KünStlIche IntellIgenz & legAl tech
8 KI: Warum unternehmen umdenken müssen
16 AI-Act: ethische ki als WettbeWerbsvorteil 20 KI-Schulungen: Wissen Wird
Pflicht 28 KI-toolS: comPliance effizient managen 32 FluggAStrechte: eu-reform mit folgen 44 hInweISgeberSchutz: Warum so Wenig meldungen?
49 nIS2: neue Pflichten für unternehmen
kaum ein Thema bewegt die Compliance- und Rechtswelt derzeit so sehr wie künstliche Intelligenz (KI) und Legal Tech. Die Diskussionen reichen von bahnbrechenden Möglichkeiten bis hin zu kritischen Fragen der Regulierung. Wird KI unseren Alltag erleichtern oder zu neuen Unsicherheiten führen? Wie verändert sie die Art, wie Unternehmen Risiken erkennen und steuern?
Eines steht fest: KI ist gekommen, um zu bleiben. Sie verspricht Effizienzgewinne, schnellere Entscheidungsprozesse und sogar eine präzisere Einhaltung von Vorschriften. Doch mit der steigenden Automatisierung wächst auch die Verantwortung. Unternehmen müssen sich nicht nur mit neuen Technologien, sondern auch mit deren Auswirkungen auf Ethik, Datenschutz und Governance auseinandersetzen.
Gleichzeitig entwickelt sich der Markt für Legal Tech rasant weiter. Was vor wenigen Jahren noch als digitale Spielerei galt, ist inzwischen fester Bestandteil vieler Kanzleien und Rechtsabteilungen. Doch wo liegt die Grenze zwischen sinnvoller Automatisierung und der Notwendigkeit menschlicher Expertise?
Mit dem AI-Act hat die EU neue Spielregeln für den Einsatz von KI festgelegt. Unternehmen müssen sich jetzt darauf einstellen, dass Transparenz und Kontrolle wichtiger werden. Mia Pankoke zeigt, welche Herausforderungen der AI-Act mit sich bringt und wie Unternehmen sich auf die neuen Vorgaben einstellen können (S. 16).
Ein weiteres wichtiges Thema: Datenschutz. KI lebt von Daten, doch wie stellt man sicher, dass dabei alles mit rechten Dingen zugeht? Wie verhindert man, dass Algorithmen bestehende Vorurteile übernehmen? Tom Boyer erklärt, worauf es beim Datenschutz in der KI-gestützten Compliance ankommt und welche Fallstricke Unternehmen unbedingt vermeiden sollten (S. 24).
Und natürlich geht es auch um konkrete Anwendungen: Welche KI-gestützten Compliance-Tools funktionieren wirklich und wo liegen die Stolpersteine? Ich habe mir die spannendsten Lösungen angesehen (S. 28).
Auch die Rechtsbranche erlebt durch Legal Tech einen echten Wandel. KI-gestützte Tools erleichtern den Alltag, sparen Zeit und sorgen für mehr Effizienz. Doch was heißt das für die Arbeit von Juristinnen und Juristen? Welche Aufgaben lassen sich automatisieren – und wo bleibt der Mensch unersetzlich? Christin Nasgowitz nimmt auf die Auswirkungen von Legal Tech auf die Rechtsbranche unter die Lupe (S. 32).
Im Interview mit Dr. Tim Sattler, CISO bei Jungheinrich, sprechen wir über die neuen Anforderungen der NIS2-Richtlinie und was sie für Unternehmen bedeutet. IT-Sicherheit ist längst keine reine Technikfrage mehr –sie ist zur Managementaufgabe geworden. Unternehmen müssen Sicherheitsvorfälle schneller melden, ihre Schutzmaßnahmen laufend anpassen und sich auf strengere Haftungsregelungen einstellen. Dr. Sattler erklärt, wie sich Unternehmen proaktiv auf NIS2 vorbereiten können und warum Cybersicherheit heute Chefsache ist (S. 49).
KI und Legal Tech sind keine Zukunftsmusik mehr – sie sind längst da. Unternehmen, die sich jetzt gut aufstellen, können viel gewinnen. Wer sich nicht damit beschäftigt, wird es schwerer haben. Es geht darum, klug und verantwortungsbewusst mit den neuen Möglichkeiten umzugehen.
Ich wünsche Ihnen eine spannende Lektüre!
Beste Grüße, Judit Čech
8
KI & Verantwortung
Wie Unternehmen künstliche Intelligenz nutzen, ohne Verantwortung und Transparenz aus den Augen zu verlieren.
Judit Čech
34
Fluggastrechte im Wandel
Wie die EU-Reform Airlines entlastet und Passagiere herausfordert.
Christin Nasgowitz
16
Ethische KI Warum der AI-Act Unternehmen zu verantwortungsvollem KIEinsatz verpflichtet. Mia Pankoke
49
NIS2-Richtlinie
Dr. Tim Sattler über neue EU-Vorgaben und wachsende Bedrohungen. Judit Čech und Frederik Nyga
Editorial 3 Impressum 5 Compliance-Chroniken 6
Bücherschau 54 Verband 56 Termine 58
Kü N stli C he iN tellige N z
8
Verantwortung statt blinder automatisierung
KI braucht menschliche Kontrolle, um Fehlentscheidungen zu vermeiden.
Von Judit Čech
16
Ethische KI als Compliance-Pflicht
Der AI-Act macht den sicheren Einsatz von KI zur ComplianceHerausforderung – und zum möglichen Wettbewerbsvorteil.
Von Mia Pankoke
20
KI-Schulungen: Unternehmen in der Pflicht
Neue EU-Vorgaben verlangen gezielte Weiterbildung für Mitarbeitende.
Von timo Bosman, sophie-luise Ninnemann und Benedikt siebelmann
24
Datenschutz als Fundament für vertrauenswürdige KI
Gute Daten sind entscheidend –doch Datenschutz, Fairness und Regulierung setzen klare Grenzen.
Von tom Boyer
28
KI-tools für Compliance: Fluch oder Segen?
