Autor: Steve Murphy, VP EMEA bei Tanium
Compliance-Risiken in einer KI-zentrierten Welt: So stehen Sie auf der richtigen Seite der Zukunft
Wenn die digitale Transformation für die deutsche Wirtschaft die Fahrtrichtung ist, dann ist die KI immer häufiger das Transportmittel der Wahl. Vor einigen Jahren hatte PwC prognostiziert, dass künstliche Intelligenz der deutschen Wirtschaft bis 2030 430 Milliarden Euro einbringen und damit das BIP um sage und schreibe 11 Prozent wachsen lassen würde. Angesichts des explosionsartig zunehmenden Interesses an KI in der jüngsten Zeit, vorangetrieben durch generative KI-Tools wie ChatGPT, könnte diese Prognose vielleicht sogar noch etwas zu vorsichtig gewesen sein.
Wie bei jeder Technologie, die sich auf breiter Front durchsetzt, gibt es jedoch ein Problem, das ungern thematisiert wird – die Compliance. Die Frage lautet: Wie können Unternehmen die Potenziale der KI und anderer neuer Technologien ausschöpfen, um Wettbewerbsvorteile zu erzielen, dabei aber ihre Reputations- und finanziellen Risiken in Grenzen halten?
KI verändert die Welt
Die KI verändert bereits die Art und Weise, wie deutsche Unternehmen und ihre Mitbewerber in aller Welt arbeiten. Intelligente Algorithmen, die auf große Datenmengen angewandt werden, lassen sich in den verschiedensten Bereichen einsetzen, von der Erkennung neuer Markttrends über die Betrugsabwehr bis hin zur Optimierung von Geschäftsprozessen. KI kann wiederkehrende Tätigkeiten automatisieren, sodass sich kompetente Mitarbeiter anspruchsvolleren Aufgaben widmen können. Dank maschineller Sprachverarbeitung (NLP) kann die KI die Mitarbeiter auch beim Kundenkontakt stärker entlasten, etwa durch Chatbots auf einer Website. Und jetzt öffnen auf großen Sprachmodellen (LLMs) basierende Lösungen wie ChatGPT die Tür noch weiter und erleichtern die Erstellung von Inhalten, Übersetzungen, Kundendienstvorgänge und sogar das Programmieren.
Nach Einschätzung von McKinsey lassen sich in Deutschland mindestens 30 Prozent der Tätigkeiten in 62 Prozent der Berufe automatisieren, und KI spielt dabei eine zentrale Rolle. Die Produktivität in Deutschland könnte auf diese Weise jährlich um 0,8 bis 1,4 Prozent gesteigert werden, so McKinsey. Im Industriesektor könnten die Auswirkungen, die KI auf kritische Bereiche wie Lieferkettenmanagement, vorausschauende Wartung, Qualitätstests und Forschung und Entwicklung hat, einen tiefgreifenden Wandel herbeiführen.
Die unaufhaltsam fortschreitenden technologischen Innovationen rufen allerdings auch die Regierungen und Aufsichtsbehörden auf den Plan. Regulatorische Auflagen sind unvermeidlich, und wie ein Unternehmen mit dieser Herausforderung umgeht, wird für seinen langfristigen Erfolg entscheidend sein.
Compliance ist eine harte Nuss
In Unternehmen wird Compliance oft zu Unrecht als gewinnmindernde und innovationshemmende Pflichtübung angesehen. In Wahrheit ist die Einhaltung formaler Anforderungen jedoch nicht nur notwendig, um Reputations-, Finanz- und Rechtsrisiken zu minimieren – sie kann sich auch ausgesprochen positiv auf das Vertrauen auswirken, das die Mitarbeiter, Kunden und Partner einem Unternehmen entgegenbringen. Die Einhaltung von Best Practices und Standards kann zudem helfen, Geschäftsprozesse zu optimieren. In einer Zeit, die geprägt ist von weltpolitischer Unsicherheit, raschem Technologiewandel und verschärftem Wettbewerbsdruck, demonstrieren Unternehmen durch Compliance-Maßnahmen ihr Engagement für ethisches Handeln im Rahmen einer regelbasierten Ordnung.
Das heißt nicht, dass Compliance einfach ist. Ähnlich wie Unternehmen in allen Teilen der Welt müssen auch deutsche Firmen, die Compliance sicherstellen wollen, einen Flickenteppich aus Vorschriften einhalten, die von branchenspezifischen Regulierungsbehörden, Bund und Ländern sowie der EU festgelegt werden und eine Vielzahl von Bereichen abdecken – Finanzwesen, Beschäftigung, Betrugsabwehr, Steuern, Datenschutz und mehr. International tätige Unternehmen müssen sich mit noch mehr Komplexitäten und den unterschiedlichsten Institutionen auseinandersetzen. Das erfordert einen kontinuierlichen Prozess aus Risikobewertung, Erstellung von Richtlinien, Schulungen, Verwaltung und Audits.
