Präventive Compliance-Screenings sind im Finanzsektor aufgrund regulatorischer Vorgaben etablierter Bestandteil der Compliance-Organisation. Aber auch in der Realwirtschaft kommen diese zur Anwendung, beispielsweise Sanktionslisten-Screening und zur Betrugserkennung. Die Motivationslage ist klar: Nur wer systematisch und frühzeitig nach Risiken sucht, kann Verstöße verhindern, bevor sie eintreten. Dies gilt umso mehr im aktuellen Umfeld stetig zunehmender Anforderungen an die Unternehmenscompliance. KI-gestützte Tools eröffnen hier neue Möglichkeiten, das Auftreten von Compliance-Verstößen zu verhindern oder diese zu erkennen. Unternehmen, die diese Chance frühzeitig erkennen und für sich in Anspruch nehmen, sichern sich nicht nur regulatorische Sicherheit, sondern auch einen echten Wettbewerbsvorteil.
Was KI-gestütztes Compliance-Screening leisten kann
Der entscheidende Vorteil von KI-gestütztem Compliance-Screening liegt in der Fähigkeit, große und heterogene Datenbestände automatisiert, risikoorientiert und kontextbasiert zu analysieren. Klassische Screening-Ansätze stützen sich auf Suchbegriffe und starre Regelwerke – KI-Systeme hingegen erfassen den inhaltlichen Kontext und identifizieren dadurch auch Sachverhalte, die bei einer herkömmlichen Suchbegriffanalyse unentdeckt geblieben wären. Gleichzeitig sinkt die Quote falsch-positiver Treffer, was die Effizienz der gesamten Überprüfung erheblich steigert.
Die denkbaren Anwendungsfelder eines Compliance-Screenings sind vielfältig und lassen sich in unternehmensinterne und externe Szenarien unterteilen: Intern können präventive Compliance-Screenings etwa den ungewollten Abfluss von Geschäftsgeheimnissen, Korruptionsindikatoren, Kartellabsprachen, Sanktionsverstöße oder Insiderhandel frühzeitig erkennen – und zwar risikoorientiert, d.h. etwa konzentriert auf besonders exponierte Abteilungen und Funktionen oder besonders risikobehaftete Produkte. Extern eignet sich KI-gestütztes Compliance-Screening besonders für die Due Diligence gegenüber Geschäftspartnern, Lieferanten oder M&A-Targets, für Sanktions- und PEP-Screenings sowie für Reputations- und Adverse-Media-Analysen.
Das Screening kann darüber hinaus die Wirksamkeit des bestehenden Compliance-Management-Systems messbar machen und so den Nachweis einer funktionierenden Compliance-Organisation gegenüber Aufsichtsbehörden erleichtern.
Notwendige Expertise
Ein wirksames und rechtssicheres Compliance-Screening mit KI setzt mehr voraus als die bloße Nutzung eines KI-Tools. Die Übersetzung von Compliance-Wissen in taugliche Screening-Workflows erfordert eine enge Zusammenarbeit zwischen Compliance-Expertinnen und Experten und IT-Spezialistinnen und Spezialisten. Nur ein solches kombiniertes Team kann die relevanten Screening-Szenarien definieren und in maßgeschneiderte Workflows übersetzen, die auf das konkrete Risikoprofil, die Datenlandschaft und den Branchenkontext des Unternehmens zugeschnitten sind.
Entscheidend ist dabei die methodische Qualität: Funktional eng gefasste Prompts stellen sicher, dass die KI strikt an den vorgesehenen Zweck des präventiven Compliance-Screenings gebunden bleibt. Zufallstreffer und Nebenfunde lassen sich durch sorgfältige Datenvorfilterung, präzise Zweckdefinition und strukturierte Antwortformate wirksam minimieren. Der Mensch muss dabei stets in der Kontrollposition bleiben – sowohl bei der Gestaltung und Überprüfung der Workflows als auch bei der Bewertung der KI-Ergebnisse (“Human in the Loop“).
Einen besonderen Mehrwert bietet dabei unsere kanzleieigene KI-Lösung HM Argus. Die Plattform wurde speziell für die risikobasierte Analyse großer Datenbestände im Compliance- und Investigationskontext entwickelt und vereint semantische Dokumentenklassifikation, Scoring-Analysen (mit Relevanzbewertungen) und kontextbasierte Suche in einer integrierten Lösung. HM Argus ermöglicht zugleich eine höhere Kontrolle über Datensicherheit und Verarbeitungsprozesse, lässt sich nahtlos in bestehende IT-Infrastrukturen integrieren und wird kontinuierlich an die spezifischen Bedürfnisse unserer Mandanten angepasst. Zudem schafft der Einsatz eines proprietären Tools eine belastbare Vertrauensgrundlage gegenüber Behörden, weil die Methodik lückenlos dokumentiert und nachvollzogen werden kann.
