KI & Compliance: Chance oder Herausforderung?

Als künstliche Intelligenz bezeichnet man die Fähigkeit eines IT-Systems, menschliche Intelligenz nachzuahmen. Eine KI lernt kontinuierlich dazu und kann selbstständig Entscheidungen treffen. Dabei kommen Techniken wie Maschinelles Lernen (ML) und Neuronale Netze zum Einsatz. Darunter versteht man eine Art von Algorithmen, die der Funktionsweise des menschlichen Gehirns nachempfunden sind. Die KI-Anwendungen, die wir heute kennen, fallen in die Kategorie der sogenannten „schwachen“ KI. Nicht etwa, weil sie schlecht sind, sondern weil sie gezielt für bestimmte Aufgaben entwickelt wurden, etwa die Spracherkennung, Bilderkennung oder das Schachspielen. Eine starke KI wäre dagegen in der Lage, beliebige Arten von komplexen Problemen eigenständig zu lösen. Sie könnte tatsächlich denken und handeln wie ein Mensch. Doch davon sind wir noch weit entfernt. Die höchste Entwicklungsstufe wäre schließlich eine künstliche Superintelligenz, die die menschlichen Fähigkeiten sogar übertrifft.

KI spielt überall dort ihre Stärken aus, wo es darum geht, große Mengen an Daten zu verarbeiten und auszuwerten. Was sonst Stunden oder Tage dauern würde, erledigen die intelligenten Algorithmen in Sekunden. Dadurch können sie Prozesse optimieren und menschliche Mitarbeiter entlasten. Das bringt auch für den Compliance-Bereich wertvolle Vorteile. Hier einige Beispiele:

• KI-Systeme können dabei helfen, potenzielle Compliance-Verstöße und Unregelmäßigkeiten schneller aufzudecken. Die Algorithmen sind in der Lage, bekannte Muster zu identifizieren und selbstständig neue zu erlernen. Viele Banken nutzen diese Funktionalität bereits zur Betrugserkennung.
• KI kann bei der Compliance-Risiko-Analyse und -Bewertung unterstützen, indem sie Daten aus vielen verschiedenen internen und externen Quellen sammelt, auswertet und korreliert.
• KI kann Compliance-Dokumente wie Rechtsvorschriften und Standards filtern, analysieren und die wichtigsten Informationen aufbereiten, sodass Compliance Manager viel Zeit beim Lesen sparen.
• Ein KI-gestützter Chatbot erleichtert es, die Compliance-Richtlinien im Unternehmen verständlich zu kommunizieren. Er kann Fragen der Mitarbeiter beantworten und ist immer erreichbar.

Bei allen Vorteilen kann KI aber auch selbst zum Compliance-Risiko werden. Was zum Beispiel, wenn ein Chatbot, der im Recruiting eingesetzt wird, Bewerber aufgrund ihrer Hautfarbe oder ihres Geschlechts diskriminiert? Tatsächlich hängen die Entscheidungen, die eine KI trifft, immer von den Daten ab, mit denen sie trainiert wird. Sind diese nicht divers genug oder spiegeln gesellschaftliche Vorurteile wider, überträgt sich das auf die KI. So kann es zum Beispiel passieren, dass ein Recruiting-System vorwiegend weiße Männer für eine Führungsposition vorschlägt, weil es aus historischen Daten gelernt hat, dass solche Bewerber in der Vergangenheit bevorzugt wurden.

Blind auf eine KI zu vertrauen, ist gefährlich. Vor allem dann, wenn sich Entscheidungen nicht mehr nachvollziehen lassen. Man spricht daher auch vom Blackbox-Effekt. Da eine KI selbstständig lernt, verändert sie sich kontinuierlich. Wenn sie mit schlechten Daten gefüttert oder gar von Hackern manipuliert wird, kann es zu Fehlentscheidungen und Fehlfunktionen kommen. Deshalb ist es wichtig, die KI regelmäßig zu überprüfen.

Eine große Herausforderung ist zudem der Datenschutz. Denn KI-Systeme verarbeiten riesige Mengen an Daten, die auch personenbezogene Informationen enthalten können. Compliance-Verantwortliche müssen sicherstellen, dass die DSGVO eingehalten wird. Dabei sind noch viele Fragen offen. Zum Beispiel werden Daten, die ein Anwender in eine Applikation eingibt, häufig für die Weiterentwicklung der KI genutzt. Sie fließen dann in das KI-Modell ein und verschmelzen mit ihm. Auf welcher Rechtsgrundlage passiert das? Und wie können Betroffene noch ihr Recht auf Löschung der Daten wahrnehmen?

Auch die EU-Gesetzgeber befassen sich mit den Risiken, die KI mit sich bringen kann. Am 9. Dezember 2023 erzielten sie eine vorläufige Einigung über das KI-Gesetz, das die Entwicklung und Nutzung von künstlicher Intelligenz regeln soll. Der endgültige Inhalt des Gesetzes ist noch unklar, und es wird erwartet, dass es frühestens 2025 in Kraft treten wird. Es ist jedoch bekannt, dass das Gesetz vier Risikostufen von minimal bis inakzeptabel unterscheidet. Anwendungen, die in die letztgenannte Kategorie fallen, sind verboten, während für die anderen Anforderungen gelten, die auf ihre Risikokategorie zugeschnitten sind. Bei Nichteinhaltung drohen Geldbußen von bis zu 30 Millionen Euro oder sechs Prozent des weltweiten Gesamtumsatzes. Das KI-Gesetz betrifft fast alle Unternehmen und wird wahrscheinlich ähnliche Wellen schlagen wie die DSGVO. Compliance-Officer werden daher noch mehr zu tun haben.