Autor: Stefan Haas

KI und Compliance in der Zukunft – Künstliche Intelligenz im Blickwinkel des EU AI Act 2024

Stefan Haas


Prolog:
„KI könnte die tiefgreifendste Technologie sein, die die Menschheit je entwickelt hat. Tiefgreifender als die Entdeckung des Feuers, der Elektrizität oder irgendetwas, das wir in der Vergangenheit getan haben.”
Sundar Pichai (* 10. Juni 1972 in Madurai, Indien) ist CEO von Google sowie dessen Holding Alphabet Inc.

Die Rolle von KI in der Compliance verstehen
Die Künstliche Intelligenz (KI) hat sich in einer Ära, in der der technologische Fortschritt die Industrien revolutioniert, zu einem wesentlichen Bestandteil der Compliance entwickelt. Die KI ist aufgrund ihrer Fähigkeit, umfangreiche Datenmengen zu analysieren und Muster zu identifizieren, ein unverzichtbares Instrument für Unternehmen, die gesetzliche Regelungen befolgen müssen.

KI in der Einhaltung gesetzlicher Vorschriften
Für jedes Unternehmen ist es äußerst wichtig, dass gesetzliche Vorschriften eingehalten werden und sich auf dem aktuellen Stand befinden. Dies umfasst die strikte Befolgung von Gesetzen, Vorschriften und Spezifikationen, die für geschäftliche Abläufe von Bedeutung sind.

Durch die Automatisierung der Prozesse der Überwachung und Berichterstattung macht KI diese Aufgabe deutlich einfacher. Um neue Anforderungen oder Aktualisierungen zu erkennen und die Einhaltung regulatorischer Anforderungen zu verwalten, kann sie große Mengen regulatorischer Inhalte schnell verarbeiten. KI-Systeme lassen sich so entwickeln, dass sie mit den aktuellen gesetzlichen Veränderungen Schritt halten und Unternehmen dabei unterstützen, die Vorschriften einzuhalten und auf Veränderungen oder Aktualisierungen schnell zu reagieren.

Maschinelles Lernen für Compliance
Maschinelles Lernen, ein Teilbereich der KI, ist dadurch gekennzeichnet, dass es Muster und Anomalien erkennt, die für die Einhaltung von Regeln von entscheidender Bedeutung sind. Um mögliche Compliance-Risiken zu prognostizieren und somit ein proaktives Risikomanagement zu ermöglichen, ist es möglich, zurückliegende und gleichzeitig aktuelle Daten auszuwerten, zu verknüpfen und miteinander in eine Beziehung zu setzen. Auf diese Weise können Algorithmen der KI und des maschinellen Lernens ihre Präzision bei der Identifizierung von Compliance-Problemen stetig erhöhen.

KI-Tools für Compliance-Beauftragte
Compliance-Mitarbeiter können ihre Effizienz durch die Automatisierung von alltäglichen Aufgaben wie der Datenanalyse mithilfe von KI-Tools erhöhen und Zeit für andere Aufgaben im Unternehmen sparen. KI-gesteuerte Analysen ermöglichen Einsichten in Risiken, steigern die Präzision von Berichten und reduzieren die Notwendigkeit von Ressourcen, die so für andere Tätigkeiten im Unternehmen genutzt werden können.

KI und Risikomanagement in der Compliance
KI hat beim Risikomanagement im Umfeld der Compliance eine wesentliche Bedeutung. Sie kann mögliche, potenzielle Compliance-Risiken prognostizieren und Maßnahmen zur Verringerung dieser vorschlagen. KI-Systeme sind in der Lage, Transaktionen in Echtzeit zu überwachen und vor potenziellen Betrugs- oder Compliance-Verstößen zu warnen. Die Echtzeitanalyse unterstützt dabei den Compliance-Beauftragten, Entscheidungen schnell zu treffen, um Compliance-Verstöße zu vermeiden.

Implementierung von KI in Compliance-Prozesse
Die Einbindung von Künstlicher Intelligenz (KI) in Compliance-Prozesse führt zu einer grundlegenden Veränderung der Herangehensweise von Unternehmen an die Einhaltung von Regeln. Die fortgeschrittenen KI-Algorithmen und Datenverarbeitungsfunktionen eröffnen unvorstellbare Chancen, um Compliance-Aufgaben zu optimieren und zu vereinfachen.

KI-Anwendungsfälle bei Compliance-Aktivitäten
Die Anwendungsmöglichkeiten von KI sind vielfältig. Sie kann zur Vorhersage potenzieller Compliance-Risiken verwendet werden, die auf historischen Daten beruhen. KI trägt auch zur Dokumentenanalyse bei, indem sie ausführliche rechtliche und regulatorische Unterlagen rasch durchsucht und auslegt, um sicherzustellen, dass Vorschriften eingehalten werden.
Außerdem ist es möglich, dass KI-gesteuerte Chatbots interaktive und maßgeschneiderte Lernerfahrungen zur Unterstützung von Compliance-Trainings für Mitarbeiter im Unternehmen bereitstellen.

Nutzung von KI zur Einhaltung von AML-Vorschriften
Die Befolgung der Anti-Geldwäsche-Vorschriften (AML) ist für Finanzinstitute, aber auch für andere Unternehmen aus unterschiedlichen Branchen, von großer Bedeutung. KI leistet einen bedeutenden Beitrag zu den Bestrebungen der AML, da sie moderne Instrumente zur Überwachung von Transaktionen, zur Identifizierung verdächtiger Aktivitäten, zur Verringerung von Fehlalarmen und zur Durchführung von Sorgfaltsprüfungen zur Verfügung stellt.
KI-Systeme sind in der Lage, Muster und Trends in Finanztransaktionen zu untersuchen, um mögliche Geldwäscheaktivitäten zu identifizieren. Dadurch können sie dazu beitragen, Finanzkriminalität frühzeitig aufzudecken und zu verhindern.

Wann tritt der EU AI Act in Kraft?
Die EU-Staaten haben den EU AI Act am 13.06.2024 verabschiedet und die Verordnung ist seit dem 01.08.2024 in Kraft. Grundsätzlich findet sie erst nach einer Übergangszeit von 24 Monaten – voraussichtlich August 2026 – Anwendung. Die KI-Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme ausgehend von ihrem Risiko für die Sicherheit, Gesundheit und Grundrechte von Menschen bewertet. Die Verordnung differenziert im Grundsatz zwischen vier Risikostufen, an die unterschiedlich intensive Compliance-Anforderungen gestellt werden.

Die vier Risikostufen des EU AI Act

Grafik: WIRTSCHAFTScampus

Beispiel für Unannehmbares Risiko:
Echtzeit Fernidentifizierung durch KI (weitere Beispiele folgen)
Beispiel für Hohes Risiko:
Prüfung der Kreditwürdigkeit durch KI (weitere Beispiele folgen)
Beispiel für Begrenztes Risiko:
Chatbots, KI-generierte Videos
Beispiel für Minimales Risiko:
Spamfilter, KI in Videospielen

Der nachfolgende Text und die Erklärungen beziehen sich auf die Veröffentlichung „KI-Gesetz: erste Regulierung der künstlichen Intelligenz“ des Europäischen Parlamentes aus 2023/2024. Die ausführliche Quellenangabe folgt am Schluss.

Was das Parlament von der KI-Gesetzgebung erwartet
Das Europäische Parlament will vor allem sicherstellen, dass die in der EU eingesetzten KI-Systeme sicher, transparent, nachvollziehbar, nicht diskriminierend und umweltfreundlich sind. KI-Systeme sollten von Menschen und nicht von der Automatisierung überwacht werden, um schädliche Ergebnisse zu verhindern. Das Parlament möchte außerdem eine technologieneutrale, einheitliche Definition für KI festlegen, die auf zukünftige KI-Systeme angewendet werden könnte.

Gesetz über künstliche Intelligenz: ein risikobasierter Ansatz
Die neuen Vorschriften legen Verpflichtungen für Anbieter und Nutzer fest, die sich nach dem Risiko, das von dem KI-System ausgeht, richten. Obwohl viele KI-Systeme ein minimales Risiko darstellen, müssen sie bewertet werden.

Unannehmbares Risiko
KI-Systeme stellen ein unannehmbares Risiko dar, wenn sie als Bedrohung für Menschen gelten. Diese KI-Systeme werden verboten. Sie umfassen:

  • kognitive Verhaltensmanipulation von Personen oder bestimmten gefährdeten Gruppen, zum Beispiel sprachgesteuertes Spielzeug, das gefährliches Verhalten bei Kindern fördert;
  • Soziales Scoring: Klassifizierung von Menschen auf der Grundlage von Verhalten, sozioökonomischem Status und persönlichen Merkmalen;
  • biometrische Identifizierung und Kategorisierung natürlicher Personen;
  • biometrische Echtzeit-Fernidentifizierungssysteme, zum Beispiel Gesichtserkennung.

Einige Ausnahmen können für Strafverfolgungszwecke zugelassen werden. Biometrische Echtzeit-Fernidentifizierungssysteme werden in einer begrenzten Anzahl schwerwiegender Fälle zulässig sein. Systeme zur nachträglichen biometrischen Fernidentifizierung, bei denen die Identifizierung erst mit erheblicher Verzögerung erfolgt, können zur Verfolgung schwerer Straftaten und nur nach gerichtlicher Genehmigung zulässig sein.

Hochrisiko-KI-Systeme
KI-Systeme, die ein hohes Risiko für die Gesundheit und Sicherheit oder für die Grundrechte natürlicher Personen darstellen, gelten als hochriskant und werden in zwei Hauptkategorien eingeteilt.
1. KI-Systeme, die in Produkten verwendet werden, die unter die Produktsicherheitsvorschriften der EU fallen. Dazu gehören Spielzeug, Luftfahrt, Fahrzeuge, medizinische Geräte und Aufzüge.
2. KI-Systeme, die in spezifische Bereiche fallen, und die in einer EU-Datenbank registriert werden müssen:

  • Verwaltung und Betrieb von kritischen Infrastrukturen;
  • allgemeine und berufliche Bildung;
  • Beschäftigung, Verwaltung der Arbeitnehmer und Zugang zur Selbstständigkeit;
  • Zugang zu und Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen;
  • Strafverfolgung;
  • Verwaltung von Migration, Asyl und Grenzkontrollen;
  • Unterstützung bei der Auslegung und Anwendung von Gesetzen.

Alle KI-Systeme mit hohem Risiko werden vor dem Inverkehrbringen und während ihres gesamten Lebenszyklus bewertet. Die Bürger werden das Recht haben, bei den zuständigen nationalen Behörden Beschwerden über KI-Systeme einzureichen.

Transparenzanforderungen
Generative Foundation-Modelle wie ChatGPT werden nicht als risikoreich eingestuft, müssen aber Transparenzanforderungen und das EU-Urheberrecht erfüllen:

  • Offenlegung, dass der Inhalt durch KI generiert wurde;
  • Gestaltung des Modells, um zu verhindern, dass es illegale Inhalte erzeugt;
  • Veröffentlichung von Zusammenfassungen urheberrechtlich geschützter Daten, die für das Training verwendet wurden.

KI-Systeme mit allgemeinem Verwendungszweck und beträchtlichen Auswirkungen, die ein Systemrisiko darstellen könnten, wie das fortgeschrittene KI-Modell GPT-4, müssten gründlich bewertet werden und alle schwerwiegenden Vorfälle wären der Kommission zu melden.
Inhalte, die mit Hilfe von KI erzeugt oder verändert wurden – Bilder, Audio- oder Videodateien (z. B. Deepfakes) –, müssen eindeutig als KI-generiert gekennzeichnet werden, damit die Nutzer wissen, wenn sie auf solche Inhalte stoßen.

Nächste Schritte
Das Parlament verabschiedete das Gesetz über künstliche Intelligenz im März 2024 und der Rat erteilte seine Zustimmung im Mai 2024. Das Gesetz wird 24 Monate nach seinem Inkrafttreten in vollem Umfang anwendbar sein. Einige Teile werden jedoch schon früher anwendbar sein:

  • das Verbot von KI-Systemen, die unannehmbare Risiken darstellen, wird sechs Monate nach Inkrafttreten gelten;
  • die Verhaltenskodizes werden neun Monate nach Inkrafttreten gelten;
  • Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck, die den Transparenzanforderungen genügen müssen, gelten zwölf Monate nach Inkrafttreten.

Systeme mit hohem Risiko werden mehr Zeit haben, um die Anforderungen zu erfüllen; die sie betreffenden Verpflichtungen werden 36 Monate nach dem Inkrafttreten gelten.

„© Europäische Union, 2024 – Quelle: Europäisches Parlament“ – KI-Gesetz: erste Regulierung der künstlichen Intelligenz – Veröffentlichung des Europäischen Parlamentes / 19.06.2024

Die Bedeutung und Schwierigkeit der Rolle der Künstlichen Intelligenz (KI) bei der Einhaltung von Vorschriften nimmt mit der Entwicklung von Unternehmen und dem regulatorischen Umfeld zu. Eine stärker integrierte, intelligente und proaktive Herangehensweise wird in der Zukunft der KI in der Compliance deutlich.

Prädiktives Compliance-Management
Es ist unwahrscheinlich, dass die Zukunft der KI in der Compliance von ihren Fähigkeiten zur Vorhersage bestimmt wird. Nicht nur, dass KI-Systeme vorhandene Compliance-Probleme identifizieren, sondern auch künftige Gefahren prognostizieren. Unternehmen können durch diese Umstellung von einem reaktiven auf ein proaktives Compliance-Management vor rechtlichen und finanziellen Schwierigkeiten geschützt werden.

Compliance-Überwachung in Echtzeit
Mit dem Fortschritt der KI wird es immer wichtiger, die Einhaltung von Vorschriften in Echtzeit zu überwachen. Um sicherzustellen, dass gesetzliche Vorschriften eingehalten werden, werden KI-Systeme fortlaufend Transaktionen, Kommunikation und andere Geschäftsaktivitäten analysieren. Diese Echtzeitanalyse erlaubt eine unmittelbare Reaktion auf mögliche Verstöße gegen die Compliance.

