Digital Compliance: Der Sprung aus der analogen Compliance-Arbeit Teil 1

Teil I: Einführung und Überblick

Algorithmen und KI sind aus der Unternehmenswelt nicht mehr wegzudenken. Auch der „Digital Compliance“ kommt eine immer größere Bedeutung zu. Unter diesem Begriff verstehen wir softwarebasierte Compliance-Tools, die die „analoge“ Compliance-Arbeit unterstützen oder potenziell übernehmen sollen. In einer mehrteiligen Beitragsreihe beleuchten wir die Vorteile, Risiken und rechtlichen Leitplanken beim Einsatz dieser Compliance-Programme. Im ersten Teil bieten wir Ihnen einen Einstieg und Überblick über das spannende Thema der „Digital Compliance“. In den dann folgenden Beiträgen werden wir uns näher mit wichtigen Einzelaspekten wie dem Datenschutz und arbeitsrechtlichen Fragen befassen.

„Analoge“ Compliance kommt an ihre Grenzen

Die Flut an regulatorischen Vorgaben für Unternehmen steigt, das Regelungsgeflecht wird immer unübersichtlicher. Zudem werden immer mehr Geschäftsabläufe automatisiert. Algorithmen wickeln in Sekundenschnelle Transaktionen auf der ganzen Welt ab, ohne dass ein Mensch im Vorfeld noch prüfend oder steuernd eingreifen muss oder kann. Programme analysieren in kürzester Zeit das aktuelle Marktgeschehen, geben Handlungsempfehlungen oder passen interne Unternehmensprozesse an die Marktentwicklungen automatisch an.

Unternehmen müssen im Rahmen ihrer Compliance-Pflichten daher nicht nur der zunehmenden Regelungswut der Gesetzgeber Herr werden. Sie müssen auch in der Lage sein, die automatisierten Geschäftsabläufe auf ihre Regeltreue zu überprüfen. Es liegt daher nahe bzw. wird in naher Zukunft unumgänglich, für die Überprüfung automatisierter Vorgänge computergestützte Compliance-Tools einzusetzen.

Digitale Compliance-Tools auf dem Vormarsch

Mittlerweile hat sich eine eigene Start-Up-Industrie etabliert, die digitale Compliance-Lösungen entwickelt und anbietet, sogenannte „RegTechs“ (Regulatory Technologies). Im Fokus stehen Programmanwendungen zur Erfüllung und Dokumentation regulatorischer und aufsichtsrechtlicher Pflichten. Die Anwendungsfelder sind breit gestreut:

• Vom Compliance-Management, wie automatisierte Auswertungen regulatorischer Anforderungen, Gap-Analysen, über
• Risikomanagement, etwa als automatisierte Warnungen und Gegenmaßnahmen basierend auf Datenanalysen, bis hin zu
• Kundenverifizierung und Betrugserkennung, z. B. in Form automatisierter Geldwäscheprüfungen und Transaktionsüberwachung.

Solche digitalen Compliance-Lösungen basieren auf zwei Grundprinzipien: Auf der präventiven und auf der reaktiven Überprüfung von internen Unternehmensprozessen. Bei der präventiven Überprüfung werden bestimmte unternehmensinterne Handlungen erst nach einer vorherigen Compliance-Kontrolle freigegeben. Ein typisches Beispiel für die präventive Kontrolle ist das sogenannte Sanctions Screening. Hier werden die Daten von potenziellen neuen ebenso wie bestehenden Geschäftspartnern mit Hilfe einer speziellen Software mit Sanktionslisten abgeglichen. Im Falle eines relevanten „echten“ Treffers erfolgt keine Freigabe für die Durchführung des Geschäfts mit der betreffenden Person oder dem betreffenden Unternehmen, bestehende Geschäftsbeziehungen müssen beendet werden.

Mit der reaktiven Überprüfung wird untersucht, ob bereits erfolgtes Verhalten der eigenen Mitarbeiter oder von Geschäftspartnern mit den (gesetzlichen) Vorschriften im Einklang steht. Ein Beispiel für reaktive digitale Compliance ist das sogenannte Kartell-Screening. Mit Hilfe von Screening-Programmen werden Daten und Korrespondenzen auf Kartellauffälligkeiten untersucht. Wird z. B. die Erhöhung des Produktpreises trotz sinkender Nachfrage festgestellt, kann dies ein Indiz für illegale Preisabsprachen mit Wettbewerbern sein. Die Deutsche Bahn hat vor kurzem ein digitales Screening-Tool eingeführt, das die Beschaffungsdaten von mehr als 2.000 Ausschreibungen jährlich auf Anzeichen von Absprachen überprüft.

