Wie die ethische Nutzung von KI heute Vertrauen für morgen schafft

Rechts- und Compliance-Abteilungen stehen vor einem strukturellen Problem: Die Akzeptanz der Notwendigkeit, KI zu integrieren, wird durch den hohen Arbeitsaufwand in den operativen Bereichen beeinträchtigt. Es ist unbestritten, dass Unternehmen rechtskonform arbeiten müssen, unterstützt durch ein wirksames Compliance- und Integritätsmanagement. Dennoch erscheinen Unternehmensprozesse oft bürokratisch, beinhalten zahlreiche Schnittstellen und führen zu einer gewissen Ermüdung in Bezug auf das Thema.

Trotz dieser Herausforderungen sind Rechts- und Compliance-Abteilungen zunehmend von den Vorteilen des intelligenten Einsatzes von KI in Unternehmensprozessen überzeugt.

Allerdings deutet die insgesamt geringe Akzeptanz und Integration von KI in den Bereichen Recht, Compliance und Interne Revision darauf hin, dass die sogenannten Second und Third Lines der Organisation nicht mit der Nutzung von KI im Rest der Organisation Schritt halten. Diese Situation erinnert an die langsame Anpassung der Rechts- und Compliance-Abteilungen sowie der Internen Revision an die Nutzung von Datenanalysen beim Aufkommen von Big Data und Robotic Prozess Automation (RPA) in den vergangenen Jahren.

Wo Rechts- und Compliance-Abteilungen Potenzial für den KI-Einsatz sehen

Im Rahmen unseres EY Global Integrity Report 2024 identifizierten die Befragten aus den Rechts- und Compliance-Abteilungen die kontinuierliche Verbesserung, die laufende Überwachung und Risikobewertungen als die wichtigsten routinemäßigen Compliance-Aktivitäten, die sich für den Einsatz von KI eignen. Für sie liegt das größte Nutzungspotenzial für datenfokussierte KI-Lösungen im Compliance-Bereich in der Zusammenführung und dem Abgleich unterschiedlicher Datenquellen für Review-Zwecke (40 Prozent), der aktiven Überwachung und Echtzeitanalyse von Daten (37 Prozent) und in der Risikobewertung von Transaktionen (34 Prozent).

Basierend auf unserer Erfahrung als Prüfer und Berater haben wir bereits verschiedene KI-Anwendungen in Rechts-, Compliance- und Revisionsabteilungen erlebt und mitgestaltet. Beispielsweise können generative KI-Tools (GenAI) schnell große Mengen an Informationen recherchieren, intelligent auswerten und zusammenfassen, Verträge entwerfen oder erste Überprüfungen von Dokumenten und Vorgängen vornehmen. Dies steigert die Genauigkeit und Effizienz bei der Ausführung von Routineaufgaben erheblich.

Darüber hinaus kann KI Führungskräften helfen, schnellere Übersichten über Rechtsthemen oder Entscheidungshilfen zu erstellen, die im Tagesgeschäft effizienter und mit einem ausreichenden Risikofokus genutzt werden können. Hier einige Beispiele:

• Screening von sich ändernden Rechtsvorschriften in unterschiedlichen Jurisdiktionen zur Rechtsregisterpflicht und der Legal- und der Compliance-Strategie
• Analyse von Compliance-Benchmarks, Peers und Newsfeeds
• Digitalisierung und Steuerung des Due-Diligence-Prozesses durch Automatisierung, Hintergrundüberprüfungen Dritter, Workflows und Datenanreicherungen aus internen Data Lakes
• Verbesserung der Risikobewertung durch automatisierte Analyse von Transaktionen innerhalb des Unternehmens (Finanzbuchhaltung, sonstige Transaktionen) und internen Datenbanken, insbesondere zur Erkennung von Risiken, Mustern und Anomalien
• Generierung von Echtzeitwarnungen bei verdächtigen Aktivitäten und Priorisierung von Fällen potenziellen Fehlverhaltens (Live Monitoring)
• erhebliche Reduzierung der Kosten und der Zeit für die Analyse großer Datensätze durch den Einsatz prädiktiver Modelle zur Durchführung von E-Mail- und Dokumentenüberprüfungen, beispielsweise als Reaktion auf Fehlverhalten oder basierend auf behördlichen Anfragen, Vorladungen und Rechtsstreitigkeiten (AI-Enabled Investigation)
• automatische Identifizierung personenbezogener Daten sowie Extraktion oder Schwärzung privater, vertraulicher oder anderweitig schützenswerter Informationen in großen Datensätzen
• Bereitstellung von Antworten auf Compliance-Anfragen von Mitarbeitenden oder Geschäftspartnern sowie Verweis auf Unternehmensrichtlinien und Bereitstellung von Anleitungen durch KI-Chatbots (inklusive Workflow-Automatisierung; Integrity Self Service)

