Wenn KI auf Compliance angewendet wird: Der ECCP als Leitfaden
Die E-Mail kommt ohne Vorwarnung. Das Unternehmen hat eine KI-Plattform ausgewählt. Die IT integriert sie bereits, und ein Pilotprojekt läuft. Der Vorstand ist an Bord und begeistert. Der Chief Compliance Officer wurde gebeten, innerhalb einer Woche „Governance“ bereitzustellen.
Wo fängt man an?
Die Antwort ist einfach. Man kann mit der Evaluierung von Unternehmens-Compliance-Programmen (ECCP) des U.S. Department of Justice (DOJ) von 2024 beginnen.
Der ECCP macht Folgendes deutlich: Staatsanwälte werden beurteilen, wie Unternehmen Risiken identifizieren, verwalten und kontrollieren, die aus neuen und aufkommenden Technologien, einschließlich Künstlicher Intelligenz, resultieren, sowohl in den Geschäftsbetrieben als auch innerhalb der Compliance-Programme selbst. Innerhalb dieses Mandats finden sich Informationen, die als Ausgangspunkt für diese Management-Anfrage dienen können.
KI als Risikoanalyse-Thema umformulieren
Der erste Schritt besteht darin, KI nicht als technische Implementierung zu betrachten, sondern als Verpflichtung zur Risikoanalyse. Der ECCP ist klar: Risikoanalysen müssen sich weiterentwickeln, während sich interne und externe Risiken ändern, und er erwähnt speziell KI als Technologie, die eine affirmative Analyse erfordert. Staatsanwälte werden fragen, ob das Unternehmen bewertet hat, wie KI die Einhaltung von Strafgesetzen beeinflussen könnte, ob KI-Risiken in das unternehmerische Risikomanagement integriert wurden und ob Kontrollen bestehen, um sicherzustellen, dass KI nur für die vorgesehenen Zwecke verwendet wird.
Inventar erstellen, bevor Richtlinien entworfen werden
Der ECCP belohnt keine ehrgeizigen Richtlinien, die nicht durch Fakten unterstützt werden. Staatsanwälte möchten verstehen, warum ein Unternehmen sein Compliance-Programm so strukturiert hat, wie es ist. Vor dem Entwurf von Governance-Rahmenbedingungen für KI muss die Compliance ein vollständiges Inventar der KI-Nutzung fordern:
- Welche Tools sind im Einsatz oder werden getestet;
- Welche Geschäftsbereiche nutzen sie;
- Welche Daten werden verarbeitet; und
- Ob die Ergebnisse beratend oder entscheidungsbeeinflussend sind.
Dieses Inventar sollte ausdrücklich die Nutzung von generativen KI-Tools durch Mitarbeiter umfassen. Der ECCP betont das Management von Insider-Missbrauch und unbeabsichtigten Folgen der Technologie. Unmanaged „Shadow AI“-Nutzung ist jetzt ein Compliance-Fehler, kein IT-Unannehmlichkeit.
Fokus auf Entscheidungsintegrität, nicht auf Modellgestaltung
Einer der am meisten übersehenen Einblicke des ECCP ist, dass das DOJ Ergebnisse und Verantwortlichkeit bewertet, nicht technische Eleganz. Wenn KI verwendet wird, werden Staatsanwälte fragen:
- Welche Entscheidungen wurden von der KI beeinflusst;
- Welche Grundlage menschlicher Urteilsbildung existierte; und/oder
- Wie wurde die Verantwortlichkeit zugewiesen und durchgesetzt.
Compliance-Beauftragte sollten daher die Governance um Entscheidungen und nicht um Algorithmen zentrieren. Wenn niemand erklären kann, wie ein KI-Ergebnis bewertet, angepasst oder eskaliert wurde, kann das Unternehmen nicht nachweisen, dass sein Compliance-Programm in der Praxis funktioniert. Der ECCP fragt ausdrücklich, welche „Basis menschlicher Entscheidungsfindung“ verwendet wird, um KI-Ausgaben zu bewerten, und wie die Verantwortlichkeit über die Nutzung von KI überwacht und durchgesetzt wird. Das übersetzt sich direkt in eine der am häufigsten verwendeten Phrasen zur KI: den Menschen im Prozess. Diese Kontrollen müssen real, dokumentiert und befugt sein.
