Die digitale Transformation prägt unsere moderne Unternehmenslandschaft in einer Weise, die tiefgreifende Veränderungen in Geschäftsprozessen, IT-Systemen und der Rolle von Menschen in Organisationen mit sich bringt. Mit dieser Transformation, die auch den Einsatz von Künstlicher Intelligenz (KI) umfasst, steigen jedoch auch die Risiken und die Komplexität rechtlicher und technischer Anforderungen. Um diesen Herausforderungen zu begegnen und die Organisation rechtssicher zu führen, ist ein Integriertes Compliance Management System (CMS) für die IT-/KI-Governance unerlässlich.
Was ist IT-/KI-Governance und Compliance?
Zunächst ist es wichtig, die Begriffe zu klären:
- Governance bezieht sich auf die nachhaltige, Compliance- und risikobasierte gewissenhafte Führung und Überwachung von Organisationen einschließlich der Interaktion mit relevanten Stakeholdern.
- IT-Governance ist ein Teilbereich der allgemeinen Governance, der sich auf die Führung und Überwachung der Informationstechnologie bezieht.
- KI-Governance wiederum ist eine Teilmenge der IT-Governance, die spezifische Governance- und Compliance-Anforderungen für den rechtsicheren und ethischen Einsatz von KI-Technologien berücksichtigt.
Compliance bedeutet das pflichtgemäße Verhalten in Bezug auf allgemein verbindliche Regeln (wie Gesetze und Rechtsprechung) sowie auf verbindlich erklärte interne Vorgaben (z.B. Verhaltensregeln aus einem „Code of Conduct“ oder Anstellungsverträge). Compliance bildet die Basis für Governance, IT-Governance und auch KI-Governance. Die Missachtung dieser Pflichten kann erhebliche Haftungsrisiken nach sich ziehen.
Die Notwendigkeit eines Integrierten IT-/KI-Governance-CMS
Ein IT-/KI-Governance-CMS ist eine Aufbau- und Ablauforganisation, die darauf abzielt, eine Organisation bei Entscheidungen, Zielsetzung, Planung, Umsetzung, Steuerung und Überwachung zu unterstützen, um die zwingenden und fakultativ gesetzten Ziele im Bereich IT-/KI-Governance-Compliance zu erreichen. Es umfasst unter anderem das IT-Compliance-Management, IT-Risikomanagement, IT-Strategie, IT-Planung, IT-Umsetzung, IT-Prozesse, IT-IKS und IT-Revision.
Die Integration ist hierbei von entscheidender Bedeutung. Diese Bereiche sollten nicht als „Silos“ oder „Managementsystem-Inseln“ gestaltet werden, sondern in die Aufbau- und Ablauforganisation (Prozesse) integriert sein. Standards wie die DIN ISO 37000 (Governance von Organisationen), ISO/IEC 38500 (IT-Governance) und ISO/IEC 42001 (KI-Managementsystem) bieten hierfür hilfreiche Leitfäden und können mit anderen Managementsystem-Standards, wie der DIN EN ISO/IEC 27001 (Informationssicherheits-Managementsystem) oder DIN ISO 37301 (Compliance-Management-System), integriert werden.
Obwohl es keine explizite Pflicht gibt, ein IT-/KI-Governance-CMS in Anlehnung an spezifische DIN ISO oder ISO/IEC Standards zu betreiben, besteht aus der Rechtsprechung eine verbindliche Pflicht, in allen Unternehmensbereichen für (IT-/KI-)Compliance zu sorgen. Die Implementierung solcher Systeme kann im Falle eines Vorfalls sogar inhaftend wirken.
Herausforderungen und Lösungsansätze
Der Einsatz von generativer KI bringt spezifische Herausforderungen mit sich:
- Datenschutz und Verschwiegenheitspflicht: Der Schutz mandatsspezifischer Daten ist das höchste Gut. Daher dürfen Wirtschaftsprüfer nur generative KI-Modelle verwenden, die Rechtssicherheit in Bezug auf die DSGVO und die berufsrechtliche Verschwiegenheitspflicht gewährleisten. Dies sind oft lokal ausführbare Modelle oder tenant-spezifische Cloud-Umgebungen. Öffentliche KI-Systeme wie ChatGPT oder Google Gemini eignen sich nicht für kritische Informationen.
- Mangelnde Nachvollziehbarkeit: Komplexe Modellarchitekturen können die Nachvollziehbarkeit von KI-Entscheidungen erschweren, was die Fehlererkennung und Verantwortlichkeiten für den Output erschwert. Der Grundsatz der Eigenverantwortlichkeit des Wirtschaftsprüfers bleibt unerlässlich. KI-generierte Inhalte müssen stets von Experten überprüft werden.
- Regularien-Vielfalt: Spezifische Gesetze (z.B. AI Act) und KI-bezogene Standards (z.B. ISO/IEC 42001 oder NIST AI Risk Management Framework) setzen sich explizit mit den Governance-Compliance-Anforderungen im Kontext der KI auseinander.
Um diese Herausforderungen zu meistern, sind folgende Aspekte wichtig:
- Rechtskataster: Ein prozessbezogenes Rechtskataster sollte angelegt und gepflegt werden, um alle relevanten rechtlichen Anforderungen zu identifizieren und zu bewerten. Abbildung 2 in den Quellen zeigt beispielhaft, wie ein solches Kataster aufgebaut sein könnte.
- Führung und Verpflichtung („Tone from the Top“): Die Geschäftsleitung muss die Verantwortung für die IT-/KI-Governance übernehmen und die notwendigen Ressourcen bereitstellen. Ihre Vorbildfunktion („Tone from the Top“) ist dabei elementar.
- Kontinuierliche Anpassung und Verbesserung: Das CMS muss fortlaufend angepasst und verbessert werden, um angesichts kontinuierlicher Veränderungen wirksam zu bleiben. Zielabweichungen müssen frühzeitig erkannt und gesteuert werden, um die Wirksamkeit des Systems zu gewährleisten.
- Kompetenzentwicklung: Neue technische Entwicklungen erfordern neue Kompetenzen bei Organen und Beschäftigten, was einen effektiven Change-Prozess notwendig macht.
Fazit
IT-/KI-Governance ist primär „Chefsache“ und muss von der Unternehmensleitung in Primär- und Letztverantwortung übernommen werden. Die aus der IT-/KI-Governance abzuleitenden zwingenden Anforderungen und Maßnahmen mögen zunächst „erschlagend“ klingen, aber durch die korrekte Integration in die Corporate Governance und mit allen (IT-)Managementsystemen des Unternehmens ergeben sich zahlreiche Synergien. Ein enthaftendes IT-/KI-Governance-CMS ist unverzichtbar, um rechtliche Sicherheit zu gewährleisten und Haftungsrisiken zu minimieren. Es ist eine kontinuierliche Aufgabe, die Prävention, eingeübte Verantwortlichkeiten und eine belastbare Kommunikationsstrategie erfordert, um Schäden zu begrenzen und Vertrauen zu erhalten.