„AI Wishing“ und „AI Washing“: digitale Ethik und robustes Risikomanagement zentral

KI hat die Geschäftsführungen und Vorstandsbüros erreicht – denn ohne den digitalen Wandel fühlen sich Unternehmen im Hintertreffen.

Da KI zunehmend auf Vorstandsebene diskutiert wird und das Potenzial hat, für Organisationen ebenso relevant zu werden wie beispielsweise Datenschutz, Produktsicherheit und Compliance, liegt die Verantwortung für die Integrität und das Vertrauen in den Einsatz von KI weitgehend auf den Schultern der Rechts- und Compliance-Abteilungen. Diese werden dabei durch die Zusammenarbeit funktionsübergreifender Teams unterstützt. Die Rechts- und Compliance-Abteilungen sind nicht nur dafür verantwortlich, die eigenen Risiken im Zusammenhang mit KI zu managen, sondern auch die Einhaltung und Sicherstellung der Qualität der Compliance-Standards in der Organisation zu überprüfen, während KI im gesamten Unternehmen implementiert wird. Diese Aktivitäten sollten in einen holistischen und trotzdem handhabbaren operativen Prozess innerhalb eines KI-Governance-Rahmens eingebettet werden.

Wenn jedoch Rechts- und Compliance-Abteilungen Schwierigkeiten haben, den Überblick über das Qualitätsmanagement von KI-Lösungen zu behalten und insbesondere die verbundenen Compliance-Risiken in ihrem eigenen Bereich zu berücksichtigen, deutet dies auf erhebliche Herausforderungen hin. Das Unternehmen muss sicherstellen, dass KI-gestützte Tools im gesamten Unternehmen gemäß dem internen KI-Governance-Rahmen und den sich entwickelnden, teils komplexen und möglicherweise globalen gesetzlichen Vorschriften und rechtlichen Anforderungen verwendet werden. Dies ist besonders relevant bei der Umsetzung des EU Artificial Intelligence Act (EU AI Act).

Diese Herausforderungen können zu dem genannten „AI Wishing“ führen – einem Zustand, in dem das Management die (rechtskonforme) Nutzung von KI falsch bewertet, weil es hofft oder glaubt, aber nicht verifizieren kann, wie die Organisation KI tatsächlich einsetzt. Darüber hinaus besteht das ernstere Risiko des „AI Washing“, bei dem die Organisation absichtlich falsche Darstellungen darüber abgibt, wie sie KI nutzt. Ob unbeabsichtigt oder absichtlich, „AI Wishing“ und „AI Washing“ können zu ernst zu nehmenden Rechts- und Reputationsrisiken führen. Bereits jetzt werden zahlreiche Ansprüche geltend gemacht. So hat die US-amerikanische Securities and Exchange Commission (SEC) kürzlich zwei Anlageberater wegen falscher und irreführender Aussagen über ihre gemeldete Nutzung von KI angeklagt. Beide Firmen stimmten einem Vergleich zu und zahlten insgesamt 400.000 US-Dollar zivilrechtliche Strafen.

Während es verlockend ist, sich dem Hype um das Potenzial von KI hinzugeben, ist eine starke Compliance- und Ethikkultur unerlässlich, um sicherzustellen, dass Fehlverhalten und Risiken – sei es absichtlich oder unabsichtlich – im Zusammenhang mit dem Einsatz von KI in der Organisation die Ausnahme und nicht die Regel sind.