Erklärbarkeit für Vorstände und Aufsichtsbehörden verlangen
Das DOJ erwartet nicht, dass Vorstände die Architektur des maschinellen Lernens verstehen. Es erwartet jedoch, dass die Vorstände informierte Aufsicht ausüben. Der ECCP fragt wiederholt, ob die Compliance Risiken, Kontrollen und Fehler der Geschäftsführung und dem Vorstand erklären kann. Wenn ein Compliance-Beauftragter nicht in einfacher Sprache erklären kann, wie KI Compliance-Entscheidungen beeinflusst, ist das Programm nicht verteidigbar. Jeder wesentliche KI-Anwendungsfall sollte eine vorstandsfähige Erzählung haben:
- Warum KI verwendet wird;
- Welche Risiken sie schafft;
- Wo menschliches Urteil eingreift; und
- Wie Fehler erkannt und korrigiert werden.
Dies ist nicht optional. Staatsanwälte werden prüfen, welche Informationen die Vorstände geprüft haben und wie sie ihre Aufsicht ausgeübt haben.
KI-Governance in bestehende Kontrollen integrieren
Der ECCP warnt vor „Papierprogrammen“. Das bedeutet, dass KI-Governance nicht in separaten Richtlinien-Silos sitzen kann. KI-bezogene Kontrollen müssen mit bestehenden Compliance-Strukturen wie Ermittlungsprotokollen, Meldemechanismen, Schulungen, internen Audits und Datenmanagement integriert werden. Wenn KI Fehlverhalten identifiziert, wie wird das eskaliert? Wenn KI Ermittlungen unterstützt, wie werden Ergebnisse bewahrt und dokumentiert? Wenn KI Schulungen unterstützt, wie wird die Effektivität gemessen? Das DOJ wird nach Konsistenz in Ansatz, Dokumentation und Überwachung suchen, nicht nach Neuheit.
Ressourcen und Autorität einfordern
Der ECCP widmet erhebliche Aufmerksamkeit der Frage, ob Compliance-Funktionen angemessen ausgestattet, befugt und autonom sind. Dies gilt typischerweise für Compliance-Beauftragte und Fachleute. Es wäre eine logische Erweiterung, dass, wenn die Verantwortung für die KI-Governance der Compliance zugewiesen wird, die Compliance Zugang zu Daten, technischen Erklärungen und Eskalationsautorität haben muss. Die Zuweisung von Verantwortung ohne Ressourcen ist nach Auffassung des DOJ ein Beweis für ein Programm, das nicht in gutem Glauben angewendet wird. Ein erzwungener Auftrag ohne Finanzierung oder Autorität stellt selbst ein Compliance-Risiko dar.
Die Entwicklung dokumentieren
Schließlich müssen Compliance-Beauftragte nicht nur Kontrollen, sondern auch die Entwicklung dokumentieren. Der ECCP betont wiederholt kontinuierliche Verbesserung, Tests und Überarbeitungen. KI-Governance wird nicht perfekt sein. Das DOJ erwartet keine Perfektion. Es erwartet Beweise dafür, dass das Unternehmen Risiken identifiziert, Kontrollen getestet, aus Fehlern gelernt und Anpassungen vorgenommen hat. Protokolle, Überprüfungen von Pilotprojekten, Risikoanalysen und Abhilfemaßnahmen sind alle wichtig. Was heißt das? Dokumentieren, dokumentieren, dokumentieren.
Fazit
Wenn KI auf Compliance angewendet wird, kann Widerstand verständlich sein, ist aber letztendlich ineffektiv. Das DOJ ist bereits über die Frage hinaus, ob KI geregelt werden sollte. Die einzige verbleibende Frage ist, ob die Governance glaubwürdig ist. Für den heutigen Compliance-Beauftragten ist KI-Governance nicht länger optional, technisch oder theoretisch. Es ist ein praktischer Test dafür, ob das Compliance-Programm gut gestaltet, befugt und in der Praxis funktioniert.
Wenn Sie als Compliance-Fachmann nur von der Nutzung von KI in Ihrer Organisation hören, wenn dieser Auftrag weitergegeben wird, benötigen Sie wirklich einen Platz am Tisch.
