Digital Compliance

Artikel als PDF (Download)

 

Digital Compliance auf dem Vormarsch

Die stetig wachsende Menge und Komplexität regulatorischer Anforderungen stellen Unternehmen vor neue Herausforderungen. Gleichzeitig haben Algorithmen und künstliche Intelligenz (KI) längst bestimmenden Einzug in unternehmerische Prozesse gehalten. Daher ist es keine Überraschung, dass „Digital Compliance“ in der zunehmend digitalisierten Unternehmenswelt immer mehr an Bedeutung gewinnt. Hierunter versteht man den Einsatz softwarebasierter Compliancetools, die entweder in analoge Compliancearbeit eingebunden werden oder diese – etwa im Fall fortschrittlicher „Regulatory Technologies“ (Reg-Techs) – in Teilbereichen sogar weitgehend übernehmen.

Durch ihre Fähigkeit zur schnellen und umfangreichen Datenanalyse und -verarbeitung bieten Reg-Techs ein ­erhebliches Potential zur Verbesserung der Zeit- und Kosten­effizienz im Vergleich zur analogen Compliance. Sie sind daher besonders attraktiv für kleine und mittelständische Unternehmen, die aufgrund begrenzter personeller Ressourcen Schwierigkeiten bei der Umsetzung ständig neuer regulatorischer Vorgaben haben. Digitale Compliancetools helfen jedoch auch dabei, ­sogenannte ­„False Positives“ – also Handlungen, die als Verstöße ­gewertet werden, tatsächlich aber keine sind – zu identifizieren, was die Fehleranfälligkeit minimiert. Neben der verbesserten Überprüfung in der Breite wird also ferner die Überprüfung in der Tiefe optimiert.

Dieser Beitrag gibt einen Überblick über die Einsatzbereiche und die rechtlichen Rahmenbedingungen, denen der Einsatz solcher digitaler Compliancetools unterliegt.

Anwendungsfelder für Digital Compliance

Digitale Compliancetools werden vielseitig eingesetzt, etwa wenn im Rahmen des Compliancemanagements die regulatorischen Anforderungen automatisiert überwacht werden oder wenn zum Zweck der Betrugserkennung, Geldwäscheprüfung oder Kundenverifizierung ein Echtzeitmonitoring von Transaktionsdaten stattfindet.

Unternehmensprozesse können dabei einer präventiven oder einer reaktiven Überprüfung unterliegen. Während bei präventiven Überprüfungen bestimmte Maßnahmen erst nach einer Compliancefreigabe durchgeführt werden, wird bei reaktiven Überprüfungen eine bereits erfolgte Handlung auf Gesetzeskonformität geprüft.

Präventive Überprüfung: Sanktionslistenscreenings und ­IT-Sicherheitssysteme

Im Bereich der Sanktionscompliance sind digitale Tools zur präventiven Überprüfung äußerst effektiv. Beispielsweise werden die Daten potentieller Geschäftspartner mit Hilfe spezialisierter Software mit Sanktionslisten abgeglichen, bevor Geschäftsabschlüsse getätigt werden. Angesichts der Vielzahl sanktionierter Personen und der sich ständig ändernden Sanktionslisten ist eine ­analoge Prüfung nur schwer realisierbar. Doch auch digitale Compliance­tools kommen hier bisweilen (noch) an ihre Grenzen. Operative Herausforderungen bestehen etwa in der Auswahl der richtigen Datenbanken oder wenn sanktionierte Personen in komplexen Gesellschaftsstrukturen Eigentumsanteile halten. So kann es passieren, dass kein Treffer angezeigt wird, obgleich das geprüfte Unternehmen unter der Kontrolle einer sanktionierten Person steht.

Weiterentwickelte Compliancetools mit einem ­präventiven Ansatz werden zum Beispiel im Bereich der ­IT-Sicherheit eingesetzt. Sogenannte Security-Information-and-Event-Management-Systeme (SIEM-Systeme) sind – häufig ­unter Einsatz von KI – in der Lage, wesentliche Teile der IT-Systeme eines Unternehmens inklusive stattfindender Datenströme in Echtzeit zu überwachen und im Fall von Anomalien zu warnen. So können zum Beispiel poten­tielle IT-Sicherheitsbedrohungen effizient erkannt werden.