Tempo der KI-Entwicklung stellt die Regulierung in den Fokus

In der EU planen einige Mitgliedstaaten, den Einsatz von Gesichtserkennungstechnologien bei ihren Polizeikräften zu verstärken. Das Europäische Parlament hat jedoch kürzlich strengere Beschränkungen im Rahmen des EU AI Act verabschiedet. Dieses Gesetz, das am 1. August 2024 in Kraft getreten ist, ist die weltweit erste umfassende KI-Regulierung. Es hat extraterritoriale Wirkung und sieht bei Verstößen hohe Geldstrafen vor, was es für alle Organisationen, die Geschäfte in oder mit europäischen Ländern tätigen, relevant macht.

China, eines der ersten Länder, die KI-Regulierungen implementiert haben, erweitert derzeit seine verschiedenen Vorschriften und Richtlinien, die für spezifische KI-Anwendungen gelten. Dabei hat China auch die Empfehlungen der UNESCO zu den ethischen Aspekten von KI übernommen und ist Unterzeichner der KI-Prinzipien der OECD.

In Indien fordert die Regierung Technologieunternehmen auf, vor der öffentlichen Einführung von KI-Tools eine ausdrückliche Genehmigung einzuholen. Zudem hat sie Unternehmen davor gewarnt, KI-Produkte zu verwenden, die Antworten generieren könnten, die „die Integrität des Wahlprozesses bedrohen“. Dies stellt eine Abkehr von der im Jahr 2023 erklärten Position dar, einen zurückhaltenden Ansatz gegenüber KI zu verfolgen.

In den USA lässt sich mit Amtsantritt von Präsident Donald Trump ein Richtungswechsel im Bereich der KI-Regulatorik auf Bundesebene erkennen. Die von Präsident Joe Biden verabschiedete Executive Order 14110, die auf eine sichere und vertrauenswürdige Entwicklung und Nutzung von KI abzielte, wurde von Präsident Trump am Tag seines Amtseintritts widerrufen und drei Tage später durch eine neue Executive Order ersetzt, die die Entwicklung von KI in den USA fördern soll. Was dies konkret bedeutet, wird sich in den kommenden Monaten zeigen. Zudem gibt es in den USA vielfältige Regulierungen in den verschiedenen Behörden und Bundesstaaten. So hat beispielsweise die Federal Trade Commission (FTC) auf öffentliche Bedenken hinsichtlich der Auswirkungen von generativer KI reagiert, indem sie umfassende Untersuchungen zu einigen KI-Plattformen eingeleitet hat. Es gibt auch viele Regulierungen in US-Bundesstaaten und lokal spezifische Gesetze, die bereits in Kraft sind oder diskutiert werden, beispielsweise in Kalifornien und New York.

Nach der EU hat Südkorea im Dezember 2024 mit dem AI Basic Act das zweite formale Gesetz zur Regelung von KI verabschiedet. Dieses weist Parallelen zum EU AI Act auf und verfolgt wie dieser einen risikoorientierten Ansatz. Jedoch ist die mögliche Höhe einer Strafe bei einem Verstoß mit bis zu circa 20.000 Euro (30 Millionen koreanische Won) im Vergleich zum EU AI Act mit bis zu 35 Millionen Euro oder 7 Prozent des jährlichen globalen Umsatzes gering.

Der schnelle technische Fortschritt im Bereich der KI stellt die Regulierungsbehörden vor große Herausforderungen, mit dieser Entwicklung Schritt zu halten. In diesem Kontext tragen Unternehmen eine umso größere Verantwortung, ethische und moralische Werte sowie die Rechte der Betroffenen bei der Entwicklung und Implementierung von KI zu berücksichtigen. Um dieses Ziel zu erreichen, ist eine entsprechende KI-Compliance-Kultur in den Organisationen erforderlich.

Unternehmen sollten mehr tun, als lediglich die Einhaltung von Vorschriften sicherzustellen. Ein wirkungsvolles Mittel hierfür ist die Schaffung von KI-Taskforces zum Thema „Responsibility“, die eine interdisziplinäre Gruppe von Mitarbeitenden umfassen und sich mit dem ethischen und verantwortungsvollen Einsatz von KI befassen. Dieses Thema sollte in entsprechende Richtlinien sowie in zugehörige Prozesse und Kontrollen integriert werden.

