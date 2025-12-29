Das Interview mit Oliver Riehl, Regional Vice President DACH bei NAVEX, beleuchtet die Herausforderungen und Chancen, die künstliche Intelligenz (KI) für deutsche Unternehmen im Bereich Compliance mit sich bringt. Riehl betont, dass KI helfen kann, Ordnung in die wachsende Komplexität der Regularien zu bringen, jedoch eine gute Governance und klare Richtlinien erforderlich sind, um effektiv eingesetzt zu werden. Zudem wird die Bedeutung einer vertrauensvollen Compliance-Kultur hervorgehoben, um Datenverluste zu vermeiden und die Effizienz von Hinweisgebersystemen zu steigern.



Wie bewerten Sie den Umgang deutscher Unternehmen mit Datenschutz und Compliance seit Einführung der DSGVO?

Die DSGVO ist eigentlich ein ziemliches Erfolgsmodell gewesen. Am Anfang herrschte Überforderung, aber mittlerweile bedienen sich viele Firmen der DSGVO als eine Art Qualitätssiegel, um Vertrauen im Markt zu schaffen. Ich glaube, das ist mittlerweile auch bei den Geschäftsleitungen angekommen: Es geht nicht darum, Verbote auszusprechen und intern zu regulieren, sondern durch Richtlinien neue Technologien sinnvoll zu nutzen. Das kann Prozesse beschleunigen und sollte nicht immer nur als Bremse verstanden werden.

Oliver Riehl,

Regional Vice President DACH

bei NAVEX



Jetzt gibt es ja nicht nur die DSGVO, sondern auch den Cloud Act, DORA, NIS2. Im Prinzip findet ein Bürokratieaufbau statt und kein -abbau. Ist KI die Lösung für diese steigende Komplexität?

KI ist kein Allheilmittel. Aber ich glaube, sie kann helfen, Ordnung in das Chaos zu bringen. Dadurch wandelt sich auch die Rolle des Compliance Officers – vom reinen Regelhüter hin zum Risikonavigator. Angesichts der vielen neuen Regularien stehen Compliance-Teams momentan unter Dauerfeuer. Es muss permanent gescannt werden, welche neuen Regeln es gibt. Hier kann KI wie ein Radar fungieren. Im Anschluss müssen aber die Risiken für jedes Unternehmen individuell bewertet werden. Hier setzt die menschliche Verantwortung ein. Die Technik schafft Struktur, der Compliance Officer priorisiert und entscheidet. Kurz gesagt: KI bringt Orientierung, aber es braucht eine gute Governance, um handlungsfähig zu bleiben.



Entscheidend ist also das Zusammenspiel zwischen Mensch und Maschine. Wie kann KI sicher in Compliance-Programme integriert werden?

Dafür braucht es Richtlinien und Überwachungsvorgänge. KI muss in ein Governance-Modell eingebettet sein. Es gibt vier Punkte, die für eine solche Integration eine Rolle spielen: Transparenz, also welche KI wird eingesetzt und wo. Verantwortung, diese liegt im Endeffekt immer beim Menschen. Die Nachvollziehbarkeit und Auditierbarkeit, also wo wird KI eingesetzt und können die Ergebnisse erklärt werden? Und zuletzt Kontrollmechanismen, an welcher Stelle muss der Mensch manuell eingreifen? Wenn diese Governance-Kriterien beachtet werden, kann KI effektiv eingesetzt werden. Die große Gefahr ist nicht die KI selbst, sondern ein informeller, ungeplanter Einsatz.



Wie können Unternehmen so einen informellen Einsatz wie Shadow IT oder Shadow AI unter Kontrolle bringen?

Ich mag den Ansatz, Shadow IT und Shadow AI synonym zu sehen. Das Gute ist: Unternehmen haben bereits Erfahrungen mit Shadow IT. Diese entsteht durch einen Mangel an Struktur. Mitarbeiter greifen auf unregulierte Tools zu, weil sie einen Nutzen darin sehen und nicht, weil sie Regeln brechen wollen. Um Shadow AI zu verhindern, muss also bewertet werden, welche Tools eingesetzt werden und welches Risiko dadurch entsteht. AI für kreatives Marketing einzusetzen ist etwas anderes als sie für risikorelevante Entscheidungen zu nutzen. Dann braucht es Freigabe-Frameworks und entsprechende Mitarbeiterschulungen. Shadow AI verschwindet nicht durch Verbote, sondern durch eine klare Struktur. Geschäftsleitungen sind jetzt dazu angehalten, ihren Mitarbeitern diese Struktur zu bieten.



Es ist alarmierend, dass circa 50 % der Compliance-Beauftragten Datenverluste durch KI fürchten. Wie können Mitarbeiter für den Umgang mit der Technologie geschult werden? Und wie stehen Geschäftsleitungen zu den Kosten, die dadurch entstehen?

Es entstehen durchaus Kosten, aber die Sorge vor Datenverlusten ist berechtigt. Auch hier ist der unkontrollierte Einsatz von AI das größte Problem. Durch Schulungen muss bei Mitarbeitenden ein Bewusstsein geschaffen werden, welche KI sie nutzen dürfen und welche Daten sensibel und risikorelevant sind. Zudem muss der Rahmen des Einsatzes definiert werden: Anhand von Leitlinien und Freigaben können Mitarbeitende eigenständig Entscheidungen treffen und sich so als Teil der Compliance sehen und diese nicht nur als Bürde betrachten.



Der Regional Whistleblowing Benchmark Report 2025 von NAVEX zeigt, dass trotz gesetzlicher Vorgaben und wachsenden Drucks von Öffentlichkeit und Investoren nur 27 % der deutschen Unternehmen ihre Hinweisgebersysteme als sehr effektiv einschätzen [1]. Welche Ergebnisse der Studie haben Sie besonders erstaunt?

Diese Zahlen sind bedenklich und zeigen, dass wir in Sachen Compliance Nachholbedarf haben. Nordamerika arbeitet da wesentlich effektiver. Dort dauert die Bearbeitung einer Meldung durchschnittlich 19 Tage, in Europa 69 Tage. Außerdem erfolgen 59 % der Meldungen in Deutschland anonym, was auf geringes Vertrauen in die eigenen Meldewege hinweist. Ich glaube, dass sich die Zahl der Meldungen und auch die Effizienz erhöhen, wenn wir es schaffen, eine vertrauensvolle Compliance-Kultur zu entwickeln.



Blick über den Tellerrand: Datensouveränität. Wie sehen Sie die Diskussion?

Compliance Officer sind Risikonavigatoren. Für sie sind Daten unverzichtbar, denn wer Daten kontrolliert, kann Risiken frühzeitig erkennen und vermeiden. Laut unserer Studie erhalten nur 60 % der deutschen Aufsichtsgremien ausreichende Daten für fundierte Bewertungen. Das klingt erstmal nach viel, aber wenn man umgekehrt sagt, 40 % haben diese Daten entsprechend nicht, dann fragt man sich natürlich: Wie sollen dann fundierte Entscheidungen getroffen werden? Von daher ist es ein spannendes Feld. Ich glaube, dass die Souveränität von Daten in den nächsten zwei Jahren noch mehr geschätzt werden wird und dass auch die Vorteile einer geregelten Compliance anerkannt werden.

Das Interview führte Philipp Schiede

2723 Artikel zu „Compliance KI“