Personalisierte Compliance-Lösungen
Von KI wird erwartet, dass sie maßgeschneiderte Compliance-Lösungen bereitstellt, die den individuellen Anforderungen jedes Unternehmens entsprechen. Das individuelle Risikoprofil und die Compliance-Historie eines Unternehmens werden von der KI analysiert, um individuelle Empfehlungen und Strategien für das Compliance-Management zu entwickeln.

Verbesserte regulatorische Intelligenz
Durch die automatische Sammlung und Verarbeitung von regulatorischen Informationen aus verschiedenen Quellen wird KI eine wichtige Funktion in der regulatorischen Intelligenz übernehmen. Dazu zählt es, die gegenwärtigen Regeln zu verstehen, künftige Trends und Veränderungen in den Regeln vorherzusagen und Unternehmen im Voraus vorzubereiten.

Umgang mit ethischen und datenschutzrechtlichen Bedenken
Eine Priorität wird es sein, ethische und datenschutzrechtliche Bedenken zu berücksichtigen, da KI immer mehr in die Compliance integriert wird. Um sicherzustellen, dass KI in der Compliance ethisch angewendet werden kann, müssen zukünftige Entwicklungen darauf abzielen, KI-Systeme zu entwickeln, die transparent, fair und datenschutzkonform sind.

Die Rolle der Compliance-Fachleute entwickelt sich weiter
Gerade auch im Hinblick auf die kommenden Anforderungen durch den EU AI Act ist die Weiterbildung im Bereich Compliance sowohl für den Chief Compliance Officer, den Compliance Officer aber auch für alle Mitarbeiter im Segment Compliance unausweichlich und dringend erforderlich. Sie werden nicht ersetzt, sondern kooperieren mit KI, wobei ihr Fokus auf den Bereichen Compliance-Strategie, Interpretation und Entscheidungsfindung liegt. KI wird die Kompetenzen des Compliance-Beauftragten und Compliance-Spezialisten ausbauen und nicht ihre Bedeutung verringern. Hier stehen die Compliance-Weiterbildung und Spezialisierung an erster Stelle.

Compliance-Weiterbildung: Jetzt starten!
Der WIRTSCHAFTScampus unterstützt Sie beim Erwerb der notwendigen Fachkunde in Compliance und Betreuung von Meldesystemen mit seinen Weiterbildungsangeboten:
Certified Compliance Officer
Certified Chief Compliance Officer
Compliance-Spezialisierungen:
Certified ESG Compliance Officer
Certified Export Compliance Officer
Certified Tax Compliance Officer
Certified IT Compliance Officer

Ausblick
In einem zweiten Teil dieses Blogbeitrags werden wir intensiver und detaillierter auf den EU AI Act im Hinblick auf Compliance- Fragen und neue Anforderungen eingehen.

KI und Compliance – Künstliche Intelligenz und der Compliance Officer

Stefan Haas


Prolog:
„KI wird die Welt mehr verändern als das Internet.“
Yann LeCun (* 8. Juli 1960), Professor an der New York University und Direktor für KI-Forschung bei Facebook.

Wie künstliche Intelligenz in der Compliance eingesetzt werden kann
Künstliche Intelligenz (KI) verändert verschiedene Industriezweige grundlegend und wird damit selbstverständlich auch Auswirkungen auf den Bereich Compliance mit sich bringen. In diesem Blogbeitrag werden die Vorzüge von KI für Compliance-Beauftragte im Hinblick auf die Einhaltung von Vorschriften, die Einhaltung von Anti-Geldwäsche-Richtlinien (AML), die Folgen für Compliance-Programme sowie die damit verbundenen Herausforderungen und Möglichkeiten für die Branche behandelt.

Der Einfluss von KI auf Compliance-Programme
KI trägt zur Weiterentwicklung von Compliance-Programmen bei, indem sie den Compliance-Beauftragten nützliche Erkenntnisse und umsetzbare Lösungen bereitstellt. Ihr Gebrauch erlaubt es, Compliance-Prozesse zu automatisieren und hilft bei der Entscheidungsfindung sowie bei der Einhaltung von Regeln mit höherer Genauigkeit und Geschwindigkeit.

Die Verwendung von KI in der Compliance hat zwar zahlreiche Vorzüge, bringt aber auch spezielle Schwierigkeiten mit sich. Unternehmen müssen diesen zweifachen Aspekt berücksichtigen, wenn sie KI in ihre Compliance-Strategien einbeziehen. Nachfolgend werden die Vorzüge und Schwierigkeiten der Anwendung von KI in Compliance-Prozessen kurz dargestellt.

  1. Die Verarbeitung und Analyse von Regulierungsdaten, die eine wesentliche Komponente von Compliance-Aufgaben darstellen, werden durch KI deutlich effizienter und genauer. Eine präzisere Berichterstattung und Entscheidungsfindung werden durch die rasche Verarbeitung und die Fähigkeit der KI, menschliche Fehler zu reduzieren, ermöglicht.
  2. Durch die vorhersehbaren Analysefähigkeiten von KI ist es Unternehmen möglich, mögliche Compliance-Risiken vor dem Eintreten zu identifizieren. Die Auswertung von Datentrends und -mustern ermöglicht es der KI, Problembereiche zu erkennen und somit ein proaktives Risikomanagement anstelle eines reaktiven zu betreiben.
  3. Kosteneinsparung: Mit der Zeit kann KI erhebliche Einsparungen bei Compliance-Aufgaben im Unternehmen bewirken. Die Automatisierung von alltäglichen Aufgaben, die Reduzierung des Bedarfs an manueller Überwachung und die Steigerung der Präzision ermöglichen es Unternehmen, die Betriebskosten im Zusammenhang mit der Einhaltung von Vorschriften zu reduzieren.
  4. Die Fähigkeit zur Anpassung an regulatorische Veränderungen: KI-Systeme lassen sich an Compliance-Vorschriften und -Standards anpassen. Diese Fähigkeit zur Anpassung gewährleistet, dass Unternehmen sich rasch auf Veränderungen in den Regeln einstellen können und dass die Einhaltung der Regeln jederzeit garantiert ist.
  5. Durch die umfassende Datenanalyse von KI ist es Compliance-Beauftragten möglich, gesicherte und (schnell) geprüfte Entscheidungen zu fällen. Compliance-Strategien werden durch KI verbessert, da sie tiefe Einblicke ermöglicht, die bei manueller Analyse möglicherweise nicht sichtbar sind.

  1. Die Integration von KI in bereits bestehende Compliance-Regelwerke kann aufgrund ihrer Komplexität eine Herausforderung darstellen. Die Anwendung von KI in bestimmten Compliance-Situationen bzw. Strukturen im Unternehmen erfordert technisches Fachwissen, erhebliche Anfangsinvestitionen und ein Verständnis im Segment der IT. Hier kann zum Beispiel ein spezieller IT Compliance Officer mehr als hilfreich sein.
  2. Datenschutz- und Sicherheitsbedenken: Aufgrund der großen Menge an Daten, die KI-Systeme benötigen, können Bedenken und Probleme bezüglich des Datenschutzes entstehen. Ein Problem hier ist dafür zu sorgen, dass die Datenschutzbestimmungen von der KI selbst eingehalten werden.
  3. Abhängigkeit und exzessives Vertrauen: Bei Compliance-Entscheidungen kann es vorkommen, dass man sich zu stark auf KI stützt. Um sicherzustellen, dass die KI nicht das menschliche Urteilsvermögen ersetzt, ist es entscheidend, eine Balance zwischen automatisierten und menschlichen Entscheidungen zu bewahren. Die KI kann und wird den menschlichen Compliance Officer nicht ersetzen!
  4. Regulatorische Unsicherheit: KI in der Compliance stellt einen vergleichsweisen neuen Bereich dar, und die gesetzlichen Rahmenbedingungen für die Funktion der KI in der Compliance stehen noch aus. Für Unternehmen kann es schwierig sein, sich in dieser unsicheren Gesetzeslandschaft zurechtzufinden.
  5. Ethische Überlegungen: KI muss in der Lage sein, bei der Einhaltung von ethischen Standards oder beim Auftreten von ethischem Fehlverhalten zu reagieren, vor allem bei Entscheidungen, die sich auf Kunden oder Mitarbeiter auswirken können. Es ist notwendig, dafür zu sorgen, dass KI-Systeme gerecht, transparent und diskriminierungsfrei sind.

All dies zeigt deutlich, dass jetzt und in den nächsten Jahren die KI ein gewichtiger Faktor im Segment der Compliance sein kann und an Wichtigkeit gewinnen wird. Den menschlichen Compliance Officer oder den Compliance-Spezialisten, wie zum Beispiel den ESG- oder Tax Compliance Officer, wird die KI aber mit Sicherheit nicht ersetzen können.

Die Rolle der Compliance-Fachleute entwickelt sich weiter
Mit der Entwicklung der KI wird die Funktion der Compliance-Experten weiterentwickelt. Sie werden nicht ersetzt, sondern kooperieren mit KI, wobei ihr Fokus auf den Bereichen Compliance-Strategie, Interpretation und Entscheidungsfindung liegt. KI wird die Kompetenzen des Compliance-Beauftragten und Compliance-Spezialisten ausbauen und nicht ihre Bedeutung verringern. Hier stehen die Compliance-Weiterbildung und Spezialisierung an erster Stelle.

Compliance-Weiterbildung: Jetzt starten!
Der WIRTSCHAFTScampus unterstützt Sie beim Erwerb der notwendigen Fachkunde in Compliance und Betreuung von Meldesystemen mit seinen Weiterbildungsangeboten:

Compliance-Spezialisierungen:

Epilog
„KI kann für den Menschen gefährlich werden, aber es hängt davon ab, wie sie eingesetzt wird. ChatGPT ist nur der Anfang der Entwicklung von immer leistungsfähigeren KI-Systemen.“
ChatGPT über sich selbst!
ChatGPT; von englisch to chat „plaudern, sich unterhalten“; Generative Pre-trained Transformer ist ein im November 2022 vorgestellter Chatbot des US-amerikanischen Unternehmens OpenAI, der in der Lage ist, mit Nutzern über textbasierte Nachrichten und Bilder zu kommunizieren.

Tax Compliance und digitale Plattformen – Plattformen-Steuertransparenzgesetz (PStTG)

Stefan Haas

Heute verkaufen fast alle Unternehmen Ihre Waren oder Dienstleistungen online über das Internet. Mit Umsetzung der europäischen „DAC 7“-Richtlinie durch das Plattformen-Steuertransparenzgesetz am 20.12.2022 wird für Betreiber digitaler Plattformen die Sicherstellung der Wirksamkeit von steuerlichen Kontrollsystemen nun entscheidend, um zukünftig Prüfungserleichterungen bei steuerlichen Außenprüfungen beanspruchen zu können.

Worum geht es bei DAC 7?
Kurz gesagt sollen digitale Plattformen, die Ihren Kunden die Möglichkeit geben, online etwas zu erwerben

  • dem Finanzamt bzw. den Steuerbehörden mitteilen, welche Verkäufer bei ihnen auf der Plattform angemeldet sind und welche Umsätze diese erwirtschaften.
  • den Verkäufern mitteilen, welche Informationen sie den Steuerbehörden gemeldet haben.

Wer ist von DAC 7 betroffen?
Betroffen sind alle Betreiber digitaler Plattformen über Webseiten oder Apps, über deren Plattform Verkäufer die Möglichkeit bekommen, mit potenziellen Käufern in Verbindung zu treten und sogenannte relevante Tätigkeiten auszuüben. Dazu gehört:

  • Verkauf von Waren über eine digitale Plattform, eine App oder die Webseite
  • Vermietung von Immobilien (Kurzzeitwohnungen, Ferienwohnungen)
  • Persönliche Dienstleistungen wie Lieferservice, Handwerker, Beratung, Transport usw.
  • Vermietung von Verkehrsmitteln

Online-Portale oder digitale Plattformen, die ausschließlich die Abwicklung von Zahlungen, das Auflisten oder Weiterleiten von Nutzern oder die Veröffentlichung von Werbung ermöglichen, sind von der Meldepflicht nicht betroffen.

Wann gilt die Meldepflicht?
Die erstmalige Meldepflicht nach dem Plattformen-Steuertransparenzgesetz (PStTG) zum 31. Januar 2024 für das Geschäftsjahr 2023 wurde einmalig um zwei Monate auf den 31. März 2024 verlängert und gilt nun ab dem 1. April 2024.

Warum ein Tax Compliance Management System
Mit Umsetzung der europäischen „DAC 7“-Richtlinie im PStTG hat der Gesetzgeber seit dem 1. Januar 2023 Regelungen und Richtlinien zum Umgang mit Plattformbetreibern und Anbietern auf Plattformen beschlossen. Weiterhin wurden aber auch erste Schritte unternommen, um die Modernisierung der Außenprüfung voranzutreiben. Hierzu wurde § 38 EGAO neu gefasst. Die nun in Kraft getretene Gesetzgebung verleiht einem Tax CMS auch für Plattformbetreiber eine wichtige, explizite und deutlich höhere Bedeutung.

In Deutschland können nun Finanzbehörden für Betriebsprüfungen eindeutige und gravierende Erleichterungen bei Steuerprüfungen gewähren, wenn die laufende Prüfung des Unternehmens die Wirksamkeit des bestehenden Tax CMS unter Berücksichtigung der Einhaltung der steuerlichen Vorschriften bestätigt hat. Die Zusagen zu Erleichterungen durch das Finanzamt bzw. die beauftragte Prüfungsbehörde beziehen sich dann auf Art und Umfang der jeweiligen Prüfungshandlungen, sofern für die vom Tax CMS erfassten Steuern kein oder nur ein unbeachtliches Risiko besteht.

