KI ist gekommen, um zu bleiben. Auch in der Compliance. „Wir haben uns gerade erst auf die Reise gemacht“, sagt André Krause. Er ist Leiter Kapitalmarkt-Compliance bei der Fondsgesellschaft Union Investment. Noch seien die Anwendungen in der Compliance überschaubar. „Wir setzen KI bei der Rechnungsprüfung ein, um Auffälligkeiten zu erkennen“, sagt Krause. „Da kann man sich aber auch trefflich streiten, ob das nun schon künstliche Intelligenz ist, oder einfach nur ein Algorithmus.“ Die Compliance nutzt auch Chatbots, um Berichte oder Präsentationen erstellen zu lassen. Das seien erste Anwendungen, um Vertrauen in die Technologie aufzubauen. „Ich glaube, dass es in wenigen Jahren kaum mehr eine Compliance-Abteilung geben wird, die nicht mit KI arbeitet“, so Krause. Der besondere Reiz von künstlicher Intelligenz liegt darin, große Datenbestände analysieren zu können. Dies macht sie zu einem attraktiven Tool für die Compliance. Denn die KI kann mögliche Verstöße erkennen, um präventive Maßnahmen ergreifen zu können – eine Technik, die auch Predictive Analytics genannt wird. Die Modelle können Unregelmäßigkeiten aufdecken, etwa bei Abweichungen in Finanztransaktionen oder internen Abläufen. Getrieben wird die Entwicklung unter anderem durch die USA. „Die US-Aufsichtsbehörden erwarten zunehmend, dass Unternehmen Datenanalysen in ihren Compliance-Programmen einsetzen“, sagt Jenna Voss, Partnerin bei der Forensic Risk Alliance (FRA). „Das spiegelt die Erkenntnis wider, dass Analysen den Unternehmen dabei helfen können, die Bereiche mit dem höchsten Risiko zu identifizieren und zu verwalten.“ Das Ziel seien bessere Compliance-Entscheidungen in Bezug auf Strategie, Priorisierung und Ressourceneinsatz. Auch André Krause sieht besonderes Potenzial darin, große Datenmengen analysieren zu können. Derzeit könne ein Compliance-Officer nur einzelne Stichproben nehmen. Mit der KI wäre in bestimmten Bereichen eine Vollkontrolle möglich. Bereiche, bei denen diese Technik eine Rolle spielen könnte, seien vor allem die Identifikation von Marktmanipulationen und Insidergeschäften. „Noch haben wir da sehr viele falsch-positive Fälle“, sagt André Krause. Alerts, an denen sehr häufig nichts dran ist. „Das könnte mit KI deutlich besser werden, da sie möglicherweise differenzierter in der Einschätzung ist als bisherige Algorithmen.“ André Krause stellt klar, dass auch in Zukunft alles, was die KI tut, noch einmal von einem Menschen überprüft werden muss. „In unserem Unternehmen gilt die Regel, dass die finale Entscheidung immer noch der Mensch trifft.“ Dominik Hellweg, Head of Compliance bei Heidelberger Druckmaschinen, glaubt, dass mit KI eine Chance bestehe, die Arbeit in der Compliance schneller und besser zu erledigen. Derzeit werde im Unternehmen über verschiedenen Anwendungsfälle nachgedacht. KI sei, wenn sie richtig trainiert sei, nicht voreingenommen. „Das kann zum Beispiel bei internen Ermittlungen eine Rolle spielen“, sagt Hellweg. „Bei Menschen schwingen immer auch Vorerfahrungen mit einer Person mit. Vielleicht gibt es Gerüchte, Anschuldigungen. Auch wenn nichts nachgewiesen wurde, kann immer etwas hängen bleiben.“ Die KI sei davon frei. Sie mache auch keine hierarchischen Unterschiede und agiere etwa gegenüber Führungskräften nicht gehemmt. „Eventuell gibt es dann auch fairere Ergebnisse, neutralere Bewertungen. KI könnte auch dabei helfen, einheitlicher zu sanktionieren indem geplante Sanktionsmaßnahmen mit dem Vorgehen in früheren Fällen verglichen werden“, sagt Hellweg.