Andere Tools sind wiederum für die Geldwäscheprävention optimiert. Beim sogenannten Smurfing schleusen Kriminelle das zu waschende Geld wahllos gestückelt über viele verschiedene Strohmänner in eine Bank ein. Betrachtet man die eingezahlten Beträge isoliert oder zumindest nicht in der richtigen Kombination, kann kein Bezug zwischen den einzelnen Transaktionen hergestellt werden. Spezialisierte Software kann dagegen Bezüge zwischen einer Vielzahl von Transaktionen erkennen und ­dabei helfen, Geldwäsche effektiver entgegenzuwirken.

Reaktive Überprüfung: Kartellscreenings

Ein Anwendungsfall für reaktive Überprüfungen ist das Kartellscreening, bei dem durch die Analyse von Daten wie Absatzmengen, Preisen und Marktanteilen Indikatoren für illegale Preisabsprachen und andere Kartellauffälligkeiten ermittelt werden. So nutzt die Deutsche Bahn zum Beispiel ein digitales Screening-Tool, um Bieter­kartelle aufzuspüren. Auch zahlreiche Kartellbehörden untersuchen die Märkte mittels algorithmusbasierter Programme nach wettbewerblichen Unregelmäßig­keiten. Dazu werden zunächst die notwendigen Daten ausgewählt und in das Screeningprogramm eingespeist. Das System analysiert die Daten dann anhand zuvor abstrakt definierter statistischer Schwellenwerte auf kartell­bedingte Auffälligkeiten. Im Anschluss bereitet es die Ergebnisse in einer Weise auf, dass der Anwender die Auffälligkeiten nachvollziehen und prüfen kann.

Unternehmen können solche Tools einerseits einsetzen, um eigene Complianceverstöße frühzeitig zu erkennen („Compliance by Detection“). Solche Maßnahmen können jedenfalls bußgeldmindernd berücksichtigt werden und dem Unternehmen die Möglichkeit bieten, durch eine schnelle Meldung vom Kronzeugenprogramm zu profitieren. Anderseits können auch potentiell ­geschädigte Unternehmen Kartelle schneller aufspüren und geeignete Maßnahmen ergreifen.

Datenschutzrechtliche Vorgaben

Der Einsatz von Compliancetools erfordert in der ­Regel die Verarbeitung personenbezogener Daten. ­Insbesondere können Beschäftigte oder Kunden des ­Unternehmens betroffen sein. Dies erfordert die Beachtung datenschutzrechtlicher Anforderungen. Solange kein Erlaubnistatbestand vorliegt, untersagt die Datenschutz-Grundverordnung (DSGVO) die Verarbeitung solcher Daten grundsätzlich. Allerdings kommt bei der Verarbeitung personenbezogener Daten mittels Compliance­tools regelmäßig eine Erlaubnis aufgrund überwiegender berechtigter Interessen des verantwortlichen Unternehmens (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Möchten sich Unternehmen auf diese Rechtsgrundlage stützen, sollten sie vorab eine Interessen­abwägung durchführen und dokumentieren. Neben der Rechtsgrundlage der ­berechtigten Interessen können sich Unternehmen teilweise auf Art. 6 Abs. 1 lit. c ­DSGVO stützen. Die Vorschrift erlaubt die Verarbeitung personenbezogener Daten, die zur Erfüllung rechtlicher Verpflichtungen ­erforderlich sind.

Nach dem Prinzip der Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) müssen Compliancetools und andere Datenverarbeitungssysteme zudem so gestaltet sein, dass sie ihre Funktion mit möglichst wenigen personen­bezogenen Daten erfüllen können („Privacy by Design“). Gleichzeitig sind die Unternehmen aus Gründen der Transparenz verpflichtet, die Betroffenen über die Datenverarbeitung zu Compliancezwecken zu informieren (Art. 13, 14 DSGVO) und ihnen die gesetzlichen Auskunftsrechte einzuräumen. Zudem untersagt Art. 22 Abs. 1 DSGVO dem Grundsatz nach Entscheidungen, die ausschließlich auf automatisierter Datenverarbeitung beruhen und rechtliche Auswirkungen oder vergleich­bare erhebliche Beeinträchtigungen für betroffene Personen mit sich bringen. Entscheidend ist hierbei, inwiefern eine relevante menschliche Beteiligung am Entscheidungsprozess stattfindet. Unternehmen sollten daher prüfen und dokumentieren, ob digitale Compliance­anwendungen unmittelbare Auswirkungen auf betroffene Personen haben und ob ein Mensch einbezogen wird, bevor endgültige Entscheidungen jeweils ihm gegenüber getroffen werden.