Der Gesetzgeber definiert die Wirksamkeit eines Tax CMS in diesem Zusammenhang in ein Steuerkontrollsystem, dass alle innerbetrieblichen Maßnahmen umfasst, die gewährleisten, dass die Besteuerungsgrundlagen zutreffend aufgezeichnet und berücksichtigt werden sowie die hierauf entfallenden Steuern fristgerecht und vollständig abgeführt werden (Artikel 97 § 38 EGAO). Das Steuerkontrollsystem muss dazu die steuerlichen Risiken laufend abbilden und Veränderungen des Tax CMS müssen dokumentiert und unverzüglich gemeldet werden.
Digitale Plattformen und Unternehmen, die über ein Tax CMS verfügen, das die im Folgenden in der Grafik dargestellten Elemente gemäß den Vorgaben des IDW PS 980 n.F. beinhaltet, sind für die zukünftigen Anforderungen und die Minimierung von steuerlichen Risiken gut gerüstet:


Grafik: WIRTSCHAFTScampus

Betrachtet man diese Aufgaben und Kriterien, beginnen genau hier die Aufgaben des Tax Compliance Officers und seine Verantwortung und Verpflichtungen im Unternehmen.

Was macht ein Tax Compliance Officer?
Der Tax Compliance Officer sorgt dafür, dass steuerliche Regelungen eingehalten werden, gleichzeitig aber die Steuerstrategie des Unternehmens umgesetzt wird. Der Tax Compliance Officer kommuniziert intern mit der Steuerabteilung, der Finanzabteilung und anderen Fachabteilungen, extern mit Lieferanten, Tochtergesellschaften, Finanzbehörden und Betriebsprüfern.
Er ist dafür verantwortlich, ein Tax-Compliance-Management-System im Unternehmen zu integrieren, zu aktualisieren und auf die Einhaltung des Tax CMS zu achten.
Zu den besonderen Fähigkeiten eines Tax Compliance Officers zählen analytische Fähigkeiten, die für ihre Aufgaben entscheidend sind. Sie müssen in der Lage sein, fragwürdige Anträge auf Gutschriften und Abzüge zu erkennen und festzustellen, ob die Anträge rechtmäßig sind.

Digitale Plattformen – Die Zukunft
Traditionelle Geschäftsmodelle folgen einer linearen Struktur. Diese Unternehmen schaffen Werte durch die Entwicklung und den Verkauf eines Produkts oder einer Dienstleistung an die Verbraucher.
Plattformunternehmen hingegen ermöglichen direkte Interaktionen zwischen zwei oder mehr Gruppen – Käufern und Verkäufern – über eine digitale Plattform. Nehmen wir ein paar Beispiele. Amazon und Alibaba sind beliebte Marktplätze genauso wie ganz aktuell der im Jahr 2022 gegründete Onlinemarktplatz Temu, welcher seit 2023 auch in Deutschland verfügbar ist. Airbnb bringt Reisende und Immobilienbesitzer zusammen. Und natürlich verbindet Uber Fahrer und Fahrgäste.

Tief im digitalen Zeitalter verwurzelt, hat sich das Plattform-Geschäftsmodell als erstaunlich erfolgreich erwiesen – und dafür gibt es verschiedene Gründe. Der Hauptgrund ist der so genannte „Netzwerkeffekt“: Je mehr Nutzer der Plattform beitreten und sie aktiv nutzen, desto mehr steigt der Wert des Dienstes für alle Nutzer, wodurch ein leicht skalierbarer, sich selbst erhaltender Wachstumszyklus entsteht. Darüber hinaus umgehen Plattformunternehmen durch die direkte Verbindung von Nutzern oft die von traditionellen Unternehmen genutzten Zwischenhändler, was zu geringeren Kosten und höherer Effizienz führt.
Die Entwicklung und der rasche Anstieg des Plattformgeschäftsmodells signalisieren den Beginn einer völlig neuen Ära in der globalen Wirtschaft. Der Wandel, die Innovation und die Umwälzung haben ein solches Potenzial gezeigt, dass der Marktwert der Plattformökonomie bis 2025 schätzungsweise 60 Billionen USD erreichen wird, was fast einem Drittel des gesamten globalen Handels entspricht.

Tax Compliance und Digitale Plattformen
Für Unternehmen, unabhängig von Branche oder Größe werden die Aufgaben und Herausforderungen im Hinblick auf Tax Compliance und Digitale Plattformen kurzfristig in den nächsten Jahren deutlich ansteigen. Daher ist jetzt die Zeit, sich umfassend und praxisorientiert auf diese neuen Aufgaben im Hinblick auf Steuern und Compliance vorzubereiten und zu reagieren.
Ein Tax CMS und der Tax Compliance Officer sollte als Pflicht im Unternehmen verstanden werden, um Risiken zu minimieren und gleichzeitig die erfolgreiche Zukunft des Unternehmens zu sichern.
Certified Tax Compliance Officer – Jetzt mit der Weiterbildung starten!

Nutzen Sie jetzt unsere aktuelle Weiterbildung zum Tax Compliance Officer! Positionieren Sie sich jetzt im Compliance-Umfeld und sichern Sie sich ihre berufliche Zukunft oder den nachhaltigen Erfolg ihres Unternehmens.

Wie ESG-Praktiken durch KI unterstützt werden können!

Stefan Haas

Prolog:

„Der Wandel zu einer klimaneutralen Welt wird jedes Unternehmen und jede Branche fundamental verändern.“
Laurence Douglas „Larry“ Fink (* 2. November 1952). Gründer, Aufsichtsratsvorsitzender und Vorstandsvorsitzender der weltgrößten Vermögensverwaltung BlackRock.

Was ist künstliche Intelligenz?
Künstliche Intelligenz (KI) ist eine Technologie, die es Computern und digitalen Geräten ermöglicht, zu lernen, zu lesen, zu schreiben, zu sprechen, zu sehen, zu kreieren, zu spielen, zu analysieren, Empfehlungen abzugeben und andere Dinge zu tun, die Menschen tun.

Eine kurze Reise in der Zeit zurück
Die Idee und der Wunsch der Menschen, eine denkende Maschine zu erschaffen, ist keine neue Idee oder ein neuzeitlicher Wunsch. Die Idee oder das Konzept von denkenden, künstlichen Wesen beziehungsweise Robotern hat seinen Ursprung bereits in der Antike. In diesem Zusammenhang sind die griechischen Dichter Homer und Hesiod zu nennen. Hesiod erzählt von Talos, dem bronzenen Riesen, der vom Schmiedegott Hephaistos geschaffen wurde, um Europa, die Tochter des Zeus, auf der griechischen Insel Kreta vor einer Entführung zu beschützen. Die Geburt des denkenden „Maschinenmenschen“.

Timeline Künstliche Intelligent (KI)
Für die Neuzeit ergeben sich im Hinblick auf KI die nachfolgenden historischen Meilensteine, ohne die eine Entwicklung und Nutzung von künstlicher Intelligenz auf dem jetzigen Stand undenkbar wären.

1950:
Alan Turing veröffentlicht Computing Machinery and Intelligence. In diesem Aufsatz stellt Turing, der für das Deschiffrieren des deutschen ENIGMA-Codes während des Zweiten Weltkriegs berühmt wurde und oft als „Vater der Informatik“ bezeichnet wird, die folgende Frage: „Können Maschinen denken?“ Er entwickelt einen Test, der heute als „Turing-Test“ bekannt ist und bei dem ein Mensch versucht, zwischen einer Computer- und einer menschlichen Textantwort zu unterscheiden. Anmerkung: Gut 70 Jahre später wird genau dieser Test heute sowohl bei ChatGPT-3 als auch bei der Weiterentwicklung ChatGPT-4 immer noch eingesetzt.

1956:
John McCarthy prägt den Begriff „künstliche Intelligenz“ auf der allerersten KI-Konferenz am Dartmouth College. Im selben Jahr entwickeln Allen Newell, J.C. Shaw und Herbert Simon den Logic Theorist, das erste laufende KI-Softwareprogramm.

1967:
Frank Rosenblatt baut den Mark 1 Perceptron, den ersten Computer, der auf einem neuronalen Netzwerk basiert, das durch Versuch und Irrtum “ (Konzept Try and Error) lernt“.

1980er Jahre:
Neuronale Netze, die einen Backpropagation-Algorithmus verwenden, um sich selbst zu trainieren, werden in KI-Anwendungen weithin eingesetzt.

1995:
Stuart Russell und Peter Norvig veröffentlichen „Artificial Intelligence: A Modern Approach“, das zu einem der führenden Lehrbücher im Bereich der KI wird. Darin befassen sie sich mit vier möglichen Zielen oder Definitionen von KI, die Computersysteme auf der Grundlage von Rationalität und Denken bzw. Handeln unterscheiden.

  • Menschlicher Ansatz: Systeme, die wie Menschen denken und Systeme, die wie Menschen handeln
  • Idealer Ansatz: Systeme, die rational denken und rational handelnde Systeme

1997:
Der Computer Deep Blue besiegt den damaligen Schachweltmeister Garri Kasparow in zwei Schachspeilen gegeneinander.

2004:
John McCarthy schreibt einen Artikel mit dem Titel „What is Artificial Intelligence?“ und schlägt die oft zitierte Definition von KI vor. Sie lautet: Sie (.. die KI ..) ist die Wissenschaft und Technik der Entwicklung intelligenter Maschinen, insbesondere intelligenter Computerprogramme. Sie ist verwandt mit der ähnlichen Aufgabe, Computer zu nutzen, um die menschliche Intelligenz zu verstehen, aber KI muss sich nicht auf Methoden beschränken, die biologisch beobachtbar sind.

2011:
KI taucht zum ersten Mal für Testzwecke im Entertainment-Bereich auf: Die Maschine Watson besiegt die menschlichen Champions Ken Jennings und Brad Rutter bei Jeopardy! Das Spielprinzip von Jeopardy! besteht darin, dass es sich um ein sogenanntes Reverse-Quiz handelt. Es werden keine Antworten auf Fragen gesucht, sondern die Frage zu den vorgegebenen Antworten.

2016:
Das DeepMind-Programm AlphaGo, das von einem tiefen neuronalen Netzwerk angetrieben wird, besiegt Lee Sodol, den Go-Weltmeister, in einem Fünf-Spiele-Match. Der Sieg ist angesichts der riesigen Anzahl möglicher Züge im Verlauf des Spiels (über 14,5 Billionen nach nur vier Zügen!) von großer Bedeutung und ein Sieg der Maschine galt bis dahin gleichermaßen unter Wissenschaftlern wie Computerspezialisten für KI als unmöglich.

2023:
Ein Anstieg großer Sprachmodelle (LLMs) wie ChatGPT führt zu einer enormen Veränderung in der Leistung von KI und ihrem Potenzial zur Steigerung des Unternehmenswertes. Mit diesen neuen generativen KI-Praktiken können Deep-Learning-Modelle auf riesigen Mengen von unbeschrifteten Rohdaten vortrainiert werden.

Arten von KI
Wo aber liegen nun nach diesen Definitionen und teils verschiedenen Anwendungen die Unterschiede von künstlicher Intelligenz und wie wird KI jetzt und in der Zukunft eingesetzt? KI kann in zwei Haupttypen eingeteilt werden:

  • Enge KI (Narrow / Weak AI)
  • Allgemeine KI (General / Strong AI).

Narrow KI: Enge KI ist darauf ausgelegt, bestimmte Aufgaben zu erfüllen und sich dabei auszuzeichnen. Beispiele hierfür sind Sprachassistenten wie Siri, Empfehlungssysteme und autonome Fahrzeuge. Diese Systeme sind hoch spezialisiert und verfügen nicht über die umfassenden kognitiven Fähigkeiten des Menschen.

General KI: Allgemeine KI bezieht sich auf Maschinen, die über menschenähnliche kognitive Fähigkeiten verfügen, einschließlich Verstehen, Lernen, Argumentieren und Problemlösung in verschiedenen Bereichen. Das Erreichen einer allgemeinen KI ist ein langfristiges Ziel und Gegenstand laufender Forschung.

Anwendungen von KI
KI findet in zahlreichen Bereichen Anwendung, verändert die Industrie und schafft neue Möglichkeiten. An erster Stelle sind dies die nachfolgenden Schwerpunkte:

  • Gesundheitswesen: KI hilft bei der Diagnose von Krankheiten, der Entdeckung von Medikamenten und der Erstellung personalisierter Behandlungspläne.
  • Finanzwesen: KI-Algorithmen werden für den Handel, die Betrugserkennung und die Kreditwürdigkeitsprüfung eingesetzt.
  • Bildung: KI-gesteuerte Bildungsplattformen bieten personalisierte Lernerfahrungen.
  • Fertigung: Roboter und KI-gesteuerte Maschinen verbessern Produktionsprozesse.
  • Unterhaltung: KI wird für die Erstellung von Videospielcharakteren, Spezialeffekten und personalisierten Inhaltsempfehlungen eingesetzt.
  • Transportwesen: Selbstfahrende Autos und vorausschauende Wartung in der Logistik sind KI-gesteuerte Fortschritte.

ESG und KI oder „Wie ESG jetzt und in der Zukunft von künstlicher Intelligenz profitieren kann“

Während die Geschäftswelt das Potenzial von ESG (Umwelt, Soziales und Unternehmensführung) zur Förderung positiver Veränderungen immer mehr erkennt, kann die Integration von KI-Technologie diese Bemühungen noch verstärken. Genau dies haben wir in unseren vorherigen Blogbeiträgen deutlich herausgearbeitet, zum Beispiel bei der Analyse einer aktuellen Studie aus dem Jahr 2023 zum Thema ESG und Compliance.

Datenerfassung
Eine der größten Potentiale und Stärken der KI liegt in ihrer Fähigkeit, die Erfassung von ESG-Daten zu automatisieren und zu rationalisieren. Herkömmliche Methoden zur Erfassung dieser Daten waren arbeitsintensiv und zeitaufwändig. Ein großes und wichtiges Thema für Unternehmen, wie auch in den Zahlen der oben bereits erwähnten Studie aus dem Jahr 2023 zu ersehen ist.

Mit KI können Unternehmen jedoch schnell und effizient sehr große Mengen an Informationen und Daten aus einer Vielzahl von Quellen sammeln und verarbeiten. Diese beschleunigte Datenaggregation spart nicht nur Zeit, sondern gewährleistet auch genauere und vollständigere Erkenntnisse. Hier kann nicht nur deutlich Zeit gespart werden, sondern es werden auch Risiken für das Unternehmen deutlich minimiert.

