Monat: August 2025

Prolog:
«Zum ersten Mal hatte ich das Gefühl, die KI kann etwas, das ich nicht mehr kann. Ich fühlte mich nutzlos.»
Sam Altman (* 22. April 1985 in Chicago, Illinois) im Juni 2025 über sein kommendes ChatGPT 5 – Update. Er ist Mitbegründer und seit 2019 CEO von OpenAI (Entwickler von ChatGPT).

Die Thematik der KI im Umfeld der Compliance ist ein Thema, mit dem wir uns in unserem Blog schon sehr lange beschäftigen. Sehr früh haben wir erkannt, dass die Integration und die Nutzung von KI-Instrumentarien zukunftsweisend für fast alle Unternehmen sein werden. Zum ersten Mal taucht das KI-Thema in dem Beitrag „Compliance und Maschinenwesen (RPA)“ von uns aus dem Oktober 2018 auf, also lange bevor die Künstliche Intelligenz eines der Hauptthemen der heutigen Arbeits- und Geschäftswelt geworden ist.

Heute wollen wir uns mit den aktuellen Anforderungen der KI im Hinblick auf die Compliance beschäftigen, alle KI & Compliance-Beiträge der letzten acht Jahre von uns sind am Ende des Blogbeitrages aufgeführt. Es lohnt sich, auch in die älteren Beiträge hineinzulesen, da alle Thematiken bis heute mehr als aktuell sind.

Compliance und KI: Möglichkeiten und Risiken

Die Verwendung von Künstlicher Intelligenz (KI) bietet Unternehmen viele Möglichkeiten, bringt jedoch auch bedeutende rechtliche, ethische und kommerzielle Risiken mit sich. Eine zuverlässige KI-Compliance-Struktur gewährleistet, dass die Anwendung von KI in Unternehmen nicht nur innovativ, sondern auch gesetzeskonform ist.

Das Ziel besteht darin, die wirtschaftlichen und strategischen Ziele des Unternehmens mit der rechtlichen Einhaltung im Rahmen einer übergeordneten KI-Governance in Einklang zu bringen. Auf diese Art und Weise kann gewährleistet werden, dass genügend Spielraum für Innovation und Entwicklung vorhanden ist.

Die KI-Verordnung

Die Kenntnis der für das einzelne Unternehmen relevanten rechtlichen und regulatorischen Rahmenbedingungen ist für den Aufbau einer KI-Compliance-Struktur von entscheidender Bedeutung. In Deutschland und der Europäischen Union gilt hier die KI-Verordnung.

Die KI-Verordnung wurde am 8. August 2024 wirksam. Je nach den spezifischen Verwendungszwecken eines KI-Systems enthält die Verordnung viele Verpflichtungen für Unternehmen und Lieferanten aus fast allen Branchen. Um sicherzustellen, dass die Anforderungen der KI-Verordnung (z. B. Dokumentation, menschliche Aufsicht) erfüllt werden, sind entsprechende Compliance-Strukturen erforderlich, die auch Rollen und Verantwortlichkeiten beinhalten.

Grafik: (c) 2025 WIRTSCHAFTScampus

Es ist besonders wichtig, die folgenden Aspekte zu beachten:

