Kaum ein Versprechen klingt so verlockend, wie nie wieder mühsam Nachweise zusammentragen, Richtlinien formulieren und Auditoren zuarbeiten zu müssen. KI-gestützte Compliance-Plattformen werben damit, dass man schneller zum Zertifikat kommt, weniger Aufwand hat und eine automatisierte Nachweisführung erhält. Doch aktuelle Fälle zeigen, dass dieses Versprechen seine Schattenseiten hat.
KI‑Compliance – und seine Schattenseiten
In den USA sorgt derzeit ein Fall für Aufsehen, in dem eine als KI-gestützt vermarktete Plattform offenbar Auditnachweise vorausgefüllt, Prüfberichte vor der eigentlichen, unabhängigen Prüfung erstellt und die Grenze zwischen Prüfer und Geprüftem systematisch verwischt hat. Investoren distanzierten sich öffentlich und Kunden fragen sich, ob ihre Zertifizierungen überhaupt belastbar sind. Was nach einem Einzelfall aussieht, verweist auf ein strukturelles Problem: Wenn Geschwindigkeit zum alleinigen Qualitätsmerkmal wird, leidet die Substanz.
Dieses Phänomen hat einen Namen: KI-Washing. Die US-Börsenaufsicht SEC hat 2024 erstmals Strafen wegen irreführender KI-Aussagen verhängt und das Justizministerium hat Strafverfahren eingeleitet. In der EU adressiert der AI Act künftig genau solche irreführenden Darstellungen. Für den europäischen Markt kommt eine weitere Dimension hinzu. Unternehmen, die personenbezogene Daten verarbeiten oder Compliance-Nachweise führen, benötigen Gewissheit darüber, wo ihre Daten gespeichert sind und wer nach welchen Regeln darauf zugreift. Eine Plattform, die DSGVO-Konformität automatisch herstellen soll, aber selbst intransparent agiert, erzeugt ein Paradoxon, das von Aufsichtsbehörden zunehmend kritisch gesehen wird.
Vertrauen braucht Prüftiefe statt Shortcut
Ein verantwortungsvoller Einsatz von KI in der Compliance lässt sich an klaren Kriterien festmachen. Der Mensch bleibt am Steuer und trifft die Entscheidungen, während der Datenzugriff eng begrenzt ist. Die eingesetzte Technologie ist nachvollziehbar. Europäische Open-Source-Modelle bieten hier einen Transparenzvorteil gegenüber geschlossenen Systemen. Sensible Compliance-Daten gehören zu europäischen Cloud-Anbietern im eigenen Rechtsraum.
Compliance existiert, um Vertrauen in der Wirtschaft sicherzustellen. Wer in diesem Bereich arbeitet, hat genau eine Chance, dieses Vertrauen zu rechtfertigen. Diese Chance erfordert Sorgfalt, Sachverstand und echte Prüftiefe. Werden diese auf einen Shortcut reduziert, der auf Preis und Aufwand optimiert ist, gefährdet dies am Ende genau das, was Compliance leisten soll.