Einhaltung gesetzlicher Vorschriften
Durch die Überwachung in Realtime kann KI-Unternehmen auf dem Laufenden halten, wenn es um die Einhaltung gesetzlicher Vorschriften geht, und so das Risiko der Nichteinhaltung minimieren. Die Vorhersagefähigkeiten von KI helfen Unternehmen, sich proaktiv auf bekannte künftige gesetzliche Änderungen einzustellen. Eine schnelle Reaktionszeit ist somit deutlich gegeben.

KI kann auch dazu beitragen, die Genauigkeit und Gültigkeit von ESG-Daten sicherzustellen – ein wichtiger Aspekt der Compliance-Berichterstattung. Durch die Identifizierung von Unstimmigkeiten oder Anomalien minimiert KI das Risiko, den Aufsichtsbehörden ungenaue Informationen zu übermitteln. Hier sind alle Mitarbeiter der Compliance-Abteilung im Unternehmen gefragt und die Schulung bzw. ständige und aktuelle Weiterbildung ist unumgänglich für jedes Unternehmen. Ausdrücklich gilt die branchen- und größenübergreifend für alle Unternehmen, egal ob sie national oder international tätig sind.

Überwachung der Reputation
Die Vorteile von KI gehen über ihre Schnelligkeit und Präzision hinaus. Die Fähigkeit der KI, Text zu analysieren, ermöglicht es ihr, Einblicke in die öffentliche Wahrnehmung des Rufs eines Unternehmens zu gewinnen. Dieser Einblick bietet eine nuancierte Sichtweise, die strategische Entscheidungen beeinflussen kann. Weiterhin können schon diese ersten Einblicke deutlich risikominimierend für eine bestehende oder spätere Zusammenarbeit, zum Beispiel bei Partnern der internen Lieferketten, sein.

So kann KI beispielsweise in Echtzeit Nachrichten und Erwähnungen in sozialen Medien verfolgen, die sich auf die Umweltauswirkungen eines Unternehmens, Arbeitspraktiken und Fragen der Unternehmensführung beziehen. Besonders wichtig, dass die KI dies nicht nur national, sondern global überwachen kann. Sie kann diese Informationen verarbeiten, um aufkommende Trends oder Bedenken zu erkennen und proaktive Maßnahmen zu ESG-Themen zu ermöglichen.

Identifizierung von Trends
Mithilfe fortschrittlicher maschineller Lerntechniken können KI-Algorithmen komplexe Muster, Zusammenhänge und Korrelationen zwischen verschiedenen ESG-bezogenen Variablen erkennen, die für menschliche Beobachter möglicherweise nicht sofort ersichtlich sind. Diese Muster geben Aufschluss darüber, wie verschiedene ESG-Faktoren miteinander interagieren und sich gegenseitig beeinflussen, so dass Unternehmen das komplexe Geflecht oder Zusammenhänge von Nachhaltigkeitsthemen besser verstehen können.

Ein Bereich, in dem die KI-gestützte Trenderkennung einen erheblichen Einfluss hat, ist die Überwachung der Lieferkette. KI kann eine Vielzahl von Quellen durchforsten, z. B. Leistungsberichte von Lieferanten, Daten zur Einhaltung von Vorschriften und Nachrichtenartikel, um potenzielle Risiken und Verstöße in Lieferketten zu erkennen.

Herausforderungen beim Einsatz von KI für ESG
Obwohl die KI-Technologie erhebliche Vorteile bei der Neugestaltung von ESG-Praktiken bietet, gibt es einige bedeutende Herausforderungen, die berücksichtigt werden müssen.

Datenschutz
Datenschutzbedenken ergeben sich aus den großen Mengen an sensiblen Informationen, auf die KI-Algorithmen zugreifen können. ESG-Daten enthalten oft persönliche und vertrauliche Informationen über Mitarbeiter, Stakeholder und Organisationen oder Gemeinschaften. Es muss im Unternehmen sichergestellt werden, dass bei der Datenerfassung und -nutzung strenge Datenschutzbestimmungen eingehalten werden, um Verstöße im Hinblick auf Datenmissbrauch zu verhindern, die die Rechte des Einzelnen beeinträchtigen und das Vertrauen untergraben oder gefährden könnten.

Ökologische Herausforderungen
Obwohl die KI vielversprechend für die Optimierung zahlreicher Prozesse ist, hat ihr schnelles Wachstum Bedenken hinsichtlich ihrer negativen Auswirkungen auf die Umwelt aufgeworfen. Ein Hauptproblem ist der erhebliche Energieverbrauch, der mit dem Training und dem Betrieb komplexer KI-Modelle verbunden ist. Die für Deep-Learning-Algorithmen erforderlichen Berechnungen können erhebliche Mengen an Strom verbrauchen, was zu einem Anstieg der Kohlenstoffemissionen beiträgt und die durch den Energieverbrauch bedingten Umweltprobleme noch verschärft.

Der übermäßige Wasserverbrauch ist ein weiteres wichtiges Umweltproblem im Zusammenhang mit dem Wachstum der KI-Technologien. Die massiven Rechenanforderungen von KI-Systemen, insbesondere von Deep-Learning-Modellen, erfordern umfangreiche Kühlmechanismen, um eine Überhitzung der Hardware zu verhindern. Für die Kühlung von Rechenzentren und Hochleistungsrechenanlagen werden große Mengen an Wasser benötigt, was häufig zu einem erhöhten Wasserverbrauch in den Regionen führt, in denen sich diese Anlagen befinden.

Abwägen von Risiko und Vorteil bei KI und ESG
Es steht außer Frage, dass die künstliche Intelligenz jetzt und in den nächsten Jahren und Jahrzehnten den Bereich ESG im Hinblick auf Sustainability und Compliance deutlich beeinflussen und prägen wird. Ausdrücklich gilt dies größen- und branchenübergreifend im Hinblick auf alle Unternehmen.

Transparenz und ethische KI-Praktiken sind daher unerlässlich, um die mit KI verbundenen Risiken zu mindern. Transparente KI-Algorithmen ermöglichen es den Stakeholdern nachzuvollziehen, wie Entscheidungen getroffen werden, und gewährleisten die Rechenschaftspflicht. Die Umsetzung ethischer KI-Praktiken umfasst nicht nur den Datenschutz und die Vermeidung von Verzerrungen, sondern auch eine klare Kommunikation des Zwecks und der Auswirkungen von KI-gestützten ESG-Erkenntnissen.

Bei der Integration von KI in ESG-Praktiken muss ein Gleichgewicht zwischen der Nutzung des Potenzials von KI zur Verbesserung der Nachhaltigkeit und der Berücksichtigung von Bedenken im Zusammenhang mit den ökologischen, sozialen und Governance-Themen, die ESG verfolgt, gefunden werden, um den Nutzen zu maximieren.

Certified ESG Compliance Officer – Jetzt mit der Weiterbildung starten!

Nutzen Sie daher jetzt unsere aktuelle Weiterbildung im ESG-Bereich! Positionieren Sie sich jetzt im ESG-Umfeld und sichern Sie sich ihre berufliche Zukunft oder den nachhaltigen Erfolg ihres Unternehmens. Alle Informationen zum ESG Compliance Officer finden Sie hier: Fernstudium Certified ESG Compliance Officer

Quelle:
Was ist künstliche Intelligenz (AI)? / I B M 2024

ESG und Compliance im Jahr 2024 – Teil 3

Stefan Haas


Nachdem wir im zweiten Teil unseres Blogbeitrags zum Thema ESG und Compliance die drei Top-Trends im ESG-Compliance-Umfeld für das Jahr 2024 näher dargestellt haben, möchten wir das Thema praxisbezogen betrachten.

Was heißt ESG für das Unternehmen, wo ergeben sich Vorteile und Probleme und wie sehen Unternehmen die eigenen unternehmerischen Anforderungen, Probleme und Perspektiven für sich selbst. Die Bedeutung der ESG-Faktoren liegt in mehreren zentralen Punkten:

  • Unternehmen mit einer hohen ESG-Performance zeigen ein spürbares Engagement für die Gesellschaft und die Umwelt, was zu einem guten Ruf und Markentreue führen kann
  • Eine schlechte Leistung bei diesen Faktoren kann die finanziellen Risiken erhöhen, da sie sich negativ auf den Ruf des Unternehmens und seine Fähigkeit auswirkt, Kunden und Investoren anzuziehen und zu binden
  • Unternehmen mit einer guten Umwelt-, Sozial- und Unternehmensführungspolitik haben aufgrund ihres effizienten Ressourcenmanagements eine bessere finanzielle Leistungsfähigkeit
  • Die Umwelt- und Sozialvorschriften werden immer strenger, so dass Unternehmen mit schlechten ESG-Leistungen zukünftig mit Strafen und Bußgeldern rechnen müssen
  • Eine gute Leistung im ESG-Umfeld ist wichtig, weil sie die Verantwortung und Nachhaltigkeit eines Unternehmens widerspiegelt und sich direkt auf seinen Ruf, seine finanzielle Leistung und die Einhaltung von Gesetzen auswirkt.

Doch wie und wo sehen Unternehmen Chancen Risiken und Probleme im Hinblick auf ESG für sich selbst? Dies zeigt eine aktuelle Studie aus dem Jahr 2023, in der knapp 160 mittelständische Unternehmen in Deutschland befragt wurden.

Energie- und Ressourceneffizienz steht für die befragten Unternehmen deutlich an erster Stelle. Gerade die Reduzierung von Kosten steht für viele Unternehmen (noch) im Mittelpunkt bei der Definition der unternehmerischen Ziele. Auffällig ist, dass die zukunftsorientierte und perspektivische Ausrichtung des eigenen Unternehmens hier erst an fünfter Stelle und ein verantwortungsvolles Handeln an sechster Stelle genannt wird.

Die Notwendigkeit von ESG ist noch nicht in allen Unternehmen angekommen. Dies dürfte sich aber zwingend, allein schon durch die kommenden Gesetzesänderungen und Anforderungen, innerhalb eines sehr kurzen Zeitfensters zukünftig ändern. Ein Umdenken im ESG-Bereich zeichnet sich ab und der verstärkte Bedarf von Fachkräften im ESG- und Compliance-Bereich.

Die neuen Richtlinien der EU und die sich dadurch ergebenden unternehmerischen Risiken sehen momentan sehr viele der befragten Unternehmen als Problem an. Viele der befragten Unternehmen sprechen hier von einer sich ergebenden Überforderung sowohl im organisatorischen als auch im personellen Bereich.

Die Schaffung von neuen personellen Strukturen zur Einhaltung von Regularien, zur organisierten internen Umsetzung und natürlich auch ein gesteigerter finanzieller Einsatz für die organisatorische Durchsetzung von ESG stellen für viele Unternehmen ein Problem dar.

Umsetzung ab dem Jahr 2024
Die CSRD trat am 5. Januar 2023 auf EU-Ebene in Kraft. Deutschland und die weiteren EU-Staaten müssen die Corporate Sustainability Reporting Directive (CSRD) innerhalb von 18 Monaten nach ihrem Inkrafttreten auf EU-Ebene in nationales Recht umsetzen. Da die CSRD am 5. Januar 2023 in Kraft trat, muss die Umsetzung in deutsches Recht bis spätestens Juli 2024 erfolgen.

Die Berichtspflicht wird phasenweise von den bereits berichtspflichtigen Unternehmen auf alle bilanzrechtlich großen Unternehmen sowie alle börsennotierten Unternehmen ausgeweitet (ausgenommen sind börsennotierte Kleinstunternehmen):

  • Geschäftsjahr 2024: bisher zur Abgabe einer nichtfinanziellen Erklärung verpflichtete Unternehmen
  • Geschäftsjahr 2025: alle weiteren großen Unternehmen
  • Geschäftsjahr 2026: börsennotierte kleine und mittlere Unternehmen (mit Ausnahme von Kleinstunternehmen), kleine und nicht komplexe Kreditinstitute und firmeneigene Versicherungsunternehmen
  • Geschäftsjahr 2028: Unternehmen aus Drittländern mit einem Nettoumsatz von über 150 Mio. EUR in der EU, wenn sie mindestens ein Tochterunternehmen oder eine Zweigniederlassung in der EU haben und bestimmte Schwellenwerte überschreiten

    • (Quelle: Umweltbundesamt/2024)

Eine große und schnell näherkommende Herausforderung, mit der sich Unternehmen in Deutschland kurzfristig auseinandersetzen müssen und dies als große Herausforderung für sich selbst ansehen.

Digitale Daten und Zeit!
Das sind die beiden größten Problematiken, welche auf die Unternehmen in Deutschland in der Zukunft zukommen werden. Gerade die in den letzten Jahren vernachlässigte Digitalisierung in Verbindung zum zeitlichen Faktor im Unternehmen werden als die beiden Hauptprobleme angesehen, die Unternehmer für sich selbst und ihr Unternehmen sehen.

Danach folgt die Suche nach Fachkräften bzw. die Schulung von Mitarbeitern, welche für diesen Arbeitsbereich im Unternehmen bereits jetzt oder in kürzester Zeit Verantwortung übernehmen werden.

Topthema Compliance!
Ob nun im Bereich Tax Compliance, im IT-Compliance-Umfeld, beim Wettbewerbsrecht oder dem Code of Conduct (Verhaltenskodex) im Unternehmen: Für fast alle Unternehmen steht Compliance im Hinblick auf die Unternehmensführung (Governance) an erster Stelle im Hinblick auf ESG-Indikatoren und Anforderungen.

Hier wird der spezialisierte ESG-Compliance Officer zukünftig eine zentrale Rolle innerhalb des Unternehmens einnehmen. Weiterbildung für bereits tätige Compliance- und Chief Compliance Officers ist zwingend erforderlich bzw. ausgebildete ESG Compliance Officers sind und werden in Zukunft als Fachkräfte von Unternehmen aller Größen und Branchen dringend gesucht.

