Auf grundlegende technologische Innovationen folgen oft spezialisierte Anwendungen – so seit einigen Jahren auch im Bereich der künstlichen Intelligenz (KI). KI gewinnt auch für interne Untersuchungen zunehmend an Bedeutung. Unternehmen stehen unter wachsendem regulatorischem, gesellschaftlichem und wirtschaftlichem Druck, Compliance-Verstöße frühzeitig zu erkennen und angemessen zu adressieren. Gleichzeitig explodieren die unternehmensintern erzeugten Datenmengen, die mit herkömmlichen Mitteln kaum noch zu durchdringen sind. KI-Systeme versprechen hier eine große Hilfestellung: Sie können riesige Datensätze analysieren und Muster erkennen, die Menschen übersehen würden. Zudem bieten sie neue Möglichkeiten der Automatisierung, Skalierung und Effizienzsteigerung.

Bereits in proaktiven Compliance-Systemen verspricht der Einsatz von KI bereits erhebliche Vorteile. Doch gerade im konkreten Verdachtsfall, der eine reaktive interne Untersuchung auslöst, ist der Druck erheblich und jeder Schritt muss rechtlich wasserdicht („by the book“) erfolgen. Hier stellt sich die entscheidende Frage: Wie lässt sich das enorme Potenzial von KI sicher und effektiv nutzen, ohne neue Risiken oder rechtliche Fallstricke zu schaffen? Unser Briefing geht der Frage nach, welche Chancen KI auch in reaktiven Compliance-Prozessen bietet, und welche Herausforderungen Unternehmen dabei berücksichtigen müssen.

Allgemeine Vorteile von KI bei internen Untersuchungen

Der Einsatz spezialisierter KI-Lösungen bietet große Effizienzsteigerungen im Bereich der Datensammlung und -aufbereitung. Das führt dazu, dass interne Untersuchungen erheblich effizienter, gründlicher und kosteneffektiver gestaltet werden können. Denn der Prozess erfordert oftmals die Verarbeitung großer Datenmengen wie Dokumente, E-Mail- oder Chatverläufe, Kalendereinträge oder Gesprächsnotizen. KI-gestützte Programme können dabei unter anderem folgende Aufgaben übernehmen:

  • Digitalisierung und Kategorisierung analoger Unterlagen (auch in maschinenlesbare Form);
  • Protokollierung von Befragungen mit Angestellten oder anderen Beteiligten sowie Analyse der Befragungen und somit eine Erkennung von Widersprüchen und Schlüsselbegriffen;
  • Schwärzung sensibler oder personenbezogener Daten vor Weiter-/Herausgabe;
  • Kompatibilisierung verschiedener – auch unstrukturierter – Datensätze;
  • Identifikation und Entfernung irrelevanter Daten und Dokumente aus großen Datensätzen (sog. „Culling“);
  • Visualisierung, beispielsweise von Kommunikationsnetzwerken;
  • Cross-Referencing mit externen Datenquellen, z.B. Abgleich mit Wistleblower-Hinweisen, Compliance-Datenbanken, aber auch mit geltenden Gesetzen und internen Compliance-Vorgaben.

In einem weiteren Schritt geht es bei internen Untersuchungen um die Analyse der gesammelten und aufbereiteten Daten. KI-Anwendungen bei der Datenanalyse beinhalten:

  • Suche auf Basis von Keywords und search strings, beispielsweise nach konkreten Produkten, Personen oder Orten;
  • Kostengünstige Vorbewertung und Relevanzprognose für sehr große Datenmengen auf der Basis einer kleinen, menschlich geprüften Dokumentenauswahl durch sog. Predictive Coding;
  • Mustererkennung, etwa auffälliger Zahlungen, Kommunikation oder Verträge. Hier gehen die Fähigkeiten künstlicher Intelligenz häufig noch über die menschlichen hinaus;
  • Analyse von Stimmung und Tonalität von Kommunikationsvorgängen, um kritische Sachverhalte und Diskussionen zu identifizieren (Sentiment Analysis);
  • Unterstützung (oder z.T. sogar Ersatz) menschlicher First-Level-Prüfer in umfangreichen E-Discovery-Projekten;
  • Unterstützung bei Festlegung und Umsetzung auch sehr komplexer Suchstrategien, bspw. durch die Vorbereitung relevanter verknüpfter Suchbegriffskombinationen (Search Strings) und syntaxkonformen Einsatz von komplexen Suchparametern in E-Discovery-Anwendungen;
  • Kategorisierung und Priorisierung verdächtiger oder risikoanfälliger Vorgänge („Flagging“) zur vertieften Prüfung durch einen Menschen.

Bei der Aufbereitung der Datenanalyse kann KI:

  • die Untersuchungsergebnisse strukturieren;
  • interne Berichte generieren, um z.B. dem Vorstand eine klare Übersicht über die Ergebnisse zu bieten;
  • Ergebnisse vergangener interner Untersuchungen heranziehen und Vergleiche vornehmen.

Insgesamt vereinfachen KI-Tools Compliance-Prozesse, die anderenfalls viel manuelle Arbeit und spezialisiertes Wissen fordern, stark. In einer internen Untersuchung können bestimmte Geschäftsvorgänge geflagged oder als prioritär eingestuft werden. Dies optimiert den Einsatz der Arbeitskraft und verschafft erhebliche Zeit- und Kostenvorteile.