• Datenschutz: KI benötigt Daten, sowohl im Trainingsbereich als auch beim möglichen Finetuning und während des Systemeinsatzes. Bei personenbezogenen Daten ist die Verarbeitung gemäß den datenschutzrechtlichen Vorgaben, insbesondere der DSGVO, durchzuführen. Dabei müssen unter anderem vorhandene Einwilligungen sowie Datenschutzinformationen kontrolliert werden (KI und Datenschutz).
• Data Act: Der Data Act spielt ebenfalls im Zusammenhang mit der Nutzung von KI eine Rolle. Die ab September 2025 teilweise anwendbare Verordnung verlangt für die Erhebung nicht-personenbezogener Daten im Zusammenhang mit IoT (Internet of Things – Smartwatches / Datenbrillen etc.) -Produkten, zugehörigen Services und virtuellen Assistenzen eine vertragliche Grundlage. Wenn solche Daten im KI-Kontext verwendet werden, müssen die entsprechenden Lizenzrechte vorhanden sein.
• Kartellrecht: Beim Einsatz von KI übersehen viele möglicherweise die sich daraus ergebenden kartellrechtlichen Aspekte. Es muss sichergestellt werden, dass das Datenaggregieren nicht zu einem Widerspruch gegen das Verbot des Austausches wettbewerblich sensibler Daten führt. Darüber hinaus sollte berücksichtigt werden, dass KI-Systeme eigenständige Absprachen treffen können, die gegen das Wettbewerbsrecht verstoßen.
• Immaterialgüterrecht (insb. Urheberrecht): Das Immaterialgüterrecht hat im Kontext von KI-Systemen eine herausragende Bedeutung. Dies betrifft zunächst die Frage, welche Inhalte für das Training eines Systems zulässig sind. Zusätzlich gibt es, vor allem bei der Entwicklung von KI-Lösungen, Fragen darüber, wem die durch KI generierten Inhalte zustehen. Der Grund dafür ist, dass rein maschinengenerierte Werke nach dem deutschen Urheberrecht nicht geschützt sind.
• Schutz von Geschäftsgeheimnissen: Sofern während des Trainings oder beim Einsatz der KI möglicherweise Geschäftsgeheimnisse des Unternehmens verwendet werden, muss gewährleistet sein, dass diese weiterhin durch das Geschäftsgeheimnisgesetz geschützt sind und nicht verloren gehen.
• Branchenspezifische Anforderungen: Abgesehen von den genannten rechtlichen Rahmenbedingungen können auch branchenspezifische Anforderungen bestehen. Dies gilt beispielsweise für Versicherungen und Banken bei der Auslagerung von Aktivitäten und Prozessen (§ 25b KWG).
• Vertragliche Verpflichtungen: Bei der Verwendung von Daten Dritter im Rahmen des Einsatzes von KI ist neben der Einhaltung gesetzlicher Vorgaben auch sicherzustellen, dass die Nutzung nicht gegen vertragliche Verpflichtungen verstößt, insbesondere Vertraulichkeitsvereinbarungen und Löschpflichten.

Best Practices auf dem Weg zur KI-Compliance

Für die Einrichtung einer KI-Compliance-Struktur empfiehlt sich ein Vorgehen, das auf einem interdisziplinären Team basiert und alle relevanten Stakeholder im Unternehmen von Beginn an einbezieht.

In der Regel sind Vertreter aus den Bereichen Recht und Compliance, IT, IT-Sicherheit sowie gegebenenfalls Entwicklungsabteilungen Teil davon. Es ist zudem ratsam, insbesondere im Hinblick auf mögliche Mitteilungen an Mitarbeitende, auch die HR-Abteilung und den Betriebsrat einzubeziehen. Es ist wichtig, auch den (IT-)Einkauf einzubinden, damit die Risiken beim AI Sourcing effizient angegangen werden können, ohne die Rechtsabteilung zusätzlich zu belasten. Des Weiteren muss gewährleistet werden, dass das Management ausreichend eingebunden wird und der Kontakt zu den Fachabteilungen besteht, um die Umsetzung der Compliance-Anforderungen sicherzustellen.

KI und Compliance – Was ist zu tun?

Zu den Maßnahmen, die dazu dienen, einen rechtssicheren Einsatz zu gewährleisten, gehören unter anderem die folgenden Schritte und Maßnahmen im Unternehmen:

• Erstkommunikation: Zu Projektbeginn kann es sinnvoll sein, allen an dem KI-Projekt beteiligten Mitarbeitenden eine schriftliche Information zukommen zu lassen, um zentrale Risiken einzudämmen. Bei einer solchen Kommunikation sollte vor allem auf die gravierendsten Gefahren hingewiesen werden, wie beispielsweise die Verletzung von Rechten Dritter oder die Offenlegung von Geschäftsgeheimnissen.
• Risk Assessment: Eine ausführliche Beschreibung der KI-Anwendungen, die im Unternehmen verwendet werden oder geplant sind, ist die Basis für ein Risk Assessment und den Aufbau einer KI-Compliance-Struktur. Um hier maximal effizient zu arbeiten, sollten die Sachverhaltsinformationen gesammelt werden, die für eine erste Beurteilung der rechtlichen Risiken notwendig sind. Die Umsetzung des Risk Assessment kann sowohl über dokumentgestützte Abfragen als auch über entsprechende Softwareanwendungen erfolgen.
• Bestimmung von Vorgaben für die Nutzung von KI: Um die Mitarbeitenden über die Risiken beim Einsatz von KI aufzuklären und ihnen entsprechende Handlungsanweisungen zu geben, sind zusätzliche KI-Richtlinien sinnvoll. In der Regel ist ein modularer Aufbau sinnvoll, also eine grundlegende Richtlinie, die den Einsatz von KI allgemein festlegt, sowie ergänzende Handlungsleitlinien für spezifische Anwendungsbereiche.
• Weiterbildung: Ein zentraler Aspekt für die KI-Compliance ist die Weiterbildung der Angestellten. Auch in diesem Bereich zeigt sich ein gestufter Ansatz, ähnlich wie bei den Richtlinien, regelmäßig als sinnvoll. Zusätzlich zu einer Grundlagenschulung für alle Mitarbeitenden können spezielle Schulungen für besonders risikoreiche Anwendungsbereiche oder spezifische KI-Systeme angeboten werden.
• Mitbestimmung: Je nach Unternehmen und der Einbeziehung des Betriebsrats kann es sinnvoll sein, eine bestehende Betriebsvereinbarung anzupassen oder zu erweitern, um spezielle Anforderungen in Bezug auf KI einzufügen.

Aufbau der Compliance-Struktur

Im Hinblick auf die Ausgestaltung der Compliance-Struktur bestehen unterschiedliche Ausgestaltungsmöglichkeiten, die im Einzelfall und unter Berücksichtigung der bestehenden Strukturen, des Risikoprofils des Unternehmens sowie der Einsatzbereiche von KI zu bewerten sind. Denkbar ist die Einsetzung eines KI-Gremiums, die Integration neuer KI-Prozesse und Zuständigkeiten in die bestehende Compliance-Abteilung oder die Ernennung eines separaten KI-Beauftragten. Wichtig ist weiterhin die Festlegung von Rollen, Zuständigkeiten und Reporting-Pflichten.

Angesichts der Tatsache, dass KI-Compliance ein Thema an der Schnittstelle von Technik und Recht ist, sollte ausreichend Zeit für die Etablierung einer Compliance-Struktur eingeplant werden. Unternehmen sollten keine Zeit verlieren, da rechtliche Risiken beim Einsatz von KI nicht nur mit der Anwendbarkeit der KI-Verordnung entstehen, sondern bereits aufgrund der geltenden Rechtslage bestehen. Andernfalls besteht die Gefahr, dass es ohne geeignete rechtliche Rahmenbedingungen zu Situationen kommt, in denen der Einsatz von KI nicht möglich ist. Die sich daraus ergebenden wirtschaftlichen Konsequenzen können erheblich sein.

Compliance-Weiterbildung: Jetzt starten!

Der WIRTSCHAFTScampus unterstützt Sie beim Erwerb notwendiger Fachkenntnisse in Compliance mit seinen Weiterbildungsangeboten:

• Certified Compliance Officer
• Certified Chief Compliance Officer

Compliance-Spezialisierungen:

• Certified ESG Compliance Officer
• Certified Export Compliance Officer
• Certified Tax Compliance Officer
• Certified IT Compliance Officer

Blogbeiträge mit der Thematik KI (chronologisch sortiert)

Unsere Blogbeiträge zur Thematik KI und Compliance seit 2018:

Compliance und Maschinenwesen (RPA) (Oktober 2018)

Compliance und Maschinenwesen (RPA)

---

Compliance Officer und KI: Heute – Morgen – Übermorgen (Oktober 2023)

Compliance Officer und KI: Heute – Morgen – Übermorgen

---

Wie ESG-Praktiken durch KI unterstützt werden können! (März 2024)

Wie ESG-Praktiken durch KI unterstützt werden können!

---

KI und Compliance – Künstliche Intelligenz und der Compliance Officer (August 2024)

KI und Compliance – Künstliche Intelligenz und der Compliance Officer

---

KI und Compliance in der Zukunft – Künstliche Intelligenz im Blickwinkel des EU AI Act 2024 (September 2024)

KI und Compliance in der Zukunft – Künstliche Intelligenz im Blickwinkel des EU AI Act 2024