Jetzt: Nachhaltigkeit und Umweltschutz!
Hier sehen die befragten Unternehmen ein deutliches Potenzial an Handlungsbedarf im Hinblick auf die (zukünftige) Erfassung und Verwendung von zwingend notwendigen Ressourcen für die Produktion. Die Nutzung von erneuerbaren Energiequellen steht im direkten Zusammenhang zum Thema Treibhausgas-Emissionen und zur Verwendung von Gas, Strom oder Wasser.

Neben produktionsspezifischen Aspekten beziehen aber auch bereits jetzt viele der befragten Unternehmen ihre Mitarbeiter direkt in den Prozess des ökologischen Nachhaltigkeitsdenkens mit ein. Nur eines der Themen ist die umweltfreundliche Mobilität (Thema Fuhrpark) oder die Nutzung von umweltschonenden Alternativen zum Beispiel bei der Planung von Geschäftsreisen (Verringerung / Alternativen z.B. „Web-Meeting anstelle von Auto / Flugzeug“).

Jetzt: Aus- und Weiterbildung!
Neben dem Topthema Gesundheits- und Arbeitsschutz rückt die Aus- und Weiterbildung für Mitarbeiter in den zentralen Fokus, da hier neue und unabdingbare Herausforderungen auf die Unternehmen zukommen werden. Hier müssen nicht nur neue Herausforderungen bewältigt werden, sondern auch die Zufriedenheit der Mitarbeiter nimmt eine zentrale Position ein, um diese neuen Aufgaben erfolgreich und gemeinsam bewältigen zu können.

Auffällig ist, dass momentan das Thema der Erfassung von sozialen Standards innerhalb der betrieblichen Lieferketten nur von etwas mehr als einem Drittel der Unternehmen umgesetzt wird. Im Hinblick auf bestehende und kommende gesetzliche Regulierungen und das Lieferkettensorgfaltspflichtgesetz (LkSG) ist die Erfassung sozialer Standards ein wichtiges und neues Aufgabenfeld, welches wohl momentan noch etwas unterschätzt wird.

Ausblick

ESG ist eine Herausforderung für alle Unternehmen, gleich welcher Größe und Branche. Gerade mittelständische Unternehmen sind momentan noch nicht gut auf die kommenden Herausforderungen und neue gesetzlichen Änderungen vorbereitet. Noch ist es Zeit, sich diesen Herausforderungen zu stellen und sich optimal auf die kommenden Veränderungen vorzubereiten, sei es innerbetrieblich, sei es gesetzlich oder im Hinblick auf Kooperationspartner, Lieferketten oder Kunden.

Es gilt, sich teils neu im nationalen oder internationalen Wettbewerb zu positionieren, bestehende Produktionswege zu beleuchten und zu hinterfragen bzw. zu optimieren und sich gleichzeitig zukünftigen globalen Herausforderungen, zum Beispiel beim Thema Nachhaltigkeit, zu stellen und diese im Unternehmen durchzusetzen.

Wie schon weiter oben als eines der Top-Themen herausgearbeitet: Weiterbildung und Fachkräfte sind gefragt bzw. haben eine hervorragende berufliche Perspektive. Daher ist es jetzt Zeit, sich auf diese neuen Aufgaben im Unternehmen vorzubereiten.

Certified ESG Compliance Officer – Jetzt mit der Weiterbildung starten!
Nutzen Sie daher jetzt unsere aktuelle Weiterbildung im ESG-Bereich! Positionieren Sie sich jetzt im ESG-Umfeld und sichern Sie sich ihre berufliche Zukunft oder den nachhaltigen Erfolg ihres Unternehmens. Alle Informationen zum ESG Compliance Officer finden Sie hier:
Fernstudium zum Certified ESG Compliance Officer

Quelle:
Studie ESG -Strategie und -Bericht-erstattung
P w C Deutschland gemeinsam mit
• Institut für Management und Innovation (IMI)
• Hochschule für Wirtschaft und Gesellschaft Ludwigshafen
Methodik
• Onlinebefragung von Fach- und Führungskräften aus dem Jahr 2023
• n=157 mittelständische Unternehmen / Schwerpunkt verarbeitendes Gewerbe
• 11% Unternehmen mit bis 249 Beschäftigte, 43% zwischen 500 und 999 sowie 46% über 1.000 Beschäftigte.

ESG und Compliance im Jahr 2024 – Teil 2

Stefan Haas

Nachdem wir im ersten Teil unseres Blogbeitrags zum Thema ESG und Compliance die allgemeinen Aufgaben und Schwerpunkte dargestellt haben, was ESG im Unternehmen bedeutet und worauf sich ESG im Unternehmen bezieht, folgt nun mit Teil 2 die Darstellung der drei Top-Trends im ESG-Compliance-Umfeld für das Jahr 2024.

ESG – Trends im Jahr 2024
Nachfolgend nun drei Top-Trends im Jahr 2024 und darüber hinaus, welche auf Unternehmen zukommen werden.

1. Transparenz
Die Verbesserung der Transparenz war schon immer von entscheidender Bedeutung für die Förderung der Nachhaltigkeit, aber ab diesem Jahr wird es einen noch viel stärkeren Druck geben, diese auch im Unternehmen zu gewährleisten und durchzusetzen.

Dies wird durch neue Berichtsanforderungen und Offenlegungen erreicht, die dazu beitragen werden, eine regelmäßige ESG-Berichterstattung im Unternehmen innerhalb des eigenen Landes, in Europa und natürlich auch weltweit zu fördern. Da immer mehr verbindliche Direktiven und Vorschriften in Kraft treten werden, steht fest, dass auch diejenigen, die nicht von verbindlichen Vorschriften betroffen sind, mit der freiwilligen Berichterstattung beginnen müssen, um anderen Unternehmen einen Schritt voraus zu sein.

Die CSRD, die EU-Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen, ist ein gutes Beispiel für die bevorstehenden Vorschriften, die sich auf das ESG-Umfeld auswirken werden. Sie bezeichnet einen wichtigen und entscheidenden Moment in der ESG-Berichterstattung, da sie den Umfang der Berichtspflichten deutlich ausweitet und sie langfristig für eine Vielzahl von Unternehmen verbindlich macht.

Diese Richtlinie, die eine Verbesserung und Aktualisierung der vorherigen Non-Financial Reporting Directive (NFRD) darstellt, soll Unternehmen dazu auffordern, verantwortungsvollere und transparentere Geschäftsansätze nicht nur zu entwickeln, sondern praxisorientiert durchzusetzen. Historisch ist es das erste Mal, dass die Europäische Kommission einen standardisierten Berichtsrahmen für nichtfinanzielle Daten festgelegt.

2. Greenwashing
Die Europäische Union (EU) wird Greenwashing bis 2026 deutlich eindämmen und bekämpfen. Dies wird maßgeblich Unternehmen aus allen Größen und Branchen betreffen und auch für Compliance Officers zu einer (neuen) Herausforderung werden.

Der Begriff „Greenwashing“ wurde 1986 vom Umweltschützer Jay Westerveld geprägt, in dem er die Absurdität der damaligen „Rettet das Handtuch“-Bewegung in Hotels kritisierte. Ihm fielen die riesigen Abfallmengen auf, die er im gesamten Hotel vorgefunden hatte, wo es keine sichtbaren Anzeichen für Bemühungen um mehr Nachhaltigkeit gab. Er sagte, dass das Hotel stattdessen einfach bemüht war, Kosten zu senken, indem es weniger Handtücher waschen muss, aber gleichzeitig versucht, es als umweltfreundlich in der Außendarstellung oder Werbung zu vermarkten.

Am 17. Januar 2024 hat die EU eine neue Richtlinie gegen Greenwashing, also zum Verbot von Werbung, die Kunden mit falschen Nachhaltigkeitsversprechen in die Irre führt, fertiggestellt. Das Gesetz wird 2026 in Kraft treten, nachdem es von den Mitgliedstaaten in nationales Recht umgesetzt wurde.

Das Gesetz enthält strengere Richtlinien für umweltbezogene Angaben, die einen überprüfbaren Nachweis der anerkannten Leistung erfordern. Dies soll die Unternehmen daran hindern, nachhaltige Umweltaussagen wie

• umweltfreundlich
• natürlich
• biologisch abbaubar
• klimaneutral

im Hinblick auf ihre Dienstleistungen und Produkte zu treffen, ohne einen Nachweis zu erbringen. Insbesondere sind solche Aussagen verboten, soweit sie auf CO2-Ausgleich, d.h. auf Kauf on Emissionsgutschriften beruhen.

Hier ergeben sich neue Aufgaben und Pflichten der Compliance. ESG-Compliance-Beauftragte werden mit der Einhaltung von Vorschriften beauftragt werden und eng mit Kommunikations- und Marketingteams zusammenarbeiten, um sicherzustellen, dass alle Umweltbotschaften mit den gesetzlichen Auflagen und Regularien im Unternehmen übereinstimmen.

3. Lieferketten und Scope-3-Emissionen
Ab diesem Jahr müssen Unternehmen mehr Gewicht auf ihre Lieferketten legen, sowohl bei der Offenlegung von Scope 3 als auch bei der Darstellung der Lieferketten. Der Schwerpunkt wird auf der Einführung einer nachhaltigen Beschaffungspolitik und der Zusammenarbeit mit den Lieferanten liegen, um die ökologischen und sozialen Auswirkungen zu verbessern.


Grafik: WIRTSCHAFTScampus

Die Schaffung und Aufrechterhaltung einer nachhaltigen Lieferkette ist eine der wichtigsten ESG-Aufgaben und vernetzt sich immer mehr mit anderen Merkmalen und Aufgabenstellungen im Hinblick auf die Compliance im Unternehmen. Mit dem neuen EU-Gesetz, der CSDDD, und der Umsetzung der CSRD, welche die internen Lieferketten sowie Lieferanten und Dienstleister noch stärker betrifft, werden diese Vorgaben und daraus resultierenden Compliance-Aufgaben eine neue und deutlich größere Bedeutung als in den letzten Jahren erlangen.

Unternehmen, die sich um mehr Transparenz und bessere ESG-Praktiken bemühen, müssen ihre Lieferkette bewerten bzw. kontrollieren und an der Reduzierung ihrer Gesamtemissionen arbeiten, um die Einhaltung der Gesetze und Richtlinien im Jahr 2024 und in den kommenden Jahren zu erleichtern.

ESG-Studie aus dem Jahr 2023

Im dritten und letzten Teil dieses Blogbeitrags werden wir die Ergebnisse einer aktuellen Studie zum Thema ESG und die Ziele, Risiken sowie die praxisbezogene Umsetzung im Unternehmen darstellen und kommentieren.

Certified ESG Compliance Officer – Jetzt mit der Weiterbildung starten!

Nutzen Sie daher jetzt unsere aktuelle Weiterbildung im ESG-Bereich! Positionieren Sie sich jetzt im ESG-Umfeld und sichern sie sich ihre berufliche Zukunft oder den nachhaltigen Erfolg ihres Unternehmens.
Alle Informationen zum ESG Compliance Officer finden Sie hier: Fernstudium ESG Compliance Officer

ESG und Compliance im Jahr 2024 – Teil 1

Stefan Haas

Analysten und Unternehmen bezeichnen das Jahr 2024 als „DAS Jahr der Compliance“.

Sie argumentieren damit, dass die meisten Unternehmen, unabhängig von der Branche und Unternehmensgröße, in diesem Jahr mehr Rechenschaftspflichten und Transparenz zeigen müssen. Ohne eine Integration der Pflichten in die Unternehmens-Compliance wird dies kaum möglich sein.

Eine Aus- und Weiterbildung im Bereich der Compliance im Hinblick auf ESG ist daher dringend erforderlich und sollte schnell und zeitnah begonnen werden. Mit diesem Blogbeitrag wollen wir die drei Top-Trends der ESG-Compliance kurz darstellen, beginnen aber mit einer Darstellung, was ESG im Unternehmen eigentlich bedeutet und worauf sich ESG im Unternehmen bezieht.

Was bedeutet ESG?

Umwelt, Soziales und Unternehmensführung, kurz ESG genannt, sind Bereiche, in denen die Auswirkungen eines Unternehmens oder einer Organisation auf die Umwelt und die Gesellschaft sowie ihre Verantwortlichkeit und Transparenz gemessen werden sollen.

Schaubild ESG Aktivitäten und Maßnahmen

Grafik: (c) WIRTSCHAFTScampus 2024

ESG-Aktivitäten und Maßnahmen helfen Unternehmen, ihre Nachhaltigkeitsbemühungen zu verbessern, ihren CO2-Fußabdruck zu verringern und einen positiveren Einfluss auf die Gesellschaft zu haben. Die Einhaltung von Nachhaltigkeitsregelungen, Auflagen und Gesetze können dazu beitragen, die Unternehmen für einen langfristigen Erfolg zu positionieren und ihre Marktstellung, ihren Erfolg und ihre Investitionsfähigkeit zu verbessern.

Worauf bezieht sich ESG im Unternehmen?