Welche Lösungen wirklich helfen und welche Risiken bestehen.
Von Judit Čech
Wie gefällt Ihnen der Compliance Manager? Was können wir besser machen? Wir würden uns freuen, wenn sie an unserer Umfrage teilnehmen.
de.research.net/r/cm_ki
32
Die automatisierung im Rechtswesen Welche Chancen und Risiken die Digitalisierung für Juristen bringt.
Von Christin Nasgowitz
34
Fluggastrechte auf dem Prüfstand Die geplante EU-Reform könnte Fluggesellschaften entlasten – mit Folgen für Passagiere.
Von Christin Nasgowitz
aN alyse
40 hinweisgeberschutz in Deutschland: Warum es hakt
Trotz Gesetz gibt es weniger Meldungen als erwartet.
Von Mathias Bienert
44
Vom Kontrolleur zum Gestalter
Wie sich das Berufsbild wandelt und warum Compliance heute Innovation und Effizienz mitgestalten muss.
Von Dr. Marcus Brandt und stefan M. Remaklus
49
NIS2: Neue Pflichten, neue Risiken Was bedeutet das für IT-Sicherheit und Management? Dr. Tim Sattler gibt Antworten.
Von Judit Čech und Frederik Nyga
Herausgeber Rudolf Hetzel
Torben Werner Frederik Nyga
Redaktion
Judit Čech (V.i.S.d.P)
Telefon: 030 / 84859320 judit.cech@quadriga.eu
ISSSN: 2751-109X
Mitarbeit an dieser Ausgabe Mathias Bienert Marcus Brandt Timo Bosman Tom Boyer
Christin Nasgowitz Sophie-Luise Ninnemann Mia Pankoke
Stefan M. Remaklus Benedikt Siebelmann
Gestaltung
Armen Vanetsyan
Fotoredaktion Armen Vanetsyan
Anzeigen Norman Wittig norman.wittig@quadriga.eu
Druck
PIEREG Druckcenter Berlin GmbH Vollstufige Bogenoffsetdruckerei Benzstraße 12 | 12277 Berlin (Marienfelde)
Abonnementkonditionen
Inland: 4 Ausgaben –89 Euro Ausland: 4 Ausgaben – 99 Euro Alle Preise inkl. MwSt. und Versandkosten
Im Internet www.compliance-manager.net
Verlags- / Redaktionsanschrift Quadriga Media Berlin GmbH Werderscher Markt 13 10117 Berlin
Telefon: 030 / 84 85 90 Fax: 030 / 84 85 92 00 info@quadriga.eu
Bildnachweise:
Umschlag: Getty Images; S. 4: Getty Images; S. 8-14: Getty Images; Armen Vanetsyan; S. 16-22: Getty Images; S. 24-36: Getty Images; S. 24-28: Getty Images; S. 40: Getty Images; S. 43 privat; S. 45: Getty Images; S. 47: privat; S. 49-51:Getty Images; S. 52: Privat; S. 56-57: BCM; Mirella Frangella; S. 58: Getty Images
von Judit Čech
Ach ja, die Flick-Affäre – ein Klassiker unter den Skandalen der deutschen Nachkriegsgeschichte. Hier trafen Macht, Geld und Politik aufeinander, gepaart mit einer guten Portion „Wie lange bleibt das wohl unentdeckt?“ Die Geschichte zeigt, was passiert, wenn Transparenz nicht nur fehlt, sondern aktiv vermieden wird.
Friedrich Karl Flick war nicht irgendein Unternehmer, sondern einer der einflussreichsten Wirtschaftsbosse der Bundesrepublik. Sein Konzern war ein Gigant mit Beteiligungen in Stahl, Energie und Maschinenbau. Doch Flick war nicht nur ein geschickter Unternehmer, sondern auch ein Strippenzieher mit engen politischen Kontakten.
Der Skandal begann mit einer Steuerprüfung in Bonn. Steuerfahnder Klaus Förster entdeckte verdächtige Buchungen in den Unterlagen des Flick-Konzerns. Was dabei ans Licht kam, hätte auch einem Wirtschaftskrimi entspringen können: Millionenbeträge an CDU, CSU, FDP und SPD, getarnt als Betriebsausgaben. Zwischen 1969 und 1980 flossen rund 15 Millionen Mark an CDU/CSU, 6,5 Millionen Mark an die FDP und 4,3 Millionen Mark an die SPD. Offiziell sollten diese Spenden der Demokratie dienen, tatsächlich waren sie Teil eines Systems zur politischen Einflussnahme.
Das Herzstück der Affäre war die Steuerbefreiung für den Verkauf von Daimler-Benz-Aktien im Wert von 1,9 Milliarden Mark durch den Flick-Kon-
zern im Jahr 1975. Flick beantragte eine Steuerbefreiung und sparte dadurch 975 Millionen Mark Steuern.
Doch dann platzte die Blase. Intensive Steuerprüfungen und journalistische Recherchen brachten den Skandal ans Licht. Prominentester Akteur: Otto Graf Lambsdorff, Bundeswirtschaftsminister, der am 27. Juni 1984 zurücktrat. Auch der frühere Wirtschaftsminister Hans Friderichs und Flick-Manager Eberhard von Brauchitsch gerieten ins Visier der Justiz. Weitere prominente Opfer: Bundestagspräsident Rainer Barzel. Das öffentliche Vertrauen in die Politik erlitt erheblichen Schaden.
Lambsdorff wurde nicht wegen Bestechung, sondern wegen Steuerhinterziehung zu einer Geldstrafe von 180.000 DM verurteilt. Vom Vorwurf der Bestechlichkeit wurden die Angeklagten mangels Beweisen freigesprochen. Von Brauchitsch erhielt eine Bewährungsstrafe und eine Geldbuße von 550.000 Mark.
Friedrich Karl Flick selbst wurde für die Spendenpraxis seines Konzerns nie belangt. Er beteuerte seine Unschuld und zog sich aus der Öffentlichkeit zurück, während sein Konzern wirtschaftlich weitgehend unbeschadet blieb.
