ComplianceWerkstatt Glossar

Der EU AI Act sieht empfindliche Geldbußen bei Verstößen vor: Bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken, bis zu 15 Mio. EUR oder 3 % für andere Verstöße. Die Höhe richtet sich nach Art, Schwere und Dauer des Verstoßes.

Der EU AI Act und die DSGVO gelten parallel und ergänzen sich. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der AI Act die spezifischen Risiken von KI-Systemen. Unternehmen müssen beide Regelwerke gleichzeitig einhalten.

Ein Code of Conduct (Verhaltenskodex) ist das zentrale Dokument eines Compliance Management Systems. Er definiert die Werte, Verhaltensregeln und Erwartungen an alle Mitarbeitenden – und zunehmend auch an Geschäftspartner und Lieferanten.

Ein Compliance Management System (CMS) ist die Gesamtheit aller Maßnahmen, Strukturen und Prozesse, mit denen ein Unternehmen die Einhaltung von Gesetzen, Richtlinien und internen Regeln sicherstellt. Standards wie IDW PS 980 und ISO 37301 definieren die Grundelemente.

Der Compliance Officer ist die zentrale Funktion für die Steuerung und Überwachung des Compliance Management Systems. Er identifiziert Risiken, entwickelt Maßnahmen, berät die Geschäftsführung und sorgt dafür, dass Regeln nicht nur existieren, sondern gelebt werden.

Ein Compliance-Audit prüft systematisch, ob ein Unternehmen seine eigenen Compliance-Regeln und gesetzlichen Pflichten einhält. Es deckt Schwächen im CMS auf, bevor sie zu Verstößen führen, und liefert der Geschäftsführung eine objektive Standortbestimmung.

Compliance-Kultur beschreibt die Werte, Normen und Verhaltensweisen in einem Unternehmen, die regelkonformes Handeln fördern. Sie ist das Fundament jedes Compliance Management Systems – denn Regeln wirken nur, wenn sie von den Mitarbeitenden verstanden, akzeptiert und gelebt werden.

Die Compliance-Risikoanalyse identifiziert und bewertet systematisch die Risiken, die aus Verstößen gegen Gesetze, Vorschriften und interne Regeln entstehen können. Sie ist ein Kernelement jedes CMS und bestimmt, wo Compliance-Maßnahmen priorisiert werden müssen.

Compliance-Schulungen vermitteln Mitarbeitenden die Kenntnisse und das Bewusstsein, um Regeln einzuhalten und Risiken zu erkennen. Sie sind ein Pflichtelement jedes CMS nach IDW PS 980 und ISO 37301 – und ein zentraler Hebel für eine funktionierende Compliance-Kultur.

Die Corporate Sustainability Reporting Directive (CSRD) ist die EU-Richtlinie für die Nachhaltigkeitsberichterstattung. Sie verpflichtet Unternehmen, nach den European Sustainability Reporting Standards (ESRS) über ESG-Themen zu berichten.

Die Doppelte Wesentlichkeitsanalyse (Double Materiality Assessment) bestimmt, welche Nachhaltigkeitsthemen für ein Unternehmen berichtspflichtig sind – aus der Innen- (finanzielle Wesentlichkeit) und Außenperspektive (Auswirkungswesentlichkeit).

Der EU AI Act (Verordnung 2024/1689) ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Er klassifiziert KI-Systeme nach Risikoklassen und legt Anforderungen für Entwickler und Betreiber fest – von Transparenzpflichten bis zu Verboten.

General-Purpose AI (GPAI) bezeichnet KI-Modelle, die für eine breite Palette von Aufgaben eingesetzt werden können, ohne für einen bestimmten Zweck entwickelt worden zu sein. Der EU AI Act reguliert GPAI-Anbieter ab dem 2. August 2025 mit eigenen Transparenz- und Risikomanagement-Pflichten.

Hochrisiko-KI-Systeme sind KI-Anwendungen, die ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen. Der EU AI Act definiert in Anhang III acht Bereiche, in denen KI-Systeme automatisch als Hochrisiko eingestuft werden.

Der IDW Prüfungsstandard 980 definiert die Grundsätze zur Prüfung von Compliance Management Systemen. Er beschreibt sieben Grundelemente eines wirksamen CMS und ist der im DACH-Raum am weitesten verbreitete Standard für den CMS-Aufbau.

Die ISO 31000 ist der internationale Leitfaden für Risikomanagement. Sie definiert Prinzipien, einen Rahmen und einen Prozess für den systematischen Umgang mit Risiken – branchenunabhängig und für Organisationen jeder Größe anwendbar.

Die ISO 37301 ist der internationale Standard für Compliance Management Systeme (CMS). Sie definiert Anforderungen an Aufbau, Implementierung, Aufrechterhaltung und Verbesserung eines wirksamen CMS – und ermöglicht eine externe Zertifizierung durch akkreditierte Stellen.

