Von Juerg Bloch und Simon Bühler

Die Verbreitung von KI-Anwendungen, insbesondere der generativen KI, die auf Basis von Trainingsdaten Inhalte wie z.B. Texte generieren können, hat zu einer neuen Dynamik in den Bereichen Compliance und interne Untersuchungen geführt. Im Wochenrhythmus werden neue Anwendungen und Einsatzmöglichkeiten vorgestellt. Was sind deren Vorteile, Risiken und Herausforderungen?

Die Vorteile von KI-Anwendungen in den Bereichen Compliance und interne Untersuchungen sind insbesondere:

• Effizienzsteigerungen: KI-Anwendungen ermöglichen es, grosse Datenmengen in kürzerer Zeit zu analysieren und Auswertungen (wie z.B. Zusammenfassungen oder Beantwortung von Fragestellungen) zu erstellen. Dies kann zu einer Reduktion von manueller Arbeit und damit Kostenersparnissen führen.
  
  
• Neue Möglichkeiten der Datenanalyse: KI-Anwendungen können Muster und Anomalien erkennen sowie Datenpunkte verknüpfen. Damit können bspw. verdächtige Muster erkannt werden, welche in der Vergangenheit erst nach Analyse durch Compliance-Spezialisten identifiziert wurden.
  
  
• Echtzeit-Auswertungen: Die Integration von KI-Anwendungen in Echtzeit Systemen/Daten ermöglicht eine kontinuierliche Überwachung. Die Reaktionszeit wird verkürzt.

Gleichzeitig bestehen erhebliche Herausforderungen beim Einsatz generativer KI in den sensiblen Bereichen Compliance und interne Untersuchungen, insbesondere die Problematiken von Vorurteilen, Verzerrungen und Halluzinationen, die oft nur eingeschränkte Nachvollziehbarkeit der Ergebnisse, Fragen des Datenschutzes sowie die Verfügbarkeit ausreichender Rechenleistung.

Angesichts der unbestreitbaren Vorteile generativer KI in Compliance und bei internen Untersuchungen (insbesondere eDiscovery) ist die Anwendung dieser Technologie keine Frage des Ob, sondern des Wann und Wie. Im Folgenden werden ausgewählte Herausforderungen diskutiert.

KI-Regulierungsvorhaben: EU

Anfang August ist mit dem EU AI Act die weltweit erste Rahmengesetzgebung zur Regulierung von KI in Kraft getreten, wobei das allgemeine Inkrafttreten der darin enthaltenen Regulierung für August 2026 vorgesehen ist. Im vorliegenden Kontext sind folgende Aspekte hervorzuheben:

• Relevanz des EU AI Act für schweizerische Compliance-Abklärungen und interne Untersuchungen: Der EU AI Act richtet sich in erster Linie an Anbieter und Betreiber von KI-Systemen. Anbieter müssen die Bestimmungen des EU AI Act einhalten, wenn sie in der EU KI-Systeme in Verkehr bringen oder in Betrieb nehmen oder KI-Modelle mit allgemeinem Verwendungszweck (GPAI) in Verkehr bringen, unabhängig davon, wo sie sich befinden. Der EU AI Act gilt auch für Anbieter und Betreiber in Drittstaaten (z.B. Schweiz), wenn das Ergebnis des KI-Systems in der EU genutzt wird. Da KI-Systeme häufig (zumindest auch) in der EU betrieben werden und eine Verwendung der Ergebnisse schweizerischer Compliance-Abklärungen oder internen Untersuchungen in der EU häufig nicht ausgeschlossen werden kann, dürften die Vorgaben des EU AI Act auch in der Schweiz von hoher Relevanz sein.
  