Für die Politik hatte der Skandal weitreichende Konsequenzen. Das Parteienfinanzierungsgesetz wurde
reformiert, um mehr Transparenz zu schaffen. Unternehmen begannen verstärkt auf Compliance-Programme und interne Kontrollen zu setzen, auch wenn dieser Wandel erst in den 2000er-Jahren richtig Fahrt aufnahm. Gesellschaftlich war die Flick-Affäre ein Weckruf. In den 1970er- und 1980er-Jahren war enge Zusammenarbeit zwischen Wirtschaft und Politik beinahe normal. Doch die Affäre zeigte, dass klare Grenzen notwendig sind. Die Medien spielten eine entscheidende Rolle bei der Aufdeckung des Skandals.
Heute gilt die Flick-Affäre als warnendes Beispiel für die Bedeutung klarer Regeln, Transparenz und Integrität. Denn seien wir ehrlich: Gesetze regeln viel, aber wenn die innere Haltung nicht stimmt, findet sich immer ein Weg, sie zu umgehen.
Am Ende bleibt die Flick-Affäre ein Mahnmal dafür, dass Macht und Geld ohne ethisches Fundament immer ein Risiko darstellen. Transparenz mag unbequem sein, aber sie ist das beste Mittel gegen neue Flick-Skandale.
Judit Čech ist leitende Redakteurin des Magazins Compliance Manager.
Compliance Manager
Magazin frei Haus
Jetzt Mitglied werden!
Für nur 130€ p.a. von all unseren Leistungen profitieren!
Aktuelle Compliance Updates
Bei Fragen wenden Sie sich gerne an unsere Geschäftsstelle: info@compliance-verband.de Telefon: 030-84859320
Künstliche intelligenz stellt auch Unternehmen vor Fragen zu Verantwortung und Transparenz. Dabei bleibt der Mensch
unverzichtbar: Trotz beeindruckender Effizienzgewinne muss Ki immer begleitet werden, um Fehlentscheidungen zu vermeiden.
sorgte Apple für Schlagzeilen: Seine KI-gestützte Kreditkarte soll Frauen systematisch schlechtere Kreditlimits gewährt haben als Männern.
David Heinemeier Hansson, Softwareentwickler und Schöpfer von Ruby on Rails, berichtete, dass sein Kreditrahmen 20-mal höher ausfiel als der seiner Frau – obwohl ihre Bonität besser war. Auch Apple-Mitbegründer Steve Wozniak machte ähnliche Erfahrungen: Trotz gemeinsamer Finanzen wurde seiner Frau ein deutlich niedrigeres Limit eingeräumt. Die New Yorker Finanzaufsicht nahm Ermittlungen auf. Das Ergebnis: keine direkte Diskriminierung durch Goldman Sachs, Apples Bankpartner. Stattdessen hätten Faktoren wie Kredithistorie und Einkommen die Entscheidung beeinflusst.
Amazon hatte bereits ein Jahr zuvor ein Problem ähnlicher Natur. Das Unternehmen musste sein KI-gestütztes Recruiting-Tool einstellen, weil es Frauen systematisch benachteiligte. Der Grund: Die KI wurde mit historischen Daten gefüttert, in denen Männer die Mehrheit der Eingestellten stellten. Die Folge: Das System reproduzierte das alte Muster, sortierte Bewerberinnen aus, stufte Lebensläufe mit dem Wort „Frauen“ schlechter ein und bevorzugte bestimmte Verben, die in Männer-Bewerbungen häufiger auftauchten.
Zwei Beispiele mit einem gemeinsamen Nenner: KI verstärkt bestehende Verzerrungen, anstatt sie zu beseitigen. Und sie wirft Grundsatzfragen auf: Wer trägt die Verantwortung, wenn eine KI eine falsche Entscheidung trifft? Ist es legitim, Entscheidungen mit „Die KI hat es entschieden“ zu begründen? Und was bedeutet das für die Compliance? Wird der klassische Compliance-Officer überflüssig – oder ist seine Rolle jetzt wichtiger denn je?
Unternehmen stecken in einem Dilemma. KI verspricht Effizienz, bessere Risikobewertungen, präzisere Vorhersagen. Doch der Entscheidungsprozess bleibt oft eine Blackbox. Wenn ein Algorithmus eine verdächtige Transaktion meldet – ist das ein Beweis? Oder braucht es weiterhin den kritischen Blick eines Menschen?
Die Regulierung zieht nach. Die EU hat mit dem AI-Act strenge Vorgaben für KI-Anwendungen formuliert. Hoch-
Seit die EU den Ai-Act erlassen hat, gehört der sichere Umgang mit Ki-Anwendungen zunehmend zur compliance. Wenn Unternehmen die Umsetzung aktiv angehen, kann ein verantwortungsvoller Umgang mit künstlicher intelligenz ein Wettbewerbsvorteil sein.
von Mia PanKoKe
Am zweiten Februar dieses Jahres war es so weit: Die erste Frist zur Umsetzung der KI-Verordnung der Europäischen Union (AI-Act) lief ab. Seitdem sind einige besonders gefährliche Anwendungen verboten und Unternehmen, die künstliche Intelligenz (KI) einsetzen, müssen nachweisen, dass ihre Mitarbeiter die Technologie ausreichend kennen. Damit ist die EU-Regulierung von KI Praxis geworden. Auch für Compliance-Abteilungen gibt es spätestens jetzt einiges zu tun, um den AI-Act umzusetzen. Denn gut gesteuerte KI-Technologien bieten auf vielen Ebenen Vorteile: Sie mindern Risiken und geben Mitarbeitern, Kunden und anderen Stakeholdern Sicherheit.
