KI-basierte Risikoanalyse im Compliance-Kontext: Nutzen, Grenzen und rechtliche Rahmenbedingungen

Risikoanalysen sind im Compliance-Kontext gesetzlich vorgeschrieben: § 5 GwG verlangt eine Risikoanalyse zur Geldwäscheprävention, Art. 32 DSGVO fordert eine Bewertung der Risiken für personenbezogene Daten, § 5 ArbSchG schreibt die Gefährdungsbeurteilung vor, und ISO/IEC 27001:2022 stellt das Risikomanagement nach Klausel 6.1 in den Mittelpunkt des gesamten ISMS. All diese Analysen teilen ein strukturelles Problem: Sie sind ressourcenintensiv, müssen regelmäßig aktualisiert werden und erfordern Fachkenntnisse, die im Mittelstand nicht immer gebündelt vorliegen.

KI-gestützte Risikoanalyse-Funktionen in Compliance-Plattformen versprechen, diesen Aufwand zu reduzieren. Dieser Beitrag analysiert, welche Einsatzbereiche sinnvoll sind, welche rechtlichen Anforderungen der EU AI Act (KI-Verordnung) für solche Systeme gilt, und wie Beauftragte im Mittelstand KI-Assistenz verantwortungsvoll einsetzen.

Im deutschen Unternehmensrecht sind Risikoanalysen in mindestens sieben Regelungsbereichen explizit vorgeschrieben. § 5 GwG verpflichtet Verpflichtete nach § 2 GwG zu einer dokumentierten Risikoanalyse der Geldwäsche- und Terrorismusfinanzierungsrisiken, die regelmäßig zu aktualisieren ist. Art. 32 DSGVO fordert eine Risikoabwägung bei der Auswahl technischer und organisatorischer Maßnahmen; Art. 35 DSGVO schreibt für risikovolle Verarbeitungsvorgänge eine vollständige Datenschutz-Folgenabschätzung vor.

§ 5 ArbSchG verpflichtet Arbeitgeber zur Gefährdungsbeurteilung jedes Arbeitsplatzes; § 6 GefStoffV fordert eine Gefährdungsbeurteilung für Tätigkeiten mit Gefahrstoffen. ISO/IEC 27001:2022 stellt in Klausel 6.1 die Risikobeurteilung und Risikobehandlung als Kernelement des ISMS heraus; ohne dokumentierten Risikoprozess ist keine ISO 27001-Zertifizierung möglich. Das LkSG (§ 5 LkSG) schließlich verlangt eine jährliche Risikoanalyse der Lieferkette auf Menschenrechts- und Umweltverstöße.

All diese Analysen folgen einer ähnlichen Struktur: Scope definieren, Risikokategorien identifizieren, Eintrittswahrscheinlichkeit und Schadensausmaß bewerten, Maßnahmen ableiten und dokumentieren. Der Compliance-Beauftragte bei CIVAC koordiniert die risikoanalytische Arbeit über alle Beauftragten-Rollen hinweg.

KI-Assistenzfunktionen in Compliance-Plattformen leisten in drei Einsatzbereichen messbar Mehrwert. Erstens: Normanalyse. KI kann regulatorische Texte (DSGVO-Artikel, BSI-Grundschutz-Bausteine, GwG-Paragraphen) auf relevante Anforderungen für ein spezifisches Unternehmensprofil (Branche, Größe, Verarbeitungstiefe) durchsuchen und vorstrukturierte Risikofelder ausgeben. Das reduziert den initialen Analyseaufwand erheblich.

Zweitens: Anomalie-Erkennung. Bei laufenden Compliance-Daten – etwa Zugriffslogs in einem ISMS oder Transaktionsdaten in der Geldwäscheprävention – können KI-Modelle Muster erkennen, die auf erhöhtes Risiko hindeuten, deutlich schneller als manuelle Prüfprozesse. Drittens: Vorstrukturierung von Risikoberichten. KI kann Entwürfe für Gefährdungsbeurteilungen, Datenschutz-Folgenabschätzungen oder GwG-Risikoanalysen generieren, die der Beauftragte anschließend fachlich prüft und anpasst. Der Vorteil liegt in der Zeitersparnis bei der strukturellen Grundarbeit, nicht bei der fachlichen Urteilsbildung.

Alle drei Bereiche setzen voraus, dass die KI-Funktion mit einem Konfidenzwert arbeitet und klare Grenzen kommuniziert. Eine KI, die Risikoeinschätzungen ohne Konfidenzangabe ausgibt, ist im Compliance-Kontext nicht vertretbar.

Die KI-Verordnung der EU (Verordnung (EU) 2024/1689, EU AI Act) ist ab August 2026 vollständig anwendbar. Sie stuft KI-Systeme nach Risikoklassen ein. Hochriskante KI-Systeme nach Anhang III EU AI Act unterliegen strengen Anforderungen: Risikomanagementsystem, Datensatz-Dokumentation, menschliche Aufsicht, Transparenz gegenüber Nutzern und Konformitätsbewertung.

