Künstliche Intelligenz kann Unregelmäßigkeiten in Buchhaltung und Beschaffung erkennen, bevor sie zum Schaden werden. Doch wie vereinbaren Unternehmen Compliance-Pflichten mit Datenschutz und Arbeitnehmerrechten?
Von der Reaktion zur Prävention
Compliance bedeutete lange: Regelverstöße aufdecken, nachdem sie passiert sind. Interne Revisoren prüften Stichproben, Wirtschaftsprüfer analysierten Jahresabschlüsse, und wenn ein Betrug aufflog, war der Schaden meist schon eingetreten. Dieses reaktive Modell stößt angesichts wachsender Datenmengen und immer ausgefeilter Betrugsmethoden an seine Grenzen.
Predictive Compliance kehrt diesen Ansatz um: Statt vergangene Verstöße zu dokumentieren, identifiziert Künstliche Intelligenz Muster und Anomalien in Echtzeit – und warnt, bevor ein Schaden entsteht. Die Technologie analysiert Transaktionsdaten, Beschaffungsprozesse, Reisekostenabrechnungen und Kommunikationsmuster, um verdächtige Abweichungen vom Normalverhalten zu erkennen. Für Unternehmen eröffnet das enorme Chancen – wirft aber zugleich komplexe rechtliche Fragen auf.
Wie funktioniert KI-gestützte Fraud Detection?
Anomalieerkennung in Transaktionsdaten
Das Herzstück moderner Fraud-Detection-Systeme ist die Anomalieerkennung (Anomaly Detection). Dabei trainiert ein KI-Modell zunächst das normale Transaktionsmuster eines Unternehmens – typische Überweisungsbeträge, Zeitpunkte, Empfänger, Genehmigungsketten. Jede Transaktion, die signifikant von diesem Muster abweicht, wird als potenziell auffällig markiert.
Typische Anwendungsfelder sind:
- Buchhaltung: Doppelte Rechnungen, ungewöhnliche Rundungsbeträge, Zahlungen knapp unterhalb von Genehmigungsschwellen (sogenanntes Threshold-Splitting)
- Beschaffung: Auffällige Lieferantenkonzentrationen, Aufträge an Briefkastenfirmen, systematische Vermeidung von Ausschreibungspflichten
- Reisekosten und Spesen: Unplausible Belegmuster, überhöhte Bewirtungskosten, zeitliche Inkonsistenzen
- Zahlungsverkehr: Überweisungen an unbekannte Konten in Hochrisiko-Jurisdiktionen, ungewöhnliche Zahlungszeiten
Netzwerkanalyse und Beziehungserkennung
Fortgeschrittene Systeme gehen über die Analyse einzelner Transaktionen hinaus und erstellen Beziehungsnetzwerke. Sie identifizieren etwa, ob ein Mitarbeiter in der Einkaufsabteilung über verwandtschaftliche oder geschäftliche Beziehungen mit einem bevorzugt beauftragten Lieferanten verbunden ist – ein klassisches Korruptionsmuster.
Natural Language Processing für Kommunikationsanalyse
Einige Systeme setzen Natural Language Processing (NLP) ein, um Kommunikationsmuster zu analysieren. E-Mails, Chatverläufe und interne Notizen werden auf verdächtige Formulierungen geprüft – etwa Anweisungen, den üblichen Dienstweg zu umgehen, oder ungewöhnliche Geheimhaltungshinweise. Diese Analyse ist technisch leistungsfähig, aber datenschutzrechtlich besonders sensibel.
Rechtlicher Rahmen: Pflicht und Grenze zugleich
Compliance-Pflichten als Rechtsgrundlage
Unternehmen sind gesetzlich verpflichtet, angemessene Compliance-Maßnahmen zu implementieren. Für den Finanzsektor ergeben sich konkrete Anforderungen aus den Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin. Das Geldwäschegesetz (GwG) verpflichtet zahlreiche Branchen zu Sorgfaltspflichten, Risikoanalysen und der Einrichtung interner Sicherungsmaßnahmen.
Der IDW PS 980 definiert als anerkannter Prüfungsstandard die Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen. Er verlangt unter anderem ein angemessenes Überwachungs- und Verbesserungssystem – eine Anforderung, die durch KI-gestützte Instrumente besonders effizient erfüllt werden kann.