Umwelt

Hier geht es um die Maßnahmen, die ein Unternehmen ergreift, um seine Auswirkungen auf die Umwelt zu minimieren – von der Herstellung seiner Produkte und Dienstleistungen bis hin zur Optimierung seiner Lieferkette und seinen internen Betriebsabläufen. Das Unternehmen kann nachhaltigere und ethischere Praktiken einführen, indem es:

  • Verringerung des Energieverbrauchs durchsetzt
  • Umstellung auf erneuerbare Energiequellen durchführt
  • Entwicklung von abfallfreien Produkten und nachhaltigen Verpackungen vorantreibt
  • Verringerung der Kohlenstoffemissionen umsetzt
  • Abfallreduzierung und Förderung des Recyclings verbessert


 

Soziales

Beim sozialen Aspekt geht es darum, wie das Unternehmen seine Kunden, Mitarbeiter und Lieferanten im weiteren Sinne positiv beeinflussen kann. Dies wird durch die Umsetzung fairer und ethischer Geschäftspraktiken erreicht, wie z. B:

  • Förderung der Gleichberechtigung am Arbeitsplatz
  • Verhinderung von Missbräuchen in der Lieferkette
  • Schutz von Kundendaten und Gewährleistung der Sicherheit von Produkten
  • Vorrang für die Sicherheit und das Wohlergehen der Mitarbeiter
  • Faire Entlohnung der Mitarbeiter
  • Investitionen in die Allgemeinheit

Governance

Die Governance bezieht sich auf die Entscheidungs- und Berichterstattungsprozesse des Unternehmens. Sie definiert sich auf die Ethik und Transparenz des organisatorischen Verhaltens sowie auf Entscheidungen im Zusammenhang mit den sozialen und ökologischen Aspekten von ESG. Beispiele für gute Unternehmensführung sind:

  • Genaue und transparente Finanzberichterstattung
  • Klare Kommunikation der Strategie und der Tätigkeiten des Unternehmens
  • Rechenschaftspflicht der Unternehmensleiter und Manager
  • Festigung von Entscheidungen mit ethischen Grundsätzen
  • Förderung der Vielfalt innerhalb des Führungsteams

Wenn das Unternehmen ESG in seinen Mittelpunkt stellt, kann es Kosten senken, Gewinne erhöhen und die Nachhaltigkeit stärken. All dies kann zu einem starken und positiven Wettbewerbsvorteil werden.

ESG – Trends im Jahr 2024

Im zweiten Teil dieses Blogbeitrags, der in der nächsten Woche erscheint, werden wir uns mit den kommenden, aktuellen ESG-Trends für das Jahr 2024 wie Transparenz im Unternehmen, Greenwashing, Lieferketten und Scope-Emissionen beschäftigen.

Certified ESG Compliance Officer – Jetzt mit der Weiterbildung starten!

Nutzen Sie jetzt unsere aktuelle Weiterbildung im ESG-Bereich! Positionieren Sie sich jetzt im ESG-Umfeld und sichern sie sich ihre berufliche Zukunft und den nachhaltigen Erfolg ihres Unternehmens.

Alle Informationen zum ESG Compliance Officer finden Sie hier:
Fernstudium zum ESG-Compliance Officer

Compliance Officer und KI: Heute – Morgen – Übermorgen

Stefan Haas

Prolog

1956: Die Geschichte beginnt: Der Begriff „KI“ entsteht.

Im Sommer 1956 treffen sich Wissenschaftler zu einer Konferenz am Dartmouth College im US-Bundesstaat New Hampshire. Sie sind der Ansicht, dass Aspekte des Lernens sowie andere Merkmale der menschlichen Intelligenz von Maschinen simuliert werden können. Der Programmierer John McCarthy schlägt dafür den Begriff „Künstliche Intelligenz“ vor.

 

Eine aktuelle Compliance-Studie aus dem Jahr 2023 zeigt: Nein, die künstliche KI wird den menschlichen Compliance Officer nicht ersetzen können, aber die Arbeitsaufgaben im Bereich Compliance in den nächsten Jahren deutlich beeinflussen. In diesem Beitrag finden Sie die aktuellen Ergebnisse dieser Befragung, doch zu Beginn ein kurzer Einstieg in die Thematik der künstlichen Intelligenz (KI).

 

KI: Eine kurze Definition

Künstliche Intelligenz (KI) ist die Intelligenz von Maschinen oder Software, im Gegensatz zur Intelligenz von Menschen. Sie ist auch das Fachgebiet der Informatik, das sich mit der Entwicklung und Erforschung intelligenter Maschinen befasst. Der Begriff „KI“ kann sich auch auf die Maschinen, zum Beispiel auf einen Roboter oder Androiden, selbst beziehen.

 

Die KI-Technologie hat sich in der Industrie, in der Regierung und in der Wissenschaft in den letzten Jahren sehr weit verbreitet. Einige bekannte Anwendungen sind u.a.:

  • Internet-Suchmaschinen (Google / Bing)
  • Empfehlungssysteme (verwendet von YouTube, Amazon und Netflix)
  • das Verstehen / Übersetzung menschlicher Sprache (Siri / Alexa)
  • selbstfahrende Autos (Waymo von Google / Cruise von General Motors)
  • generative oder kreative Werkzeuge (ChatGPT / KI-Kunst)
  • strategische Spiele (Schach / Go).

Allgemeine Intelligenz, das heißt, die Fähigkeit, ein beliebiges Problem oder eine Aufgabenstellung zu lösen, gehört zu den primären Zielen der künstlichen Intelligenz.

 

KI und Compliance im Unternehmen

In jedem Unternehmen, gleich welcher Branche und Größe, wird die Menge der Daten, die täglich verarbeitet werden müssen, immer größer. Was früher Tage und bis zu Wochen und Monate dauern konnte, erledigt heute die KI in Sekunden.

Das entlastet Mitarbeiter, beschleunigt und optimiert interne Prozesse und spart Zeit bei Entscheidungsfindungen oder der Einschätzung von Risiken. Selbstverständlich beinhaltet dies auch die Aufgaben der Compliance-Abteilung im Unternehmen und kann nachhaltig den Compliance Officer in seiner Arbeit und bei seinen Aufgaben entlasten.

 

Wo kann KI der Compliance helfen?

Bereits jetzt können KI-Instrumentarien und spezielle Softwaretools in den nachfolgenden Beispielen eingesetzt werden:

  • Hinweise auf Compliance-Unregelmäßigkeiten und Verstöße im Unternehmen, zum Beispiel bei Betrugsverstößen oder Geldwäsche
  • Datensammlung und Datenverarbeitung zur Optimierung des Risikomanagementsystem (RMS) und der Compliance-Risiko-Analyse durch Sammlung und Analyse von internen und externen Datenquellen
  • Deutliche Zeitminimierung für den Compliance Officer bei der Durchsicht von Texten wie juristischen Dokumenten und Gesetzestexten, Compliance-Vorschriften, nationalen und internationalen Standards und Vorschriften
  • Erreichbarkeit und Kommunikation für Mitarbeiter bei Rückfragen im Compliance-Umfeld durch die Nutzung von Chatbots wie zum Beispiel ChatGPT (OpenAI) oder LaMDA – Language Model for Dialogue Applications (Google LLC).

 

KI und Compliance: Aktuelle Studie aus 2023

Wie sehen heute die Compliance-Mitarbeiter die momentane und zukünftige Situation von Compliance-Beauftragten im Hinblick auf KI? Nachfolgend hierzu ein Überblick und die Key Findings einer aktuellen Studie (Mai / Juni 2023) der EQS Group AG, bei der über 200 Mitarbeiter aus dem Compliance-Bereich in Deutschland, Österreich und Luxemburg befragt wurden.

Welche Auswirkungen sind dies bereits heute in der Compliance?

  • Generelle Auseinandersetzung mit der Thematik aus Compliance-Sicht
  • Richtlinie über den verantwortungsvollen Umgang mit KI-Tools
  • Restriktionen bzgl. der Weitergabe von Daten
  • Informationsveranstaltungen
  • Prüfung auf Datenschutz und Informationssicherheit
  • Awareness-Schulung für Mitarbeitende
  • Rechtliche Beurteilung des Spannungsfelds „Vorteile vom Einsatz von KI vs. DSGVO und Geschäftsgeheimnisgesetz“
  • Hinterfragen der Datenverarbeitung
  • Interne Hinweise auf Beachtung der Vertraulichkeit von bestimmten Informationen
  • Erstellung von KI-Ethikregeln
  • Risikoanalyse

Wofür wurden KI-Tools eingesetzt?

74,2% für Kommunikation

40,4% für Allgemeine Recherche

7,9% für Screening Prozesse

 

Warum wurden KI-Tools nicht eingesetzt?

54,7% wegen Vorbehalten beim Datenschutz / Datensicherheit

35,2% aus zeitlichen Gründen („Keine Zeit“)

18,0% wegen ethischer Vorbehalte

14,1% da kein erkennbarer Nutzen erkennbar ist

28,2% aus anderen Gründen („Ich weiß nicht“)

Hier zeigt sich, dass Compliance und KI in der Zukunft ein sehr gravierendes Thema für Compliance Officer sein wird. Für 85% der Compliance Officer ist es wichtig, sich über die Technologie und die Auswirkungen von KI auf die Compliance jetzt und in der Zukunft auf dem Laufenden zu halten.

Es müssen in der nahen Zukunft zwingend Regularien im Compliance-Bereich erarbeitet und in das bestehende Regelwerk eingearbeitet werden. Ausdrücklich gilt dies nicht nur für den organisatorischen Bereich, zum Beispiel für Mitarbeiter oder Lieferanten sowie die Kundenstruktur, sondern knapp 80% der Compliance-Beauftragten sehen diese auch zwingend für den ethischen Aspekt im unternehmerischen Umfeld.

Nein, die KI wird kein Ersatz für die berufliche Zukunft des Compliance Officers!

 

Zwar stimmen knapp 70% der befragten Compliance-Fachkräfte der Einschätzung zu, dass die KI den täglichen Arbeitsprozess im Unternehmen erheblich beeinflussen und verändern wird, doch die Gefahr des kompletten Ersatzes für den Menschen durch die KI sehen die Compliance-Fachkräfte nicht.

 

Daher ist das Berufsbild des Chief Compliance Officers gesucht und die Bedeutung und Ausbildung im Compliance-Bereich wird in den nächsten Jahren noch deutlicher ansteigen als bisher – in allen Unternehmen, gleich welcher Größe und aus welcher Branche, wächst der Bedarf an ausgebildeten Fachkräften für diesen Bereich.

 

Informationen zu unseren Compliance-Ausbildungen finden Sie hier:

Certified Compliance Officer

Certified Chief Compliance Officer

Compliance-Spezialisierungen

Certified ESG Compliance Officer

Certified Export Compliance Officer

Certified Tax Compliance Officer

Certified IT Compliance Officer

 

Rückblick:

Das Thema KI und Unternehmen im Zusammenhang mit Compliance finden sie ausführlich auch in diesen älteren Blogbeiträgen, die aber an Aktualität nichts verloren haben:

Compliance und Konzerne

https://www.wirtschaftscampus.de/compliance-focus/2018/02/

Compliance und Ethik-Leitlinien

https://www.wirtschaftscampus.de/compliance-focus/2019/07/

 

Epilog:

„Nachdem wir das Feuer erfunden hatten, haben wir uns ein paar Mal dumm angestellt und dann den Feuerlöscher erfunden. Bei mächtigeren Technologien wie hoch entwickelter KI sollten wir uns vorher Gedanken machen und große Mühe geben, gleich alles richtig zu machen. Denn womöglich haben wir nur diese eine Chance.“

Stephen Hawking (* 8. Januar 1942 in Oxford, England; † 14. März 2018) – britischer theoretischer Physiker und Astrophysiker

Export Compliance – Darf es ein U-Boot mehr sein?

Stefan Haas

Fakten

Die deutsche Wirtschaft ist in hohem Maße exportorientiert. Rund jeder vierte Arbeitsplatz in Deutschland hängt vom Export ab. Gleichzeitig ist Deutschland als rohstoffarmes Land auch auf Importe angewiesen. Trotz dieser Import-Abhängigkeit liegen in Deutschland die Warenausfuhren seit Jahrzehnten über den Wareneinfuhren. Und in den Jahren 2014 bis 2019 wurden neue Rekordüberschüsse bei der Handelsbilanz erzielt: Der Wert der exportierten Waren lag in allen sechs Jahren um mehr als 210 Milliarden Euro über dem Wert der importierten Waren.

Im Jahr 2019 exportierte Deutschland nach Angaben des Statistischen Bundesamtes (Stand April 2021) Waren im Wert von 1.328 Milliarden Euro und importierte im Gegenzug Waren im Wert von 1.104 Milliarden Euro – nie zuvor war der Wert der Ex- und Importe höher. Insgesamt erhöhte sich der Warenexport beziehungsweise der Warenimport in den Jahren 1980 bis 2019 jährlich um 5,3 beziehungsweise 4,8 Prozent.

Durch die Corona-Pandemie wurde diese Entwicklung allerdings vorerst gestoppt: Im Jahr 2020 lag der Export bei 1.205 Milliarden Euro und der Import bei 1.025 Milliarden Euro – gegenüber 2019 entsprach das einem Rückgang beim Export um 9,3 und beim Import um 7,1 Prozent.


Quelle: Statistisches Bundesamt 2021
Grafik: WIRTSCHAFTScampus

Prognosen, zum Beispiel des Instituts für Makroökonomie und Konjunkturforschung (IMK) der Hans-Böckler-Stiftung für das Jahr 2022, zeigen aber, dass sich diese absteigende Tendenz stabilisieren und im Hinblick auf 2022 die Werte wieder deutlich ansteigen werden. Das IMK geht von einem Wirtschaftswachstum im Jahr 2022 von 4,9% aus.

Export Compliance – Es geht nicht mehr ohne!

Im Rahmen der Globalisierung verkaufen Unternehmen fast aller Branchen und Größen ihre Produkte in viele Länder. Da in diesen Ländern jeweils unterschiedliche Gesetze, technische Vorschriften oder infrastrukturelle Voraussetzungen gelten, müssen exportierende Unternehmen prüfen, ob die Produkte den jeweiligen Gesetzen und geltenden Vorschriften entsprechen. Ihre Lieferkette hängt von der Einhaltung verschiedener Handelsabkommen, internationaler Handelsbestimmungen und der zollrechtlichen Einstufung ab. Doch selbst erfahrene Unternehmen verursachen unbeabsichtigt Import- und Exportverstöße, die zu hohen Strafen und Bußgeldern in Bezug auf Dual-Use-Güter führen können.

Das internationale Geschäft ist komplexer als je zuvor, und deshalb benötigt jedes Unternehmen ein klares Verständnis und eine klare Definition der Regeln der Exportkontrolle, der Zollbehörden und der Exportgesetze. Der Export und natürlich genau so der Import sind zu einem wesentlichen Teil des Tagesgeschäfts geworden. Da das Geschäft vom globalen Handel abhängt, muss das Unternehmen sicherstellen, dass seine Abläufe eine globale Compliance in den Segmenten Import und Export sicherstellen. Um wettbewerbsfähig zu bleiben, müssen Unternehmen ein umfassendes Verständnis für die Gesetze und Vorschriften haben, die ihre Importe und Exporte regeln. Genau hier liegt der Bereich, für den der Export Compliance Officer verantwortlich ist.