Der Ai-Act als Aufgabe der compliance
Ganz allgemein besteht das Ziel der KI-Governance darin, dass KI-Anwendungen sicher und vor allem rechtskonform sind, also Menschen nicht diskriminieren oder ihre Privatsphäre verletzen. Gleichzeitig sollen sie aber Unternehmen oder anderen Anwendern helfen, ihre Ziele zu
erreichen. Und das kann nur gelingen, wenn die Systeme im besten Fall schon transparent und verantwortungsvoll entwickelt werden, spätestens aber beim Einsatz diese Kriterien erfüllen. KI-Governance soll also dafür sorgen, dass die Anwendungen mit gesellschaftlichen Werten, rechtlichen Anforderungen und Organisationszielen im Einklang stehen. So formuliert es die niederländische Anwältin und Governance-Expertin Lucia Loyo in einem Artikel für das Netzwerk Women in AI. Dennoch waren vor allem Datenschutzbeauftragte für die sichere Anwendung verantwortlich, als das Thema vor etwa zwei Jahren durch die großen LLMs, allen voran ChatGPT, groß wurde. Doch spätestens seit die EU den AI-Act verabschiedet hat, hat sich das geändert: „Die Zuständigkeiten haben sich verschoben und viele Unternehmen haben verstanden, dass man das Thema KI auch in Sachen Compliance holistisch angehen muss“, sagt Alexandra Ciarnau. Die Rechtsanwältin ist Expertin für die KI-Verordnung und Vorstandsmitglied von Women in AI Austria. „Insbesondere Unternehmen und Branchen, die ohnehin stark reguliert sind und Erfahrung damit haben, etwa Banken oder Versicherungen, schichten die Verantwortung zunehmend in Richtung Compliance und Risikomanagement um“, beobachtet Ciarnau. Bei kleineren Unternehmen oder Start-ups sei das Bewusstsein, dass sie nun einigen Pflichten nachkommen müssen, hingegen noch nicht überall angekommen.
Wenn noch nicht geschehen, sollten Unternehmen dem strategischen Aufbau einer KI-Governance daher nun Priorität einräumen. „Es geht darum zu klären, wer im Unter-
Unternehmen, die Ki-Systeme nutzen, müssen ihre Mitarbeitenden gezielt schulen. Eine neue EUVerordnung verpflichtet sie dazu, Ki-Kompetenz sicherzustellen – mit möglichen Konsequenzen bei Verstößen.
Von TImo BoSman, SoPhie-LuiSe ninneMann und BenediKt SieBeLMann
DDie Nachfrage nach künstlicher Intelligenz (KI) in Unternehmen wächst. KI-Anwendungen sollen Prozesse automatisieren, Effizienz steigern und Kapazitäten freisetzen – sowohl in internen Abläufen als auch im Vertrieb. Auch Beschäftigte wollen KI zunehmend für ihre Arbeit nutzen. Ein häufiger Anwendungsfall ist der Einsatz von KI-gestützten Sprachmodellen wie unternehmenseigenen Versionen von ChatGPT.
Sowohl die Entwicklung als auch die Nutzung von KI sind durch die EU-Verordnung 2024/1689 über künstliche Intelligenz (KI-VO) geregelt. Die Bestimmungen treten schrittweise in Kraft. Seit dem 2. Februar 2025 sind Unternehmen laut Artikel 4 der KI-VO verpflichtet, eine sogenannte „KI-Kompetenz“ sicherzustellen.
Unternehmen müssen KiKompetenz sicherstellen
Die Pflicht zur Sicherstellung der KI-Kompetenz gilt für alle Unternehmen, die KI-Systeme nutzen. Anders als viele andere Vorgaben der KI-VO ist sie nicht an die Risikoklasse eines KI-Systems gekoppelt, sondern betrifft sämtliche KI-Anwendungen gleichermaßen.
Nach Artikel 4 der KI-VO müssen Anbieter und Betreiber von KI-Systemen geeignete Maßnahmen ergreifen, „um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“.
Diese Verpflichtung gilt auch für Unternehmen, die KI-Systeme entwickeln, aber nicht selbst nutzen. Das geht aus den Erwägungsgründen der Verordnung hervor.
Die KI-Kompetenz ist durch die Unternehmen sowohl beim eigenen Personal als auch bei anderen beauftragten Personen sicherzustellen. Zum Personal zählen die eigenen Mitarbeitenden des Unternehmens. Unter „andere beauftragte Personen“ fallen insbesondere Dienstleister. Die Pflicht zur Sicherstellung der KI-Kompetenz erstreckt sich dabei nur auf diejenigen Personen, die die KI-Systeme entwickeln, betreiben und nutzen, andere Mitarbeitende fallen nicht in den Schutzbereich.
„Ausreichendes Maß an Ki-Kompetenz“
Die Anforderungen an die KI-Kompetenz hängen vom Einzelfall ab. Ziel ist es, dass Mitarbeitende KI bewusst und korrekt einsetzen – um Chancen zu nutzen und Risiken möglichst zu vermeiden. Welche Qualifikationen dafür nötig sind, richtet sich unter anderem nach dem Einsatzbereich. In Hochrisikobereichen ist ein höheres Maß an spezialisierter KI-Kompetenz erforderlich.
Generell müssen die betreffenden Personen Kenntnisse zu folgenden Bereichen haben:
• Technische Funktionsweise von KI
• Einsatzmöglichkeiten von KI und Grenzen der Nutzung
• Anwendbare Governance-Prozesse im Unternehmen wie unter anderem Freigabeprozesse, Richtlinien, Ansprechpartner
• Chancen, Risiken und mögliche Schäden beim Einsatz der KI sowie potenzielle Schwächen des zur Verfügung gestellten Systems
• Rechtliche Vorgaben und ethische Aspekte
Diese Anforderungen ergeben sich aus verschiedenen Bestimmungen der KI-VO. Artikel 4 verlangt, dass Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass Mitarbeitende und beauftragte Personen über ausreichende KI-Kompetenz verfügen. Dabei sind ihre Vorbildung und der Einsatzkontext zu berücksichtigen. Wörtlich heißt es: „(…) ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
„KI-anwendungen automatisieren Prozesse, steigern effizienz und entlasten mitarbeiter.“
Artikel 3 Nummer 56 definiert KI-Kompetenz als „die Fähigkeiten, die Kenntnisse und das Verständnis“, die es einer Person ermöglichen, „KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden“.
