In der digitalen Ära optimieren Unternehmen ständig ihre Prozesse. Diese Digitalisierung verändert die Compliance-Anforderungen für alle Branchen und Größen, wobei insbesondere Compliance-Abteilungen mit den Chancen und Risiken neuer Technologien konfrontiert sind. Neben neuen Möglichkeiten bergen diese Technologien auch Risiken wie Cyber-Spionage. Eine Deloitte-Studie von 2017 identifizierte Data Analytics und Cloud-Lösungen als maßgebliche Technologieeinflüsse auf die Compliance. Die steigende Relevanz von Künstlicher Intelligenz bringt weitere Herausforderungen für Unternehmen im regulatorischen Bereich.
Künstliche Intelligenz und ihre Subkategorien
Künstliche Intelligenz in ihrer grundlegendsten Definition beschreibt eine mathematische Technik, durch die ein Software-System selbstständig Muster und Regeln aus Daten erkennen kann und daraus Wissen generiert. Dieses Konzept ist nicht neu, hat aber in den letzten Jahren durch Fortschritte in der Datenverarbeitung und -speicherung an Bedeutung gewonnen.
Machine Learning (ML) stellt einen Oberbegriff im Bereich der Künstlichen Intelligenz (KI) dar. ML beschreibt eine spezialisierte Form der KI, die es Computern ermöglicht, aus Daten zu lernen und Entscheidungen zu treffen, ohne explizit programmiert zu werden. Das bedeutet, dass ML-Systeme in der Lage sind, Muster in großen Datenmengen zu erkennen und darauf basierend Vorhersagen oder Entscheidungen zu treffen.
Ein weiterer spezialisierter Bereich des ML ist das Deep Learning. Es basiert auf künstlichen neuronalen Netzen und eignet sich besonders für komplexe Aufgaben, bei denen große Mengen unstrukturierte Daten verarbeitet werden müssen, wie z.B. Bild- oder Spracherkennung.
Natural Language Processing (NLP) und Text Mining sind weitere Technologien, die eng mit KI und ML verbunden sind. Während NLP sich darauf konzentriert, menschliche Sprache zu verstehen und zu generieren, versucht Text Mining, aus großen Mengen unstrukturierter Textdaten nützliche Informationen zu extrahieren.
RegTech und die Rolle der Compliance im Bereich Anti-Financial-Crime
In Zeiten vor der globalen Vernetzung war es vergleichsweise einfach, den Überblick über lokale Gesetze und Verordnungen zu behalten. Doch mit der Globalisierung und dem Ausbau des weltweiten Handels sind die Anforderungen an Compliance und Risikomanagement exponentiell gestiegen. Unternehmen stehen heute vor der Herausforderung, sich in einem Paragrafen-Dickicht zurechtzufinden.
Externe Herausforderungen:
- Eine wachsende Anzahl von Regulatoren mit unterschiedlichen Anforderungen.
- Sprachbarrieren, die den Zugang zu internationalen Regularien erschweren.
- Widersprüchliche Regularien, wie beispielsweise die Iran-Sanktionen der USA im Vergleich zum Atomabkommen mit der EU und Russland.
Interne Herausforderungen:
- Unklare Governance-Strukturen in global agierenden Unternehmen.
- Unterschiedliche Interpretationen von Regularien.
- Mangelnde Übersicht über den Umsetzungsstatus in verschiedenen Unternehmensbereichen.
- Oft fehlendes Fachwissen über die Relevanz von Regularien für andere Bereiche.
- Medienbrüche und unzureichende IT-Unterstützung bei der Identifikation und Konsolidierung regulatorischer Anforderungen.
Die Analyse und Auswertung neuer Gesetzestexte ist ein zeitaufwendiger Prozess. Nachdem ein Gesetzestext in seine Einzelanforderungen zerlegt wurde, beginnt die eigentliche Arbeit: die Prüfung auf Relevanz, die Zuordnung innerhalb der Organisation und das Monitoring der Umsetzung.
Zwar gibt es Dienstleister, die bei der Identifikation und Analyse von Gesetzestexten unterstützen, doch führt dies oft zu Medienbrüchen, das bedeutet einen Wechsel im Übertragungs- oder Verarbeitungsmedium von Informationen. Informationen müssen aus externen Quellen in interne GRC-Lösungen überführt werden. Insbesondere in global agierenden Unternehmen kann der Zuweisungsprozess langwierig sein.
Moderne Technologien, insbesondere RegTech, bieten hier Lösungen. Mithilfe von Text Mining können Auswirkungen von regulatorischen Veränderungen auf bestehende Richtlinien und Policies analysiert werden. KI und Predictive Analytics können sogar zur Prognose der „Cost of Compliance“ eingesetzt werden, wenn Unternehmen neue Märkte betreten oder neue Produkte einführen.