Und die rasanten technologischen Fortschritte in Bereichen wie der KI haben das Compliance-Management noch einmal erschwert. Die zuständigen Teams müssen sich über die neuesten Innovationen auf dem Laufenden halten und verstehen und bewerten, welche Auswirkungen diese auf die Compliance haben – was schwierig ist, wenn unterschiedliche Anbieter KI auf unterschiedliche Weise implementieren. Im Hinblick auf den Datenschutz beispielsweise schaffen manche Anbieter vielleicht „Walled Gardens“, in denen Kundendaten geschützt sind, während andere alle Daten ihrer Kunden zusammenführen. Komplexe technische Details so zu übersetzen, dass sie für die Compliance-Teams verständlich sind, ist alles andere als leicht.
Irgendwann wird dann eine Entscheidung anstehen. Lohnt es sich, KI-basierte Funktionalitäten zu beschaffen oder selbst zu entwickeln? Oder ist das Compliance-Risiko zu hoch? Zusätzlich erschwert wird diese Entscheidung durch die Tatsache, dass die gesetzlichen Vorschriften den technologischen Innovationen meist um Jahre hinterherhinken. Warten Sie also darauf, bis der Gesetzgeber nachgekommen ist, und verpassen damit eine Wettbewerbschance? Oder bauen Sie Ihr Geschäft um ein neues Servicemodell herum auf, nur um in einigen Jahren feststellen zu müssen, dass es durch neue Vorschriften ausgehebelt wird?
Wachsender Druck
Unternehmen, die sich Gewissheit wünschen, werden wahrscheinlich erleichtert sein, dass der jüngste EU-Vorschlag für einen Rechtsrahmen für künstliche Intelligenz inzwischen auf dem Tisch liegt. Doch die Arbeit fängt damit vielleicht erst an. Der wegweisende Regulierungsvorschlag soll die Bürgerinnen und Bürger vor gesellschaftlichen Risiken durch KI schützen, beispielsweise solchen für die Gesundheit und Sicherheit oder solchen für Grundrechte wie das Recht auf Privatsphäre. Zu diesem Zweck werden vier Risikostufen festgelegt.
Technologien, die als „inakzeptables“ Risiko eingestuft werden – zum Beispiel KI-Systeme, mit deren Hilfe Regierungen Social-Scoring-Systeme aufbauen könnten –, werden verboten. Systeme mit hohem Risiko, so etwa KI zum Einsatz bei Grenzkontrollen, in der Strafverfolgung und im Bildungswesen, müssen strenge Auflagen erfüllen. Dazu zählen Risikominderung, menschliche Aufsicht und hohe Robustheit und Sicherheit. Unternehmen, die KI-Systeme mit „begrenztem Risiko“ wie Chatbots einsetzen, müssen den Nutzern deutlich machen, dass sie mit einer Maschine interagieren. KI mit minimalem Risiko darf frei genutzt werden.
Laut EU geht von den meisten derzeit in der Europäischen Union eingesetzten KI-Systemen nur ein minimales oder gar kein Risiko aus. Unternehmen, die jedoch hochriskante KI-Systeme strategisch entwickeln wollen, müssen eine strenge Konformitätsbewertung durchlaufen, bevor das Produkt in einer EU-Datenbank registriert werden kann. Sobald das Produkt ein CE-Kennzeichen erhalten hat, kann es auf den Markt gebracht werden. Sollten später jedoch wesentliche Änderungen an dem Produkt vorgenommen werden, wird es auf die Stufe der Konformitätsbewertung zurückversetzt.
Wie Sie die Compliance in den Griff bekommen
Das ist natürlich nur eine Facette der KI-Compliance. Die Technologie ist so stark in moderne digitale Systeme eingebettet, dass auch eine Vielzahl anderer Regeln und Vorschriften gelten können. So könnte es beispielsweise gemäß der DSGVO erforderlich sein, für neue KI-Systeme eine Datenschutz-Folgenabschätzung oder Interessenabwägung durchzuführen, da es komplexe rechtliche und technische Auswirkungen hat, wenn Maschinen eingesetzt werden, um automatisierte Entscheidungen zu treffen.