Künstliche intelligenz wird immer leistungsfähiger, doch ihre Entwicklung hängt maßgeblich von der Qualität der Trainingsdaten ab. Datenschutz, Diskriminierungsrisiken und neue gesetzliche Vorgaben werfen dabei wichtige Fragen auf.
DDeep Learning hat die künstliche Intelligenz revolutioniert. Dank immer leistungsfähigerer neuronaler Netzwerke entwickelt sie sich rasant weiter. Der lernfähige Algorithmus verarbeitet große Datenmengen und erkennt darin Muster. So kann er Probleme lösen, ohne dass wir seinen Entscheidungsprozess vollständig nachvollziehen können.
Doch wie funktioniert das Lernen eigentlich? Neuronale Netzwerke bestehen aus mehreren Schichten künstlicher Neuronen, die Informationen verarbeiten. Die erste Schicht erhält die Eingabedaten, während die letzte Schicht die Vorhersage oder Klassifizierung liefert. Dazwischen liegen versteckte Schichten, die Merkmale aus den Daten extrahieren und immer komplexere Zusammenhänge erkennen. Je mehr Schichten ein Netzwerk hat, desto leistungsfähiger kann es werden – aber auch desto undurchsichtiger. Diese sogenannte Black-Box-Problematik ist eine der großen Herausforderungen im KI-Bereich.
nur, welche Daten vorliegen, sondern auch, welche fehlen. Diskriminierung kann aber nicht nur durch den Input entstehen, sondern auch durch Vorurteile der Entwickler. Ein Bewerber könnte etwa übersehen werden, weil ein Algorithmus bestimmte Schlüsselwörter in der Bewerbung nicht erkennt – selbst wenn die Person für die Stelle geeignet wäre.
Ein bekanntes Beispiel für algorithmische Diskriminierung ist das Correctional Offender Management Profiling for Alternative Sanctions (COMPAS). Das US-Justizsystem nutzt diesen Algorithmus, um die Rückfallwahrscheinlichkeit von Straftätern zu berechnen. Weil frühere Straffälligkeit in den USA mit der ethnischen Zugehörigkeit korreliert, stuft COMPAS schwarze Menschen systematisch als rückfallgefährdeter ein – obwohl die Ethnie offiziell nicht als Merkmal in die Berechnungen einfließt.
„dank leistungsfähiger neuronaler netzwerke entwickelt KI sich rasant weiter.“
Die KI wandelt Eingabedaten in ein Ergebnis um – nicht auf Basis fester Regeln, sondern durch eigene, adaptive Prozesse. Um die Kontrolle über diese Systeme zu behalten, müssen sie mit ausreichend vielen und hochwertigen Daten trainiert werden. Doch was passiert, wenn die Trainingsdaten fehlerhaft oder unausgewogen sind? Und welche gesetzlichen Vorgaben gelten eigentlich für die Datenerhebung beim KI-Training?
Fehlendes oder schlechtes KI-Training kann schwerwiegende Folgen haben. Ein fehlerhafter Datensatz führt leicht zu Diskriminierung – etwa wenn die Daten unvollständig, unausgewogen, veraltet oder falsch sind. Besonders prädiktive Algorithmen treffen nur dann verlässliche Vorhersagen, wenn sie auf einer ausreichend großen und vielfältigen Datenbasis beruhen. Entscheidend ist daher nicht
Um voreingenommene KI-Systeme zu vermeiden, braucht es ein gründliches Training. Die Qualität der Trainingsdaten bestimmt maßgeblich, wie zuverlässig die KI arbeitet. Je vielfältiger und hochwertiger die Daten, desto präziser ihre Bewertungen und Entscheidungen.
Dabei kommen oft auch personenbezogene Daten zum Einsatz – bewusst oder unbewusst. Das macht den Schutz der Betroffenen besonders wichtig. Datenschutzrechtliche Vorgaben müssen eingehalten werden, um Missbrauch zu verhindern.
Auch unabhängig vom AI-Act des vergangenen Jahres gibt es bereits klare Regeln für den Datenschutz im KI-Training. Die meisten Vorschriften sind technikneutral formuliert und lassen sich direkt auf künstliche Intelligenz anwenden. Im Folgenden wird exemplarisch auf die Anforderungen der Datenschutzgrundverordnung (DSGVO) eingegangen.
Regulierung im griff: Diese Ki-Tools erleichtern das compliance-Management
Ki kann compliance-Prozesse automatisieren und Risiken frühzeitig erkennen. Doch
welches Tool passt zu ihrem Unternehmen?
von Judit Čech
kKünstliche Intelligenz verspricht, das Leben von Compliance-Managern zu revolutionieren. Automatisierte Risikoanalysen, Echtzeit-Überwachung und präzise Berichterstattung – das klingt verlockend, vor allem wenn man an den Stress denkt, den manuelle Prozesse und komplizierte Vorschriften mit sich bringen. Doch beim Blick hinter die Fassade offenbart sich ein Markt, der von einer Vielzahl an Tools überschwemmt wird. Jedes dieser Systeme bringt individuelle Stärken und Funktionen mit, weshalb es für Unternehmen unerlässlich ist, den Überblick zu behalten und die passende Lösung für ihre spezifischen Herausforderungen auszuwählen.
Im Folgenden stellen wir Ihnen fünf ausgewählte KI-Tools für Compliance vor, erläutern ihre zentralen Funktionen und zeigen, wie sie dabei helfen können, im Dschungel der Vorschriften Struktur und Transparenz zu schaffen.
Centraleyes ist eine KI-gestützte Plattform für Compliance- und Risikomanagement. Sie automatisiert das Compliance-Management und unterstützt gängige Standards wie ISO 27001, NIST und GDPR. Eine zentrale Funktion ist die automatische Zuordnung von Kontrollen über verschiedene Frameworks hinweg.