KI-Systeme im Recruiting (z. B. automatisierte Bewerbervorauswahl, CV-Screening, Video-Interview-Analyse) gelten nach dem EU AI Act als Hochrisiko-KI. Unternehmen, die solche Systeme einsetzen, müssen umfangreiche Anforderungen an Risikomanagement, Transparenz und menschliche Aufsicht erfüllen.

Der KI-Beauftragte ist eine organisatorische Rolle, die die Einhaltung des EU AI Act im Unternehmen koordiniert. Anders als beim Datenschutzbeauftragten gibt es keine gesetzliche Bestellpflicht, doch die Komplexität der Anforderungen macht eine zentrale Zuständigkeit in der Praxis unverzichtbar.

Die KI-Dokumentationspflicht verpflichtet Anbieter und Betreiber von Hochrisiko-KI-Systemen zur umfassenden technischen Dokumentation. Sie umfasst Systembeschreibung, Daten-Governance, Testverfahren und Leistungskennzahlen und muss vor der Markteinführung vorliegen.

Die KI-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA) ist eine Pflicht für Betreiber von Hochrisiko-KI nach Art. 27 EU AI Act. Sie bewertet die konkreten Auswirkungen eines KI-Systems auf die Grundrechte betroffener Personen vor dessen Einsatz.

KI-Governance bezeichnet den organisatorischen Rahmen für den verantwortungsvollen Einsatz künstlicher Intelligenz im Unternehmen. Sie umfasst Richtlinien, Prozesse und Kontrollen, die sicherstellen, dass KI-Systeme rechtskonform, transparent und ethisch betrieben werden.

Die KI-Kompetenzpflicht nach Art. 4 EU AI Act verpflichtet alle Unternehmen, die KI-Systeme einsetzen, für ein ausreichendes KI-Wissen ihrer Beschäftigten zu sorgen. Sie gilt seit dem 2. Februar 2025 und betrifft Anbieter und Betreiber gleichermaßen.

Der EU AI Act stuft KI-Systeme in vier Risikoklassen ein: unannehmbares Risiko (verboten), hohes Risiko (streng reguliert), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (keine Auflagen). Die Einstufung bestimmt, welche Pflichten für Anbieter und Nutzer gelten.

Eine Risiko-Taxonomie ist ein strukturiertes Klassifikationssystem, das alle relevanten Risiken eines Unternehmens in Kategorien und Unterkategorien ordnet. Sie schafft eine gemeinsame Sprache für Risiken und verhindert, dass Risiken übersehen oder doppelt erfasst werden.

Ein Risikomanagementsystem (RMS) umfasst alle Strukturen, Prozesse und Maßnahmen zur systematischen Identifikation, Bewertung, Steuerung und Überwachung von Risiken. Für Kapitalgesellschaften besteht nach § 91 Abs. 2 AktG eine gesetzliche Pflicht.

Ein Risikoregister ist das zentrale Dokumentationstool im Risikomanagement. Es erfasst alle identifizierten Risiken mit Bewertung, Verantwortlichkeiten, Maßnahmen und Status – und macht Risikomanagement nachvollziehbar und steuerbar.

Risk Appetite (Risikobereitschaft) definiert, wie viel Risiko ein Unternehmen bewusst einzugehen bereit ist, um seine strategischen Ziele zu erreichen. Ein Risk Appetite Statement macht diese Grenze transparent und ermöglicht risikobasierte Entscheidungen.

Eine Stakeholder-Analyse identifiziert und priorisiert die relevanten Anspruchsgruppen eines Unternehmens – von Mitarbeitenden über Kunden bis zu Regulierungsbehörden. Im ESG-Kontext ist sie Voraussetzung für die Wesentlichkeitsanalyse und die CSRD-Berichterstattung.

Die THG-Bilanz (Treibhausgasbilanz) erfasst systematisch alle direkten und indirekten Treibhausgasemissionen eines Unternehmens – aufgeteilt in Scope 1, 2 und 3. Sie ist die Datengrundlage für CSRD-Reporting, Klimastrategien und Reduktionsziele.

Tone from the Top beschreibt die sichtbare Haltung der Geschäftsführung zu Integrität und Regelkonformität. Er ist der stärkste Hebel für Compliance-Kultur – denn Mitarbeitende orientieren sich am Verhalten der Führung, nicht an Richtlinien.

Transparenzpflichten nach dem EU AI Act verpflichten Betreiber bestimmter KI-Systeme, Nutzer darüber zu informieren, dass sie mit einer KI interagieren. Dies betrifft insbesondere Chatbots, KI-generierte Inhalte und Emotionserkennungssysteme.

Der EU AI Act verbietet bestimmte KI-Praktiken vollständig, die als unannehmbares Risiko für Grundrechte gelten. Dazu zählen unter anderem Social Scoring, unterschwellige Manipulation und biometrische Echtzeit-Fernüberwachung. Die Verbote gelten seit dem 2. Februar 2025.