In den letzten Jahren hat insbesondere die Finanzwelt eine drastische Zunahme mutmaßlicher Geldwäsche-Fälle erlebt. Experten schätzen, dass zwischen 2-5% des globalen BIPs – was einem jährlichen Volumen von 2 Billionen Euro entspricht – aus „schmutzigem Geld“ stammen. Es besteht dringender Bedarf an effektiven Betrugsaufdeckungsmechanismen. Die Verteilung relevanter Daten über unterschiedliche Systeme und die langsame manuelle Verarbeitung erhöhen den Arbeitsaufwand und das Risiko von Strafen und Reputationsschäden. Europäische Finanzinstitute spielen eine Schlüsselrolle bei der Geldwäschebekämpfung und unterliegen strengen Identitätsprüfungsregeln. 2022 meldete Deutschland allein etwa 300.000 Geldwäsche-Fälle, von denen viele unberücksichtigt blieben – ein Trend, der auch in anderen EU-Ländern gesehen wird.
Auch in diesem Kontext bieten RegTech-Lösungen, die auf künstlicher Intelligenz basieren, erhebliche Vorteile. Durch den Einsatz von AI-basiertem Textmining können Informationen aus verschiedenen Quellen, wie Papierdokumenten und digitalen Schriften, effizient gesammelt werden. Nach einer ersten Vorselektion durch KI können dann Entscheidungsträger gezielter die relevanten Vorfälle auswählen. Ein weiterer Vorteil von KI ist die Nutzung des Natural Language Processing (NLP) im SAR Filing Prozess, wodurch eine detaillierte Beschreibung der aufgedeckten Aktivitäten ermöglicht wird.
Ein zentrales Element für den Erfolg von KI-Systemen ist das initiale „Trainingssample“. Ohne eine ausreichende Datenbasis ist es nahezu unmöglich, zielführende Mustererkennungen zu erreichen. Ein gutes Beispiel hierfür ist die Erkennung von Geldwäschemustern im Bankenumfeld. Ohne eine solide Datengrundlage kann ein KI-System solche Muster nicht effektiv identifizieren.
Während einige Länder, insbesondere außerhalb Europas, bereits Fortschritte bei der Implementierung von RegTech-Plattformen gemacht haben, zeigt sich die deutsche BaFin noch zurückhaltend. Dennoch besteht dringender Handlungsbedarf, um den Dialog mit den Aufsichtsbehörden zu intensivieren und mögliche rechtliche Hürden zu überwinden.
Anwendungsszenarien und Herausforderungen für den Chief Compliance Officer
Für den Chief Compliance Officer (CCO) bieten KI und RegTech eine Fülle von Möglichkeiten. Von der Automatisierung und Optimierung von Arbeitsabläufen bis hin zur besseren Erkennung von Compliance-Risiken können diese Technologien den Compliance-Bereich revolutionieren. Gleichzeitig stehen CCOs jedoch auch vor Herausforderungen, insbesondere im Hinblick auf das Monitoring und Tracking von regulatorischen Veränderungen. Die Vielzahl an Regulatoren, widersprüchliche Regularien und interne Faktoren wie unklare Governance-Strukturen können die Compliance-Arbeit erschweren.
Die Bedeutung von Daten für KI und die damit verbundenen Herausforderungen
KI-Systeme benötigen qualitativ hochwertige Daten zum Lernen. Datenverzerrungen können jedoch zu diskriminierenden KI-Entscheidungen führen. Die oft undurchsichtigen Entscheidungswege der KI und der Blackbox-Effekt erfordern regelmäßige Überprüfungen. Mit der EU-DSGVO steigen die Anforderungen an Datenmanagement, und es werden mehr regulatorische Herausforderungen in Bereichen wie Cyber-Sicherheit erwartet. Unternehmen sollten in Compliance und Fachwissen investieren, um Risiken zu minimieren. Die Einhaltung der DSGVO ist bei der Nutzung von KI entscheidend, und schlechte Daten können die Erkennung beeinträchtigen und Gefährdungsanalysen verfälschen.
Künstliche Intelligenz (KI) bietet hier innovative Lösungen zur Verbesserung der Datenqualität:
- Selbstlernende Datenqualitätskontrollen: Anstatt sich auf starre, manuell festgelegte regelbasierte Überprüfungen zu verlassen, können KI-Systeme fehlerhafte Datenkombinationen erkennen und korrigieren.
- Automatisierung des Datenabgleichs: Bei Änderungen an Referenzlisten, wie Länder- oder Industrieschlüsseln, kann KI automatisch inkonsistente oder veraltete Werte identifizieren.
- Intelligente Ableitung von Default-Werten: Zum Beispiel kann die Länderzuordnung eines Kunden aus seinen Transaktionsdaten abgeleitet werden.
- Unterstützung bei Kunden- oder Lieferantenreviews: KI kann Voranalysen zu veralteten oder inkonsistenten Daten durchführen.