Die Sicherstellung der Compliance sowie der ethischen und moralischen Nutzung von KI kann für Organisationen eine Herausforderung darstellen, da sich die Fähigkeiten der Rechts- und Compliance-Organisation parallel zum technologischen Fortschritt weiterentwickeln müssen. Während Organisationen eine stärker auf KI ausgerichtete Agenda vorantreiben, lässt sich beobachten, dass sich der Bedarf an traditionell im Backoffice oder in der IT angesiedelten technischen Fähigkeiten in andere Geschäftsbereiche verschiebt.

Organisationen müssen in der Lage sein, die häufig vorhandene Lücke zwischen technischer Expertise und den Anwendungsanforderungen der Geschäftsbereiche zu überbrücken. Beispielsweise könnten KI-Technologie-Fachleute eng mit der Rechts- oder Compliance-Abteilung zusammenarbeiten, um Wissen über die technischen Vorteile und die wichtigsten Risiken in verständlicher Weise anhand spezifischer Anwendungsfälle oder Prozesse zu teilen.

Angesichts des erheblichen Potenzials von KI, die Geschäftswelt grundlegend zu verändern, müssen Organisationen einen ganzheitlichen Plan entwickeln und einen systematischen Ansatz für den ethischen und regelkonformen Einsatz von KI verfolgen.

Im Folgenden sind sechs Wege dargestellt, wie Organisationen einen integritätsorientierten Ansatz für die Nutzung von KI implementieren können:

1. Bewertung der KI-Nutzungsstrategie

Unabhängig davon, ob die Organisation bereits KI implementiert hat oder dies in naher Zukunft plant, ist es wichtig, ihren aktuellen Reifegrad im Umgang mit der Nutzung von KI zu verstehen. Eine KI-Reifegradbewertung kann helfen, kritische Lücken zu identifizieren. Beispielsweise stellte ein globales Pharmaunternehmen bei einer Compliance-Bewertung der KI-Nutzung fest, dass eine der größten Lücken das Fehlen eines konsistenten KI-Governance-Rahmens war.

2. Entwicklung einer formellen KI-Nutzungsstrategie

Governance ist der Anker für eine sichere, nachhaltige, verantwortungsvolle und transparente Nutzung von KI. Obwohl die Erstellung eines KI-Governance-Rahmens nützlich sein kann, wird er oft als nicht verpflichtend eingeführt oder inkonsistent angewendet. Um dies zu verbessern, sollten anwendbare KI-Prinzipien formalisiert und ausreichende Mittel zu deren Implementierung, Umsetzung und Überwachung bereitgestellt werden. Eine solche KI-Richtlinie sollte besondere Aufmerksamkeit auf die Definition ethischer KI-Prinzipien für die Organisation legen, Richtlinien zur Achtung der Rechte, der Sicherheit und der Privatsphäre der Menschen festlegen, die Fairness, Genauigkeit („accuracy“) und Zuverlässigkeit („reliability“) der KI-Ergebnisse sicherstellen und den Schutz der zugrunde liegenden Daten und Modelle gewährleisten.

3. KI-Management durch funktionsübergreifende Teams

Um die Effektivität einer KI-Richtlinie zu optimieren, müssen verschiedene Abteilungen wie IT, Datenschutz und Informationssicherheit, Compliance, Recht, Risikomanagement, Innovation, Finanzen, Einkauf und Interne Revision gemeinsam die mit KI-Anwendungsfällen verbundenen Risiken und die risikoreduzierenden Maßnahmen bewerten. Organisationen sollten ein Governance-Komitee einrichten, um sicherzustellen, dass die KI-Anwendungsfälle aus diesen unterschiedlichen Perspektiven heraus bewertet werden. Zudem kann ein solches funktionsübergreifendes Team die konsistente Anwendung des Governance- und Risikomanagementansatzes in der gesamten Organisation überwachen. Jedes Team spielt dabei eine wichtige Rolle im KI-Lebenszyklus. Nur durch gute Zusammenarbeit können die entsprechenden KI-Risiken effektiv von Anfang bis Ende gemanagt werden.

