Herausforderungen durch KI

„KI führt zur steigenden Bedeutung von eigenem Wissen, Reputation und gesundem Menschenverstand.“

Zu den Megatrends Digitalisierung und KI wurde an vielen anderen Stellen schon viel geschrieben. Es soll hier nicht wiederholt werden.

Künftig werden sich für den Bereich Compliance einige Besonderheiten für den Umgang mit KI ergeben: Neben dem positiven Aspekt, der Nutzung von KI-Tools zur Durchführung compliancerelevanter Maßnahmen wie Datenauswertung, Geschäftspartnerprüfung usw., stehen Compliance-Beauftragte oder auch beratende Rechtsanwälte vor vielfältigen Herausforderungen. Dies fängt beim Umgang mit KI an. Die Praxis zeigt, dass den wenigsten Mitarbeitern bekannt und verständlich ist, dass Daten jedes Tools, wie ChatGPT oder Deepl, nicht uneingeschränkt oder anonymisiert eingegeben werden dürfen, da sie ansonsten ausgewertet und weiterverarbeitet werden können. Die Unbedarftheit, mit der vertrauliche Daten Unternehmen zur Verfügung gestellt werden, die bekanntermaßen darauf ausgerichtet sind, so viele Daten wie möglich zu erfassen und auszuwerten, ist frappierend. Erste Aufgabe besteht somit darin, Mitarbeiter im Hinblick auf die vertrauliche Verwendung von unternehmenseigenen Daten und der Arbeit mit KI-Tools zu schulen.

Ferner wird die regelkonforme Verwendung von KI und die Entwicklung digitaler Ethik im Fokus stehen. KI-Tools und Big-Data-Analysen sind notwendig, um strategische Entscheidungen zu treffen und rechtliche Aspekte auf einem internationalen Spielfeld bewerten und einhalten zu können. Dabei müssen Fehlinformationen, die von der KI selbst generiert werden, im Vorfeld erkannt und berücksichtigt werden (können!). Dies kostet nicht nur Ressourcen, sondern stellt ein derzeit noch unbekanntes Risiko dar. Entscheidende Frage dürfte insoweit sein, ob die Business Judgement Rule auch KI-Daten umfasst.

Neben dem Risiko interner Fehlinformationen müssen Maßnahmen zur Prävention von Deepfakes getroffen werden. Absichtliche Deepfakes oder KI-Lügen und Halluzinationen erschüttern die Glaubwürdigkeit jeglicher Informationen. Das bislang selbstverständliche Vertrauen in Bilder, Wort und Schrift wird angegriffen, die Verlässlichkeit von Kommunikation ist in Gefahr. Neben den bereits bekannten und offensichtlich kriminellen Methoden und Techniken besteht auch bei Auseinandersetzungen von Unternehmen vor Gericht die Gefahr, dass KI generierte Daten oder Dokumente eingebracht werden, wobei deren Herkunft auch für den Sachverständigen nur noch sehr schwer erkennbar ist.

Eine zentrale Aufgabe von Compliance wird es künftig sein, dies zu verhindern, oder KI-Fraud aufzudecken. An Bedeutung zunehmen wird dabei die Analyse und insbesondere Plausibilitätsprüfung von Informationen, Informationsquellen und den beteiligten Personen. So führt die rasante Zunahme von künstlicher Intelligenz zu einer ebenso steigenden Bedeutung von eigenem Wissen, persönlichem Vertrauen und Reputation von Geschäftspartnern. Die immer perfekter werdenden Täuschungen und Parallelwelten von Deepfakes und KI-generierten Bildern und Geschichten können nur anhand menschlicher Expertise, gesundem Menschenverstand und nicht zuletzt auch dem guten alten Bauchgefühl überprüft werden.

Gewiss, am Anfang steht die Frage, ob und wenn ja inwieweit Geschäftsführungen für nicht erkannte Deepfakes und KI-Halluzinationen haften. Haftungsmaßstab dürfte hier die Frage sein, inwieweit die Basis der unternehmerischen Entscheidung überhaupt von KI abhängig gemacht wird werden darf.

Ein weiterer Fokus für Compliance-Verantwortliche werden Regelverstöße durch KI sein. Die Bandbreite ist insoweit noch nicht absehbar. Zum einen wird es um Urheberrechte und Urheberrechtsverletzungen durch KI gehen aber auch um die Nutzung von Unternehmens- oder Mitarbeiterdaten durch KI und vor allem die Zurechnung von Fälschungen und missbräuchlichen Einsatz von KI.

Auch hier steht die EU schon mit zahllosen Gesetzen bereit: EU-Datenverordnung, EU-Verordnungen über digitale Dienste und digitale Märkte, EU-Verordnung über künstliche Intelligenz (KI-Gesetz), EU-Verordnung über Cyberresilienz, NIS-2 Richtlinie. Diese Regelungen kollidieren mit dem US-amerikanischen Recht, ob und inwieweit weiter regulierend eingegriffen wird, bleibt abzusehen. In kürzester Zeit wird sich gewiss ein neuer Bereich der KI-Compliance entwickeln.