Wie sollten deutsche Unternehmen aber nun an die KI-Compliance herangehen? Ein guter Anfang wäre, ein funktionsübergreifendes Team zu bilden, das sich aus wichtigen Vertretern der Bereiche Recht, Cybersicherheit, Compliance, Produkte, Technik und Entwicklung, Marketing sowie anderer relevanter Unternehmensbereiche zusammensetzt. Eine solche Arbeitsgruppe könnte von einem Chief Compliance oder Risk Officer geleitet werden oder eventuell auch von einem Fachexperten (SME). Auf diese Weise soll sichergestellt werden, dass die Eigner eines neuen Produkts oder Dienstes von vornherein über etwaige Beschränkungen (z. B. geltende Gesetze) oder Risiken (z. B. Datenschutzlecks, Urheberrechtsfragen usw.) Bescheid wissen. Das Ziel ist, einen internen Dialog zu etablieren – insbesondere zwischen den zuständigen technischen Experten und den Compliance-Teams –, damit die Compliance bei der Produktentwicklung von Anfang an berücksichtigt wird.
In vieler Hinsicht sollte ein solcher Ansatz das „Privacy by Design“-Konzept spiegeln, das eine der Säulen der DSGVO ist. Jede neu vorgestellte Idee für ein Produkt oder einen Dienst wird von allen relevanten Interessenvertretern geprüft. Sogar die PR-Abteilung könnte dabei mitwirken und Erkenntnisse dazu vermitteln, wie sich die Markteinführung des Produkts oder Dienstes auf den Ruf des Unternehmens auswirken würde. Man könnte von „Compliance by Design“ sprechen.
Als Nächstes sollten Sie überlegen, wie technologische Mittel dazu beitragen können, die Leitplanken zu errichten, die für den Erfolg eines Projekts erforderlich sind. So kann es im Hinblick auf Cybersicherheit und Datenschutz wichtig sein zu gewährleisten, dass KI-Datensätze nicht über ungepatchte oder falsch konfigurierte Systeme offengelegt werden. Dazu brauchen Sie einen Weg, um kontinuierliche und zentrale Sichtbarkeit und Kontrolle über alle IT-Assets sicherzustellen, und müssen in der Lage sein, etwaige Probleme unverzüglich zu beheben.
Und schließlich sollten Sie auch den externen Kontext im Blick haben. Die einzelnen Aufsichtsbehörden arbeiten auf unterschiedliche Weise – eine weitere Herausforderung im Hinblick auf die Compliance. Jedoch wollen die meisten Behörden wissen, ob die Unternehmen unter ihrer Aufsicht ihr Bestes tun, um ihren Compliance-Verpflichtungen nachzukommen. Wie können Sie das aber belegen? Durch interne Ausbildungs- und Schulungsprogramme, kontinuierliche Überwachung und Audits. Wenn ein Unternehmen diese Maßnahmen gewissenhaft umsetzt, sollte es den gravierendsten Strafmaßnahmen entgehen können. Transparenz und Engagement dieser Art sind von größter Bedeutung: Nach den neuen EU-Vorschriften könnten Geldbußen von bis zu 40 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes des betroffenen Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist.
Und noch eines sollten Sie bedenken: KI ist nicht nur ein Tool, das reguliert werden, und ein Compliance-Risiko, das gesteuert werden muss. Vielmehr können mit Bedacht eingesetzte KI-Systeme die umfassenderen Compliance-Bemühungen sogar unterstützen, indem sie beispielsweise große Datenmengen durchforsten und Muster aufdecken, die auf Verstöße hindeuten. Oder indem sie Aufgaben automatisieren, die anfällig für menschliche Fehler sind, und damit den Compliance-Beauftragten Zeit für höherwertige Aufgaben lassen.
Zuversichtlich in die Zukunft
Auf dem Weg in eine Zukunft, in der KI allgegenwärtig ist, vergisst man leicht, welch große Bedeutung der menschliche Input hat. Es sind Menschen, die die KI-Algorithmen entwickeln und trainieren. Und es sind Menschen, die die KI-Systeme laufend überwachen müssen, um sicherzustellen, dass diese den Vorschriften entsprechen.
In Deutschland gibt es weltweit führende Forschungseinrichtungen wie das DFKI und das Fraunhofer IAIS, die Unternehmen helfen können, künftige Entwicklungen einzuschätzen. Und gleich, welche neuen Regeln und Vorschriften auch anstehen mögen – der Aufbau funktionsübergreifender Feedbackschleifen wird Unternehmen einen soliden strukturellen Rahmen liefern, um sie zu erfüllen. Wir können nicht vorhersehen, was kommen wird. Was wir jedoch tun können, ist, unsere Widerstandsfähigkeit gegen Compliance-Risiken zu verbessern.