  
• Vorgaben für Hochrisiko-Systeme: Die wohl grösste Herausforderung des EU AI Act liegt in der Risikoklassifizierung von KI-Systemen. Besonders wichtig ist die Unterscheidung zwischen KI-Systemen mit hohem Risiko und solchen mit begrenztem Risiko. Dies geschieht u.a. gestützt auf den Kriterienkatalog in Anhang III des EU AI Act sowie Leitlinien, welche die EU-Kommission bis Februar 2026 bereitstellen wird. Die Einstufung erfolgt durch die Anbieter selbst, wobei die Marktüberwachungsbehörde eingreifen kann, wenn sie ein System als hochriskant einstuft, das vom Anbieter anders klassifiziert wurde (zum Enforcement vgl. unten). Gemäss Anhang III des EU AI Act gelten u.a. KI-Systeme für die Beobachtung und Bewertung der Leistung und des Verhaltens von Personen in Beschäftigungsverhältnissen als hochriskant (Ziff. 4). Ebenfalls als hochriskant gelten KI-Systeme zur Strafverfolgung (Ziff. 6) und zur Ermittlung und Auslegung von Sachverhalten und Rechtsvorschriften (Ziff. 8), wobei diese Kriterien auf die Verwendung durch Behörden zugeschnitten sind. Diese Unterscheidung der Nutzung durch Behörden und Private wird dadurch relativiert, dass Straf- und Justizbehörden oftmals die gleichen eDiscovery Systeme wie Private verwenden. Entsprechend ist davon auszugehen, dass eine Vielzahl von KI-basierten Compliance und eDiscovery-Lösungen den umfangreichen Vorgaben des EU AI Act zu KI-Systemen mit hohem Risiko unterstehen werden (u.a. Konformitätsbewertung, Risikomanagementsystem, Anforderungen an Daten und Daten-Governance, technische Dokumentation, Aufzeichnungspflichten, Transparenz, menschliche Aufsicht).
  
  
• Verbotene Praktiken: Art. 5 des EU AI Act enthält eine Auflistung von verbotenen Praktiken. Im vorliegenden Zusammenhang erscheint insbesondere Art. 5 Abs. 1 lit. d des EU AI Act relevant, der das Inverkehrbringen, die Inbetriebnahme zu diesem spezifischen Zweck oder die Verwendung eines KI-Systems zur Durchführung von Risikobewertungen in Bezug auf natürliche Personen, um das Risiko, dass eine natürliche Person eine Straftat begeht, zu bewerten oder vorherzusagen, ausschliesslich auf der Grundlage des Profiling einer natürlichen Person oder der Bewertung ihrer persönlichen Merkmale und Eigenschaften verbietet. Dieses Verbot gilt nicht für KI-Systeme, die dazu eingesetzt werden, die von Menschen vorgenommene Bewertung der Beteiligung einer Person an einer kriminellen Aktivität zu unterstützen, die bereits auf objektiven und nachprüfbaren Tatsachen beruht, die in unmittelbarem Zusammenhang mit einer kriminellen Aktivität stehen. Es ist nicht zu erwarten, dass heute angewandte best practices in Compliance und eDiscovery unter das Verbot von Art. 5 des EU AI Act fallen werden.

KI-Regulierungsvorhaben: Schweiz

In der Schweiz werden derzeit vom UVEK und dem EDA bis Ende 2024 mögliche Ansätze zur Regulierung von KI evaluiert. Ausgangslage ist das geltende Schweizer Recht, welches um Elemente der KI Regulierung, unter Berücksichtigung des EU AI Act und der KI-Konvention des Europarats, ergänzt werden soll. Gestützt hierauf plant der Bundesrat, im Jahr 2025 den Auftrag für eine Regulierungsvorlage KI zu erteilen.

Bezüglich der bestehenden Vorgaben unter Schweizer Recht sind die einschränkenden Vorgaben für eine laufende Überwachung am Arbeitsplatz zu erwähnen (vgl. die Übersicht des EDÖB). Insbesondere verbietet Art. 26 Abs. 1 der Verordnung 3 zum Arbeitsgesetz (SR 822.113) Überwachungs- und Kontrollsysteme, die das Verhalten der Arbeitnehmer am Arbeitsplatz überwachen sollen.

Auch im Parlament wurden Motionen zur Regelung von KI vorgebracht. So forderte beispielsweise Barbara Gysi (SPS) in der Motion 23.4492 betreffend KI am Arbeitsplatz die Mitwirkungsrechte von Arbeitnehmern auszuweiten, Informationsrechte zu stärken sowie kollektive Klagerechte und Sanktionsmöglichkeiten zu prüfen.

Neue Haftungs-, Enforcement- und Strafbarkeitsrisiken

Aus der KI-Regulierung können sich zusätzliche Haftungs-, Enforcement- und Strafbarkeitsrisiken ergeben, wie das Beispiel des EU AI Act zeigt:

• Enforcement: Die nationale Aufsichtsbehörde wird insbesondere tätig, wenn sie hinreichende Gründe zur Annahme hat, (i) dass ein KI-System ein Risiko für die Gesundheit, Sicherheit oder den Schutz der Grundrechte von Personen birgt oder unzulässige KI-Praktiken enthält (Art. 79 des EU AI Act), oder (ii) dass ein hochriskantes KI-System vom Anbieter fälschlicherweise nicht als hochriskant eingestuft wurde (Art. 80 des EU AI Act).
  