Die Plattform bietet Dashboards, die Compliance-Metriken und Risikobewertungen visualisieren. Ihr Risikoregister basiert auf anerkannten Standards wie OWASP, NIST und MITRE ATT&CK. Es berechnet die Wahrscheinlichkeit und die Auswirkungen von Risiken und ermöglicht umfassende Bewertungen. Zwar berücksichtigt die Plattform finanzielle Aspekte in ihren Analysen, doch bleibt unklar, ob ein separater Rechner für finanzielle Auswirkungen integriert ist.
Als cloud-native Lösung ermöglicht Centraleyes eine schnelle Implementierung. Die Plattform automatisiert die Datenerfassung und Beweissammlung und nutzt verschiedene Methoden zur Risikobewertung – möglicherweise auch Fragebögen. Zur Optimierung von Workflows sind Integrationen mit Tools wie Jira und Asana vorhanden.
Nutzer können eigene Frameworks erstellen und Daten durch Tags organisieren. Ziel der Software ist es, manuelle Prozesse zu reduzieren und eine zentrale Plattform für Compliance- und Risikomanagement bereitzustellen. Durch Automatisierung und Zentralisierung will Centraleyes Unternehmen dabei unterstützen, ihre Compliance-Anforderungen effizienter zu erfüllen und Risiken besser zu managen.
IBM OpenPages mit Watson ist eine cloudbasierte Plattform für Governance, Risiko und Compliance (GRC). Sie nutzt künstliche Intelligenz, insbesondere IBM Watson, um regulatorische Anforderungen zu bewältigen und Risiken zu managen. Die Lösung ist modular aufgebaut und für verschiedene Unternehmensgrößen anpassbar.
Durch die Integration von Watson kann die Plattform große Datenmengen analysieren, Muster erkennen und Trends identifizieren. Das soll Risikobewertungen präziser machen und frühzeitig auf potenzielle Gefahren hinweisen. Zu den Funktionen gehören konfigurierbare Workflows, API-gestützte Datenintegration, dynamische Dashboards für Analysen und Berichte sowie ein Protokollierungssystem für relevante Ereignisse. Watson kann zudem Texte in mehreren Sprachen auswerten und Klassifikationen vorschlagen.
IBM OpenPages soll isolierte Strukturen im Risikomanagement auflösen, indem es Daten aus verschie-
Legal Tech revolutioniert die Rechtsberatung – von digitalen Kanzleimanagement-Tools bis hin zu Ki-gestützten Vertragsprüfungen. Doch mit der Automatisierung wachsen auch herausforderungen.
von chriStin naSgowitz
Legal Tech bezeichnet den Einsatz moderner Technologien zur Vereinfachung und Verbesserung von Rechtsdienstleistungen. Der Begriff umfasst eine breite Palette von Anwendungen – von Online-Plattformen zur Rechtsberatung bis hin zu KI-gestützten Tools für Vertragsprüfung und Dokumentenerstellung.
Doch Legal Tech muss nicht hoch-
komplex sein. Schon einfache digitale Lösungen, etwa ein Kontaktformular auf einer Kanzleiwebsite, können dazu gehören.
Im Kern verändert Legal Tech die Rechtsberatung: von einer individuellen Dienstleistung hin zu einem skalierbaren, produktorientierten Modell. Die Entwicklung dieser Technologien wird in vier Generationen unterteilt:
Legal Tech 1.0 unterstützt herkömmliche juristische Tätigkeiten digital. Dazu gehören Kanzleimanagementsoftware, Terminverwaltungssysteme und Recherchetools wie Juris oder Beck-Online. Auch das besondere elektronische Anwaltspostfach (beA) fällt in diese Kategorie.
Das hinweisgeberschutzgesetz soll in Deutschland für mehr Transparenz sorgen. Doch die zahl der Meldungen bleibt hinter dem EUDurchschnitt zurück. Woran liegt es, dass so wenige Missstände gemeldet werden?
von MathiaS Bienert
DDeutschland ist bekannt für seinen wegweisenden Ansatz bei der Gesetzgebung im Bereich Ethik und Compliance. Doch während das Land im Umweltschutz, bei der Sorgfaltspflicht und der unternehmerischen Verantwortung gut aufgestellt ist, zeigt sich ein anderes Bild beim Whistleblowing. Trotz der Umsetzung des Hinweisgeberschutzgesetzes (HinSchG) im Jahr 2023 zeigen die Daten des Navex 2024 Regional Whistleblowing and Incident Management Benchmark Report einen besorgniserregenden Trend. Deutschland bleibt sowohl bei der Anzahl gemeldeter Fälle als auch bei der Bearbeitungsdauer hinter anderen europäischen Ländern zurück. Dabei gilt: Mehr Meldungen sind ein Zeichen für eine gesunde Speak-up-Kultur.
Es stellt sich die Frage, warum ein Land mit einem ausgeprägten Sinn für Ordnung und Gerechtigkeit zögert, einen Mechanismus konsequent zu etablieren, der genau diese Prinzipien schützen soll.
Whistleblowing: Was hält hinweisgeber
Entgegen der allgemeinen Annahme weisen mehr Meldungen im Unternehmen auf eine gesunde Speak-up-Kultur hin. Dennoch gibt es mehrere Faktoren, die Mitarbeitende davon abhalten, Fehlverhalten zu melden.
Der Umgang mit neuen Systemen braucht Zeit. Abläufe und Funktionen müssen erst verstanden werden, bevor Vertrauen entsteht. Das gilt besonders für Hinweisgebersysteme: Mitarbeitende brauchen einen klaren Überblick über die angebotenen Schutzmaßnahmen, um sich sicher zu fühlen, wenn sie Vorfälle melden.
Das HinSchG stellt Unternehmen vor Herausforderungen. Seine Komplexität und die Verknüpfung mit anderen Gesetzen wie dem Datenschutz und branchenspezifischen Anforderungen schaffen ein schwer durchschaubares Regelwerk. Hinzu kommen uneinheitliche interne Prozesse und Meldesysteme, die verunsichern, an wen sich Mitarbeitende wenden sollen. Diese Unklarheit kann potenzielle Hinweisgeber davon abhalten, Missstände zu melden.