Geldwäscheprävention nach dem GwG
Das GwG verpflichtet Verpflichtete im Sinne des § 2 GwG – darunter Kreditinstitute, Versicherungsunternehmen, Rechtsanwälte, Steuerberater und Wirtschaftsprüfer – zu umfassenden Sorgfaltspflichten. Dazu gehören:
- Know Your Customer (KYC): Identifizierung und Überprüfung von Geschäftspartnern
- Transaktionsmonitoring: Laufende Überwachung von Geschäftsbeziehungen
- Verdachtsmeldungen: Meldepflicht an die Financial Intelligence Unit (FIU) bei Verdacht auf Geldwäsche
KI-Systeme können diese Pflichten erheblich effizienter erfüllen als manuelle Prozesse. Sie erkennen typische Geldwäschemuster – etwa Smurfing (Aufteilung großer Beträge in viele kleine Transaktionen), Layering (Verschleierung durch komplexe Transaktionsketten) oder ungewöhnliche Bargeldintensitäten – in Echtzeit und über große Datenmengen hinweg.
DSGVO: Die datenschutzrechtliche Grenze
Der Einsatz von KI zur Compliance-Überwachung berührt zwangsläufig personenbezogene Daten von Mitarbeitern. Die Datenschutz-Grundverordnung setzt dem klare Grenzen.
Art. 6 DSGVO verlangt für jede Datenverarbeitung eine Rechtsgrundlage. Für Compliance-Monitoring kommen primär in Betracht:
- Art. 6 Abs. 1 lit. c DSGVO: Erfüllung einer rechtlichen Verpflichtung (z. B. GwG-Pflichten)
- Art. 6 Abs. 1 lit. f DSGVO: Wahrung berechtigter Interessen des Verantwortlichen (Betrugsbekämpfung), sofern diese die Interessen der betroffenen Personen überwiegen
Art. 22 DSGVO ist besonders relevant: Betroffene Personen haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Ein KI-System, das einen Mitarbeiter automatisch als verdächtig einstuft und darauf Konsequenzen folgen, muss daher stets eine menschliche Überprüfung zwischenschalten.
§ 26 BDSG: Beschäftigtendatenschutz
§ 26 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist oder zur Aufdeckung von Straftaten, sofern tatsachenbegründeter Verdacht besteht. Eine anlasslose, flächendeckende Überwachung aller Mitarbeiter wäre hingegen unverhältnismäßig und rechtswidrig.
Praxiskonsequenz: KI-gestützte Compliance-Systeme müssen so konfiguriert werden, dass sie zunächst auf aggregierter, anonymisierter Ebene arbeiten. Erst wenn ein statistisch signifikanter Verdacht vorliegt, darf die Analyse auf die individuelle Ebene heruntergebrochen werden – und auch dann nur unter Einbindung der Compliance-Abteilung und gegebenenfalls des Betriebsrats.
Hinweisgeberschutz nach dem HinSchG
Das Hinweisgeberschutzgesetz (HinSchG), seit Juli 2023 in Kraft, verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldekanäle. Hinweisgeber, die auf Missstände aufmerksam machen, sind vor Repressalien geschützt.
KI-gestützte Fraud Detection und Hinweisgebersysteme ergänzen sich: Während die KI systematische Muster erkennt, liefern Hinweisgeber kontextuelle Informationen, die ein Algorithmus nicht erfassen kann – etwa Wissen über informelle Absprachen oder persönliche Motive. Ein integrierter Ansatz, der beide Kanäle verbindet, erhöht die Erkennungsrate erheblich.
Dabei ist zu beachten: Wenn ein KI-System einen Mitarbeiter als verdächtig identifiziert, dürfen daraus keine Repressalien resultieren, solange der Verdacht nicht durch menschliche Prüfung bestätigt wurde. Die Schwelle zur Einleitung arbeitsrechtlicher Maßnahmen muss klar definiert und dokumentiert sein.