4. AI Risk Response Management: Erstellung eines Ansatzes für Sofortmaßnahmen

Ein Ansatz für das Risikomanagement bei KI-Compliance-Vorfällen, der die regulatorischen und rechtlichen Anforderungen berücksichtigt, ist der nächste Schritt in der Governance-Planung. Angesichts der zunehmend herausfordernden rechtlichen und regulatorischen Umgebung speziell im Hinblick auf KI sollten Organisationen mit einem Ansatz für Sofortmaßnahmen auf mögliche KI-Krisenereignisse vorbereitet sein. Dies ist sowohl bei einem Ausfall der KI als auch bei Verstößen gegen rechtliche und regulatorische Vorgaben wie etwa „AI Wishing“- oder „AI Washing“-Ansprüchen gegen die Organisation von großer Bedeutung.

Sollte es zu Verstößen kommen, werden der Einsatz der KI und der Rahmen, in dem er erfolgt, genauestens beleuchtet. Um entsprechend reagieren zu können, müssen Unternehmen daher wissen, wer einbezogen werden muss, wo welche Daten gespeichert sind, wer dafür verantwortlich ist und wer Zugriff auf diese Daten hat. Sie müssen vorbereitet sein, im Rahmen der Sofortmaßnahmen die Ein- und Ausgaben der KI einschließlich etwaiger generierter Dateien zu sichern und die Verwendung wie auch die Verarbeitung der Daten aus technischer Sicht nachvollziehbar zu dokumentieren.

Die Aufarbeitung von KI-Vorfällen ist ein kostspieliger Prozess, der neben der Involvierung von Anwälten auch die Überprüfung der KI-Modelle und Log-Dateien sowie die Aufbereitung und Erklärung all dieser Aufzeichnungen umfasst. Dies ist nur bedingt mit traditionellen Sachverhaltsaufklärungen vergleichbar. Während bislang möglicherweise Buchungen oder E-Mails vorgelegt werden mussten, müssen bei KI-Rechtsstreitigkeiten KI-Algorithmen und ­Modelle sowie die Grundlagen ihrer Entwicklung und Evolution zur Verfügung gestellt werden.

5. Optimierung der Data Governance

Im EY Global Integrity Report 2024 nannten Führungskräfte inkonsistente oder unvollständige Datengrundlagen für KI-Modelle als größte Herausforderung bei der Implementierung von KI im Compliance-Bereich. Damit Rechts- und Compliance-Verantwortliche – und möglicherweise alle Mitarbeitenden – den Daten und damit der KI vertrauen können, müssen Organisationen ein klares und umfassendes Verständnis ihrer Daten entwickeln.

Hierzu ist eine entsprechende Data Governance nötig, die häufig Überschneidungen mit der KI-Governance aufweist. Eine solche Data Governance sollte auch eine klare Datenstruktur, die Dokumentation der Datenherkunft sowie die Sicherstellung der Datenqualität und der Nutzbarkeit der Daten umfassen.

6. Erstellung eines Inventars aller verwendeten KI-Tools

Organisationen sollten ein Inventar aller verwendeten KI- und Machine-Learning-Tools erstellen und kontinuierlich pflegen. Mit zunehmendem Reifegrad kann dieses Inventar in ein KI-Verwaltungssystem überführt werden, das dazu beiträgt, eine skalierbare, flexible und sichere Infrastruktur für KI-Anwendungen aufzubauen.

Das Tempo, in dem sich KI weiterentwickelt, nimmt stetig zu. Angesichts der zahlreichen Konzepte und Komponenten, die Organisationen berücksichtigen müssen, um KI nicht nur zu implementieren, sondern auch Vertrauen in diese Lösungen zu schaffen, ist es unerlässlich, einen ganzheitlichen und integritätsorientierten Ansatz für die Nutzung von KI zu entwickeln.

Ad-hoc-Bemühungen, die mit KI einhergehenden Risiken und Herausforderungen im Nachhinein zu bewältigen, werden nicht ausreichen. Um KI langfristig entsprechend den rechtlichen und sozialen Anforderungen im Unternehmen einzusetzen und das volle Potenzial von KI auszuschöpfen, bedarf es mehr: einer robusten KI-Nutzungsstrategie, die auf einem starken Governance-Rahmen mit klar definierten Richtlinien und Prozessen basiert, Kontrollen, die den Governance-Anforderungen entsprechen und auf einer soliden Data Governance fußen, sowie eines funktionsübergreifenden Teams, das nicht nur die Implementierung von KI vorantreibt.