Vorzüge von digitalen Compliance-Tools

Digitale Compliance-Tools bieten einige Vorteile gegenüber der „analogen“ Compliance. Gerade im Hinblick auf die steigenden regulatorischen Vorgaben führen KI-basierte Compliance-Programme regelmäßig zu Kostensenkungen. Es können sowohl Zeit als auch Humankapital eingespart werden, wenn ein intelligenter „Filter“ implementiert wird. Software kann zudem eine viel größere Datenmenge in viel kürzerer Zeit analysieren. Compliance-Tools können daher auch und insbesondere für kleine und mittelständische Unternehmen attraktiv sein, die nicht über eine so dicke Personaldecke verfügen wie große Konzerne.

Weiterhin führt die automatisierte Verarbeitungsmöglichkeit von großen Datenmengen und Prozessen zu einer verbesserten Kontrollmöglichkeit und Effizienz. Je mehr Daten in ihrer Breite verarbeitet werden, umso umfangreicher kann das Unternehmensverhalten auf Fehler überprüft werden. Diese Vorzüge zeigen sich z. B. im Bereich der Geldwäscheprävention. Beim sog. Smurfing schleusen Kriminelle das zu waschende Geld wahllos gestückelt über viele verschiedene Strohmänner in die Bank ein. Betrachtet man die eingezahlten Beträge isoliert oder zumindest nicht in der richtigen Kombination, kann kein Bezug zwischen den einzelnen Transaktionen hergestellt werden. Häufig kann eine von Menschen durchgeführte Geldwäsche-Überprüfung solche Fälle nicht aufdecken.

Digitale Compliance-Tools sind überdies nicht nur in der Lage, einen Zusammenhang zwischen einzelnen Handlungen zu erkennen, sie „lernen“ auch aus früheren Fällen und erkennen Muster bei Prozessen und Verhaltensweisen. Das hilft, sogenannte „false positives“ – also Handlungen, die als Verstoß gewertet werden, in Wirklichkeit aber keine sind – zu identifizieren, was die Fehleranfälligkeit minimiert. Neben der verbesserten Überprüfung in der Breite wird also auch die Überprüfung in der Tiefe optimiert.

Rechtliche Leitplanken für digitale Compliance-Tools

Der Einsatz digitaler Compliance-Tools unterliegt gesetzlichen Anforderungen und Grenzen. Wer aber nach einem allgemeinen „Regulierungsgesetz“ sucht, wird derzeit noch nicht fündig.

Insbesondere die rechtlichen Rahmenbedingungen für die Nutzung von KI-basierten Systemen stecken noch in den Kinderschuhen. Die OECD hat zwar Empfehlungen zur rechtlichen Behandlungen von KI formuliert, die aber rechtlich unverbindlich sind. Danach sollen insbesondere „menschenbezogene Werte und Fairness“ geachtet werden. Hervorgehoben werden vor allem die Achtung von Menschenrechten wie die Privatsphäre, der Daten- oder Diskriminierungsschutz und international anerkannte Arbeitnehmerrechte.

Das EU-Parlament hat vor kurzem den AI-Act beschlossen, das weltweit erste KI-Gesetz, das den Einsatz von künstlicher Intelligenz regeln soll. Verbindlich sind diese Regeln ebenfalls noch nicht; nun beginnen erst die Gespräche mit den EU-Mitgliedstaaten im Rat über die endgültige Ausgestaltung des Gesetzes. Die Bundesregierung plant außerdem den Einsatz von KI am Arbeitsplatz zu regulieren. Mehr als ein Ministerpapier liegt aber auch hier noch nicht vor.

Auch international überwiegt bei der KI-Regulierung derzeit noch das Entwurfsstadium (z. B. der chinesische Entwurf von Maßnahmen für das Management von KI-Diensten, hier die englische Übersetzung der Universität Stanford), die gezielte Nachschärfung nationaler Gesetze (z. B. in Japan, „Data Protection Law“ 2022, englische Version) oder die Veröffentlichung von allgemeinen Grundsatzpapieren (vgl. z. B. die Grundsätze für die Behandlung von KI-Systemen der US-amerikanischen FTC).

Wichtigste Quelle für verbindliche Regelungen beim Einsatz von Compliance-Tools in Deutschland und in der EU sind daher nach wie vor bereits bestehende EU-Verordnungen und nationale Gesetze. Welche rechtlichen Grenzen und Anforderungen beim Einsatz digitaler Compliance-Tools in Deutschland derzeit gelten und in welchen Einsatzgebieten sich Compliance-Tools schon bewährt haben, zeigen wir Ihnen in den kommenden Beiträgen dieser Serie. Der nächste Beitrag wird „Software und Sanctions-Screening“ zum Gegenstand haben.

Zurück zur Übersicht