Herausforderungen der Nutzung von KI in internen Untersuchungen

Neben den Vorteilen gibt es jedoch auch zahlreiche Herausforderungen, die bei der Implementierung von KI-Tools in der Compliance berücksichtigt werden müssen.

Zunächst sind die rechtlichen Vorgaben zu beachten. Diese werden sich in Deutschland und der EU künftig in erster Linie aus der Verordnung über künstliche Intelligenz (KI-Verordnung) ergeben, die ab dem 2. August 2026 gilt. Die Verordnung legt klare Regeln fest, verbietet bestimmte hochriskante Anwendungen und fordert Transparenz, Verantwortlichkeit und eine strikte Aufsicht. Auf Compliance und interne Untersuchungen bezogen lässt sich festhalten, dass der Einsatz von KI erlaubt ist und nicht etwa nach Artikel 5 (1) (d) als Profiling in der präventiven Verbrechensbekämpfung verboten ist. Funktionen wie die Emotionserkennung, die verschiedentlich als Anwendungszweck vorgeschlagen wird, sind jedoch gemäß Artikel 5 (1) f) KI-Verordnung verboten. Inwieweit sich dieses Verbot auch auf andere Formen der in E-Discovery-Verfahren bereits üblichen Stimmungsanalyse erstreckt, wird erst die behördliche und gerichtliche Anwendung der KI-Verordnung zeigen. Regelmäßig dürfte die eingesetzte KI nicht als Hochrisiko-KI-System einzustufen sein, wenn sie etwa in internen Untersuchungen zur Durchführung spezifischer Aufgaben oder zur Mustererkennung mit menschlicher Überprüfung verwendet wird (Artikel 6 (3) KI-Verordnung). Schließlich kann der Einsatz von KI für interne Untersuchungen Informations-, Beratungs- und Mitbestimmungsrechte von Betriebsräten auslösen.

Eine der zentralen praktischen Hürden betrifft die Datensicherheit, die im Einklang mit den gesetzlichen Rahmenbedingungen gewährleistet werden muss. Gerade im Bereich außenwirtschaftsrechtlich sensibler Güter stellen Unternehmen hohe Anforderungen an die Wahrung ihrer Geschäftsgeheimnisse. Darüber hinaus muss der Schutz personenbezogener Daten insbesondere der Mitarbeiter beachtet werden. Wichtig ist hier, Datenschutzanforderungen bereits bei der Auswahl von eDiscovery-Dienstleistern, und KI-Tools und Hosting-Anbietern im Blick zu haben. Daneben ist auch die Datenqualität für den erfolgreichen Einsatz von KI unerlässlich. Dies betrifft Umfang, Kompatibilität und Präzision der Datensätze, anhand derer gearbeitet wird.

Wie stets beim Einsatz von künstlicher Intelligenz stellt sich außerdem die Frage nach der Verlässlichkeit des Systems. Trotz des rapiden technischen Fortschritts kann es noch zu sogenannten „Halluzinationen“ kommen, bei denen die KI falsche Schlüsse aus der Daten- und Faktenlage zieht. Dieses Risiko kann allerdings durch die Verwendung spezifisch trainierter Modelle oder regelmäßige menschliche Überprüfung im Wege eines „Human-in-the-loop“-Ansatzes gemindert werden. Die Verlässlichkeit ist nicht zuletzt von der Vertrautheit der Anwendenden mit der Software abhängig – die Befähigung zum Einsatz von KI-Software etwa durch Schulungen ist also unerlässlich, wie auch in Artikel 4 KI-Verordnung vorgesehen.

Auch aus Gründen der Letztverantwortlichkeit ist auf die Qualifikation der Anwendenden zu achten: Zwar können für bestimmte Fehler gegebenenfalls die Hersteller des Produkts zur Verantwortung gezogen werden. In der Regel liegt die Verantwortung für Verstöße gegen gesetzliche Vorschriften allerdings bei den Verwendenden.

Schließlich stehen Unternehmen und Kanzleien bei der Anwendung von KI-Programmen vor der Herausforderung, Beweise für ein möglicherweise folgendes gerichtliches Verfahren – ob zivil- oder strafrechtlicher Natur – gerichtsfest aufzubereiten und zu archivieren. Dies gilt auch für die Erklärbarkeit von Analysen oder erkannten Mustern; auf entsprechende Möglichkeiten ist bei der Beschaffung des Programms zu achten.

Fazit

Durch den Einsatz spezialisierter KI in internen Untersuchungen können Unternehmen Ressourcen sparen und erhebliche Effizienzsteigerungen erzielen. Zudem können KI-Lösungen auch für interne Revisionen genutzt werden, die zum Ziel haben, interne Compliancesysteme kontinuierlich zu verbessen und an neue regulatorische Herausforderungen anzupassen. Interne Verstöße können entdeckt und behandelt werden, bevor die Ermittlungsbehörden tätig werden. Auch das führt über mehrere Wege zu einem langfristigen Kostenersparnis für Unternehmen.

KI spielt eine zunehmend größere Rolle bei internen Untersuchungen. Für umfassende Expertise zur unternehmensinternen Compliance – auch unter erfolgreicher Einbeziehung von KI-Tools – steht BLOMSTEIN Ihnen gerne zur Verfügung. Kontaktieren Sie Dr. Roland M. Stein, Dr. Laura Louca und Philipp Trube.