Die Einhaltung von Handelsvorschriften ist für den Import und Export von entscheidender Bedeutung und liegt allgemein in der Verantwortung des Unternehmens und speziell im Aufgabenbereich des Export Compliance Officers. Damit Compliance im Import und Export richtig gelebt und umgesetzt wird, muss das Verständnis aufgebaut werden, welche Regeln und Vorschriften für das Unternehmen gelten. Konform zu sein bedeutet, die Anforderungen und Bedürfnisse von Kunden und Lieferanten zu erfüllen und dazu Nachhaltigkeit, langfristig orientiertes Wachstum und individuelle Wettbewerbsvorteile zu unterstützen. Genau hierin liegen die Schlüsselelemente für eine sichere, erfolgreiche und zukunftsorientierte globale Lieferkette. Unter Einhaltung dieser Handelskonformität im Unternehmen kann:

  • der Ruf des Unternehmens und der Mitarbeiter geschützt werden, indem legal und verantwortungsvoll Handel von Gütern betrieben wird,
  • die Gefahr von Geldstrafen und Bußgeldern minimiert werden,
  • die Zufriedenheit der Kunden durch Vermeidung von Verzögerungen beim Versand gefördert werden,
  • die finanzielle Belastung der Unternehmen durch eine reibungslose Abwicklung des Exports vermieden wird.

Einer der Schwerpunkte im Bereich der Export Compliance ist der Bereich Rüstung und Waffen. In diesem Blogbeitrag soll kurz anhand eines Beispiels dargestellt werden, dass Einzelpersonen und Unternehmen in früheren Jahren massiv gegen Compliance-Regeln verstoßen haben, wie wir sie heute kennen.

Basil und seine U-Boote


Basil Zaharoff (* 6. Oktober 1849 † 27. November 1936)
© Bibliothèque nationale de France / Wikimedia Commons

Basil Zaharoff, geboren als Vasileios Zacharias, war ein griechischer Waffenhändler und Industrieller. Als einer der reichsten Männer der Welt zu seinen Lebzeiten wurde er als “Kaufmann des Todes” und “mysteriöser Mann Europas” beschrieben. Sein Erfolg wurde durch seine listige, oft aggressive und scharfe Geschäftstaktik geschmiedet. Dazu gehörte der Verkauf von Waffen an gegnerische Seiten in Konflikten, manchmal die Lieferung gefälschter oder fehlerhafter Maschinen und der geschickte Einsatz der Presse, um Geschäftskonkurrenten anzugreifen.

Als eines seiner größten und zugleich für ihn lukrativsten Geschäfte gilt der Verkauf von insgesamt fünf U-Booten.

1886 kaufte er die Pläne für eines der ersten U-Boote auf der Welt vom Briten George Garrett, ein englischer Erfinder und Geistlicher(!). Aus heutiger Sicht war das daraus gebaute U-Boot mit Namen Nordenfelt I vorsintflutlich. Das U-Boot ließ sich kaum unter Wasser steuern, für jeden Torpedoschuss musste das Schiff auftauchen, die Gefahr, dass die Maschinen komplett ausfielen und das U-Boot sank, hoch. Vieles spricht dafür, dass keines der später gebauten U-Boote jemals funktionsfähig zum Einsatz kam. Trotzdem präsentierte Zaharoff sein Schiff auf mehreren Militärkonferenzen, aber die großen Industriemächte wie die USA lehnten dankend und skeptisch ab. Für Zaharoff kein Grund, eine Niederlage im Verkauf einzugestehen, sondern für ihn die Motivation, das U-Boot nun kleineren Staaten in Europa anzubieten.

Es gelang ihm durch geschicktes Agieren, das untaugliche U-Boot an Griechenland, die Türkei und schließlich an Russland zu verkaufen.

Aus heutiger Sicht liegen hier massive Verstöße gegen Compliance vor. Verständlich, dass an den Regeln des Exports intensiv gearbeitet wurde und so ein komplexes und kompliziertes System entstand.

Heute werden an den Export von Waffen und Rüstungsgütern; aber auch an Güter, die sowohl zu zivilen als auch militärischen Zwecken verwendet werden können, hohe Anforderungen gestellt. Es sind eine Vielzahl von nationalen und internationalen Vorschriften zu beachten, sodass im Tagesgeschäft schnell Embargos oder Sanktionslisten übersehen werden können.

Haftung

Aber wer haftet eigentlich bei Verstößen gegen Exportkontrollrecht? Im Gegensatz zu Verstößen gegen Zollbestimmungen, die i.d.R. als steuerrechtlicher Verstoß eingestuft werden, liegt hier i.d.R. ein Verstoß gegen Straf- oder Ordnungswidrigkeitenrecht vor.

Je nach Organisation im Unternehmen kommt hier eine persönliche Haftung der Geschäftsführung oder des Ausfuhrverantwortlichen infrage. Der Haftungsmaßstab ergibt sich aus der Frage, ob der Verstoß vorsätzlich der fahrlässig begangen wurde. Ein Export-Compliance-System kann hier wertvolles Indiz dafür sein, dass der Verstoß nur fahrlässig erfolgte.

Ausblick

Ob nun U-Boote in der Vergangenheit oder Güter und Waren in der Gegenwart. Die Export Compliance im Unternehmen wird ein immer signifikanteres Segment im Bereich der Compliance werden als sie es bisher schon ist bzw. sein sollte. Es werden Spezialisten benötigt bzw. bereits tätige Mitarbeiter im Bereich der Compliance müssen eine spezielle Aus- und Weiterbildung erhalten.

Der Export Compliance Officer

Aktuell und praxisorientiert! Seit Dezember 2021 bietet der Wirtschaftscampus die Weiterbildung zum Export Compliance Officer an.

Der Certified Export Compliance Officer übernimmt die gesamte Verantwortung für die Organisation und die Umsetzung aller notwendigen Aufgaben und Maßnahmen im Bereich der Exportkontrolle. Darüber hinaus überwacht er die Einhaltung dieser Anforderungen sowie Durchführung aller Exportgeschäfte des Unternehmens.

Schwerpunkte des Zertifizierungs-Lehrgangs sind u.a.:
• Grundlagen der Export Compliance
• Genehmigungspflichten und Ausfuhrverfahren
• Ausgestaltung eines Export-Compliance-Systems (ECS)
• Technologietransfer und US-Exportkontrollrecht (EAR)
• Strafrechtliche Risiken, Lieferkettengesetz und US-Exportkontrollrecht (ITAR)

Alle Informationen zu dieser neuen Weiterbildung und zu allen anderen Compliance-Weiterbildungen des Wirtschaftscampus finden Sie hier:
https://www.wirtschaftscampus.de/lehrgaenge/compliance-officer/certified-export-compliance-officer

Homeoffice und Compliance in Zeiten der Corona-Pandemie

Stefan Haas


Triumpf des Todes – Pieter Bruegel der Ältere (* um 1525/1530 † 9. September 1569), Maler der niederländischen Renaissance

Prolog:

“Das ist eine Idee, über die man lachen kann, aber die einzige Art, gegen die Pest anzukämpfen, ist der Anstand.“
Albert Camus (* 7. November 1913 † 4. Januar 1960) aus „Die Pest“ (1947)

Momentan befinden wir uns in einer geschichtlichen Phase mit einer Bedrohung für die Menschen und die globale Wirtschaft, welche wir uns vor einem Jahr noch nicht einmal hätten vorstellen können. Die aktuelle Situation kennen wir eigentlich für uns persönlich nur aus Geschichtsbüchern. Natürlich gab es in der Geschichte der Menschheit immer wieder Bedrohungen durch Krankheiten, doch hat sich bis heute niemals eine Pandemie weltweit so schnell ausgebreitet wie Covid-19.

Zu Anfang dieses Blogbeitrags ein Blick zurück, der auch ein Blick nach vorne sein kann, was vielleicht in der Zukunft auf uns zukommen könnte bzw. hoffentlich nicht auf uns zukommen wird.

Rückblick

Pandemien gibt es, solange es Menschen gibt. Die meisten Opfer hatte wohl die Pest Mitte des 14. Jahrhunderts. Sie forderte weltweit schätzungsweise mehr als 200 Millionen Menschenleben, allein in Europa soll rund die Hälfte der Bevölkerung ums Leben gekommen sein. Es dauerte rund 100 Jahre, bis sich die Bevölkerungszahl auf das Vor-Pest-Niveau erholte. Die politischen, wirtschaftlichen und kulturellen Auswirkungen waren dramatisch.

Besser im Gedächtnis geblieben ist die Spanische Grippe von 1918 bis 1920. Sie ist die bisher letzte große Pandemie der Neuzeit und gerade mal 100 Jahre her. Sie war eine Mutation der Vogelgrippe und kam aus den USA ins kriegswunde Europa. An ihr starben nach Schätzungen 25 bis 50 Millionen Menschen. Die Spanische Grippe fegte in drei Wellen über die Welt. Im Frühjahr 1918 brach die erste Welle los, fiel aber angesichts von wöchentlich vielen tausend Toten an der Front zunächst nicht auf. Erst später merkte man, dass zum Beispiel die amerikanische Armee fast so viele Soldaten durch die Grippe wie durch Kriegshandlungen verlor.

Besonders tödlich verliefen die zweite und dritte Welle ab Herbst 1918 bzw. Frühjahr 1919. Zwei von drei Menschen infizierten sich mit dem Virus. In den industrialisierten Ländern lag die Sterblichkeit bei rund fünf Prozent und in ärmeren Ländern bei bis zu zehn Prozent. Insgesamt forderte die Grippe mehr Tote als der erste Weltkrieg. Rund zwei Prozent der damaligen Weltbevölkerung von 1,8 Milliarden Menschen starb an ihr.

Die bisherigen Opferzahlen der heutigen Covid-19-Pandemie sind von den Horrorzahlen der Spanischen Grippe noch sehr weit entfernt. Gemeinsamkeiten sind beiden Pandemien die schnelle und weltweite Ausbreitung und die hohen Sterblichkeitsraten. Allerdings sind wir heute, gerade im medizinischen Bereich, in einer besseren Position als wir es 1918 am Ende des Weltkriegs waren. Aus diesem Grund sind die Voraussetzungen für einen Erfolg bei der Bekämpfung, zum Beispiel durch Impfungen, deutlich höher und erfolgversprechender.

Corona – Wie alles begonnen hat

Von China ausgehend hat sich das neue Coronavirus SARS-CoV-2 weltweit verbreitet. Die Millionenmetropole Wuhan in der Provinz Hubei war dabei mit großer Wahrscheinlichkeit das Zentrum des Ausbruchs. Die damit einhergehende Erkrankung wird Coronavirus Disease 2019 (COVID-19) genannt. Das Virus SARS-CoV-2 hat sich in der kurzen Zeit nach seiner erstmaligen Entdeckung im Dezember 2019 sehr effizient insbesondere durch Tröpfcheninfektion, aber auch durch Aerosolinfektion, von Mensch zu Mensch ausgebreitet.

Am 31. Dezember 2019 wurde das WHO-Landesbüro in China über eine Häufung von Lungenentzündungen in Wuhan informiert. Die chinesischen Behörden haben am 7. Januar 2020 das neuartige Coronavirus SARS-CoV-2 als Ursache der Erkrankung identifiziert. Die WHO hat am 11. März 2020 das Infektionsgeschehen als „pandemisch“ charakterisiert. In der ersten Phase war China am stärksten betroffen, es folgten dann als „Hotspots“ Europa, die Vereinigten Staaten von Amerika, Südamerika und schließlich Indien.

Mit Beginn der Coronapandemie wurde für viele Arbeitnehmer Homeoffice plötzlich und ungeplant zum neuen Standard, von zu Hause aus zu arbeiten. Für die meisten eine völlig neue Erfahrung und auch für zahlreiche Unternehmen eine große Umstellung.

Homeoffice – ein neuer Trend, der keiner ist!

Dabei ist der Begriff des Homeoffice, als das Arbeiten von daheim (Heimarbeit) an sich eigentlich nichts Neues in der vergangenen zeitlichen Historie. Tatsächlich ist die Heimarbeit sogar älter, als die Arbeit in industriellen Großbetrieben und kann bis ins 13. Jahrhundert zurückverfolgt werden. Einen großen Ausschlag für „Arbeiten von zu Hause“ war die Einführung des Verlagssystems, später auch Verlagswesen genannt. Der Begriff Verlagswesen steht für die dezentrale Arbeitsorganisation. Meist waren es zu Anfang Textilien, die dabei von den so genannten Verlegten, in der Regel Frauen und Kinder, in Heimarbeit hergestellt wurden, um dann durch den Verleger zentral vermarktet zu werden. Das Wort „Verlag“ leitet sich von Vorlage ab. Der Verleger trat dabei mit Geld (Finanzierung) und/oder Rohstoffen in Vorlage

Hier gilt natürlich, dass sich die damalige Heimarbeit in keiner Weise mit dem heutigen, modernen, computer- und internetgestützten Homeoffice vergleichen lässt. Mit Beginn der Corona-Pandemie sind Millionen Berufstätige in Deutschland ins Homeoffice gewechselt und bis heute nicht wieder in die Büros zurückgekehrt. Auch ist ein Ende der Arbeit im Homeoffice für die meisten Mitarbeiter zum jetzigen Zeitpunkt (Stand April 2021) im Hinblick auf die Pandemie und die Maßnahmen der Bundesregierung nicht abzusehen.