Vor der Implementierung eines Compliancetools sollte auch die datenschutzrechtliche Rolle des Anbieters ­geprüft werden. In der Regel wird er personenbezogene Daten weisungs- und zweckgebunden für das beauftragende Unternehmen verarbeiten. In solchen Fällen agiert der Anbieter als Auftragsverarbeiter, was nach Art. 28 Abs. 3 DSGVO den Abschluss eines Auftragsverarbeitungsvertrags notwendig macht. Sollte die Verwendung des Tools ein erhöhtes Risiko für die Rechte und Freiheiten natürlicher Personen bedeuten, so ist gemäß Art. 35 Abs. 1 DSGVO eine Datenschutzfolgenabschätzung ­erforderlich.

Arbeitsrechtliche Vorgaben

Ein weiteres zentrales Thema im Zusammenhang mit dem Einsatz von Compliancetools ist das Arbeitsrecht, etwa wenn softwarebasierte Anwendungen im Rahmen interner Ermittlungsverfahren eingebunden werden.

Zunächst sind hier Mitbestimmungsrechte des Betriebsrats zu beachten. Gemäß § 87 Abs. 1 Nr. 6 ­BetrVG ist dieser bei der Einführung und Anwendung von Compliance­tools einzubeziehen, wenn die Tools dazu bestimmt sind, das Verhalten oder die Leistung der ­Beschäftigten zu überwachen. Dabei genügt es, wenn eine Leistungs- und Verhaltenskontrolle möglich ist, was bei vielen Compliance­tools naheliegend sein wird. Daneben bestehen Mitbestimmungsrechte grundsätzlich auch beim Einsatz von KI als Arbeitsmittel (§ 90 Abs. 1 Nr. 3 BetrVG), bei dem Einfluss von KI auf das Ordnungsverhalten der Arbeitnehmer (§ 87 Abs. 1 Nr. 1 BetrVG) oder wenn der Arbeitgeber KI nutzt, um Auswahlrichtlinien über Einstellungen, Versetzungen, Umgruppierungen und Kündigungen aufzustellen (§ 95 Abs. 2a BetrVG). Es ist daher zu empfehlen, den Betriebsrat frühzeitig in die Planung solcher Tools einzubeziehen. Nach erfolgter Einigung mit dem Betriebsrat kann eine Betriebsvereinbarung dann auch als datenschutzrechtlicher Erlaubnistatbestand für die Verarbeitung von Beschäftigtendaten dienen.

Gleichzeitig gibt es auch antidiskriminierungsrechtliche Grenzen für den Einsatz digitaler Compliancetools, beispielsweise in Bewerbungsverfahren oder in Konstellationen, in denen eine Software ermitteln soll, ob bestimmte Verstöße häufiger von bestimmten Gruppen von Arbeitnehmern begangen werden. ­Angehörige geschützter Gruppen dürfen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) auch bei automatisierten Entscheidungsprozessen nicht benachteiligt werden, beispielsweise aufgrund von Verzerrungen in Trainingsdaten oder erlernten Mustern. Diskriminierende Maßnahmen sind nicht nur nach § 134 BGB in Verbindung mit § 7 AGG unwirksam, Betroffene haben darüber ­hinaus auch Anspruch auf materiellen und immateriellen Schadensersatz.

Fazit und Ausblick: Chancen und Risiken von Digital Compliance

Die digitale Transformation bietet Unternehmen die Möglichkeit, Complianceprozesse effizienter zu gestalten und komplexe regulatorische Verpflichtungen effektiver zu erfüllen. Gleichzeitig erzeugt sie neue Herausforderungen, die gerade im Hinblick auf zukünftige Vorgaben im Bereich der KI absehbar noch komplexer werden.

Unternehmen sind daher gut beraten, die Entwicklungen im Bereich Digital Compliance aufmerksam zu verfolgen, ihre Compliancestrategien kontinuierlich an die technischen Möglichkeiten anzupassen und die recht­lichen Rahmenbedingungen sorgfältig zu prüfen. Nur so ­können Unternehmen die Chancen der Digitalisierung nutzen und gleichzeitig die damit verbundenen recht­lichen Risiken adäquat steuern.