Obwohl das HinSchG rechtlichen Schutz bietet, bleibt die Furcht vor Konsequenzen wie Jobverlust, Mobbing oder anderen Repressalien ein erheblicher Abschreckungsfaktor.
In wirtschaftlich unsicheren Zeiten und bei steigenden Lebenshaltungskosten überwiegt oft die Sorge um den Arbeitsplatz. Viele befürchten zudem, als illoyal zu gelten oder das Verhältnis zu Kollegen zu belasten.
Obwohl Whistleblowing für ethische Standards und Rechenschaftspflicht unerlässlich ist, verhindern die genannten Faktoren seine volle Nutzung. Um sein Potenzial in Deutschland voll auszuschöpfen, müssen diese Hürden abgebaut werden. Es braucht eine Kultur, die Hinweisgeber schützt und ermutigt.
Die Daten des Navex-Benchmark-Berichts zeichnen ein widersprüchliches Bild von Whistleblowing in Deutschland. Im Jahr 2023 entschieden sich 51 Prozent der deutschen Beschäftigten, Fehlverhalten nicht anonym zu melden – ein überraschend hoher Anteil im Vergleich zu anderen Regionen. In Großbritannien waren 71 Prozent der Meldungen anonym, im Asien-Pazifik-Raum 67 Prozent und in Europa insgesamt 64 Prozent.
Auf den ersten Blick deutet der Verzicht auf Anonymität auf Vertrauen in interne Meldesysteme hin. Gleichzeitig brauchten deutsche Unternehmen im Durchschnitt 72 Tage, um einen gemeldeten Fall zu bearbeiten – deutlich länger als der europäische Durchschnitt von 58 Tagen.
Diese Zahlen zeigen ein zentrales Problem: Während Mitarbeitende dem System offenbar vertrauen, fehlt es diesem an Effizienz bei der Untersuchung von Hinweisen. Lange Bearbeitungszeiten können Stress und Unsicherheit bei Hinweisgebern verstärken und potenzielle Meldungen in Zukunft verhindern.
Trotz einiger prominenter Whistleblowing-Fälle in Deutschland – etwa bei Boeing, durch Martin Porwoll oder den Brandbrief des KSK-Kapitäns zu rechtsextremen Tendenzen – liegt die Zahl der Meldungen laut NAVEX-Daten im Jahr 2023 weiterhin unter dem EU-Durchschnitt.
ingrid Wiedemann, Patrick Pobuda
Das Buch zeigt, wie Wissenschaftler sowie Unternehmen und Organisationen im Forschungssektor erfolgreiche Compliance-Programme umsetzen können. Ziel ist es, den scheinbaren Widerspruch zwischen wissenschaftlicher Freiheit und regulatorischen sowie kommerziellen Anforderungen zu überwinden. So soll der Forschungsstandort trotz wachsender Compliance-Vorgaben gestärkt werden.
Als praxisnaher Ratgeber führt das Buch durch alle Schritte eines Compliance-Managements – von der ersten Risikoanalyse über präventive Maßnahmen und Kontrollverfahren bis hin zur Etablierung eines wirksamen Systems. Die vorgestellten Tools und Methoden helfen im Alltag, unabhängig davon, ob man neu in diesem Bereich ist oder bereits Erfahrung hat. Ein Interview mit den beiden Autoren zum Thema erschien in Ausgabe 39 des Magazins Compliance Manager.
ISBN: 978-3-658-45727-3
194 Seiten, 45 Euro, Springer Gabler Wiesbaden
Der Data Act (DA) und der Data Governance Act (DGA) sind zentrale Säulen des europäischen Datenrechts. Sie regeln die Erzeugung, Nutzung und Übertragung von Daten. Der DA legt den Fokus auf Datenverträge und einen fairen Zugang zu Daten – für Unternehmen, die öffentliche Verwaltung und Verbraucherinnen und Verbraucher. Der DGA ergänzt die bestehende Rechtslandschaft, insbesondere im Datenschutz- und Open-Data-Bereich. Er soll eine sichere und vertrauenswürdige gemeinsame Datennutzung ermöglichen.
Die aktuelle Ausgabe von Specht und Hennemann bietet eine wissenschaftlich fundierte und praxisnahe Kommentierung beider Gesetzestexte. Sie vereint die Analyse von DA und DGA in einem Band und erläutert die rechtlichen Rahmenbedingungen umfassend. Die Autorinnen und Autoren zeigen, wie sich die beiden Regelungen überschneiden, interagieren und voneinander abgrenzen – und erleichtern so das Verständnis der europäischen Datenregulierung.
ISBN: 978-3-756-01516-0
1.500 Seiten, 179 Euro, Nomos
Das Buch KI in Legal Tech: Wie generative KI die Rechtstechnologie und die Rechtspraxis verändert untersucht die Chancen und Risiken von KI im Rechtssektor. Die Legal-Tech-Pionierin und eDiscovery-Expertin Catherine Casey – bekannt als TechnoCat – analysiert, wie generative KI die Rechtspraxis, ethische Fragen und juristische Karrieren beeinflusst. Sie bietet Orientierung in einer sich rasant entwickelnden technologischen Landschaft. Das Werk richtet sich an juristische Fachkräfte und Studierende ohne technischen Hintergrund, die die Schnittstelle von Recht und Technologie besser verstehen wollen. Es zeigt, wie KI neue juristische Karrierewege eröffnet und gibt praktische Tipps für den eigenen Werdegang. Zudem enthält es ein „Legal Tech Survival Kit“ mit einem Glossar zu Legal AI und wichtigen Tools für technikaffine Anwälte. Ergänzt wird dies durch Einblicke von Experten, die an der Entwicklung rechtlicher KI-Technologien arbeiten. Das Buch wird in englischer Sprache erhältlich sein.