KI-Systeme, die für Compliance-Entscheidungen eingesetzt werden, können unter Anhang III Nummer 6 fallen, der KI-Systeme für die Bewertung von Zuverlässigkeit natürlicher Personen oder die Entscheidungsunterstützung in regulierten Bereichen erfasst. Die Einordnung hängt von der konkreten Nutzungsweise ab: Ein KI-Assistent, der nur Informationen bereitstellt, fällt eher in die Niedrigrisikoklasse; ein System, das automatisiert Compliance-Entscheidungen trifft oder Risikoklassifizierungen mit unmittelbarer Rechtswirkung ausgibt, rückt in den hochriskanten Bereich.

Für Compliance-Plattformen bedeutet das: Anbieter müssen transparent kommunizieren, wie ihr KI-System eingestuft ist, welche Aufsichtsmechanismen existieren und ob eine Konformitätsbewertung nach EU AI Act vorliegt. Unternehmen, die solche Systeme einsetzen, haben als Betreiber (Deployer) eigene Pflichten nach Art. 26 EU AI Act.

Die Qualität einer KI-basierten Risikoanalyse hängt direkt von der Qualität der zugrunde liegenden Datenbasis ab. Im Compliance-Kontext sind drei Datendimensionen relevant: Regulatorische Daten (aktuelle Gesetze, Normen, Leitlinien der Aufsichtsbehörden), unternehmensinterne Daten (Verarbeitungsverzeichnisse, Sicherheitsarchitektur, Lieferkettendaten) und Branchendaten (Schadensstatistiken, Vorfalldaten, Benchmarks).

Ein KI-Modell, das nur auf regulatorischen Texten trainiert wurde, liefert generische Risikofelder, aber keine unternehmensspezifische Einschätzung. Ein Modell ohne aktuelle Branchendaten wird branchenspezifische Risiken unterschätzen. Für den Mittelstand bedeutet das: KI-Assistenzfunktionen müssen mit unternehmenseigenen Daten konfiguriert werden können, damit die Risikoeinschätzung die spezifische Verarbeitungssituation widerspiegelt.

Datenschutzrechtlich ist bei der Nutzung unternehmensinterner Daten in KI-Systemen Vorsicht geboten: Personenbezogene Daten dürfen nicht unkontrolliert in externe KI-Modelle eingespeist werden. Eine Architektur, bei der die KI lokal oder auf EU-Servern des Compliance-Anbieters betrieben wird, reduziert das DSGVO-Risiko gegenüber Cloud-Diensten mit US-Serverstandort. Der CIVAC-Workspace für Datenschutzbeauftragte betreibt alle Datenverarbeitungen ausschließlich auf EU-Servern.

Art. 14 EU AI Act verlangt für hochriskante KI-Systeme wirksame menschliche Aufsicht. Das ist kein bürokratisches Detail, sondern ein inhaltliches Qualitätsprinzip: Risikoanalysen im Compliance-Kontext erfordern Kontextverständnis, das KI-Systeme derzeit nicht zuverlässig liefern können – insbesondere die Bewertung, welche Risiken unter den konkreten betrieblichen Bedingungen eines Unternehmens tatsächlich einschlägig sind.

Praktische Konsequenz: Jede KI-generierte Risikoeinschätzung muss von einem fachkundigen Beauftragten geprüft, ergänzt und freigegeben werden, bevor sie in eine dokumentierte Risikoanalyse einfließt. Die Freigabe ist zu dokumentieren – Name des Prüfers, Datum, ggf. Anpassungen. Fehlt diese Dokumentation, kann im Prüfungsfall nicht nachgewiesen werden, dass die Risikoanalyse von einer fachkundigen Person verantwortet wird.

Compliance-Plattformen, die KI-Assistenz anbieten, sollten daher einen strukturierten Freigabe-Workflow integrieren: KI generiert Entwurf, Beauftragter prüft und ergänzt, Bericht wird mit Prüfvermerk gespeichert. Dieser Workflow ist Audit-fest, dokumentiert und § 5 ArbSchG-fest – sofern alle Schritte im System protokolliert werden.

Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist für bestimmte Verarbeitungsvorgänge verpflichtend und besteht aus mehreren strukturierten Schritten: systematische Beschreibung der Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Risikoabschätzung für die Rechte und Freiheiten der betroffenen Personen sowie Konsultation des Datenschutzbeauftragten.

KI-Assistenzfunktionen können in diesem Prozess zwei Schritte effizienter gestalten: die Vorklassifikation, ob eine DSFA erforderlich ist (Abgleich mit der Muss-Liste der zuständigen Datenschutzaufsichtsbehörde), und die Vorstrukturierung der Risikobewertung anhand von Risikofeldern, die für den jeweiligen Verarbeitungstyp typisch sind. Den dritten und vierten Schritt – fachliche Bewertung der Risiken und Konsultation – kann KI nicht ersetzen.