Rechtlicher Rahmen: Datenschutz, AI-Act und Mitbestimmung
Präventives KI-Screening findet in einem anspruchsvollen rechtlichen Rahmen statt: Insbesondere wenn es um eine präventive Überwachung der Kommunikation der Mitarbeiterinnen und Mitarbeiter geht, liegt kein konkretes Verdachtsmoment vor, so dass erhöhte datenschutz- und arbeitsrechtliche Anforderungen gelten, die frühzeitig mitbedacht werden sollten. Datenschutzrechtlich bedarf jede Verarbeitung personenbezogener Daten einer tragfähigen Rechtsgrundlage nach der DSGVO. Abhängig von der Jurisdiktion, könnten nationale Vorschriften weitere Anforderungen neben der DSGVO stellen.
Eine präventive Kommunikationsüberwachung kann aufgrund überwiegender berechtigter Interessen gerechtfertigt sein. Ein Arbeitgeber dürfte bereits wegen seiner allgemeinen (und ggf. auch besonderen regulatorischen) Verhaltens- und Organisationspflichten sowie der Legalitätspflicht seiner Geschäftsleitung ein berechtigtes Interesse daran haben, strafbare Handlungen (wie z.B. Verrat von Geschäftsgeheimnissen, Insiderhandel, Korruption) zu verhindern und aufzudecken und etwa dem ungewollten Abfluss von betriebs- und geschäftssensitiven Informationen vorzubeugen.
Nach der Rechtsprechung des Bundesarbeitsgerichts können präventive Compliance-Maßnahmen verhältnismäßig und zulässig sein, sofern diese nach abstrakten Kriterien durchgeführt werden und keinen Arbeitnehmer besonders unter Verdacht stellen. Zudem müssen sie transparent (d.h. nicht heimlich), stichprobenartig, temporär (d.h. nicht dauerhaft) und ohne Leistungsüberwachung ausgestaltet sein. Umgekehrt dürfen präventive Maßnahmen nicht so ausgestaltet sein, dass sie einen psychischen Anpassungs- und Leistungsdruck erzeugen, der die Betroffenen bei objektiver Betrachtung in ihrer Freiheit, ihr Handeln aus eigener Selbstbestimmung zu planen und zu gestalten, wesentlich hemmt.
Vor diesem Hintergrund ist es umso wichtiger, den Grundsatz der Datenminimierung strikt zu beachten, also nur so viele Daten zu verarbeiten, wie für die Zweckerreichung erforderlich. Dies kann etwa durch risikoorientierte Anwendungsfälle, eng definierte Prompts und schrittweisen Ansatz (z.B. Second Level Deep Dive, Need-to-know-Prinzip) sichergestellt werden. Ebenso wichtig ist die Kommunikation gegenüber den Mitarbeiterinnen und Mitarbeitern zum Einsatz des Tools und die konkreten Zwecke.
Der EU AI Act stellt zusätzliche Anforderungen, die im Einzelfall sorgfältig zu prüfen sind. Präventive Compliance-Screenings dürften bei entsprechender Ausgestaltung nicht als Hochrisiko-KI-Systeme einzustufen sein, sofern Personalentscheidungen ausschließlich durch Menschen getroffen werden und kein Profiling, Echtzeit-Monitoring oder auch keine Leistungsüberwachung stattfindet. Eine revisionssichere Dokumentation und KI-Governance sind aber jedenfalls unverzichtbar.
Schließlich können betriebliche Mitbestimmungsrechte betroffen sein, wenn KI-gestützte Screening-Maßnahmen in einem Unternehmen implementiert werden. Diese rechtlichen Rahmenbedingungen sind kein Hinderungsgrund für Prozesse, sondern ein Gestaltungsauftrag. Wer sie von Anfang an mitdenkt und sauber dokumentiert, schafft eine belastbare Grundlage für den KI-Einsatz. Auch vor diesem Hintergrund sollte frühzeitig die Einbindung spezialisierter externer Berater erwogen werden.
Compliance-Screening neu denken
Compliance-Screening war lange eine Disziplin der Checklisten und Suchbegriffe – effektiv im Bekannten, aber blind für das Unerwartete. Genau hier liegt die transformative Kraft von KI: Sie erkennt nicht nur das, wonach man sucht, sondern auch das, wonach man gerade nicht sucht. Ein KI-gestütztes Screening arbeitet sprachübergreifend, kontextsensitiv und skaliert mühelos über Millionen von Datenpunkten hinweg – Fähigkeiten, die kein manuelles Verfahren auch nur annähernd abbilden kann. Das Ziel ist ein Compliance-Screening, das nicht nur zeit- und kosteneffizienter ist, sondern qualitativ eine neue Stufe erreicht.