„Die US-Aufsichtsbehörden erwarten zunehmend, dass Unternehmen Datenanalysen in ihren Compliance-Programmen einsetzen.“
Jenna Voss,
Partnerin,
Forensic Risk Alliance (FRA)
Red Flags aufzeigen
Gleichzeitig seien Prüfungen und Überwachungen durch KI hoch kritisch. Datenschutz und Informationssicherheit müssten immer im Blick behalten werden. Eine KI, die auch Gespräche oder E-Mails von Mitarbeitern analysiert, um dann „Red Flags“ aufzuzeigen, würde in Deutschland mit vielen Gesetzen in Konflikt stehen. „Es ist ja auch nicht so, dass die KI fehlerfrei arbeitet“, stellt Hellweg fest. „Passiert ein Fehler, kann man nur sehr schlecht die Ursachen dafür herausfinden, weil man nicht sicher weiß, wie die KI zu ihren Ergebnissen kommt. Mangelnde Datenqualität, also die Verwendung fehlerhafter, unvollständiger oder verzerrter Datensätze führt regelmäßig zu unzuverlässigen Ergebnissen, sodass man sich eine gewisse Skepsis bezüglich der Resultate bewahren sollte.“ Das Compliance-Team setzt KI derzeit zum Beispiel bei der Due Diligence Prüfung ein, um die Anzahl der relevanten Treffer zu steigern und den Aufwand für die Bearbeitung von false positives zu reduzieren. Eine große Hilfe seien aber auch Chatbots, meint Hellweg. Bei diesen Chatbots könnten Unternehmensrichtlinien hinterlegt werden. Mitarbeiter könnten dann rund um die Uhr Fragen stellen und der Chatbot antworte auf Basis der hinterlegten Dokumente – und das gleich auf mehreren Sprachen. Darüber hinaus arbeitet das Team mit der KI Microsoft Copilot, mit der Texte, Bilder und Präsentationen entwickelt werden können. Rechtlich gibt es beim Einsatz der Technik verschiedene Herausforderungen. Wer haftet, wenn die KI falsche Antworten gibt? Wie ist es mit dem Urheberrecht? Und wie sichert man sich bei Datenschutz und Informationssicherheit ab? Für letzteres testet Heidelberger Druckmaschinen derzeit ein eigenes Modell auf Basis von ChatGPT, das ein Team des Unternehmens entwickelt hat. Ziel ist es, die Daten möglichst lokal zu verarbeiten und zu verhindern, dass sensible Informationen das Unternehmen verlassen und zum Beispiel zu Trainingszwecken von den Anbietern einer KI genutzt werden.

„Mangelnde Datenqualität, also die Verwendung fehlerhafter, unvollständiger oder verzerrter Datensätze führt regelmäßig zu unzuverlässigen Ergebnissen, sodass man sich eine gewisse Skepsis bezüglich der Resultate bewahren sollte.“
Dominik Hellweg
Head of Compliance,
Heidelberger Druckmaschinen
Mitarbeiter brauchen technische Kenntnisse
Rechtsanwältin Dr. Kerstin Wilhelm, Partnerin bei der Kanzlei Linklaters, nimmt einen immer größeren Druck in der Compliance wahr. „Wenn man mit Inhouse-Juristen zu tun hat, dann klagen diese sehr häufig über eine immer stärkere Regulierung“, stellt Wilhelm fest. Wie soll man den zunehmenden Anforderungen gerecht werden – und das bei einer Personaldecke, die immer dünner wird? „Natürlich versucht man teure Compliance-Fälle zu vermeiden. Aus diesem Grunde erhalten digitale Lösungen und jetzt auch KI eine immer größere Aufmerksamkeit.“ Vor allem Automatisierung und die Effizienzsteigerung seien wichtige Aspekte. Und auch das Thema Predictive Analytics nehme an Bedeutung zu. „Hier sehen wir einen Schub vor allem auf internationaler Ebene“, sagt Wilhelm. Wichtige relevante Anwendungsfälle seien in der Finanzindustrie die Identifikation von Geldwäsche und Insiderhandel oder im Bereich Healthcare die Aufdeckung möglichen Betrugs bei Abrechnungen von medizinischen Leistungen. In all diesen Bereichen gehe es darum, bestimmte Muster und Abweichungen von diesen Mustern zu erkennen – dies kann dann präventiv zur Vermeidung von Compliancevorfällen genutzt werden, gegebenenfalls aber auch repressiv, wenn ein konkretes Fehlverhalten nachweisbar ist. Kerstin Wilhelm schränkt allerdings ein, dass es keineswegs so sei, dass man Risiken jetzt per Knopfdruck erkennen könne. „Das hängt nicht nur von den Tools ab, sondern auch von den Mitarbeitern, die über die technischen Kenntnisse verfügen müssen.