In der Praxis bedeutet das: Ein gut konfiguriertes KI-System kann die Erstellungszeit einer DSFA von mehreren Tagen auf wenige Stunden reduzieren, weil Recherche und Strukturierung automatisiert erfolgen. Die inhaltliche Verantwortung bleibt beim DSB. Für Unternehmen, die regelmäßig neue Verarbeitungsvorgänge einführen, ist diese Effizienzsteigerung erheblich – insbesondere wenn der DSB extern bestellt ist und auf Stundenbasis abrechnet.

ISO/IEC 27001:2022 fordert in Klausel 6.1.2 eine strukturierte Risikobeurteilung: Risiken identifizieren, analysieren und bewerten. Die Norm legt keine bestimmte Methode fest, verlangt aber dokumentierte Kriterien für die Risikoakzeptanz und nachvollziehbare Bewertungsprozesse. 93 Controls aus Anhang A stehen als Maßnahmenkatalog zur Verfügung; welche Controls relevant sind, bestimmt das Statement of Applicability (SoA).

KI-Assistenz kann die initiale Control-Zuordnung beschleunigen: Ein KI-Modell, das die Unternehmensarchitektur kennt, kann vorschlagen, welche der 93 Controls für das jeweilige ISMS anwendbar sind und welche mit Begründung ausgeschlossen werden können. Die Verantwortung für das SoA liegt beim ISB; die KI liefert den ersten Entwurf.

Für interne Audits nach ISO 27001:2022 gilt dasselbe Prinzip: KI kann Checklisten aus dem aktuellen Annex A generieren, Abweichungen zwischen dokumentiertem ISMS und tatsächlichem Betrieb vorstrukturieren und Berichtsentwürfe erzeugen. Der Auditor prüft, ergänzt und zeichnet den Bericht ab. CIVAC stellt 37 Audit-Vorlagen bereit, die als strukturierte Ausgangsbasis für KI-assistierte Audits dienen.

KI-Risikoanalyse im Compliance-Kontext hat klare Grenzen, die vor dem Einsatz transparent gemacht werden müssen. Erstens: Aktualität. KI-Modelle haben einen Trainingsdatenschnitt; neue Urteile, Behördenentscheidungen oder Gesetzesänderungen sind häufig nicht berücksichtigt. Wer auf KI-Risikoeinschätzungen vertraut, ohne die Aktualität des zugrunde liegenden Wissenstands zu prüfen, riskiert, auf Basis veralteter Normen zu arbeiten.

Zweitens: Kontextspezifität. Eine KI, die mit generischen Branchendaten trainiert wurde, liefert generische Risikoeinschätzungen. Für Unternehmen mit spezifischer Verarbeitungstiefe – etwa ein mittelständischer Pharmahersteller mit klinischen Prüfdaten oder ein Finanzdienstleister mit algorithmischem Handel – reicht eine generische Risikoanalyse nicht aus. Drittens: Keine Rechtsberatung. § 2 RDG reserviert Rechtsberatung für zugelassene Rechtsanwälte. KI-Assistenz in Compliance-Plattformen darf Informationen bereitstellen, aber keine individuellen Rechtsauskünfte erteilen. Plattformen, die diese Grenze nicht transparent kommunizieren, erzeugen Haftungsrisiken.

Viertens: Manipulationsrisiko. KI-Modelle können durch gezielte Eingaben zu bestimmten Ergebnissen gelenkt werden (Prompt Injection). Im Compliance-Kontext bedeutet das: Risikoanalysen, die vollständig KI-generiert und nicht menschlich überprüft werden, sind manipulationsanfällig. Der strukturierte Freigabe-Workflow ist nicht nur regulatorische Anforderung, sondern auch Schutzmaßnahme gegen dieses Risiko.

Der CIVAC-Workspace integriert einen KI-Assistenten (Bereich Fragen) mit Konfidenzwert und One-Click-Eskalation zu zertifizierten externen Beauftragten. Risikoanalysen werden nicht autonom ausgegeben, sondern als Entwurf mit Konfidenzanzeige, den der Beauftragte prüft und freigibt. Die Freigabe wird mit Name, Datum und Prüfvermerk im Audit-Log gespeichert.

Für den Mittelstand mit mehreren Beauftragten-Rollen bedeutet das: Risikoanalysen nach § 5 GwG, Art. 35 DSGVO, Klausel 6.1 ISO 27001:2022 und § 5 ArbSchG können strukturell in einem System bearbeitet werden – mit gemeinsamer Dokumentationsbasis, gemeinsamer Audit-Spur und gemeinsamen Exportfunktionen. Andere führen Compliance wie einen Aktenschrank. CIVAC führt sie wie Software.

CIVAC bietet dabei zwei Betriebsmodelle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder bestellen Sie unsere Beauftragten. In beiden Fällen sind KI-Assistenz, Risikoanalyse-Templates und Freigabe-Workflow von Tag eins einsatzbereit – EU-Datenresidenz, DSGVO-konform, ISO/IEC 27001:2022-zertifiziertes ISMS.

Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de.