  
• Strafbarkeit: Der EU AI Act sieht Sanktionen für eine Nichtbefolgung in der Form von Bussen vor, welche bis zum Betrag von EUR 35 Mio. oder 7% des Umsatzes reichen können (Art. 99 des EU AI Act).
  
  
• Haftung: Der EU AI Act sieht direkt keine Haftungsnormen vor. Allerdings enthält die KI-Verordnung mehrere strafbewehrte Sorgfaltspflichten, welche auch haftungsrechtlich relevant sein können. Dies betrifft insb. die Anforderungen für Betreiber von Hochrisiko-Systemen gemäss Art. 26 des EU AI Act wie z.B. (i) technische und organisatorische Massnahmen zur Sicherstellung der Verwendung gemäss Gebrauchsanweisung (Abs. 1), (ii) Anforderungen an Kompetenz, Ausbildung und Befugnis der Mitarbeitenden (Abs. 2), und (iii) Sicherstellung, dass die Eingabedaten der Zweckbestimmung des Hochrisiko-KI-Systems entsprechen und ausreichend repräsentativ sind (Abs. 4). Darüber hinaus hat die EU-Kommission 2022 den Entwurf einer Richtlinie zur Anpassung der Vorschriften über die ausservertragliche zivilrechtliche Haftung an die künstliche Intelligenz veröffentlicht, welche insbesondere Beweislasterleichterungen für Anspruchsteller und Pflichten zur Offenlegung von Beweismitteln vorsieht.

Eine neue Ära der Unternehmensstrafbarkeit?

Gemäss Art. 102 Abs. 2 StGB kommt Unternehmen eine Deliktverhinderungspflicht zu betreffend die in dieser Bestimmung genannten Katalogtagen. Unternehmen haben in diesem Bereich eine originäre, kumulative Haftung, sofern sie nicht alle erforderlichen und zumutbaren organisatorischen Vorkehren getroffen haben, um eine solche Straftat zu verhindern (sog. Organisationsdefizit).

Das Gesetz konkretisiert die Organisationserfordernisse nicht. Generell bedingt das Erfordernis organisatorischer Vorkehren, dass ein Unternehmen über ein angepasstes Risikomanagement verfügt, welches insbesondere geografische und branchenspezifische Risiken berücksichtigt. In der Praxis werden hierbei von den Strafverfolgungsbehörden best practice Standards beigezogen, welche sich u.a. aus dem soft law ergeben können.

Es ist zu erwarten, dass die durch KI-Systeme resultierenden, zusätzlichen Möglichkeiten für Compliance und interne Untersuchungen zu einem erweiterten (strengeren) Massstab für die Organisationserfordernisse führen werden. Mit anderen Worten ist zu erwarten, dass die neuen Möglichkeiten hinsichtlich Datenanalyse, Echtzeitauswertungen und Effizienzvorteile mittelfristig in der Praxis zu Art. 102 Abs. 2 StGB zu einem strengeren Organisationsmassstab führen, wodurch die Risiken der Unternehmensstrafbarkeit steigen.

Autor: Juerg Bloch

Juerg Bloch ist Partner bei NKF. Seine Tätigkeit fokussiert sich auf die Beratung von Unternehmen und Privatpersonen in den Bereichen interne und aufsichtsrechtliche Untersuchungen, Wirtschaftskriminalität, Krisenmanagement, Corporate Governance, Compliance und internationale Rechtshilfe in Zivil- und Strafsachen. Er verfügt über umfassende Erfahrung in komplexen nationalen und grenzüberschreitenden Rechtsstreitigkeiten, Vollstreckungs- und Strafverfahren.

Autor: Simon Bühler

Simon Bühler ist Partner bei NKF und spezialisiert auf Banken- und Aufsichtsrecht. Er unterstützt Banken, Versicherungen und andere Beaufsichtigte in Fragen der Regulierung, des Zivilrechts und der Compliance. Darüber hinaus berät er Klienten bei internen Untersuchungen und vertritt sie in streitigen regulatorischen Angelegenheiten, insbesondere im Bereich Enforcement.