“ Es sei in der Regel auch nicht so, dass es überall immer eine Person gebe, bei der alle wichtigen Daten automatisch zusammenflössen. „Wenn man von Predictive Analytics unterstützte Prozesse schaffen will, ist das ein richtiges Projekt, bei dem man vorab genau klären muss, was man eigentlich erreichen will, welche Daten man braucht, wer die Planung übernimmt.“ Und auch der rechtliche Rahmen müsse bedacht werden, etwa wenn es um den Datenschutz geht. Außerdem könne es sein, dass auch der Betriebsrat eingebunden werden muss, wenn ein solches Tool eingesetzt werde. „Die Finanzbehörden arbeiten schon lange mit Software, die Buchungen auf Unregelmäßigkeiten hin überprüft“, sagt Prof. Dr. Stefan Behringer, Professor an der Hochschule Luzern und Autor des Fachbuches „Compliance kompakt“. Seit über 100 Jahren ist das Benfordsche Gesetz bekannt, nach dem Zahlen in umfangreichen Statistiken viel häufiger mit einer 1 beginnen, als mit anderen Zahlen. Die vorhandenen Buchungen können mit dem Benfordschen Gesetz abgeglichen werden, wodurch Abweichungen auffallen. „Das wird schon sehr lange so gemacht“, sagt Behringer. „Es gab ja auch schon immer Red Flags – wenn Buchungen mitten in der Nacht erfolgen, oder an Tagen, an denen sonst keine Mitarbeiter im Unternehmen sind.“ Mit digitalen Tools würden solche Auffälligkeiten schneller erkannt. „Wirklich neu ist das aber nicht.“ Auch vorausschauend sei daran nichts, vielmehr werde die Vergangenheit analysiert. „Wenn man darauf stößt, dass sich ein Muster verändert hat, heißt das noch nicht viel“, sagt Behringer. Das seien dann Verdachtsmomente, bewiesen sei gar nichts. „Die Anwendung zeigt dem Compliance-Manager lediglich, dass er sich die Sache mal genauer anschauen sollte.“ Es könne sehr viele Gründe dafür geben, dass sich Muster veränderten. Änderung von Prozessen oder von Buchungen, was aber genauso vom Management gewollt sein könnte. Das weiß die KI aber nicht. „Wir lassen uns zu sehr vom Begriff künstliche Intelligenz beeinflussen – schließlich steckt da schon das Wort „intelligent“ mit drin.“
Diskriminierung ausschließen
Manche Unternehmen aus den USA bieten inzwischen auch eine KI-Überwachung der Mitarbeiterkommunikation an. Die Software soll schon frühzeitig auf Risiken und Compliance Verstöße hinweisen. Solche Anwendungen sieht Behringer kritisch. „Wir wissen, dass bei bestimmten Systemen zum Beispiel Menschen mit schwarzer Hautfarbe diskriminiert werden.“ Manche Modelle versuchten auch, Stimmungen und Emotionen bei Menschen zu erkennen und einzuordnen. „Da ist man irgendwann schnell bei Social Credit Systemen, wie sie in China eingesetzt werden.“ Wenn es hingegen darum gehe, mit KI Geschäftsbeziehungen sichtbar zu machen oder festzustellen, ob eine bestimmte Person besondere politische Ämter innehat und damit womöglich Interessenkonflikte bestehen, sei das unter bestimmten Bedingungen nachvollziehbar und sinnvoll. Klar ist, dass alles von der Datenverfügbarkeit und -qualität abhängt. Und da sieht Jenna Voss von der FRA erhebliche Herausforderungen: „Unternehmen, die weltweit tätig sind, verfügen oft über Daten, die sich auf verschiedenen Plattformen befinden, und die Identifizierung und Zusammenführung dieser Daten kann sehr zeitaufwändig sein.“ Typische Fehler seien, dass es keine Mechanismen zur Überprüfung der Vollständigkeit der Daten gebe, Schlüsselfelder fehlten oder falsch zugeordnet seien, die Daten Fehler enthielten oder doppelte Datensätze existierten. Die Ableitung falscher Erkenntnisse aus minderwertigen Daten könne Misstrauen zwischen der Compliance-Abteilung und anderen Abteilungen innerhalb eines Unternehmens schaffen. Für Unternehmen sei es deshalb wichtig, Kontrollen und Verfahren einzuführen, um die Qualität ihrer Daten zu überprüfen.
■ Henning Zander