Betrachtet man das Jahr 2020, so arbeiteten ein Viertel (25 Prozent) der Berufstätigen ausschließlich im Homeoffice. Dies entspricht in etwa 10,5 Millionen Berufstätigen. Auf weitere 20 Prozent (8,3 Millionen) trifft das zumindest teilweise zu, also nicht an allen Arbeitstagen pro Woche. Insgesamt arbeitet damit aktuell fast jeder Zweite (45 Prozent) zumindest teilweise im Homeoffice. Homeoffice bringt für Arbeitnehmer und auch Arbeitgeber Vorteile. Nicht vergessen werden dürfen aber die Risiken, die sich bei dieser Form des Arbeitens ergeben können.

Nach mittlerweile über einem Jahr in der Coronakrise gilt die herrschende Meinung, dass das Arbeiten von zu Hause kein temporäres Phänomen während der Pandemie ist, sondern das Arbeiten im Büro, zumindest in Teilen, auch nach dem Ende der Pandemie ersetzen kann und wird. Momentan wird daher viel über die Vorteile und Vorzüge des Homeoffice in vielen Branchen und Unternehmen diskutiert und teils sogar schon geplant.

Die Risiken dürfen hier nicht vergessen werden!

Die Unternehmen müssen sich sehr schnell Gedanken darüber machen, wie sie ein sicheres Arbeiten von zu Hause, beginnend mit dem Arbeitsplatz und der Peripherie, für Arbeitnehmer schaffen können, da sich der Arbeitsplatz im Homeoffice von zu Hause deutlich von einer Tätigkeit in den dafür vorgesehenen und ausgestatteten Büros im Unternehmen unterscheidet.

Mit dem Übergang zu vermehrten Heimarbeitsplätzen wurden viele Mitarbeiter ins Homeoffice geschickt, sodass die Arbeit von zu Hause aus durch Laptops, Tablets und sonstige Mobile Devices im Großen und Ganzen aufrechterhalten werden kann. Die nachfolgenden Risiken sollen zeigen, dass mit der Verlagerung des Arbeitsplatzes aus den Büros die Infrastruktur des Arbeitsplatzes im Unternehmen sowie die geschützte Arbeitsumgebung im Büro auch nicht annähernd nachgebaut oder gar ersetzt werden konnten.

Die Bedrohungslage begann fast zeitgleich mit der Gefahr durch die Covid-19 Pandemie. Durch die Studie „Studying how Cybercriminals prey on the Covid-19 Pandemic“ aus dem Jahr 2020 wird belegt, dass im Zeitraum vom 01.01.2020 bis 31.03.2020 116.357 neue Domains mit Corona-Bezug identifiziert wurden. Ab dem 12.03.2020 wurden ca. 3.000 Domains pro Tag registriert. Von diesen wurden 2.022 Domains eindeutig als maliziös identifiziert, während 40.261 Domains, also fast ein Drittel, eindeutig als hochriskant eingestuft wurden.

Beispiel für die Bedrohung im Homeoffice

Der Mitarbeiter eines Unternehmens im Homeoffice erhält eine Reihe von Telefonanrufen. Der Anrufer gibt vor, sich aus der IT-Abteilung des Unternehmens zu melden und Probleme mit der VPN-Verbindung (virtuelles privates Netzwerk) beheben zu müssen. Damit soll der Mitarbeiter im Homeoffice dazu gebracht werden, seine Zugangsdaten am Telefon mitzuteilen oder auf einer gefälschten Internetseite Daten einzugeben, die dem E-Mail- oder VPN-Portal des Zielunternehmens täuschend ähnlich sieht. Die URL dieser Fake-Webseite erinnert an den Namen des Unternehmens. Auf einer gut programmierten Phishing-Seite können sogar funktionierende Links auf echte interne Online-Ressourcen des tatsächlichen Unternehmens integriert sein.

Die Angreifer konzentrieren sich vor allem auf neue Mitarbeiter und geben sich selbst als neue Mitarbeiter der IT-Abteilung aus. Um glaubwürdiger zu wirken, erstellen sie sogar Profile auf LinkedIn oder anderen Social Media Plattformen und versuchen, sich darüber mit anderen Mitarbeitern des Zielunternehmens zu vernetzen. So wird schnell der Eindruck vermittelt, dass das gefälschte Profil tatsächlich zu einem echten Mitarbeiter im Unternehmen gehört.

Bei dieser Art von Angriff kommt es vor allem auf Schnelligkeit an. Die meisten Unternehmen setzen für den VPN-Zugang auf Multi-Faktor-Authentifizierung (MFA). Zusätzlich zu Username und Passwort ist zwingend eine weitere Information zur Authentifizierung erforderlich, damit das Einloggen möglich ist. Diese Information (ein einmaliger Code, der von einer App generiert oder per SMS an den Mitarbeiter gesendet wird) ist in den meisten Fällen nur für einen sehr kurzen zeitlichen Rahmen gültig.

Diese Sicherheitsmaßnahme umgehen die Angreifer, indem sie auf ihren vorher erstellten Phishing-Seiten diese zusätzliche Information einfach mit abfragen. Sollte der Homeoffice-Mitarbeiter seine Log-in-Informationen gleich am Telefon mit angeben, loggen sich die Angreifer in Echtzeit im VPN ein, bevor der Zusatzcode nicht mehr gültig ist.

Schutz von Unternehmensdaten im Homeoffice

In den seltensten Fällen haben diese Arbeitnehmer zu Hause ein eigenes Arbeitszimmer. Häufig wird die Küche oder das Wohnzimmer genutzt. Hier ist eine Trennung von privatem und beruflichem Leben kaum oder nur sehr schwer durchzusetzen. Das zieht einige ungewollte Konsequenzen und deutliche Risiken nach sich.

  • Telefonate: Durch die oft nicht mögliche räumliche Trennung ist es möglich, dass dritte Personen hier Inhalte von Telefonaten ohne Probleme mithören können. Dies gilt gleichermaßen für Familienangehörige. Aber auch externe Personen wie Freunde oder zum Beispiel Handwerker oder Putzkräfte, können interne und vertrauliche Inhalte, gewollt oder ungewollt, mithören.
  • Private Speichermedien: Oft ersetzen (private) Smartphones einen Scanner, da dieser nicht vorhanden ist. Dokumente und Unterlagen mit vertraulichen Inhalten werden daher mit der Kamera des Handys fotografiert, in einer privaten Cloud-Struktur zwischengelagert, um dann als Bild via Messenger oder Mail versendet zu werden. Oft werden diese Bilder auf der Cloud des Messenger- oder Mail Anbieters gespeichert, deren Server in den meisten Fällen im Ausland zu finden sind, wodurch oft kein ausreichendes Datenschutzniveau gewährleistet ist, oder Benutzer die Rechte an den Daten weitegehend abtreten.
  • Unsichere Netzwerke: Da die Datenversendung von zu Hause aus passiert, wird in fast allen Fällen der hauseigene WLAN-Router des Anbieters für das private Internet genutzt. Firewall-Einstellungen oder sonstige Sicherheitsmaßnahmen, wie sie im Unternehmen für den Datenschutz genutzt werden, wird man in den seltensten Fällen für die private Nutzung des Internets von zu Hause aus finden. Zum Beispiel gilt dies auch für regelmäßige Software-Updates, die innerbetrieblich meist durch einen IT-Beauftragten regelmäßig durchgeführt werden.
  • Videokonferenzen: Mit dem Beginn des Homeoffice und der Dezentralisierung der Mitarbeiter nutzen sehr viele Unternehmen für Besprechungen und Meetings spezielle Software für Videokonferenzen. Allerdings haben diese Programme ihren eigentlichen Ursprung im privaten Bereich und wurden vor der Pandemie nicht für geschäftliche, und somit vertrauliche, Gespräche genutzt.

Die 8 nervigsten Probleme in einer Videokonferenz


Quelle: Online-Befragung 2/2021 von news aktuell und Faktenkontor / n=353 Teilnehmer aus Unternehmen, Organisationen und PR-Agenturen / Mehrfachnennungen möglich
Grafik: WIRTSCHAFTScampus

Notwendige Maßnahmen bei Homeoffice

Sämtliche Geschäftsprozesse müssen durch die veränderte Form des Homeoffice und der Auslagerung auf einen externen Arbeitsplatz außerhalb der feststehenden Geschäfts- und Unternehmensstruktur ausgerichtet und überprüft werden. Ausdrücklich gilt dies auch für alle Kontrollinstrumentarien.

In den Unternehmen vorhandene Arbeitsanweisungen, Richtlinien, Stellenbeschreibungen oder Schulungen sind nicht auf die neuen Herausforderungen ausgerichtet und müssen daher dringend auf die neue Arbeitssituation hin angepasst werden. Hier ist zu beachten, dass Unternehmen oft Unsummen investieren, um ihre Systeme zu schützen und dabei eines der wichtigsten Einfallstore außer Acht lassen: die Mitarbeiter. Eine umfassende Awarenesskampagne, die sich mit zielgruppenspezifischer Sensibilisierung der Mitarbeiter beschäftigt, ist daher unumgänglich und sollte in jedem Fall ergänzend zu Schulungen und Arbeitsanweisungen implementiert werden.

Ausdrücklich müssen diese, teils neuen und teils geänderten, Anweisungen in ein bestehendes Compliance Management System (CMS) mit eingebunden werden, um im Zuge einer Fortführung und/oder Intensivierung des Homeoffice existierende Risiken für das Unternehmen, ausdrücklich auch nach der Pandemie, adäquat und präventiv zu steuern.

Die besonderen Herausforderungen aus der Arbeit von zu Hause müssen Eingang in die Instrumente finden, die dem Unternehmen zur Erreichung seiner Ziele und zur Steuerung der Unternehmensrisiken zur Verfügung stehen. So sollte z.B. für das Homeoffice eine Richtlinie entwickelt werden, die den Mitarbeitern klare Vorgaben für die Arbeit im privaten Umfeld macht.

Mit einer solchen Arbeitsanweisung können die Lücken kompensiert werden, die sich aus dem Ausbrechen von bisherigen Arbeitsabläufen ergeben und besonders relevante Gebiete wie Datenschutz, IT-Sicherheit oder auch Schutz von Geschäftsgeheimnissen umfassen. Diese Inhalte werden dann sinnvollerweise durch Schulungen zusätzlich vermittelt, um im Rahmen dieser Trainings auch noch individuelle Risikoszenarien deutlicher zu beleuchten und gezielt Verhaltensempfehlungen zu geben.

Internes Kontrollsystem (IKS) und Risikomanagementsystem (RMS)

Bereits vorhandene Ablaufbeschreibungen, das interne Kontrollsystem (IKS) sowie das Risikomanagementsystem (RMS) müssen auf die neue Situation angepasst werden. Auf diese Art und Weise wird das Homeoffice ein fester und geregelter Bestandteil im Unternehmen. Zum Beispiel können hier bereits bestehende Regelungen für Mitarbeiter im Bereich Außendienst mit aufgenommen werden.

Mit diesen Änderungen und Ergänzungen bei bestehenden und neuen schriftlichen Arbeitsanweisungen und Verhaltenskodexen muss den Mitarbeitern aber auch eine technische Ausstattung (Tablets, Notebooks, PC, USB, Smartphone) gestellt werden, um die Arbeiten zu Hause in einem möglichst geschützten Umfeld vornehmen zu können.

Mit einer so erfolgenden Integration in die Management Systeme vermeidet die Unternehmensleitung auch den Vorwurf des Organisationsverschuldens, der sich ergeben könnte, wenn durch Fehlverhalten von Mitarbeitern in Ermangelung von Verhaltensanweisungen Schadensfälle eintreten.

Ausblick

Betrachtet man eine der ersten, aktuellen Studien in Deutschland aus dem Jahr 2020, die sich mit Homeoffice in Zeiten der Pandemie auseinandersetzt, ist im Hinblick auf die Zukunft der Thematik Homeoffice im Unternehmen die Kernaussage zu treffen: Auch nach der Corona-Krise werden Unternehmen verstärkt auf Homeoffice-Arbeitsplätze setzen!

Für ¾ der Befragten Teilnehmer (74%) wird sich nach der Pandemie und der Corona-Krise die Option Homeoffice durchsetzen. Sehr viele Unternehmen, die Anfang 2020 gezwungenermaßen Mitarbeiter in das Homeoffice entsenden mussten, sehen genau diese Option perspektivisch als die grundlegende und zukunftsorientierte interne Veränderung im Unternehmen. Wenn noch nicht geschehen, so ist es jetzt an der Zeit, Grundlagen und Vorsausetzungen zu schaffen, ob nun im IT-Bereich, im Hinblick auf arbeitsrechtliche Vorgaben für die Mitarbeiter oder im Segment Compliance, um strukturelle Änderungen perspektivisch vorzubereiten und durchzusetzen.

Den Homeoffice-Arbeitsplätzen und Cloud-Anwendungen wird die Zukunft gehören, und dies gilt ausdrücklich nicht nur für Großunternehmen, sondern gleichermaßen für Klein- und mittelständische Unternehmen.

Epilog:

»Die Zukunft kommt nicht – sie wird von uns gemacht! Die Frage ist nicht: Wie werden wir leben? Sondern: Wie wollen wir leben?«
Richard David Precht (* 8. Dezember 1964), deutscher Philosoph, Schriftsteller, Publizist und Moderator aus seinem Buch „Jäger, Hirten, Kritiker“ / 2020

Quellenangaben:

Studie: Cybercrime – Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie – Bundeskriminalamt / 2020
Studie: Studying How Cybercriminals Prey on the COVID-19 Pandemic / Unit 42 / 2020
Studie: Corona macht Homeoffice massentauglich / Bitkom Research / 2020
Ergänzungen: Rosalie Aigner – Referentin für Datenschutz und Informationssicherheit (Lufthansa CityLine)

Compliance-Ausbildung im WIRTSCHAFTScampus

Auch in der Zeit von Corona sind unsere Compliance-Weiterbildungen für alle unsere Teilnehmer gesichert. Nutzen Sie mit dem WIRTSCHAFTScampus die Möglichkeit zur zertifizierten Ausbildung im Bereich Compliance Management. Der WIRTSCHAFTScampus bietet die aufeinander abgestimmten Fernlehrgänge im Bereich Compliance Management an:

Certified Compliance Officer
Certified Chief Compliance Officer
Tax Compliance Officer
IT Compliance Officer