ISBN: 978-1-394-30472-1
224 Seiten, 60 Euro, Wiley
GroSSer ZuSpruch für den BcM fachkundenachweiS nach §15 aBS. 2 hinSchG
Am 27. Februar veranstalteten wir gemeinsam mit unserem Förderpartner AGS Legal unser erstes hybrides Event zum Fachkundenachweis nach §15 Abs. 2 HinSchG. Vor Ort in Frankfurt am Main und online fand ein intensiver Austausch statt. Neben fundierter Wissensvermittlung gab es eine lebhafte Diskussion mit starker Beteiligung.
Die Agenda umfasste zentrale Themen: die Aufgaben der internen Meldestelle, den Umgang mit Meldungen und Folgemaßnahmen. Besonders wertvoll waren die praxisnahen Einblicke aus Unternehmen. Zahlreiche Fragen und Erfahrungsberichte zeigten, wie relevant das Thema für die Teilnehmenden ist.
„Eine sehr lebendige Veranstaltung: Das rege Interesse zeigt, dass das Format einen Nerv getroffen hat! Die unterschiedlichen Erfahrungsberichte der Teilnehmenden waren für Zuhörer und Vortragende ein echter Mehrwert“, resümiert Jutta Bader, Senior Associate bei AGS Legal.
Die nächste Veranstaltung findet am 23. Oktober statt und ist bereits stark gebucht. Wer in diesem Jahr noch eine Bestätigung der Fachkunde nach §15 Abs. 2 HinSchG erwerben möchte, sollte sich schnell anmelden.
die erSte VeranStaltunG der BcM fachGruppe eSG
Das erste Treffen der neuen BCM-Fachgruppe ESG Compliance war ein voller Erfolg. Fachgruppenleiterin Alexandra von Stein-Lausnitz und ihre Stellvertreterin Britta Dietrich-Lorenz gewannen für die Auftaktveranstaltung Heike Adam – eine Expertin für ESG, Finanzen und Inflation. In ihrem Vortrag gab sie den Teilnehmenden einen fundierten Überblick über das Themenfeld. Carl Hans Ulrich Helzer, Managing Partner bei zNT – Zentrum Nachhaltige Transformation, moderierte die Veranstaltung. Insgesamt verfolgten 91 Interessierte den virtuellen Vortrag.
„Das erste Fachgruppentreffen hat uns einen hervorragenden Überblick über ESG und seine Grundlagen geboten, auf dem wir jetzt die weiteren Themen gut aufbauen können“, sagt Alexandra von Stein-Lausnitz. „In den nächsten Sitzungen wollen wir tiefer einsteigen und auch mehr Raum für einen lebhaften Austausch lassen. Wir freuen uns darauf, gemeinsam und voneinander zu lernen!“
Das Leitungsteam hat bereits zwei weitere Veranstaltungen geplant. Im Fokus stehen die EU-Entwaldungsverordnung (EUDR) und die Green Claims Directive.
Der erfolgreiche Auftakt und die gewählten Themen zeigen: ESG Compliance bleibt eine zentrale Herausforderung. Der BCM bietet nun eine Anlaufstelle, die Verbandsmitglieder mit hoher Expertise auf diesem Weg begleitet.
waS der eu ai act jetZt VerlanGt
Der EU AI Act (Artikel 4) verpflichtet Unternehmen, sicherzustellen, dass alle Mitarbeitenden mit den nötigen Kompetenzen im Umgang mit KI-Systemen ausgestattet sind. Die Regelung gilt unabhängig von der Risikoklassifizierung der KI und betrifft sowohl Anbieter als auch Anwender. Die Frist lief am 2. Februar ab. Unternehmen sollten jetzt handeln: Schulungsprogramme entwickeln, Trainings anbieten und regelmäßige Auffrischungskurse einplanen. Wer die Vorgaben nicht erfüllt, muss mit regulatorischen Konsequenzen rechnen.
neues Veranstaltungsformat ein voller terminkalender ist etwas Gutes!
Seit 2024 hat die Stadt Berlin einen neuen Stadtsprecher: Patrick Wegener, Compliance-Konzernleitung und Richtlinien bei der Deutschen Bahn AG. Als Gründungsmitglied ist er mit dem BCM bestens vertraut. Nun lädt er regelmäßig zu Mittags- und Feierabendrunden ein, um den direkten Austausch mit Kolleginnen und Kollegen in Berlin zu fördern.
die nächSten terMine: MontaG, 05.05.2025, 18-19 uhr freitaG, 27.06.2025, 12-13 uhr
Auch im Frühling ist unser Kalender prall gefüllt und bietet für jedes noch so spezielle Compliance-Interesse eine Gelegenheit zum Austausch und informativen Input. Scannen sie einfach den QR-Code und melden Sie sich an!
Unklare Stellenbeschreibungen und Arbeitsverträge bergen Risiken – sowohl für Unternehmen als auch für Compliance-Beauftragte. Fehlende oder unpräzise Definitionen von Aufgaben und Verantwortlichkeiten können nicht nur zu Unsicherheiten im Arbeitsalltag führen, sondern auch Haftungsrisiken erhöhen.
Mit unseren Empfehlungen zur Erstellung einer Stellenbeschreibung für den Compliance-Beauftragten bieten wir eine praxisnahe Orientierungshilfe für Unternehmen aller Branchen und Größen. Diese Handreichung definiert die wesentlichen Punkte, die in einem Arbeitsvertrag festgehalten und in einer Stellenbeschreibung klar benannt werden sollten – für mehr Rechtssicherheit und eine reduzierte Haftungsrisiken.
„Unsere Empfehlung ist bewusst keine Standardlösung, da jede Compliance-Funktion einzigartig ist. Unternehmen benötigen maßgeschneiderte Regelungen, die auf ihre spezifischen Anforderungen abgestimmt sind. Mit unserem Leitfaden helfen wir Verantwortlichen, eine solide Grundlage für eine klare und widerspruchsfreie Definition des Compliance-Bereichs zu schaffen.“
Unsere Mitglieder finden die Empfehlung hier im Self-Service-Portal:
