkannt werden, indem die Compliance-Verpflichtungen und -Risiken zu den Aktivitäten, Produkten, Dienstleistungen und relevanten Aspekten der Geschäftstätigkeit in Beziehung gesetzt werden.

Rechtskonformität

Der Einsatz von KI stellt an die Unternehmen umfangreiche rechtliche Anforderungen, die sich aus der konkreten KI-Anwendung (z.B. Risikoklasse nach der KI-Verordnung), dem Umfang der KI-Nutzung, der Branche, dem Einsatzzweck, u.v.m. ergeben. Bei der Verwendung von KI können z.B. Datenschutz, geistiges Eigentum, Arbeitsrecht und die Anforderungen der KI-Verordnung eine Rolle spielen. Der Einsatzbereich, z.B. KI beim Recruiting, führt zum AGG oder dem BetrVG. Außerdem sollten im Kontext der Rechtskonformität auch Haftungsrisiken in die Betrachtung mit einbezogen werden. Mehr zu den rechtlichen Anforderungen im Zusammengang mit KI-Anwendungen können Sie den unten verlinkten weiterführenden Beiträgen entnehmen.

Integrität, Redlichkeit & Geschäftsethik

Neben der Erfüllung der rechtlichen Anforderungen spielen gerade im Rahmen der KI-Nutzung ethische Gesichtspunkte eine besondere Rolle. Sie sollen den verantwortungsvollen Umgang mit KI sicherstellen. Zu nennen sind hier beispielsweise die Achtung der menschlichen Autonomie, der Schadensverhütung, Erklärbarkeit der KI-Entscheidung sowie Fairness und Beseitigung von Ungleichheiten.

Gerade im Unternehmenskontext finden sich Macht- oder Informationsasymmetrien, z.B. zwischen Arbeitgebern und Arbeitnehmern oder Unternehmen und Verbrauchern. Sie müssen frühzeitig antizipiert und daraus folgende Ungleichheiten durch geeignete Maßnahmen aufgelöst werden.

Grundlegende Compliance-Maßnahmen für KI-Anwendungen

Sind Compliance-Verpflichtungen und Compliance-Risiken identifiziert, können in einem nächsten Schritt Risikominderungs-Maßnahmen festgelegt und umgesetzt werden.

Eine Möglichkeit sowohl zur Förderung von Integrität, Redlichkeit und Geschäftsethik als auch zur Einhaltung rechtlicher Anforderungen ist die Erstellung von KI-Leitlinien für das eigene Unternehmen.

Zum einen informieren interne Leitlinien die eigenen Mitarbeitenden über Anforderungen und Werte im Umgang mit KI-Anwendungen und geben Orientierung bezüglich gewünschter und verbotener Anwendungsszenarien von KI. Dabei sollten die Leitlinien allen Mitarbeitenden, die im Unternehmen mit KI befasst sind (ausführend oder als Betroffene) zugänglich gemacht, und die darin enthaltenen Informationen in Schulungen oder anderen geeigneten Wegen vermittelt werden. Sie bilden zum anderen einen wichtigen Baustein, um die Erfüllung der Sorgfaltspflichten seitens der Geschäftsführung nachzuweisen, sie sichern rechtmäßiges unternehmerisches Handeln und vermindern so Haftungsrisiken.

KI-Leitlinien, die für die Bekanntmachung nach außen bestimmt sind, können die praktische Umsetzung der Werte des Unternehmens gegenüber der Kundschaft und Geschäftspartnern kommunizieren. So kann Transparenz und damit auch Vertrauen aufgebaut werden. Letzteres kann die Geschäftsbeziehungen stärken und so zu einem Wettbewerbsvorteil werden.

KI als Tool für Compliance

Um den steigenden regulatorischen Anforderungen gerecht zu werden, kann KI auch als Werkzeug zur Optimierung der unternehmenseigenen Compliance eingesetzt werden. Durch die Fähigkeit von KI große Datenmengen in kürzester Zeit zu durchsuchen, können verdächtige Muster oder Abweichungen zeiteffizient aufgedeckt werden. Hierdurch können Compliance-Abteilungen entlastet werden und ökonomischer fungieren.

Sofern KI-Systeme als Werkzeug der Compliance eingesetzt werden, sind Compliance-Anforderungen zu berücksichtigen. Werden KI-Anwendungen beispielsweise für interne Ermittlungen eingesetzt, sind sie regelmäßig als Hochrisiko-KI-Systeme einzustufen (gem. Art. 6 iVm Anhang III Nr. 4 lit. b KI-VO), was hohe Anforderungen an die Systeme (Daten-Governance, Qualitätsmanagement etc.) und an den sicheren Betrieb im Unternehmen (menschliche Aufsicht etc.) nach sich zieht. Dem Compliance-Verantwortlichen obliegt in jedem Fall die Prüfung und Interpretation des KI-Ergebnisses. Fortgeschrittene Technologien wie maschinelles Lernen und neuronale Netze können zu teils unvorhersehbaren, intransparenten Ergebnissen führen (Blackbox-Charakter).

Für die Unterstützung durch KI im Rahmen der Compliance-Prüfung ist daher von entscheidender Bedeutung, erklärbare KI zu verwenden. Die Informationen und u.U. die Entscheidungs-Vorschläge der KI müssen transparent und in dem Maß erklärbar begründet sein, als wären sie von einem Menschen. Nur so sind die notwendige Überprüfung und Kontrolle durch den Compliance-Mitarbeitenden möglich. Ob die Empfehlung der KI umgesetzt wird, liegt am Ende in der Hand der Geschäftsführung.

Bedeutung der KI-Compliance für KMU

Durch eine funktionierende Unternehmens-Compliance lassen sich Regelverstöße in Unternehmen reduzieren und ein sorgfältiges Handeln im Unternehmen belegen. Damit werden nicht nur die Haftungsrisiken reduziert, sondern auch die damit einhergehenden Kosten und Reputationsschäden vermieden.

Außerdem kann eine gut organisierte Compliance einen Wettbewerbsvorteil darstellen, da nachgewiesene Compliance und eine gut organisierte Abteilung insbesondere für öffentliche Auftraggeber ein Kriterium im Rahmen der Verteilung von Aufträgen darstellen.

Fazit

KI bietet zahlreiche Potenziale zur Effizienzsteigerung im Unternehmen. Der Einsatz von KI muss jedoch, wie alle geschäftlichen Handlungen, ‚compliant‘ sein und damit mit den rechtlichen Anforderungen sowie den Werten des Unternehmens bezüglich Integrität, Redlichkeit und Geschäftsethik übereinstimmen. Um dies sicherzustellen, sollte der Einsatz von KI im Unternehmen durch die Compliance-Abteilung oder -Stelle sorgfältig geplant und überwacht werden.

Um KI sicher zu nutzen, sind klare Leitlinien und regelmäßige Schulungen erforderlich, die sowohl die rechtlichen als auch ethischen Aspekte abdecken. In den Compliance-Abteilungen kann KI als Werkzeug zur Effizienzsteigerung eingesetzt werden. In diesem Fall sind sowohl an die KI (Daten-Governance, Qualitätsmanagement etc.) aber auch an die Einsatzumgebung im Unternehmen (menschliche Aufsicht etc.) hohe Anforderungen gestellt. Nur durch effiziente Compliance können die Chancen von KI optimal genutzt und gleichzeitig mögliche Risiken minimiert werden.

Ausgewählte weiterführende Beiträge zur Rechtskonformität von KI-Anwendungen

Datenschutz:

Geistiges Eigentum

Arbeitsrecht

KI-Verordnung

Haftung

Verwandte Beiträge

KI und DSGVO© tuastock - Freepik.com
Nachgelesen, Wissensbox Recht

KI-Anwendungen & DSGVO

Gesetze & Regelungen, Recht verstehen
Wer KI in seinem Unternehmen einsetzen möchte, sollte datenschutzrechtliche Regelungen beachten und zudem wissen, welche Rechtsgrundlagen bei der Verarbeitung personenbezogener Daten durch KI betroffen sind.
Abmahnung per E-Mail© rawpixel.com - Freepik.com
Wissensbox Recht

Abmahnungen per Mail

Gesetze & Regelungen, Recht verstehen
Eine Abmahnung muss klar und konkret formuliert sein. Doch auf welchem Weg sollte sie zugestellt werden? Das OLG Hamm hält dies fest.
© Giggsy25 - Freepik.com
Video, Wissensbox Recht

Verträge mit digitalen Produkten

Gesetze & Regelungen, Recht verstehen
Software, Online-Speicherdienste oder Social Media - digitale Produkte sind vielfältig. Wir erklären, wie sie der Gesetzgeber kategorisiert und was Sie über das Bezahlen mit Daten wissen sollten.
Digitale-Dienste-Gesetz© georgejmclittle - Freepik.com
Wissensbox Recht

Das neue Digitale-Dienste-Gesetz (DDG)

Gesetze & Regelungen, Recht verstehen
Der neue Rechtsrahmen für digitale Vermittlungsdienste dient als Grundlage, um künftig besser gegen illegale Inhalte oder unsichere Produkte im Internet vorzugehen. Wir erklären, worauf Unternehmen künftig achten müssen.
Pur-Modell für Webseiten© pvproductions - Freepik.com
Wissensbox Recht

Pur-Abo-Modelle für Webseiten

Gesetze & Regelungen, Recht verstehen
Hinter dem Pur-Modell, auch Cookie-Paywall genannt, steht ein kostenpflichtiges Abonnement für Website-Inhalte, die oftmals redaktioneller Natur sind. Wir werfen einen Blick auf die Zulässigkeit nach DSGVO.
© Serg Nivens - Freepik.com
Selbstlernangebote

Selbstlernangebot Digitalvertragsrecht

Gesetze & Regelungen, Risk & Compliance
Daten sind das neue Gold – und seit 2022 auch ein fester Bestandteil des Digitalvertragsrechts im BGB. Mit unserem Selbstlernangebot erfahren Sie die rechtlichen Grundlagen, wie Daten als "Preis" funktionieren, und welche Rechte und Pflichten es gibt.