- Ermittlung von fehlerhaften Kundensegmentierungen: Durch den Vergleich der Merkmale von Kunden innerhalb derselben Gruppe kann KI inkonsistente Segmentierungen identifizieren und korrigieren.
- Automatische Generierung von Datenqualitätsberichten: KI kann Berichte und Alerts erstellen, die auf potenzielle Datenqualitätsprobleme hinweisen.
Auch die Identifikation und Löschung von Daten, die nicht mehr gespeichert werden dürfen, stellt eine Herausforderung dar. Dies betrifft vor allem Altdaten, bei denen keine strukturierte Information über die Speicherberechtigung vorliegt. Selbst scheinbar harmlose Daten, wie Einladungslisten zu betrieblichen Veranstaltungen, können bereits einen Verstoß gegen die DSGVO darstellen, wenn sie personenbezogene Informationen enthalten.
Hier kann KI erneut einen wertvollen Beitrag leisten. Mit Techniken wie Text Mining können KI-Systeme sowohl zentrale als auch dezentrale Datensätze identifizieren, die gelöscht werden müssen. Aus unstrukturierten Daten kann die KI erkennen, ob es sich um personenbezogene Daten handelt und ob diese Daten noch rechtmäßig gespeichert werden dürfen. Dabei kann die KI auf verschiedene Datenquellen zugreifen, um die Rechtmäßigkeit der Datenspeicherung zu überprüfen, beispielsweise Vertragsdaten oder Zugriffsdaten.
Die Integration von KI in den Compliance-Bereich bietet Unternehmen eine Fülle von Möglichkeiten, bringt jedoch auch eine Reihe von Herausforderungen mit sich. Es ist entscheidend, dass Unternehmen in Technologien, Schulungen und Systeme investieren, um sicherzustellen, dass sie die Vorteile von KI maximieren und gleichzeitig die Risiken minimieren.
Das europäische KI-Gesetz
Die EU plant mit dem AI-Act eine internationale Vorreiterrolle bei der Regulierung von künstlicher Intelligenz (KI) einzunehmen. Der Entwurf, der bereits im April 2021 vorgestellt wurde, soll bald finalisiert und verabschiedet werden. Ziel ist es, einen verantwortungsvollen Umgang mit KI zu fördern und Persönlichkeitsrechte zu schützen. Die EU unterscheidet KI-Anwendungen in vier Risikoklassen: niedrig, mittel, hoch und inakzeptabel.
Inakzeptable Anwendungen beinhalten zum Beispiel Echtzeit-Gesichtserkennungssysteme oder Anwendungen, die zur Überwachung von Bürgern dienen könnten. Hochriskante Anwendungen umfassen biometrische Identifizierung und den Betrieb von kritischer Infrastruktur. Generative KI, wie ChatGPT, fällt in den mittleren Risikobereich und soll besonderen Transparenzregeln unterliegen. Niedrigriskante Anwendungen haben geringere Anforderungen.
Für die Regulierung sind Risikomanagement-Systeme, technische Dokumentationen, menschliche Aufsicht und Abschaltmöglichkeiten vorgesehen. Bei Verstößen drohen Strafen von bis zu 40 Millionen Euro oder 7% des Jahresumsatzes. Der AI-Act könnte Ende des Jahres in Kraft treten und ab 2026 gelten.
Einige Experten sehen in den EU-Standards einen potenziellen Standortvorteil für Europa. Über 100 europäische Wirtschaftsführer, darunter CEOs von Siemens, Airbus und ARM, kritisierten jedoch, dass die Regulierung zu weit gehe. Sie befürchten, dass die Vorschriften die Wettbewerbsfähigkeit Europas beeinträchtigen und Unternehmen ins Ausland drängen könnten. Sie plädieren für eine engere Abstimmung zwischen der EU und den USA, um ein gemeinsames Regelwerk zu schaffen. Die USA prüfen derzeit ebenfalls Regulierungen für KI, wobei eine engere Zusammenarbeit mit der EU nicht ausgeschlossen ist.
Die Integration von Künstlicher Intelligenz in den Compliance-Bereich bietet Unternehmen Chancen und Herausforderungen. Obwohl Technologien wie KI die Effizienz steigern, bergen sie auch Risiken, die gemanagt werden müssen. Der geplante AI-Act der EU unterstreicht die politische Anerkennung der Bedeutung von KI, wobei Regelungen Bürger schützen und Unternehmensinnovation fördern sollten. Für Unternehmen wird es in Zukunft immer wichtiger, in Weiterbildung, Technologie und Kommunikation mit Regulierungsbehörden zu investieren. Nur durch eine ausgewogene Kombination von Technologie, Bildung und Regulierung können die Vorteile von KI voll ausgeschöpft und gleichzeitig die Risiken minimiert werden.