Implementierung in der Praxis
Phase 1: Risikoanalyse und Scoping
Jede Implementierung beginnt mit einer gründlichen Risikoanalyse: Welche Betrugsszenarien sind für Ihr Unternehmen besonders relevant? Wo liegen die größten Wertabflussrisiken? Welche Datenquellen stehen zur Verfügung? Die Ergebnisse bestimmen den Umfang und die Schwerpunkte des Systems.
Phase 2: Datenschutz-Folgenabschätzung
Vor dem Einsatz eines KI-gestützten Compliance-Systems ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO zwingend erforderlich. Diese muss insbesondere bewerten:
- Welche personenbezogenen Daten werden verarbeitet?
- Auf welcher Rechtsgrundlage erfolgt die Verarbeitung?
- Wie wird das Prinzip der Datenminimierung umgesetzt?
- Welche Schutzmaßnahmen sind implementiert?
- Wie wird die Transparenz gegenüber betroffenen Mitarbeitern sichergestellt?
Phase 3: Betriebsratsbeteiligung
In mitbestimmungspflichtigen Unternehmen hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die zur Überwachung des Verhaltens und der Leistung von Arbeitnehmern geeignet sind (§ 87 Abs. 1 Nr. 6 BetrVG). Eine Betriebsvereinbarung, die Zweck, Umfang, Zugriffsrechte und Löschfristen des KI-Systems regelt, ist dringend zu empfehlen.
Phase 4: Technische Implementierung
Bei der technischen Umsetzung sollten folgende Grundsätze gelten:
- Privacy by Design: Datenschutz ist von Anfang an in die Systemarchitektur integriert
- Explainability: Das System muss nachvollziehbar machen können, warum eine Transaktion als auffällig eingestuft wurde
- Human in the Loop: Jede maschinelle Verdachtsmeldung wird durch einen menschlichen Compliance-Beauftragten geprüft
- Audit Trail: Alle Entscheidungen des Systems werden revisionssicher protokolliert
Phase 5: Laufender Betrieb und Verbesserung
Ein Predictive-Compliance-System ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Regelmäßige Überprüfungen umfassen:
- Kalibrierung der Erkennungsmodelle (False-Positive-Rate optimieren)
- Schulung der Compliance-Mitarbeiter im Umgang mit KI-generierten Verdachtsmeldungen
- Dokumentation aller Maßnahmen für die externe Prüfung nach IDW PS 980
- Aktualisierung bei geänderten regulatorischen Anforderungen
Der AI Act als neuer Rahmen
Die EU-Verordnung über Künstliche Intelligenz (AI Act), die ab August 2026 vollständig anwendbar wird, klassifiziert KI-Systeme nach Risikostufen. Compliance-Monitoring-Systeme, die Entscheidungen über Mitarbeiter beeinflussen, werden voraussichtlich als Hochrisiko-KI eingestuft. Dies bringt zusätzliche Anforderungen mit sich:
- Transparenzpflichten gegenüber den betroffenen Personen
- Qualitätsanforderungen an die Trainingsdaten
- Menschliche Aufsicht über die Systemausgaben
- Dokumentations- und Registrierungspflichten
Unternehmen, die jetzt mit der Implementierung beginnen, sollten diese Anforderungen bereits berücksichtigen.
Fazit: Chancen nutzen, Grenzen respektieren
Predictive Compliance bietet Unternehmen die Möglichkeit, Betrug und Regelverstöße deutlich früher zu erkennen und erhebliche Schäden zu vermeiden. Die Technologie ist ausgereift, die Anwendungsfelder sind vielfältig. Doch der Einsatz ist kein Selbstläufer: DSGVO, BDSG, HinSchG und der AI Act setzen einen engen rechtlichen Rahmen, der sorgfältig beachtet werden muss. Wer diese Balance zwischen Compliance-Pflicht und Persönlichkeitsschutz wahrt, gewinnt ein mächtiges Instrument – wer sie ignoriert, riskiert nicht nur Bußgelder, sondern auch das Vertrauen der eigenen Mitarbeiter.
Bei compleneo unterstützen wir Sie bei der rechtskonformen Implementierung von KI-gestützten Compliance-Systemen – von der Risikoanalyse über die Datenschutz-Folgenabschätzung bis zur Betriebsvereinbarung. Sprechen Sie uns an.
