Am 23. September 2024 hat das US-Justizministerium (DOJ) seine Richtlinien für Staatsanwälte zur Bewertung von Unternehmens-Compliance-Programmen aktualisiert. Nicole M. Argentieri, eine leitende DOJ-Beamtin, enthüllte die aktualisierten Richtlinien während ihrer Ansprache bei der 23. Jahreskonferenz zum Thema Compliance & Ethik der Society of Corporate Compliance and Ethics in Texas. Die Richtlinien beinhalten nun Überlegungen, wie Unternehmen KI einsetzen und deren Risiken verwalten.

Was ist der Zweck der Richtlinien?

Das DOJ veröffentlicht Richtlinien zur Bewertung von Unternehmens-Compliance-Programmen (ECCP), um Staatsanwälten des DOJ zu helfen, zu beurteilen, ob das Compliance-Programm eines Unternehmens a) gut gestaltet, b) ernsthaft umgesetzt und c) in der Praxis wirksam ist.

Obwohl die ECCP für Staatsanwälte des DOJ verfasst sind und die Überlegungen im Dokument rechtlich nicht bindend sind, wurden die ECCP seit mehreren Jahren öffentlich gemacht und haben in dieser Zeit als nützliche Leitlinien für Führungskräfte und Compliance-Teams in Unternehmen gedient.

Obwohl die überarbeitete ECCP viele neue Themen anspricht, sind die bedeutendsten Überarbeitungen in den Bereichen KI, aufstrebende Technologien, die Rolle von Datenanalysen in Compliance-Programmen und Whistleblower-Schutz.

Was sagt die überarbeitete Richtlinie zur Nutzung von KI?

Die ECCP leiten Staatsanwälte an, unter anderem die folgenden Faktoren im Zusammenhang mit der Nutzung von KI durch Unternehmen zu bewerten: 

·  Hat das Unternehmen ein Risikomanagementprogramm für den Einsatz von KI eingerichtet?

·  Werden Risikostufen für KI-Systeme zugewiesen?

·  Geht das Unternehmen identifizierte Risiken aus der Nutzung von KI auf effektive Weise an?

·  Überwacht das Unternehmen seine KI-Systeme, um sicherzustellen, dass sie wie beabsichtigt funktionieren?

·  Werden Hochrisikosysteme von Menschen angemessen überwacht?

·  Sind die Mitarbeiter angemessen geschult, um KI-Systeme zu nutzen?

·  Nutzt das Compliance-Programm des Unternehmens Datenanalysen und Technologien angemessen, um sicherzustellen, dass es effektiv funktioniert?

·  Geht das Unternehmen das Lieferantenrisiko auf effektive Weise an?

·  Hat das Unternehmen angemessene Ressourcen für sein Compliance-Programm bereitgestellt?

·  Ist das KI-Compliance-Programm angemessen dokumentiert?

Was ist der breitere Kontext?

Die überarbeiteten Richtlinien signalisieren ein anhaltendes Interesse des DOJ an der Nutzung von KI durch Unternehmen. In einer Rede im März in San Francisco betonte die stellvertretende Generalstaatsanwältin Lisa Monaco, dass es keine KI-Ausnahme von bestehenden Gesetzen gibt, und kündigte an, dass sie härtere Strafen für den Missbrauch von KI anstreben wolle, sowie Vorschau auf die ECCP-Überarbeitungen.

Früher in diesem Jahr startete das DOJ auch seine Justice AI Initiative, eine Reihe von Zusammenkünften von „Interessengruppen aus der Zivilgesellschaft, der Industrie, der Wissenschaft und der Strafverfolgung“, um zu informieren, wie KI mit den Bemühungen des DOJ interagieren wird.

Argentieris Ausführungen zu den überarbeiteten ECCP ergänzten weitere Details zu den Überarbeitungen des DOJ und zeigten ein nuanciertes Verständnis der potenziellen Auswirkungen von generativer KI auf Unternehmen. Als Beispiel bemerkte sie, dass „Staatsanwälte berücksichtigen werden, ob das Unternehmen anfällig gegenüber kriminellen Machenschaften ist, die durch neue Technologien ermöglicht werden, wie zum Beispiel falsche Genehmigungen und durch KI generierte Dokumentationen“.

Enzai ist hier, um zu helfen

Die AI GRC-Plattform von Enzai kann Ihrem Unternehmen helfen, KI in Übereinstimmung mit Best Practices und aufkommenden Vorschriften, Standards und Rahmenwerken wie dem EU KI-Gesetz, dem Colorado KI-Gesetz, dem NIST KI RMF und der ISO/IEC 42001 einzusetzen. Um mehr zu erfahren, kontaktieren Sie uns hier.